了解測試人員風險管理
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
Microsoft Purview 內部風險管理可以透過啟用偵測、調查及處理貴組織中惡意和意外的活動,協助將內部風險降到最低。 測試人員風險原則可讓您定義要在貴組織中識別和偵測的風險類型,包括視需要對案例採取行動,以及將案例升級至 Microsoft 電子文件探索 (進階版)。 組織中的風險分析師可以迅速採取適當的動作,以確保使用者符合組織的合規性標準。
如需詳細資訊和規劃程式的概觀,以解決組織中可能導致安全性事件的潛在風險活動,請參閱 啟動測試人員風險管理計劃。
觀看下列影片,瞭解測試人員風險管理如何協助您的組織預防、偵測及包含風險,同時為您的組織值、文化特性和用戶體驗設定優先順序:
開發 & 測試人員風險管理解決方案:
測試人員風險管理工作流程:
請參閱 Microsoft Mechanics 影片,瞭解測試人員風險管理和通訊合規性如何共同運作,以協助將組織中使用者的數據風險降至最低。
重要事項
內部風險管理目前適用於裝載於地理區域的租使用者,以及 Azure 服務相依性所支援的國家/地區。 若要確認貴組織支援內部風險管理,請參閱 依國家/地區提供的 Azure 相依性。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
現代化風險的困難點
管理組織中的風險並將風險降至最低,可讓您了解在現代化工作場所發現的風險類型。 某些風險是由直接控制之外的外部事件和因素所驅動。 其他風險是由內部事件和用戶動作所驅動,這些事件和用戶動作可以最小化和避免。 有些範例是組織中使用者不合法、不適當、未經授權或不正確行為和動作的風險。 這些行為包括來自使用者的各種內部風險:
- 洩漏機密資料和資料外洩
- 違反保密協定
- 智慧財產權 (IP) 竊取
- 偽造
- 測試人員交易
- 法規合規性違規
新式工作場所中的使用者可以跨各種平臺和服務來建立、管理及共享數據。 在大部分情況下,組織具有有限的資源和工具,可識別並降低整個組織的風險,同時也符合用戶隱私權標準。
測試人員風險管理會使用完整的服務和第三方指標,協助您快速識別、分級及處理風險活動。 透過使用來自 Microsoft 365 和 Microsoft Graph 的記錄,內部風險管理可讓您定義特定原則來識別風險指標。 這些原則可讓您識別有風險的活動,並採取行動來降低這些風險。
測試人員風險管理聚焦於以下原則:
- 透明度:使用依設計隱私權的架構來平衡用戶隱私權與組織風險。
- 可設定的:可根據業界、地理位置和商務群組進行設定的原則。
- 整合式:跨 Microsoft Purview 解決方案的整合式工作流程。
- 可採取動作:提供深入解析以啟用檢閱者通知、數據調查和用戶調查。
使用分析識別潛在風險
內部風險分析可讓您對組織中潛在的內部風險進行評估,而不需要設定任何內部風險原則。 這項評估可協助您的組織找出用戶風險較高的潛在區域,並協助判斷您可能會考慮設定的內部風險管理原則類型和範圍。 這項評估也可協助您判斷現有內部風險原則的額外授權或未來優化需求。
若要深入瞭解測試人員風險分析,請參閱 測試人員風險管理設定:分析。
開始使用建議的動作
無論您是第一次設定測試人員風險管理,還是開始建立新原則,新的 建議動作 體驗都可協助您充分利用內部風險管理功能。 建議的動作包括設定許可權、選擇原則指標、建立原則等等。
工作流程
測試人員風險管理工作流程可協助您識別、調查及採取行動,以解決組織中的內部風險。 透過焦點原則範本、Microsoft 365 服務的完整活動訊號,以及警示和案例管理工具,您可以使用可採取動作的深入解析,快速識別並處理有風險的行為。
使用下列工作流程,識別及解決內部風險活動和內部風險管理的合規性問題:
原則
測試人員風險管理原則 是使用預先定義的範本和原則條件所建立,這些範本和原則條件會定義要在組織中檢查哪些觸發事件和風險指標。 這些條件包括如何將風險指標用於警示、哪些使用者包含在原則中、哪些服務已排定優先順序,以及偵測時間週期。
您可以從下列原則範本中選取,以快速開始使用測試人員風險管理:
- 離職使用者竊取的資料
- 資料外洩
- 優先使用者造成的資料外洩
- 風險性用戶在預覽) (數據外洩
- 病患數據誤用 (預覽)
- 風險 AI 使用 (預覽)
- 有風險的瀏覽器使用 (預覽)
- 預覽 (的安全策略違規)
- 離職使用者造成的安全性原則違規 (預覽)
- 風險性用戶在預覽) (違反安全策略
- 優先使用者造成的安全性原則違規 (預覽)
警示
通知是由符合原則條件的風險指標自動產生,且會顯示在警示儀表板中。 此儀表板可讓您快速查看組織需要查看的所有警示、一段時間後待處理的警示以及警示統計資料。 所有原則警示都會顯示下列資訊,以協助您快速識別現有警示的狀態,以及需要採取動作的新警示:
- 識別碼
- 使用者
- 提醒
- 狀態
- 警示嚴重性
- 偵測時間
- 案例
- 案例狀態
- 風險因素
分級
需要調查的新用戶活動會自動產生已指派「 需要檢閱 」狀態的警示。 檢閱者可以快速識別及檢閱、評估及分級這些警示。
開啟新案例、將警示指派給現有案例或解除警示,就能解決警示。 您可以使用警示篩選器,輕鬆地依狀態、嚴重性或偵測時間來辨識警示。 在分級程式中,檢閱者可以檢視原則所識別活動的警示詳細數據、檢視與原則相符專案相關聯的用戶活動、查看警示的嚴重性,以及檢視使用者配置檔資訊。
調查
使用用戶活動報告快速調查所選使用者的所有風險活動 , (預覽) 。 這些報告可讓組織中的調查人員檢查特定使用者在一段定義期間內的活動,而不需要暫時或明確地指派給內部風險管理原則。 檢查使用者的活動之後,調查人員可以將個別活動關閉為良性、與其他調查人員共用或傳送報表連結,或選擇暫時或明確指派給測試人員風險管理原則。
系統 會針對需要更深入檢閱和調查活動詳細數據和原則比對相關情況的警示建立案例。 [案例儀表板] 提供組織內所有使用中案例、一段時間後待處理以及案例統計資料的完整檢視。 檢閱者可以按照狀態、開啟案例的日期,以及上次更新案例的日期來快速篩選案例。
在案例儀表板上選取案例即可開啟要調查和檢閱的案例。 此步驟是測試人員風險管理工作流程的核心。 在這個區域中,風險活動、原則條件、警示詳細數據和使用者詳細數據會合成為檢閱者的整合式檢視。 此區域中的主要調查工具如下:
- 用戶活動:用戶風險活動會自動顯示在互動式圖表中,以繪製一段時間的活動,並依目前或過去風險活動的風險層級來繪製活動。 檢視者可以快速篩選和檢視用戶的整個風險歷程記錄,並深入瞭解特定活動以取得詳細數據。
- 內容總管:與警示活動相關聯的所有數據文件和電子郵件訊息都會自動擷取並顯示在內容總管中。 檢閱者可以依照資料來源、檔案類型、標記、交談和其他更多屬性篩選和查看檔案和郵件。
- 案例注意事項:檢閱者可以在案例附注一節中提供案例的附註。 此清單會合併集中檢視中的所有附註,並包含檢閱者和提交日期資訊。
此外,新的 稽核記錄 (預覽) 可讓您隨時掌握對測試人員風險管理功能所採取的動作。 此資源可讓您獨立檢閱指派給一或多個內部風險管理角色群組的使用者所採取的動作。
動作
調查案例之後,檢閱者可以快速採取行動來解決案例,或與組織中的其他風險項目關係人共同作業。 如果使用者不小心或不小心違反原則條件,可以從您可以為組織自定義的通知範本,將簡單的提醒通知傳送給使用者。 這些通知可作為簡單的提醒,或是指示用戶進行重新整理訓練或指引,以協助防止未來有風險的行為。 如需詳細資訊,請參閱內部風險管理通知範本。
在更嚴重的情況下,您可能需要與組織中的其他檢閱者或服務共用內部風險管理案例資訊。 測試人員風險管理與其他Microsoft Purview 解決方案緊密整合,以協助您解決端對端風險。
- eDiscovery (Premium) :呈報案例以供調查,可讓您將案例的數據和管理傳輸至 Microsoft Purview 電子文件探索 (Premium) 。 電子文件探索 (進階版) 提供端對端工作流程,可讓您保留、收集、檢閱、分析及匯出回應您組織內部及外部調查的內容。 這可讓法務小組管理整個法務保存措施通知工作流程。 若要深入瞭解 eDiscovery (Premium) 案例,請參閱 Microsoft Purview 電子文件探索 (Premium) 概觀。
- Office 365 管理 API 整合 (預覽) :測試人員風險管理支援透過 Office 365 管理 API 將警示資訊匯出至安全性資訊和事件管理 (SIEM) 服務。 在最符合組織風險程式的平臺中存取警示資訊,可讓您更靈活地處理風險活動。 若要深入瞭解如何使用 Office 365 管理 API 匯出警示資訊,請參閱匯出警示。
案例
測試人員風險管理可協助您偵測、調查並採取行動,以降低組織中數個常見案例的內部風險:
離職使用者竊取的資料
當用戶主動離開組織或因終止而離開組織時,通常會有公司、客戶和用戶數據有風險的合理疑慮。 使用者可能會錯誤地假設項目數據不是專屬的,或是他們為了個人利益而想要擷取公司數據,並違反公司原則和法律標準。 透過離職用戶原則範本使用 數據竊取 的內部風險管理原則,會自動偵測通常與這種竊取類型相關聯的活動。 使用此原則時,您會自動收到與離職使用者的數據竊取相關可疑活動的警示,以便採取適當的調查動作。 此原則範本需要為您的組織設定 Microsoft 365 HR 連接器 。
故意或無意洩漏敏感或機密資訊
在大部分情況下,使用者會盡力正確處理敏感性或機密資訊。 但有時候使用者可能會犯錯,且不小心在組織外部共用資訊,或違反您的資訊保護原則。 在其他情況下,使用者可能會刻意洩漏或共用具有惡意意圖和潛在個人利益的機密和機密資訊。 使用下列原則範本建立的內部風險管理原則,會自動偵測通常與共用敏感性或機密資訊相關聯的活動:
預覽) (刻意或無意的安全策略違規
在現代化工作場所中管理裝置時,使用者通常會有很大程度的控制權。 此控制項可能包含安裝或卸載其職責效能所需之應用程式的許可權,或暫時停用裝置安全性功能的能力。 不論此風險活動是意外、意外或惡意的,這種行為都可能會對您的組織造成風險,而且對於識別並採取行動以將風險降到最低非常重要。 為了協助識別這些具風險的安全性活動,下列內部風險管理安全策略違規模板會為安全性風險指標評分,並使用 適用於端點的 Microsoft Defender 警示來提供安全性相關活動的深入解析:
根據位置、存取層級或風險歷程記錄 (預覽) 的用戶原則
根據使用者的位置、敏感性資訊的存取層級或風險歷程記錄,貴組織中的使用者可能會有不同的風險層級。 此結構可能包括貴組織的執行領導小組成員、具有大量數據和網路存取權的IT系統管理員,或具有過去有風險活動歷程記錄的使用者。 在這些情況下,更仔細的檢查和更積極的風險評分對於協助呈現警示以進行調查和快速動作非常重要。 若要協助識別這些使用者類型的有風險活動,您可以從下列原則範本建立優先順序使用者群組並建立原則:
醫療保健 (預覽)
針對醫療保健產業中的組織,最近的研究發現非常高的內部相關數據外泄率。 偵測誤用病患數據和健康記錄資訊是保護病患隱私權及遵守合規性法規的重要元件,例如健康保險可移植性和責任法案 (HIPAA) 和健康情況資訊技術適用於經濟與臨床健康 (HITECH) Act。病患數據誤用的範圍可以從存取特殊許可權的病患記錄,到存取具有惡意意圖之家庭或芳鄰的病患記錄。 為了協助識別這些類型的風險活動,下列測試人員風險管理原則範本會使用 Microsoft 365 HR 連接器和醫療保健專屬的數據連接器,來啟動與電子健康記錄 (EHR) 系統內可能發生的行為相關之行為的評分風險指標:
風險性使用者 (預覽) 的動作和行為
雇用壓力因素事件可能會以數種與內部風險相關的方式影響用戶行為。 這些壓力可能是效能檢閱不佳、職位降級,或將使用者放在效能檢閱計劃中。 壓力也可能會導致可能不適當的行為,例如使用者在電子郵件和其他訊息中傳送可能的威脅、破壞或惡意語言。 雖然大部分的使用者不會惡意回應這些事件,但這些動作的壓力可能會導致某些用戶的行為方式通常不會在正常情況下考慮。 為了協助識別這些類型的潛在風險活動,下列內部風險管理原則範本可以使用 HR 連接器和/或與 專用通訊合規性原則 整合,將使用者帶入內部風險管理原則的範圍,並開始評分與可能發生行為相關的風險指標:
具有鑑識辨識項之潛在風險用戶活動的視覺內容
在鑑識調查期間,擁有可視化內容對於安全性小組而言非常重要,以深入瞭解可能導致安全性事件的潛在風險用戶活動。 這可能包括可視化擷取這些活動,以協助評估這些活動是否確實具風險或不具風險。 對於判斷為有風險的活動,擁有鑑識辨識項擷取可協助調查人員和您的組織更妥善地減輕、瞭解及回應這些活動。 若要協助處理此案例,請為組織中的在線和離線裝置 啟用鑑識辨識 辨識項擷取。
準備好開始使用了嗎?
- 請參閱 規劃內部風險管理 ,以準備在組織中啟用內部風險管理原則。
- 請參閱 開始使用測試人員風險管理設定 ,以設定內部風險原則的全域設定。
- 請參閱開始使用測試人員風險管理來設定必要條件、建立原則並開始接收警示。