通过创建检测组和内置指标的变体来微调内部风险管理中的排除项 (预览版)

重要

Microsoft Purview 预览体验成员风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

Microsoft Purview Insider Risk Management 提供数十种随时可用的指标。 但是，检测内部风险对于组织中的所有用户来说，可能不是一种一刀切的解决方案。 可以使用内部风险管理策略中的 “全局排除”设置 ，全局排除策略对某些活动进行评分。 但这些排除项适用于你在租户中创建的所有策略的每个触发器和指示器。 使用检测组和变体，可以修改内置的内部风险指标，并为不同的用户组定制检测。 例如，为了减少电子邮件活动的误报数，你可能希望创建一个变体，即向 组织外部的收件人发送带有附件的电子邮件 内置指示器，以仅检测发送到个人域的电子邮件。

创建检测组并将其与内置指示器变体一起使用的整个过程

创建检测组并将其与变体一起使用包括四个步骤：

1. 按照本文所述创建检测组。 创建变体时，将选择此检测组。
2. 创建变体。
3. 在新策略或现有策略中使用变体。
4. 查看与变体中指定的活动相关的警报。

创建检测组

若要创建内置指示器的变体，请首先创建检测组。 检测组可帮助你缩小内置指示器的范围，以专注于对组织重要的高价值活动。

每个策略指示器都包含适用于该指标的某些检测类型。 例如，对于 与组织外部人员共享 SharePoint 文件 指示器，检测类型之一是 域。 共享 SharePoint 文件时，选择要与之共享文件的域。 并非所有指标都具有相同的检测类型。 例如， 域 是 与组织外部人员共享 SharePoint 文件的 检测类型指示器，但它不是 “创建文件或将文件复制到 USB” 指示器的检测类型，因为它在这种情况下不适用。

内部风险管理目前支持七种检测类型：

• 域
• 文件路径
• 文件类型
• 关键字
• 敏感信息类型
• SharePoint 网站
• 可训练的分类器

提示

创建检测组时，可以通过选择组类型的介绍文本中的“ 查看适用指示器 ”链接来查看特定检测的所有适用指示器。

以下过程演示如何为每个组类型创建检测组。

创建域检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。

2. 在右侧面板中的 “类型”下，选择“ 域”。

3. 在右侧面板中，选择“ 新建域组”。

4. 在“ 新建域组 ”窗格中，添加组名称 (或接受建议的名称) 和说明 (可选) 。

5. 在 “添加域” 字段中，输入域，然后按 Enter。 继续以相同的方式添加更多域，或者，如果有一长串要添加的域，可以通过选择“从 CSV 文件导入域”将它们导入为 CSV 文件。 添加的域列在窗格底部。 最多可以创建 10 个域检测组，每个组最多可以有 200 个项目。

   注意

   若要为根域指定多级子域，请选中“ 包括多级子域 ”复选框，添加域，然后按 Enter 将域添加到列表中。 将包含该域中包含的任何子域。 重复相同的过程以添加更多域，然后在完成后选择 “添加域 ”。

   提示

   可以使用通配符来帮助匹配根域或子域的变体。 例如，若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com，请使用通配符条目“*.wingtiptoys.com”来匹配这些子域 (以及同一级别) 的任何其他子域。

6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

免费公共域域组如何检测业务数据外泄到个人电子邮件域

域检测组包括一个名为 “免费公共域 ”的特殊域组，该组包含 (gmail.com 或 yahoo.com 的免费电子邮件提供商列表，例如可用于创建个人电子邮件 ID 的) 。 此列表用于自动突出显示业务数据外泄到个人电子邮件域，以获取 “用户活动 ”和“ 活动资源管理器 ”选项卡上的电子邮件见解。 见解列出了范围内用户发送到免费公共域的电子邮件数。 该列表还用于标识发送到自我的电子邮件 (发送到范围内用户的个人电子邮件帐户) 的算法。 电子邮件见解列出了发送给自己的电子邮件数。

可以像使用任何其他域组一样使用此内置域组，为策略创建内置指示器的变体。 此域组仅适用于向 组织外部的收件人发送带有附件的电子邮件 指示器。 目前，无法编辑或删除 免费公共域 域组。 详细了解如何创建内置指示器的变体

创建文件路径检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板的 “类型”下，选择“ 文件路径”。
3. 在右侧面板中，选择“ 新建文件路径组”。
4. 在 “新建文件路径组 ”窗格中，添加组名称 (或接受建议的名称) 和说明 (可选) 。
5. 选择“ 添加文件路径”，选择要从评分中排除的文件路径，然后选择“ 添加”。 最多可以创建 10 个文件路径检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建文件类型检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板中的 “类型”下，选择“ 文件类型”。
3. 在右侧面板中，选择“ 新建文件类型组”。
4. 在 “新建文件类型组 ”窗格中，添加组名称 (或接受建议的名称) 和说明 (可选) 。
5. 在 “添加文件类型” 字段中，输入文件扩展名，然后按 Enter。 继续以相同方式添加更多文件扩展名。 添加的扩展列在窗格底部。 最多可以创建 10 个文件类型检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建关键字检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板中的 “类型”下，选择“ 关键字”。
3. 在右侧面板中，选择“ 新建关键字组”。
4. 在“ 新建关键字组 ”窗格中，添加组名称 (或接受建议的名称) 和描述 (可选) 。
5. 在 “添加关键字 ”字段中，输入关键字，然后按 Enter。 对要添加的每个关键字重复此过程。 添加的关键字列在窗格底部。 最多可以创建 10 个关键字检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建敏感信息类型检测组

注意

敏感信息类型的排除列表优先于 优先级内容 列表。

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板的 “类型”下，选择“ 敏感信息类型”。
3. 在右侧面板中，选择“ 新建敏感信息类型组”。
4. 在 “新建敏感信息类型组 ”窗格中，为 (组添加名称，或接受建议的名称) 和描述 (可选) 。
5. 选择“ 添加敏感信息类型”，选择要从评分中排除的敏感信息类型，然后选择“ 添加”。 最多可以创建 10 个敏感信息类型组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建 SharePoint 网站检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板中的 “类型”下，选择“ SharePoint 网站”。
3. 在右侧面板中，选择“ 新建 SharePoint 网站组”。
4. 在 “新建 SharePoint 网站组 ”窗格中，添加组名称 (或接受建议的名称) 和描述 (可选) 。
5. 选择“ 添加网站”，选择要从评分中排除的 SharePoint 网站，然后选择“ 添加”。 最多可以创建 10 个 SharePoint 网站检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建可训练的分类器检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板的 “类型”下，选择“ 可训练的分类器”。
3. 在右侧面板中，选择“ 新建可训练的分类器组”。
4. 在 “新建可训练的分类器组 ”窗格中，为 (组添加名称，或接受建议的名称) 和描述 (可选) 。
5. 选择“ 添加可训练分类器”，选择要从评分中排除的可训练分类器，然后选择“ 添加”。 最多可以创建 10 个可训练的分类器检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

另请参阅

• 创建内置指示器的变体。
• 在新策略或现有策略中使用变体。
• 调查与变体中指定的活动相关的警报。