介绍 Microsoft Purview 内部风险管理

  • 6 分钟

Microsoft Purview 内部风险管理是一种解决方案,可以帮助组织检测、调查和应对风险和恶意活动,最大限度地降低内部风险。

若要管理和最大限度地减少组织中的风险,需要先了解现代工作场所中发现的风险类型。 一些风险是由外部事件和因素驱动的,并且不受组织的直接控制。 另一些风险是由可以消除和避免的内部事件和员工活动驱动的。 示例包括:

  • 敏感数据泄露和数据外溢
  • 违反保密规定
  • 知识产权 (IP) 盗窃
  • 欺诈
  • 内幕交易
  • 违反监管合规性

内部风险管理围绕以下原则:

  • 透明:通过隐私设计体系结构,平衡用户隐私与组织风险。
  • 可配置:基于行业、地理和业务组的可配置策略。
  • 集成:跨 Microsoft Purview 解决方案的集成工作流。
  • 可操作:提供见解,以支持用户通知、数据调查和用户调查。

内部风险管理工作流

内部风险管理帮助组织识别、调查和解决内部风险。 借助重点策略模板、跨 Microsoft 365 的全面活动信号以及灵活的工作流,组织可以利用可操作的见解来快速识别和解决风险行为。 利用 Microsoft Purview 中的内部风险管理来识别和解决内部风险活动和合规性问题是通过以下工作流实现的:

内部风险管理工作流的示意图。

  • 策略 - 内部风险管理策略是使用预定义的模板和策略条件创建的,这些模板和条件定义了 Microsoft 365 功能领域中需要检查的风险指标。 这些条件包括如何将指标用于警报、策略中包含哪些用户、确定哪些服务的优先级以及监视时间段。

  • 警报 - 警报由与策略条件匹配的风险指示器自动生成,并显示在警报页中,从而提供一个快速视图,包含需要审查的所有警报、随时间推移的未解决警报以及组织的警报统计信息。 你还可以在 Microsoft Defender 门户中查看 DLP 警报,这些警报会在那里自动合并到事件中,从而提供潜在的策略违反情况的全面视图和用于调查和修正的高级工具。

  • 会审 - 需要进行调查的新活动会自动生成警报,这些警报分配有“需要审阅”状态。 组织中的审阅者可以快速识别这些警报,并滚动浏览每个警报进行评估和会审。 可以通过打开新案例、将警报分配给现有案例或消除警报来解决警报。 作为会审过程的一部分,审阅者可以查看策略匹配项的警报详细信息,查看与匹配项关联的用户活动,查看警报的严重性,并审阅用户配置文件信息。

  • 调查 - 案例是为要求对策略匹配项的详细信息和环境进行更深入的审阅和调查的警报创建的。 案例页面提供了所有活动案例、一段时间内的未解决案例以及组织的案例统计信息的整体视图。 选择一个案例后,会打开它以供调查和审查。 在此区域中,风险活动、策略条件、警报详细信息和用户详细信息被合成为一个集成视图,以供审阅者查看。 这方面的主要调查工具包括:

    • 用户活动:用户风险活动自动显示在交互式图表中,该图表按当前或过去风险活动的风险级别绘制了随时间推移而进行的活动。 审阅者可快速筛选和查看用户的整个风险历史记录,并深入了解特定活动来获取更多详细信息。
    • 内容资源管理器:与警报活动关联的所有数据文件和电子邮件会自动捕获并显示在内容资源管理器中。 审阅者可以按数据源、文件类型、标记和对话等属性筛选和查看文件和邮件。
    • 案例说明:审阅者可以在“案例说明”部分为案例提供备注。 此列表将所有备注合并到一个集中视图中,并显示审阅者和提交日期信息。

  • 操作 - 在调查案例后,审阅者可以快速采取行动来解决案例,或与组织中的其他风险利益干系人进行协作。 操作可以简单到在员工意外或无意中违反策略条件时发送通知。 在更严重的情况下,审阅者可能需要与组织中的其他审阅者共享内部风险管理案例信息。 如果升级案例以供调查,就可以将案例的数据和管理转移给 Microsoft Purview 中的电子数据展示。

内部风险管理可以帮助你在几种常见场景中检测、调查并采取措施来缓解组织中的内部风险。 这些场景包括员工窃取数据、有意或无意泄露机密信息、冒犯行为等。

与 Microsoft 安全 Copilot 集成

Microsoft Purview 内部风险管理支持通过独立体验和嵌入式体验与 Microsoft 安全 Copilot 集成。

若要体验 Copilot 集成,组织必须加入 Copilot,确保 Copilot 能够访问 Microsoft 365 服务中的数据,并且用户必须具有适当的角色权限。

通过选择提示图标并选择所有功能,可以在独立体验中查看 Microsoft Purview 功能,这些功能是一些内置提示,可以直接使用这些提示,但也可以根据支持的功能输入自己的提示。

Microsoft 安全 Copilot 中提供的 Microsoft Purview 功能的屏幕截图。

在嵌入式体验中,Microsoft Purview 内部风险管理中的 Copilot 支持警报摘要。 若要从 Microsoft Purview 内部风险管理中访问 Copilot,请导航到警报队列以选择要审查的警报。 可看到有关警报的信息以及汇总警报的选项。 选择“汇总”以让 Copilot 生成警报摘要。