Поделиться через

Тонкая настройка исключений в управлении внутренними рисками путем создания групп обнаружения и вариантов встроенных индикаторов (предварительная версия)

  • Статья

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Управление внутренними рисками Microsoft Purview предлагает десятки готовых к использованию индикаторов. Но обнаружение внутренних рисков не может быть универсальным решением для всех пользователей в организации. Вы можете использовать параметр Глобальные исключения в политиках управления внутренними рисками, чтобы глобально исключить определенные действия из оценки политиками. Но эти исключения применяются ко всем триггерам и индикаторам для всех политик, создаваемых в клиенте. С помощью групп и вариантов обнаружения можно изменять встроенные индикаторы внутренних рисков и настраивать обнаружения для разных наборов пользователей. Например, чтобы уменьшить количество ложных срабатываний для действий электронной почты, можно создать вариант встроенного индикатора Отправки сообщений электронной почты с вложениями получателям за пределами организации , чтобы обнаруживать только сообщения электронной почты, отправленные в личные домены.

Общий процесс создания группы обнаружения и ее использования вместе со встроенным вариантом индикатора

Создание группы обнаружения и ее использование вместе с вариантом включает четыре шага:

  1. Создайте группу обнаружения , как описано в этой статье. Вы выберете эту группу обнаружения при создании варианта.
  2. Создайте вариант.
  3. Используйте вариант в новой или существующей политике.
  4. Просмотрите оповещения, связанные с действиями, указанными в варианте .

Создание группы обнаружения

Чтобы создать вариант встроенного индикатора, начните с создания группы обнаружения. Группа обнаружения помогает ограничить область встроенного индикатора, чтобы сосредоточиться на важных для вашей организации действиях.

Каждый индикатор политики включает определенные типы обнаружения, применимые к такому индикатору. Например, для индикатора Предоставления общего доступа к файлам SharePoint пользователям за пределами организации одним из типов обнаружения являются домены. Когда вы предоставляете общий доступ к файлу SharePoint, вы выбираете домен для предоставления общего доступа к файлу. Не все индикаторы имеют одинаковые типы обнаружения. Например, домены — это тип обнаружения индикатора "Общий доступ к файлам SharePoint с людьми за пределами организации ", но он не относится к типу обнаружения индикатора "Создание или копирование файлов в USB ", так как в этом случае он не применяется.

Управление внутренними рисками в настоящее время поддерживает семь типов обнаружения:

  • Домены
  • Пути к файлу
  • Типы файлов
  • Ключевые слова
  • Типы конфиденциальной информации
  • Сайты SharePoint
  • Обучаемые классификаторы

Совет

При создании группы обнаружения можно просмотреть все применимые индикаторы для конкретного обнаружения, щелкнув ссылку Просмотреть применимые индикаторы во вводном тексте для типа группы.

В следующих процедурах показано, как создать группу обнаружения для каждого типа группы.

Создание группы обнаружения доменов

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).

  2. На панели справа в разделе Тип выберите Домены.

  3. На панели справа выберите Создать группу доменов.

  4. В области Новая группа домена добавьте имя группы (или примите предложенное имя) и описание (необязательно).

  5. В поле Добавление доменов введите домен и нажмите клавишу ВВОД. Продолжайте добавлять другие домены таким же образом или, если у вас есть длинный список доменов, которые нужно добавить, вы можете импортировать их как CSV-файл, выбрав Импорт доменов из CSV-файла. Добавленные домены перечислены в нижней части панели. Можно создать до 10 групп обнаружения доменов, каждая из которых может содержать до 200 элементов.

    Примечание.

    Чтобы указать многоуровневые поддомены для корневого домена, установите флажок Включить многоуровневые поддомены , добавьте домен и нажмите клавишу ВВОД, чтобы добавить домен в список. Все поддомены, включенные в этот домен, будут включены. Повторите тот же процесс, чтобы добавить дополнительные домены, а затем выберите Добавить домены , когда все будет готово.

    Совет

    Вы можете использовать подстановочные знаки для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com" для сопоставления этих поддоменов (и любого другого поддомена на том же уровне).

  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

Как группа доменов бесплатных общедоступных доменов обнаруживает кражу бизнес-данных в личные домены электронной почты

Группа обнаружения доменов включает специальную группу доменов с именем Бесплатные общедоступные домены , которая состоит из списка бесплатных поставщиков электронной почты (например, gmail.com или yahoo.com), которые можно использовать для создания личного идентификатора электронной почты. Этот список используется для автоматического выделения кражи бизнес-данных в личные домены электронной почты для анализа электронной почты на вкладках User Activity (Действия пользователей) и Activity Explorer (Обозреватель действий). В аналитических сведениях указано количество сообщений электронной почты, отправленных в бесплатные общедоступные домены пользователем в области. Список также используется для алгоритма, который идентифицирует электронную почту, отправленную самостоятельно (отправленную в личную учетную запись электронной почты пользователя в области). В аналитических сведениях по электронной почте указано количество писем, отправленных самому себе.

Сообщения электронной почты для управления внутренними рисками для личного кражи электронной почты

Вы можете использовать эту встроенную группу доменов, как и любую другую группу доменов, чтобы создать вариант встроенного индикатора для политик. Эта группа доменов применима только к индикатору Отправка сообщений электронной почты с вложениями получателям за пределами организации . В настоящее время вы не можете изменить или удалить группу бесплатных общедоступных доменов . Дополнительные сведения о создании варианта встроенного индикатора

Создание группы обнаружения путей к файлам

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Пути к файлам.
  3. На панели справа выберите Создать группу пути к файлу.
  4. В области Группа "Создать путь к файлу " добавьте имя группы (или примите предложенное имя) и описание (необязательно).
  5. Выберите Добавить пути к файлам, выберите пути к файлам, которые нужно исключить из оценки, а затем нажмите кнопку Добавить. Можно создать до 10 групп обнаружения пути к файлам, каждая из которых может содержать до 200 элементов.
  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения типов файлов

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Типы файлов.
  3. На панели справа выберите Создать группу типов файлов.
  4. В области Группа новый тип файла добавьте имя группы (или примите предложенное имя) и описание (необязательно).
  5. В поле Добавление типа файла введите расширение файла и нажмите клавишу ВВОД. Продолжайте добавлять расширения файлов таким же образом. Добавляемые расширения перечислены в нижней части панели. Можно создать до 10 групп обнаружения типов файлов, каждая из которых может содержать до 200 элементов.
  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения ключевых слов

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Ключевые слова.
  3. На панели справа выберите Создать группу ключевых слов.
  4. В области Новая группа ключевых слов добавьте имя группы (или примите предложенное имя) и описание (необязательно).
  5. В поле Добавить ключевые слова введите ключевое слово и нажмите клавишу ВВОД. Повторите этот процесс для каждого ключевого слова, которое нужно добавить. Ключевые слова, которые вы добавляете, перечислены в нижней части панели. Можно создать до 10 групп обнаружения ключевых слов, каждая из которых может содержать до 200 элементов.
  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения типов конфиденциальной информации

Примечание.

Список исключений типов конфиденциальной информации имеет приоритет над списком содержимого с приоритетом .

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Типы конфиденциальной информации.
  3. На панели справа выберите Создать группу типов конфиденциальной информации.
  4. В области Группа "Создать тип конфиденциальной информации " добавьте имя группы (или примите предложенное имя) и описание (необязательно).
  5. Выберите Добавить типы конфиденциальной информации, выберите типы конфиденциальной информации, которые нужно исключить из оценки, а затем нажмите кнопку Добавить. Можно создать до 10 групп типов конфиденциальной информации, каждая из которых может содержать до 200 элементов.
  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения сайтов SharePoint

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Сайты SharePoint.
  3. На панели справа выберите Создать группу сайтов SharePoint.
  4. В области Новая группа сайта SharePoint добавьте имя группы (или примите предложенное имя) и описание (необязательно).
  5. Выберите Добавить сайты, выберите сайты SharePoint, которые нужно исключить из оценки, а затем нажмите кнопку Добавить. Можно создать до 10 групп обнаружения сайтов SharePoint, каждая из которых может содержать до 200 элементов.
  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание обучаемой группы обнаружения классификатора

  1. В параметрах управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Обучаемые классификаторы.
  3. На панели справа выберите Создать группу обучаемых классификаторов.
  4. В области Новая группа обучаемых классификаторов добавьте имя группы (или примите предложенное имя) и описание (необязательно).
  5. Выберите Добавить обучаемые классификаторы, выберите обучаемые классификаторы, которые нужно исключить из оценки, а затем нажмите кнопку Добавить. Можно создать до 10 обучаемых групп обнаружения классификаторов, каждая из которых может содержать до 200 элементов.
  6. Выберите Сохранить. Вы увидите диалоговое окно Дальнейшие действия , в котором содержатся рекомендации по следующему шагу процесса, который включает в себя использование этой группы обнаружения в варианте.

См. также