调查内部风险管理活动

  • 项目

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

调查潜在风险的用户活动是最大程度地减少组织内部风险的重要第一步。 这些风险可能是从内部风险管理策略生成警报的活动。 它们也可能是策略检测到的合规性相关活动的风险,但不会立即为用户创建内部风险管理警报。 可以使用用户活动报告 (预览) 警报仪表板调查这些类型的活动。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

用户活动报告

用户活动报告允许你检查特定用户的潜在风险活动 (,并在定义的时间段内) ,而无需暂时或显式地将这些活动分配给内部风险管理策略。 在大多数内部风险管理方案中,用户是在策略中显式定义的,他们可能有策略警报 (,具体取决于触发事件) 以及与活动关联的风险分数。 但在某些情况下,你可能希望检查策略中未显式定义的用户的活动。 这些活动可能针对已收到有关用户和潜在风险活动的提示的用户,或者通常不需要分配到内部风险管理策略的用户。

在“内部风险管理 设置” 页上配置指标后,将检测到与所选指标关联的潜在风险活动的用户活动。 此配置意味着,无论用户是否具有触发事件或是否创建警报,所有检测到的用户活动都可供查看。 报表是按用户创建的,可以包括自定义 90 天期间的所有活动。 不支持同一用户的多个报表。

在检查潜在风险活动后,调查人员可以将单个用户的活动视为良性活动。 他们还可以与其他调查人员共享或通过电子邮件发送报表的链接,或选择将用户 (暂时或显式) 分配给内部风险管理策略。 必须将用户分配到 Insider Risk Management 调查员 角色组才能查看 “用户活动报告 ”页。

内部风险管理用户活动报告概述。

若要开始,请在内部风险管理概述页上的“调查用户活动”部分选择“管理报表”。

若要查看用户的活动,请先选择“ 创建用户活动报告 ”,并在“ 新建用户活动报告 ”窗格中完成以下字段:

  • 用户:按名称或电子邮件地址为用户搜索。
  • 开始日期:使用日历控件选择用户活动的开始日期。
  • 结束日期:使用日历控件选择用户活动的结束日期。 所选结束日期必须大于所选开始日期后的两天,且自所选开始日期起不超过 90 天。

注意

如果用户之前已包含在警报中,则可能会包含所选范围以外的数据。

用户活动数据可在活动发生后大约 48 小时报告。 例如,若要查看 12 月 1 日的用户活动数据,需要确保在创建报表之前至少经过 48 小时, (最早) 12 月 3 日创建报表。

新报表通常需要长达 10 小时才能准备好审阅。 报表准备就绪后, “报告就绪” 将显示在“用户活动报告”页上的 “状态 ”列中。 选择用户以查看详细报告:

内部风险管理用户活动报告

所选 用户的“用户活动”报表 包含“ 用户活动”、“ 活动资源管理器”和“ 取证证据 ”选项卡:

  • 用户活动:使用此图表视图可以调查潜在风险活动,并查看顺序中发生的潜在相关活动。 此选项卡的结构用于快速查看案例,包括所有活动的历史时间线、活动详细信息、案例中用户的当前风险分数、风险事件序列以及筛选控件,以帮助调查工作。
  • 活动资源管理器:此选项卡为风险调查人员提供全面的分析工具,该工具提供有关活动的详细信息。 使用活动资源管理器,审阅者可以快速查看检测到的风险活动的时间线,并识别和筛选与警报关联的所有潜在风险活动。 若要详细了解如何使用活动资源管理器,请参阅本文后面的 活动资源管理器 部分。

警报仪表板

内部风险管理警报由内部风险管理策略中定义的风险指示器自动生成。 这些警报为合规性分析师和调查人员提供了当前风险状态的全方位视图,并允许组织对发现的潜在风险进行会审和采取操作。 默认情况下,策略会生成一定数量的低、中和高严重性警报,但你可以 根据需要增加或减少警报量 。 此外,在使用策略创建工具创建新策略时,可以为策略 指示器配置警报阈值

注意

对于生成的任何警报,内部风险管理会为每个用户生成一个聚合警报。 该用户的任何新见解将添加到同一警报。

查看 内部风险管理警报会审体验视频 ,大致了解警报如何为风险活动提供详细信息、上下文和相关内容,以及如何使调查过程更加有效。

注意

如果策略 由一个或多个管理单元限定,则只能看到所针对用户的警报。 例如,如果管理范围仅适用于德国的用户,则只能看到德国用户的警报。 不受限制的管理员可以查看组织中所有用户的所有警报。

通过内部风险警报仪表板,可以查看内部风险策略生成的警报并对其执行操作。 每个报表小组件显示过去 30 天的信息。

  • 需要评审的警报总数:列出了需要评审和会审的警报总数,包括按警报严重性划分的警报总数。
  • 过去 30 天的打开警报:策略创建的警报总数与过去 30 天匹配,按高、中和低警报严重性级别排序。
  • 解决警报的平均时间:有用警报统计信息的摘要:
    • 解决高严重性警报的平均时间,以小时、天或月列出。
    • 解决中等严重性警报的平均时间,以小时、天或月列出。
    • 解决低严重性警报的平均时间,以小时、天或月列出。

内部风险管理警报仪表板

注意

预览体验计划风险管理使用内置警报限制来帮助保护和优化风险调查和审阅体验。 此限制可防止可能导致策略警报过载的问题,例如错误配置的数据连接器或数据丢失防护策略。 因此,为用户显示新的警报可能会存在延迟。

警报状态和严重性

可以将警报会审为以下状态之一:

  • 已确认:已确认并分配给新案例或现有案例的警报。
  • 已消除:在会审过程中作为良性消除的警报。 你可以提供警报消除的原因,并包括用户警报历史记录中可用的注释,以便为将来的参考或其他审阅者提供其他上下文。 原因可能涉及预期活动、非实际事件、仅减少用户的警报活动数或与警报说明相关的原因。 原因分类选项包括 预期对此用户的活动活动的影响足以让我进一步调查,以及 此用户的警报包含过多活动
  • 需要评审:尚未执行会审操作的新警报。
  • 已解决:属于已关闭和已解决事例的警报。

警报风险分数是从多个风险活动指示器自动计算的。 这些指标包括风险活动类型、活动发生的次数和频率、用户风险活动的历史,以及可能提高潜在风险活动的严重性的活动风险的添加。 警报风险评分驱动每个警报的风险严重性级别的编程分配,无法自定义。 如果警报保持不变,并且风险活动继续累积到警报中,则风险严重性级别可能会增加。 风险分析师和调查人员可以使用警报风险严重性来帮助根据组织的风险策略和标准对警报进行会审。

警报风险严重性级别为:

  • 严重性高:警报的潜在风险活动和指示器构成重大风险。 相关风险活动是严重的、重复的,并且与其他重大风险因素密切相关。
  • 中等严重性:警报的潜在风险活动和指示器构成中等风险。 关联的风险活动适中、频繁,且与其他风险因素具有一些相关性。
  • 低严重性:警报的潜在风险活动和指示器构成小风险。 相关风险活动较小、比较少见,并且不会与其他重大风险因素相关。

使用“Copilot”按钮汇总警报

可以使用 Copilot 按钮快速汇总警报,甚至无需打开警报。 使用 Purview 中的 Microsoft Copilot 汇总警报 (预览) 时,屏幕右侧会显示一个 Copilot 窗格,其中包含警报摘要。

“内部风险管理 Copilot”按钮

警报摘要包括有关警报的所有基本详细信息,例如触发的策略、生成警报的活动、触发事件、涉及的用户、其上一个工作日期 ((如果适用)) 、任何关键用户属性以及用户的主要风险因素。 Purview (预览版中的 Copilot) 合并了来自其所有警报和范围内策略的用户的信息,并强调用户的首要风险因素。

使用 “Copilot ”按钮快速汇总警报队列中的每个警报,并确定需要进一步调查的警报的优先级。 对于误报,可以选择多个警报,并通过选择“ 消除警报”批量消除它们

提示

还可以使用独立版本的 Microsoft 安全 Copilot 来调查内部风险管理、Microsoft Purview 数据丢失防护 (DLP) ,以及Microsoft Defender XDR警报

筛选警报、保存筛选器集的视图、自定义列或搜索警报

查看大型警报队列可能困难,具体取决于组织中活动的预览体验计划风险管理策略的数量和类型。 为了帮助你跟踪警报,可以:

  • 按各种属性筛选警报。
  • 保存筛选器集的视图,以便稍后重复使用。
  • 显示或隐藏列。
  • 警报的搜索。

筛选警报

  1. 选择“ 添加筛选器”。

  2. 选择以下一个或多个属性:

    属性 说明
    生成警报的活动 显示活动评估期间导致生成警报的最潜在风险活动和策略匹配项。 此值可以随时间推移而更新。
    警报消除原因 消除警报的原因。
    分配到 警报分配到的管理员(如果已分配) (进行会审)。
    策略 策略的名称。
    风险因素 有助于确定用户活动风险的风险因素。 可能的值包括 累积外泄活动活动包括优先级内容序列活动活动包括未启用的域优先级用户组的成员潜在高影响用户
    严重性 用户的风险严重性级别。 这些选项包括
    状态 警报的状态。 这些选项包括关闭需求审阅以及解决方案
    检测到的时间 (UTC) 创建警报的开始和结束日期。 筛选器在开始日期的 UTC 00:00 和结束日期的 UTC 00:00 之间搜索警报。
    触发事件 将用户引入策略范围的事件。 触发事件可能会随着时间的推移而更改。

    所选属性将添加到筛选器栏。

  3. 在筛选器栏中选择一个属性,然后选择要筛选依据的值。 例如,选择“ 检测到的时间 (UTC) 属性,在 ”开始日期 “和”结束日期“字段中输入或选择 日期 ,然后选择” 应用”。

    提示

    如果要随时重新开始,请在筛选器栏上选择“ 全部重置 ”。

保存筛选器集的视图,以便稍后重复使用

  1. 应用上述过程中所述的筛选器后,选择筛选器栏上方的“ 保存” ,输入筛选器集的名称,然后选择“ 保存”。

    筛选器集作为卡添加到筛选器栏上方。 它包含一个数字,显示满足筛选器集中条件的警报计数。

    注意

    最多可以保存五个筛选器集。 如果需要删除筛选器集,请选择卡右上角的省略号 (三点) 按钮,然后选择“删除”。

  2. 若要重新应用已保存的筛选器集,只需选择筛选器集的卡。

显示或隐藏列

  1. 在页面右侧,选择“ 自定义列”。

  2. 选中或清除要显示或隐藏的列 (es) 复选框。

列设置跨会话和跨浏览器保存。

警报搜索

使用 搜索 控件可搜索 UPN) (用户主体名称、分配的管理员名称或警报 ID。

消除多个警报 (预览)

它可能有助于节省分析师和调查人员立即消除多个警报的会审时间。 使用“消除警报”命令栏选项,可以选择仪表板上具有“需要评审”状态的一个或多个警报,并在会审过程中根据需要快速消除这些警报。 一次最多可以选择 400 个要消除的警报。

消除内部风险警报

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择具有”需要评审“状态的警报 (或警报) 。
  5. 在“警报”命令栏上,选择“ 消除警报”。
  6. “消除警报 详细信息”窗格中,查看与所选警报关联的用户和策略详细信息。
  7. 选择“ 消除警报 ”,将警报解析为良性警报。

分配警报

如果你是管理员,并且是 Insider Risk ManagementInsider Risk Management 分析师Insider Risk Management 调查人员 角色组的成员,则可以将警报的所有权分配给自己或具有相同角色之一的预览体验成员风险管理用户。 分配警报后,还可以将其重新分配给具有任何相同角色的用户。 一次只能将警报分配给一个管理员。

注意

如果策略 的范围是一个或多个管理单元,则警报的所有权只能授予具有相应角色组权限的预览体验成员风险管理用户,并且警报中突出显示的用户必须在管理单元的范围内。 例如,如果管理范围仅适用于德国的用户,则内部风险管理用户只能看到德国用户的警报。 不受限制的管理员可以查看组织中所有用户的所有警报。

分配管理员后,可以按管理员进行搜索。

注意

警报分配不支持Microsoft Entra安全组中包含的管理员。 必须将管理员直接分配到所需的角色之一。

从警报仪表板分配警报

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择要分配的警报 () 。
  5. 在警报队列上方的按钮栏中,选择“ 分配”。
  6. 在屏幕右侧的“ 分配所有者 ”窗格中,搜索具有相应权限的管理员,然后选中该管理员的复选框。
  7. 选择“分配”。

从“警报详细信息”页分配警报

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. 选择警报。
  5. 在警报的详细信息窗格中,选择页面右上角的“ 分配”。
  6. “建议的联系人 ”列表中,选择相应的管理员。

会审警报

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择要会审的警报。
  5. “警报详细信息 ”页上,可以查看有关警报的信息。 可以确认警报并创建新案例、确认警报并添加到现有案例或消除警报。 此页还包括警报的当前状态和警报风险严重性级别(列为“高”、“中”或“低”)。 如果未对警报进行会审,则严重性级别可能会随着时间的推移而增加或降低。

标头/摘要部分

本部分包含有关用户和警报的一般信息。 此信息可用于上下文,同时查看有关用户警报中包含的检测到的风险管理活动的详细信息:

  • 生成此警报的活动:显示导致生成警报的活动评估期间最潜在风险的活动和策略匹配项。
  • 触发事件:显示最新的触发事件,该事件提示策略开始为用户的活动分配风险分数。 如果已针对风险用户的数据泄露或风险用户策略违反安全策略配置了与通信合规性的集成,则这些警报的触发事件的范围限定为通信合规性活动。
  • 用户详细信息:显示有关分配给警报的用户的常规信息。 如果启用了匿名化,则用户名、电子邮件地址、别名和组织字段将匿名。
  • 用户警报历史记录:显示过去 30 天内用户的警报列表。 包含一个链接,用于查看用户的完整警报历史记录。

注意

当用户被检测为潜在的高影响用户时,此信息将突出显示在 “用户详细信息 ”页的警报标头中。 用户详细信息还包括一个摘要,其中包含检测到用户的原因。 若要详细了解如何为潜在高影响力用户设置策略指标,请参阅 预览体验成员风险管理设置

从范围限定为仅包含 优先级内容的 活动的策略生成的警报包括本部分中 针对此警报通知仅评分具有优先级内容的活动

提示

若要快速了解警报,请选择警报详细信息页上的 “汇总 ”按钮。 选择“ 汇总 ”按钮时,页面右侧会显示一个 Copilot 窗格,其中包含警报摘要。 警报摘要包括有关警报的所有基本详细信息,例如触发的策略、生成警报的活动、触发事件、涉及的用户、其上一个工作日期 ((如果适用)) 、任何关键用户属性以及用户的主要风险因素。 Purview (预览版中的 Copilot) 合并了来自其所有警报和范围内策略的用户的信息,并强调用户的首要风险因素。 还可以 汇总警报队列中的警报,而无需使用 Copilot 按钮打开警报。 或者使用独立版本的 Microsoft 安全 Copilot 来调查内部风险管理、Microsoft Purview 数据丢失防护 (DLP) ,以及Microsoft Defender XDR警报

所有风险因素

此选项卡将打开用户警报活动的风险因素摘要。 风险因素可帮助你确定审查期间此用户的风险管理活动的风险程度。 风险因素包括以下内容的摘要:

  • 顶级外泄活动:显示具有警报的最大事件数或事件数的外泄活动。
  • 累积外泄活动:显示与累积外泄活动关联的事件。
  • 活动序列:显示检测到与风险序列关联的潜在风险活动。
  • 此用户的异常活动:显示被视为有潜在风险的用户的特定活动,因为它们不寻常,并且不同于其典型活动。
  • 优先级内容:显示与优先级内容关联的潜在风险活动。
  • 未关联的域:显示与未关联的域关联的事件的潜在风险活动。
  • 运行状况记录访问:显示与访问运行状况记录相关的事件的潜在风险活动。
  • 有风险的浏览器使用情况:显示与浏览到可能不适当的网站相关的事件的潜在风险活动。

使用这些筛选器时,只会看到具有上述风险因素的警报,但生成警报的活动可能不属于上述任何类别。 例如,可能只是因为用户将文件复制到 USB 设备而生成了包含序列活动的警报。

检测到的内容

所有风险因素 ”选项卡上的部分包括与警报的风险活动关联的内容,并按关键区域汇总活动事件。 选择活动链接将打开活动资源管理器,并显示有关该活动的更多详细信息。

活动资源管理器

此选项卡将打开活动资源管理器。 有关详细信息,请参阅本文中的活动资源管理器部分。

用户活动

用户活动图表是内部风险管理解决方案中用于内部风险分析和调查警报和案例的最强大的工具之一。 此选项卡的结构用于快速查看用户的所有活动,包括所有警报的历史时间线、警报详细信息、用户的当前风险评分和风险事件序列。

内部风险管理用户活动

  1. 案例操作:用于解决案例的选项位于事例操作工具栏上。 查看案例时,可以解决案例、向用户发送电子邮件通知,或升级案例进行数据或用户调查。

  2. 风险活动年表:列出了与案例关联的所有风险警报的完整年表,包括相应警报气泡中提供的所有详细信息。

  3. 筛选和排序 (预览)

    • 风险类别:按以下风险类别筛选活动: 风险评分为 > 15 (除非按顺序) 序列活动
    • 活动类型:按以下类型筛选活动:访问删除集合外泄渗透模糊处理和安全
    • 排序依据:按发生日期风险分数列出潜在风险活动的时间线。

  4. 时间筛选器:默认情况下,“用户活动”图表中显示过去三个月的潜在风险活动。 通过选择气泡图上的“ 6 个月”、“ 3 个月”或“ 1 个月 ”选项卡,可以轻松筛选图表视图。

  5. 风险序列:潜在风险活动的时间顺序是风险调查的一个重要方面,识别这些相关活动是评估组织整体风险的重要组成部分。 相关的警报活动会显示连接线,以突出显示这些活动与更大的风险区域相关联。 在此视图中,序列还通过位于序列活动上方相对于序列的风险评分的图标来标识序列。 将鼠标悬停在图标上可查看与此序列关联的风险活动的日期和时间。 这种活动视图可帮助调查人员对可能被视为独立事件或一次性事件的风险活动进行“连接”。 选择序列中的图标或任何气泡,以显示所有关联风险活动的详细信息。 详细信息包括:

    • 序列的名称
    • 序列的日期日期范围
    • 序列的风险评分。 此分数是序列中每个相关活动的组合警报风险严重性级别序列的数字分数。
    • 与序列中每个警报关联的事件数。 还提供了指向与每个潜在风险活动关联的每个文件或电子邮件的链接。
    • 按顺序显示活动。 将序列显示为气泡图上的突出显示线,并展开警报详细信息以显示序列中的所有相关警报。

  6. 风险警报活动和详细信息:潜在风险活动在“用户活动”图表中以彩色气泡的形式直观显示。 为不同类别的风险创建气泡。 选择气泡以显示每个潜在风险活动的详细信息。 详细信息包括:

    • 风险活动的日期
    • 风险活动类别。 例如,Email () ,其中包含在组织外部发送的附件从 SharePoint Online 下载 ()
    • 警报的风险分数。 此分数是警报风险严重性级别的数字分数。
    • 与警报相关联的事件数。 还提供了指向与风险活动关联的每个文件或电子邮件的链接。

  7. 累积外泄活动:选择此按钮可查看用户活动随时间推移的生成方式的可视化图表。

  8. 风险活动图例:在用户活动图表底部,颜色编码的图例可帮助你快速确定每个警报的风险类别。

活动资源管理器

注意

在组织中提供此功能后,活动资源管理器在警报管理区域中可供具有触发事件的用户使用。

活动资源管理器为风险调查员和分析师提供了一个全面的分析工具,该工具提供有关警报的详细信息。 使用活动资源管理器,审阅者可以快速查看检测到的潜在风险活动的时间线,并识别和筛选与警报关联的所有风险活动。

使用活动资源管理器

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择要会审的警报。
  5. “警报详细信息”窗格中,选择“ 打开展开视图”。
  6. 在所选警报的页面上,选择“ 活动资源管理器 ”选项卡。

在活动资源管理器中查看活动时,调查人员和分析师可以选择特定活动并打开活动详细信息窗格。 窗格显示有关调查人员和分析师在警报会审过程中可以使用的活动的详细信息。 详细信息可提供警报的上下文,并有助于识别触发警报的风险活动的全部范围。

从活动时间线选择活动的事件时,资源管理器中显示的活动数可能与时间线中列出的活动事件数不匹配。 出现此差异的原因的示例:

  • 累积外泄检测:累积外泄检测会分析事件日志,但应用一个模型,该模型包括对类似活动进行重复数据删除以计算累积外泄风险。 此外,如果对现有策略或设置进行了更改,则活动资源管理器中显示的潜在风险活动的数量也可能有所不同。 例如,如果在创建策略并发生潜在风险活动匹配后修改允许/不允许的域或添加新文件类型排除项,则累积外泄检测活动将与策略或设置更改之前的结果不同。 累积外泄检测活动总数基于计算时的策略和设置配置,不包括策略和设置更改之前的活动。
  • 发送给外部收件人的电子邮件:发送给外部收件人的电子邮件的潜在风险活动将根据发送的电子邮件数分配风险分数,这可能与活动事件日志不匹配。

内部风险管理活动资源管理器详细信息。

包含从风险评分中排除的事件的序列

序列可能包含一个或多个事件,这些事件根据设置配置从风险评分中排除。 例如,你的组织可能会使用 智能检测 设置 从风险评分中排除 .png 文件,因为 .png 文件通常没有风险。 但是,.png 文件可用于模糊处理恶意活动。 因此,如果由于模糊处理活动而从风险评分中排除的事件是序列的一部分,则该事件将包含在序列中,因为它在序列的上下文中可能很有趣。

活动资源管理器显示序列中排除事件的以下信息:

  • 如果序列包含排除 所有 事件的步骤,则见解仅包括活动名称和日期。 选择“ 查看排除的事件” 链接,在活动资源管理器中筛选排除的事件。 如果排除所有事件,则用户活动散点图图标的风险分数为 0。
  • 如果序列具有排除 某些 事件的见解,则会显示非排除事件 () 的事件信息,但事件计数不包括排除的事件 () 。 选择“ 查看排除的事件” 链接,在活动资源管理器中筛选排除的事件。
  • 如果选择 序列链接 以获取见解,则可以在活动详细信息窗格中向下钻取事件序列,包括从评分中排除的任何事件。 从评分中排除的事件标记为 “已排除”。

在活动资源管理器中筛选警报

若要在活动资源管理器中筛选列信息的警报,请选择“ 筛选器”。 可以按警报的详细信息窗格中列出的一个或多个属性筛选警报。 活动资源管理器还支持可自定义的列,以帮助调查人员和分析师将仪表板集中在对他们最重要的信息上。

使用 “活动范围”、“ 风险因素”和“ 查看状态 ”筛选器可显示和排序以下领域的活动和见解。

  • 活动范围:筛选用户的所有评分活动。

    • 此用户的所有评分活动
    • 此警报中仅对活动评分

  • 风险因素:适用于分配风险分数的所有策略的风险因素活动的筛选器 这包括范围内用户的所有策略的所有活动。

    • 异常活动
    • 包括具有优先级内容的事件
    • 包括具有未注册域的事件
    • 序列活动
    • 累积外泄活动
    • 运行状况记录访问活动
    • 有风险的浏览器使用

  • 评审状态:筛选器活动评审状态。

    • 全部
    • 尚未查看 (筛选掉已消除或已解决警报)

内部风险管理活动资源管理器概述

保存筛选器视图以供以后重复使用

如果创建筛选器并自定义筛选器的列,则可以保存更改的视图,以便你或其他人稍后可以再次快速筛选相同的更改。 保存视图时,将同时保存筛选器和列。 加载视图时,它将加载保存的筛选器和列。

  1. 创建筛选器并自定义列。

    提示

    如果想要随时重新开始,请选择“ 重置”。 若要更改自定义的列,请选择“ 重置列”。

  2. 如果按所需方式进行筛选,请选择“ 保存此视图”,输入视图的名称,然后选择“ 保存”。

    注意

    视图名称的最大长度为 40 个字符,不能使用任何特殊字符。

  3. 若要稍后重用筛选器的视图,请选择“ 视图”,然后从“ 推荐视图 ”选项卡选择要打开的视图, (显示最常用的视图) 或 “自定义视图 ”选项卡, (最常用的筛选器显示在列表顶部) 。

以这种方式选择视图时,它会重置所有现有筛选器,并将其替换为所选视图。

为警报创建案例

如果要进一步调查潜在的风险活动,可以创建警报案例。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择要确认的警报并为其创建新案例。
  5. “警报详细信息”窗格中,选择“ 操作>”“确认警报 & 创建案例”。
  6. “确认警报并创建内部风险案例 ”对话框中,输入案例的名称,选择要添加为参与者的用户,并添加注释(如果适用)。 注释作为事例说明自动添加到案例中。
  7. 选择“ 创建案例 ”以创建新案例。

案件创建后,调查人员和分析师可以管理和处理案件。 有关详细信息,请参阅 预览体验计划风险管理案例 一文。

保留期和项限制

随着内部风险管理警报的老化,它们对将潜在风险活动降至最低的价值对于大多数组织来说都会降低。 相反,活动案例和关联项目 (警报、见解、活动) 始终对组织有价值,不应具有自动到期日期。 这包括与活动案例关联的任何用户处于活动状态的所有未来警报和项目。

为了帮助最大程度地减少提供有限当前值的旧项目的数量,以下保留期和限制适用于内部风险管理警报、案例和用户报告:

项目 保留/限制
具有“需要”评审状态的警报 创建警报后 120 天,然后自动删除
活动案例 (和关联的项目) 无限期保留,永不过期
已解决 (和关联的项目) 事例 从案例解决起 120 天,然后自动删除
活动事例的最大数目 100
用户活动报告 创建报表后 120 天,然后自动删除

获取管理内部风险警报队列的帮助

查看、调查潜在有风险的预览体验成员警报并采取行动是最大程度地减少组织中内部成员风险的重要部分。 快速采取措施以最大程度地降低这些风险的影响,可能会为组织节省时间、金钱和法规或法律影响。 在此修正过程中,对于许多分析师和调查人员来说,查看警报的第一步似乎是最困难的任务。 根据你的情况,在处理潜在风险的内部警报时,可能会遇到一些小障碍。 查看以下建议并了解如何优化警报评审过程。

无法查看的警报太少

如果收到的警报太少:

  • 更新设置。 对设置所做的更改将全局应用于所有策略。

    • 启用更多指示器。 选择更多指示器会为策略提供更大的活动组来检测。

      转到“设置策略指示器”>,然后启用所有可用和相关指标。

    • 通过调整“ 警报音量 ”滑块生成更多警报。 使用此滑块可查看所有中高严重性警报,以及大多数低严重性警报。 注意:调整滑块可能会导致更多的误报。

      转到 “设置”“>智能检测>警报量”,并将滑块移动到“ 更多警报”。

  • 确定未生成足够警报的策略:

    • 增加策略中的用户覆盖率。 范围中包含少量用户的策略不太可能生成警报。 如果适用,请考虑增加策略范围内的用户数。

      在“ 策略 ”页上选择特定策略,选择“ 编辑策略”,然后转到 “用户和组” 页以增加范围内用户的数量。

    • 降低策略中的触发器阈值。 基于数据泄漏和风险浏览器使用情况 (预览) 模板的策略允许自定义某些触发器阈值。 这些阈值定义何时开始检测用户活动。 如果降低触发器阈值,则会降低用户开始评估风险活动的条件。 注意:如果用户未显示在 “用户和组 ”页中,则表示尚未满足触发事件条件。

      转到“ 策略 ”页上的特定策略,选择“ 编辑策略”,转到 “触发阈值 ”页,选择“ 使用自定义阈值 ”选项,然后设置阈值。

    • 编辑策略中的指示器。 指标是用户必须执行才能被视为有风险的活动。 如果没有许多指标 (在策略中选择) 被视为有风险的活动,则不太可能生成警报。

      转到“ 策略 ”页上的特定策略,选择“ 编辑策略”,然后转到 “指示器 ”页。

    • 降低策略中的指示器阈值。 在用户开始进行评估 (具有触发事件) 后,仅当这些用户执行的活动高于特定阈值(可能表明其活动存在风险)时,才会为这些用户生成警报。 降低指示器阈值将降低用户必须超过的阈值才能生成警报。

      转到“ 策略 ”页上的特定策略,选择“ 编辑策略”,转到 “指示器阈值 ”页,选择“ 自定义阈值 ”选项,然后设置阈值。

要查看的警报太多

如果收到过多的有效警报或有太多过时的低风险警报,请考虑执行以下操作:

  • 启用分析:启用分析有助于快速识别用户的潜在风险领域,并帮助确定可能需要配置的预览体验成员风险管理策略的类型和范围。 若要详细了解分析见解,请参阅 内部风险管理设置:分析。 如果想要利用引导式 (数据驱动) 阈值配置体验来帮助在创建新策略或优化现有策略时配置适当的阈值,还可以从分析中获取实时见解。 这些见解可帮助你有效地调整活动发生的指示器和阈值的选择,这样就不会收到太少或过多的策略警报。 有关详细信息,请参阅 使用实时分析来帮助管理警报量

  • 调整内部风险策略:选择和配置正确的内部风险策略是解决警报类型和数量的最基本方法。 从适当的 策略模板 开始,有助于重点关注你看到的风险活动和警报的类型。 可能影响警报卷的其他因素包括范围内用户和组的大小,以及 优先处理的内容和频道。 请考虑调整策略,以将这些领域细化为对组织最重要的方面。

  • 修改内部风险设置:预览体验成员风险设置包括各种配置选项,这些选项可能会影响收到的警报的数量和类型。 请务必查看并了解以下设置,以筛选出警报噪音:

  • 启用内联警报自定义:启用 内联警报自定义 允许分析师和调查人员在查看警报时快速编辑策略。 他们可以使用 Microsoft 建议更新活动检测的阈值、配置自定义阈值,或者选择忽略创建警报的活动类型。 如果未启用此功能,则只有分配给 Insider Risk Management 角色组的用户才能使用内联警报自定义。

  • 批量删除警报(如果适用):它可能有助于节省分析师和调查人员立即 消除多个警报 的会审时间。 一次最多可以选择 400 个要消除的警报。

不熟悉警报会审过程

在内部风险管理中调查和处理警报非常简单:

  1. 查看警报仪表板,了解状态为“需求评审”的警报。 根据需要按警报状态进行筛选,以帮助查找这些类型的警报。
  2. 从严重性最高的警报开始。 根据需要按警报严重性进行筛选,以帮助查找这些类型的警报。
  3. 选择警报以发现详细信息并查看警报详细信息。 如果需要,请使用活动资源管理器查看关联的潜在风险行为的时间线,并确定警报的所有风险活动。
  4. 对警报进行操作。 可以确认并 创建警报案例 ,也可以消除并解决警报。

组织中的资源约束

现代工作场所用户通常对其时间负有各种责任和要求。 可以采取一些操作来帮助解决资源约束问题:

  • 首先将分析师和调查人员的工作集中在风险最高的警报上。 根据策略,你可能会捕获用户活动并生成对风险缓解工作产生不同程度潜在影响的警报。 按严重性筛选警报,并确定高严重性警报的优先级。
  • 将用户分配为分析师和调查人员。 将适当的用户分配到适当的角色是内部风险警报评审过程的重要组成部分。 确保已将适当的用户分配给 Insider Risk Management 分析师Insider Risk Management 调查员 角色组。
  • 使用自动化内部风险功能来帮助发现最高风险活动