实验室 5 - 练习 2 - 配置内部风险管理

你是 Contoso Ltd. 的合规性管理员 Joni Sherman。你的角色涉及确保法规合规性和保护组织内的敏感信息。 最近,Contoso Ltd. 注意到了可能会暴露敏感数据的异常浏览活动。 为了主动应对此内部风险,你将实施 Microsoft Purview 内部风险管理,重点关注有效识别、分析和响应潜在内部威胁。

任务

  1. 分配内部风险管理权限
  2. 配置内部风险设置
  3. 创建内部风险策略
  4. 创建通知模板

任务 1 - 分配内部风险管理权限

在本练习中,你将向 Joni 分配内部风险管理角色,以授予在 Microsoft Purview 门户中执行内部风险任务的权限。

  1. 使用 SC-400-cl1\admin 帐户登录到客户端 1 VM (SC-400-CL1)。

  2. 在 Microsoft Edge 中,导航到 https://purview.microsoft.com ,以 MOD 管理员身份 admin@WWLxZZZZZZ.onmicrosoft.com (其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。 管理员的密码应由实验室托管提供程序提供。

  3. 从左侧边栏中选择“设置”。

  4. 展开“角色和范围”,然后选择“角色组”。

  5. 在“Microsoft Purview 解决方案的角色组”页上,选择“内部风险管理” 。

  6. 在右侧的“内部风险管理”浮出面板中,选择“编辑” 。

  7. 在“编辑角色组的成员”页上,选择“+ 选择用户” 。

  8. 在“选择用户”浮出面板上,搜索 Joni 并选择 Joni Sherman 的复选框。

  9. 选择面板底部的“选择”按钮。

  10. 在“编辑角色组的成员”页上,选择“下一步” 。

  11. 在“查看角色组并完成”页上,选择“保存” 。

  12. 成功将 Joni 添加到角色组后,请在“已成功更新角色组”页上选择“完成”。

  13. 选择右上角的“MA”图标,然后选择“注销”,以注销 Mod 管理员帐户。

你已成功将内部风险管理角色分配给 Joni Sherman,授予她在 Microsoft Purview 门户中执行内部风险任务的权限。

任务 2 - 配置内部风险设置

在此任务中,你将在 Microsoft Purview 门户中自定义内部风险管理设置。 这将使 Joni Sherman 能够有效地管理组织内潜在的内部风险并确保敏感信息的安全。

  1. 在 Microsoft Edge 中,导航到 https://purview.microsoft.com 并以 JoniS@WWLxZZZZZZ.onmicrosoft.com (其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。

  2. 从左侧边栏中选择“设置”。

  3. 在“设置”页上,从左侧边栏中选择“内部风险管理”。

  4. 在“内部风险管理设置”页上,浏览可用设置:

    • 分析:在不配置策略的情况下评估潜在的内部风险。
    • 数据共享:将警报信息导出到 SIEM 解决方案,或使用 Defender 和 DLP 警报共享用户风险级别。
    • 检测组:创建检测组以定制指示器并减少误报。
    • 全局排除:指定策略不会加以评分的全局排除项。
    • 内联警报自定义:快速调整策略阈值,或直接从警报仪表板中删除策略中的活动。
    • 智能检测:提升异常下载、控制警报、筛选器 Defender 警报的分数,并指定用于风险评分的域。
    • Microsoft Teams (预览版) :使 Teams 能够协作处理内部风险管理案例。
    • 通知:自动向所选角色组发送电子邮件通知,以进行警报。
    • 策略指示器:为内部风险管理策略选择特定指示器;默认情况下禁用所有指示器。
    • 策略期限:根据事件定义由策略匹配项触发的评审期。
    • Power Automate 流(预览版):使用 Power Automate 流为案例和用户自动执行任务。
    • 优先物理资产(预览版):确定对优先位置的访问权限并与用户事件相关联。
    • 优先用户组:确定高风险用户,以便进行更深入的检查和更敏感的风险评分。
    • 隐私:选择显示策略匹配项的用户名或匿名版本。

  5. 在“内部风险管理设置 ”页的左侧面板中,选择“ 通知”。

  6. 查看将接收检测到的活动的警报的用户。

  7. 在“内部风险管理设置”页的左侧面板中,选择“隐私”。

  8. 在“隐私”面板中,选择“不显示用户名的匿名版本”,然后选择“保存”。

  9. 在“内部风险管理设置”页的左侧面板中,选择“策略指示器”。

  10. 在“策略指示器”设置面板上,展开“风险浏览指示器(预览)”,然后选择“全选”复选框。

  11. 滚动到“策略指示器”面板底部,然后选择“保存”。

  12. 在“内部风险管理设置”页的左侧面板中,选择“优先用户组”。

  13. 选择“+ 创建优先用户组”以打开“新建优先用户组”配置。

  14. 在“命名并描述优先用户组”页中输入:

    • 名称Finance team
    • 说明Team members that manage financial operations, budgeting, and reporting.

  15. 选择下一步

  16. 在“选择成员”页上,选择“+ 选择成员” 。

  17. 在“选择成员”浮出面板上,选择:

    • Lynne Robbins
    • Debra Berger
    • Megan Bowen

  18. 选择浮出面板底部的“添加”,添加 3 名成员。

  19. 在“选择成员”页上,选择“下一步”。

  20. 在“选择谁可以查看涉及此优先组中的用户的数据”上,选择“+ 选择用户和角色组” 。

  21. 在“选择用户和角色组”浮出面板上,选中“内部风险管理”复选框,以添加在 Microsoft Purview 中具有内部风险管理角色的所有成员,然后选择“添加”。

  22. 在“选择谁可以查看涉及此优先组中的用户的数据”上,选择“下一步”。

  23. 在“查看”页上,选择“提交” 。

  24. 成功创建优先组后,在“已创建优先用户组”页上选择“完成”。

你已成功自定义内部风险管理设置。 现在,Joni Sherman 拥有必要的工具和功能,可以主动识别和缓解内部风险,保护 Microsoft Purview 门户中的宝贵数据。

任务 3 - 创建内部风险策略

在此任务中,将在 Microsoft Purview 中配置名为“敏感数据保护”的策略,以监视和保护可能暴露组织内敏感信息的风险浏览活动。

  1. 你应仍在“内部风险管理设置”页上使用 Joni 的帐户登录到 Microsoft Purview。

  2. 从左侧边栏中选择“解决方案”,然后选择“内部风险管理”,导航到内部风险管理。

  3. 在“内部风险管理”页上,从左侧边栏中选择“建议”。 创建第一个策略之前,请花些时间查看此页面。

  4. 查看建议后,从左侧边栏中选择“策略”,然后选择“+ 创建策略”。

  5. 在“选择策略模板”页上,选择“有风险的浏览器使用情况(预览)”,然后选择“下一步”。

  6. 在“策略命名”页上输入:

    • 名称Sensitive Data Protection
    • 说明Monitor and protect against risky browsing activities.

  7. 选择下一步

  8. 在“选择用户、组和自适应范围”页上,选择“所有用户、组和自适应范围”,然后选择“下一步”。

  9. 在“排除用户和组(可选) (预览)”页上,选择“下一步”。

  10. 在“决定是否设置内容优先级”页上,选择“我不想立即设置内容优先级”,然后选择“下一步”。

  11. 在“选择此策略的触发事件”页上,你将看到在上一个任务中启用的指示器。 保留默认选择,然后选择“下一步”。

  12. 在“选择触发事件的阈值”页上,选择“应用内置阈值”,然后选择“下一步”。

  13. 在“指示器”页上,展开“风险浏览指示器(预览)”,并确保选中所有指示器。 这可确保在检测到这些活动时生成警报。

  14. 选择下一步

  15. 在“为指示器选择阈值类型”页上,选择“应用 Microsoft 提供的阈值”,然后选择“下一步”。

  16. 在“查看设置并完成”页上,选择“提交” 。

  17. 成功创建内部风险策略后,在“已创建策略”页上选择“完成”。

    注意:如本页所述,策略匹配项最多可能需要 24 小时才会开始显示在“警报”选项卡中。

已成功创建敏感数据保护策略,这有助于检测和防止可能暴露敏感信息的风险浏览活动。 请记住,策略匹配项最多可能需要 24 小时才会显示在“警报”选项卡中。

任务 4 - 创建通知模板

在此任务中,你将在 Microsoft Purview 的“内部风险管理”中创建一个通知模板,使你能够在针对风险活动生成案例时自动向用户发送电子邮件消息,以此作为提醒或提供合规性培训信息。

  1. 在内部风险管理中,你应仍以 Joni 的身份登录 Microsoft Purview。

  2. 在左侧边栏中,选择“通知模板”。

  3. 在“通知模板”页上,选择“+ 创建通知模板”。

  4. 在右侧的“创建新的通知模板”弹出面板中填写必要的信息。

    • 面板名称Risky Browsing Alert

    • 发件人Joni Sherman

    • 主题Risky Browsing Activity Detected

    • 消息正文

      <!DOCTYPE html>
<html>
<body>
<h2>Alert: Risky Browsing Activity Detected</h2>
<p>We detected potentially risky browsing activity associated with your account. As part of our Insider Risk Management policy, we are required to investigate any suspicious online behavior that could compromise data security.</p>
<p>Please review your recent browsing activities, report any unusual behavior, and refer to the Contoso User Code of Conduct training at <a href='https://contoso.com'>https://contoso.com</a> for more information.</p>
<p>Thank you for your cooperation,</p>
<p><em>Human Resources</em></p>
</body>
</html>

  5. 选择创建

  6. 返回到“通知模板”页,你将看到刚刚创建的“风险浏览警报”模板。

你已成功创建“风险浏览警报”通知模板,能够在检测到有风险的浏览活动时自动向用户发送通知,加强安全措施,并促进遵守 Contoso 用户行为准则。