Начало работы с управлением внутренними рисками

Используйте инсайдерскую политику управления рисками для определения рискованных действий и средств управления для действий по оповещениям о рисках в организации. Выполните следующие действия, чтобы настроить необходимые условия и настроить внутреннюю политику управления рисками.

Важно!

Решение Microsoft 365 управления рисками предоставляет параметр уровня клиента, чтобы помочь клиентам облегчить внутреннее управление на уровне пользователя. Администраторы уровня клиента могут настроить разрешения для предоставления доступа к этому решению для членов вашей организации и настроить соединители данных в Центр соответствия требованиям Microsoft 365 для импорта соответствующих данных для поддержки идентификации потенциально рискованных действий на уровне пользователей. Клиенты признают, что сведения, связанные с поведением, характером или производительностью отдельного пользователя, связанными с занятостью, могут быть рассчитаны администратором и доступны другим пользователям организации. Кроме того, клиенты признают, что они должны проводить собственное полное расследование, связанное с поведением, характером или производительностью отдельного пользователя, материально связанными с занятостью, а не только полагаться на сведения из службы управления рисками, связанной с инсайдерской деятельностью. Клиенты несут полную ответственность за использование службы Microsoft 365 управления рисками, а также любой связанной функции или службы в соответствии со всеми применимыми законами, включая законы, связанные с идентификацией отдельных пользователей и любыми действиями по исправлению.

Дополнительные сведения о том, как политики инсайдерского риска могут помочь вам управлять рисками в организации, см. в Microsoft 365.

Подписки и лицензирование

Прежде чем начать работу с управлением рисками, необходимо подтвердить Microsoft 365 подписку и все надстройки. Чтобы получить доступ к управлению рисками и использовать ее, организация должна иметь одну из следующих подписок или надстройок:

  • Microsoft 365 E5/A5/G5 подписка (платная или пробная версия)
  • Microsoft 365 E3/A3/G3 + надстройка Microsoft 365 E5/A5/G5
  • Microsoft 365 E3/A3/G3 подписка + надстройка Microsoft 365 E5/A5/G5 Insider Risk Management
  • Подписка Office 365 E3 + Enterprise Mobility and Security E3 + надстройка "Соответствие требованиям Microsoft 365 E5"

Пользователям, включенным в инсайдерскую политику управления рисками, должна быть назначена одна из вышеуказанных лицензий.

Если у вас нет существующего плана Microsoft 365 корпоративный E5 и вы хотите попробовать управление рисками, вы можете добавить Microsoft 365 к существующей подписке или зарегистрироваться для пробного Microsoft 365 корпоративный E5.

Рекомендуемые действия могут помочь организации быстро начать работу и максимально использовать возможности управления рисками изнутри. Рекомендуемые действия, включенные на страницу Обзор, помогут вам с помощью действий по настройке и развертыванию политик и действий по расследованию действий пользователей, которые генерируют оповещения из совпадений политик.

Рекомендации по управлению рисками, рекомендуемые для управления рисками.

Доступны следующие рекомендации, которые помогут вам начать работу с конфигурацией управления рисками изнутри или максимально увеличить ее:

  • Включите аудит. При включении действия пользователя и администратора в организации записываются в журнал аудита Microsoft 365 аудита. Политики инсайдерского риска и анализы аналитики используют этот журнал для обнаружения действий с рисками.
  • Получите разрешения на управление рисками пользователей. Уровень доступа к функциям управления рисками зависит от того, какую группу ролей вам назначены. Чтобы получить доступ к рекомендуемым действиям и настроить их, необходимо, чтобы пользователи были назначены группам ролей Insider Risk Management или Insider Risk Management Admins.
  • Выберите индикаторы политики. Индикаторы по сути являются действиями пользователей, которые необходимо обнаружить и исследовать. Вы можете выбрать индикаторы для отслеживания активности в нескольких Microsoft 365 и службах.
  • Сканирование потенциальных рисков, связанных с инсайдерской оценкой. Запустите проверку аналитики, чтобы обнаружить потенциальные внутренние риски, происходящие в вашей организации. После оценки результатов просмотрите рекомендуемые политики для настройка.
  • Назначение разрешений другим. Если есть дополнительные члены группы, которые будут отвечать за управление функциями инсайдерского риска, необходимо назначить их соответствующим группам ролей.
  • Создайте свою первую политику. Чтобы получать оповещения о потенциально рискованных действиях, необходимо настроить политики на основе заранее заранее определенных шаблонов, которые определяют действия пользователей, которые необходимо обнаружить и изучить.
  • Просмотрите пользователя, действия которого засвещаются. Панель мониторинга пользователей позволяет просматривать пользователей, которым в настоящее время назначены оценки риска, независимо от того, выполнила ли эта активность пороговое значение для создания оповещений.
  • Обзор оповещений. После запуска события для пользователя политики начинают назначать оценки риска обнаруженной активности. Если оценка риска соответствует порогам политики, вы увидите оповещение, содержащее подробный анализ всех действий, забитых для этого пользователя.
  • Изучите случай. Случаи, которые создаются вручную из оповещений, когда требуется дополнительное расследование для выявления потенциальных рисков, связанных с инсайдерской оценкой. Каждый случай имеет область действия для одного пользователя, и несколько оповещений для пользователя могут быть добавлены в существующий случай или в новый случай.

Каждое рекомендуемое действие, включаемое в этот опыт, имеет четыре атрибута:

  • Действие. Имя и описание рекомендуемого действия.
  • Состояние. Состояние рекомендуемого действия. Значения не запущены, в процессе, сохранены на более поздний или завершенный .
  • Обязательное или необязательный вариант: является ли рекомендуемое действие обязательным или необязательным, чтобы функции управления рисками изнутри функционировали так, как ожидалось.
  • Предполагаемое время для выполнения: Предполагаемое время выполнения рекомендуемых действий за несколько минут.

Выберите рекомендацию из списка, чтобы начать работу с настройкой управления рисками изнутри. Каждое рекомендуемое действие направляет вас через необходимые действия для рекомендации, включая любые требования, то, чего ожидать, и влияние настройки функции в организации. Каждое рекомендуемое действие автоматически помечается как полное при настройке или при настройке необходимо вручную выбрать действие как полное.

Шаг 1 (необходимый): Включить разрешения для управления рисками изнутри

Важно!

После настройки групп ролей может потребоваться до 30 минут, чтобы разрешения группы ролей применялись к назначенным пользователям в вашей организации.

Существует четыре группы ролей, используемых для настройки разрешений для управления функциями управления рисками. Чтобы продолжить эти действия по настройке, администраторы клиента должны сначала назначить вас в группу "Управление рисками инсайдеров" или "Администратор управления рисками" (Insider Risk Management Admin). Чтобы получить доступ к функциям управления рисками и управлять ими после начальной конфигурации, пользователи должны быть членами по крайней мере одной группы ролей управления рисками.

Важно!

Убедитесь, что у вас всегда есть по крайней мере один пользователь в группах роли администратора управления рисками insider или Insider (в зависимости от того, как выбрать вариант), чтобы ваша конфигурация управления рисками изнутри не влияла на сценарий "нулевой администратор", если конкретные пользователи покидают организацию.

В зависимости от структуры команды управления соответствием требованиям вы можете назначать пользователей в определенные группы ролей для администрирования различных наборов функций управления внутренними рисками. Чтобы просмотреть вкладку Permissions в группе Центр соответствия требованиям Microsoft 365 и управлять группами ролей, необходимо быть назначенной группе ролей управления организацией или роли управления ролью. Выберите из этих параметров групп ролей при настройке управления рисками изнутри:

Группа ролей Разрешения роли
Управление внутренними рисками Используйте эту группу ролей для управления внутренними рисками вашей организации в одной группе. Добавляя все учетные записи пользователей для назначенных администраторов, аналитиков, исследователей и аудиторов, можно настроить разрешения на управление рисками изнутри в одной группе. Эта группа ролей содержит все роли разрешений на управление рисками и связанные с ними разрешения. Эта конфигурация является самым простым способом быстрого начала работы с управлением рисками изнутри и подходит для организаций, которые не нуждаются в отдельных разрешениях, определенных для отдельных групп пользователей. При использовании этой конфигурации необходимо всегда иметь по крайней мере одного пользователя, назначенного этой группе ролей, чтобы убедиться, что ваши политики работают так, как ожидалось, и чтобы пользователь мог создавать и изменять политики, настраивать параметры решений и пересматривать предупреждения о здоровье политик.
Администратор управления рисками изнутри Используйте эту группу ролей, чтобы сначала настроить управление рисками инсайдеров, а затем разделить администраторов риска изнутри в определенную группу. Пользователи этой группы ролей могут включить и просмотреть аналитические сведения и создать, прочитать, обновить и удалить политики управления рисками, глобальные параметры и назначения групп ролей. При использовании этой конфигурации необходимо всегда иметь по крайней мере одного пользователя, назначенного этой группе ролей, чтобы убедиться, что ваши политики работают так, как ожидалось, и чтобы пользователь мог создавать и изменять политики, настраивать параметры решений и пересматривать предупреждения о здоровье политик.
Аналитики по управлению внутренними рисками Используйте эту группу для назначения разрешений пользователям, которые будут выступать в качестве аналитиков в случаях внутреннего риска. Пользователи в этой группе ролей могут получать доступ ко всем уведомлениям об управлении рисками, делам, аналитическим сведениям и шаблонам уведомлений. Они не могут получить доступ к проводнику контента с инсайдерской угрозой.
Исследователи управления внутренними рисками Используйте эту группу для назначения разрешений пользователям, которые будут выступать в качестве исследователей данных внутренних рисков. Пользователи этой группы ролей могут получать доступ ко всем предупреждениям, случаям, шаблонам уведомлений и обозревателю контента для всех случаев.
Внутренние аудиторы по управлению рисками Используйте эту группу для назначения разрешений пользователям, которые будут проверять действия по управлению рисками. Пользователи в этой группе ролей могут получить доступ к журналу аудита рисков инсайдерской группы. Пользователи из этой группы ролей не могут получить доступ к рекомендуемой функции действий (предварительного просмотра).

Примечание

Эти группы ролей в настоящее время не поддерживаются управление привилегированными пользователями (PIM). Дополнительные дополнительные информацию о PIM см. в видеоролике Назначение ролей Azure AD в управление привилегированными пользователями.

Добавление пользователей в группу ролей для управления рисками изнутри

Выполните следующие действия, чтобы добавить пользователей в группу ролей для управления рисками изнутри:

  1. Вопишите Центр соответствия требованиям Microsoft 365 учетные данные для учетной записи администратора в Microsoft 365 организации.

  2. В Центре соответствия & требованиям безопасности перейдите к разрешениям. Выберите ссылку для просмотра и управления ролями в Office 365.

  3. Выберите группу ролей управления рисками, в которую необходимо добавить пользователей, а затем группу Изменить роль.

  4. Выберите Выберите членов из левой области навигации, а затем выберите Изменить.

  5. Выберите Добавить, а затем выберите почтовый ящик для всех пользователей, которые необходимо добавить в группу ролей.

  6. Нажмите кнопку Добавить, затем нажмите кнопку Готово.

  7. Выберите Сохранить, чтобы добавить пользователей в группу ролей. Выберите Close для выполнения действий.

Шаг 2 (требуется): Включить журнал аудита Microsoft 365 аудита

Управление рисками в инсайдерской Microsoft 365 журналов аудита для анализа и действий пользователей, выявленных в политиках и аналитике. Журналы Microsoft 365 аудита — это сводка всех действий в вашей организации, и политики управления рисками изнутри могут использовать эти действия для создания анализа политики.

Аудит включен для Microsoft 365 по умолчанию. Некоторые организации могут отключить аудит по определенным причинам. Если аудит отключен для организации, это может быть потому, что другой администратор отключил его. Рекомендуется подтвердить, что при выполнении этого шага можно включить аудит.

Пошаговая инструкция по включению аудита см. в журнале Turn audit log search on or off. После включения ведения аудита появится сообщение о подготовке журнала аудита, и через пару часов, когда она будет завершена, вы сможете начать поиск. Это действие потребуется выполнить только один раз. Дополнительные сведения об использовании журнала аудита Microsoft 365 см. в журнале Search the audit.

Шаг 3 (необязательный): включить и просмотреть сведения о аналитике рисков для инсайдеров

Внутренняя аналитика управления рисками позволяет проводить оценку потенциальных рисков, связанных с инсайдерской деятельностью в организации, без настройки каких-либо политик риска, связанных с инсайдерской деятельностью. Эта оценка поможет вашей организации определить потенциальные области с более высоким риском для пользователей и определить тип и область политик управления внутренними рисками, которую можно настроить. Эта оценка также может помочь определить потребности в дополнительном лицензировании или будущей оптимизации существующих политик. Результаты проверки аналитики могут занять до 48 часов, прежде чем сведения будут доступны в качестве отчетов для проверки. Дополнительные сведения о аналитических сведениях см. в дополнительных сведениях о параметрах управления рисками insider: Analytics (preview) и ознакомьтесь с видеороликом Insider Risk Management Analytics, чтобы понять, как аналитика может помочь ускорить выявление потенциальных рисков, связанных с инсайдерской деятельностью, и помочь вам быстро принять меры.

Чтобы включить инсайдерской аналитики рисков, вы должны быть членом insider Risk Management, Insider Risk Management Admin, или Microsoft 365 глобальной группы ролей администратора.

Выполните следующие действия, чтобы включить внутреннюю аналитику рисков:

  1. В Центр соответствия требованиям Microsoft 365перейдите к управлению рисками Insider.
  2. Выберите сканирование run on the Scan для оценки рисков, связанных с инсайдерской деятельностью, в карточке организации на вкладке Обзор управления рисками. Это действие включает сканирование аналитики для организации. Вы также можете включить сканирование в организации, переходя на параметры риска insider > Analytics (предварительный просмотр) и позволяя сканировать действия пользователей клиента для выявления потенциальных рисков, связанных с инсайдерской деятельностью.
  3. На области сведений аналитики выберите сканирование run, чтобы запустить сканирование для организации. Результаты проверки аналитики могут занять до 24 часов, прежде чем сведения будут доступны в качестве отчетов для проверки.

Проанализировав аналитические сведения, выберите политики риска инсайдеров и настройте связанные с ними предпосылки, которые наилучшим образом соответствуют стратегии по смягчению рисков, связанных с инсайдерской деятельностью организации.

Шаг 4 (обязательный): Настройка необходимых условий для политик

Большинство политик управления рисками изнутри имеют необходимые условия, которые необходимо настроить для индикаторов политики для создания соответствующих оповещений о действиях. Настройте необходимые условия в зависимости от политик, которые планируется настроить для организации.

Настройка Microsoft 365 hr-разъема

Управление рисками изнутри поддерживает импорт пользовательских и журнальных данных, импортируемых с платформ управления рисками и кадровых ресурсов. Соединитатель Microsoft 365 кадровых ресурсов (HR) позволяет извлекть данные из файлов CSV, включая даты прекращения работы пользователей, последние даты работы, уведомления об улучшении производительности, действия по проверке производительности и состояние изменения уровня работы. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации. Если вы настроите несколько соединителю управления персоналом для организации, управление рисками изнутри автоматически извлекет индикаторы из всех соединители кадров.

Соедините Microsoft 365 отдела кадров требуется при использовании следующих шаблонов политики:

  • Утечки данных недовольными пользователями
  • Убывка кражи данных пользователей
  • Общее неправильное использование данных пациентов
  • Нарушения политики безопасности уходящими пользователями
  • Нарушения политики безопасности недовольными пользователями

В статье Настройка соединитетеля для импорта статьи кадровой информации для пошагового руководства по настройке Microsoft 365 отдела кадров для организации. После настройки соединитетеля управления персоналом вернись к этим шагам настройки.

Настройка соединитетеля данных, определенного для здравоохранения

Управление рисками на основе инсайдерской информации поддерживает импорт пользовательских и журнальных данных, импортируемых из трех сторон в существующие системы электронной медицинской записи (EMR). Соединители данных Microsoft Healthcare и Epic позволяют получать данные о активности из системы EMR с помощью CSV-файлов, включая неправильный доступ к записи пациентов, подозрительные объемные действия, а также действия по редактированию и экспорту. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации.

Если вы настроите несколько соединителок Healthcare или Epic для вашей организации, управление рисками изнутри автоматически поддерживает сигналы событий и действий из всех соединителок Healthcare и Epic. При использовании следующих шаблонов политики требуется Microsoft 365 или соединитетелем Epic:

  • Общее неправильное использование данных пациентов

См. в статье Настройка соединители для импорта медицинских данных или настройка соединитетеля для импорта статьи данных Epic EHR для пошагового руководства по настройке соединитетеля, определенного для здравоохранения для вашей организации. После настройки соединитетеля вернись к этим шагам конфигурации.

Настройка политик предотвращения потери данных (DLP)

Управление рисками для инсайдеров поддерживает использование политик DLP для выявления преднамеренного или случайного контакта конфиденциальной информации с нежелательными сторонами для оповещений ОДН высокого уровня серьезности. При настройке политики управления рисками изнутри с помощью любого из шаблонов утечки данных можно назначить политику для этих типов оповещений определенную политику DLP.

Политики DLP помогают определить пользователей для активации оценки рисков в управлении рисками для управления рисками с высокой степенью серьезности для конфиденциальной информации и являются важной частью настройки полного охвата управления рисками в организации. Дополнительные сведения об управлении рисками и интеграции политики DLP и планировании см. в таблице Политики управления рисками insider.

Важно!

Убедитесь, что вы завершили следующее:

  • Вы понимаете и правильно настраиваете пользователей в области как политики управления рисками, так и политики управления рисками изнутри, чтобы получить ожидаемую страховку политики.
  • Убедитесь, что параметр Отчеты об инцидентах в политике DLP для управления рисками изнутри, используемый с этими шаблонами, настроен для оповещений высокого уровня серьезности. Оповещений об управлении рисками из политик DLP с полем отчетов об инцидентах на уровне Low или Medium не создается.

Политика DLP необязательна при использовании следующих шаблонов политики:

  • Общие утечки данных
  • Утечки данных приоритетными пользователями

В статье Создание, тестирование и настройка статьи политики DLP пошаговые инструкции по настройке политик DLP для организации. После настройки политики DLP вернись к этим шагам настройки.

Настройка приоритетных групп пользователей

Управление рисками в инсайдерской области включает поддержку назначения приоритетных групп пользователей политикам, чтобы помочь идентификации уникальных действий риска для пользователя с критическими позициями, высоким уровнем доступа к данным и сети, а также прошлой историей поведения с рисками. Создание приоритетной группы пользователей и назначение пользователей политикам области групповой помощи с учетом уникальных обстоятельств, представленных этими пользователями.

При использовании следующих шаблонов политики требуется приоритетная группа пользователей:

  • Нарушения политики безопасности приоритетными пользователями
  • Утечки данных приоритетными пользователями

Инструкции по созданию приоритетной группы пользователей см. в статье Начало работы с настройками управления рисками изнутри. После настройки приоритетной группы пользователей вернись к этим шагам настройки.

Настройка соединители физической плохой настройки (необязательный)

Управление рисками в инсайдерской области поддерживает импорт пользовательских и журнальных данных с платформ физического управления и доступа. Соединитель физической ненадежности позволяет получать данные доступа из файлов JSON, включая пользовательские ИД, ID точки доступа, время и даты доступа и состояние доступа. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации. Если вы настроите несколько физических соединителю плохой настройки для организации, управление рисками изнутри автоматически извлекет индикаторы из всех соединителок физического ненадежного управления. Сведения из соединиттеля физического ненадежного использования добавок к другим инсайдерской сигналам риска при использовании всех шаблонов политики риска.

Важно!

Чтобы политики управления рисками изнутри использовали и сопоставляют данные сигнала, связанные с отходами и прекращенными пользователями, с данными событий с платформ физического управления и доступа, необходимо также настроить Microsoft 365 hr-соединителя. Если включить соединители физической плохой работы, не включив Microsoft 365, политики управления рисками изнутри будут обрабатывать события только для несанкционированного физического доступа пользователей в вашей организации.

См. в статье Настройка соединители для импорта физической статьи данных о ненадежных данных для пошагового руководства по настройке соединитетеля физического ненадежного управления для организации. После настройки соединитетеля вернись к этим шагам конфигурации.

Настройка Microsoft Defender для конечной точки (необязательно)

Microsoft Defender for Endpoint — это корпоративная платформа безопасности конечной точки, предназначенная для предотвращения, обнаружения, обнаружения, обнаружения и реагирования на расширенные угрозы. Чтобы лучше фиксировать нарушения безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечных точек для действий, используемых в политиках, созданных из шаблонов политики нарушений безопасности для управления рисками.

Если вы создаете политики нарушения безопасности, необходимо настроить Microsoft Defender для конечной точки в организации и включить Defender для конечной точки для интеграции управления рисками изнутри в Центре безопасности Defender для импорта оповещений о нарушениях безопасности. Дополнительные сведения о требованиях см. в статье Минимальные требования к Microsoft Defender для конечной точки.

Дополнительные функции настройки см. в статье Defender for Endpoint для пошагового руководства по настройке Defender for Endpoint для интеграции с управлением рисками. После настройки защитника Microsoft для конечной точки вернись к этим шагам настройки.

Шаг 5 (требуется): Настройка параметров риска для инсайдеров

Параметры риска для инсайдеров применяются к всем политикам управления рисками, независимо от выбранного шаблона при создании политики. Параметры настраиваются с помощью элемента управления параметрами внутреннего риска, расположенного в верхней части всех вкладок управления внутренними рисками. Эти параметры управляют конфиденциальностью, индикаторами, окнами мониторинга и интеллектуальными обнаружениями.

Перед настройкой политики определите следующие параметры риска для инсайдеров:

  1. В Центр соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите параметры риска Insider в правом верхнем углу любой страницы.

  2. На странице Конфиденциальность выберите параметр конфиденциальности для отображения имен пользователей для оповещений о политике.

  3. На странице Индикаторы выберите индикаторы оповещений, которые необходимо применить для всех политик риска, связанных с инсайдерской политикой.

    Важно!

    Для получения оповещений о рискованных действиях, определенных в политиках, необходимо выбрать один или несколько индикаторов. Если индикаторы не настроены в Параметры, индикаторы не будут выбраны в политиках инсайдерского риска.

  4. На странице Таймфреймы политики выберите временные рамки политики, которые должны входить в силу для пользователя, когда они запускают совпадение для политики рисков, связанных с инсайдерской политикой.

  5. На странице Интеллектуальные обнаружения настройте следующие параметры для политик риска, связанных с инсайдерской политикой:

  6. На странице Экспорт оповещений включить экспорт инсайдерской информации оповещений о рисках с помощью API Office 365 управления, если это необходимо.

  7. На странице Группы приоритетов создайте группу пользователей приоритета и добавьте пользователей, если они не созданы в шаге 3.

  8. На странице Power Automate потоки настройте поток из шаблонов потока инсайдерской угрозы или создайте новый поток. Инструкции по шагу см. в статье Начало работы с настройками управления рисками изнутри.

  9. На странице Priority assets настройте приоритетные активы для использования данных с физической платформы управления и доступа, импортируемой соединитетелем физической плохой настройки. Инструкции по шагу см. в статье Начало работы с настройками управления рисками изнутри.

  10. На странице Microsoft Teams включить интеграцию Microsoft Teams с управлением рисками, чтобы автоматически создать команду для совместной работы с пользователями. Инструкции по шагу см. в статье Начало работы с настройками управления рисками изнутри.

  11. Выберите Сохранить, чтобы включить эти параметры для политик риска, связанных с инсайдерской помощью.

Шаг 6 (обязательно): Создание политики управления рисками изнутри

Политики управления внутренними рисками включают назначенных пользователей и определяют типы индикаторов риска, для которых настроена рассылка оповещений. Прежде чем действия смогут инициировать оповещения, необходимо настроить политику. Используйте мастер политики для создания новых политик управления рисками изнутри.

  1. В Центре соответствия требованиям Microsoft 365 перейдите в раздел Управление внутренними рисками и выберите вкладку Политики.

  2. Выберите Создать политику, чтобы открыть мастер политики.

  3. На странице Политики выберите категорию политики, а затем выберите шаблон для новой политики. Эти шаблоны состоят из условий и индикаторов, определяющих действия по рискам, которые подлежат обнаружению и исследованию. Просмотрите необходимые условия для шаблона, инициирующие события и обнаруженные действия, чтобы убедиться, что этот шаблон политики соответствует вашим потребностям.

    Важно!

    Некоторые шаблоны политик имеют необходимые условия, которые необходимо настроить, чтобы политика создавала соответствующие оповещения. Если необходимые условия не настроены для соответствующей политики, см. Шаг 4 выше.

  4. Нажмите кнопку Далее, чтобы продолжить.

  5. На странице Название и описание заполните следующие поля:

    • Название (обязательно). Введите понятное название политики. Это название не может быть изменено после создания политики.
    • Описание (необязательно). Введите описание политики.
  6. Нажмите кнопку Далее, чтобы продолжить.

  7. На странице Пользователи и группы выберите Включить всех пользователей и группы или Включить определенных пользователей и группы, чтобы определить, какие пользователи или группы включены в политику, или если вы выбрали шаблон на основе приоритетных пользователей; выберите Добавить или изменить группы приоритетных пользователей. При выборе параметра Включить всех пользователей и группы будет выполняться поиск инициирующих событий для всех пользователей и групп в организации, чтобы начать назначение оценок риска для политики. Выбор параметра Включить определенных пользователей и группы позволяет определять пользователей и группы, которых необходимо назначить политике. Учетные записи гостевых пользователей не поддерживаются.

  8. Нажмите кнопку Далее, чтобы продолжить.

  9. На странице Содержимое для назначения приоритетов можно назначить (при необходимости) источники для назначения приоритетов, что повышает вероятность создания оповещений высокой важности для этих источников. Выберите один из указанных вариантов:

    • Я хочу указать сайты SharePoint, метки и/или типы конфиденциальной информации в качестве приоритетного контента. При выборе этого параметра в мастере будут доступны страницы с подробными сведениями для настройки этих каналов.
    • Я не хочу указывать приоритетное содержимое сейчас (это можно будет сделать после создания политики). При выборе этого параметра в мастере будут пропущены страницы с подробными сведениями о канале.
  10. Нажмите кнопку Далее, чтобы продолжить.

  11. Если вы выбрали, я хочу указать сайты SharePoint, метки конфиденциальности и/или типы конфиденциальной информации в качестве приоритетного контента на предыдущем шаге, вы увидите страницы сведений для SharePoint сайтов, типы конфиденциальной информации и метки конфиденциальности . Используйте эти страницы подробных сведений для определения SharePoint, типов конфиденциальной информации и меток конфиденциальности для определения приоритетов в политике.

    • Сайты SharePoint. Выберите Добавить сайт SharePoint и выберите сайты SharePoint, к которым у вас есть доступ и к которым вы хотите назначить приоритеты. Например, "group1@contoso.sharepoint.com/sites/group1".
    • Тип конфиденциальной информации. Выберите Добавить тип конфиденциальной информации и выберите типы конфиденциальности, к которым вы хотите назначить приоритеты. Например, "Номер банковского счета США" и "Номер кредитной карты".
    • Метки конфиденциальности. Выберите Добавить метку конфиденциальности и выберите метки, к которым вы хотите назначить приоритеты. Например, "Конфиденциально" и "Секретно".

    Примечание

    Пользователи, настраивающие политику и выбрав приоритетные сайты Share Point, могут выбрать SharePoint сайты, к которые у них есть разрешение на доступ. Если SharePoint сайтов не доступны для выбора в политике текущим пользователем, другой пользователь с требуемого разрешения может выбрать сайты для политики позже или текущему пользователю должен быть предоставлен доступ к требуемой веб-сайтам.

  12. Нажмите кнопку Далее, чтобы продолжить.

  13. Если вы выбрали общие утечки данных или утечки данных по шаблонам приоритетных пользователей, вы увидите параметры триггеров для этой страницы политики для настраиваемого запуска событий и индикаторов политики. Вы можете выбрать политику DLP или индикаторы для запуска событий, которые привносят пользователей в область политики для скоринга действий. Если пользователь соответствует политике предотвращения потери данных (DLP), запуская событие, необходимо выбрать политику DLP из списка отсевов политики DLP, чтобы включить индикаторы запуска политики DLP для этой политики управления рисками изнутри. Если пользователь выполняет параметр события, запускающий действие exfiltration, необходимо выбрать один или несколько перечисленных индикаторов для события запуска политики.

    Важно!

    Если вы не можете выбрать указанный индикатор, это потому, что он не включен для вашей организации. Чтобы сделать их доступными для выбора и назначения политике, вделайте индикаторы в индикаторах управления рисками > insider Параметры > policy.

    Если вы выбрали другие шаблоны политики, настраиваемые события запуска не поддерживаются. События запуска встроенной политики применяются, и вы продолжите этот шаг к шагу XX без определения атрибутов политики.

  14. Нажмите кнопку Далее, чтобы продолжить.

  15. Если вы выбрали общие утечки данных или утечки данных по шаблонам приоритетных пользователей и выбрали, что пользователь выполняет действия эксфильтрации и связанные с ними индикаторы, вы можете выбрать настраиваемые или по умолчанию пороговые значения для событий, запускающих события, которые вы выбрали. Выберите либо пороги использования по умолчанию (Рекомендуемые) или Используйте настраиваемые пороговые значения для событий запуска.

  16. Нажмите кнопку Далее, чтобы продолжить.

  17. Если выбраны настраиваемые пороговые значения для событий запуска, для каждого индикатора событий запуска, выбранного в шаге 13, выберите соответствующий уровень для создания оповещений нужного уровня активности.

  18. Нажмите кнопку Далее, чтобы продолжить.

  19. На странице Индикаторы политики вы увидите индикаторы, которые вы определили как доступные на странице Индикаторы параметров риска insider. > Выберите индикаторы, которые вы хотите применить к политике.

    Важно!

    Если индикаторы на этой странице не могут быть выбраны, необходимо выбрать индикаторы, которые вы хотите включить для всех политик. Вы можете использовать кнопку Включить индикаторы в мастере или выбрать индикаторы на странице Управление внутренними рисками > Параметры > Индикаторы политики.

    Если вы выбрали хотя бы один индикатор Office или устройства, выберите соответствующие усилители оценки риска. Усилители оценки риска применимы только к выбранным индикаторам. Если вы выбрали шаблон политики Кража данных или Утечки данных, выберите один или несколько методов обнаружения последовательности и обнаружения накопительных краж данных для применения к политике.

  20. Нажмите кнопку Далее, чтобы продолжить.

  21. На странице Решение о том, следует ли использовать страницу пороговые значения по умолчанию или настраиваемые пороговые значения индикаторов, выберите настраиваемые или по умолчанию пороговые значения для выбранных индикаторов политики. Выберите либо пороги использования по умолчанию для всех индикаторов, либо укажите настраиваемые пороговые значения для выбранных индикаторов политики. Если выбраны настраиваемые пороговые значения, выберите соответствующий уровень для создания желаемого уровня оповещений о действиях для каждого индикатора политики.

  22. Нажмите кнопку Далее, чтобы продолжить.

  23. На странице Проверка просмотрите параметры, выбранные для политики, а также предложения или предупреждения для выбранных параметров. Выберите Изменить, чтобы изменить какие-либо значения политики, или выберите Отправить для создания и активации политики.

Дальнейшие действия

После завершения этих действий по созданию первой политики управления рисками изнутри вы начнете получать оповещения из индикаторов активности примерно через 24 часа. Настройка дополнительных политик по мере необходимости с помощью руководства в шаге 4 этой статьи или действий в Создании новой политики риска для инсайдеров.

Дополнительные данные о расследовании оповещений о рисках, связанных с инсайдерской деятельностью, и панели мониторинга оповещений см. в странице Insider risk management activities.