MS-102 GĐ7
Module 48
Compliance Manager & Insider Risk
Compliance Manager: đánh giá compliance gap theo ISO 27001/GDPR/NIST, cải thiện score. Insider Risk Management: phát hiện hành vi rủi ro nội bộ trước khi xảy ra sự cố.
Tình huống – VinaCorp
VinaCorp audit ISO 27001: Compliance Manager score 42/100 — gap lớn ở Data Protection và Access Control. Đồng thời, nhân viên sắp nghỉ việc đang download hàng loạt file từ SharePoint. Cần phát hiện và ngăn chặn.
Compliance Manager
Compliance Manager tự động đánh giá tenant M365 theo các framework tiêu chuẩn và đề xuất improvement actions cụ thể với hướng dẫn implementation.
| Assessment Template | Framework | Phù hợp |
|---|---|---|
| Microsoft 365 Data Protection Baseline | Microsoft internal | Baseline cho mọi tenant |
| ISO/IEC 27001:2022 | ISO | Chứng nhận quốc tế |
| NIST CSF 2.0 | NIST | Cybersecurity framework |
| GDPR | EU Regulation | Doanh nghiệp có khách EU |
| Vietnam Cybersecurity Law | Nghị định 13/2023 | Doanh nghiệp tại Việt Nam |
| HIPAA | US Healthcare | Healthcare organizations |
Lab A – Tạo Assessment ISO 27001 (Portal)
1purview.microsoft.com → Compliance Manager → Assessments → Add assessment
2Select template: ISO/IEC 27001:2022 → Group: VinaCorp Assessments 2026
3Sau khi tạo: xem Your improvement actions — sorted by points impacted
4Click action → Implementation status: Implemented → Upload evidence (screenshot/policy doc)
5Assign action owner → Set due date → Track progress
Connect-MgGraph -Scopes "ComplianceManager.Read.All"
# Xem compliance score hiện tại
$score = Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/security/complianceManagement/assessments"
# Xem top improvement actions
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/security/complianceManagement/improvementActions?`$top=10&`$orderby=score desc" |
Select-Object -ExpandProperty value |
Select-Object title, score, implementationStatus | Format-Table -AutoSize
title score implementationStatus
----- ----- --------------------
Enable MFA for all users 10 notImplemented
Block legacy authentication protocols 8 notImplemented
Enable Microsoft Purview audit logging 7 implemented
Configure anti-phishing policies 6 notImplemented
Require compliant devices for M365 access 5 partiallyImplemented
Insider Risk Management
Insider Risk Management phát hiện patterns hành vi rủi ro từ users nội bộ: data theft trước khi nghỉ việc, sabotage, policy violations. Yêu cầu M365 E5 / E5 Compliance add-on.
| Policy Template | Phát hiện |
|---|---|
| Data theft by departing users | Download/copy nhiều file khi HR ghi nhận sắp nghỉ việc |
| General data leaks | Upload lên personal cloud, email ra ngoài với attachment lớn |
| Data leaks by priority users | Như trên nhưng cho executives/sensitive roles |
| Security policy violations | Disable antivirus, install unauthorized software |
| Offensive language | Harassment, threats trong Teams/email |
| Patient data misuse | Healthcare: xem hồ sơ bệnh nhân không liên quan |
Privacy by design: user identities được pseudonymized (anonymized) trong dashboard cho investigators — chỉ hiện tên thật khi reviewer có quyền "de-anonymize".
Lab B – Data Theft by Departing Users
purview.microsoft.com → Insider risk management → Policies
Bước 1 – Kết nối HR Connector (cần trước)
1purview.microsoft.com → Data connectors → HR data → Add connector
2Download script → chạy với service account → upload CSV file chứa: EmployeeId, ResignationDate, LastDayOfWork
3Schedule: chạy hàng ngày để sync dữ liệu HR mới nhất
Bước 2 – Tạo Insider Risk Policy
4Insider risk management → Policies → Create policy
5Template: Data theft by departing users → Name: "VinaCorp-DataTheft-Departing"
6Users: All users (hoặc specific groups) → Content to prioritize: SharePoint sites /Finance, /Legal
7Indicators: Enable SharePoint file downloads, USB transfer, Print activity, Email with attachment to personal email
8Alert thresholds: Điều chỉnh sensitivity → Save
Bước 3 – Triage Alert
# Xem insider risk alerts (Graph)
Connect-MgGraph -Scopes "SecurityAlert.Read.All"
Get-MgSecurityAlert -Filter "category eq 'InsiderRisk'" -Top 10 |
Select-Object Id, Title, Severity, Status, CreatedDateTime |
Format-Table -AutoSize
# Confirm alert → tạo case → investigate
# purview.microsoft.com → Insider risk → Alerts → Review alert
# → Confirm alert → Tạo case → Assign investigator
# → Activity explorer: xem timeline đầy đủ hành vi của user
Id Title Severity Status
-- ----- -------- ------
r-001 Unusual download activity High NeedsReview
r-002 Large file transfer near resign date High NeedsReview
Tổng kết M48
Kiến thức cốt lõi
- ✅ Compliance Manager: score + assessment + evidence upload
- ✅ ISO 27001 / GDPR templates tự động map controls → M365 settings
- ✅ Insider Risk: phát hiện pattern, không phải từng hành vi đơn lẻ
- ✅ HR Connector: trigger "departing user" window khi có resignation date
- ✅ Privacy: user anonymized cho investigators — de-anonymize cần thêm quyền
Lab đã thực hành
- 🔬 Lab A: Tạo ISO 27001 Assessment, xem improvement actions qua Graph
- 🔬 Lab B: HR Connector setup + Data theft policy + alert triage workflow