開始使用「內幕風險管理」設定

當您建立原則時,無論您選擇哪個範本,「內部使用者風險管理」設定都適用于所有的有問必答風險管理原則。 設定是使用位於所有內部風險管理索引標籤頂端的 內部風險設定 控制項來設定。 這些設定會控制下列方面的原則元件:

  • 隱私權
  • 指標
  • 原則時程表
  • 智慧型偵測
  • 匯出提醒 (預覽)
  • (預覽的優先順序使用者群組)
  • 優先順序實體資產 (預覽)
  • Power Automate 流量 (預覽)
  • Microsoft Teams (預覽)
  • 分析 (預覽)

在您開始及建立內部使用者風險管理原則之前,請務必瞭解這些設定,並選擇最適合貴組織之規範需求的設定層級。

隱私權

保護符合原則之使用者的隱私權非常重要,可協助提升內部風險警示的資料調查和分析審查的包容性。 針對具有內部擁有風險原則的使用者,您可以選擇下列其中一個設定:

  • 顯示匿名版本的 使用者名稱:使用者的名稱是匿名,可防止系統管理員、資料調查人員和檢閱者看到與原則提醒相關聯的人員。 例如,使用者 'Grace Taylor' 在內部風險管理體驗的所有區域都會以隨機假名 (例如 'AnonIS8-988') 顯示。 選擇此設定會將所有符合目前和過去原則的使用者匿名,並適用於所有原則。 當您選取此選項時,就不會提供「內幕風險警示」和「案例詳細資料」中的使用者設定檔資訊。 不過,將新使用者新增至現有的原則或指派使用者給新的原則時,會顯示使用者名稱。 如果您選擇關閉此設定,則會針對所有具有目前或過去原則相符的使用者顯示使用者名。
  • 不顯示匿名版本的使用者名:會針對提醒及案例顯示所有目前的和過去的原則相符的使用者名。 使用者設定檔資訊 (會為使用者顯示所有擁有者風險管理提醒及案例的名稱、標題、別名及組織或部門) 。

有問必答風險管理隱私權設定

指標

有問必答風險原則範本可定義您要偵測和調查的風險活動類型。 每個原則範本都是以對應特定觸發器和風險活動的特定指示器為基礎。 預設會停用所有指示器,而且必須先選取一個或多個原則指示器,再設定有問必答風險管理原則。

當使用者執行與符合所需閾值之原則指示器相關的活動時,便會觸發警示。 有問必答風險管理使用兩種類型的指示器:

  • 觸發事件:判斷使用者在內部使用者風險管理原則中是否處於作用中的事件。 如果使用者新增至「內部使用者風險管理」原則,卻沒有觸發事件,則原則不會評估使用者活動。 例如,將使用者 A 新增至透過 盜竊使用者 原則範本所建立的原則,以及已正確設定原則及 Microsoft 365 HR connector 的原則。 在使用者 A 有 HR 連接器報告的終止日期之前,使用者 A 活動不會由此產生風險的「內幕風險管理」原則評估。 觸發事件的另一個範例是,在使用 資料洩漏 原則時,使用者有 嚴重性的 DLP 原則警示。
  • 原則指示器:包含在內部使用者風險管理原則中的指示器,用來判斷範圍內使用者的風險評分。 只有在使用者發生觸發事件後,才會啟動這些原則指示器。 一些原則指標的範例是使用者將資料複製到個人雲端儲存服務或可擕式儲存裝置時,如果使用者帳戶已從 Azure Active Directory 中移除,或使用者與未授權的外部團體共用內部檔案和資料夾。

原則指標分為下列方面。 您可以選擇在建立「內幕風險原則」時,為每個指示器層級啟動和自訂指示器事件限制的指示器:

  • Office 指示器:包括 SharePoint 網站、Microsoft Teams 和電子郵件訊息的原則指示器。
  • 裝置 指標:包括透過網路或裝置共用檔案等活動的原則指示器。 標記包括所有檔案類型的活動(包括可執行檔 (.exe) 和動態連結程式庫 (.dll) 檔案活動)。 如果您選取 [裝置 指標],只會處理 Windows 10 組建1809或更高版本之裝置的活動,而且必須先將裝置上架到規範中心。 裝置指示器也包含瀏覽器信號偵測,可協助您的組織偵測並處理 exfiltration 信號,以在 Microsoft Edge 和 Google Chrome 中查看、複製、共用或列印的非可執行檔。 如需設定裝置與內幕風險整合相關的詳細資訊,請參閱本文的下列 啟用裝置指示器和板載裝置 一節。 如需瀏覽器信號偵測的相關資訊,請參閱 瞭解和設定有問必答風險管理瀏覽器的信號偵測 (預覽)
  • 違反安全性原則的指標 (預覽):這些是包括來自 Microsoft Defender 的指示器,以供與未核准或惡意軟體安裝或略過安全性控制的端點相關。 若要在「內幕風險管理」中接收提醒,您必須啟用「使用中的 Defender」「端點授權」和「內部使用者風險整合」。 如需針對內部人員風險管理整合設定 Defender for Endpoint 的詳細資訊,請參閱 在 Microsoft Defender For endpoint 中設定高級功能
  • 實體存取指示器 (預覽):包括對機密資產實體存取的原則指示器。 例如,嘗試存取您實體聲譽徽章授予系統記錄中的限制區域,可與內部擁有者風險管理原則共用。 若要在「內幕風險管理」中接收這些類型的警示,您必須在「內幕風險管理」和「 實體聲譽徽章授予資料連線器 」中啟用優先順序實體資產。 若要深入瞭解設定實體存取,請參閱本文的「 優先順序實體存取」一節
  • Microsoft Cloud App Security 指示器 (預覽):包括來自雲端 App 安全性之共用警示的原則指示器。 自動啟用雲端 App 安全性中的反常偵測會立即開始偵測及排序結果,針對使用者和網路上連接的電腦和裝置,設定許多的行為反常。 若要在「內幕風險管理原則」警示中包含這些活動,請選取本節中的一個或多個指示器。 若要深入瞭解雲端 App 安全性 analytics 和反常偵測,請參閱Get 行為分析和反常偵測
  • 風險分數 boosters:這包括針對非尋常的活動或過去的原則違規,提高風險分數。 啟用風險分數 boosters 可增加風險分數,以及這些類型的活動提醒的可能性。 若是不尋常的活動,當偵測到的活動偏離使用者的一般行為時,則會提升分數。 例如,每日檔案下載大幅增加。 不尋常的活動會呈現為以百分比增加的 (例如,"100% 以上的常見活動 ' ) ,並會根據活動,以不同的方式影響風險分數。 針對先前原則違規的使用者,如果使用者以前因已確認的原則違規而解決了一個以上的案例,就會提升得分。 只有在選取一個或多個指示器時,才能選取風險分數 boosters。

在某些情況下,您可能會想要限制已套用至組織中的內部使用者風險原則的有問必答風險原則指示器。 您可以從所有的內幕郵件原則中停用特定區域,以關閉原則指示器。 無法修改內部人員風險原則範本的觸發事件。

若要定義所有有問必答風險原則中已啟用的有問必答風險原則指示器,請流覽至 [內幕人員風險設定 > 指示器],然後選取一或多個原則指標。 在 [原則嚮導] 中建立或編輯「內幕人員風險原則」時,無法個別設定 [標記設定] 頁面上選取的標記。

注意

新增手動新增的使用者可能需要數小時的時間,才能出現在 [ 使用者] 儀表板 中。 這些使用者過去 90 天的活動最多可能需要 24 小時的時間才能顯示。 若要查看手動新增使用者的活動,請在 [ 使用者] 儀表板 上選取使用者,然後在詳細資料窗格中開啟 [ 使用者活動 ] 索引標籤。

啟用裝置指示器和板載裝置

若要在裝置上監視風險活動,並包含這些活動的原則指示器,您的裝置必須符合下列需求,而且您必須完成下列上架步驟。

步驟1:準備您的端點

請確認您計畫在「內幕風險管理」中報告的 Windows 10 裝置符合這些需求。

  1. 必須執行 Windows 10 x64 組建1809或更新版本,且必須已安裝Windows 10 更新 (OS 組建 17763.1075) 從二月份20,2020。
  2. 用來登入 Windows 10 裝置的使用者帳戶必須是作用中 Azure Active Directory (AAD) 帳戶。 Windows 10 裝置可能是AAD、混合式 AAD,或已加入 Active Directory 或已加入 aad 的 Active Directory。
  3. 在端點裝置上安裝 Microsoft Chromium Edge browser,以監視雲端上傳活動的動作。 請參閱下載以 Chromium 為基礎的新 Microsoft Edge

步驟2:上架裝置

您必須先啟用裝置監控並板載您的端點,才可在裝置上監視內部的風險管理活動。 這兩個動作都是在 Microsoft 365 規範入口網站中採取。

當您想要的板載裝置尚未架時,您可以下載適當的腳本,並依照下列步驟加以部署。

如果您的裝置已上線至 適用於端點的 Microsoft Defender,這些裝置原本就會出現在 [受管理的裝置] 清單中。 遵循 步驟3:如果您在下一節中有裝置架至 Microsoft Defender For Endpoint

在此部署案例中,您將會有尚未架之裝置的板載裝置,而且您只想要監視 Windows 10 裝置上的有問必答風險活動。

  1. 開啟 Microsoft 合規性中心

  2. 開啟 [合規性中心] 設定頁面,然後選擇 [上線裝置]

    注意

    通常啟用裝置上線需要 60 秒的時間,但請等候最多 30 分鐘的時間再與 Microsoft 支援服務聯絡以取得協助。

  3. 選擇 [裝置管理] 以開啟 [裝置] 清單。 在您的裝置上線之前,此清單會是空白。

  4. 選擇 [上線] 開始上線程序。

  5. 從 [ 部署方法 ] 清單中選擇您想要部署到這些裝置的方式,然後再 下載套件

  6. 按照 Windows 10 電腦的上線工具和方法中的適當程序。 此連結會帶您前往一個登陸頁面,讓您存取適用於端點的 Microsoft Defender 且符合您在步驟 5 中選取的部署套件的程序:

    • 使用群組原則上線 Windows 10 電腦
    • 使用 Microsoft Endpoint Configuration Manager 來上線 Windows 電腦
    • 使用行動裝置管理工具上線 Windows 10 電腦
    • 使用本機指令碼上線 Windows 10 電腦
    • 上線非永續性 Virtual Desktop Infrastructure (VDI) 電腦。

完成之後,架端點會顯示在 [裝置] 清單中,而且端點將會開始向「內幕人員風險管理」報告「審核」活動記錄檔。

注意

這項體驗屬於授權強制執行。 若無所需授權,資料將不會顯示或無法存取。

步驟3:如果您有裝置架至 Microsoft Defender for Endpoint

如果已部署 Microsoft Defender for Endpoint,且有端點報告,所有這些端點都會出現在受管理的裝置清單中。 您可以使用「 步驟2:上架裝置 」區段,繼續將新裝置集成到「內幕風險管理」中,以展開覆蓋範圍。

  1. 開啟 Microsoft 合規性中心
  2. 開啟 [合規性中心] 設定頁面,然後選擇 [啟用裝置監控]
  3. 選擇 [裝置管理] 以開啟 [裝置] 清單。 您應該會看到已在 Microsoft Defender for Endpoint 中報告的裝置清單。
  4. 如果您需要在其他裝置上架,請選擇 [上 ]。
  5. 從 [ 部署方法 ] 清單中選擇您想要部署到這些裝置的方式,然後再 下載套件
  6. 按照 Windows 10 電腦的上線工具和方法中的適當程序。 此連結會帶您前往一個登陸頁面,讓您存取適用於端點的 Microsoft Defender 且符合您在步驟 5 中選取的部署套件的程序:
    • 使用群組原則上線 Windows 10 電腦
    • 使用 Microsoft Endpoint Configuration Manager 來上線 Windows 電腦
    • 使用行動裝置管理工具上線 Windows 10 電腦
    • 使用本機指令碼上線 Windows 10 電腦
    • 上線非永續性 Virtual Desktop Infrastructure (VDI) 電腦。

完成後,就會架端點,它應會顯示在 [ 裝置 ] 表格底下,端點會開始向「內幕人員風險管理」報告「審核」活動記錄檔。

注意

這項體驗屬於授權強制執行。 若無所需授權,資料將不會顯示或無法存取。

標記層級設定 (預覽)

在 [原則嚮導] 中建立原則時,您可以設定每日的風險事件數目如何影響「內幕風險」警示的風險分數。 這些指示器設定可協助您控制組織中風險事件的發生次數應該如何影響這些事件的風險分數,以及相關聯的警示嚴重性。 如果您願意,您也可以選擇保留 Microsoft 針對所有啟用的指示器所建議的預設事件閾值等級。

例如,您決定在設定新的有問必答風險 資料洩漏 原則的指示器時,啟用「內部使用者風險原則」設定中的 SharePoint 指示器,以及設定 SharePoint 事件的自訂閾值。 在「內幕風險原則」嚮導中,您可以為每個 SharePoint 指示器設定三個不同的日常事件層次,以影響與這些事件相關聯之警示的風險分數。

有問必答風險管理自訂指示器設定

在第一個 [每日] 事件層級中,您會將臨界值設定為 每日10個或多個事件 ,以降低事件的風險評分影響、每天 20 或 以上的事件,以瞭解對事件風險評分的影響,以及 每天30或以上事件 對事件風險評分的影響。 這些設定實際上表示:

  • 如果有 1-9 SharePoint 事件會發生于觸發事件後,風險分數會影響最低,而且傾向不要產生警示。
  • 如果有 10-19 SharePoint 事件會在觸發事件之後發生,則風險分數原本會變低,警示嚴重性層級一般會是低層級。
  • 如果有 20-29 SharePoint 事件會發生在觸發後,風險分數就會變得更高,警示嚴重性層級一般會是中級。
  • 在觸發後,如果有30個以上的 SharePoint 事件,風險分數就會變得更高,警示嚴重性層級會變得很高。

原則時間範圍

原則時間範圍可讓您定義根據內部風險管理原則範本的事件和活動,在符合原則之後觸發的過去和未來審查期間。 視您所選擇的原則範本而定,下列原則時段可供使用:

  • 啟用視窗:適用于所有原則範本, 啟用視窗 是在觸發事件 之後 所定義的時段數目。 針對指派給該原則的任何使用者,此視窗會在觸發事件發生前于1到30天內啟用。 例如,您已設定「有問必答風險管理」原則,並將 啟用時段 設定為30天。 自您設定原則以來已經過數個月,並會針對原則中包含的其中一位使用者,觸發事件。 觸發事件會在觸發事件發生後的30天內,啟動 [ 啟用] 視窗 ,並為該使用者啟用該原則。
  • 過去的活動偵測:可用於所有原則範本,但 過去的活動偵測 是在觸發事件 之前 定義的視窗天數。 針對指派給該原則的任何使用者,此視窗會在觸發事件發生前,于0至180天內啟用。 例如,您已設定「有問必答風險管理」原則,並將 過去的活動偵測 設定為90天。 自您設定原則以來已經過數個月,並會針對原則中包含的其中一位使用者,觸發事件。 觸發事件會啟動 過去的活動偵測 ,而且原則會在觸發事件前的90天內收集該使用者的已歷史活動。

有問必答風險管理時間範圍設定

智慧型偵測

智慧偵測設定可協助您簡化針對警示處理危險活動的偵測方式。 在某些情況下,您可能需要定義要忽略的檔案類型,或者您想要強制執行檔案的偵測層級,以協助定義提醒的最小列。 使用這些設定來控制整體警示數量、檔案類型排除和檔案磁片區限制。

檔案類型排除

若要從所有的內幕風險管理原則相符中排除特定檔案類型,請輸入以逗號分隔的檔案類型副檔名。 例如,若要從符合原則的範圍中排除某些音樂檔案類型,您可以在檔案類型排除範圍欄位中輸入 aac、mp3、wav、wma。 所有的有問必答風險管理原則都會忽略具有這些副檔名的檔案。

不尋常檔案活動的臨界值

若要在報告「內幕風險原則」中報告活動警示之前定義最低的檔等級,請輸入檔案數目。 例如,如果您不想要在使用者下載10個檔案或更少時產生有問必答風險警示,也請輸入 ' 10 ',即使原則認為此活動不尋常也是一樣。

警示量

擁有者風險原則所偵測到的使用者活動,會被指派特定風險分數,進而決定警示嚴重性 (低、中、高) 。 根據預設,我們會產生一定數量的低、中和高嚴重性警示,但是您可以增加或減少音量,以符合您的需求。 若要調整所有有問必答風險管理原則的警示數量,請選擇下列其中一個設定:

  • 較少的提醒:您會看到所有高嚴重性警示、較少嚴重性警報,但沒有低嚴重性。 此設定層級表示您可能會遺漏某些 true 的正值。
  • 預設磁片 區:您會看到所有的高嚴重性警示,以及「中低」和「嚴重性」嚴重性警示的數量。
  • 其他警示:您會看到所有的中、高嚴重性的警示和最高嚴重性的警示。 這項設定層級可能會產生較多的誤報。

Microsoft Defender for Endpoint (preview)

Microsoft Defender For Endpoint 是一種企業端點安全性平臺,旨在協助商業網路避免、偵測、調查和回應高級威脅。 若要更好地瞭解組織中的安全性違規,您可以匯入並篩選 Defender,以取得來自「內部使用者風險管理安全性違規原則」原則的原則中所使用的活動。

視您所感興趣的信號類型而定,您可以選擇根據您的 Defender for Endpoint alert 會審狀態,將警示匯入「內幕人員風險管理」。 您可以在要匯入的全域設定中,定義下列一或多個警示會審狀態:

  • Unknown
  • 新增
  • 進行中。
  • 已解決

每日會匯入來自 Defender for Endpoint 的警示。 視您所選擇的會審狀態而定,您可能會看到與 [Defender for Endpoint] 中的 [會審狀態變更] 相同警示的多個使用者活動。

例如,如果您為此設定選取 [ 新增]、[ 正在進行] 及 [ 已解決 ],則在產生 Microsoft Defender for Endpoint 警示時,當狀態為「 」時,會為使用者匯入「內幕風險」的初始警示活動。 當 Defender for Endpoint 會審狀態變更為 [ 正在進行中] 時,會為使用者匯入此警示的第二個活動。 設定 解決 的最終「端點會審」狀態時,會為使用者匯入此警示的第三個活動。 這項功能可讓調查人員追蹤 Defender for Endpoint 警示的進度,並選擇其調查所需的可見度層級。

重要

您必須在組織中已設定有 Microsoft Defender 進階威脅防護,並在 Defender 安全性中心內針對內部管理風險整合啟用 Defender for Endpoint,以匯出安全性違規警示。 如需關於設定內部風險管理整合的 Defender for Endpoint 的詳細資訊,請參閱在 Defender for Endpoint 中設定進階功能

網域 (預覽)

網域設定可協助您為特定網域的活動定義風險層級。 這些活動包括共用檔、傳送電子郵件訊息、下載或上傳內容。 透過在這些設定中指定網域,您可以增加或減少與這些網域發生之活動的風險計分。

使用 [新增網域],為每個網域設定定義網域。 此外,您可以使用萬用字元來協助符合根網域或子域的變化。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,您可以使用萬用字元專案 ' *. wingtiptoys.com」,在同一層級) 與其他子域 (搭配使用。 若要指定根網域的多層級子域,您必須選取 [ 包含多層子域 ] 核取方塊。

針對下列每個網域設定,您最多可以輸入500個網域:

  • Unallowed 網域: 透過指定 unallowed 網域,使用這些網域進行的活動會有 較高 的風險分數。 某些範例是涉及與某人共用內容的活動,例如,使用 gmail.com) 位址將電子郵件傳送給某人 (例如,當使用者從下列其中一個 unallowed 網域下載內容到裝置時)。

  • 允許的網域: 您的原則將會忽略與允許的網域相關的特定活動,而且不會產生警示。 這些活動包括:

    • 傳送至外部網域的電子郵件
    • 檔、資料夾、與外部網域共用的網站
    • 將檔案上傳至外部網域 (使用 Microsoft Edge 瀏覽器)

    在 [設定] 中指定允許的網域時,此活動與這些網域的處理方式類似于處理內部組織活動的方式。 例如,在此新增的網域會對應至活動,例如,將內容與組織外部的人員共用 (例如,使用 gmail.com 位址) 傳送電子郵件給某人。

  • 協力廠商網域: 如果您的組織使用協力廠商網域來進行商務目的 (例如雲端儲存體) ,請將其包含在這裡,這樣您就可以接收與裝置指示器相關之活動的警示。請 使用瀏覽器從協力廠商網站下載內容

匯出提醒 (預覽)

透過Office 365 管理活動 API 架構,可將內幕用的風險管理提醒資訊匯出至安全性資訊和事件管理 (SIEM) 服務。 您可以使用「Office 365 管理」活動 APIs,將警示資訊匯出至組織可能用來管理或匯總內部使用者風險資訊的其他應用程式。

若要使用 APIs 查看「內幕風險」警示資訊:

  1. 在「內幕風險管理」中啟用 Office 365 管理活動 API 支援 > 設定 > 匯出提醒。 根據預設,您的 Microsoft 365 組織會停用此設定。
  2. SecurityComplianceAlerts 來篩選一般 Office 365 的審計活動。
  3. InsiderRiskManagement 類別篩選 SecurityComplianceAlerts

有問必答風險管理匯出提醒設定

警示資訊包含安全性與合規性警示架構及 Office 365 管理活動 API 通用架構中的資訊。

針對 Security & 相容性警示架構,會匯出下欄欄位及值,以取得內幕風險管理警示:

警示參數 描述
AlertType 警示的類型為 [ 自訂]。
為 alertid 警示的 GUID。 有問必答風險管理提醒是可變的。 當警示狀態變更時,會產生具有相同 AlertID 的新記錄。 此 AlertID 可用於關聯警示的更新。
類別 警示的類別是 InsiderRiskManagement。 此類別可用於辨別來自其他安全性 & 合規性警示的警示。
註解 警示的預設批註。 值是在建立警示時所記錄的 新警示 () 並在更新警示) 時, (記錄 警示更新 。 使用 AlertID 來關聯警示的更新。
資料 警示的資料,包含使用者的唯一識別碼、使用者主體名稱,以及在使用者被觸發到原則時 (UTC) 的日期和時間。
名稱 產生警示之有問必答風險管理原則的原則名稱。
PolicyId 觸發警示的「有問必答風險管理」原則的 GUID。
嚴重性 警示的嚴重性。 值為
來源 警示的來源。 其值為 Office 365 安全性 & 相容性
狀態 警示的狀態。 值是作用中 (需要 在「內幕風險」) 中,調查 (已 確認 的內會員風險) 中的 [ 已確定] (,已解決) 在「內幕人員風險 (中解除) 。
版本 安全性與合規性警示架構的版本。

針對Office 365 管理活動 API 一般架構,會匯出下欄欄位及值,以取得內部的風險管理提醒。

  • UserId
  • 識別碼
  • RecordType
  • CreationTime
  • 作業
  • OrganizationId
  • UserType
  • UserKey

(預覽的優先順序使用者群組)

組織中的使用者可能會有不同層級的風險,取決於其位置、敏感資訊存取權或風險記錄。 排定這些使用者之活動的檢查和計分的優先順序,可協助提醒您組織可能會產生更高後果的潛在風險。 「有問必答風險管理」中的「優先順序使用者群組」可協助您定義組織中需要進一步檢查及更敏感風險計分的使用者。 結合優先順序使用者和資料洩漏的 安全性原則違反**優先順序使用者 原則範本,新增至優先順序使用者群組的使用者,具有較高嚴重性等級的「擁有者」風險警示及警示的可能性增加。

有問必答風險管理優先順序使用者群組設定

「所有分析員」和「調查人員」不是由「開啟」來查看,但是優先順序使用者群組可能也需要將「審閱」活動限制在特定使用者或內部的「有問必答風險」角色群組 您可以選擇指派個別的使用者和角色群組,以查看每個優先順序使用者群組的使用者、提醒、案例及報告。 [優先順序] 使用者群組可對內建的「內部使用者 風險 管理」、「 內幕風險管理分析員」和「 內部使用者風險管理調查 人員」角色群組、一或多個角色群組,或自訂的使用者選取範圍,取得「複查」許可權。

例如,您需要針對高度機密的專案,避免使用者可以存取機密資訊的資料洩漏。 您可以選擇為組織中可在此專案上運作的使用者,建立 機密 Project 使用者 優先順序使用者群組。 此外,此優先順序使用者群組不應該有與群組相關聯的使用者、警示、案例和報告,對所有預設的「內部使用者風險管理」、「分析員」和「調查人員」可見。 在 設定 中,您可以建立「機密 Project 使用者 優先順序使用者」群組,並將兩個使用者指派為檢閱者,以查看與群組相關的資料。 您可以使用原則嚮導和 優先順序使用者 原則範本的資料洩漏,來建立新的原則,並將 機密 Project 使用者 優先順序使用者群組指派給原則。 由「機密 Project 使用者」優先順序使用者群組之成員的原則所檢查的活動,對風險和活動的敏感程度,對這些使用者而言更有可能會產生警示,而且具有較高嚴重性層級的警示。

建立優先順序使用者群組

若要建立新的優先順序使用者群組,您會使用 Microsoft 365 合規性中心中的「內部使用者風險管理」方案中的設定控制項。 若要建立優先順序使用者群組,您必須是「 內部使用者風險管理 」或「 內幕風險管理 」管理角色群組的成員。

完成下列步驟以建立優先順序使用者群組:

  1. Microsoft 365 合規性中心中,移至 [內部人員風險管理],然後選取 [有問必答風險設定]。
  2. 選取 [ 優先順序使用者群組 (預覽]) ] 索引標籤。
  3. 在 [ 優先順序使用者群組 (預覽) ] 索引標籤上,選取 [ 建立優先順序使用者群組 ],以啟動 [群組建立] 嚮導。
  4. 在 [ 名稱與描述 ] 頁面上,完成下欄欄位:
    • Name (必要):請為優先順序使用者群組輸入易記名稱。 您在完成該嚮導後,就無法變更 [優先順序] 使用者群組的名稱。
    • Description (optional):輸入優先順序使用者群組的描述。
  5. 選取 [下一步] 繼續。
  6. 在 [ 選擇成員 ] 頁面上,選取 [選擇 要搜尋的成員],然後選取要包含在群組中的擁有郵件功能的使用者帳戶,或選取 [ 選取所有 ] 核取方塊,將組織中的所有使用者新增至群組。 選取 [ 新增 ] 繼續或 [ 取消 ] 關閉,而不將任何使用者新增至群組。
  7. 選取 [下一步] 繼續。
  8. 在 [ 選擇可查看此群組的人員 ] 頁面上,您必須定義誰可以查看 [優先順序] 使用者群組的使用者、警示、案例及報告。 必須至少指派一個使用者或「內部使用者風險管理」角色群組。 選取 [選擇使用者和角色群組 ],然後選取您要指派給 [優先順序] 使用者群組的使用者或「有問必答風險管理」角色群組。 選取 [ 新增 ],將選取的使用者或角色群組指派給群組。
  9. 選取 [下一步] 繼續。
  10. 在 [ 複查 ] 頁面上,複查您為 [優先順序] 使用者群組選取的設定。 選取 [ 編輯 連結] 以變更任一群組值, 或選取 [ 送出] 以建立及啟動 [優先順序] 使用者群組。
  11. 在 [確認] 頁面上,選取 [ 完成] 結束 嚮導。

更新優先順序使用者群組

若要更新現有的優先順序使用者群組,您會使用 Microsoft 365 合規性中心中的「內部使用者風險管理」方案中的設定控制項。 若要更新優先順序使用者群組,您必須是「 內部使用者風險管理 」或「 內幕風險管理 」管理角色群組的成員。

完成下列步驟以編輯優先順序使用者群組:

  1. Microsoft 365 合規性中心中,移至 [內部人員風險管理],然後選取 [有問必答風險設定]。
  2. 選取 [ 優先順序使用者群組 (預覽]) ] 索引標籤。
  3. 選取您要編輯的 [優先順序] 使用者群組,然後選取 [ 編輯群組]。
  4. 在 [ 名稱與描述 ] 頁面上,視需要更新描述欄位。 您無法更新優先順序使用者群組的名稱。 選取 [下一步] 繼續。
  5. 在 [ 選擇成員 ] 頁面上,使用 [ 選擇成員 ] 控制項,將新成員新增至群組。 若要從群組中移除使用者,請選取您要移除之使用者旁邊的「X」。 選取 [下一步] 繼續。
  6. 在 [ 選擇可查看此群組的人員 ] 頁面上,新增或移除使用者或角色群組,以查看優先順序使用者群組的使用者、警示、案例及報告。
  7. 選取 [下一步] 繼續。
  8. 在 [ 複查 ] 頁面上,複查您為 [優先順序] 使用者群組選取的更新設定。 選取 [ 編輯 連結] 以變更任一群組值,或選取 [ 提交 ] 以更新 [優先順序] 使用者群組。
  9. 在 [確認] 頁面上,選取 [ 完成] 結束 嚮導。

刪除優先順序使用者群組

若要刪除現有的優先順序使用者群組,您會使用 Microsoft 365 合規性中心中的「內部使用者風險管理」方案中的設定控制項。 若要刪除優先順序使用者群組,您必須是「 內部使用者風險管理 」或「 內幕風險管理 」管理角色群組的成員。

重要

刪除 [優先順序] 使用者群組會將其從所指派的任何作用中原則中移除。 如果您刪除指派給使用中原則的優先順序使用者群組,則該原則不會包含任何範圍內的使用者,且將有效地閒置,也不會建立提醒。

完成下列步驟以刪除優先順序使用者群組:

  1. Microsoft 365 合規性中心中,移至 [內部人員風險管理],然後選取 [有問必答風險設定]。
  2. 選取 [ 優先順序使用者群組 (預覽]) ] 索引標籤。
  3. 選取您要編輯的 [優先順序] 使用者群組,然後從 [儀表板] 功能表中選取 [ 刪除 ]。
  4. 在 [ 刪除 ] 對話方塊中,選取 [ 是] 刪除優先順序使用者群組,或選取 [ 取消 ] 以回到儀表板。

優先順序實體資產 (預覽)

識別對優先順序實體資產的存取,以及將存取活動與使用者事件關聯,是法規遵從性基礎結構的重要元件。 這些實體資產代表組織中的優先順序位置,例如公司大樓、資料中心或伺服器機房。 內幕風險活動可能會與使用者工作不尋常的時段相關聯,嘗試存取這些未經授權的機密或安全區域,並要求存取高層次區域,但沒有合法的需求。

在啟用優先順序的實體資產和 實體聲譽徽章授予資料連線器 設定的情況下,內部使用者風險管理會將您實體控制和存取系統的信號與其他使用者風險活動整合。 透過檢查各實體存取系統的行為模式,並將這些活動與其他有問必答風險事件關聯,可協助合規性調查人員和分析員對提醒作出更明智的回應決策。 對優先順序實體資產的存取權以不同于非優先順序資產的存取權進行計分及識別。

例如,您的組織為使用者提供了聲譽徽章授予系統,可監控和核准對正常運作及敏感專案區域的實際存取。 您有數個使用者在處理機密專案,而這些使用者會在專案完成時回到其他組織區域。 當敏感專案臨近完成時,您想要確定專案工作仍然保持機密,且嚴格控制對專案區域的存取。

您可以選擇啟用 Microsoft 365 中的實體聲譽徽章授予資料連線器,以匯入您實體聲譽徽章授予系統的存取訊號,並在「內幕人員風險管理」中指定優先順序實體資產。 透過從您的聲譽徽章授予系統匯入資訊,並將實體存取訊號與「有問必答風險管理」中識別的其他風險活動相關聯,您會注意到專案的其中一位使用者在正常的工作時間之後存取專案辦事處,而且也會將大量資料從其正常的工作區域匯出到個人雲端儲存服務。 與線上活動相關聯的此實體存取活動可能會指出可能的資料偷竊和合規性調查人員和分析員可以採取此使用者環境所規定的適當動作。

內部人員風險管理優先順序實體資產

設定優先順序實物資產

若要設定優先順序的實物資產,您可以設定實體聲譽徽章授予連接器,並使用 Microsoft 365 合規性中心中的「內部使用者風險管理」方案中的設定控制項。 若要設定優先順序的實物資產,您必須是「 內部使用者風險管理 」或「 內幕風險管理」管理角色群組 的成員。

完成下列步驟來設定優先順序實物資產:

  1. 請依照「 開始使用內幕程式風險管理 」一文中的「內幕程式風險管理」的設定步驟進行。 在步驟3中,請確定您已設定實體聲譽徽章授予連接器。

    重要

    若要使用內部的風險管理原則,並與透過您實體控制和存取平臺中的事件資料的去聲和終止使用者相關的信號資料,您也必須設定 Microsoft 365 HR 連接器。 如果您啟用實體聲譽徽章授予連接器,但未啟用 Microsoft 365 HR connector,「內部使用者風險管理原則」只會處理組織中使用者之實體存取活動的事件。

  2. Microsoft 365 合規性中心中,移至 [內部人員風險管理],然後選取 [內部人員風險設定 > 優先順序實物資產]。

  3. 在 [ 優先順序實物資產 ] 頁面上,您可以手動新增您要監視之實體聲譽徽章授予連接器所匯入之資產事件的實體資產 IDs,或匯入所有實體資產 IDs 所匯入的 .csv 檔案。) 手動新增實體資產 IDs,請選擇 [ 新增優先順序實物資產],輸入實物資產識別碼,然後選取 [ 新增]。 輸入其他實物資產 IDs,然後選取 [ 新增優先順序的實物資產 ] 以儲存輸入的所有資產。 b) 若要從 .csv 檔新增實體資產 IDs 清單,請選擇 [匯 入優先順序實物資產]。 從 [檔案瀏覽器] 對話方塊中,選取您要匯入的 .csv 檔案,然後選取 [ 開啟]。 .csv 檔案中的實體資產 IDs 會新增至清單。

  4. 流覽至設定中的 [原則指示器] 索引標籤。

  5. 在 [ 原則 指標] 頁面上,流覽至 [ 實體存取 指標] 區段,然後選取 終止或存取機密資產失敗後的實體存取 核取方塊。

  6. 選取 [ 儲存 ] 設定並結束。

刪除優先順序的實物資產

若要刪除現有的優先順序實物資產,您將使用 Microsoft 365 合規性中心中的「內部使用者風險管理」方案中的設定控制項。 若要刪除優先順序的實物資產,您必須是「內部使用者風險管理」或「內幕風險管理」管理角色群組的成員。

重要

刪除優先順序的實物資產會將其預先包含的任何作用中原則,從考試中移除。 不會刪除優先順序實體資產相關聯的活動所產生的警示。

完成下列步驟以刪除優先順序實物資產:

  1. Microsoft 365 合規性中心中,移至 [內部人員風險管理],然後選取 [內部人員風險設定 > 優先順序實物資產]。
  2. 在 [ 優先順序實物資產 ] 頁面上,選取您要刪除的資產。
  3. 在 [動作] 功能表上選取 [ 刪除 ],以刪除資產。

Power Automate 流量 (預覽)

Microsoft Power Automate是一種工作流程服務,可在應用程式和服務間自動執行動作。 您可以使用來自範本或手動建立的流程,來自動化與這些應用程式和服務相關聯的常見工作。 當您啟用內部使用者風險管理的 Power Automate 流程時,您可以自動化案例和使用者的重要工作。 您可以設定 Power Automate 流量,以取得使用者、警示及案例資訊,並與專案關係人和其他應用程式共用此資訊,以及自動化內部人員風險管理中的動作,例如:發佈至案例記事。 Power Automate 流程適用于案例及原則範圍中的任何使用者。

使用含「內幕風險管理」的 Microsoft 365 訂閱的客戶,不需要其他 Power Automate 授權,即可使用建議的內幕程式風險管理 Power Automate 範本。 您可以自訂這些範本,以支援您的組織及涵蓋核心內部使用者風險管理案例。 如果您選擇在這些範本中使用特優 Power Automate 功能,請使用 Microsoft 365 規範連接器建立自訂範本,或在 Microsoft 365 中使用其他規範區域的 Power Automate 範本,您可能需要更多 Power Automate 授權。

下列 Power Automate 範本可供客戶用來支援內部使用者風險管理使用者和案例的程式自動化:

  • 使用者新增至「內部使用者風險原則」時通知使用者:此範本適用于具有內部原則、隱私權或法規需求的組織,當使用者服從于「內幕人員風險管理」原則時,必須加以通知。 當使用者在 [ 使用者 ] 頁面上為使用者設定並選取此流程時,當使用者新增至「有問必答風險管理」原則時,系統會傳送電子郵件訊息給使用者及其主管。 這個範本也支援更新 SharePoint 網站上主控的 SharePoint 清單,以協助追蹤通知訊息的詳細資料,例如日期/時間和郵件收件者。 如果您已選擇 anonymize [ 隱私權設定] 中的使用者,從此範本所建立的流程將不會按預定方式運作,因此會維護使用者隱私權。 使用此範本的 Power Automate 資料流程可在 [使用者] 儀表板 上使用。

  • 在內部使用者風險案例中,向使用者要求來自人力資源或公司的資訊:在案例中,內幕人士風險分析員和調查人員可能需要與人力資源或其他專案關係人協商,以瞭解案例活動的內容。 當您為案例設定並選取此流程時,分析員和調查人員會傳送電子郵件給為此流程設定的人力資源和業務利益關係人。 每個收件者都是以預先設定或可自訂的回應選項傳送郵件。 [收件者] 選取 [回應] 選項時,會將回應記錄為案例附注,並包含收件者和日期/時間資訊。 如果您已選擇 anonymize [ 隱私權設定] 中的使用者,從此範本所建立的流程將不會按預定方式運作,因此會維護使用者隱私權。 您可以在 案例儀表板 上使用此範本 Power Automate 資料流程。

  • 當使用者有「有問必答風險」提醒時通知管理員:有些組織可能需要在使用者有「擁有者風險管理」提醒時立即產生管理通知。 設定並選取此流程時,系統管理員會收到一封電子郵件,其中包含所有案例提醒的下列相關資訊:

    • 適用于警示的原則
    • 提醒的日期/時間
    • 警示的嚴重性等級

    此流程會自動更新案例備註,表明郵件已傳送,且該流程已啟用。 如果您已選擇 anonymize [ 隱私權設定] 中的使用者,從此範本所建立的流程將不會按預定方式運作,因此會維護使用者隱私權。 您可以在 案例儀表板 上使用此範本 Power Automate 資料流程。

  • 在 ServiceNow 中建立內部使用者風險案例的記錄:此範本適用于想要使用其 ServiceNow 解決方案追蹤內部的風險管理案例的組織。 當您在案例中,內幕風險分析員和調查人員可以在 ServiceNow 中為案例建立記錄。 您可以根據組織的需求,自訂此範本,以填入 ServiceNow 中所選的欄位。 您可以在 案例儀表板 上使用此範本 Power Automate 資料流程。 如需可用 ServiceNow 欄位的詳細資訊,請參閱 ServiceNow Connector 參考 文章。

從內幕人士風險管理範本建立 Power Automate 流程

若要從建議的「內幕風險管理」範本建立 Power Automate 流程,您可以在直接在 案例使用者儀表板 中工作時,使用 Microsoft 365 合規性中心或「管理 Power Automate 流量」選項中的「有問必答風險管理」方案中的 [設定 ] 控制。

若要在 [設定] 區域中建立 Power Automate 流程,您必須是「內部使用者風險管理」或「內幕風險管理」管理角色群組的成員。 若要使用 [管理 Power Automate 流程] 選項建立 Power Automate 流程,您必須是至少一個「內幕風險管理」角色群組的成員。

完成下列步驟,以從建議的內幕人士風險管理範本建立 Power Automate 流程:

  1. Microsoft 365 合規性中心中,移至 [內幕風險管理],然後選取 [內部 > Power Automate 流程 的「擁有者風險設定]。 您也可以透過選擇 [自動化 Power Automate 流程] 來存取「案例」或「使用者」儀表板 頁面 > ****。
  2. 在 [ Power Automate 流程] 頁面上,從頁面上 您可能想要的「有問必答風險管理範本」區段中,選取建議的範本。
  3. 流程會列出流程所需的內嵌連線,並注意是否有可用的線上狀態。 如有需要,請更新任何未顯示為可用的連線。 選取 [ 繼續]。
  4. 根據預設,建議的流程會預先設定推薦的「內幕風險管理」和「Microsoft 365 服務資料」欄位,以完成流程所指派的工作。 如有需要,請使用 [ 顯示高級選項 ] 控制項,並設定流程元件的可用屬性,以自訂流程元件。
  5. 如有需要,請選取 [ 新增步驟 ] 按鈕,將任何其他步驟新增至流程。 在大多數情況下,建議的預設範本不需要這麼做。
  6. 選取 [ 儲存草稿 ] 以儲存流程以進行進一步設定,或選取 [ 儲存 ] 以完成流程的設定。
  7. 選取 [關閉] 以回到 Power Automate 流程] 頁面。 新的範本會在「 我的資料流程 」索引標籤上的流程中列出,當您使用建立流程之使用者的「有問必答」風險管理案例時,會自動從 [ 自動化 ] 下拉式清單中取得。

重要

如果您組織中的其他使用者需要存取流程,必須共用流程。

有問必答風險管理功能自動化流程

建立內部人員風險管理的自訂 Power Automate 流程

您組織的某些程式和工作流程可能位於建議的內幕使用者風險管理流程範本以外,您可能需要為內部使用者風險管理區域建立自訂 Power Automate 流程。 Power Automate 流程非常靈活,且支援廣泛的自訂,但是必須採取一些步驟,才能與「內幕人員風險管理」功能整合。

完成下列步驟,為內部人員風險管理建立自訂 Power Automate 範本:

  1. 檢查您的 Power Automate 流程授權:若要建立使用「內部使用者風險管理」觸發器的自訂 Power Automate 流程,您需要 Power Automate 授權。 建議的內部使用者風險管理流程範本不需要額外的授權,而且會包含在您的有問必答風險管理授權中。
  2. 建立自動化流程:建立流程,該流程會在由內幕人員風險管理事件觸發後執行一或多項工作。 如需如何建立自動流程的詳細資訊,請參閱create a flow in Power Automate
  3. 選取 Microsoft 365 規範連接器:搜尋並選取 Microsoft 365 規範連接器。 此連接器啟用內部使用者風險管理觸發器和動作。 如需連接器的詳細資訊,請參閱 連接器參考概覽 文章。
  4. 選擇您流程的「有問必答風險管理觸發器」:「內部使用者風險管理」有兩個可供自訂 Power Automate 流程使用的觸發器:
    • 針對選取的「內幕風險管理案例」,可以從「內幕風險管理案例」儀表板頁面中選取使用此觸發器的流程。
    • 針對選取的「內部使用者風險管理」使用者:可以從「內幕使用者風險管理使用者」儀表板頁面中選取使用此觸發器的流程。
  5. 選擇您流程的「有問必答風險管理動作」:您可以選擇多個執行內部專案風險管理的動作,以包含在您的自訂流程中:
    • 取得有問必答風險管理提醒
    • 取得有問必答風險管理案例
    • 取得有問必答風險管理使用者
    • 取得案例的有問必答風險管理提醒
    • 新增「有問必答風險管理案例」附注

共用 Power Automate 流程

根據預設,使用者所建立的 Power Automate 資料流程只適用于該使用者。 若要讓其他有問必答風險管理使用者能夠存取和使用流程,流程必須由流程建立者共用。 若要共用流程,當直接在 案例使用者儀表板 頁面中工作時,您可以使用「自動化」控制中的「內幕風險管理」方案 中的「Microsoft 365 合規性中心」或「管理 Power Automate 流量」選項中的 [設定] 控制項。 當您已共用流程之後,共用該流程的所有人都可以在 案例使用者儀表板 中存取「自動化 控制」下拉式清單中的流程。

若要在 [設定] 區域中共用 Power Automate 流程,您必須是「內部使用者風險管理」或「內幕風險管理」管理角色群組的成員。 若要與 [管理 Power Automate 流程] 選項共用 Power Automate 流程,您必須是至少一個「內幕風險管理」角色群組的成員。

完成下列步驟以共用 Power Automate 流程:

  1. Microsoft 365 合規性中心中,移至 [內幕風險管理],然後選取 [內部 > Power Automate 流程 的「擁有者風險設定]。 您也可以透過選擇 [自動化 Power Automate 流程] 來存取「案例」或「使用者」儀表板 頁面 > ****。
  2. 在 [ Power Automate 流程] 頁面上,選取 [我的流程] 或 [小組流程] 索引標籤。
  3. 選取 [要共用的流程],然後從 [流程選項] 功能表中選取 [ 共用 ]。
  4. 在 [流程共用] 頁面上,輸入您要新增為流程的擁有者的使用者或群組名稱。
  5. 在 [ 使用的連接 ] 對話方塊中,選取 [確定 ] 以確認新增的使用者或群組具有流程的完整存取權。

編輯 Power Automate 流程

若要編輯流程,當直接在 案例使用者儀表板 中工作時,您可以使用「自動化」控制中的「內幕風險管理」方案中的「Microsoft 365 合規性中心」或「管理 Power Automate 流量」選項中的設定控制項。

若要在 [設定] 區域中編輯 Power Automate 流程,您必須是「內部使用者風險管理」或「內幕風險管理」管理角色群組的成員。 若要使用 [管理 Power Automate 流程] 選項編輯 Power Automate 流程,您必須是至少一個「內幕風險管理」角色群組的成員。

完成下列步驟以編輯 Power Automate 流程:

  1. Microsoft 365 合規性中心中,移至 [內幕風險管理],然後選取 [內部 > Power Automate 流程 的「擁有者風險設定]。 您也可以透過選擇 [自動化 Power Automate 流程] 來存取「案例」或「使用者」儀表板 頁面 > ****。
  2. 在 [ Power Automate 流程] 頁面上,選取要編輯的流程,然後從 [流程式控制制] 功能表中選取 [編輯]。
  3. 選取 省略號 > 設定 以變更流程元件設定或 省略號 > 刪除,以刪除流程元件。
  4. 選取 [ 儲存 ],然後按一下 [ 關閉 ] 完成流程的編輯。

刪除 Power Automate 流程

若要刪除流程,當直接在 案例使用者儀表板 中工作時,您可以使用「自動化」控制中的「內幕風險管理」方案中的「Microsoft 365 合規性中心」或「管理 Power Automate 流量」選項中的設定控制項。 當流程遭刪除時,會將其當作所有使用者的選項移除。

若要刪除 [設定] 區域中的 Power Automate 流程,您必須是「內部使用者風險管理」或「內幕風險管理」管理角色群組的成員。 若要使用 [管理 Power Automate 流程] 選項刪除 Power Automate 流程,您必須是至少一個「內幕風險管理」角色群組的成員。

完成下列步驟以刪除 Power Automate 流程:

  1. Microsoft 365 合規性中心中,移至 [內幕風險管理],然後選取 [內部 > Power Automate 流程 的「擁有者風險設定]。 您也可以透過選擇 [自動化 Power Automate 流程] 來存取「案例」或「使用者」儀表板 頁面 > ****。
  2. 在 [ Power Automate 流程] 頁面上,選取要刪除的流程,然後從 [流程式控制制] 功能表中選取 [刪除]。
  3. 在 [刪除確認] 對話方塊中,選取 [ 刪除 ] 以移除流程,或選取 [ 取消 ] 結束刪除動作。

Microsoft Teams (預覽)

規範分析師和調查人員可以輕鬆地使用 Microsoft Teams 來共同作業上的內幕風險管理案例。 他們可以在 Microsoft Teams 中與其他專案關係人協調和通訊:

  • 協調和審閱私人 Teams 通道中案例的回應活動
  • 安全地共用及儲存與個別案例相關的檔案與證據
  • 依分析員和調查人員追蹤和審閱回應活動

在為內部的「內幕風險管理」啟用 Microsoft Teams 後,每次確認提醒並建立案例時,就會建立專屬的 Microsoft Teams 小組。 根據預設,小組會自動納入「 內部使用者風險管理」、「 有問必答風險管理分析師」和「 內幕風險管理調查 人員」角色群組的所有成員, (最多100初始使用者) 。 其他組織參與者可能會在建立之後和適當時,新增至團隊。 在啟用 Microsoft Teams 之前所建立的現有案例中,分析人員和調查人員可以選擇在必要時使用案例中建立新的 Microsoft Teams 團隊。 當您解決「內幕風險管理」中的相關案例後,就會自動將該小組封存 (移至隱藏及唯讀) 。

如需如何在 Microsoft Teams 中使用小組和頻道的詳細資訊,請參閱在 Microsoft Teams 中的團隊和頻道簡介

為案例啟用 Microsoft Teams 支援,快速且易於設定。 若要啟用「內部測試人員風險管理」 Microsoft Teams,請完成下列步驟:

  1. Microsoft 365 合規性中心中,移至「有問必答風險管理 > 內部 人員風險設定」。
  2. 選取 [ Microsoft Teams ] 索引標籤。
  3. 啟用內部 Microsoft Teams 整合,以進行內部的風險管理。
  4. 選取 [ 儲存 ] 設定並結束。

有問必答風險管理 Microsoft Teams

建立現有案例的 Microsoft Teams 小組

如果您在有現有案例後,為內部使用者風險管理啟用 Microsoft Teams 支援,您必須視需要為每個案例手動建立小組。 在「內幕風險管理」設定中啟用 Microsoft Teams 支援,新案例會自動建立新的 Microsoft Teams 小組。

使用者需要在組織中建立 Microsoft 365 群組的許可權,才能從案例建立 Microsoft Teams 團隊。 如需管理 Microsoft 365 群組之許可權的詳細資訊,請參閱管理誰可以建立 Microsoft 365 群組

若要為案例建立小組,當您直接在現有案例中工作時,您會使用 [建立 Microsoft 小組] 控制項。 完成下列步驟以建立新的團隊:

  1. Microsoft 365 合規性中心中,移至 [內部人員風險管理 > 案例],然後選取現有的案例。
  2. 在 [案例動作] 功能表上,選取 [ 建立 Microsoft 團隊]。
  3. 在 [小組名稱] 欄位中,輸入新 Microsoft Teams 小組的名稱。
  4. 選取 [ 建立 Microsoft 團隊 ],然後選取 [ 關閉]。

根據指派給「有問必答風險管理」角色群組的使用者人數,在案例中將所有調查人員和分析員新增至 Microsoft Teams 小組可能需要15分鐘的時間。

分析 (預覽)

內部風險分析可讓您對組織中潛在的內部風險進行評估,而不需要設定任何內部風險原則。 此評估可協助貴組織識別使用者風險較高的潛在區域,並有助於判斷您可能要考慮的內部風險管理原則類型和範圍。 分析掃描可為您的組織提供下列優點:

  • 易於設定:若要開始流量分析掃描,您可以選取 [分析建議時執行掃描] 或 [移至內部使用者風險設定 > 分析] 索引標籤,並啟用分析。
  • 隱私權最低的隱私權:掃描結果和洞察力會以匿名使用者活動的形式傳回,個別使用者名稱無法由檢閱者識別。
  • 透過綜合深入瞭解可能的風險:掃描結果可協助您快速識別使用者的潛在風險區域,以及哪一個原則最適合協助緩解這些風險。

查看「 內幕風險管理分析」影片 ,以協助深入瞭解 Analytics 如何協助加速潛在的內幕郵件的識別,以及協助您快速採取行動。

分析從數個來源掃描風險活動事件,以協助識別對潛在風險領域的洞察力。 根據您目前的設定,analytics 會尋找下列方面的合格風險活動:

  • Microsoft 365 的審計記錄 檔:包含在所有掃描中,這是識別大部分可能危險活動的主要來源。
  • Exchange Online:包含在所有掃描中,Exchange Online 活動可協助識別在電子郵件中,將附件中的資料以電子郵件傳送至外部連絡人或服務的活動。
  • Azure Active Directory:包含在所有掃描中,Azure Active Directory 記錄會協助識別與已刪除之使用者帳戶的使用者相關聯的危險活動。
  • Microsoft 365 hr 資料連線器:若設定,hr connector 事件有助於識別與具有辭職或即將終止日期之使用者相關聯的危險活動。

來自掃描的分析 insights,取決於「內部使用者風險管理」原則所使用的相同風險活動信號,而且會根據單一和序列使用者活動來報告結果。 不過,分析的風險計分是以最多30天的活動為基礎,而內幕程式風險原則則會使用每日的真知灼見活動。 當您第一次在組織中啟用和執行分析時,您會看到一天的掃描結果。 如果您已啟用分析,您會看到每個日常掃描的結果,都新增至「洞察力報告」中的前30天活動的最大範圍。

啟用分析並啟動掃描

若要啟用「內部使用者風險分析」,您必須是「內部使用者風險管理」、「內幕人員風險管理」管理員或「Microsoft 365 全域系統管理員」角色群組的成員。 完成下列步驟以啟用「內幕風險分析」:

  1. Microsoft 365 合規性中心中,移至「有問必答風險管理」。
  2. 在 [有問必答風險管理 概述] 索引標籤上 ,選取 [在 您的組織卡片中掃描上的 會員風險]。這會開啟組織的分析掃描。 您也可以流覽至「內幕人員風險設定 > 分析」,並啟用 掃描租使用者的使用者活動,以識別潛在的內幕電腦風險,您也可以在組織中開啟掃描。
  3. 在 [ 分析詳細資料 ] 窗格中,選取 [ 執行掃描 ],以啟動組織的掃描。 分析掃描結果最多可能需要24小時的時間,才能獲得深入查看報告。

有問必答風險管理分析設定

查看 analytics insights 及建立新原則

在您的組織完成第一筆 analytics 掃描後,您就可以針對您的使用者,查看對潛在危險活動的洞察力和建議。 除非您關閉組織的分析,否則每日掃描都會繼續。 若要查看組織的潛在風險,請移至 [一覽表] 索引標籤,然後在 [有問必答風險分析] (預覽) 卡片上選取 [查看結果]。 如果您的組織掃描未完成,您將會看到一則訊息,表示掃描仍在使用中狀態。

有問必答風險管理分析報告準備好的卡片

在完成的掃描中,您將會看到組織中發現的潛在風險,以及解決這些風險的建議。 已識別的風險和特定的洞察力會包含在報告依區域分組、具有已識別風險的使用者總數、這些使用者所占的可能危險活動的百分比,以及建議的有問必答風險原則,以協助緩解這些風險。 報告包括:

  • 資料洩漏深入:所有使用者的活動,可能包括意外 oversharing 組織外部的資訊,或因使用者受到惡意目的而洩漏的資料。
  • 資料竊取深入資訊:使用者或使用者已刪除 Azure Active Directory 帳戶的活動,該活動可能包含組織外部資訊的危險共用,或因使用者受到惡意目的而竊取的資料。
  • 熱門 exfiltration insights:所有使用者可能包含在組織外部共用資料的活動。

有問必答風險管理分析綜述報告

若要顯示深入瞭解資訊,請選取 [ 查看詳細資料 ] 以顯示深入瞭解的詳細資料窗格。 詳細資料窗格包括完整的真知灼見結果、內幕風險原則建議,以及 建立原則 按鈕,以快速協助您建立建議的原則。 選取 [建立原則],會將您帶到原則嚮導,並自動選取與洞察力相關的建議原則範本。 例如,如果分析真知灼見是針對 資料洩漏 活動,則會在原則嚮導中為您預先選取 一般資料洩漏 原則範本。

有問必答風險管理分析詳細資料包告

關閉分析

若要關閉「內幕風險分析」,您必須是「內部使用者風險管理」、「有問必答風險管理」管理員 或「Microsoft 365 全域系統 管理員」角色群組的成員。 停用分析之後,分析真知灼見報告將保持靜態狀態,而且不會針對新的風險進行更新。

完成下列步驟以關閉「內幕風險分析」:

  1. Microsoft 365 合規性中心中,移至「有問必答風險管理」。
  2. 選取「內幕人員風險設定 > 分析」頁面。
  3. 在 [ 分析 ] 頁面上,關閉 掃描租使用者的使用者活動,以識別潛在的內幕電腦風險