创建 Microsoft Teams 的安全性和合规性警报

  • 7 分钟

可以使用警报策略监视用户的活动。 当用户执行与警报策略的条件相匹配的活动时,将生成警报。 例如,恶意软件攻击、网络钓鱼活动以及异常级别的文件删除和外部共享。 可以从 Microsoft Purview 合规门户创建和查看警报仪表板。

通过警报策略,可以对策略触发的警报进行分类,将策略应用于组织的所有用户,为触发警报的时间设置阈值级别,并决定是否在触发警报时接收电子邮件通知。

警报策略的屏幕截图。

警报策略的工作原理

下图显示了警报策略工作原理的基本工作流:

警报策略工作流的屏幕截图。

  1. 管理员在监视异常用户或管理员活动的 Microsoft Purview 合规门户中创建新的或修改现有策略。

  2. 用户或管理员执行符合条件的操作并触发警报策略,例如创建电子数据展示案例或可能向邮箱添加完全访问权限。

  3. 将生成警报,并触发相应的警报操作,例如向所有全局管理员发送电子邮件。 此外,还会在 Microsoft Purview 合规门户的警报仪表板中创建警报条目。

  4. 管理员在警报仪表板中查看警报,并决定确认或解除警报。

警报策略设置

警报策略包含一组规则和条件,用于定义生成警报的用户或管理员活动、触发警报的用户列表(如果他们执行活动)以及一个定义触发通知之前必须发生活动次数的阈值。 还可以对策略进行分类,并为其分配严重性级别。

警报策略由以下设置和条件组成:

  • 警报正在跟踪的活动:创建一个策略来跟踪活动,或在某些情况下创建一些相关活动,例如通过共享来宾共享文件、分配访问权限或创建匿名链接来共享文件。 当用户执行策略定义的活动时,将基于警报阈值设置触发警报。

  • 活动条件:对于大多数活动,可以定义触发警报所必须满足的其他条件。

  • 触发警报时:可以配置一个设置,该设置定义在触发警报之前可以发生活动的时间。

    根据活动发生次数、阈值或异常活动将警报配置为触发器的屏幕截图。

  • 警报类别:为了帮助跟踪和管理策略生成的警报,你可以为策略分配以下其中一个类别:

    • 数据丢失防护

    • 信息管理政策

    • 邮件流

    • Permissions

    • 威胁管理

    • 其他

    当发生与警报策略条件匹配的活动时,生成的警报将标记为设置中定义的类别。 借助此标记,你可以跟踪和管理在合规中心的“警报”页上具有相同类别设置的警报,因为可以根据类别对警报进行排序和筛选。

  • 警报严重性:与警报类别类似,可以将严重性属性(中等信息)分配给警报策略。 与警报类别一样,当发生与警报策略条件匹配的活动时,生成的警报将标记为与警报策略设置的相同严重级别。

  • 电子邮件通知:可以设置策略,以便在触发警报时向用户列表发送(或不发送)电子邮件通知。

创建新警报

要在 Microsoft Purview 合规门户中创建新的警报策略,并检查是否启用了审核日志记录,请执行以下步骤:

  1. 转到 Microsoft Purview 合规门户,然后选择“策略” > “警报策略”。

  2. 从顶部窗格中选择 + 新建警报策略,以创建新的警报策略。

  3. 命名警报上,对警报进行分类,然后选择严重性。 页面上,输入以下内容:

    • 用于标识使用此警报策略的 名称

    • 供其他管理员了解此警报策略用途的 说明

    • 这些警报事件的重要性级别的 严重性

    • 用于为组织中不同角色配置访问权限的 类别

  4. 选择 下一步

  5. 选择活动、条件以及何时触发警报 页上,为警报选择所需的活动和条件,然后‎选择"下一步"。

  6. 确定是否要在 页面触发此警报时通知人员,你以指定通知的收件人和每日通知限制的频率。 选择 下一步

  7. 查看设置 页上,可以查看警报设置,并决定立即或稍后打开策略。 当所有都按预期配置好后,选择“完成”。

    创建警报策略的屏幕截图。

查看警报

基于角色的访问控制 (RBAC) 分配给组织中用户的权限决定了用户可以在"警报"页上看到哪些警报。 下面是一些示例:

  • 记录管理角色组的成员只能查看由分配了 信息管理 类别的警报策略生成的警报。

  • 合规性管理员角色组的成员无法查看由分配了 威胁管理 类别的警报策略生成的警报。

  • 电子数据展示管理员角色组的成员无法查看任何警报,因为任何分配的角色都未提供查看任何警报类别警报的权限。