Bewährte Methoden für die Verwaltung Ihres Warnungsvolumens im Insider-Risikomanagement
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insider-Risiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Das Überprüfen, Untersuchen und Reagieren auf potenziell riskante Insider-Warnungen ist ein wichtiger Bestandteil der Minimierung von Insider-Risiken in Ihrer Organisation. Wenn Sie schnell Maßnahmen ergreifen, um die Auswirkungen dieser Risiken zu minimieren, können Sie möglicherweise Zeit, Geld und regulatorische oder rechtliche Auswirkungen für Ihre Organisation sparen. In diesem Korrekturprozess kann der erste Schritt der Überprüfung von Warnungen für viele Analysten und Ermittler als die schwierigste Aufgabe erscheinen.
Dieser Artikel enthält bewährte Methoden für die Verwaltung der Anzahl von Warnungen in Ihrer Organisation, sodass Sie nicht zu viele oder zu wenige Warnungen haben. Eine allgemeine Erläuterung dazu, wie Warnungen generiert werden, und die Tools zum Verwalten von Warnungen finden Sie unter Untersuchen von Insider-Risikoaktivitäten.
Zu wenige Warnungen zum Überprüfen
Wenn Sie zu wenige Insider-Risikomanagement-Warnungen erhalten:
Aktualisieren Sie Ihre Einstellungen: Änderungen, die Sie an Einstellungen vornehmen, gelten global für alle Ihre Richtlinien.
Aktivieren Sie weitere Indikatoren: Wenn Sie weitere Indikatoren auswählen, erhalten Sie für Ihre Richtlinien eine größere Gruppe von Aktivitäten, die erkannt werden können.
So wird es gemacht: Wechseln Sie zu Einstellungen>Richtlinienindikatoren, und aktivieren Sie dann alle verfügbaren und relevanten Indikatoren.
Passen Sie den Schieberegler Warnungslautstärke an: Verwenden Sie diesen Schieberegler, um alle Warnungen mit mittlerem und hohem Schweregrad sowie Warnungen mit den meisten niedrigen Schweregraden anzuzeigen. Anmerkung: Das Anpassen des Schiebereglers kann zu mehr falsch positiven Ergebnissen führen.
So wird es gemacht: Wechseln Sie zu Einstellungen>Intelligente Erkennungen Warnungslautstärke>, und bewegen Sie den Schieberegler auf Weitere Warnungen.
Ändern Sie die Richtlinie: Identifizieren Sie die Richtlinie, die nicht genügend Warnungen generiert, und ziehen Sie dann die folgenden Aktionen in Betracht:
Erhöhen Sie die Benutzerabdeckung in der Richtlinie: Richtlinien, bei denen nur wenige Benutzer im Bereich enthalten sind, generieren mit geringerer Wahrscheinlichkeit Warnungen. Erwägen Sie ggf. die Erhöhung der Anzahl von Benutzern im Bereich Ihrer Richtlinie.
So wird es gemacht: Wählen Sie auf der Seite Richtlinien eine bestimmte Richtlinie aus, wählen Sie Richtlinie bearbeiten aus, und wechseln Sie dann zur Seite Benutzer und Gruppen , um die Anzahl der Benutzer im Gültigkeitsbereich zu erhöhen.
Verringern Sie die Triggerschwellenwerte: Richtlinien, die auf den Vorlagen Datenlecks und Riskante Browsernutzung (Vorschau) basieren, ermöglichen es Ihnen, einige Triggerschwellenwerte anzupassen. Diese Schwellenwerte definieren, wann Sie mit der Erkennung von Benutzeraktivitäten beginnen. Wenn Sie die Triggerschwellenwerte verringern, verringern Sie die Kriterien für einen Benutzer, um mit der Bewertung auf riskante Aktivitäten zu beginnen. Anmerkung: Wenn ein Benutzer nicht auf der Seite Benutzer und Gruppen angezeigt wird, bedeutet dies, dass die Auslösenden Ereigniskriterien noch nicht erfüllt wurden.
So wird es gemacht: Navigieren Sie auf der Seite Richtlinien zu der spezifischen Richtlinie, wählen Sie Richtlinie bearbeiten aus, wechseln Sie zur Seite Schwellenwerte auslösen , wählen Sie die Option Benutzerdefinierte Schwellenwerte verwenden aus, und passen Sie dann Ihre Schwellenwerte an.
Fügen Sie weitere Indikatoren hinzu: Indikatoren sind die Aktivitäten, die ein Benutzer ausführen muss, um als riskant eingestuft zu werden. Wenn Sie nicht viele Indikatoren (Aktivitäten, die als riskant eingestuft werden) in Ihrer Richtlinie ausgewählt haben, ist die Wahrscheinlichkeit geringer, dass Warnungen generiert werden.
So wird es gemacht: Navigieren Sie auf der Seite Richtlinien zur spezifischen Richtlinie, wählen Sie Richtlinie bearbeiten aus, wechseln Sie zur Seite Indikatoren , und wählen Sie dann Weitere Indikatoren aus.
Niedrigere Indikatorschwellenwerte: Nachdem Ihre Benutzer mit der Auswertung begonnen haben (über ein auslösendes Ereignis verfügen), wird eine Warnung nur für diese Benutzer generiert, wenn sie Aktivitäten durchführen, die einen bestimmten Schwellenwert überschreiten, der darauf hindeutet, dass ihre Aktivität riskant ist. Durch das Verringern der Indikatorschwellenwerte wird der Schwellenwert verringert, den Benutzer überschreiten müssen, um eine Warnung zu generieren.
So wird es gemacht: Navigieren Sie auf der Seite Richtlinien zu der spezifischen Richtlinie, wählen Sie Richtlinie bearbeiten aus, wechseln Sie zur Seite Schwellenwerte für Indikator , wählen Sie die Option Schwellenwerte anpassen aus, und legen Sie dann Ihre Schwellenwerte fest. Informationen zu Empfehlungen für Indikatorschwellenwerte
Zu viele Warnungen zum Überprüfen
Wenn Sie zu viele gültige Warnungen erhalten oder zu viele veraltete Warnungen mit geringem Risiko haben, sollten Sie die folgenden Aktionen ausführen:
Aktivieren der Analyse: Die Aktivierung von Analysen kann Ihnen helfen, potenzielle Risikobereiche für Ihre Benutzer schnell zu identifizieren und den Typ und Umfang von Insider-Risikomanagementrichtlinien zu bestimmen, die Sie möglicherweise konfigurieren möchten.
So wird es gemacht: Wechseln Sie zu Einstellungen>Analyse.
Erhalten Sie Einblicke in Echtzeit: Sie können auch Echtzeiteinblicke aus Analysen erhalten, wenn Sie Schwellenwertempfehlungen nutzen möchten. Diese Erkenntnisse können Ihnen dabei helfen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, sodass Sie nicht zu wenige oder zu viele Richtlinienwarnungen erhalten.
So wird es gemacht: Informationen zum Verwalten des Warnungsvolumens finden Sie unter Verwenden von Echtzeitanalysen.
Passen Sie Ihre Richtlinien an: Die Auswahl und Konfiguration der richtigen Insider-Risikorichtlinie ist die grundlegendste Methode, um den Typ und die Menge der Warnungen zu behandeln. Beginnend mit der entsprechenden Richtlinienvorlage können Sie sich auf die Arten von Risikoaktivitäten und Warnungen konzentrieren, die Angezeigt werden. Weitere Faktoren, die sich auf das Warnungsvolumen auswirken können, sind die Größe des Benutzers und der Gruppen im Bereich sowie die Inhalte und Kanäle, die priorisiert werden. Erwägen Sie das Anpassen von Richtlinien, um diese Bereiche an das zu verfeinern, was für Ihre Organisation am wichtigsten ist.
So wird es gemacht: Wählen Sie auf der Seite Richtlinien eine bestimmte Richtlinie und dann Richtlinie bearbeiten aus.
Ändern Sie Ihre Insider-Risikoeinstellungen: Insider-Risikoeinstellungen umfassen eine Vielzahl von Konfigurationsoptionen, die sich auf das Volumen und die Arten von Warnungen auswirken können, die Sie erhalten. Achten Sie darauf, die folgenden Einstellungen zu überprüfen und zu verstehen, um Warnungsgeräusche herauszufiltern:
Aktivieren der Anpassung von Inlinewarnungen: Durch die Aktivierung der Anpassung von Inlinewarnungen können Analysten und Prüfer Richtlinien beim Überprüfen von Warnungen schnell bearbeiten. Sie können Schwellenwerte für die Aktivitätserkennung mit Microsoft-Empfehlungen aktualisieren, benutzerdefinierte Schwellenwerte konfigurieren oder den Aktivitätstyp ignorieren, der die Warnung erstellt hat. Wenn dies nicht aktiviert ist, können nur Benutzer, die der Rollengruppe Insider-Risikomanagement zugewiesen sind, die Anpassung von Inlinewarnungen verwenden.
So wird es gemacht: Wechseln Sie zu Einstellungen>Anpassung von Inlinewarnungen.
Warnungen zum Massenlöschen, sofern zutreffend: Es kann helfen, Die Selektierungszeit für Ihre Analysten und Ermittler zu sparen, um mehrere Warnungen sofort massenhaft zu verwerfen. Sie können bis zu 400 Warnungen auswählen, die gleichzeitig geschlossen werden sollen.
Verwalten von Ressourceneinschränkungen in Ihrer Organisation
Moderne Arbeitsplatzbenutzer haben häufig eine Vielzahl von Aufgaben und Anforderungen an ihre Zeit. Es gibt mehrere Aktionen, die Sie ausführen können, um Ressourceneinschränkungen zu beheben:
- Konzentrieren Sie sich zuerst auf die Warnungen mit dem höchsten Risiko: Abhängig von Ihren Richtlinien erfassen Sie möglicherweise Benutzeraktivitäten und generieren Warnungen mit unterschiedlichem Grad potenzieller Auswirkungen auf Ihre Bemühungen zur Risikominderung. Filtern Sie Warnungen nach Schweregrad, und priorisieren Sie Warnungen mit hohem Schweregrad .
- Microsoft Copilot verwenden: Sie können Microsoft Copilot in Microsoft Purview verwenden, um eine Warnung zusammenzufassen, ohne sie zu öffnen. Dies kann die Selektierung beschleunigen.
- Zuweisen von Benutzern als Analysten und Ermittler: Die Zuweisung des richtigen Benutzers zu den richtigen Rollen ist ein wichtiger Bestandteil des Überprüfungsprozesses für Insider-Risikowarnungen. Stellen Sie sicher, dass Sie den Rollengruppen Insider Risk Management Analysts und Insider Risk Management Investigators die entsprechenden Benutzer zugewiesen haben.
-
Verwenden Sie automatisierte Insider-Risikofeatures, um aktivitäten mit dem höchsten Risiko zu ermitteln:
- Verwenden Sie die Sequenzerkennung des Insider-Risikomanagements und die kumulative Exfiltrationserkennung , um risiken in Ihrer Organisation schnell zu ermitteln.
- Erwägen Sie, Ihre Risikobewertungs-Booster zu optimieren, und verwenden Sie globale Ausschlüsse, Erkennungsgruppen und Varianten.
- Optimieren Sie die Einstellungen für den Mindestindikatorschwellenwert für Ihre Richtlinien.