Erste Schritte mit dem Insider-Risikomanagement
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Verwenden Sie Insider-Risikomanagementrichtlinien, um riskante Aktivitäten und Verwaltungstools zu identifizieren, um auf Risikowarnungen in Ihrem organization zu reagieren. Führen Sie die folgenden Schritte aus, um die Voraussetzungen einzurichten und eine Insider-Risikomanagementrichtlinie zu konfigurieren.
Wichtig
Die Insider-Risikomanagementlösung bietet eine Option auf Mandantenebene, mit der Kunden die interne Governance auf Benutzerebene erleichtern können. Administratoren auf Mandantenebene können Berechtigungen einrichten, um Mitgliedern Ihrer organization Zugriff auf diese Lösung zu gewähren und Datenconnectors im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal einzurichten, um relevante Daten zu importieren, um die Identifizierung potenziell riskanter Aktivitäten auf Benutzerebene zu unterstützen. Kunden erkennen an, dass Erkenntnisse im Zusammenhang mit dem Verhalten, Charakter oder leistung eines einzelnen Benutzers, die sich auf die Beschäftigung beziehen, vom Administrator berechnet und anderen im organization zur Verfügung gestellt werden können. Darüber hinaus erkennen Kunden an, dass sie ihre eigene vollständige Untersuchung in Bezug auf das Verhalten, den Charakter oder die Leistung des einzelnen Benutzers durchführen müssen, die wesentlich mit der Beschäftigung zusammenhängen, und nicht nur auf Erkenntnisse des Insider-Risikomanagementdiensts angewiesen sind. Kunden sind allein verantwortlich für die Nutzung des Insider-Risikomanagementdiensts und aller zugehörigen Features oder Dienste in Übereinstimmung mit allen anwendbaren Gesetzen, einschließlich Der Gesetze zur Identifizierung einzelner Benutzer und aller Abhilfemaßnahmen.
Weitere Informationen dazu, wie Insider-Risikorichtlinien Ihnen beim Verwalten von Risiken in Ihrem organization helfen können, finden Sie unter Informationen zum Insider-Risikomanagement.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Abonnements und Lizenzierung
Bevor Sie mit dem Insider-Risikomanagement beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Für den Zugriff auf und die Verwendung des Insider-Risikomanagements müssen Administratoren überprüfen, ob ihre organization über ein unterstütztes Abonnement verfügt und den Benutzern die entsprechenden Lizenzen zugewiesen sind. Weitere Informationen zu Abonnements und Lizenzierung finden Sie unter Abonnementanforderungen für das Insider-Risikomanagement.
Wichtig
Insider-Risikomanagement ist derzeit in Mandanten verfügbar, die in geografischen Regionen und Ländern gehostet werden, die von Azure-Dienstabhängigkeiten unterstützt werden. Informationen dazu, ob das Insider-Risikomanagement für Ihre organization unterstützt wird, finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land/Region.
Wenn Sie noch keinen Microsoft 365 Enterprise E5-Plan haben und das Insider-Risikomanagement ausprobieren möchten, können Sie Ihrem vorhandenen Abonnement Microsoft 365 hinzufügen oder sich für eine Testversion von Microsoft 365 Enterprise E5 registrieren.
Abrechnung mit nutzungsbasierter Bezahlung
Einige Indikatoren, die im Insider-Risikomanagement enthalten sind, sind nur verfügbar, wenn Sie das abrechnungsbasierte Abrechnungsmodell für Ihre organization aktivieren. Weitere Informationen finden Sie unter Konfigurieren von Richtlinienindikatoren im Insider-Risikomanagement.
Empfohlene Aktionen
Empfohlene Maßnahmen können Ihrem organization beim Insider-Risikomanagement helfen. Empfohlene Aktionen, die auf der Seite Übersicht enthalten sind, führen Sie durch die Schritte zum Konfigurieren und Bereitstellen von Richtlinien.
Die folgenden Empfehlungen sind verfügbar, um Ihnen den Einstieg in die Konfiguration des Insider-Risikomanagements zu erleichtern oder diese zu maximieren:
- Überwachung aktivieren: Wenn diese Option aktiviert ist, werden Benutzer- und Administratoraktivitäten in Ihrem organization im Microsoft 365-Überwachungsprotokoll aufgezeichnet. Insider-Risikorichtlinien und Analysescans verwenden dieses Protokoll, um Risikoaktivitäten zu erkennen.
- Berechtigungen für die Verwendung des Insider-Risikomanagements erhalten: Die Zugriffsebene auf Insider-Risikomanagementfeatures hängt davon ab, welcher Rollengruppe Sie zugewiesen wurden. Um auf empfohlene Aktionen zugreifen und diese konfigurieren zu können, müssen Benutzer den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren zugewiesen werden.
- Auswählen von Richtlinienindikatoren: Indikatoren sind im Wesentlichen die Risikomanagementaktivitäten, die Sie erkennen und untersuchen möchten. Sie können Indikatoren auswählen, um Aktivitäten an mehreren Microsoft 365-Standorten und -Diensten zu erkennen.
- Überprüfung auf potenzielle Insiderrisiken: Führen Sie eine Analyseüberprüfung durch, um potenzielle Insiderrisiken zu ermitteln, die in Ihrer Organisation auftreten. Überprüfen Sie nach der Auswertung der Ergebnisse die empfohlenen Richtlinien, die eingerichtet werden sollen.
- Anderen Berechtigungen zuweisen: Wenn zusätzliche Teammitglieder für die Verwaltung von Insider-Risikofeatures verantwortlich sind, müssen Sie diese den entsprechenden Rollengruppen zuweisen.
- Erstellen Ihrer ersten Richtlinie: Um Warnungen zu potenziell riskanten Aktivitäten zu erhalten, müssen Sie Richtlinien basierend auf vordefinierten Vorlagen einrichten, die die Benutzeraktivitäten definieren, die Sie erkennen und untersuchen möchten.
Jede empfohlene Aktion, die in dieser Benutzeroberfläche enthalten ist, weist vier Attribute auf:
- Aktion: Name und Beschreibung der empfohlenen Aktion.
- Status: Status der empfohlenen Aktion. Die Werte sind Nicht gestartet, In Bearbeitung, Für später gespeichert oder Abgeschlossen.
- Erforderlich oder optional: Gibt an, ob die empfohlene Aktion erforderlich oder optional ist, damit Insider-Risikomanagementfeatures wie erwartet funktionieren.
- Geschätzte Zeit bis zum Abschließen: Geschätzte Zeit zum Abschließen der empfohlenen Aktion in Minuten.
Wählen Sie eine Empfehlung aus der Liste aus, um mit der Konfiguration des Insider-Risikomanagements zu beginnen. Jede empfohlene Aktion führt Sie durch die erforderliche Aktion für die Empfehlung, einschließlich aller Anforderungen, der zu erwartenden Informationen und der Auswirkungen der Konfiguration des Features in Ihrem organization. Jede empfohlene Aktion wird bei der Konfiguration automatisch als abgeschlossen markiert, oder Sie müssen die Aktion bei der Konfiguration manuell als abgeschlossen auswählen.
Schritt 1 (erforderlich): Berechtigungen für Insider-Risikomanagement aktivieren
Wichtig
Nach dem Konfigurieren Ihrer Rollengruppen kann es bis zu 30 Minuten dauern, bis die Rollengruppenberechtigungen für zugewiesene Benutzer in Ihrem organization gelten.
Es gibt sechs Rollengruppen, die zum Konfigurieren von Insider-Risikomanagementfeatures verwendet werden. Um das Insider-Risikomanagement als Menüoption in Microsoft Purview verfügbar zu machen und mit diesen Konfigurationsschritten fortzufahren, müssen Sie einer der folgenden Rollen oder Rollengruppen zugewiesen sein:
- Rolle "globaler Microsoft Entra ID-Administrator"
- Rolle "Microsoft Entra ID Complianceadministrator"
- Microsoft Purview-Rollengruppe "Organisationsverwaltung "
- Microsoft Purview-Complianceadministrator-Rollengruppe
- Rollengruppe "Insider-Risikomanagement"
- Rollengruppe "Insider-Risikomanagement-Administratoren "
Je nachdem, wie Sie Richtlinien und Warnungen für das Insider-Risikomanagement verwalten möchten, müssen Sie Benutzer bestimmten Rollengruppen zuweisen, um verschiedene Sätze von Insider-Risikomanagementfunktionen zu verwalten. Sie können Benutzer mit unterschiedlichen Compliance-Verantwortlichkeiten bestimmten Rollengruppen zuweisen, um verschiedene Bereiche von Insider-Risikomanagementfeatures zu verwalten. Oder Sie können alle Benutzerkonten für designierte Administratoren, Analysten, Ermittler und Zuschauer der Rollengruppe Insider-Risikomanagement zuweisen. Verwenden Sie eine einzelne Rollengruppe oder mehrere Rollengruppen, um Ihre Complianceverwaltungsanforderungen optimal zu erfüllen.
Wählen Sie aus den folgenden Rollengruppenoptionen und Lösungsaktionen aus, wenn Sie mit insider-Risikomanagement arbeiten:
Aktionen | Insider-Risikomanagement | Insider-Risikomanagement-Administratoren | Insider-Risikomanagement-Analysten | Insider-Risikomanagement-Prüfer | Insider-Risikomanagement-Prüfer | Genehmigende Personen des Insider-Risikomanagements |
---|---|---|---|---|---|---|
Konfigurieren von Richtlinien und Einstellungen | Ja | Ja | Nein | Nein | Nein | Nein |
Access Analytics Insights | Ja | Ja | Ja | Nein | Nein | Nein |
Zugreifen & Untersuchen von Warnungen | Ja | Nein | Ja | Ja | Nein | Nein |
Access & Untersuchen von Fällen | Ja | Nein | Ja | Ja | Nein | Nein |
Zugreifen & Anzeigen des inhaltsbezogenen Explorer | Ja | Nein | Nein | Ja | Nein | Nein |
Konfigurieren von Hinweisvorlagen | Ja | Nein | Ja | Ja | Nein | Nein |
Anzeigen & Exportieren von Überwachungsprotokollen | Ja | Nein | Nein | Nein | Ja | Nein |
Zugreifen & Anzeigen forensischer Beweisaufnahmen | Ja | Nein | Nein | Ja | Nein | Nein |
Erstellen einer Forensik-Beweisaufnahmeanforderung | Ja | Ja | Nein | Nein | Nein | Nein |
Genehmigen von Forensik-Beweiserfassungsanforderungen | Ja | Nein | Nein | Nein | Nein | Ja |
Konfigurieren des adaptiven Schutzes | Ja | Ja | Nein | Nein | Nein | Nein |
Registerkarte "Benutzer für adaptiven Schutz anzeigen" | Ja | Nein | Ja | Ja | Nein | Nein |
Wichtig
Stellen Sie sicher, dass immer mindestens ein Benutzer in den integrierten Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren vorhanden ist (je nach ausgewählter Option), damit Ihre Konfiguration des Insider-Risikomanagements nicht in ein Szenario vom Typ "Kein Administrator" eintritt, wenn bestimmte Benutzer Ihre organization verlassen.
Mitglieder der folgenden Rollen können Benutzer Rollengruppen für insider-Risikomanagement zuweisen und verfügen über die gleichen Lösungsberechtigungen, die in der Rollengruppe Insider-Risikomanagement-Administratoren enthalten sind:
- globaler Microsoft Entra ID-Administrator
- Microsoft Entra ID Complianceadministrator
- Microsoft Purview-Organisationsverwaltung
- Microsoft Purview-Complianceadministrator
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Hinzufügen von Benutzern zur Rollengruppe "Insider-Risikomanagement"
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wählen Sie in der oberen rechten Ecke der Seite Einstellungen aus, wählen Sie Rollen und Gruppen aus, und wählen Sie dann im linken Navigationsbereich Rollengruppen aus.
- Wählen Sie die Rollengruppe Insider-Risikomanagement und dann Bearbeiten aus.
- Wählen Sie Benutzer auswählen aus, und aktivieren Sie dann die Kontrollkästchen für alle Benutzer, die Sie der Rollengruppe hinzufügen möchten.
- Wählen Sie Auswählen und dann Weiter aus.
- Wählen Sie Speichern aus, um die Benutzer der Rollengruppe hinzuzufügen, und wählen Sie dann Fertig aus.
Ziehen Sie Verwaltungseinheiten in Betracht, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.
Sie können Verwaltungseinheiten im Insider-Risikomanagement (Vorschau) verwenden, um Benutzerberechtigungen auf eine bestimmte Geografie oder Abteilung zu festlegen. Ein globales Unternehmen, das über Niederlassungen auf der ganzen Welt verfügt, könnte beispielsweise eine Verwaltungseinheit erstellen, die ermittlern einen deutschen Bereich bietet, sodass sie nur Benutzeraktivitäten für deutsche Benutzer sehen.
Um Administratoreinheiten im Insider-Risikomanagement zu verwenden, müssen Sie zuerst die Administratoreinheiten erstellen (sofern sie noch nicht erstellt wurden) und dann den Mitgliedern von Rollengruppen die Administratoreinheiten zuweisen. Nachdem Sie Mitgliedern von Rollengruppen Administratoreinheiten zugewiesen haben, werden diese Mitglieder zu eingeschränkten Administratoren und haben eingeschränkten Zugriff auf Insider-Risikomanagementeinstellungen, Richtlinien und Benutzerdaten im organization. Mitglieder, denen keine Verwaltungseinheiten zugewiesen sind, sind uneingeschränkte Administratoren und haben Zugriff auf alle Einstellungen, Richtlinien und Benutzerdaten.
Wichtig
Eingeschränkte Administratoren können nicht über Sicherheitsgruppen oder Verteilergruppen, die in Verwaltungseinheiten hinzugefügt wurden, auf Warnungen für die ihnen zugewiesenen Benutzer zugreifen. Solche Benutzerwarnungen sind nur für uneingeschränkte Administratoren sichtbar. Microsoft empfiehlt, Benutzer direkt zu Verwaltungseinheiten hinzuzufügen, um sicherzustellen, dass ihre Warnungen auch für eingeschränkte Administratoren mit zugewiesenen Verwaltungseinheiten sichtbar sind.
Auswirkung der Eingrenzung der Administratoreinheit auf Insider-Risikomanagementrollen
Die folgende Tabelle zeigt, wie sich Administratoreinheiten bei der Erzwung auf jede Kombination aus Aufgabe/Rolle des Insider-Risikomanagements auswirken.
Hinweis
Bereichsweit bedeutet in der folgenden Tabelle, dass die Administratoraktionen für diese Rolle durch die zugewiesene Administratoreinheit beschränkt sind.
Aufgabe | Bereichsbezogenes Insider-Risikomanagement | Bereichsbezogenes Insider-Risikomanagement Admin | Bereichsbezogene Insider-Risikomanagement-Analysten | Bereichsbezogene Insider-Risikomanagement-Ermittler | Bereichsbezogene Genehmigende Personen des Insider-Risikomanagements |
---|---|---|---|---|---|
Konfigurieren globaler Einstellungen | Uneingeschränkt | Uneingeschränkt | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Konfigurieren von Richtlinien | Gültigkeitsbereich | Gültigkeitsbereich | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Starten der Bewertungsaktivität für Benutzer | Gültigkeitsbereich | Gültigkeitsbereich | Gültigkeitsbereich | Gültigkeitsbereich | Nie erlaubt |
Access Analytics Insights | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt |
Zugreifen auf und Untersuchen von Warnungen | Gültigkeitsbereich | Nie erlaubt | Gültigkeitsbereich | Gültigkeitsbereich | Nie erlaubt |
Untersuchen der Benutzeraktivität | Gültigkeitsbereich | Nie erlaubt | Nie erlaubt | Gültigkeitsbereich | Nie erlaubt |
Zugreifen auf und Untersuchen von Fällen | Gültigkeitsbereich | Nie erlaubt | Gültigkeitsbereich | Gültigkeitsbereich | Nie erlaubt |
Zugreifen auf und Anzeigen des Inhalts-Explorers | Uneingeschränkt | Nie erlaubt | Nie erlaubt | Uneingeschränkt | Nie erlaubt |
Konfigurieren von Hinweisvorlagen | Uneingeschränkt | Nie erlaubt | Uneingeschränkt | Uneingeschränkt | Nie erlaubt |
Zugreifen auf und Anzeigen forensischer Beweiserfassungen | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt |
Erstellen einer Forensik-Beweisaufnahmeanforderung | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Genehmigen von Forensik-Beweiserfassungsanforderungen | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt | Nicht zulässig, wenn bereichsbezogene |
Konfigurieren des adaptiven Schutzes | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Registerkarte "Benutzer für adaptiven Schutz anzeigen" | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt |
Anzeigen des Geräteintegritätsberichts | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Erstellen von Schnellrichtlinien | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Konfigurieren von prioritätsbenutzerspezifischen Richtlinien | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Konfigurieren von Prioritätsbenutzergruppen | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nie erlaubt | Nie erlaubt |
Zuweisen oder Erneutes Zuweisen von Warnungen | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt |
Zuweisen oder Neuzuweisen von Fällen | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt | Nicht zulässig, wenn bereichsbezogene | Nicht zulässig, wenn bereichsbezogene | Nie erlaubt |
Hinweis
Sie können adaptive Bereiche (Vorschau für Insider-Risikomanagement) zusammen mit Administratoreinheiten verwenden. Wenn Rollengruppen durch eine oder mehrere Administratoreinheiten für Ihre organization begrenzt sind, werden die adaptiven Bereiche, die Sie beim Erstellen oder Bearbeiten einer Richtlinie auswählen können, durch die Administratoreinheiten beschränkt.
Schritt 2 (erforderlich): Aktivieren des Microsoft 365-Überwachungsprotokolls
Das Insider-Risikomanagement verwendet Microsoft 365-Überwachungsprotokolle für Benutzererkenntnisse und Risikomanagementaktivitäten, die in Richtlinien und Analyseeinblicken identifiziert werden. Die Microsoft 365-Überwachungsprotokolle sind eine Zusammenfassung aller Aktivitäten innerhalb Ihres organization und Insider-Risikomanagementrichtlinien können diese Aktivitäten zum Generieren von Richtlinienerkenntnissen verwenden.
Die Überwachung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Einige Organisationen haben die Überwachung möglicherweise aus bestimmten Gründen deaktiviert. Wenn die Überwachung für Ihre Organisation deaktiviert ist, kann dies daran liegen, dass ein anderer Administrator sie deaktiviert hat. Es wird empfohlen, zu bestätigen, dass es in Ordnung ist, die Überwachung wieder zu aktivieren, wenn Sie diesen Schritt abschließen.
Schrittweise Anleitungen zum Aktivieren der Überwachung finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollsuche. Daraufhin teilt Ihnen eine Meldung mit, dass das Überwachungsprotokoll vorbereitet wird und Sie in ein paar Stunden nach Abschluss der Vorbereitung eine Suche durchführen können. Sie müssen diese Aktion nur einmal ausführen. Weitere Informationen zur Verwendung des Microsoft 365-Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls.
Schritt 3 (optional): Aktivieren und Anzeigen von Erkenntnissen zur Insider-Risikoanalyse
Wenn Sie Insider-Risikomanagementanalysen aktivieren, haben Sie folgende Möglichkeiten:
- Suchen Sie vor dem Erstellen von Richtlinien nach potenziellen Insiderrisiken. Sie können eine Bewertung potenzieller Insiderrisiken in Ihrem organization durchführen, ohne Insider-Risikorichtlinien zu konfigurieren. Diese Auswertung kann Ihnen dabei helfen, organization potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang der Richtlinien für das Insider-Risikomanagement zu bestimmen, die Sie möglicherweise konfigurieren möchten. Diese Auswertung kann Ihnen auch dabei helfen, den Bedarf an zusätzlicher Lizenzierung oder zukünftiger Optimierung vorhandener Richtlinien zu ermitteln. Es kann bis zu 48 Stunden dauern, bis Insights aus den Scanergebnissen aus Analytics als Berichte zur Überprüfung verfügbar sind. Weitere Informationen zu Analyseerkenntnissen finden Sie unter Insider-Risikomanagementeinstellungen: Analysen , und sehen Sie sich das Video insider risk management analytics an, um zu verstehen, wie Analysen die Identifizierung potenzieller Insiderrisiken beschleunigen und Ihnen helfen können, schnell Maßnahmen zu ergreifen.
- Erhalten Sie Echtzeitempfehlungen für Indikatorschwellenwerte. Das manuelle Optimieren von Richtlinien zur Verringerung von "Rauschen" kann eine sehr zeitaufwendige Erfahrung sein, bei der Sie viele Test- und Fehlerverfahren durchführen müssen, um die gewünschte Konfiguration für Ihre Richtlinien zu bestimmen. Wenn die Analyse aktiviert ist, kann das Insider-Risikomanagement Echtzeitempfehlungen für Indikatorschwellenwerte bereitstellen. Sie können die bereitgestellten Empfehlungen auch manuell anpassen und in Echtzeit sehen, wie viele Benutzer basierend auf den von Ihnen vorgenommenen Änderungen in den Geltungsbereich der Richtlinie aufgenommen werden. Weitere Informationen zu Schwellenwertempfehlungen für Echtzeitindikatoren
Hinweis
Um Insider-Risikoanalysen zu aktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Aktivieren der Insider-Risikoanalyse
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wechseln Sie zur Insider-Risikomanagement-Lösung .
- Wählen Sie auf der Registerkarte Übersicht auf der Karte Überprüfung auf Insiderrisiken in Ihrem organization die Option Überprüfung ausführen aus. Mit dieser Aktion wird die Analyseüberprüfung für Ihre organization aktiviert. Sie können die Überprüfung auch aktivieren, indem Sie zu Insider-Risikoeinstellungen>Analyse wechseln und die Benutzeraktivität Ihres Mandanten überprüfen aktivieren, um potenzielle Insider-Risiken zu identifizieren.
- Wählen Sie im Bereich Analysedetails die Option Überprüfung ausführen aus, um die Überprüfung für Ihre organization zu starten. Es kann bis zu 48 Stunden dauern, bis Insights aus den Scanergebnissen aus Analytics als Berichte zur Überprüfung verfügbar sind.
Nachdem Sie die Analyseerkenntnisse überprüft haben, wählen Sie die Insider-Risikorichtlinien aus, und konfigurieren Sie die zugehörigen Voraussetzungen, die der Strategie zur Entschärfung von Insider-Risiken Ihrer organization am besten entsprechen.
Schritt 4 (empfohlen): Konfigurieren der Voraussetzungen für Richtlinien
Die meisten Richtlinien für das Insider-Risikomanagement verfügen über Voraussetzungen, die für Richtlinienindikatoren konfiguriert werden müssen, um relevante Aktivitätswarnungen zu generieren. Konfigurieren Sie die entsprechenden Voraussetzungen in Abhängigkeit von den Richtlinien, die Sie für Ihre organization konfigurieren möchten.
Herstellen einer Verbindung mit Cloud-Apps in Microsoft Defender
Das Insider-Risikomanagement umfasst die folgenden Cloudindikatoren (Vorschau):
- Cloudspeicherindikatoren, einschließlich Google Drive, Box und Dropbox
- Clouddienstindikatoren, einschließlich Amazon S3 und Azure (Speicher und SQL Server)
Cloudspeicherindikatoren
Verwenden Sie Cloudspeicherindikatoren, um die folgenden Aktivitäten in Google Drive, Box und Dropbox zu erkennen:
- Entdeckung: Techniken, die verwendet werden, um die Umgebung zu ermitteln
- Sammlung: Techniken, die zum Sammeln von daten von Interesse verwendet werden
- Exfiltration: Techniken, die zum Stehlen von Daten verwendet werden, z. B. vertrauliche Dokumente
- Löschung (Auswirkung): Techniken, die verwendet werden, um die Verfügbarkeit zu stören oder die Integrität eines Systems zu gefährden
Clouddienstindikatoren
Verwenden Sie Clouddienstindikatoren, um die folgenden Aktivitäten in Amazon S3 und Azure zu erkennen:
- Umgehung der Verteidigung: Techniken, die verwendet werden, um die Erkennung riskanter Aktivitäten zu vermeiden, indem Ablaufverfolgungsprotokolle deaktiviert oder SQL Server Firewallregeln aktualisiert oder gelöscht werden.
- Exfiltration: Techniken, die zum Stehlen von Daten verwendet werden, z. B. vertrauliche Dokumente
- Löschung (Auswirkung): Techniken, die verwendet werden, um die Verfügbarkeit zu stören oder die Integrität eines Systems zu gefährden
- Rechteausweitung: Techniken, die verwendet werden, um übergeordnete Berechtigungen für Systeme und Daten zu erhalten
Voraussetzungen für den Zugriff auf Cloudindikatoren
Um cloud-Indikatoren in den Einstellungen und Richtlinien für das Insider-Risikomanagement auszuwählen, müssen Sie zunächst eine Verbindung mit den relevanten Cloud-Apps in Microsoft Defender herstellen, sofern dies noch nicht geschehen ist.
Nachdem Sie eine Verbindung mit den Apps hergestellt haben, sind die Indikatoren auf der Seite Einstellungen für Richtlinienindikatoren und in einzelnen Richtlinien verfügbar.
Konfigurieren des Insider-Risikoindikatorconnectors (Vorschau)
Sie können das Insider-Risikomanagement erweitern, indem Sie Erkennungen für Workloads importieren, die nicht von Microsoft (Drittanbietern) sind. Beispielsweise können Sie Ihre Erkennungen auf Salesforce- und Dropbox-Aktivitäten erweitern und diese zusammen mit den integrierten Erkennungen verwenden, die von der Insider-Risikomanagementlösung bereitgestellt werden, die sich auf Microsoft-Dienste wie SharePoint Online und Exchange Online konzentriert.
Um Ihre eigenen Erkennungen in die Insider-Risikomanagementlösung zu integrieren, importieren Sie vorverarbeitete, aggregierte Erkennungen aus SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel oder Splunk. Hierzu importieren Sie eine Beispieldatei in den Connector-Assistenten für Insider-Risikoindikatoren. Der Connector-Assistent analysiert die Beispieldatei und konfiguriert das erforderliche Schema.
Hinweis
Derzeit können Sie keine "unformatierten" Erkennungssignale in das Insider-Risikomanagement importieren. Sie können nur vorverarbeitete Aggregationen als Datei importieren.
Sie können einen benutzerdefinierten Indikator wie die folgenden Verwenden:
- Ein Trigger, der verwendet wird, um einen Benutzer in den Bereich einer Richtlinie zu bringen.
- Ein Richtlinienindikator, der verwendet wird, um den Benutzer für das Risiko zu ermitteln.
Im Artikel Zum Connector für Insider-Risikoindikatoren finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren des Insider-Risikoindikatoren-Connectors für Ihre organization. Nachdem Sie den Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.
Konfigurieren des Microsoft 365 HR-Connectors
Insider-Risikomanagement unterstützt den Import von Benutzer- und Protokolldaten, die von Risikomanagement- und Personalplattformen von Drittanbietern importiert wurden. Mit dem Microsoft 365 Human Resources (HR)-Datenconnector können Sie Personaldaten aus CSV-Dateien abrufen, einschließlich Datumsangaben für Die Beendigung des Benutzers, letzte Anstellungsdaten, Benachrichtigungen zu Leistungsverbesserungsplänen, Leistungsüberprüfungsaktionen und Status auf Auftragsebene. Diese Daten helfen bei der Entwicklung von Warnindikatoren für Insider-Risikomanagement-Richtlinien und sind ein wichtiger Bestandteil bei der Konfiguration einer vollständigen Risikomanagement-Abdeckung in Ihrer Organisation. Wenn Sie mehr als einen HR-Connector für Ihre organization konfigurieren, ruft das Insider-Risikomanagement automatisch Indikatoren aus allen HR-Connectors ab.
Der Microsoft 365 HR-Connector ist erforderlich, wenn die folgenden Richtlinienvorlagen verwendet werden:
- Datenlecks durch riskante Benutzer
- Diebstahl von Benutzerdaten
- Missbrauch von Patientendaten
- Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
- Verstöße gegen Sicherheitsrichtlinien durch riskante Benutzer
Eine schrittweise Anleitung zum Konfigurieren des Microsoft 365 HR-Connectors für Ihre organization finden Sie im Artikel Einrichten eines Connectors zum Importieren von PERSONALdaten. Nachdem Sie den HR-Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.
Konfigurieren eines gesundheitsspezifischen Datenconnectors
Insider-Risikomanagement unterstützt den Import von Benutzer- und Protokolldaten, die von Drittanbietern auf bestehende systeme der elektronischen Krankenakte (EMR) importiert wurden. Mit den Microsoft Healthcare- und Epic-Datenconnectors können Sie Aktivitätsdaten aus Ihrem EMR-System mit CSV-Dateien abrufen, einschließlich unsachgemäßem Zugriff auf Patientendaten, verdächtigen Volumenaktivitäten sowie Bearbeitungs- und Exportaktivitäten. Diese Daten helfen bei der Entwicklung von Warnindikatoren für Insider-Risikomanagement-Richtlinien und sind ein wichtiger Bestandteil bei der Konfiguration einer vollständigen Risikomanagement-Abdeckung in Ihrer Organisation.
Wenn Sie mehr als einen Healthcare- oder Epic-Connector für Ihre organization konfigurieren, unterstützt das Insider-Risikomanagement automatisch Ereignis- und Aktivitätssignale von allen Healthcare- und Epic-Connectors. Der Microsoft 365 Healthcare- oder Epic-Connector ist erforderlich, wenn die folgenden Richtlinienvorlagen verwendet werden:
- Missbrauch von Patientendaten
Im Artikel Einrichten eines Connectors zum Importieren von Gesundheitsdaten finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren eines gesundheitsspezifischen Connectors für Ihre organization. Nachdem Sie einen Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.
Konfigurieren von Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust)
Insider-Risikomanagement unterstützt die Verwendung von DLP-Richtlinien, um die absichtliche oder versehentliche Offenlegung vertraulicher Informationen für unerwünschte Parteien für DLP-Warnungen mit hohem Schweregrad zu identifizieren. Wenn Sie eine Insider-Risikomanagementrichtlinie mit einer der Vorlagen für Datenlecks konfigurieren, können Sie der Richtlinie für diese Arten von Warnungen eine bestimmte DLP-Richtlinie zuweisen.
Tipp
Sie können adaptiven Schutz auch im Insider-Risikomanagement verwenden, um DLP-Schutzsteuerelemente dynamisch auf Benutzer mit hohem Risiko anzuwenden und gleichzeitig die Produktivität für Benutzer mit geringerem Risiko aufrechtzuerhalten. Weitere Informationen zum adaptiven Schutz
Richtlinien für Datenverlust helfen dabei, Benutzer zu identifizieren, um die Risikobewertung im Insider-Risikomanagement für DLP-Warnungen mit hohem Schweregrad für vertrauliche Informationen zu aktivieren, und sind ein wichtiger Bestandteil der Konfiguration der vollständigen Risikomanagementabdeckung in Ihrem organization. Weitere Informationen zum Insider-Risikomanagement und zur Integration und Planung von DLP-Richtlinien finden Sie unter Insider-Risikomanagementrichtlinien.
Wichtig
Stellen Sie sicher, dass Sie Folgendes abgeschlossen haben:
- Sie verstehen und konfigurieren die benutzerinternen Benutzer in den DLP- und Insider-Risikomanagementrichtlinien, um die erwartete Richtlinienabdeckung zu erzeugen.
- Die Einstellung Incidentberichte in der DLP-Richtlinie für insider-Risikomanagement, die mit diesen Vorlagen verwendet wird, ist für Warnungen mit hohem Schweregrad konfiguriert. Insider-Risikomanagementwarnungen werden nicht aus DLP-Richtlinien generiert, wobei das Feld "Incidentberichte " auf "Niedrig " oder " Mittel" festgelegt ist.
Eine DLP-Richtlinie ist optional, wenn die folgenden Richtlinienvorlagen verwendet werden:
- Datenlecks
- Datenlecks durch prioritäre Benutzer
Im Artikel Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust finden Sie eine schrittweise Anleitung zum Konfigurieren von DLP-Richtlinien für Ihre organization. Nachdem Sie eine DLP-Richtlinie konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.
Hinweis
Endpunkt-DLP unterstützt jetzt virtualisierte Umgebungen, was bedeutet, dass die Insider-Risikomanagementlösung virtualisierte Umgebungen über Endpunkt-DLP unterstützt. Erfahren Sie mehr über die Unterstützung für virtualisierte Umgebungen in Endpunkt-DLP.
Konfigurieren der Freigabe von Insider-Risikostufen mit Microsoft Defender- und DLP-Warnungen
Sie können Insider-Risikostufen aus dem Insider-Risikomanagement (Vorschau) freigeben, um Microsoft Defender- und DLP-Warnungen einen eindeutigen Benutzerkontext zu bieten. Insider-Risikomanagement analysiert Benutzeraktivitäten über einen Zeitraum von 90 bis 120 Tagen und sucht nach anomalem Verhalten in diesem Zeitraum. Durch das Hinzufügen dieser Daten zu Microsoft Defender- und DLP-Warnungen werden die in diesen Lösungen verfügbaren Daten verbessert, damit Analysten Warnungen priorisieren können. Erfahren Sie mehr über das Freigeben von Schweregraden von Benutzerrisiken mit Microsoft Defender- und DLP-Warnungen.
Die Gemeinsame Nutzung von Benutzerrisikoschweregraden des Insider-Risikomanagements verbessert auch die Microsoft Security Copilot. In Security Copilot möchten Sie z. B. zunächst Copilot bitten, eine DLP-Warnung zusammenzufassen, und dann Copilot auffordern, die Insider-Risikostufe anzuzeigen, die dem in der Warnung gekennzeichneten Benutzer zugeordnet ist. Oder Sie möchten fragen, warum der Benutzer als Benutzer mit hohem Risiko gilt. Die Risikoinformationen des Benutzers stammen in diesem Fall aus dem Insider-Risikomanagement. Security Copilot integriert das Insider-Risikomanagement nahtlos in DLP, um untersuchungen zu unterstützen. Erfahren Sie mehr über die Verwendung der eigenständigen Version von Copilot für kombinierte DLP-/Insider-Risikomanagementuntersuchungen.
Konfigurieren von Prioritätsbenutzergruppen
Das Insider-Risikomanagement umfasst Unterstützung für die Zuweisung von Prioritätsbenutzergruppen zu Richtlinien, um eindeutige Risikoaktivitäten für Benutzer mit kritischen Positionen, hohem Daten- und Netzwerkzugriff oder einem früheren Verlauf des Risikoverhaltens zu identifizieren. Durch das Erstellen einer Prioritätsbenutzergruppe und das Zuweisen von Benutzern zur Gruppe können Richtlinien auf die besonderen Umstände, die von diesen Benutzern dargestellt werden, festgelegt werden.
Sie können eine Prioritätsbenutzergruppe erstellen und der Gruppe Benutzer zuweisen, damit Sie Richtlinien festlegen können, die auf die besonderen Umstände dieser identifizierten Benutzer zugeschnitten sind. Um den Risikobewertungs-Booster für Prioritätsbenutzergruppen zu aktivieren, wechseln Sie zur Seite Insider-Risikomanagementeinstellungen , und wählen Sie dann Richtlinienindikatoren und Risikobewertungs-Booster aus. Diese identifizierten Benutzer erhalten mit höherer Wahrscheinlichkeit Warnungen, sodass Analysten und Ermittler den Risikoschweregrad dieser Benutzer überprüfen und priorisieren können, um die Selektierung von Warnungen in Übereinstimmung mit den Risikorichtlinien und -standards Ihrer organization zu unterstützen.
Bei Verwendung der folgenden Richtlinienvorlagen ist eine Prioritätsbenutzergruppe erforderlich:
- Verstöße gegen Sicherheitsrichtlinien durch prioritäre Benutzer
- Datenlecks durch prioritäre Benutzer
Schritt-für-Schritt-Konfigurationsanleitungen finden Sie im Artikel Erste Schritte mit Den Einstellungen für das Insider-Risikomanagement .
Konfigurieren des Physischen Badging-Connectors
Insider-Risikomanagement unterstützt den Import von Benutzer- und Protokolldaten von physischen Steuerungs- und Zugriffsplattformen. Mit dem Connector für physische Badgings können Sie Zugriffsdaten aus JSON-Dateien abrufen, einschließlich Benutzer-IDs, Zugriffspunkt-IDs, Zugriffszeit und -datum sowie Zugriff status. Diese Daten helfen bei der Entwicklung von Warnindikatoren für Insider-Risikomanagement-Richtlinien und sind ein wichtiger Bestandteil bei der Konfiguration einer vollständigen Risikomanagement-Abdeckung in Ihrer Organisation. Wenn Sie mehr als einen Physischen Badging-Connector für Ihre organization konfigurieren, ruft das Insider-Risikomanagement automatisch Indikatoren von allen Physischen Badging-Connectors ab. Informationen aus dem Connector für physische Badgings ergänzen andere Insider-Risikosignale, wenn alle Richtlinienvorlagen für Insider-Risiken verwendet werden.
Wichtig
Damit Insider-Risikomanagementrichtlinien Signaldaten im Zusammenhang mit ausscheidenden und beendeten Benutzern mit Ereignisdaten von Ihren physischen Steuerungs- und Zugriffsplattformen verwenden und korrelieren können, müssen Sie auch den Microsoft 365 HR-Connector konfigurieren. Wenn Sie den Connector für physische Badgings aktivieren, ohne den Microsoft 365 HR-Connector zu aktivieren, verarbeiten Insider-Risikomanagementrichtlinien nur Ereignisse für nicht autorisierten physischen Zugriff für Benutzer in Ihrem organization.
Im Artikel Einrichten eines Connectors zum Importieren physischer Badgingdaten finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren des Physischen Badging-Connectors für Ihre organization. Nachdem Sie den Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.
Microsoft Defender for Endpoint konfigurieren
Microsoft Defender for Endpoint ist eine Sicherheitsplattform für Unternehmensendpunkte, die Unternehmensnetzwerke dabei unterstützen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Um eine bessere Sichtbarkeit von Sicherheitsverstößen in Ihrem organization zu erhalten, können Sie Defender für Endpunkt-Warnungen nach Aktivitäten importieren und filtern, die in Richtlinien verwendet werden, die aus Richtlinienvorlagen für Sicherheitsverletzungen im Insider-Risikomanagement erstellt wurden.
Wenn Sie Richtlinien für Sicherheitsverletzungen erstellen, müssen Sie Microsoft Defender for Endpoint in Ihrem organization konfiguriert haben und Defender für Endpunkt für die Integration des Insider-Risikomanagements in Das Defender Security Center aktivieren, um Warnungen gegen Sicherheitsverletzungen zu importieren. Weitere Informationen zu Anforderungen finden Sie im Artikel Mindestanforderungen für Microsoft Defender for Endpoint.
Im Artikel Konfigurieren erweiterter Features in Defender für Endpunkt finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren von Defender für Endpunkt für die Integration des Insider-Risikomanagements. Nachdem Sie die Microsoft Defender for Endpoint konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.
Konfigurieren von forensischen Beweisen
Visueller Kontext ist für Sicherheitsteams bei forensischen Untersuchungen von entscheidender Bedeutung, um bessere Einblicke in riskante Benutzeraktivitäten zu erhalten, die zu einem Sicherheitsvorfall führen können. Mit anpassbaren Ereignistriggern und integrierten Datenschutzkontrollen für Benutzer ermöglichen forensische Beweise eine geräteübergreifende anpassbare Erfassung, damit Ihre organization potenzielle Datenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser entschärfen, verstehen und darauf reagieren können.
Im Artikel Erste Schritte mit forensischen Beweisen für das Insider-Risikomanagement finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren von forensischen Beweisen für Ihre organization.
Konfigurieren der optischen Zeichenerkennung
Microsoft Purview kann in Dokumenten nach vertraulichen Inhalten suchen, um diese Dokumente vor unangemessener Offenlegung zu schützen. Wenn Sie die optische Zeichenerkennung (OCR) in Microsoft Purview aktivieren, können Datenklassifizierer, z. B. Typen vertraulicher Informationen und trainierbare Klassifizierer, auch Zeichen in eigenständigen Bildern erkennen. Nach dem Konfigurieren der OCR-Einstellungen (Vorschau) werden Ihre vorhandenen Insider-Risikorichtlinien sowohl auf Bilder als auch auf Dokumente angewendet.
Für die OCR-Vorschau unterstützt das Insider-Risikomanagement die Überprüfung an den folgenden Speicherorten: Windows-Endpunktgeräte, SharePoint Online und Teams. Exchange Online und OneDrive werden für die Vorschau nicht unterstützt.
OCR-Einstellungen gelten nicht für forensische Beweisclips im Insider-Risikomanagement.
Erfahren Sie mehr über das Einrichten der OCR-Überprüfung und der abrechnungsbasierten Bezahlung.
Schritt 5 (erforderlich): Konfigurieren von Insider-Risikoeinstellungen
Insider-Risikoeinstellungen gelten für alle Insider-Risikomanagementrichtlinien, unabhängig von der Vorlage, die Sie beim Erstellen einer Richtlinie auswählen. Einstellungen werden mithilfe von Einstellungen konfiguriert, die sich oben auf den Insider-Risikomanagement-Seiten befinden. Diese Einstellungen steuern Datenschutz, Indikatoren, globale Ausschlüsse, Erkennungsgruppen, intelligente Erkennungen und vieles mehr. Erfahren Sie mehr über Einstellungen, die Sie vor dem Erstellen einer Richtlinie berücksichtigen sollten.
Schritt 6 (erforderlich): Erstellen einer Insider-Risikomanagementrichtlinie
Richtlinien für das Insider-Risikomanagement umfassen die zugewiesenen Benutzer und legen fest, welche Arten von Risikoindikatoren für Warnmeldungen konfiguriert werden. Bevor potenziell riskante Aktivitäten Warnungen auslösen können, muss eine Richtlinie konfiguriert werden. Verwenden Sie den Richtlinien-Assistenten, um neue Richtlinien für das Insider-Risikomanagement zu erstellen.
Hinweis
Informationen zum Erstellen eines benutzerdefinierten Triggers oder Indikators für eine Nicht-Microsoft-Workload finden Sie unter Benutzerdefinierte Indikatoren.
Richtlinie erstellen
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
Wechseln Sie zur Insider-Risikomanagement-Lösung .
Wählen Sie im linken Navigationsbereich Richtlinien aus.
Wählen Sie Richtlinie erstellen aus, um den Richtlinien-Assistenten zu öffnen.
Wählen Sie auf der Seite Richtlinienvorlage eine Richtlinienkategorie aus, und wählen Sie dann die Vorlage für die neue Richtlinie aus. Diese Vorlagen bestehen aus Bedingungen und Indikatoren, die die zu erkennenden und zu untersuchenden Risikoaktivitäten definieren. Überprüfen Sie die Vorlagenvoraussetzungen, die auslösenden Ereignisse und die erkannten Aktivitäten, um zu bestätigen, dass diese Richtlinienvorlage Ihren Anforderungen entspricht.
Wichtig
Für einige Richtlinienvorlagen gibt es Voraussetzungen, die für die Richtlinie konfiguriert werden müssen, damit sie relevante Warnungen generiert. Wenn Sie die entsprechenden Richtlinienvoraussetzungen nicht konfiguriert haben, lesen Sie Schritt 4 weiter oben.
Wählen Sie Weiter aus, um fortzufahren.
Füllen Sie auf der Seite Name und Beschreibung die folgenden Felder aus:
- Name (erforderlich): Geben Sie einen Anzeigenamen für die Richtlinie ein. Dieser Name kann nach dem Erstellen der Richtlinie nicht mehr geändert werden.
- Beschreibung (optional): Geben Sie eine Beschreibung für die Richtlinie ein.
Wählen Sie Weiter aus, um fortzufahren.
Wenn Administratoreinheiten für Ihren Mandanten erstellt wurden, wird die Seite Admin Einheiten angezeigt. Andernfalls wird die Seite Benutzer und Gruppen angezeigt, und Sie können mit dem nächsten Schritt fortfahren.
Wenn Sie die Richtlinie auf eine oder mehrere Administratoreinheiten festlegen möchten, wählen Sie Administratoreinheiten hinzufügen und dann die Administratoreinheiten aus, die Sie auf die Richtlinie anwenden möchten.
Hinweis
Sie können nur die Administratoreinheiten sehen, die auf Ihre Rolle ausgerichtet sind. Wenn Sie ein uneingeschränkter Administrator sind, werden alle Administratoreinheiten für den Mandanten angezeigt. Um eine Zusammenfassung der Rollengruppen und Administratoreinheiten anzuzeigen, denen Sie zugewiesen sind, wählen Sie Meine Berechtigungen anzeigen aus.
Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie auf der Seite Benutzer und Gruppen eine der folgenden Optionen aus:
Schließen Sie alle Benutzer und Gruppen ein. Wenn Sie diese Option auswählen, sucht das Insider-Risikomanagement nach auslösenden Ereignissen für alle Benutzer und Gruppen in Ihrem organization, um mit der Zuweisung von Risikobewertungen für die Richtlinie zu beginnen.
Wenn Ihre Richtlinie auf eine oder mehrere Administratoreinheiten beschränkt ist, werden mit dieser Option alle Benutzer und Gruppen innerhalb der Verwaltungseinheiten ausgewählt.
Hinweis
Um echtzeitbasierte Analysen (Vorschau) für Schwellenwerteinstellungen für Indikatoren zu nutzen, müssen Sie ihre Richtlinie auf Alle Benutzer und Gruppen einschließen festlegen. Mithilfe von Echtzeitanalysen können Sie schätzungen der Anzahl von Benutzern anzeigen, die potenziell mit einem bestimmten Satz von Richtlinienbedingungen in Echtzeit übereinstimmen könnten. Dies hilft Ihnen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, damit Sie nicht zu wenige oder zu viele Richtlinienwarnungen haben. Wenn Sie Ihre Richtlinie auf Alle Benutzer und Gruppen einschließen festlegen, bietet sie auch einen besseren allgemeinen Schutz für Den gesamten Mandanten. Weitere Informationen zur Echtzeitanalyse für Schwellenwerteinstellungen für Indikatoren finden Sie unter Einstellungen für Indikatorebenen.
Schließen Sie bestimmte Benutzer und Gruppen ein. Wählen Sie diese Option aus, um zu definieren, welche Benutzer oder Gruppen in der Richtlinie enthalten sind.
Wenn Ihre Richtlinie auf eine oder mehrere Administratoreinheiten festgelegt ist, können Sie nur Benutzer innerhalb des Bereichs der Administratoreinheit auswählen.
Hinweis
Gastkonten werden nicht unterstützt.
Adaptiver Bereich. Diese Option (Vorschau für Insider-Risikomanagement) wird angezeigt, wenn Sie die Option Bestimmte Benutzer und Gruppen einschließen auswählen. Wählen Sie Adaptive Bereiche hinzufügen oder bearbeiten aus, um einen adaptiven Bereich auf die Richtlinie anzuwenden. Der adaptive Bereich muss erstellt werden, bevor Sie die Richtlinie erstellen oder bearbeiten. Wenn die Richtlinie auch auf eine oder mehrere Administratoreinheiten beschränkt ist, werden die adaptiven Bereiche, die Ihnen zur Verfügung stehen, durch die Administratoreinheiten eingeschränkt. Erfahren Sie, wie adaptive Bereiche mit Administratoreinheiten zusammenarbeiten.
Hinzufügen oder Bearbeiten von Prioritätsbenutzergruppen. Diese Option wird nur angezeigt, wenn Sie die Vorlage Datenlecks nach Prioritätsbenutzern ausgewählt haben. Wählen Sie diese Option aus, und fügen Sie dann Prioritätsbenutzergruppen hinzu, oder bearbeiten Sie sie.
Hinweis
Wenn die Richtlinienvorlage auf Prioritätsbenutzergruppen basiert, können Sie keine Administratoreinheit auswählen, um den Bereich für die Richtlinie festzulegen. Prioritätsbenutzergruppen werden zurzeit nicht für die Verwendung mit Administratoreinheiten unterstützt.
Wählen Sie Weiter aus, um fortzufahren.
Wenn Sie im vorherigen Schritt Alle Benutzer und Gruppen einschließen ausgewählt haben, wird die Seite Benutzer und Gruppen ausschließen (optional) (Vorschau) angezeigt.
Hinweis
Zu diesem Zeitpunkt müssen Sie alle Benutzer und Gruppen einschließen auswählen, um Benutzer und Gruppen auszuschließen.
Verwenden Sie diese Seite, wenn Sie bestimmte Benutzer oder Gruppen aus dem Richtlinienbereich ausschließen möchten. Sie können z. B. eine Richtlinie erstellen, die potenziell riskante Aktionen für Personen im gesamten organization erkennt, aber Vertriebsleiter auf Leitender Ebene ausschließt. Wählen Sie Benutzer hinzufügen oder bearbeiten oder Gruppen hinzufügen oder bearbeiten aus, um die Benutzer oder Gruppen auszuwählen, die Sie ausschließen möchten. Wenn Ihre Richtlinie auf eine oder mehrere Administratoreinheiten festgelegt ist, können Sie nur Benutzer oder Gruppen ausschließen, die sich innerhalb des Bereichs der Administratoreinheiten befinden.
Auf der Seite Zu priorisierende Inhalte können Sie (bei Bedarf) die zu priorisierenden Quellen zuweisen, wodurch sich die Wahrscheinlichkeit erhöht, dass eine Warnung mit hohem Schweregrad für diese Quellen generiert wird. Wählen Sie eine der folgenden Optionen aus:
Ich möchte Inhalte priorisieren. Wenn Sie diese Option auswählen, können Sie SharePoint-Websites, Vertraulichkeitsbezeichnungen, Typen vertraulicher Informationen und Inhaltstypen von Dateierweiterungen priorisieren. Wenn Sie diese Option auswählen, müssen Sie mindestens einen Inhaltstyp mit Priorität auswählen.
Ich möchte derzeit keine Prioritätsinhalte angeben. Wenn Sie diese Option auswählen, werden die Detailseiten mit prioritätsbezogenen Inhalten im Assistenten übersprungen.
Wählen Sie Weiter aus, um fortzufahren.
Wenn Sie im vorherigen Schritt Ich möchte Inhalte priorisieren ausgewählt haben, werden die Detailseiten für SharePoint-Websites, Vertraulichkeitsbezeichnungen, Typen vertraulicher Informationen, Dateierweiterungen und Bewertung angezeigt. Verwenden Sie diese Detailseiten, um sharePoint, vertrauliche Informationstypen, Vertraulichkeitsbezeichnungen, trainierbare Klassifizierer und Dateierweiterungen zu definieren, die in der Richtlinie priorisiert werden sollen. Auf der Detailseite Bewertung können Sie die Richtlinie so festlegen, dass nur Risikobewertungen zugewiesen und Warnungen für bestimmte Aktivitäten generiert werden, die Prioritätsinhalte enthalten.
SharePoint-Sites: Wählen Sie SharePoint-Site hinzufügen und dann die SharePoint-Sites aus, auf die Sie Zugriff haben und die Sie priorisieren möchten. Beispiel: "group1@contoso.sharepoint.com/sites/group1".
Hinweis
Wenn Ihre Richtlinie auf eine oder mehrere Administratoreinheiten festgelegt ist, werden weiterhin alle SharePoint-Websites angezeigt, nicht nur SharePoint-Websites, die auf Ihre Administratoreinheiten festgelegt sind, da Administratoreinheiten SharePoint-Websites nicht unterstützen.
Typ vertraulicher Informationen: Wählen Sie Typ vertraulicher Informationen hinzufügen und dann die Typen vertraulicher Informationen aus, die Sie priorisieren möchten. Beispiel: „US-Bankkontonummer“ oder „Kreditkartennummer“.
Vertraulichkeitsbezeichnungen: Wählen Sie Vertraulichkeitsbezeichnung hinzufügen und dann die Vertraulichkeitsbezeichnungen aus, die Sie priorisieren möchten. Beispiel: „Vertraulich“ oder „Geheim“.
Trainierbare Klassifizierer: Wählen Sie Trainierbare Klassifizierer hinzufügen und dann die trainierbaren Klassifizierer aus, die Sie priorisieren möchten. Beispiel: Quellcode.
Dateierweiterungen: Fügen Sie bis zu 50 Dateierweiterungen hinzu. Sie können "." mit der Dateierweiterung einschließen oder weglassen. Beispielsweise würde .py oder py Python-Dateien priorisieren.
Bewertung: Entscheiden Sie, ob Risikobewertungen allen Risikomanagementaktivitäten zugewiesen werden sollen, die von dieser Richtlinie erkannt werden, oder nur für Aktivitäten, die Prioritätsinhalte enthalten. Wählen Sie Get alerts for all activity (Warnungen für alle Aktivitäten abrufen ) oder Get alerts only for activity that includes priority content (Warnungen für alle Aktivitäten abrufen) aus.
Wählen Sie Weiter aus, um fortzufahren.
Wenn Sie die Vorlagen Data leaks or Data leaks by priority users (Datenlecks oder Datenlecks nach Prioritätsbenutzern ) ausgewählt haben, werden auf der Seite Trigger für diese Richtlinie Optionen für benutzerdefinierte Ereignisse und Richtlinienindikatoren angezeigt. Sie haben die Wahl, eine DLP-Richtlinie oder Indikatoren zum Auslösen von Ereignissen auszuwählen, die Benutzer, die der Richtlinie für die Aktivitätsbewertung zugewiesen sind, in den Gültigkeitsbereich bringen. Wenn Sie die Option Benutzer stimmt mit einem Ereignis zur Verhinderung von Datenverlust (DLP) ab, müssen Sie eine DLP-Richtlinie aus der Dropdownliste der DLP-Richtlinie auswählen, um auslösende Indikatoren für die DLP-Richtlinie für diese Insider-Risikomanagementrichtlinie zu aktivieren. Wenn Sie die Option Benutzer führt ein Ereignis zum Auslösen einer Exfiltrationsaktivität auswählt, müssen Sie mindestens einen der aufgeführten Indikatoren für das richtlinienauslösende Ereignis auswählen.
Hinweis
Prioritätsbenutzergruppen werden derzeit nicht für Administratoreinheiten unterstützt. Wenn Sie eine Richtlinie erstellen, die auf der Vorlage Datenlecks nach Prioritätsbenutzern oder der Vorlage Sicherheitsrichtlinienverletzungen nach Prioritätsbenutzern basiert, können Sie keine Administratoreinheiten auswählen, um die Richtlinie eingrenzen zu können. Uneingeschränkte Administratoren können Prioritätsbenutzergruppen auswählen, ohne Administratoreinheiten auszuwählen, aber eingeschränkte oder bereichsbezogene Administratoren können diese Richtlinien überhaupt nicht erstellen.
Wichtig
Wenn Sie einen aufgelisteten Indikator oder eine Sequenz nicht auswählen können, liegt dies daran, dass diese derzeit nicht für Ihre organization aktiviert sind. Um sie für die Auswahl und Zuweisung zur Richtlinie zur Verfügung zu stellen, wählen Sie die Eingabeaufforderung Indikatoren aktivieren aus.
Wenn Sie andere Richtlinienvorlagen ausgewählt haben, werden benutzerdefinierte auslösende Ereignisse nicht unterstützt. Es gelten die integrierten Richtlinienauslösungsereignisse. Fahren Sie mit Schritt 15 fort, ohne Richtlinienattribute zu definieren.
Wenn Sie die Vorlagen Data leaks by risky users (Datenlecks durch riskante Benutzer oder Sicherheitsrichtlinienverstöße durch riskante Benutzer ) ausgewählt haben, werden auf der Seite Trigger für diese Richtlinie Optionen für die Integration in Ereignisse für Kommunikationscompliance und HR-Datenconnector angezeigt. Sie haben die Wahl, Risikobewertungen zuzuweisen, wenn Benutzer Nachrichten senden, die potenziell bedrohliche, belästigende oder diskriminierende Sprache enthalten, oder Benutzer in den Richtlinienbereich zu bringen, nachdem riskante Benutzerereignisse in Ihrem Personalsystem gemeldet wurden. Wenn Sie die Option Risikotrigger aus Kommunikationscompliance (Vorschau) auswählen, können Sie die Standardrichtlinie für die Kommunikationskonformität übernehmen (automatisch erstellt), einen zuvor erstellten Richtlinienbereich für diesen Trigger auswählen oder eine andere bereichsbezogene Richtlinie erstellen. Wenn Sie HR-Datenconnectorereignisse auswählen, müssen Sie einen HR-Datenconnector für Ihre organization konfigurieren.
Wählen Sie Weiter aus, um fortzufahren.
Wenn Sie die Vorlagen Datenlecks oder Datenlecks nach Prioritätsbenutzern ausgewählt und die Option Benutzer führt eine Exfiltrationsaktivität und zugehörige Indikatoren aus, können Sie benutzerdefinierte oder Standardschwellenwerte für den ausgewählten Indikator auswählen, der Ereignisse auslöst. Wählen Sie entweder Standardschwellenwerte verwenden (empfohlen) oder Benutzerdefinierte Schwellenwerte für die auslösenden Ereignisse verwenden aus.
Wählen Sie Weiter aus, um fortzufahren.
Wenn Sie Benutzerdefinierte Schwellenwerte für die auslösenden Ereignisse verwenden ausgewählt haben, wählen Sie für jeden auslösenden Ereignisindikator, den Sie in Schritt 10 ausgewählt haben, die entsprechende Ebene aus, um die gewünschte Ebene von Aktivitätswarnungen zu generieren. Sie können die empfohlenen Schwellenwerte, benutzerdefinierten Schwellenwerte oder Schwellenwerte basierend auf anomalen Aktivitäten (für bestimmte Indikatoren) verwenden, die über der täglichen Norm für Benutzer liegen.
Wählen Sie Weiter aus, um fortzufahren.
Auf der Seite Richtlinienindikatoren werden die Indikatoren angezeigt, die Sie als verfügbar definiert haben, auf der Seite Insider-Risikoeinstellungen>Indikatoren, die Indikatorvarianten enthalten, sofern Sie sie definiert haben. Wählen Sie die Indikatoren aus, die Sie auf die Richtlinie anwenden möchten.
Wichtig
Wenn Indikatoren auf dieser Seite nicht ausgewählt werden können, müssen Sie die Indikatoren auswählen, die Sie für alle Richtlinien aktivieren möchten. Sie können Indikatoren aktivieren im Assistenten verwenden oder indikatoren auf der Seite Insider-Risikomanagement>Einstellungen>Richtlinienindikatoren auswählen.
Wenn Sie mindestens einen Office- oder Geräte-Indikator ausgewählt haben, wählen Sie die entsprechenden Risikobewertungsverstärker aus. Risikobewertungsverstärker sind nur auf ausgewählte Indikatoren anwendbar. Wenn Sie eine Datendiebstahl- oder Datenleck-Richtlinienvorlage ausgewählt haben, wählen Sie eine oder mehrere Sequenzerkennungsmethoden sowie eine Methode für die Erkennung kumulativer Exfiltration aus, die auf die Richtlinie angewendet werden sollen. Wenn Sie die Vorlage Riskante Browsernutzungsrichtlinie ausgewählt haben, wählen Sie mindestens einen der Browserindikatoren aus.If you've selected the Risky browser usage policy template, select one or more of the Browsing indicators.
Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie auf der Seite Entscheiden, ob Standard- oder benutzerdefinierte Indikatorschwellenwerte verwendet werden sollen , benutzerdefinierte oder Standardschwellenwerte für die ausgewählten Richtlinienindikatoren aus. Wählen Sie entweder Standardschwellenwerte für alle Indikatoren verwenden oder Benutzerdefinierte Schwellenwerte für die ausgewählten Richtlinienindikatoren angeben aus. Wenn Sie Benutzerdefinierte Schwellenwerte angeben ausgewählt haben, wählen Sie die entsprechende Ebene aus, um die gewünschte Ebene von Aktivitätswarnungen für jeden Richtlinienindikator zu generieren.
Tipp
Wählen Sie den Link Auswirkung anzeigen in der Erkenntnis unterhalb der einzelnen Schwellenwerteinstellungen aus, um ein Diagramm anzuzeigen, mit dem Sie geeignete Schwellenwerteinstellungen ermitteln können. Erfahren Sie mehr über das manuelle Anpassen von Schwellenwerten.
Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen zu Ihrer Auswahl. Wählen Sie Bearbeiten aus, um die Richtlinienwerte zu ändern, oder wählen Sie Absenden aus, um die Richtlinie zu erstellen und zu aktivieren.
Nächste Schritte
Nachdem Sie diese Schritte zum Erstellen Ihrer ersten Insider-Risikomanagementrichtlinie abgeschlossen haben, erhalten Sie nach etwa 24 Stunden Warnungen von Aktivitätsindikatoren. Konfigurieren Sie nach Bedarf zusätzliche Richtlinien, indem Sie die Anleitung in Schritt 4 dieses Artikels oder die Schritte unter Erstellen einer neuen Insider-Risikorichtlinie verwenden.
Weitere Informationen zum Untersuchen von Insider-Risikowarnungen und den Dashboard "Warnungen" finden Sie unter Aktivitäten des Insider-Risikomanagements.