藉由建立偵測群組和內建指標的變體來微調內部風險管理中的排除 (預覽)

發行項
05/31/2024

重要事項

Microsoft Purview Insider Risk Management 會將各種訊號相互關聯，以識別潛在的惡意或意外內部風險，例如 IP 竊取、數據外泄和安全性違規。內部風險管理可讓客戶建立原則來管理安全性與合規性。根據設計使用隱私權建置，用戶預設會以假名化，且已備妥角色型訪問控制和稽核記錄，以協助確保用戶層級隱私權。

Microsoft Purview Insider Risk Management 提供數十個現成可用的指標。但對於組織中的所有使用者而言，偵測內部風險可能不是一體適用的解決方案。您可以使用測試人員風險管理原則中的 [ 全域排除] 設定，全域排除特定活動不受原則評分。但這些排除專案適用於您在租使用者內建立之所有原則的每個觸發程式和指標。透過偵測群組和變體，您可以修改內建的內部風險指標，併為不同的使用者集合量身訂做偵測。例如，若要減少電子郵件活動的誤判數目，您可能想要建立將 附件傳送給組織外部收件者 的電子郵件內建指標的變體，只偵測傳送至個人網域的電子郵件。

建立偵測群組並搭配內建指標變體使用的整體程式

建立偵測群組並搭配變體使用，包含四個步驟：

建立偵測群組，如本文所述。當您建立變體時，將會選取此偵測群組。
建立變體。
在新的或現有的原則中使用變體。
檢閱與變體中指定之活動的相關警示。

建立偵測群組

若要建立內建指標的變體，請從建立偵測群組開始。偵測群組可協助您將內建指標的範圍縮小，以專注於對組織很重要的高價值活動。

每個原則指標都包含適用於該指標的特定偵測類型。例如，針對 與組織外部人員共用SharePoint檔案 指標，其中一種偵測類型是網域。當您共用 SharePoint 檔案時，您會選擇要共用檔案的網域。並非所有指標都有相同的偵測類型。例如，網域是 與組織外部人員共用 SharePoint 檔案 指標的偵測類型，但不是 建立檔案或將檔案複製到 USB 指標的偵測類型，因為它不適用於該情況。

測試人員風險管理目前支援七種偵測類型：

網域
檔案路徑
檔案類型
關鍵字
敏感性資訊類型
SharePoint 網站
可訓練分類器

提示

當您建立偵測群組時，您可以在群組類型的簡介文字中選取 [ 檢視適用的指標 ] 連結，以查看特定偵測的所有適用指標。

下列程式示範如何為每個群組類型建立偵測群組。

建立網域偵測群組

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [ 網域]。
在右側面板中，選取 [ 新增網域群組]。
在 [ 新增網域群組 ] 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
在 [ 新增網域] 字段中，輸入網域，然後按 Enter。繼續以相同方式新增更多網域，或者，如果您有一長串要新增的網域，您可以 從 CSV 檔案選取 [匯入網域] 以將它們匯入為 CSV 檔案。您新增的網域會列在窗格底部。您最多可以建立10個網域偵測群組，而且每個群組最多可以有200個專案。

注意事項

若要指定根域的多層級子域，請選取 [ 包含多層級子域 ] 複選框、新增網域，然後按 Enter 將網域新增至清單。該網域中包含的任何子域都會包含在內。重複相同的程式以新增更多網域，然後在完成時選取 [ 新增網域 ]。

提示

您可以使用通配符來協助比對根域或子域的變化。例如，若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com，請使用通配符專案『*.wingtiptoys.com』來比對這些子域 (和相同層級的任何其他子域) 。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

免費公用網域網域群組如何偵測將商務數據外流至個人電子郵件網域

網域偵測群組包含稱為 免費公用網域 的特殊網域群組，其中包含免費電子郵件提供者清單 (gmail.com 或 yahoo.com，例如可用來建立個人電子郵件標識碼的) 。此清單可用來自動醒目提示將商務數據外流至個人電子郵件網域，以取得 [用戶活動 ] 和 [ 活動總管] 索引 標籤上的電子郵件深入解析。深入解析會列出範圍內用戶傳送至免費公用網域的電子郵件數目。此清單也用於識別傳送至自我傳送電子郵件的演算法， (傳送至範圍內使用者的個人電子郵件帳戶) 。電子郵件深入解析會列出傳送給自我的電子郵件數目。

個人電子郵件外泄的測試人員風險管理電子郵件重點

您可以使用這個內建網域群組，就像任何其他網域群組一樣，為您的原則建立內建指標的變體。此網域群組僅適用於將 附件傳送至組織外部收件者指示器的傳送電子郵件 。目前，您無法編輯或刪除 免費公用網域網域 群組。深入瞭解如何建立內建指標的變體

建立檔案路徑偵測群組

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [ 檔案路徑]。
在右側面板中，選取 [ 新增檔案路徑群組]。
在 [ 新增檔案路徑群組 ] 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
選取 [新增檔案路徑]，選取您要從評分中排除的檔案路徑，然後選取 [ 新增]。您最多可以建立 10 個檔案路徑偵測群組，而且每個群組最多可以有 200 個專案。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

建立文件類型偵測群組

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [檔案類型]。
在右側面板中，選取 [ 新增文件類型群組]。
在 [ 新增文件類型群組 ] 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
在 [ 新增檔類型] 字段中，輸入擴展名，然後按 Enter。以相同方式繼續新增更多擴展名。您新增的延伸模組會列在窗格底部。您最多可以建立10個檔類型偵測群組，而且每個群組最多可以有200個專案。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

建立關鍵詞偵測群組

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [關鍵詞]。
在右側面板中，選取 [ 新增關鍵詞群組]。
在 [ 新增關鍵詞] 群組 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
在 [ 新增關鍵詞] 字段中，輸入關鍵詞，然後按 Enter。針對您想要新增的每個關鍵詞重複此程式。您新增的關鍵詞會列在窗格底部。您最多可以建立10個關鍵詞偵測群組，而且每個群組最多可以有200個專案。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

建立敏感性資訊類型偵測群組

注意事項

敏感性資訊類型的排除清單優先於優先順序內容清單。

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [ 敏感性資訊類型]。
在右側面板中，選取 [ 新增敏感性資訊類型群組]。
在 [ 新增敏感性資訊類型群組 ] 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
選 取 [新增敏感性資訊類型]，選取您要從評分中排除的敏感性資訊類型，然後選取 [ 新增]。您最多可以建立10個敏感性資訊類型群組，而且每個群組最多可以有200個專案。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

建立 SharePoint 網站偵測群組

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [SharePoint 網站]。
在右側面板中，選取 [ 新增 SharePoint 網站群組]。
在 [ 新增 SharePoint 網站群組 ] 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
選取 [新增網站]，選取您想要從評分中排除的SharePoint網站，然後選取 [ 新增]。您最多可以建立 10 個 SharePoint 網站偵測群組，而且每個群組最多可以有 200 個專案。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

建立可訓練分類器偵測群組

在內部風險管理設定中，選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下，選取 [ 可訓練分類器]。
在右側面板中，選取 [ 新增可訓練分類器群組]。
在 [ 新增可訓練分類器] 群組 窗格中，新增群組 (的名稱，或接受建議的名稱) 以及選擇性) (描述。
選 取 [新增可訓練分類器]，選取您想要從評分中排除的可訓練分類器，然後選取 [ 新增]。您最多可以建立10個可訓練分類器偵測群組，而且每個群組最多可以有200個專案。
選取 [儲存]。您會看到 [ 後續步驟 ] 對話框，其中會建議您進行程式中的下一個步驟，其中包括在變體中使用此偵測群組。

共用方式為