Динамическое снижение рисков с помощью адаптивной защиты (предварительная версия)

  • Статья

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Адаптивная защита в Microsoft Purview использует машинное обучение для выявления наиболее критических рисков и упреждающего и динамического применения элементов управления защитой из:

Интеграция с DLP и условным доступом помогает организациям автоматизировать реагирование на внутренние риски и сократить время, необходимое для выявления и устранения потенциальных угроз. Используя возможности всех трех решений, организации могут создать более комплексную платформу безопасности, которая будет устранять как внутренние, так и внешние угрозы.

Адаптивная защита помогает снизить потенциальные риски с помощью:

  • Обнаружение с учетом контекста. Помогает определить наиболее критические риски с помощью анализа содержимого и действий пользователей на основе машинного обучения.
  • Динамические элементы управления. Помогает применять эффективные элементы управления для пользователей с высоким риском, в то время как другие поддерживают производительность.
  • Автоматическое устранение рисков. Помогает свести к минимуму влияние потенциальных инцидентов безопасности данных и сократить расходы администратора.

Адаптивная защита динамически назначает пользователям соответствующие политики условного доступа Microsoft Purview и Microsoft Entra на основе уровней риска, определенных и проанализированных моделями машинного обучения в управлении внутренними рисками. Политики становятся адаптивными в зависимости от контекста пользователей, гарантируя, что наиболее эффективная политика, например блокировка общего доступа к данным через DLP или блокировка доступа к приложениям через условный доступ, применяется только к пользователям с высоким риском, в то время как пользователи с низким уровнем риска поддерживают производительность. Элементы управления политикой защиты от потери данных и условного доступа постоянно изменяются, поэтому при изменении уровня риска пользователя динамически применяется соответствующая политика в соответствии с новым уровнем риска.

Важно!

Управление внутренними рисками в настоящее время доступно в клиентах, размещенных в географических регионах и странах, поддерживаемых зависимостями служб Azure. Чтобы убедиться, что решение для управления внутренними рисками поддерживается для вашей организации, см. статью Доступность зависимостей Azure по странам или регионам. Управление внутренними рисками доступно для коммерческих облаков, но в настоящее время недоступно для облачных программ для государственных организаций США.

Просмотрите следующее видео, чтобы получить сводку о том, как адаптивная защита может помочь выявить и снизить самые критические риски в вашей организации:

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Уровни риска и профилактические средства контроля

Благодаря адаптивной защите администраторы могут настраивать факторы риска или действия для настраиваемых уровней риска в зависимости от потребностей вашей организации. Уровни риска для адаптивной защиты постоянно и автоматически обновляются на основе факторов риска и аналитических сведений пользователей, поэтому при увеличении или уменьшении рисков безопасности данных пользователей их уровни риска корректируются соответствующим образом. В зависимости от уровней риска политики защиты от потери данных и политики условного доступа автоматически применяют правильный уровень профилактических элементов управления, настроенных администраторами (например, блокировка, блокировка с переопределением или предупреждение).

В зависимости от политики управления внутренними рисками, назначенной в адаптивной защите, для определения применимых уровней риска используются различные критерии (пользователи, группы, индикаторы, пороговые значения и т. д.). Уровни риска основаны на аналитике пользователей, а не только на количестве экземпляров конкретных действий пользователя. Аналитика — это вычисление совокупного количества действий и уровня серьезности этих действий.

Например, уровни риска для пользователя А не будут определяться пользователем A, выполняющим потенциально рискованное действие более трех раз. Уровни риска для пользователя А будут определяться с учетом совокупного количества действий, а оценки риска будут назначены действию на основе пороговых значений, настроенных в выбранной политике.

Уровни риска

Уровни риска в адаптивной защите определяют, насколько рискованной является активность пользователя и может основываться на таких критериях, как количество выполненных им действий по краже или создание в их действиях оповещений о внутренних рисках с высоким уровнем серьезности. Эти уровни риска имеют встроенные определения уровней риска, но эти определения можно настроить по мере необходимости:

  • Повышенный уровень риска. Это самый высокий уровень риска. Он включает встроенные определения для пользователей с оповещениями с высоким уровнем серьезности, пользователей с по крайней мере тремя аналитическими сведениями о последовательности, каждое из которых имеет оповещение с высоким уровнем серьезности для конкретных действий риска, или одно или несколько подтвержденных оповещений с высоким уровнем серьезности.
  • Средний уровень риска. Средний уровень риска включает встроенные определения для пользователей со средним уровнем серьезности или пользователей с по крайней мере двумя действиями по краже данных с высокими оценками серьезности.
  • Незначительный уровень риска. Самый низкий уровень риска включает встроенные определения для пользователей с оповещениями с низкой серьезностью или пользователей с по крайней мере одним действием кражи данных с высокой оценкой серьезности.

Чтобы уровень риска был назначен пользователю, количество аналитических сведений и серьезность, назначенные действию, должны соответствовать определению для уровня риска. Количество действий для аналитики может быть одним действием или несколькими действиями, которые накапливаются в одной аналитике. Количество аналитических сведений оценивается для определения уровня риска, а не количества действий, содержащихся в аналитических сведениях.

Например, предположим, что условия в политике управления внутренними рисками, назначенной адаптивной защите, ограничены для идентификации скачиваний с сайтов SharePoint в вашей организации. Если политика обнаруживает, что пользователь загрузил 10 файлов с сайта SharePoint за один день с высоким уровнем серьезности, это будет считаться одним аналитическим представлением, состоящим из 10 событий действий. Чтобы это действие соответствовало назначению пользователю повышенного уровня риска , пользователю потребуется две дополнительные аналитические сведения (с высоким уровнем серьезности). Дополнительные аналитические сведения могут содержать или не содержать одно или несколько действий.

Уровни риска адаптивной защиты управления внутренними рисками.

Настройка уровней риска

Пользовательские уровни риска позволяют создавать уровни риска в зависимости от потребностей вашей организации. Можно настроить критерии, на которых основан уровень риска, а затем определить условия для контроля, когда уровень риска назначается пользователям.

Рассмотрим следующие примеры использования адаптивной защиты вместе с политиками защиты от потери данных и условного доступа.

  • Политики защиты от потери данных:
    • Разрешите пользователям с уровнем риска "Незначительный " или "Средний " получать советы по политике и обучать их рекомендациям по обработке конфиденциальных данных. Таким образом, вы можете влиять на позитивные изменения поведения с течением времени и снизить риски для данных организации.
    • Запретите пользователям с повышенным уровнем риска сохранять конфиденциальные данные или предоставлять общий доступ к ним, чтобы свести к минимуму влияние потенциальных инцидентов с данными.
  • Политики условного доступа:
    • Требовать от пользователей уровня незначительного риска подтвердить условия использования перед использованием приложения.
    • Запрет доступа пользователей уровня среднего риска к определенным приложениям
    • Полностью запретить пользователям уровня повышенного риска использовать любые приложения. Дополнительные сведения о часто применяемых политиках условного доступа

Критерии и условия уровня риска

Настройка критериев и условий уровня риска может основываться на следующих областях:

  • Оповещения, созданные или подтвержденные для пользователя. Этот параметр позволяет выбирать условия в зависимости от уровня серьезности оповещений, созданных или подтвержденных для пользователя для выбранной политики управления внутренними рисками. Условия для оповещений не являются добавительными, и уровень риска назначается пользователю, если выполняется одно из условий.
  • Конкретные действия пользователя. Этот параметр позволяет выбрать условия для обнаружения действий, его серьезность и количество ежедневных вхождений в течение периода обнаружения прошлых действий (необязательно). Условия для активности пользователя являются аддитивным, и уровень риска назначается пользователю только в том случае, если выполнены все условия.

Обнаружение прошлых действий

Этот параметр уровня риска определяет, сколько дней назад проверяет адаптивная защита, чтобы определить, соответствует ли пользователь условиям, определенным любым из уровней риска. Значение по умолчанию — 7 дней, но для применения условий уровня риска можно выбрать от 5 до 30 дней предыдущего действия. Этот параметр применяется только к уровням риска, основанным на ежедневной активности пользователя, и исключает уровни риска на основе оповещений.

В следующем примере показано, как взаимодействуют параметры обнаружения прошлых действий и уровни риска, чтобы определить, является ли прошлое действие пользователя область:

  • Параметр повышенного уровня риска: пользователь выполняет по крайней мере три последовательности, каждая из которых имеет высокую оценку риска серьезности (от 67 до 100).
  • Параметр обнаружения прошлых действий : 3 дня
Действия пользователей Активность в область для уровня риска
Пользователь имеет 1 последовательность с высоким уровнем серьезности каждый день в день T-3, T-2, T-1 Да
Пользователь имеет 3 последовательности с высоким уровнем серьезности в день T-3 Да
Пользователь имеет 1 последовательность с высоким уровнем серьезности в день T-4 и 2 последовательности с высоким уровнем серьезности в день T-3 Нет

Временные рамки уровня риска

Этот параметр уровня риска определяет, как долго уровень риска остается назначенным пользователю, прежде чем он будет автоматически сброшен. Значение по умолчанию — 7 дней, но вы можете выбрать от 5 до 30 дней перед сбросом уровня риска для пользователя.

Уровни риска также сбрасываются для пользователя, если:

  • Связанное оповещение для пользователя отклоняется
  • Проблема, связанная с пользователем, разрешена
  • Дата окончания уровня риска истекает вручную.

Примечание.

Если пользователю в настоящее время назначен уровень риска и этот пользователь снова соответствует критериям для этого уровня риска, то период времени уровня риска продлевается на определенное количество дней для пользователя.

Разрешения для адаптивной защиты

В зависимости от того, как вы используете встроенные группы ролей и группы ролей для управления внутренними рисками для защиты от потери данных или условного доступа, может потребоваться обновить разрешения для администраторов, аналитиков и следователей в вашей организации.

В следующей таблице описаны разрешения, необходимые для конкретных задач адаптивной защиты.

Задача Требуемая группа ролей
Настройка адаптивной защиты и параметров обновления Управление внутренними рисками или администраторы управления внутренними рисками
Создание политик защиты от потери данных и управление ими с помощью условия адаптивной защиты Один из следующих: администратор соответствия требованиям, администратор данных соответствия требованиям, управление соответствием требованиям DLP, глобальный администратор
Создание политик условного доступа и управление ими с помощью адаптивного условия защиты Одно из следующих действий: глобальный администратор, администратор условного доступа, администратор безопасности
Просмотр сведений о назначенных пользователям уровнях риска Управление внутренними рисками, аналитики управления внутренними рисками или следователи по управлению внутренними рисками

Важно!

Четыре категории групп ролей соответствуют следующим вкладкам на странице Адаптивная защита: уровни риска для адаптивной защиты, уровни риска, назначенные пользователями, политики защиты от потери данных, политики условного доступа. Если вам не назначена соответствующая группа ролей, вкладка не будет отображаться на странице Адаптивная защита.

Дополнительные сведения о группах ролей в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview

Настройка адаптивной защиты

В зависимости от потребностей вашей организации или того, где в настоящее время настроено управление внутренними рисками, защита от потери данных и условный доступ, вы можете приступить к адаптивной защите двумя способами:

  • Быстрая настройка
  • Настраиваемая настройка

Быстрая настройка

Быстрая настройка — это самый быстрый способ приступить к работе с адаптивной защитой. При использовании этого параметра вам не нужны уже существующие политики управления внутренними рисками, защиты от потери данных или условного доступа, а также не требуется предварительно настраивать какие-либо параметры или функции. Если у вашей организации нет текущей подписки или лицензии, которая поддерживает управление внутренними рисками или защиту от потери данных, зарегистрируйтесь для получения пробной версии решений microsoft Purview для рисков и соответствия требованиям , прежде чем начать процесс быстрой настройки. Вы также можете зарегистрироваться для получения пробной версии Microsoft Entra.

Чтобы начать работу, выберите Включить адаптивную защиту на карточках адаптивной защиты на домашней странице портала Microsoft Purview или на странице Обзор защиты от потери данных. Вы также можете приступить к быстрой настройке, перейдя на вкладку Управление внутренними рисками>Адаптивная панель защиты>Быстрая>настройка.

Примечание.

Если вы уже являетесь администратором Microsoft Purview с ограниченной областью , вы не можете включить быструю настройку.

Вот что настраивается при использовании процесса быстрой настройки адаптивной защиты:

Область Конфигурация
Параметры внутренних рисков (если еще не настроены) — Конфиденциальность: отображение анонимных версий имен пользователей. Примечание: Имена пользователей не анонимизированы при условном доступе или защите от потери данных
— Сроки политики: значения по умолчанию
— Индикаторы политики: подмножество индикаторов Office (можно просмотреть в параметрах управления внутренними рисками).
— Усилители оценки риска: Все
— Интеллектуальные обнаружения: том оповещений = том по умолчанию
— Аналитика: включено
— уведомления Администратор: отправка уведомления по электронной почте при создании первого оповещения для всех
Параметры внутренних рисков (если они уже настроены) — Индикаторы политики: индикаторы Office еще не настроены (вы можете просмотреть в параметрах управления внутренними рисками).
— Все остальные параметры, настроенные ранее, не обновляются и не изменяются.
— Аналитика: включено (пороговые значения для активации событий в политиках — это параметры по умолчанию, определенные рекомендациями аналитики.)
Новая политика внутренних рисков — Шаблон политики: утечки данных
— Имя политики: политика адаптивной защиты для управления внутренними рисками
— политика область для пользователей и групп: все пользователи и группы
— Содержимое приоритета: Нет
— Активация событий: выбранные события кражи (вы можете просмотреть в параметрах управления внутренними рисками)
— Индикаторы политики: подмножество индикаторов Office (можно просмотреть в параметрах управления внутренними рисками).
- Бустеры оценки риска: активность выше обычной активности пользователя в этот день
Уровни риска адаптивной защиты - Повышенный уровень риска: пользователи должны иметь по крайней мере три последовательности кражи с высоким уровнем серьезности
- Средний уровень риска: пользователи должны иметь по крайней мере два действия с высоким уровнем серьезности (за исключением некоторых типов загрузок).
- Незначительный уровень риска: у пользователей должно быть по крайней мере одно действие с высоким уровнем серьезности (за исключением некоторых типов загрузок).
Две новые политики защиты от потери данных Политика адаптивной защиты для конечной точки защиты от потери данных

- Правило повышенного уровня риска: Заблокировано
- Умеренной/Правило уровня незначительного риска: аудит
— политика запускается в тестовом режиме (только аудит)

Политика адаптивной защиты для Teams и Exchange DLP

- Правило повышенного уровня риска: Заблокировано
- Умеренной/Правила уровня незначительного риска: аудит
— политика запускается в тестовом режиме (только аудит)
Новая политика условного доступа (создается в режиме только для отчетов, чтобы пользователи не блокировались) 1-блочный доступ для пользователей с риском предварительной оценки (предварительная версия)

— Включенные пользователи: все пользователи
— исключены гостевые или внешние пользователи: B2bDirectConnect User; OtherExternalUser; Serviceprovider
— Облачные приложения: все приложения
— Уровни внутренних рисков: повышенные
— Блокировать доступ: выбрано

После запуска процесса быстрой настройки может потребоваться до 72 часов, прежде чем будет завершена аналитика, будут созданы связанные политики управления внутренними рисками, защиты от потери данных и условного доступа, и вы можете ожидать, что к применимым действиям пользователей будут применены адаптивные уровни риска защиты, DLP и условный доступ. Администраторы получают уведомление по электронной почте после завершения процесса быстрой настройки.

Настраиваемая настройка

Параметр настраиваемой настройки позволяет настроить политику управления внутренними рисками, уровни риска, а также политики защиты от потери данных и условного доступа, настроенные для адаптивной защиты. Этот параметр также позволяет настроить эти элементы перед фактическим включением подключений адаптивной защиты между управлением внутренними рисками и DLP. В большинстве случаев этот параметр должен использоваться организациями, у которых уже есть политики управления внутренними рисками и (или) защиты от потери данных.

Выполните следующие действия, чтобы настроить адаптивную защиту с помощью пользовательской настройки.

Шаг 1. Создание политики управления внутренними рисками

Уровни риска назначаются пользователям, когда политика, назначенная в адаптивной защите, обнаруживает действия пользователей или создает оповещения, соответствующие условиям уровня риска, заданным на следующем шаге. Если вы не хотите использовать существующую политику управления внутренними рисками (выбранную на шаге 2), необходимо создать новую политику управления внутренними рисками. Политика управления внутренними рисками для адаптивной защиты должна включать:

  • Пользователи, действия которых вы хотите обнаружить. Это могут быть все пользователи и группы в вашей организации или только подмножество для конкретных сценариев снижения рисков или тестирования.
  • Действия, которые считаются рискованными и настраиваемыми порогами, которые влияют на оценку риска действия. Рискованные действия могут включать отправку электронной почты людям за пределами организации или копирование файлов на USB-устройства.

Выберите Создать политику внутренних рисков , чтобы запустить мастер создания политик. Шаблон политики утечки данных автоматически выбирается в мастере, но при необходимости можно выбрать любой шаблон политики.

Важно!

В зависимости от выбранного шаблона политики может потребоваться настроить дополнительные параметры политики для правильного обнаружения потенциально рискованных действий и создания применимых оповещений.

Шаг 2. Настройка параметров уровня риска

Выберите вкладку Уровни риска для адаптивной защиты . Начните с выбора политики управления внутренними рисками, которую вы хотите использовать для адаптивной защиты. Это может быть новая политика, созданная на шаге 1, или существующая политика или политики, которые вы уже настроили.

Затем примите применимые встроенные условия уровня риска или создайте собственные. В зависимости от типа выбранной политики условия уровня риска будут отражать применимые условия, связанные с индикаторами и действиями, настроенными в политике.

Например, если вы выбрали политику на основе шаблона политики утечки данных , встроенные условия уровня риска применяются к индикаторам и действиям, доступным в этой политике. Если вы выбрали политику на основе шаблона политики нарушений политики безопасности , встроенные условия уровня риска автоматически определяются индикаторами и действиями, доступными в этой политике.

Настройка уровня риска для политики

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Адаптивная защита (предварительная версия) в области навигации слева, а затем выберите Уровни риска.

  4. На странице Уровни риска для адаптивной защиты выберите Изменить для уровня риска, который вы хотите настроить (повышенные, средние или незначительные).

  5. На панели Настраиваемый уровень риска выберите параметр в разделе Уровень риска на основе :

    • Оповещение, созданное или подтвержденное для пользователя
    • Конкретные действия пользователей

  6. Если вы выбрали параметр Оповещение, созданное или подтвержденное для пользователя , вы выберете уровни серьезности для создаваемых или подтвержденных оповещений для пользователя, который должен использовать этот уровень риска. Вы можете сохранить уровень серьезности для созданных оповещений и серьезность для условий подтвержденных оповещений или удалить одно из этих условий, если вы хотите использовать только одно из них. Если вам нужно добавить одно из этих условий обратно, выберите Добавить условие и выберите условие. Для каждого условия выберите уровень серьезности, который должен применяться к условию (высокий, средний или низкий). При выполнении любого из условий пользователю назначается уровень риска.

  7. Если вы выбрали параметр Конкретное действие пользователя , выберите действие для обнаружения, его серьезность и количество ежедневных вхождений в период обнаружения прошлых действий. Для этого уровня риска необходимо настроить действия, степень серьезности действий и действия во время выполнения условий окна обнаружения .

    Для условия Действия параметры, которые можно выбрать, автоматически обновляются для типов действий, определенных с помощью индикаторов, настроенных в связанной политике. При необходимости установите флажок Назначить этот уровень риска любому пользователю, у которого подтверждено будущее оповещение, даже если условия выше не выполнены . Если выполнены все условия, пользователю назначается уровень риска.

    Для условия серьезности действия укажите уровень серьезности для действий, включенных в аналитические сведения о ежедневных действиях. Параметры: Высокий, Средний и Низкий и основаны на диапазонах оценки риска.

    Для условия окна "События во время обнаружения " необходимо указать количество раз, когда выбранные действия должны быть обнаружены в течение указанного периода обнаружения прошлых действий . Это число не связано с количеством событий, которые могут произойти для действия. Например, если политика обнаруживает, что пользователь загрузил 20 файлов из SharePoint за один день, это считается одной ежедневной аналитикой действий, состоящей из 20 событий.

  8. Выберите Подтвердить , чтобы применить настраиваемые условия уровня риска, или Отмена , чтобы отменить изменения.

Назначение уровня риска, если пользователь находится в область для нескольких политик

Если пользователь находится в область для нескольких политик, если пользователь получает оповещения разных уровней серьезности, по умолчанию ему назначается наивысший уровень серьезности. Например, рассмотрим политику, которая назначает повышенный уровень риска, если пользователи получают оповещение с высоким уровнем серьезности. Если пользователь получает оповещение с низким уровнем серьезности из политики 1, оповещение со средним уровнем серьезности из политики 2 и оповещение с высоким уровнем серьезности из политики 3, ему назначается повышенный уровень риска — уровень для наибольшего уровня серьезности полученного оповещения.

Обратите внимание, что условия уровня риска должны присутствовать в выбранных политиках для обнаружения. Например, если выбрать действие Копировать на USB , чтобы назначить средний уровень риска, но действие выбрано только в одной из трех выбранных политик, то только действие из этой политики назначит средний уровень риска для этого действия.

Шаг 3. Создание или изменение политики защиты от потери данных

Затем создайте (или измените) существующую политику защиты от потери данных, чтобы ограничить действия для пользователей, которые соответствуют условиям уровня риска в адаптивной защите. Используйте следующие рекомендации по настройке политики защиты от потери данных.

  • Необходимо включить в политику защиты от потери данных уровень риска пользователя для адаптивной защиты . Эта политика защиты от потери данных может включать другие условия при необходимости.
  • Хотя в политику защиты от потери данных можно включить другие расположения, адаптивная защита в настоящее время поддерживает только Exchange, Microsoft Teams и устройства.

Выберите Создать политику защиты от потери данных , чтобы запустить мастер политики защиты от потери данных и создать новую политику защиты от потери данных. Если у вас есть политика защиты от потери данных, которую вы хотите настроить для адаптивной защиты, перейдите враздел Политики защиты > от потери данныхна портале соответствия требованиям и выберите политику защиты от потери данных, которую вы хотите обновить для адаптивной защиты. Инструкции по настройке новой политики защиты от потери данных или обновлению существующей политики защиты от потери данных для адаптивной защиты см . в статье Сведения об адаптивной защите в защите от потери данных: настройка вручную.

Совет

Мы рекомендуем протестировать политику защиты от потери данных (с советами политики), чтобы вы могли просмотреть оповещения защиты от потери данных, чтобы убедиться, что политика работает должным образом, прежде чем включать AP.

Шаг 4. Создание или изменение политики условного доступа

Затем создайте (или измените) существующую политику условного доступа, чтобы ограничить действия для пользователей, которые соответствуют условиям уровня риска в адаптивной защите. Используйте следующие рекомендации для конфигурации политики условного доступа.

  • На странице Условный доступ, где вы управляете доступом на основе сигналов от условий, задайте для условия риск для программы предварительной оценки значение Да, а затем выберите уровень риска (повышенный, средний или дополнительный). Это уровень риска, который должен быть у пользователей для принудительного применения политики.

Выберите Создать политику условного доступа , чтобы запустить мастер политики условного доступа и создать новую политику условного доступа. Если у вас есть политика условного доступа, которую вы хотите настроить для адаптивной защиты, перейдите в раздел Защита>условного доступа в Центр администрирования Microsoft Entra и выберите политику условного доступа, которую вы хотите обновить для адаптивной защиты. Инструкции по настройке новой политики условного доступа или обновлению существующей политики условного доступа для адаптивной защиты см. в статье Общая политика условного доступа: политика на основе внутренних рисков.

Шаг 5. Включение адаптивной защиты

После выполнения всех предыдущих шагов вы можете включить адаптивную защиту. При включении адаптивной защиты:

  • Политика управления внутренними рисками начинает искать действия пользователей, соответствующие условиям уровня риска. При обнаружении уровни риска назначаются пользователям.
  • Пользователи, которым назначены уровни риска, отображаются на вкладке Пользователи в область в адаптивной защите.
  • Политика защиты от потери данных применяет действия защиты для любого пользователя, назначаемого уровням риска, включенным в политику защиты от потери данных. Политика защиты от потери данных добавляется на вкладку Политики защиты от потери данных в адаптивной защите (предварительная версия). На панели мониторинга можно просмотреть сведения о политике защиты от потери данных и изменить условия политики.
  • Политика условного доступа применяет действия защиты для любого пользователя, назначаемого уровням риска, включенным в политику условного доступа. Политика условного доступа добавляется на вкладку Политики условного доступа в адаптивной защите (предварительная версия). На панели мониторинга можно просмотреть сведения о политике условного доступа и изменить условия политики.

Чтобы включить адаптивную защиту, перейдите на вкладку Параметры адаптивной защиты и установите переключатель Включить адаптивную защиту в значение Включено. Может потребоваться до 36 часов, прежде чем вы сможете увидеть адаптивные уровни риска защиты, а также действия защиты от потери данных и условного доступа, применяемые к соответствующим действиям пользователей.

Просмотрите следующее видео на канале Microsoft Mechanics, чтобы узнать, как адаптивная защита может автоматически настраивать надежность защиты данных на основе вычисляемых уровней риска безопасности данных пользователей.

Управление адаптивной защитой

После включения адаптивной защиты и настройки политик управления внутренними рисками, защиты от потери данных и условного доступа вы получите доступ к сведениям о метриках политики, текущих область пользователей и уровнях риска, которые в настоящее время область.

Панель мониторинга

После завершения процесса быстрой или пользовательской настройки на вкладке Панель мониторинга в адаптивной защите (предварительная версия) отображаются мини-приложения для сводных сведений об уровнях риска пользователей, политиках условного доступа и политиках защиты от потери данных.

  • Уровни риска, назначенные пользователям. Отображает количество пользователей для каждого уровня риска (повышенный риск, средний риск и незначительный риск).
  • Политики, использующие уровни риска. Отображает состояние политик (не запущено или завершено), тип политики (условный доступ или защита от потери данных) и количество настроенных политик для каждого типа политики. Если тип политики не настроен, можно нажать кнопку Быстрая настройка , чтобы настроить политику.

Панель мониторинга адаптивной защиты управления внутренними рисками.

Назначенные пользователям уровни риска

Пользователи, которым назначен уровень риска в адаптивной защите, отображаются на вкладке Уровни риска, назначенные пользователями . Для каждого пользователя можно просмотреть следующие сведения:

  • Пользователи: Списки имя пользователя. Для политик защиты от потери данных, если в параметрах управления внутренними рисками выбран параметр Показывать анонимные версии имен пользователей , вы увидите анонимные имена пользователей. Для политик условного доступа имена пользователей не являются анонимными, даже если выбран параметр Показать анонимные версии имен пользователей .

    Важно!

    Для поддержания целостности ссылок анонимизация имен пользователей (если они включено) не сохраняется для пользователей адаптивной защиты, у которых оповещения или действия отображаются вне управления внутренними рисками. Фактические имена пользователей будут отображаться в связанных оповещениях защиты от потери данных и в обозревателе действий.

  • Уровень риска: текущий уровень риска, назначенный пользователю.

  • Назначено пользователю: количество дней или месяцев, прошедших с момента назначения пользователю уровня риска.

  • Сбросы уровня риска: количество дней до автоматического сброса уровня риска для пользователя.

    Чтобы вручную сбросить уровень риска для пользователя, выберите пользователя и нажмите кнопку Срок действия. Этому пользователю больше не будет назначен уровень риска. Существующие оповещения или случаи для этого пользователя не будут удалены. Если этот пользователь включен в выбранную политику управления внутренними рисками, уровень риска будет назначен снова при обнаружении события активации.

  • Активные оповещения: количество текущих оповещений об управлении внутренними рисками для пользователя.

  • Случаи, подтвержденные как нарушения: количество подтвержденных случаев для пользователя.

  • Вариант: имя дела.

При необходимости можно фильтровать пользователей по уровню риска.

Пользователи адаптивной защиты управления внутренними рисками.

Чтобы просмотреть подробные сведения о внутренних рисках и адаптивной защите для конкретного пользователя, выберите пользователя, чтобы открыть область сведений о пользователе. Область сведений содержит три вкладки: профиль пользователя, действия пользователя и сводка адаптивной защиты. Сведения о вкладках "Профиль пользователя" и "Действия пользователя " см. в разделе Просмотр сведений о пользователе.

На вкладке Сводка адаптивной защиты сведения объединяются в четыре раздела:

  • Адаптивная защита. В этом разделе отображаются сведения о текущем уровне риска, назначенном уровне риска и сбросе уровня риска для пользователя.
  • Политики защиты от потери данных в область (динамическая). В этом разделе отображаются все политики защиты от потери данных в область для пользователя, а также дата начала и окончания политики. Это зависит от уровня риска для пользователя и конфигурации политики защиты от потери данных для уровней риска. Например, если у пользователя есть действия, определенные как повышенные уровни риска для политик управления внутренними рисками, и две политики защиты от потери данных настроены с условием повышенного уровня риска, эти две политики защиты от потери данных будут отображаться здесь для пользователя.
  • Политики условного доступа в область (динамические). В этом разделе отображаются все политики условного доступа, которые сейчас находятся в область для пользователя, а также дата начала и окончания политики. Это зависит от уровня риска для пользователя и конфигурации политики условного доступа для уровней риска. Например, если у пользователя есть действия, определенные как повышенные уровни риска для политик управления внутренними рисками, и политика условного доступа настроена с условием повышенного уровня риска, политика условного доступа будет отображаться здесь для пользователя.
  • Политика внутренних рисков для адаптивной защиты. В этом разделе отображается любая политика управления внутренними рисками, в которой пользователь в настоящее время находится в область.

Сведения о пользователях адаптивной защиты для управления внутренними рисками.

Политики условного доступа

На странице Политики условного доступа отображаются все политики условного доступа, использующие условие риска для предварительной оценки . Для каждой политики можно просмотреть следующие сведения:

  • Имя политики: имя политики условного доступа.
  • Состояние политики: текущее состояние политики. Значения: Активный или Неактивный.
  • Включенные уровни риска: уровни риска, включенные в политику условного доступа с использованием условия "Внутренний риск ". Возможные варианты: повышенные, средние или незначительные уровни риска.
  • Состояние политики: текущее состояние политики условного доступа. Параметры: Включено или Проверить с уведомлениями.
  • Создано: дата создания политики условного доступа.
  • Последнее изменение: дата последнего изменения условной политики.

Политики условного доступа для управления внутренними рисками адаптивной защиты.

Политики защиты от потери данных

На странице политики защиты от потери данных отображаются все политики защиты от потери данных, использующие уровень риска пользователя для адаптивной защиты — условие . Для каждой политики можно просмотреть следующие сведения:

  • Имя политики: имя политики защиты от потери данных.
  • Состояние политики: текущее состояние политики. Значения: Активный или Неактивный.
  • Расположение политики: расположения , включенные в политику защиты от потери данных. В настоящее время адаптивная защита поддерживает только Exchange, Teams и устройства.
  • Включенные уровни риска. Уровни риска, включенные в политику защиты от потери данных с использованием уровня риска пользователя для адаптивной защиты, являются условием. Возможные варианты: повышенные, средние или незначительные уровни риска.
  • Состояние политики: текущее состояние политики защиты от потери данных. Параметры: Включено или Проверить с уведомлениями.
  • Создано: дата создания политики защиты от потери данных.
  • Последнее изменение: дата последнего изменения политики защиты от потери данных.

Политики адаптивной защиты от потери данных для управления внутренними рисками.

Настройка параметров уровня риска

После просмотра пользователей с уровнями риска вы можете обнаружить, что у вас слишком много или слишком мало пользователей, которым назначен уровень риска. Для настройки конфигураций политики можно использовать два метода, чтобы уменьшить или увеличить число пользователей, которым назначены уровни риска:

  • Изменение параметров уровня внутренних рисков. Вы можете настроить пороговые значения, чтобы назначить пользователю уровень риска:
    • Увеличение или уменьшение серьезности действия, необходимого для назначения уровня риска. Например, если вы видите слишком мало пользователей с уровнями риска, можно уменьшить серьезность действий или оповещений.
    • Если уровень риска основан на определенной активности пользователя, увеличьте или уменьшите количество действий в окне обнаружения. Например, если вы видите слишком мало пользователей с уровнями риска, вы можете уменьшить количество действий.
    • Измените, на чем основан уровень риска. Например, если вы видите слишком много пользователей с уровнями риска, чтобы уменьшить число пользователей, можно назначить уровень риска только в том случае, если оповещение подтверждено.
  • Изменение пороговых значений политики. Так как уровни риска назначаются на основе обнаружения политик, вы также можете изменить политику, что, в свою очередь, изменит требования для назначения уровня риска. Политику можно изменить, увеличив или уменьшая пороговые значения политики, которые приводят к действиям и оповещениям с высоким, средним или низким уровнем серьезности.

Отключение адаптивной защиты

Могут возникать определенные сценарии, когда может потребоваться временно отключить адаптивную защиту. Чтобы отключить адаптивную защиту, выберите вкладку Параметры адаптивной защиты и установите переключатель Включить адаптивную защиту в положение Выкл.

Если адаптивная защита отключена после включения и активности, уровни риска перестанут назначаться пользователям и предоставляться совместно с DLP и условным доступом, а все существующие уровни риска для пользователей будут сброшены. После отключения адаптивной защиты может потребоваться до 6 часов, чтобы прекратить назначение уровней риска активности пользователя и сбросить их все. Политики управления внутренними рисками, защиты от потери данных и условного доступа не удаляются автоматически.

Включение адаптивной защиты для управления внутренними рисками.