您可以使用警报策略来监控用户的活动。当用户执行与警报策略条件匹配的活动时会生成警报。例如,恶意软件攻击、网络钓鱼活动以及异常级别的文件删除和外部共享。您可以从 Microsoft 365 合规中心创建和查看警报仪表板。
警报策略允许您对策略触发的警报进行分类,将策略应用于组织中的所有用户,设置警报触发时间的阈值级别,以及决定是否在警报触发时接收电子邮件通知。
警报策略的工作原理
下图显示了警报策略如何工作的基本工作流程:
1.管理员在 Microsoft 365 合规中心创建新策略或修改现有策略以监控异常用户或管理员活动。
2. 用户或管理员执行匹配条件并触发警报策略的操作,例如创建电子数据展示案例或可能添加对邮箱的完全访问权限。
3.生成警报,并触发相应的警报操作,例如向所有全局管理员发送电子邮件。此外,在 Microsoft 365 合规中心的警报仪表板中创建了一个警报条目。
4.管理员查看警报仪表板中的警报并决定确认或解除警报。
警报策略设置
警报策略由一组规则和条件组成,这些规则和条件定义了生成警报的用户或管理员活动、执行活动时触发警报的用户列表,以及定义活动必须发生多少次的阈值在触发警报之前。您还分类了 策略并为其分配严重性级别。
- 警报策略包含以下设置和条件: 警报正在跟踪的活动:您创建一个策略来跟踪活动或在某些情况下一些相关活动,例如通过共享文件与来宾共享文件、分配访问权限或创建匿名链接。 当用户执行策略定义的活动时,会根据警报阈值设置触发警报。
- 活动条件:对于大多数活动,您可以定义触发警报必须满足的其他条件。
- 当警报被触发时:您可以配置一个设置,用于定义在触发警报之前活动发生的频率。
- 警报类别:为了帮助跟踪和管理策略生成的警报,您可以为策略分配以下类别之一:
- 数据丢失预防
- 信息治理
- 邮件流
- 权限
- 威胁管理
- 其他
当发生与警报策略条件匹配的活动时,生成的警报将使用设置中定义的类别进行标记。标记允许您在合规中心的警报页面上跟踪和管理具有相同类别设置的警报,因为您可以根据类别对警报进行排序和过滤。
- 警报严重性:与警报类别类似,您可以为警报策略分配一个严重性属性(低、中、高或信息)。与警报类别一样,当发生与警报策略条件匹配的活动时,生成的警报将使用为警报策略设置的相同严重性级别进行标记。
- 电子邮件通知:您可以设置策略,以便电子邮件通知 触发警报时发送(或不发送)到用户列表。
创建新警报
若要在 Microsoft 365 合规中心创建新的警报策略并检查审核日志记录是否已打开,请按照下列步骤操作:
- 登录 Microsoft 365 合规中心并选择策略 > 警报策略。
- 从顶部窗格中选择 + 新建警报策略以创建新的警报策略。
- 在“命名您的警报”上,对其进行分类,然后选择严重性。 页面,输入以下内容:
- 用于标识此警报策略使用的名称。
- 其他管理员了解此警报策略目的的说明。 这
- 些警报事件的重要性级别的严重性。
- 用于为组织中的不同角色配置访问权限的类别。
- 选择下一步。
- 在“选择活动、条件和触发警报的时间”页面上,选择警报所需的活动和条件,然后选择“下一步”。
- 在“决定是否要在触发此警报时通知人们”页面上,您可以指定 通知的接收者和每日通知的频率限制。
- 选择下一步。 在“查看您的设置”页面上,您可以查看警报设置并决定立即或稍后启用该策略。 当一切都按需要配置后,选择完成。
查看警报
分配给组织中用户的基于角色的访问控制 (RBAC) 权限决定了用户可以在“警报”页面上看到哪些警报。这里有些例子:
- 记录管理角色组的成员只能查看由分配了信息治理类别的警报策略生成的警报。
- 合规性管理员角色组的成员无法查看由分配了威胁管理类别的警报策略生成的警报。
- eDiscovery Manager 角色组的成员无法查看任何警报,因为没有分配的角色提供查看任何警报类别的警报的权限。
