使用用户风险仪表板可查看收集的数据并利用评分确定风险。此风险分析功能可跟踪用户和设备的操作以及行为,然后计算潜在风险。它通过风险级别和其他元数据展示此潜在风险,以便您可以快速估量 Workspace ONE UEM 部署的漏洞。

什么是风险评分?

Workspace ONE Intelligence 中的风险评分是一种风险分析功能,用于跟踪用户和设备的操作以及行为。它会将评分显示为级别,以帮助加快信任流程。某些级别意味着您可以信任用户或设备,而其他级别则建议立即采取缓解措施。风险评分从基准或“正常”风险级别开始。当用户或设备的行为偏离正常范围时,评分将使用 来标识这些偏差。
  • - 此评分表示极有可能会给网络资源和内部资源带来威胁和漏洞。此级别表示可信度最低。
  • - 此评分表示给网络资源和内部资源带来威胁和漏洞的可能性适中。
  • - 此评分表示几乎不可能会给网络资源和内部资源带来威胁和漏洞。此级别表示可信度最高。
您可以根据评分和组织的安全策略来采取各种响应措施。例如,对于高风险评分,具有宽容安全策略的组织可能会警告用户。但是,对于中等风险评分,具有限制性安全策略的另一个组织可能会拒绝授予特权。以下列表列出了组织可以使用风险评分来采取行动的其他方式。
  • 监控设备或用户。
  • 使用通知警告设备或用户。
  • 拒绝向设备或用户授予特权。
  • 将身份验证方法添加到具有 Workspace ONE Access 集成的用户或设备。

哪些行为会影响风险评分?

风险评分因系统对设备或用户识别的行为而异。这些行为也称为风险指标。正面行为的评分更低,且可信度更高。正面行为的评分更高,且可信度更低。系统可识别并汇总多个风险指标,以计算风险评分偏差。

表 1. 识别的行为
风险指标 说明 风险
应用收集器 安装的应用远超正常数量的人员。 任何应用都可能包含已知或未修补的漏洞,这些漏洞可能会成为攻击途径。网络攻击的攻击面随着设备上应用数量的增加而增加。
强迫性应用下载

短期内安装的应用远超正常数量的人员。

在其设备上疯狂安装异常应用的用户面临的风险更大,更有可能成为恶意活动的受害者。

某些应用会伪装为有用、友好或有趣的应用,而事实上它们想要对用户造成危害。

筛选不安全内容(恶意软件)的市场方法因供应商而异。不谨慎的用户可能会被跟踪、遭受黑客攻击或欺诈。

落后更新

懒于更新设备操作系统或完全拒绝更新的人员。

忽略软件更新可能会使设备易受攻击并增加被破解的风险。

罕见应用收集器 安装的罕见应用远超正常数量的人员。 与广泛使用的应用不同,罕见应用的来源可疑,更有可能感染恶意软件或安全漏洞。
有风险的安全设置

拥有一台或多台设备并明确禁用了安全保护功能或明确声明设备遗失的人员。

禁用设备上的安全措施会增加被破解的风险。

异常应用下载

最近安装了异常应用的人员。

应用可能会伪装为有用、友好或有趣的应用,而事实上它们想要对用户造成危害。

筛选不安全内容(恶意软件)的市场方法因供应商而异。不谨慎的用户可能会被跟踪、遭受黑客攻击或欺诈。

风险评分对哪些类型的设备有效?

风险评分适用于 Android、iOS、macOS 和 Windows 10 平台。它还适用于分类为公司专用、公司共享、员工拥有 (BYOD) 和未定义的设备。
表 2. 支持的风险指标(按平台)
设备平台 应用收集器(未受管和公共应用) 强迫性应用下载(未受管和公共应用) 落后更新 罕见应用收集器(未受管和公共应用) 有风险的设置 异常应用下载(未受管和公共应用)
移动(iOS 和 Android)
桌面(Windows 10 和 macOS) ✕* ✕* ✕* ✕*

*该功能不会收集应用数据。

表 3. 支持的风险指标(按设备所有权类型)
设备所有权类型 应用收集器(未受管和公共应用) 强迫性应用下载(未受管和公共应用) 落后更新 罕见应用收集器(未受管和公共应用) 有风险的设置 异常应用下载(未受管和公共应用)
公司专用、公司共享、未定义
员工拥有 (BYOD) ✕** ✕** ✕** ✕**

**虽然默认 Workspace ONE UEM 隐私设置禁止在 BYOD 设备上收集应用数据,但管理员可以更改隐私设置,以便 Workspace ONE Intelligence 可以收集应用数据。在 Workspace ONE UEM 中更改隐私配置之前,请查阅贵组织的隐私策略。

需要满足哪些要求才能查看风险评分?

要使用风险分析,请集成以下系统并遵循列出的限制。
  • 注册 Workspace ONE UEM
  • 要在 Workspace ONE Intelligence 中显示风险评分,由 Workspace ONE UEM 管理的每台设备都必须在 Workspace ONE UEM console 中具有唯一帐户。请勿使用分配给多台设备的通用帐户。
  • 在同一平台上部署 100 台或更多设备,以使评分系统产生结果。

    风险指标会将设备指标与整个组织内的整个设备群进行比较。为了提供有统计意义的评分,系统所需的数据集必须涵盖同一平台上的至少 100 台设备。

  • 用户最多可以使用同一个帐户注册六台设备。

    系统会将拥有超过六台设备的用户视为共享设备环境的一部分。系统很难在共享环境中准确地衡量用户和设备的风险。

  • 或者,注册 Workspace ONE Access 以便您可以在 Workspace ONE Access 中为访问策略配置用户风险评分。

在控制台中可以从何处找到风险评分?

Workspace ONE Intelligence 在不同的仪表板中报告风险评分和其他风险数据。

风险评分包含可添加到我的仪表板或自定义仪表板的模块。使用类别 Workspace ONE UEM > 设备风险评分用户风险评分可访问相应的模块。

您还可以查看预配置的模块。
  • 过去一周内有风险的设备趋势
    • 有风险的行为类别
    • 设备平台类别
  • 过去一周内的风险行为(按平台)

风险评分有什么作用?

  • Workspace ONE Intelligence 中使用自动化执行操作。
    • 您可以通过从用户风险仪表板或安全风险 > 设备选项卡中选择自动化权限来缓解和执行操作。创建自动化工作流并从各种 Workspace ONE UEM 操作 中进行选择。
      1. 从仪表板中选择自动化以配置工作流。
      2. 对于筛选器 (If) 部分,默认情况下,系统会选择风险评分等于高,但您可以自定义此部分。
      3. 对于操作 (Then) 部分,选择加号 (+) 和 Workspace ONE UEM 连接。
      4. 从各种 Workspace ONE UEM 操作中进行选择。
    • 您可以使用 Workspace ONE UEM 类别设备风险评分用户风险评分来创建自定义自动化。
    • 可以使用预配置的自动化模板。
      • 检测到有风险的设备

        此模板需要 Slack 连接。

      • MTD 应用部署优先级
      • 更新落后设备

        此模板仅适用于 iOS。

  • 使用 Workspace ONE Access 中的访问策略管理对资源的访问权限。

    Workspace ONE Access 管理器控制台中向 Workspace ONE Intelligence 注册 Workspace ONE Access 环境以访问风险评分。

    Workspace ONE Access 中的访问策略可使用 If-Then 构造为用户创建和强制执行身份验证协议。您可以在 If 部分中指定用户风险评分,指示 Then 区域中允许的身份验证方法。如果用户的风险级别为高、中或低,则用户可以使用组织的安全策略批准的指定方法对资源进行身份验证。

    根据用户风险级别,系统可以对高风险用户强制执行限制性访问策略,以便为内部资源提供更高的安全性。相反,系统可以对低风险用户或中风险用户强制执行宽容访问策略。

哪些系统为风险评分提供数据?

Workspace ONE UEMWorkspace ONE Intelligence 集成以进行风险评分,从而获取 Workspace ONE 部署中管理的设备的数据。它使用存储在 Workspace ONE UEM 中的用户注册帐户来识别受管设备上的用户活动。

评分的计算频率有多高?

风险评分每日运行,并提供可行的衡量指标,以确定并可能隔离具有较差安全行为的用户以及给组织带来风险的用户。

风险评分与消费者信用评分类似。信用评分系统不会检查用户的信用卡帐户来查看今天的余额。风险评分以异步方式运行,不一定知道设备的当前状态。它每天运行一次,并分析截至评分过程运行时报告的有关该设备的数据。评分模型使用历史数据(例如,过去 14 天)来确定用户行为的风险。