Freigeben über


Weitere Informationen zu Einstellungen für das Insider-Risikomanagement

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Bevor Sie mit Insider-Risikomanagementrichtlinien beginnen, ist es wichtig, die Einstellungen für das Insider-Risikomanagement zu verstehen und auszuwählen, die die Complianceanforderungen für Ihre organization am besten erfüllen. Insider-Risikomanagementeinstellungen gelten für alle Insider-Risikomanagementrichtlinien, unabhängig von der Vorlage, die Sie beim Erstellen einer Richtlinie auswählen.

Hinweis

Verwenden Sie Einstellungen oben auf jeder Insider-Risikomanagementseite, um Einstellungen zu ändern.

Die folgende Tabelle beschreibt die einzelnen Insider-Risikomanagementeinstellungen und enthält einen Link, um mehr über die Einstellung zu erfahren.

Einstellung Beschreibung
Datenschutz Wählen Sie aus, ob Benutzernamen oder anonymisierte Versionen von Benutzernamen für alle aktuellen und früheren Richtlinienüberstimmungen für Warnungen und Fälle angezeigt werden sollen.
Richtlinienindikatoren Jede Richtlinienvorlage für das Insider-Risikomanagement basiert auf bestimmten Indikatoren, die bestimmten Auslösern und Risikoaktivitäten entsprechen. Alle globalen Indikatoren sind standardmäßig deaktiviert. Sie müssen einen oder mehrere Indikatoren auswählen, um eine Insider-Risikomanagementrichtlinie zu konfigurieren. Mithilfe der Einstellungen auf Indikatorebene können Sie steuern, wie sich die Anzahl der Vorkommen von Risikoereignissen in Ihrem organization auf die Risikobewertung auswirken.
Erkennungsgruppen Verwenden Sie die Einstellung Erkennungsgruppen , um Varianten integrierter Indikatoren zu erstellen, wenn Sie Erkennungen für verschiedene Benutzergruppen anpassen möchten. Das Erstellen von Erkennungsgruppen trägt dazu bei, falsch positive Ergebnisse zu reduzieren.
Globale Ausschlüsse Verwenden Sie die Einstellung Globale Ausschlüsse , um globale Ausschlüsse anzugeben, die nicht von Ihren Insider-Risikomanagementrichtlinien bewertet werden.
Zeitrahmen für Richtlinien Mit der Einstellung Richtlinienzeitrahmen können Sie vergangene und zukünftige Überprüfungszeiträume definieren, die nach Richtlinienüberstimmungen basierend auf Ereignissen und Aktivitäten für die Richtlinienvorlagen für das Insider-Risikomanagement ausgelöst werden.
Intelligente Erkennungen Verwenden Sie die Einstellung Intelligente Erkennungen, um die Bewertung für ungewöhnliche Downloadaktivitäten zu erhöhen, das Warnungsvolumen zu steuern, Microsoft Defender for Endpoint Warnungen zu importieren und zu filtern und nicht zulässige Domänen und Domänen von Drittanbietern für die Risikobewertung anzugeben.
Exportieren von Warnungen Insider-Risikomanagement-Warnungsinformationen können mithilfe des Office 365 Management-API-Schemas in SIEM-Lösungen (Security Information and Event Management Management) und Security Orchestration Automated Response (SOAR) exportiert werden. Sie können die Office 365 Management-Aktivitäts-APIs verwenden, um Warnungsinformationen in andere Anwendungen zu exportieren, die Ihr organization möglicherweise zum Verwalten oder Aggregieren von Insider-Risikoinformationen verwenden.
Datenfreigabe Verwenden Sie die Einstellung Datenfreigabe, um eine der folgenden Aktionen auszuführen: 1) Exportieren von Insider-Risikomanagementinformationen in SIEM-Lösungen mithilfe des Office 365 Management Activity API-Schemas; 2) Freigeben von Benutzerrisikostufen für Insider-Risikomanagement mit Microsoft Defender- und DLP-Warnungen.
Prioritätsbenutzergruppen Benutzer in Ihrem organization können je nach Position, Zugriffsebene auf vertrauliche Informationen oder Risikoverlauf unterschiedliche Risikostufen aufweisen. Wenn Sie die Prüfung und Bewertung der Aktivitäten dieser Benutzer priorisieren, können Sie auf potenzielle Risiken aufmerksam gemacht werden, die höhere Folgen für Ihre organization haben können. Verwenden Sie die Einstellung Prioritätsbenutzergruppen, um die Benutzer in Ihrem organization zu definieren, die eine genauere Überprüfung und eine sensiblere Risikobewertung erfordern.
Priorität physischer Ressourcen (Vorschau) Das Identifizieren des Zugriffs auf vorrangige physische Ressourcen und das Korrelieren der Zugriffsaktivität mit Benutzerereignissen ist eine wichtige Komponente Ihrer Complianceinfrastruktur. Diese physischen Ressourcen stellen Prioritätsstandorte in Ihrem organization dar, z. B. Unternehmensgebäude, Rechenzentren oder Serverräume. Insider-Risikoaktivitäten können mit Benutzern verbunden sein, die ungewöhnliche Stunden arbeiten, versuchen, auf diese nicht autorisierten sensiblen oder sicheren Bereiche zuzugreifen, und Anfragen auf Zugriff auf allgemeine Bereiche ohne legitime Notwendigkeit.
Power Automate-Flows (Vorschau) Microsoft Power Automate ist ein Workflowdienst, der Aktionen anwendungs- und dienstübergreifend automatisiert. Mithilfe von Flows aus Vorlagen oder manuell erstellten Datenflüssen können Sie allgemeine Aufgaben im Zusammenhang mit diesen Anwendungen und Diensten automatisieren. Wenn Sie Power Automate-Flows für das Insider-Risikomanagement aktivieren, können Sie wichtige Aufgaben für Fälle und Benutzer automatisieren. Sie können Power Automate-Flows konfigurieren, um Benutzer-, Warnungs- und Fallinformationen abzurufen und diese Informationen für Beteiligte und andere Anwendungen freizugeben, sowie Aktionen im Insider-Risikomanagement zu automatisieren, z. B. das Veröffentlichen in Fallnotizen. Power Automate-Flows gelten für Fälle und alle Benutzer im Bereich einer Richtlinie.
Microsoft Teams (Vorschau) Sie können den Support von Microsoft Teams aktivieren, damit Complianceanalysten und Ermittler Teams verwenden können, um an Insider-Risikomanagementfällen zusammenzuarbeiten. Verwenden Sie Teams für Folgendes:
- Koordinieren und Überprüfen von Reaktionsaktivitäten für Fälle in privaten Teams-Kanälen
- Sicheres Freigeben und Speichern von Dateien und Beweismitteln im Zusammenhang mit Einzelfällen
- Erkennen und Überprüfen von Reaktionsaktivitäten von Analysten und Ermittlern
Analyse Mit Insider-Risikoanalysen können Sie eine Auswertung potenzieller Insider-Risiken in Ihrer Organisation durchführen, ohne Insider-Risikorichtlinien konfigurieren zu müssen. Diese Auswertung kann Ihrer Organisation dabei helfen, potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang von Insider-Risikomanagement-Richtlinien zu bestimmen, die Sie konfigurieren sollten.
Admin Benachrichtigungen Verwenden Sie die Einstellung Admin Benachrichtigungen, um automatisch eine E-Mail-Benachrichtigung an auswählbare Insider-Risikomanagement-Rollengruppen zu senden. Sie haben folgende Möglichkeiten:
– Senden einer Benachrichtigungs-E-Mail, wenn die erste Warnung für eine neue Richtlinie generiert wird
– Senden einer täglichen E-Mail, wenn neue Warnungen mit hohem Schweregrad generiert werden
– Senden einer wöchentlichen E-Mail zur Zusammenfassung von Richtlinien mit nicht aufgelösten Warnungen
Anpassung von Inlinewarnungen Mit der Anpassung von Inlinewarnungen können Sie eine Richtlinie für das Insider-Risikomanagement direkt aus dem Dashboard Warnungen während der Überprüfung der Warnung schnell optimieren. Warnungen werden generiert, wenn eine Risikomanagementaktivität die in der zugehörigen Richtlinie konfigurierten Schwellenwerte erfüllt. Um die Anzahl der Warnungen zu reduzieren, die Sie von dieser Art von Aktivität erhalten, können Sie die Schwellenwerte ändern oder die Risikomanagementaktivität ganz aus der Richtlinie entfernen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.