Политики оповещения в Центре безопасности и соответствия требованиям Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

С помощью новых инструментов службы оповещения в Центре безопасности и соответствия требованиям Office 365 вы можете создавать политики оповещения, а затем просматривать оповещения, которые создаются, когда пользователи выполняют действия, соответствующие условиям этих политик. Политики оповещения опираются на функции оповещения о действиях и дополняют их, позволяя вам классифицировать политику оповещения, применить ее ко всем пользователям в организации, установить пороговый уровень для активации оповещения и решить, нужны ли уведомления по электронной почте. На новой странице Центра безопасности и соответствия требованиям Office 365 вы можете просматривать и фильтровать оповещения, указывать их состояние для удобного управления оповещениями и удалять их после решения соответствующего инцидента. Кроме того, мы расширили список событий, для которых вы можете создавать оповещения. Например, можно создавать политики оповещения для отслеживания активности вредоносных программ и инцидентов, связанных с потерей данных. И наконец, мы добавили политики оповещения по умолчанию, которые помогут вам отслеживать назначение привилегий администратора в Exchange Online, атаки вредоносных программ и необычные масштабы удаления файлов.

Сейчас для работы политик оповещения организации необходима подписка на Office 365 корпоративный E5. Если вы не используете этот план и хотите опробовать политики оповещения, вы можете зарегистрироваться для получения пробной версии Office 365 корпоративный E5.

Содержание

Как работают политики оповещения?

Параметры политики оповещения

Политики оповещения по умолчанию

Просмотр оповещений

Управление оповещениями

Как работают политики оповещения?

Перед вами краткий обзор принципов действия политик оповещения и оповещений, которые создаются при выполнении пользователем или администратором действия, соответствующего условиям политики оповещения.

Общие сведения о том, как работают политики оповещения
  1. Администратор в организации создает, настраивает и включает политику оповещения на странице Политики оповещения в Центре безопасности и соответствия требованиям. Политики оповещения также можно создавать с помощью командлета New-ProtectionAlert в PowerShell.

  2. Пользователь выполняет действие, которое соответствует условиям политики оповещения. При атаках вредоносных программ оповещение создается при обнаружении зараженных сообщений электронной почты, отправленных пользователям.

  3. Office 365 создает оповещение, которое отображается на странице Просмотр оповещений в Центре безопасности и соответствия требованиям. Если для политики оповещения включены уведомления по электронной почте, Office 365 отправляет уведомление списку получателей.

  4. Администратор управляет оповещениями в Центре безопасности и соответствия требованиям. В задачи управления оповещениями входят назначение состояния оповещений для их отслеживания и управление исследованиями.

К началу

Параметры политики оповещения

Политика оповещения содержит набор правил и условий, определяющий действия пользователя или администратора, для которых будет создаваться оповещение, список пользователей, для действий которых будут создаваться оповещения, и пороговое значение, определяющее, сколько раз должно выполняться действие, прежде чем для него будет создано оповещение. Вы также классифицируете политику и назначаете ей уровень важности. По этим двум параметрам вы можете фильтровать представления в Центре безопасности и соответствия требованиям, когда управляете политиками оповещения и просматриваете оповещения, созданные при выполнении условий политики. Например, можно посмотреть соответствующие условиям оповещения, относящиеся к одной категории или одному уровню важности.

Для просмотра и создания политик оповещения перейдите на страницу Оповещения > Политики оповещения в Центре безопасности и соответствия требованиям.

В Центре безопасности и соответствия требованиям разверните раздел "Оповещения" и выберите "Политики оповещения" для просмотра существующих и создания новых политик

Политика оповещения содержит следующие параметры и условия:

  • Действие, отслеживаемое политикой.    Вы создаете политику для отслеживания действия или нескольких связанных действий (например, предоставления доступа к файлу внешнему пользователю с помощью функции общего доступа, назначения прав доступа или создания ссылки для анонимного доступа). Когда пользователь выполняет такое действие, при достижении порогового значения создается оповещение.

  • Условия для действий.    Для большинства действий вы можете определять дополнительные условия, при выполнении которых создается оповещение. Чаще всего в качестве условий используются IP-адреса (оповещение создается, когда пользователь выполняет действие на компьютере, IP-адрес которого указан или попадает в указанный диапазон IP-адресов), имена пользователей (оповещение создается, если определенные пользователи выполняют действие) и имена или URL-адреса файлов (оповещение создается, если выполняется действие с файлом, имя или URL-адрес которого указан). Можно также настроить условие, чтобы оповещение создавалось при выполнении действия любым пользователем в вашей организации. Доступные условия зависят от выбранного действия.

  • Порог оповещения.    Вы можете настроить пороговое значение, определяющее, сколько раз нужно выполнить действие, чтобы для него было создано оповещение. Это значение позволит вам настроить политику на создание оповещения при каждом действии, соответствующем условиям политики, или только при превышении определенного порогового значения. Пороговое значение определяет, сколько раз за период времени нужно выполнить действие, чтобы для него было создано оповещение.

    Вы также можете назначить порог оповещения на основе необычной активности. Если вы выбираете пороговое значение такого типа, Office 365 устанавливает базовое значение, определяющее обычную частоту выполнения выбранного действия. Установка базового значения занимает 7 дней, в течение которых оповещения не создаются. После этого оповещение будет создаваться в том случае, если частота выполнения отслеживаемого действия значительно превысит это базовое значение. Для действий, связанных с аудитом (например, действий с файлами или папками), можно установить базовое значение для одного пользователя или для всех пользователей в организации, а для действий, связанных с вредоносными программами, — для одного семейства вредоносных программ, отдельного получателя или для всех сообщений в организации.

  • Категория предупреждения.    Чтобы упростить отслеживание создаваемых политикой оповещений и управление ими, вы можете назначить политике одну из следующих категорий:

    • Управление данными

    • Защита от потери данных

    • Разрешения

    • Управление угрозами

    • Другие

    Когда выполняется действие, соответствующее условиям политики оповещения, создаваемому оповещению присваивается категория, определяемая этим параметром. Это позволит вам управлять оповещениями, относящимися к одной категории, используя функции сортировки и фильтрации по категориям на странице Просмотр оповещений в Центре безопасности и соответствия требованиям.

  • Серьезность предупреждения.    Вы можете назначать политикам оповещений не только категории, но и уровни важности (Низкая, Средняя или Высокая). Как и в случае с категорией, когда выполняется действие, соответствующее условиям политики оповещения, создаваемому оповещению присваивается уровень важности, указанный для этой политики. Это позволит вам на странице Просмотр оповещений управлять оповещениями с одинаковым уровнем важности. Например, можно отфильтровать список оповещений, чтобы в нем отображались только оповещения с уровнем важности Высокая.

    Совет : При настройке политики оповещения рекомендуется назначать высокий уровень важности тем действиям, которые могут иметь серьезные отрицательные последствия. К таким действиям можно отнести обнаружение вредоносных программ после доставки пользователям, просмотр конфиденциальных данных или данных с ограниченным доступом, предоставление доступа к данным внешним пользователям и другие действия, которые могут привести к потере данных или возникновению угрозы безопасности. Это поможет определить приоритеты оповещений, а также действий по исследованию и устранению причин их появления.

  • Уведомления по электронной почте.    Вы можете настроить в политике отправку уведомлений по электронной почте списку пользователей при создании оповещения. Вы также можете указать максимальное количество ежедневных уведомлений, по достижении которого соответствующие уведомления больше не будут отправляться в этот день. Помимо получения уведомлений по электронной почте вы (или ваши администраторы) можете просматривать созданные политикой оповещения на странице Просмотр оповещений. Рекомендуется включать уведомления по электронной почте для политик оповещения, которые относятся к определенным категориям или которым назначен высокий уровень важности.

К началу

Политики оповещения по умолчанию

В Office 365 есть встроенные политики оповещения (описаны ниже), которые помогут выявлять злоупотребление разрешениями администратора Exchange, вредоносную активность и риски управления данными. Эти политики включены по умолчанию. Вы можете отключить (или снова включить) эти политики, настроить список получателей для отправки уведомлений по электронной почте и задать предельное количество уведомлений в день. Остальные параметры этих политик изменить нельзя.

На странице Политики оповещения имена этих встроенных политик выделены жирным шрифтом и указан тип Система.

  • Повышение уровня Exchange прав администратора    Создает оповещение, когда кто-то назначен права администратора в организации Exchange Online; Например, если пользователь будет добавлен в группу ролей "Управление организацией" в Exchange Online. Эта политика имеет значение низкий уровень важности.

  • Кампании вредоносных программ обнаружен после доставки    Создает оповещение, когда слишком большое количество сообщений, содержащих вредоносных программ будут доставляться в почтовые ящики в вашей организации. При этом событии Office 365 удаляет вирус сообщения из почтовых ящиков Exchange Online. Эта политика имеет высокий уровень важности.

  • Обнаружены и заблокированные кампании вредоносных программ    Создает оповещение, когда кто-то попытался отправить слишком большое количество сообщений, содержащих определенного типа вредоносных программ для пользователей в вашей организации. Если происходит данное событие, вирус сообщения блокируются Office 365 и не доставляются в почтовые ящики. Эта политика имеет значение низкий уровень важности.

  • Файл деятельности необычные внешних пользователей    Создает оповещения при выполнении обычно большого количества действий с файлами в SharePoint или OneDrive пользователями за пределами вашей организации. Эта группа включает мероприятий, например доступ к файлам, загрузка файлов и удаление файлов. Эта политика содержит параметр Средний уровень важности.

  • Совместное использование необычные объем внешний файл    Создает оповещение, когда обычно большого количества файлов в SharePoint или OneDrive используются совместно с пользователями за пределами вашей организации. Эта политика содержит параметр Средний уровень важности.

  • Удаление файла необычные громкости    Создает оповещение, когда слишком большое количество файлов, удаляются из SharePoint или OneDrive в заданном интервале краткий формат времени. Эта политика содержит параметр Средний уровень важности.

Обратите внимание, что необычные действия мониторинг некоторые из встроенных политик на основе одного процесса описанным выше порога предупреждения характер был ранее. Office 365 устанавливает базовое значение, определяющее обычный частота для действия «обычный». Оповещения запускаются нажмите когда частоту выполнения действий отслежен встроенные оповещения политики значительно превышает значение базового плана.

К началу

Просмотр оповещений

Если действие, выполненное пользователями организации, соответствует параметрам политики оповещения, создается соответствующее оповещение, которое отображается на странице Просмотр оповещений в Центре безопасности и соответствия требованиям. Кроме того, в зависимости от параметров политики оповещения списку указанных пользователей отправляется уведомление по электронной почте. На странице Просмотр оповещений на панели мониторинга для каждого оповещения отображаются имя соответствующей политики оповещения, важность и категория оповещения (определенные в политике оповещения), а также какое количество выполнений действия приводит к созданию оповещения (это значение зависит от порогового значения политики оповещения). На панели мониторинга также показано состояние каждого оповещения. Дополнительные сведения об использовании свойства состояния для управления оповещениями см. в разделе Управление оповещениями.

Чтобы просмотреть оповещения, в Центре безопасности и соответствия требованиям выберите Оповещения > Просмотр оповещений.

В Центре безопасности и соответствия требованиям выберите "Оповещения" > "Просмотр оповещений" для просмотра оповещений

Для просмотра различных подмножеств всех оповещений на странице Просмотр оповещений можно использовать следующие фильтры:

  • Состояние   . Этот фильтр используется для отображения оповещений, которым присвоено определенное состояние. Состояние по умолчанию: Активно. Вы (или ваши администраторы) можете изменить состояние.

  • Политики   . Этот фильтр используется для отображения оповещений, которые соответствуют параметрам одной или нескольких политик оповещения. Можно также просто отобразить все оповещения для всех политик.

  • Диапазон времени   . Этот фильтр используется для отображения оповещений, которые были созданы в определенном диапазоне дат и времени.

  • Важность   . Этот фильтр используется для отображения оповещений, которым присвоен определенный уровень важности.

  • Категория   . Этот фильтр используется для отображения оповещений, относящихся к одной или нескольким категориям.

К началу

Управление оповещениями

Оповещения, созданные и показанные на странице Просмотр оповещений в Центре безопасности и соответствия требованиям, вы можете расставлять по приоритетам, исследовать и решать. Далее описаны некоторые задачи управления оповещениями.

  • Назначение состояния оповещений   . Вы можете назначать оповещениям одно из следующих состояний: Активно (по умолчанию), Исследование, Разрешено и Отменено. Затем можно фильтровать их по этому параметру, просматривая только оповещения с одинаковым состоянием. Параметр состояния помогает отслеживать процесс управления оповещениями.

  • Просмотр сведений об оповещении   . Щелкните оповещение, чтобы появилась всплывающая страница со сведениями о нем. Подробные сведения зависят от соответствующей политики оповещения, но обычно включают следующие данные: имя фактической операции (например, командлет), описание действия, пользователь (или список пользователей) и имя соответствующей политики оповещения (и ссылка на нее).

    • Имя фактической операции, которая стала причиной создания оповещения, например командлет или операция ведения журнала аудита.

    • Описание действия, которое стало причиной создания оповещения.

    • Пользователь, ставший причиной создания оповещения (включается только для политик оповещения, настроенных для отслеживания отдельного пользователя или отдельного действия).

    • Количество раз, когда выполнялось действие, отслеживаемое с помощью оповещения. Это количество может не совпадать с реальным количеством связанных оповещений на странице "Просмотр оповещений", поскольку могли создаваться дополнительные оповещения.

    • Ссылка на список действий, каждый элемент которого соответствует каждому выполненному действию, вызвавшему создание оповещения. В каждой записи этого списка указано, когда произошло действие, как называется фактическая операция (например, "Файл удален") и какой пользователь выполнял действие, над каким объектом оно выполнялось (например, файл, дело eDiscovery или почтовый ящик) и каков IP-адрес компьютера пользователя. Для оповещений, связанных с вредоносными программами, это ссылка на список сообщений.

    • Имя соответствующей политики оповещения (и ссылка на нее).

  • Отключение почтовых уведомлений   . Вы можете отключить (или подавить) почтовые уведомления на всплывающей странице для оповещения. Если вы отключите почтовые уведомления, Office 365 не будет отправлять уведомления при обнаружении действий или событий, соответствующих условиям политики оповещения. При этом оповещения по-прежнему будут создаваться. Можно также отключить почтовые уведомления во время изменения политики оповещения.

  • Разрешение оповещений   . На всплывающей странице вы можете пометить оповещение как решенное (при этом оповещению присваивается состояние Разрешено). Если не изменить фильтр, разрешенные оповещения не отображаются на странице Просмотр оповещений.

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×