Узнайте об управлении рисками изнутри в Microsoft 365

Управление рисками на основе инсайдерской информации — это решение Microsoft 365, которое помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать и действовать при вредоносных и непреднамеренных действиях в вашей организации. Политики инсайдерской политики риска позволяют определить типы рисков для выявления и обнаружения в организации, включая действия по случаям и эскалации случаев в Корпорацию Майкрософт Advanced eDiscovery при необходимости. Аналитики рисков в организации могут быстро принять соответствующие меры, чтобы убедиться, что пользователи соответствуют стандартам соответствия требованиям организации.

Просмотрите ниже видео, чтобы узнать, как управление рисками изнутри может помочь вашей организации предотвращать, обнаруживать и содержать риски, при этом приоритизируя значения организации, культуру и пользовательский опыт:

Решение по управлению рисками & разработки:


Рабочий процесс управления рисками, связанный с инсайдерской деятельностью:

Современные точки боли риска

Управление рисками и минимизация рисков в организации начинается с понимания типов рисков, с которыми можно столкнуться на современном рабочем месте. Некоторые риски обусловлены внешними событиями и факторами, которые находятся вне прямого контроля. Другие риски обусловлены внутренними событиями и действиями пользователей, которые можно свести к минимуму и избежать. Некоторые примеры — это риски незаконного, ненадлежащего, несанкционированного или неэтичного поведения и действий пользователей в вашей организации. Эти действия включают широкий диапазон внутренних рисков от пользователей:

  • Утечка конфиденциальных данных, разглашение данных
  • Нарушения конфиденциальности
  • Кража интеллектуальной собственности
  • Мошенничество
  • Инсайдерская торговля
  • Нарушения нормативных требований

Пользователи на современном рабочем месте имеют доступ к созданию, управлению и совместному доступу к данным в широком спектре платформ и служб. В большинстве случаев организации имеют ограниченные ресурсы и средства для выявления и смягчения рисков для всей организации, а также для обеспечения стандартов конфиденциальности пользователей.

Управление рисками в инсайдерской области использует всю ширину службы и трехсторонние индикаторы, чтобы помочь вам быстро выявлять, выявлять и действовать в области активности риска. С помощью журналов из Microsoft 365 и Microsoft Graph управление рисками позволяет определять конкретные политики для определения индикаторов риска. Эти политики позволяют выявлять рискованные действия и действовать для снижения этих рисков.

Управление рисками на основе инсайдерской оценки в центре вокруг следующих принципов:

  • Прозрачность. Баланс конфиденциальности пользователей и риск организации с архитектурой конфиденциальности по проекту.
  • Настраиваемые: настраиваемые политики, основанные на отраслевых, географических и бизнес-группах.
  • Интегрированный: интегрированный рабочий процесс в Microsoft 365 решениях по обеспечению соответствия требованиям.
  • Actionable: Предоставляет сведения, позволяющие включить уведомления рецензента, исследования данных и исследования пользователей.

Определение потенциальных рисков с помощью аналитики (предварительный просмотр)

Аналитика внутренних рисков позволяет проводить оценку потенциальных внутренних рисков в организации без настройки каких-либо политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области с более высоким риском для пользователей и определить тип и область политик управления внутренними рисками, которую можно настроить. Эта оценка также может помочь вам определить потребности в дополнительном лицензировании или будущей оптимизации существующих политик риска для инсайдеров.

Дополнительные данные о инсайдерской аналитике рисков см. в дополнительных параметрах управления рисками insider: Analytics.

Если вы впервые настраиваете управление рисками изнутри или начинаете работу с созданием новых политик, новый опыт рекомендуемых действий поможет вам использовать возможности управления рисками изнутри. Рекомендуемые действия включают настройку разрешений, выбор индикаторов политики, создание политики и другие.

Рабочий процесс

Рабочий процесс управления рисками, связанный с инсайдерской деятельностью, помогает выявлять, исследовать и принимать меры для устранения внутренних рисков в организации. С помощью сфокусированных шаблонов политики, комплексного сигнала о Microsoft 365 службы и средств управления оповещениями и случаями можно использовать анализ действий для быстрого выявления и принятия мер по рискованному поведению.

Для управления инсайдерскими рисками, выявления и устранения таких рисков и несоответствий требованиям в Microsoft 365 используется следующий рабочий процесс:

Рабочий процесс управления рисками, связанный с инсайдерской деятельностью.

Политики

Политики управления рисками для инсайдеров создаются с использованием заранее определенных шаблонов и условий политики, определяющих, какие события и индикаторы риска рассматриваются в организации. Эти условия включают в себя то, как используются индикаторы риска для оповещений, какие пользователи включены в политику, какие службы приоритизированы, и период времени мониторинга.

Вы можете выбрать из следующих шаблонов политики, чтобы быстро начать работу с управлением рисками изнутри:

Панель мониторинга политики управления рисками для инсайдеров.

Оповещения

Оповещения автоматически генерируются индикаторами риска, которые соответствуют условиям политики и отображаются на панели оповещений. Эта панель позволяет быстро просматривать все оповещения, которые требуют проверки, анализировать оповещения в динамике и просматривать статистику оповещений в организации. Все оповещения политики отображаются с помощью следующих сведений, которые помогут быстро определить состояние существующих оповещений и новых оповещений, которые требуют действий:

  • Статус
  • Severity
  • Время, обнаружено
  • Дело
  • Состояние дела

Панель оповещений об управлении рисками изнутри.

Triage

Новые действия пользователей, которые нуждаются в расследовании, автоматически генерируют оповещения, которые назначены статусу проверки потребностей. Рецензенты могут быстро идентифицировать и просмотреть, оценить и просмотреть эти оповещения.

Можно открыть на основе оповещения новое дело, отнести оповещение к уже существующему делу или просто закрыть оповещение. С помощью фильтров оповещений можно быстро определить оповещений по статусу, серьезности или времени обнаружения. В рамках процесса проверки рецензенты могут просматривать сведения о оповещениях о действиях, выявленных политикой, просматривать действия пользователей, связанные с соответствием политики, видеть серьезность оповещения и просматривать сведения о профиле пользователя.

Триадж по управлению рисками в инсайдерской области.

Исследование

Быстро изучите все действия для выбранного пользователя с отчетами о действиях пользователя (предварительный просмотр). Эти отчеты позволяют следователям в вашей организации проверять действия определенных пользователей в течение определенного периода времени, не назначая их временно или явно политике управления рисками. После изучения действий для пользователя следователи могут отклонять отдельные действия как доброкачественные, делиться или отправлять ссылку на отчет с другими следователями или назначать пользователя временно или явно в политику управления рисками.

Создаются случаи для оповещений, которые требуют более глубокого анализа и исследования сведений о действиях и обстоятельств, окружающих соответствие политике. Панель Дела содержит представление всех активных дел, позволяет отслеживать динамику открытых и соответствующую статистику по организации. Рецензенты могут быстро фильтровать дела по статусу, дате открытия дела и дате последнего обновления дела.

При выборе дела на панели мониторинга оно открывается для исследования и проверки. Этот шаг является сердцем рабочего процесса управления рисками изнутри. В этой области действия риска, условия политики, сведения об оповещении и сведения о пользователях синтезируются в интегрированном представлении для рецензентов. Основными средствами исследования в этой области являются:

  • Активность пользователя. Активность пользователя автоматически отображается на интерактивной диаграмме, которая со временем отображает действия и уровень риска для текущих или прошлых действий с риском. Рецензенты могут быстро фильтровать и просматривать всю историю рисков для пользователя и сверлить конкретные действия для получения дополнительных сведений.
  • Обозреватель контента. Все файлы данных и сообщения электронной почты, связанные с действиями оповещений, автоматически захватываются и отображаются в проводнике контента. Рецензенты могут фильтровать и просматривать файлы и сообщения с помощью источника данных, типа файла, тегов, беседы и многих других атрибутов.
  • Примечания к делу. Рецензенты могут предоставлять заметки для дела в разделе Примечания к делу. Этот список объединяет все заметки в центральном представлении и включает сведения о рецензенте и дате отправки.

Исследование по управлению рисками изнутри.

Кроме того, новый журнал аудита (предварительный просмотр) позволяет вам оставаться в курсе действий, принятых на инсайдерской функции управления рисками. Этот ресурс позволяет независимо проанализировать действия пользователей, которые были назначены одной или более группам ролей управления рисками.

Action

После расследования случаев рецензенты могут быстро действовать для разрешения этого случая или совместной работы с другими заинтересованными сторонами риска в вашей организации. Если пользователи случайно или непреднамеренно нарушают условия политики, пользователю может быть отправлено простое уведомление из шаблонов уведомлений, которые можно настроить для вашей организации. Эти уведомления могут служить простыми напоминаниями или направлять пользователя на обучение или руководство по обновлению, чтобы предотвратить дальнейшее рискованное поведение. Дополнительные сведения см. в описании шаблонов уведомлений для управления внутренними рисками.

В более серьезных ситуациях может потребоваться поделиться сведениями об управлении рисками изнутри с другими рецензентами или службами в вашей организации. Управление рисками изнутри тесно интегрировано с другими Microsoft 365 решениями по обеспечению соответствия требованиям, чтобы помочь вам с комплексным разрешением рисков.

  • Advanced eDiscovery: Эскалация дела для расследования позволяет передавать данные и управление случаем для Advanced eDiscovery в Microsoft 365. В Advanced eDiscovery имеется комплексный рабочий процесс для сохранения, сбора, проверки, анализа и экспорта контента, который необходим для внутренних и внешних исследований, проводимых в вашей организации. Кроме того, эта функция позволяет юридическим отделам управлять всем рабочим процессом уведомления об удержании по юридическим причинам. Дополнительные сведения о делах Advanced eDiscovery см. в статье Обзор Advanced eDiscovery в Microsoft 365.
  • Office 365 интеграция API управления (предварительная версия). Управление рисками insider поддерживает экспорт сведений оповещений в службы управления безопасностью и управления событиями (SIEM) через API Office 365 управления. Доступ к оповещению на платформе наилучшим образом соответствует процессам риска вашей организации, что позволяет более гибко действовать в области действий, связанных с рисками. Дополнительные сведения об экспорте оповещений с Office 365 API управления см. в дополнительных сведениях об экспорте оповещений.

Примечание

Благодарим вас за отзывы и поддержку во время предварительного просмотра соединиттеля ServiceNow. 30 ноября 2020 г. мы решили прекратить предварительную версию соединитетеля ServiceNow и прекратить поддержку в управлении рисками изнутри. Мы активно оцениваем альтернативные методы предоставления клиентам интеграции ServiceNow в области управления рисками.

Сценарии

Управление рисками изнутри может помочь вам обнаружить, изучить и принять меры для смягчения внутренних рисков в организации в нескольких распространенных сценариях:

Кража данных уходящими пользователями

Когда пользователи покидают организацию добровольно или в результате прекращения, часто существуют законные опасения, что данные компании, клиента и пользователей находятся под угрозой. Пользователи могут безобидно предполагать, что данные проекта несвободны, или у них может возникнуть соблазн взять данные компании для личной выгоды и в нарушение политики и юридических стандартов компании. Политики управления рисками, которые используют кражу данных, отступая от шаблона политики пользователей, автоматически обнаруживают действия, обычно связанные с этим типом кражи. С помощью этой политики вы автоматически будете получать оповещения о подозрительных действиях, связанных с кражей данных, отправляя пользователей, чтобы вы могли принимать соответствующие следственные действия. Для этого шаблона политики необходимо настроить Microsoft 365 hr-соединитетеля для организации.

Преднамеренные или непреднамеренные утечки конфиденциальной или конфиденциальной информации

В большинстве случаев пользователи стараются правильно обрабатывать конфиденциальную или конфиденциальную информацию. Но иногда пользователи могут ошибаться, и информация случайно передается за пределы организации или нарушает ваши политики защиты информации. В других случаях пользователи могут намеренно утечек или обмена конфиденциальной и конфиденциальной информацией с вредоносным намерением и для потенциальной личной выгоды. Политики управления рисками, созданные с помощью следующих шаблонов политики утечки данных, автоматически обнаруживают действия, обычно связанные с обменом конфиденциальной или конфиденциальной информацией:

Преднамеренные или непреднамеренные нарушения политики безопасности (предварительный просмотр)

Пользователи обычно имеют большой уровень управления при управлении своими устройствами на современном рабочем месте. Этот контроль может включать разрешения на установку или разгрузку приложений, необходимых для выполнения их обязанностей, или возможность временно отключить функции безопасности устройств. Независимо от того, является ли это действие непреднамеренным, случайным или вредоносным, это поведение может представлять опасность для вашей организации и важно идентифицировать и действовать, чтобы свести к минимуму. Чтобы улизать эти рискованные действия в области безопасности, в следующих шаблонах нарушений политики безопасности управления рисками изнутри засмеяны показатели риска безопасности и используются оповещения Microsoft Defender для endpoint для предоставления информации о действиях, связанных с безопасностью:

Политики для пользователей на основе позиции, уровня доступа или истории рисков (предварительный просмотр)

Пользователи в вашей организации могут иметь различные уровни риска в зависимости от их положения, уровня доступа к конфиденциальной информации или истории рисков. Эта структура может включать членов руководящей группы организации, ИТ-администраторов, которые имеют обширные привилегии доступа к данным и сети, или пользователей с прошлой историей рискованных действий. В этих условиях более тщательное обследование и более агрессивный подсчет рисков важны, чтобы помочь поверхностным оповещениям для расследования и быстрого действия. Чтобы определить рискованные действия для этих типов пользователей, можно создать приоритетные группы пользователей и создать политики из следующих шаблонов политики:

Действия и поведение недовольных пользователей (предварительный просмотр)

При работе подчеркивается, что события могут повлиять на поведение пользователей несколькими способами, которые связаны с рисками, которые связаны с инсайдерской деятельностью. Эти стрессоры могут быть плохим обзором производительности, понижением позиции или размещением пользователя в плане проверки производительности. Несмотря на то, что большинство пользователей не реагируют на эти события злонамеренными действиями, стресс этих действий может привести к действию некоторых пользователей, которые они обычно не считают в обычных условиях. Чтобы уликнуть эти типы рискованных действий, в следующих шаблонах политики управления рисками для инсайдеров используется Microsoft 365 hr-соединителя и начинается подсчет показателей риска, связанных с поведением, которое может возникать вблизи событий стрессора занятости:

Готовы приступить к работе?

  • См. в рубрике План управления рисками для инсайдеров, чтобы подготовиться к в том, чтобы включить политики управления рисками в организации.
  • См. в рубрике Начало работы с настройками управления рисками изнутри, чтобы настроить глобальные параметры для политики инсайдерского риска.
  • См. в рубрике Начало работы с управлением рисками изнутри для настройки необходимых условий, создания политик и получения оповещений.