Freigeben über

Aktivieren von Analysen im Insider-Risikomanagement

  • Artikel

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Die Aktivierung Microsoft Purview Insider Risk Management Analysen bietet zwei wichtige Vorteile. Wenn Die Analyse aktiviert ist, haben Sie folgende Möglichkeiten:

  • Führen Sie eine Bewertung potenzieller Insiderrisiken in Ihrem organization durch, ohne Insider-Risikorichtlinien zu konfigurieren.
  • Erhalten Sie Anleitungen in Echtzeit zum Konfigurieren von Indikatorschwellenwerten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Führen Sie eine Bewertung von Insider-Risiken in Ihrem organization

Microsoft Purview Insider Risk Management Analysen ermöglichen es Ihnen, potenzielle Insider-Risiken in Ihrem organization zu bewerten, ohne Insider-Risikorichtlinien zu konfigurieren. Diese Auswertung kann Ihnen dabei helfen, organization potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang der Richtlinien für das Insider-Risikomanagement zu bestimmen, die Sie möglicherweise konfigurieren möchten. Analysescans bieten die folgenden Vorteile für Ihre organization:

  • Einfach zu konfigurieren: Um mit Analysescans zu beginnen, wählen Sie Überprüfung ausführen aus, wenn Sie von der Analyseempfehlung aufgefordert werden, oder wechseln Sie zu Insider-Risikoeinstellungen>Analytics , und aktivieren Sie Analysen.
  • Beabsichtigter Datenschutz: Gescannte Ergebnisse und Erkenntnisse werden als aggregierte und anonymisierte Benutzeraktivitäten zurückgegeben. Einzelne Benutzernamen sind von Prüfern nicht identifizierbar. Da das Insider-Risikomanagement keine Identität im organization für Analysen klassifizieren kann, werden von der Lösung alle UPNs/Identitäten erfasst, die möglicherweise an Daten beteiligt sind, die die organization Grenze verlassen. Dies kann Benutzerkonten, Systemkonten, Gastkonten usw. umfassen.
  • Verstehen potenzieller Risiken durch konsolidierte Erkenntnisse: Scanergebnisse können Ihnen helfen, potenzielle Risikobereiche für Ihre Benutzer schnell zu identifizieren und welche Richtlinie am besten geeignet wäre, um diese Risiken zu mindern.

Sehen Sie sich das Insider-Risikomanagement-Video an, um zu verstehen, wie Analysen die Identifizierung potenzieller Insider-Risiken beschleunigen können.

Gescannte Bereiche

Analytics sucht nach Risikomanagementaktivitäten aus verschiedenen Quellen, um Erkenntnisse in potenzielle Risikobereiche zu identifizieren. Abhängig von Ihrer aktuellen Konfiguration sucht die Analyse nach qualifizierenden Risikoaktivitäten in den folgenden Bereichen:

  • Microsoft 365-Überwachungsprotokolle: Dies ist in allen Überprüfungen enthalten und die primäre Quelle für die Identifizierung der meisten potenziell riskanten Aktivitäten.
  • Exchange Online: In allen Überprüfungen enthalten, hilft Exchange Online Aktivität bei der Identifizierung von Aktivitäten, bei denen Daten in Anlagen per E-Mail an externe Kontakte oder Dienste gesendet werden.
  • Microsoft Entra ID: In allen Überprüfungen enthalten, hilft Microsoft Entra Verlauf dabei, riskante Aktivitäten im Zusammenhang mit Benutzern mit gelöschten Benutzerkonten zu identifizieren.
  • Microsoft 365 HR-Datenconnector: Falls konfiguriert, helfen HR-Connectorereignisse dabei, riskante Aktivitäten im Zusammenhang mit Benutzern zu identifizieren, die abtreten oder anstehende Beendigungstermine haben.

Analyseerkenntnisse aus Überprüfungen basieren auf denselben Risikomanagementaktivitätssignalen, die von Insider-Risikomanagementrichtlinien verwendet werden, und berichten Ergebnisse basierend auf Einzel- und Sequenzbenutzeraktivitäten. Die Risikobewertung für Analysen basiert jedoch auf einer Aktivität von bis zu 10 Tagen, während Insider-Risikorichtlinien tägliche Aktivitäten verwenden, um Erkenntnisse zu gewinnen. Wenn Sie analysen zum ersten Mal in Ihrem organization aktivieren und ausführen, werden die Überprüfungsergebnisse für einen Tag angezeigt. Wenn Sie die Analyse aktiviert lassen, werden die Ergebnisse jeder täglichen Überprüfung angezeigt, die den Erkenntnisberichten für einen maximalen Aktivitätsbereich der letzten 10 Tage hinzugefügt wurde.

Erhalten von Echtzeitanleitungen zum Konfigurieren von Schwellenwerteinstellungen für Indikator

Das manuelle Optimieren von Richtlinien zur Verringerung von "Rauschen" kann eine sehr zeitaufwendige Erfahrung sein, bei der Sie viele Test- und Fehlerverfahren durchführen müssen, um die gewünschte Konfiguration für Ihre Richtlinien zu bestimmen. Wenn die Analyse aktiviert ist, können Sie Echtzeiteinblicke erhalten, die Ihnen helfen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, sodass Sie nicht zu wenige oder zu viele Richtlinienwarnungen erhalten. Erfahren Sie mehr über die Verwendung von Echtzeitanalysen zur Verwaltung des Warnungsvolumens.

Aktivieren Sie Analysen, und starten Sie eine Überprüfung potenzieller Insiderrisiken in Ihrem organization

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Um Insider-Risikoanalysen zu aktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Scrollen Sie auf der Registerkarte Übersicht nach unten zum Karte Insider-Risikoanalysen, und wählen Sie dann in Ihrem organization unter Nach Insiderrisiken suchen die Option Überprüfung ausführen aus. Dadurch wird die Analyseüberprüfung für Ihre organization aktiviert. Analysescanergebnisse können bis zu 48 Stunden dauern, bis Erkenntnisse als Berichte zur Überprüfung verfügbar sind.

Tipp

Sie können die Überprüfung auch in Ihrem organization über die Einstellungen oben auf jeder Insider-Risikomanagement-Seite aktivieren. Wählen Sie Analytics aus, und aktivieren Sie dann die Einstellung.

Einstellungen für die Insider-Risikomanagementanalyse

Anzeigen von Analyseerkenntnissen nach der ersten Analyseüberprüfung

Um die Ergebnisse der Analyseüberprüfung in Ihrem organization anzuzeigen, wechseln Sie zu Insider-Risikomanagement-Berichte>>Analytics. Weitere Informationen zu Berichten finden Sie unter Verwenden von Berichten im Insider-Risikomanagement.

Deaktivieren von Analysen

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Um die Insider-Risikoanalyse zu deaktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wählen Sie in der oberen rechten Ecke der Seite Einstellungen aus.
  3. Wählen Sie Insider-Risikomanagement aus, um zu den Einstellungen für insider-Risikomanagement zu wechseln.
  4. Wählen Sie unter Insider-Risikoeinstellungendie Option Analytics aus, und deaktivieren Sie dann die Einstellung.

Nach dem Deaktivieren der Analyse: