調查有問必答風險管理活動

調查危險的使用者活動是最小化貴組織的有問必答風險的第一個重要步驟。 這些風險可能是產生來自「內幕風險管理」原則之警示的活動,或是由原則偵測到之活動的風險,但不會立即為使用者建立內部使用者風險管理提醒。 您可以使用 使用者活動報告 (預覽) 或使用 警示儀表板,調查這些類型的活動。

使用者活動報告 (預覽)

使用者活動報告可讓您在定義的時段內,檢查特定使用者的活動,而不必將其暫時或明確指派給「內幕風險管理」原則。 在大部分的風險管理案例中,使用者會明確定義在原則中,而且它們可能會 (,取決於觸發事件) 與活動相關聯的風險分數。 但在某些情況下,您可能會想要檢查未明確定義原則中之使用者的活動。 這些活動可能是針對您收到使用者和潛在風險活動相關提示的使用者,或是一般不需要指派給內幕風險管理原則的使用者。

在「內幕風險管理」設定 頁面上設定指示器之後,會偵測到與所選指示器相關聯之危險活動的使用者活動。 您不需要設定使用者活動報告的原則,即可偵測組織中的使用者並舉報有風險的活動。 包含在使用者活動報告中的活動不需要觸發事件來顯示活動。 這種設定表示,不論使用者是否有觸發事件或會產生警示,都可以查看使用者所有偵測到的活動。 報表是以每位使用者為基礎建立,而且可以包含自訂90天期間的所有活動。 同一個使用者的多個報表不受支援。

檢查使用者的活動之後,調查人員可以以良性方式解除個別活動,共用或透過電子郵件傳送報告的連結與其他調查人員,或是選擇暫時或明確指派給「內幕風險管理」原則的使用者。 使用者必須被指派給「 內幕風險管理調查 人員」角色群組,以查看 [ 使用者活動報告 ] 頁面。

有問必答風險管理使用者活動報告概述。

您可以在「內幕員工風險管理 概述」頁面上的 [調查使用者活動] 區段中,選取 [管理報告] 開始。 若要查看使用者的活動,請先選取 [ 建立使用者活動報告 ],然後在 [ 新增使用者活動報告 ] 窗格中完成下欄欄位:

  • 使用者:依名稱或電子郵件地址搜尋使用者
  • 開始日期:使用 [行事曆] 控制項來選取使用者活動的開始日期。
  • 結束日期:使用 [行事曆] 控制項來選取結束日期的使用者活動。 選取的結束日期必須大於從選取的開始日期的兩天后的兩天,且不得超過90天。 新的報表通常需要10個小時,才可供審閱。 當報告準備好時,您會在 [使用者活動報告] 頁面上的 [狀態] 欄中看到 [報告已就緒]。 選取要查看詳細報告的使用者:

有問必答風險管理使用者活動報告。

所選使用者的 使用者活動報告 包含 使用者活動活動瀏覽器 索引標籤:

  • 使用者活動:使用此圖表視圖調查活動,並查看順序中發生的潛在活動。 此索引標籤可讓您快速查看案例,包括所有活動的歷史時程表、活動詳細資料、案例中使用者目前的風險評分、風險事件的順序,以及可協助調查工作的篩選控制項。
  • 活動瀏覽器: [ 活動流覽 ] 索引標籤會提供風險調查人員,其完整的分析工具可提供活動的詳細資訊。 透過活動瀏覽器,檢閱者可以快速查看偵測到風險的啟用時間表,並識別及篩選與提醒相關聯的所有風險活動。 若要深入瞭解使用活動瀏覽器,請參閱本文稍後的 [ 活動流覽 ] 區段。

警示儀表板

內部風險管理警示是由內部風險管理原則中定義的風險指示器自動產生。 這些警示為合規性分析師和調查人員提供目前風險狀態的完整檢視,並允許貴組織將發現的風險加以分類並採取行動。 根據預設,原則會產生一定數量的低、中和高嚴重性警示,但是您可以 增加或減少警示量 以符合您的需求。 此外,您可以在使用原則建立工具建立新的原則時,設定 原則指示器的警示閾值

查看「 內部使用者風險管理」診斷程式的體驗影片影片 ,瞭解提醒如何針對危險的活動提供詳細資料、內容和相關內容,以及如何讓調查程式更有效率。

「內部使用者風險 警示」儀表板 可讓您查看並處理由內部使用者風險原則所產生的警示。 每個報告構件會顯示過去30天的資訊。

  • 需要檢查的警示總數:會列出需要複查及會審的警示總數,包括依警示嚴重性的分解。
  • 過去30天開啟的警示:原則比對過去30天所建立的警示總數,依高、中和低警示嚴重性層級排序。
  • 解決提醒的平均時間:有用警示統計資料的摘要:
    • 解決高嚴重性警示的平均時間,以小時、天或月列出。
    • 解決中嚴重性警示的平均時間,以小時、天或月列出。
    • 解決低嚴重性警示的平均時間,以小時、天或月列出。

有問必答風險管理提醒儀表板。

注意

內部風險管理使用內建警示節流,協助保護和最佳化您的風險調查與檢閱體驗。 此節流可防範可能導致超原則警示的問題,例如錯誤的資料連線器或 DLP 原則。 因此,系統可能會延遲顯示使用者的新警示。

警示狀態和嚴重性

您可以將提醒分為下列其中一種狀態:

  • 確認:已確認並指派給新的或現有案例的警示。
  • 消除:在會審程式中,警示被視為良性。
  • 需要檢查:尚未採取會審動作的新警示。
  • 已解決:屬於封閉式和已解決案例一部分的警示。

警示風險分數會從數個風險活動指示器自動計算。 這些指示因素包括風險活動類型、活動發生的數量與頻率、使用者風險活動的記錄,以及可能會提升活動 seriousness 的活動風險。 警示風險分數會以程式設計方式指派每個警示的風險嚴重性等級,且無法自訂。 如果警示仍未會審,且風險活動持續計入警示,風險嚴重性層級可能會增加。 風險分析人員和調查人員可以使用警示風險嚴重性,根據組織的風險原則及標準,協助會審警示。

警示風險嚴重性層級如下:

  • 高嚴重性:警示的活動和指示器會帶來重大的風險。 相關的風險活動對其他重要風險因素是嚴重、重複性和 corelate。
  • 中度嚴重性:警示的活動和指示器會帶來中等風險。 相關聯的風險活動為中度、頻繁,且與其他風險因素有一些相關。
  • 低嚴重性:警示的活動和指示器會帶來輕微的風險。 相關的風險活動是次要的,較不經常的,而且不會 corelate 到其他重要的風險因素。

在警示儀表板上篩選警示

根據貴組織中使用中內部風險管理原則的數量和類型,檢閱大量警示佇列可能會是一項挑戰。 使用警示篩選可協助分析員和調查人員依數個屬性排序警示。 若要在 [ 提醒] 儀表板 上篩選警示,請選取 篩選 控制項。 您可以透過一或多個屬性來篩選警示:

  • 狀態:選取一個或多個狀態值以篩選警示清單。 選項包括 已確認已解除需要檢閱 以及 已解決
  • 嚴重性:選取一或多個警示風險的嚴重性等級以篩選警示清單。 選項包括
  • 偵測 到的時間:選取建立警示的開始和結束日期。 此篩選器會在 [開始日期] 和 [UTC 00:00] 的 [結束日期] 中,搜尋 UTC 00:00 之間的警示。 若要篩選特定天的提醒,請在 [ 開始日期 ] 欄位中輸入該天的日期,然後在 [ 結束日期 ] 欄位中輸入下一天的日期。
  • 原則:選取一個或多個原則,以篩選所選取原則所產生的警示。

警示儀表板上的搜尋警示

若要搜尋特定字詞的警示名稱,請選取 搜尋 控制項,然後輸入要搜尋的字詞。 搜尋結果會顯示任何包含搜尋中定義之文字的規則警示。

關閉多個提醒 (預覽)

它可能會協助分析員和調查人員的儲存會審時間,立即立即解除多個提醒。 「 消除警示 」命令列選項可讓您在儀表板上選取一個或多個具有「 需要複查 」狀態的警示,並在您的 [會審] 程式中快速取消這些警示為良性。 您最多可以選擇400個要關閉的警示。

若要解除「內幕風險警示」,請完成下列步驟:

  1. Microsoft 365 合規性中心中,移至 [有問必答風險管理],然後選取 [警示] 索引標籤。
  2. 在 [ 警示] 儀表板 上,選取 [警示 (] 或 [警示]) 具有您想要消除的 需求檢查 狀態。
  3. 在 [警示] 命令列上,選取 [ 消除警示]。
  4. 您可以在 [ 解除提醒 詳細資料] 窗格中,複查與所選警示相關聯的使用者和原則詳細資料。
  5. 選取 [ 消除提醒 ],將警示解析為良性,或選取 [ 取消 ] 關閉詳細資料窗格,而不關閉提醒。

會審警示

若要會審「內幕人員風險警示」,請完成下列步驟:

  1. Microsoft 365 合規性中心中,移至 [有問必答風險管理],然後選取 [警示] 索引標籤。

  2. 在 [ 警示] 儀表板 上,選取您要會審的警示。

  3. 在 [ 警示詳細資料 ] 頁面上,您可以查看有關警示的資訊,並可確認警示並建立新的案例、確認警示並新增至現有的案例,或是解除警示。 此頁面也包含警示的目前狀態及警示風險嚴重性層級,列為 [高]、[中] 或 [低]。 如果未對警示進行會審,嚴重性層級可能會隨著時間而增加或減少。

    [ 警示詳細資料 ] 頁面上的索引標籤可提供警示的詳細資訊:

    • 摘要:此索引標籤包含有關警示的一般資訊。
      • 觸發事件的情況為何?:顯示最近觸發的事件,該事件會提示原則開始指派風險分數給使用者的活動。
      • 產生此警示的活動:顯示事件評估期間中的主要風險活動和原則相符專案,以導致產生警示。
      • 此警示中的活動風險洞察力:顯示警示的風險深入瞭解數目。 例如,如果警示包含順序活動、累積 exfiltration 活動風險、包含 unallowed 網域之事件的活動、包含優先順序內容的事件,或是使用者不尋常的活動,則為其他範例。
      • 使用者詳細資料:顯示指派給警示之使用者的一般資訊。 如果啟用匿名,則會匿名使用者名稱、電子郵件地址、別名和組織欄位。
      • 警示詳細資料:包括從警示產生起的時間長度,會列出產生警示的原則,並會列出從警示產生的案例。 若為新的提醒, 案例 欄位會顯示 None。
      • 偵測 到內容:包括與警示之風險活動相關聯的內容,並依重要區域匯總活動事件。 選取 [活動] 連結會開啟活動瀏覽器,並顯示活動的詳細資料。
    • 活動瀏覽器:此索引標籤會開啟 活動瀏覽器。 如需詳細資訊,請參閱本文的下一節。

活動總管

注意

在您的組織中使用此功能之後,可在 [警示管理] 區域中取得活動瀏覽器,以取得觸發事件的使用者。

活動瀏覽器會提供風險調查工具和分析員,其具有完整的分析工具,提供有關提醒的詳細資訊。 透過活動瀏覽器,檢閱者可以快速查看偵測到風險的啟用時間表,並識別及篩選與提醒相關聯的所有風險活動。

若要在活動瀏覽器上篩選資料行資訊的提醒,請選取篩選控制項。 您可以根據警示的詳細資料窗格中列出的一個或多個屬性來篩選警示。 活動瀏覽器也支援可自訂的資料行,協助調查人員和分析人員著重于最重要資訊的儀表板。

使用活動範圍和風險洞察力篩選,以顯示及排序下列方面的活動和洞察力。

  • 活動範圍篩選:篩選使用者的所有計分活動。

    • 此使用者的所有計分活動
    • 只有在此警示中計分的活動
  • 風險洞察力篩選:針對指派風險分數的所有原則,篩選適用的活動。

    • 累計 exfiltration 活動
    • 包含優先順序內容的事件
    • 包含 unallowed 網域的事件
    • 順序活動
    • 不尋常的活動

有問必答風險管理活動瀏覽器概述。

若要使用 活動瀏覽器,請完成下列步驟:

  1. Microsoft 365 合規性中心中,移至 [有問必答風險管理],然後選取 [警示] 索引標籤。
  2. 在 [ 警示] 儀表板 上,選取您要會審的警示。
  3. 在 [ 警示詳細資料] 窗格 中,選取 [ 開啟展開的視圖]。
  4. 在選取之警示的頁面上,選取 [ 活動流覽 ] 索引標籤。

在 [活動瀏覽器] 中查看活動時,調查人員和分析員可以選取特定的活動,並開啟 [活動詳細資料] 窗格。 此窗格會顯示調查人員和分析員在警示分析程式中所能使用之活動的詳細資訊。 詳細資訊可能會提供警示的內容,並協助識別觸發警示之風險活動的完整範圍。

從啟用時間表中選取活動的事件時,在瀏覽器中顯示的活動數目可能不符合時程表中所列的活動事件數目。 此差異可能發生的原因範例:

  • 累計 exfiltration 偵測:「累計 exfiltration 偵測」會分析事件記錄檔,但會套用一個模型,其中包含重複複製的類似活動,以計算累計 exfiltration 風險。 此外,如果您已變更現有的原則或設定,則活動瀏覽器中顯示的活動數量也可能會有不同。 例如,如果您在建立原則之後,修改允許的/unallowed 網域,或新增新的檔案類型排除項,則累計 exfiltration 偵測活動會與原則或設定變更之前的結果不同。 累計 exfiltration 偵測活動總計是以在進行計算時的原則和設定設定為基礎,而且在原則和設定變更之前不包括活動
  • 電子郵件至外部 收件者:傳送給外部收件者的電子郵件活動會根據傳送的電子郵件數目(可能不符合活動事件記錄檔),指派風險評分。

有問必答風險管理活動瀏覽器詳細資料。

建立提醒案例

當警示經過評審及會審時,您可以建立新案例以進一步調查風險活動。 若要建立警示案例,請遵循下列步驟:

  1. Microsoft 365 合規性中心中,移至 [有問必答風險管理],然後選取 [警示] 索引標籤。
  2. 在 [ 警示] 儀表板 上,選取您要確認的警示,並建立新的案例。
  3. 在 [警示詳細資料] 窗格 中,選取 [動作 > 確認警示] & 建立案例]。
  4. 在 [ 確認警示及建立內部使用者風險案例 ] 對話方塊中,輸入案例的名稱,選取 [要新增為參與者的使用者],然後新增批註(如適用)。 批註會自動新增到案例中,做為案例備註。
  5. 選取 [ 建立案例 ] 以建立新案例,或選取 [ 取消 ] 關閉對話方塊,而不建立案例。

在建立案例之後,調查人員和分析人員可以管理和操作案例。 如需詳細資訊,請參閱 內部的風險管理案例 文章。

取得有關管理您的有問必答風險警示佇列的說明

在您的組織中檢查、調查和採取行動,是最小化內部使用者風險的重要部分。 快速採取行動,將這些風險的影響降至最低,可能會為您的組織節省時間、金錢,以及法規或合法性。 在此修正程式中,檢查警示的第一個步驟似乎似乎是許多分析師和調查人員最困難的工作。 視您的情況而定,當作用中的「有問必答風險警示」時,您可能會面臨一些細微的困難。 請參閱下列建議,並瞭解如何優化警示檢查程式。

太多要審閱的提醒

當您的有問必答風險管理原則所產生的警示數量變得很令人沮喪時,可能會令人感到不知所措。 根據您所收到的警示數量類型而定,可快速處理警示數目。 您可能會收到太多的有效警示,或有太多陳舊的低風險警示。 請考慮採取下列動作:

  • 調整您的有問必答風險原則:選取及設定正確的內幕郵件原則是最基本的方法,用來處理警示類型及數量。 從適當的 原則範本 開始,可協助您瞭解所看到的風險活動類型及警示。 其他可能影響警示量的因素,是範圍內使用者和群組的大小,以及 已設定優先順序的內容及通道。 請考慮調整原則,以將這些區域調整為組織最重要的功能。
  • 修改您的內部網站風險設定:「內幕人員風險設定」包括多種設定選項,可影響大量的設定選項,以及您將會收到的警示類型。 包括 原則指標、 指示器閾值原則時段的設定。 請考慮設定 智慧 偵測選項,以排除特定的檔案類型、定義您的原則報告活動警示之前的最低閾值,以及將警示音量設定變更為較低的設定。
  • 在適用的情況下大量刪除警示:這可能會協助您的分析人員和調查人員儲存會審時間,以便立即 關閉多個提醒 。 您最多可以選擇400個要關閉的警示。

不熟悉警示會審過程

在內幕人士風險管理中,調查和作用中的警示很簡單:

  1. 檢查 警示儀表板 中是否有 [需要複查] 狀態的警示。 如有需要,請依照警示 狀態 進行 篩選,以協助找出這些類型的警示。
  2. 從最高嚴重性的警示開始。 如有需要,依警示 嚴重性 進行 篩選,以協助找出這些類型的警示。
  3. 選取警示以探索詳細資訊,並查看警示詳細資料。 如有需要,請使用 活動瀏覽器 來複查相關風險行為的時程表,並識別警示的所有風險活動。
  4. 對警示採取動作。 您可以確認並建立警示的 案例 ,或是消除並解決警示。

組織中的資源限制

新式的辦公使用者常常會有各種各樣的責任和需求。 您可以採取數項動作協助解決資源限制:

  • 先將分析人員和調查人員重點放在最高風險警示上。 視您的原則而定,您可能會使用不同程度的潛在影響程度來捕獲活動和產生警示,以降低風險。 依嚴重性 篩選警示及優先順序 高嚴重性 警示。
  • 將使用者指派為分析員和調查人員。 將正確的使用者指派給適當的角色是「有問必答風險警示檢查」程式的重要部分。 請確定您已將適當的使用者指派給「 有問必答風險管理分析師 」和「 內部使用者風險管理調查 人員」角色群組。
  • 使用自動化的內幕風險功能,協助探索最高風險的活動。 「內部使用者風險管理 順序偵測 」和「 累計 exfiltration 偵測 」功能可協助您快速探索,以找出您組織中的風險。 請考慮對您的原則進行微調,以微調您的 風險分數 boosters檔案類型排除網域和最低 指示器閾值設定