了解内部风险管理策略模板

项目
04/09/2024

重要

Microsoft Purview 内部风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。内部风险管理使客户能够创建策略来管理安全性和合规性。根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

策略模板

预览体验计划风险管理模板是预定义的策略条件，用于定义该策略使用的风险指示器和风险管理模型的类型。在创建策略之前，每个策略必须在策略创建向导中指定一个模板。内部风险管理为每个策略模板最多支持 20 个策略。使用策略向导创建新的内部风险策略时，请从以下策略模板之一中进行选择：

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。立即从Microsoft Purview 合规门户试用中心开始。了解有关注册和试用条款的详细信息。

离职用户窃取数据

当用户离开组织时，有特定的风险指标通常与离职用户的潜在数据盗窃相关联。此策略模板使用企业筛选指标进行风险筛选，并专注于此风险区域中的检测和警报。离职用户的数据盗窃可能包括从 SharePoint Online 下载文件、打印文件，以及将数据复制到个人云消息传送和存储服务，以接近其雇佣辞职和结束日期。当你使用 Microsoft HR 连接器或选项在组织的 Microsoft Entra 中自动检查用户帐户删除时，此模板将开始为与这些活动相关的风险指标评分，以及它们如何与用户就业状态相关联。这可以包括 Box、Dropbox、Google Drive、Amazon S3 和 Azure 等服务的云指示器。

重要

使用此模板时，您可以将 Microsoft 365 HR 连接器配置为定期为贵组织的用户导入客户端和终止日期信息。有关配置 Microsoft 365 HR 连接器的分步指南，请参阅使用 HR 连接器导入数据一文。如果选择不使用 HR 连接器，则必须在策略向导中配置触发器事件时选择“从 Microsoft Entra 中删除的用户帐户”选项。

数据泄漏

对大多数组织来说，保护数据并防止数据泄露是一个持续的挑战，尤其是用户、设备和服务创建的新数据快速增长时。用户可跨服务和设备创建、存储和共享信息，从而让数据泄露的管理变得复杂和困难。数据泄漏包括将信息意外过度共享到组织外部或出于恶意目的的数据窃取。此模板对可疑 SharePoint Online 数据下载、文件和文件夹共享、打印文件以及将数据复制到个人云消息传送和存储服务的实时检测进行评分。

使用数据泄露 模板时，可分配 DLP 策略，触发预览体验计划风险策略中的指示，以发现组织中出现严重严重警报。每当向 Office 365 审核日志添加 DLP 策略规则生成的严重性警报时，使用此模板创建的预览体验成员风险策略将自动检查严重性 DLP 警报。如果警报包含预览体验计划风险策略中定义的适用范围用户，则通知由预览体验成员风险策略作为新警报进行处理，并分配了预览体验成员风险严重性和风险分数。还可以选择将所选指示器分配为策略的触发事件。这种灵活性和自定义有助于将策略范围限定为指标所涵盖的活动。此策略允许你根据案例中包含的其他活动对此警报进行评估。

此模板还可以包括 Box、Dropbox、Google Drive、Amazon S3 和 Azure 等服务的云指示器。

数据泄露策略准则

创建或修改与内部风险管理策略一起使用的数据丢失防护策略时，请考虑以下准则：

在DLP策略中配置规则时，对数据泄漏事件进行优先级排序，并在将事件报告设置分配为“高”时具有选择性。例如，通过电子邮件将敏感文档发送给已知竞争对手应该是高警报级别的渗透事件。其他 DLP 策略规则中的 事件报告 设置中的高级别可能会增加预览体验计划风险管理警报工作流的干扰，使数据保存员和分析人员更难以正确评估这些警报。例如，分配高级别以访问 DLP 策略中的拒绝活动，则更难以评估真正具有风险的用户行为和活动。
使用 DLP 策略作为触发事件时，请确保了解并正确配置 DLP 和内部风险管理策略中的范围内用户。只有使用数据泄漏模板被定义为内部风险管理策略的范围内的用户，才会处理严重性高的DLP策略警报。此外，内部风险管理策略将仅分析在针对高严重性 DLP 警报的规则中定义为范围内的用户，以供考虑。请务必不要在不知不觉中以冲突的方式在 DLP 和内部风险策略中配置范围内用户。

例如，如果 DLP 策略规则的范围仅限于销售团队中的用户，并且从 数据泄漏 模板创建的预览体验成员风险策略已将所有用户定义为范围内，则内部风险策略将仅处理销售团队中用户的高严重性 DLP 警报。对于本示例中 DLP 规则中未定义的流程，预览体验成员风险策略不会收到任何高优先级 DLP 警报。相反，如果从 数据泄露创建的预览体验计划风险管理策略 模板的范围只针对销售团队的用户，且分配的 DLP 策略适用于所有用户，则预览体验成员风险策略仅处理针对销售团队成员的高严重性 DLP 警报。预览体验计划风险管理策略将忽略针对不是销售团队的所有用户的严重性 DLP 警报。
确保用于此内部人员风险管理模板的DLP策略中的“事件报告”规则设置配置为高严重性级别警报。高严重性级别是触发事件，且预览体验计划风险管理警报不会根据 DLP 策略中的规则生成，事件报告字段设置为低或中。

注意

使用内置模板创建新的 DLP 策略时，需要选择创建或自定义高级 DLP 规则 选项，为高严重级别配置 事件报告 设置。

使用此触发事件选项时，从 数据泄漏 模板创建的每个内部风险管理策略只能分配一个 DLP 策略。请考虑创建一个专用 DLP 策略，该策略结合了要检测的不同活动，并充当使用 数据泄露 模板的内部风险策略的触发事件。

有关为组织配置 DLP 策略的分步指南，请参阅创建和部署数据丢失防护策略一文。

优先用户的数据泄露活动(预览)

保护组织中的用户的数据和防止数据泄露可能取决于用户的位置、对敏感信息的访问级别或风险历史记录。泄露数据可能包括意外过度共享组织外部高度敏感信息，或利用恶意企图盗用数据。通过分配的数据丢失防护 (DLP) 策略作为触发事件选项，此模板开始对可疑活动的实时检测进行评分，并增加内部风险警报和具有更高严重级别的警报的可能性。优先级用户是在内部人员风险管理设置区域中配置的优先级用户组中定义的。

与 数据泄露 模板一样，可以选择 DLP 策略来触发组织中高严重性警报的内部风险策略中的指示器。使用此模板使用 DLP 选项创建策略时，请遵循 DLP 策略的数据泄露策略准则。还可以选择将所选指示器分配为策略的触发事件。这种灵活性和自定义有助于将策略范围限定为指标所涵盖的活动。此外，需要将内部风险管理>设置>中创建的优先级用户组分配给策略。

风险用户 (预览版) 泄露数据

当用户遇到就业压力因素时，他们可能会成为风险用户，这可能会增加内部风险活动的机会。识别出与风险用户关联的指示器时，此模板开始对用户活动评分。示例包括性能改进通知、不良性能评审、对作业级别状态的更改，或者可能发出风险活动信号的电子邮件和其他消息。风险用户的数据泄漏可能包括从 SharePoint Online 下载文件以及将数据复制到个人云消息传送和存储服务。

使用此模板时，必须配置 HR 连接器，选择集成来自用户消息的通信合规性风险信号的选项，或同时执行这两项操作。通过 HR 连接器，可以定期导入组织中的用户的性能改进通知、不良性能评审状态或作业级别更改信息。通信合规性风险集成为可能包含潜在威胁性、骚扰性或歧视性文本内容的用户消息导入信号。无需对通信合规性中生成的关联警报进行会审、修正或更改状态，就可以与内部风险管理策略集成。

若要配置 HR 连接器，请参阅使用 HR 连接器导入数据一文。若要配置与通信合规性的集成，请在配置策略时在向导中选择此选项。

预览版) (安全策略冲突

在许多组织中，用户有权在设备上安装软件或修改设备设置以帮助完成任务。用户可能会无意或恶意安装恶意软件或禁用有助于保护其设备或网络资源上信息的重要安全功能。此策略模板使用 Microsoft Defender for Endpoint 的安全警报开始执行这些活动，并针对此风险区域执行焦点检测和警报。当用户可能有安全策略冲突历史记录（可能是内部风险的指标）时，使用此模板提供安全策略冲突的见解。

你需要在组织中配置Microsoft Defender for Endpoint，并在 Defender 安全中心启用 Defender for Endpoint 以实现内部风险管理集成，以导入安全违规警报。若要详细了解如何配置 Defender for Endpoint，实现预览体验计划风险管理集成，请参阅在Defender for Endpoint中配置高级功能。

患者数据滥用 (预览)

保护医疗保健记录数据并防止滥用患者个人数据是医疗保健行业组织的一大关注点。这种滥用可能包括机密数据泄露给未经授权的人员、欺诈性地修改患者记录或窃取患者医疗记录。防止这种滥用患者数据有助于满足《健康保险可移植性和责任法案》 (HIPAA) 和《经济和临床健康健康信息技术 (HITECH) 法案》的监管要求。这两项法案都规定了保护患者保护健康信息的要求， (PHI) 。

此策略模板为内部用户启用风险评分，这些用户检测与现有电子医疗记录 (EMR) 系统上托管的记录相关的可疑活动。检测侧重于未经授权的访问、查看、修改和导出患者数据。需要配置 Microsoft Healthcare 连接器或 Epic 连接器的连接器，以支持在 EMR 系统中检测访问、外泄或混淆活动。

使用此模板时，还必须配置 Microsoft HR 连接器，以便定期导入组织中用户的组织配置文件数据。有关配置 Microsoft 365 HR 连接器的分步指南，请参阅设置连接器以导入 HR 数据一文。

有风险的浏览器使用 (预览版)

识别用户访问组织设备和网络上的潜在不适当或不可接受的网站是最小化安全、法律和法规风险的重要组成部分。无意或有意访问此类网站的用户可能会使组织受到其他用户的法律行为、违反法规要求、提升网络安全风险或危害当前和未来的业务运营和机会。这种滥用通常在组织的可接受的用户设备和组织网络资源使用策略中定义，但通常很难快速识别和处理。

为了帮助防范这些风险，此策略可帮助检测并启用可能违反组织可接受的使用策略的 Web 浏览的风险评分，例如访问 (钓鱼网站构成威胁的网站，例如) 或包含成人内容的网站。多种类型的类别可用于由范围内用户自动对 Web 浏览活动进行分类。

此策略模板有几个先决条件。有关详细信息，请参阅了解和配置内部风险管理浏览器信号检测。

离职用户的安全策略违规活动(预览)

离职用户（无论他们是以正面还是负面条件离开）都可能会增加违反安全策略的风险。为帮助防止离开用户的无意中或恶意安全冲突，此策略模板使用 Defender for Endpoint 警报，提供有关安全相关活动的见解。这些活动包括用户安装恶意软件或其他可能有害应用程序，以及禁止其设备上使用安全功能。当你使用 Microsoft HR 连接器或选项在组织的 Microsoft Entra 中自动检查用户帐户删除时，此模板将开始为与这些安全活动相关的风险指标评分，以及这些指标与用户雇佣状态的关联方式。

优先用户的安全策略违规活动(预览)

防止组织中的用户出现安全违规可能取决于用户的位置、对敏感信息的访问级别或风险历史记录。由于优先级用户的安全违规可能会对组织的关键领域产生重大影响，因此此策略模板开始对这些指标进行评分，并使用Microsoft Defender for Endpoint警报来为这些用户提供与安全相关的活动的见解。这些活动可能包括优先用户安装恶意软件或其他可能有害的应用程序，以及在其设备上禁用安全功能。优先级用户在预览体验计划风险管理设置区域中配置的优先级用户组中定义。

风险用户违反安全策略 (预览版)

遇到就业压力的用户可能面临更高的意外或恶意安全策略违规风险。这些压力因素可能包括用户被置于性能改进计划、进行糟糕的性能评审或遇到降级。此策略模板基于这些指标以及与这些类型的事件关联的活动开始风险评分。

使用此模板时，必须配置 HR 连接器，或选择用于集成来自用户消息的通信合规性风险信号的选项，或两者兼有。通过 HR 连接器，可以定期导入组织中的用户的性能改进通知、不良性能评审状态或作业级别更改信息。通信合规性风险集成为可能包含潜在威胁性、骚扰性或歧视性文本内容的用户消息导入信号。无需在通信合规性中生成的关联警报进行会审、修正或更改状态，就可以与内部风险管理策略集成。若要配置 HR 连接器，请参阅使用 HR 连接器导入数据一文。若要配置与通信合规性的集成，请在配置策略时在向导中选择此选项。

还需要在组织中配置Microsoft Defender for Endpoint，并在 Defender 安全中心启用 Defender for Endpoint 以实现内部风险管理集成，以导入安全违规警报。若要详细了解如何配置 Defender for Endpoint，实现预览体验计划风险管理集成，请参阅在Defender for Endpoint中配置高级功能。

策略模板先决条件和触发事件

根据为预览体验计划风险管理策略选择的模板，触发事件和策略先决条件各不相同。触发事件是决定用户是否处于活动状态的预览体验计划风险管理策略的先决条件。如果用户已添加到内部风险管理策略，但没有触发事件，则策略不会评估用户活动，除非用户仪表板中手动添加用户活动。策略先决条件是必需项目，这样策略才能接收评估风险所需的信号或活动。

下表列出了触发事件以及基于每个预览体验计划风险管理策略模板创建的策略的先决条件：

策略模板	触发策略事件	先决条件
离职用户窃取数据	HR 连接器的辞职或终止日期指示符或Microsoft Entra帐户删除	（可选）配置用于终止和截止日期指示器的 Microsoft 365 HR 连接器
数据泄漏	数据泄漏策略活动可创建高严重性警报或内置渗透事件触发器	为高严重性警报配置的 DLP 策略 OR 自定义触发指示器
优先用户的数据泄露	数据泄漏策略活动可创建高严重性警报或内置渗透事件触发器	为高严重性警报配置的 DLP 策略 OR 自定义触发指示器在预览体验计划风险设置中配置优先级用户组
风险用户的数据泄漏	- 来自 HR 连接器的性能改进、性能不佳或作业级别更改指标。 - 包含潜在威胁、骚扰或歧视性语言的消息	为解除管理指示器配置的 Microsoft 365 HR 连接器 AND/OR 通信合规性集成和专用取消策略
安全策略冲突	防御规避Microsoft Defender for Endpoint检测到的安全控制或不需要的软件	适用于终结点的 Active Microsoft Defender 订阅配置与 Microsoft Purview 合规门户的Microsoft Defender for Endpoint集成
患者数据滥用	防御规避来自 EMR 系统的安全控制来自 HR 系统的用户和患者地址匹配指标	在策略或内部风险设置中选择的医疗保健访问指标为地址匹配配置的 Microsoft 365 HR 连接器已配置 Microsoft Healthcare 或 Epic 连接器
有风险的浏览器使用	与至少一个所选浏览指示器匹配的安全性相关的用户浏览活动	请参阅浏览器信号检测一文中的先决条件完整列表
离职用户的安全策略违规活动	人力资源连接器或Microsoft Entra帐户删除的辞职或终止日期指示	（可选）配置用于终止和截止日期指示器的 Microsoft 365 HR 连接器适用于终结点的 Active Microsoft Defender 订阅配置与 Microsoft Purview 合规门户的Microsoft Defender for Endpoint集成
优先用户的安全策略违规	防御规避Microsoft Defender for Endpoint检测到的安全控制或不需要的软件	适用于终结点的 Active Microsoft Defender 订阅配置与 Microsoft Purview 合规门户的Microsoft Defender for Endpoint集成在预览体验计划风险设置中配置优先级用户组
风险用户违反安全策略	- 来自 HR 连接器的性能改进、性能不佳或作业级别更改指标。 - 包含潜在威胁、骚扰或歧视性语言的消息	为风险指标配置的 Microsoft 365 HR 连接器 AND/OR 通信合规性集成和专用风险用户策略 AND 适用于终结点的 Active Microsoft Defender 订阅配置与 Microsoft Purview 合规门户的Microsoft Defender for Endpoint集成

策略模板限制

内部风险管理策略模板使用限制来管理范围内用户风险活动的处理量和速率，以及与支持 Microsoft 365 服务的集成。每个策略模板都有可主动为策略分配风险分数的最大用户数，该策略可以支持和有效处理和报告潜在风险活动。范围用户是触发策略事件的用户。

根据每种策略模板类型获得风险分数的唯一用户总数计算每个策略的限制。如果策略模板类型的用户数接近或超过用户限制，将减少策略性能。若要查看策略的当前用户数，请导航到"策略"选项卡和"范围"列中的"用户"。对于任何策略模板，最多可以有五个策略。这些最大限制适用于使用给定策略模板的所有策略中的用户。

对于任何策略模板，最多可以有 20 个策略。

使用下表确定每个策略模板支持的最大范围内用户数。这些最大限制适用于使用给定策略模板的所有策略中的用户。

策略模板	作用域内用户最大值
常规数据泄露	15,000
风险用户的数据泄漏	7,500
优先级用户的数据泄露	1,000
离职用户窃取数据	20,000
安全策略冲突	1,000
患者数据滥用	5,000
有风险的浏览器使用	7,000
优先用户的安全策略违规	1,000
离职用户的安全策略违规活动	15,000
风险用户违反安全策略	7,500
法医证据	无限制

注意

策略的作用域内用户数显示在“策略”选项卡上的“范围内用户数”列中。