微軟Purview的內部風險告警調查

內部風險警報儀表板可查看內部風險政策產生的告警並採取措施。警報儀表板的各部件顯示以下過去 30 天內的資訊：

• Alerts to review:
  列出了需要檢視和分類的告警總數，包括按嚴重性進行的細分。
• Open alerts over the past 30 days:
  過去 30 天內由觸發政策所建立的告警總數，按高、中、低嚴重性等級排序。
• Average time to resolve alerts:有用的告警統計資訊的摘要
  解決高/中/低等嚴重性告警的平均時間，以小時、天或月列出

內部風險管理使用內建告警限制來幫助保護和優化風險調查和稽核程序。此限制可防止可能導致政策告警過載的問題，例如資料連接器或 DLP 政策配置錯誤。因此，向使用者顯示新告警時可能會出現延遲。

告警的狀態與嚴重度

當告警開始出現時，可以透過點擊告警並分析「Alert details」窗格中的訊號來查看它們並進行調查。分析告警後，可以將其指派為以下狀態之一：

• Confirmed
  建立案例以進一步調查
• Dismissed
  將其識別為誤報
• Needs review
  此告警需要進一步分析才能定義後續行動
• Resolved
  結案

告警風險分數是根據多個風險活動屬性自動計算的，其中包括：

• 風險活動的類型。
• 活動發生的次數和頻率。
• 使用者風險活動的歷史記錄。
• 額外活動風險可能會增加活動的嚴重性。

告警風險分數驅動每個告警的風險嚴重性等級的程式化的分配，並且無法自訂。如果告警仍未分類且風險活動繼續加入到告警中，則風險嚴重性等級可能會往上拉。風險分析師和調查人員可以使用告警風險嚴重性來幫助根據組織的風險政策和標準對告警進行分類。

告警風險嚴重程度為：

• High severity
  活動和指標構成重大風險。相關的風險活動是嚴重的、重複的，並且與其他重大風險因素密切相關。
• Medium severity
  相關風險活動中等、頻繁，且與其他風險因素有一定相關性。
• Low severity
  相關的風險活動較小、頻率較低，且與其他重大風險因素不相關

搜尋與過濾告警

根據組織中有效的內部風險管理政策的數量和類型，檢查大量告警可能一堆員工都不想幹。使用Filter可以幫助分析師和調查人員按多個屬性對告警進行排序。選擇警報儀表板上的Filter control可讓我們按以下一個或多個屬性篩選告警：

• Status
• Severity
• Time detected
• Policy

透過案例(cases)採取行動

可以將告警分派給案例，以便可以從內部風險管理控制台的案例部分進行詳細調查。我們可以在時間軸中查看觸發案例的各個信號、查看受影響的內容、添加註釋或邀請其他參與者參與調查以得出結論。

案件調查最終可能會向違規員工發送通知。其他情況可能需要我們建立eDiscovery case，使我們能夠收集、保存、審查、分析和匯出與相關使用者相關的資料，以便確定是否存在實際威脅及其範圍。在大多數情況下，eDiscovery case將由具有相關所需角色和權限的不同人員管理。

一旦調查結束並採取了必要的行動，就可以透過將案件解決為良性或確認的政策違規並採取具體行動來結案。

更多的eDiscovery，可以參考 Overview of eDiscovery (Premium) in Microsoft Purview.

案例儀錶板

案例儀表板可以查看案例並對其採取動作。案例儀表板顯示以下過去 30 天內的資訊：

• Active cases
  正在調查的案件總數
• Cases over the past 30 days
  建立的案例總數，按「Active」和「Closed」狀態排序。
• Statistics
  處於活動案例的平均時間，以小時、天或月為單位列出。

怎麼使用case

資安分析師和資安調查人員可以選擇開啟案例管理工具，進行資安案例的相關的作業。以下介紹每一種功能:

• Case overview
  總結案例的告警活動和風險等級歷史記錄
• Alerts
  顯示案例的政策配對、警報狀態、警報風險嚴重性以及偵測到告警的時間
• Risk level history
  顯示過去 30 天內使用者的風險等級。折線圖(Line Chart)使資安分析師和調查人員能夠快速查看整體使用者風險隨時間的變化趨勢
• Risk activity content
  總結新增到案例的告警中包含的資料類型和內容。這提供了案例中面臨風險的整個資料和內容的整體視圖

Case details為風險分析師和調查人員總結了案例詳細資訊，包括以下類型：

• Case name
  這是自動產生的，開頭是一組序號，以及與第一個確認的告警所匹配的政策範本關聯的風險名稱。
• Case status
  案例的目前狀態，「活動」或「已關閉」
• User’s risk score
  目前計算出的使用者的案例風險等級。此分數每 24 小時計算一次，並使用與使用者關聯的所有活動告警的告警風險分數
• Alerts confirmed
  已確認案例的使用者的告警清單
• Content at risk
  內容清單，依內容來源和類型排序。例如，對於 SharePoint Online 中的案例告警內容，我們可能會看到列出的與案例中告警的風險活動關聯的資料夾或檔案名稱

告警(Alerts)

「Alerts」標籤總結了案例中包含的當前告警的狀態、嚴重性和偵測到的時間。新告警可以添加到現有案例中，並在分配時添加到Alert queue中。從佇列中選擇告警將顯示「 Alert detail」頁面。Search control可用於搜尋特定文字的告警名稱，而Filter control可用於依下列屬性對案例進行排序：

• Status
• Severity
• Time detected, start date, and end date

User activity

User activity是內部風險管理解決方案中用於內部風險分析和案件調查的最強大工具之一。此功能的結構旨在快速查看案例，包括所有告警的歷史時間軸、告警詳細資訊、案例中使用者的當前風險分數以及採取有效措施控制來圍堵案例中風險。詳細功能如下:

• Date and window time filters
  預設情況下，案例中最近六個月的”alerts confirmed”的報告顯示在使User activity chart中。
• Risk alert activity and details
  風險活動在使用者活動圖表中顯示為彩色圓圈。圓圈是針對不同類別的風險建立的，圓圈大小與該類別的風險活動數量成正比。選擇圓圈會顯示每個風險活動的以下詳細資訊：
  — 風險活動的日期。
  — 風險活動類別。例如，發送到組織外部的帶有附件的電子郵件或從 SharePoint Online 下載的檔案。
  — 告警的風險分數。
  — 與告警關聯的事件數。也提供與風險活動相關的每個文件或電子郵件的連結。
• Risk activity legend
  User activity chart底部的顏色編碼圖示可協助我們快速確定每個告警的風險類別。
• Risk activity chronology
  列出了與案例相關的所有風險警報的完整時間順序，包括相應告警圓圈中可用的所有詳細資訊。
• Case actions
  用於解決案例的選項位於case action toolbar。我們可以處裡案例、向員工發送電子郵件通知或升級案例以進行資料或員工調查。

Content explorer

Content explorer授予使用者兩種角色存取權限：

1. Content Explorer List viewer可讓我們查看每個項目及其在清單檢視中的位置
2. Content Explorer Content viewer可讓我們查看清單中每個項目的內容，以查看與風險告警關聯的所有單一檔案和電子郵件的副本。

例如，如果當員工從 SharePoint Online 下載100個檔案到 USB 裝置時建立告警，並且該活動觸發政策告警報，則會捕獲該告警的所有下載檔案並將其從原始儲存複製到內部風險管理案例來源。

Content explorer具有基本和進階搜尋和過濾功能，可顯示具有sensitivity label、retention label或已在組織中分類為敏感資訊類型的專案的當前快照。更多資訊請參照Insider risk management content explorer。

Contributors

案例中的「Contributors 」頁籤是風險分析師和調查人員可以為案例加入其他參與者的地方。預設情況下，所有分配了Insider Risk Management Analysts與Insider Risk Management Investigators roles的使用者都會被列為每個進行中和已結案案例的貢獻者。所有內部風險管理案例都必須透過適當的存取控制進行管理，以保持調查的機密性和完整性。為了幫助維護案例的存取控制，為使用者分配了兩種類型的案例存取權限之一：

1. Permanent access
   從告警建立案例時，將自動向具有內部風險管理分析師和內部風險管理調查員角色的使用者授予永久存取權限。永久存取權限授予在案例的整個生命週期內對案例的完全控制，並允許添加其他案例貢獻者。
2. Temporary access
   臨時存取權限僅由對案例具有永久存取權限的貢獻者授予使用者。通常，此存取等級會授予需要向案例添加註釋的使用者。具有臨時存取權限的貢獻者擁有所有案例管理控制權，但以下權限除外：
   2.1允許確認或消除告警
   2.2編輯案例貢獻者的權限
   2.3在Content Explorer中查看文件和訊息的權限

Case actions

風險分析師和調查員可以採用多種方法之一對案件採取行動，具體取決於案例的嚴重性、員工的風險歷史以及組織的風險指南。在某些情況下，可能需要將案例回報給員工或進行資料調查，以便與組織的其他部門合作並更深入地研究風險活動。內部風險管理與其他 Microsoft Purview 功能（eDiscovery ）整合，可協助組織進行端對端解決管理。

行動一:發送通知

在大多數情況下，員工的操作會產生告警通常分為有意與無意的。透過電子郵件向員工發送提醒通知是記錄案例審查和行動的有效方法，也是提醒員工公司政策或指導他們參加資安培訓的方法。通知(Notices)是根據我們為內部風險管理基礎架構建立的通知範本(notice templates)產生的。請務必記住，向員工發送通知並不能解決案件的結案。在某些情況下，我們可能希望在向員工發送通知以找尋其他風險活動後將案件保留為未結案，而產生新案件。如果想在發送通知後解決案例，則必須選擇「Resolve case」作為發送通知後的後續步驟。

行動二:升級案件

在需要對員工的風險活動進行額外法律審查的情況下，案件可能需要升級。此升級將 Microsoft 365 organization中開啟一個新的eDiscovery case。eDiscovery提供端到端工作流程來保存、收集、審查、分析和匯出回應組織內部和外部法律調查的內容。它還可以讓法務團隊管理整個法律保留通知工作流程，以便與案件中涉及的託管人進行溝通。在根據內部風險管理案例建立的eDiscovery case中指定檢視者作為保管人有助於法務團隊採取適當的行動並管理內容保存。內部風險管理案例升級為新的員工調查案例後，可以在 Microsoft Purview compliance portal的eDiscovery> Advanced中查看新案例。

行動三:結案

風險分析師和調查人員完成審查和調查後，可以解決案例並對案例中目前包含的所有行動。解決案例會新增解決分類，將案例狀態變更為關閉，並自動加上resolution action到位於Case notes中的case notes queue。案件解決方式如下：

• 良性(Benign)：Policy match alerts被評估為低風險、不嚴重或誤報的情況的分類
• 已確認的政策違規(Confirmed policy violation)：Policy match alerts被評估為有風險、嚴重或惡意意圖結果的分類

Notice templates

Insider risk management notice templates可讓員工因他們得行動所產生因Policy match而發出的告警時向他們發送電子郵件。通知可以簡單地提醒員工更加小心，或提供資安培訓或公司政策資源的連結或資訊。通知可以成為內部合規培訓計劃的重要組成部分，可以幫助為經常發生風險活動的員工建立利記錄的稽核追蹤。

Notices templates dashboard顯示已配置通知範本的清單，並允許我們建立新的通知範本。通知範本越近的日期越往上排。如果我們要此類通知不只有文字而已的話，我們可以使用具Html格式的範本。

取證(forensic evidence)

取證功能為資安團隊在調查期間提供視覺化的脈絡，幫助他們更好地理解和應對潛在的資料風險。借助可自訂的事件觸發器(event triggers)和內建的使用者隱私保護控件，取證可以跨裝置進行畫面截圖。它提供諸如截圖、可自訂觸發器、以使用者為中心的政策定位以及基於角色的存取控制等功能。取證與現有的內部風險管理功能無縫整合，並且需要雙重授權才能創建政策。主要的功能有:

• 截圖與安全相關的使用者活動
• 可自訂的觸發器和截圖選項
• 以使用者為中心的政策定位
• 基於角色的存取控制
• 與內部風險管理功能深度整合
• 捕捉剪輯的試用容量（最多 20 GB）

取證還需要層級批准才能啟動截圖功能，從而確保使用者隱私。設備和配置要求可在 device and configuration requirements中尋找。

截圖的選項與流程

取政策略有兩種選項：

1. 特定活動：只有當觸發事件將被監控的使用者納入政策範圍以及偵測到該使用者的 policy indicator conditions時才截圖。
2. 所有活動：截圖使用者執行的任何活動，無論觸發事件或 policy indicator 如何。

偵測、調查和修復包含截圖的告警的整體作業流程遵循與其他內部風險管理政策相同的基本步驟。然而，取證功能存在一些顯著差異：

• 被截圖的使用者必須有明確的截圖請求和批准。
• 裝置必須已上線並安裝 Microsoft Purview client。

取證功能的設定與管理

設定步驟:

1. 確認訂閱並配置資料儲存存取
   這是確認我們有沒有買的內部風險管理訂閱並將網址compliancedrive.microsoft.com 新增至防火牆白名單
2. 配置設備(有最低規格要求)
   將使用者裝置加入 Microsoft Purview compliance portal，並在安裝 Microsoft Purview client。
3. 配置設定
   在 Microsoft Purview compliance portal中啟用forensic evidence capturing/configure capturing parameters/bandwidth limits/offline capturing等選項。
4. 建立政策
   政策定義要為配置的設備所截圖的與安全性相關的使用者活動的範圍。取證證據有兩個範圍選項： Specific activities or All activities
5. 定義要把那些使用者納入
   為了截圖與安全相關的使用者活動，管理員必須確保透過雙重授權流程定義和批准特定使用者的截圖

管理使用者

在啟用取證功能截圖之前，要取核可。只將它們添加到政策中並不會自動啟動截圖。Insider Risk Management 或Insider Risk Management Admins role groups的成員向Insider Risk Management Approvers role group的成員提交批准請求。一旦獲得批准，就可以開始用。

要求截圖核可

要請求截圖批准，需要submit request以開啟特定使用者的取證證據截圖。組織中的審核者會收到電子郵件通知，並可以批准或拒絕要求。如果獲得批准，使用者將顯示在「Approved users」頁籤上並有資格進行截圖。如果請求沒人理，該請求將在提交之日起六個月後到期。

若要設定核准的使用者進行取證截圖，要完成以下步驟：

1. 在 Microsoft Purview compliance portal中，點選 Insider risk management > Forensic evidence > User management
2. 選擇 Manage forensic evidence requests頁籤
3. 選擇Create request
4. 在「Users」頁面上，選擇「Add users」。
5. 使用 Search來尋找特定使用者或從清單中選擇一個或多個使用者。選擇“Add”，然後選擇“Next”。
6. 在取Forensic evidence policy頁面，為新增的使用者選擇取證政策。選擇的政策會決定要截圖的使用者活動範圍。選擇Next。
7. 在「Justification」頁面上，讓審閱者了解我們為何請求為在「Justification for turning on forensic evidence capturing」文字方塊中新增的使用者啟用截圖。此欄位是必需的。完成後，選擇“Next”
8. 在Email notifications頁面上，使用範本通知使用者已按照組織的政策在其裝置上啟用了取證截圖。只有當請求獲得批准時才能發送電子郵件。
   選取Send an email notification to approved users勾選框。選擇"Create a notification template"來選擇現有範本或建立新範本
9. 在「完成」頁面上，在提交請求之前檢查設定。選擇編輯使用者或編輯理由以變更任何請求，或選擇提交以建立請求並將其發送給審閱者

若要查看待處理的核准請求，Insider risk management > Forensic evidence > Pending requests。可以在此處看到有待處理請求的使用者、他們的電子郵件地址、請求提交日期以及誰提交了批准請求。

指派給 Insider Risk Management Approvers role group的成員可以在「Forensic evidence request」頁籤上選擇使用者並查看該請求。使用者審查請求，然後批准或拒絕取證證據請求。

核可或拒絕請求

撤銷核可

我們可以撤銷對特定使用者的批准並將其排除在取證截圖之外。撤銷批准不會刪除或移除已經取證的東西，只會停用這些後面的活動截圖。

若要撤銷使用者的批准，指派給 Insider Risk Management Approvers role group的使用者必須完成以下步驟：

1. 連到Microsoft Purview compliance portal,至 Insider risk management > Forensic evidence > User management
2. 選擇Approved users
3. 選擇User，然後選Remove
4. 在刪除確認頁面上，選擇刪除以撤銷截圖核准，或選擇取消以關閉確認頁面。

建立與管理通知範本

您可以建立通知模板，透過電子郵件通知使用者他們的裝置已啟用取證截圖，並遵循組織的政策。只有當取證請求獲得批准後，才會向使用者發送電子郵件。

若要建立新的通知模板，遵循以下步驟：

1. 連到 Microsoft Purview compliance portal, go to Insider risk management > Forensic evidence > Notification templates
2. 選擇Create notification template
3. 在New email notification template這一個頁面，填入Template name/Send from/Subject/Message body等這些資訊
4. 存檔

檢視截圖畫面

選擇「Forensics evidence」頁籤在 Microsoft Purview Insider Risk Management 中查看截圖。可以在不同的上下文中存取截圖：

• Alerts dashboard
  根據取證證據政策指標截圖特定使用者活動
• User activity reports
  在取證證據政策中截圖使用者的任何與安全相關的活動
• Cases dashboard
  截圖升級為案例的告警

當選擇Forensics evidence頁籤時，我們會看到截圖及其詳細資訊的清單。點擊clip displays影片播放器以及活動和事件的記錄。

每個截圖都會包含以下資訊:

• Date/time (UTC): Capture date, time (UTC), and duration.
• Device: Device name in Windows 10/11.
• Activities: Activity type based on global and policy indicators.
• User: User name.
• URL (if applicable): Accessed URL during the activity.
• Application (if applicable): Accessed application during the activity.
• Active window title: Title of the accessed window during the activity.

Alerts dashboard

對於由政策產生的告警，可以在警報儀表板的Forensic evidence頁籤上查看取證證據擷取。如果告報有一個或多個截圖，也會在產生告警抬頭部分的活動中看到查看取證證據通知連結。可以選擇通知連結或Forensic evidence頁籤來查看活動截圖清單。

檢視可能包含取證證據截圖的潛在風險活動的告警與檢視沒有取證證據截圖的告警本質上是相同的。顯著的差異是包含任何適用的捕獲。透過「 Forensic evidence」頁籤可以存取與告警關聯的所有可用截圖。