Überprüfen von Daten mit dem Insider-Risikomanagement-Inhalts-Explorer
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Der Inhalts-Explorer für insider-Risikomanagement ermöglicht Benutzern, denen die Rolle Insider-Risikomanagement-Ermittler zugewiesen ist, den Kontext und die Details von Inhalten zu untersuchen, die aktivitäten in Warnungen zugeordnet sind. Die Falldaten im Inhalts-Explorer werden täglich aktualisiert, um neue Risikoaktivitäten einzuschließen. Für alle Warnungen, die für einen Fall bestätigt werden, werden Kopien von Daten und Nachrichtendateien als Momentaufnahme der Elemente archiviert, während die ursprünglichen Dateien und Nachrichten in den Speicherquellen beibehalten werden. Falls erforderlich, können Falldatendateien als portable Dokumentdatei (PDF) oder im Originaldateiformat exportiert werden.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Verwenden des Inhalts-Explorers zum Anzeigen von Details für einen bestimmten Fall
Um die E-Mails und Dateien zu untersuchen, die von den in einem bestimmten Fall enthaltenen Richtlinien erfasst wurden, navigieren Sie zur Seite Insider-Risikomanagementfälle , und wählen Sie die Zeile mit dem Namen des Falls in der Liste für den Fall aus, für den Sie Details anzeigen möchten. Wählen Sie dann auf der Seite mit den Falldetails die Registerkarte Inhalts-Explorer aus, um den Inhalts-Explorer zu öffnen.
Wichtig
Nachdem eine Warnung für einen Fall bestätigt wurde, zeigt der Inhalts-Explorer keine Details zu diesem Fall an, wenn der organization weder der Rollengruppe Insider-Risikomanagement-Ermittlern noch der Rollengruppe Insider-Risikomanagement einen Benutzer zugewiesen hat.
Der Inhalts-Explorer enthält Benutzeraktivitäten im Zusammenhang mit Microsoft 365-Dienstdateien, z. B. Benutzeraktivitäten in SharePoint, Exchange und OneDrive for Business. Bei neuen Fällen dauert es in der Regel etwa eine Stunde, bis Inhalte im Inhalts-Explorer aufgefüllt werden. In Fällen mit großen Inhaltsmengen kann es länger dauern, eine Momentaufnahme zu erstellen. Wenn im Inhalts-Explorer weiterhin Inhalte geladen werden, wird eine Statusanzeige angezeigt, die den Abschlussprozentsatz anzeigt.
In einigen Fällen stehen einem Fall zugeordnete Daten möglicherweise nicht als Momentaufnahme zur Überprüfung im Inhalts-Explorer zur Verfügung. Diese Situation kann auftreten, wenn Falldaten gelöscht oder verschoben wurden oder wenn bei der Verarbeitung von Falldaten ein temporärer Fehler auftritt. Wählen Sie in diesem Fall Dateien anzeigen in der Warnleiste aus, um die Dateinamen, den Dateipfad und den Grund für den Fehler für jede Datei anzuzeigen. Bei Bedarf können diese Informationen in eine .csv Datei (durch Trennzeichen getrennte Werte) exportiert werden.
Wenn der Inhalt Information Rights Management-Berechtigungen enthält, werden diese Berechtigungen für den kopierten Inhalt verwaltet, und Benutzer, denen die Rolle Insider-Risikomanagement-Prüfer zugewiesen ist, benötigen diese Berechtigungen und Rechte, wenn sie die Dateien öffnen und anzeigen müssen. Jeder Datei und Nachricht wird automatisch eine eindeutige Datei-ID im Insider-Risikomanagementfall zu Verwaltungszwecken zugewiesen. Dokumente, die Geräteanzeigeaktivitäten zugeordnet sind, sind im Inhalts-Explorer nicht enthalten.
Hinweis
Nachdem ein Fall mehr als 365 Tage aktiv ist, wird der Inhalts-Explorer nicht aktualisiert, um neue Aktivitäten widerzuspiegeln. Um den Inhalts-Explorer mit neuen Aktivitäten für einen Benutzer in diesem Szenario zu aktualisieren, lösen Sie den Fall, und öffnen Sie einen neuen Fall für den Benutzer.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Spaltenoptionen
Um Risikoanalysten und Ermittlern das Überprüfen der erfassten Daten und Nachrichten und die Überprüfung des Kontexts für den Fall zu erleichtern, sind mehrere Filter- und Sortiertools im Inhalts-Explorer enthalten. Für die einfache Sortierung unterstützen die Klassenspalten Date und File die Sortierung mithilfe der Spaltentitel im Inhaltswarteschlangenbereich. Andere Warteschlangenspalten können der Ansicht hinzugefügt werden, um unterschiedliche Pivots für die Dateien und Nachrichten bereitzustellen.
Um Spaltenüberschriften für die Inhaltswarteschlange hinzuzufügen oder zu entfernen, verwenden Sie das Steuerelement Spalten bearbeiten , und wählen Sie aus den folgenden Spaltenoptionen aus. Diese Spalten entsprechen den allgemeinen, E-Mail- und Dokumenteigenschaftenbedingungen, die im Inhalts-Explorer unterstützt und weiter unten in diesem Artikel aufgeführt werden.
Spaltenoption | Beschreibung |
---|---|
Autor | Das Feld autor aus Office-Dokumenten, das beibehalten wird, wenn ein Dokument kopiert wird. Wenn ein Benutzer beispielsweise ein Dokument erstellt und es per E-Mail an eine andere Person sendet, die es dann in SharePoint hochlädt, behält das Dokument weiterhin den ursprünglichen Autor bei. |
Bcc | Für E-Mail-Nachrichten verfügbar, die Benutzer im Feld "Bcc-Nachricht". |
Cc | Für E-Mail-Nachrichten verfügbar, die Benutzer im Feld Cc-Nachricht. |
Zusammengesetzter Pfad | Lesbarer Pfad, der die Quelle des Elements beschreibt. |
Unterhaltungs-ID | Konversations-ID aus der Nachricht. |
Unterhaltungsindex | Unterhaltungsindex aus der Nachricht. |
Erstellungszeitpunkt | Der Zeitpunkt, zu dem die Datei oder E-Mail-Nachricht erstellt wurde. |
Datum (UTC) | Bei E-Mails: Das Datum, an dem die Nachricht vom Empfänger empfangen oder vom Absender gesendet wurde. Bei Dokumenten das Datum, an dem ein Dokument zuletzt geändert wurde. Das Datum liegt in koordinierter Weltzeit (UTC). |
Dominantes Design | Dominantes Design, wie für Analysen berechnet. |
Email Set-ID | Gruppen-ID für alle Nachrichten im selben E-Mail-Satz. |
Familien-ID | Familien-ID gruppiert alle Elemente; für E-Mails enthält diese Spalte die Nachricht und alle Anlagen; für Dokumente enthält diese Spalte das Dokument und alle eingebetteten Elemente. |
File-Klasse | Für Inhalte aus SharePoint und OneDrive: Dokument; für Inhalte aus Exchange: Email oder Anlage. |
Datei-ID | Im Fall eindeutiger Dokumentbezeichner. |
Symbol "Dateityp" | Die Erweiterung einer Datei; z. B. docx, one, pptx oder xlsx. Dieses Feld ist dieselbe Eigenschaft wie die FileExtension-Websiteeigenschaft. |
ID | Der GUID-Bezeichner für die Datei. |
Unveränderliche ID | Unveränderliche ID, die in Office 365 gespeichert ist. |
Inklusiver Typ | Für Analysen berechneter inklusiver Typ: 0 – nicht inklusive; 1 - inklusive; 2 - inklusive Minus; 3 – inklusive Kopie. |
Zuletzt geändert | Das Datum, an dem ein Dokument zuletzt geändert wurde. |
Als repräsentativ gekennzeichnet | Aus jedem Satz exakter Duplikate wird ein Dokument als Vertreter markiert. |
Nachrichtenart | Der Typ der zu suchden E-Mail-Nachricht. Mögliche Werte: Kontakte, Dokumente, E-Mail, externe Daten, Faxe, Chatnachrichten, Journale, Besprechungen, Microsoft Teams (gibt Elemente aus Chats, Besprechungen und Anrufen in Microsoft Teams zurück), Notizen, Beiträge, RSS-Feeds, Aufgaben, Voicemail |
Teilnehmer | Liste aller Teilnehmer einer Nachricht; Beispiel: Absender, An, Cc, Bcc. |
Pivot-ID | Die ID eines Pivots. |
Received | Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. Dieses Feld ist die gleiche Eigenschaft wie die Eigenschaft Empfangene E-Mail. |
Empfänger | Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc. |
Repräsentative ID | Numerischer Bezeichner jeder Menge exakter Duplikate. |
Sender | Der Absender einer E-Mail-Nachricht. |
Absender/Autor | Bei E-Mails: Die Person, die eine Nachricht gesendet hat. Bei Dokumenten die im Feld "Autor" angegebene Person aus Office-Dokumenten. Sie können mehrere Namen eingeben, getrennt durch Kommas. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden. |
Typen vertraulicher Informationen | Die typen vertraulichen Informationen, die im Inhalt identifiziert werden. |
Vertraulichkeitsbezeichnungen | Die Vertraulichkeitsbezeichnungen, die auf den Inhalt angewendet werden. |
Sent | Das Datum, an dem eine E-Mail vom Absender gesendet wurde. Dieses Feld ist dieselbe Eigenschaft wie die Eigenschaft Gesendete E-Mail. |
Größe | Sowohl bei E-Mails als auch bei Dokumenten die Größe des Elements (in Bytes). |
Subject | Der Text in der Betreffzeile einer E-Mail. |
Betreff/Titel | Bei E-Mails: Der Text in der Betreffzeile einer Nachricht. Bei Dokumenten der Titel des Dokuments. Wie bereits erläutert, handelt es sich bei der Title-Eigenschaft um Metadaten, die in Microsoft Office-Dokumenten angegeben sind. Sie können den Namen von mehr als einem Betreff/Titel durch Kommas getrennt eingeben. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden. |
Designliste | Für Analysen berechnete Designliste. |
Title | Der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Office-Dokumenten angegeben sind. Er unterscheidet sich vom Dateinamen des Dokuments. |
An | Der Empfänger einer E-Mail-Nachricht im Feld An. |
Filtern
Sie können einen oder mehrere Filter verwenden, um den Bereich einer Suche einzugrenzen und einen genaueren Satz von Ergebnissen zurückzugeben. Um einen Filter festzulegen, wählen Sie oben in der Inhaltswarteschlange Filter aus. Viele Filter enthalten zusätzliche Filteroptionen, um die vom Filter zurückgegebenen Ergebnisse einzugrenzen. Der Filter Datum enthält beispielsweise Steuerelemente zum Konfigurieren eines Startdatums und eines Enddatums für den Datumsfilter . Wählen Sie ein oder mehrere Filterelemente aus den folgenden Kategorien aus:
Allgemeine Filter
Filter | Beschreibung |
---|---|
Datum (UTC) | Bei E-Mails: Das Datum, an dem die Nachricht vom Empfänger empfangen oder vom Absender gesendet wurde. Bei Dokumenten das Datum, an dem ein Dokument zuletzt geändert wurde. |
Absender/Autor | Bei E-Mails: Die Person, die eine Nachricht gesendet hat. Bei Dokumenten die im Feld Autor angegebene Person aus Office-Dokumenten. Sie können mehrere Namen eingeben, getrennt durch Kommas. |
Source | Die Position des Dokuments in Ihrem organization. Beispiel: ein bestimmter SharePoint-Websitespeicherort. |
Betreff/Titel | Bei E-Mails: Der Text in der Betreffzeile einer Nachricht. Bei Dokumenten der Titel des Dokuments. Die Title-Eigenschaft in Dokumenten ist Metadaten, die in Microsoft Office-Dokumenten angegeben sind. Sie können den Namen von mehr als einem Betreff/Titel durch Kommas getrennt eingeben. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden. |
Email Filter
Filter | Beschreibung |
---|---|
Bcc | Das Bcc-Feld einer E-Mail-Nachricht. |
Cc | Das Cc-Feld einer E-Mail-Nachricht. |
Hat Anlage | Gibt an, ob eine Nachricht über eine Anlage verfügt. Werte werden als true oder false aufgeführt. |
E-Mail-Anlage | Wenn das Dokument eine Anlage ist, wird der Wert als Ja aufgeführt. |
Eingebettetes Dokument | Wenn das Dokument in die E-Mail-Nachricht eingebettet ist, wird der Wert als Ja aufgeführt. |
Ist Eine Inlineanlage | Wenn es sich bei dem Dokument um eine Inlineanlage in der E-Mail-Nachricht handelt, wird der Wert als Ja aufgeführt. |
Teilnehmer | Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc. |
Received | Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. |
Empfängerdomänen | Liste aller Domänen von Empfängern einer Nachricht. |
Empfänger | Die E-Mail-Nachrichtenempfänger. |
Sender | Absenderfeld (Von) für Nachrichtentypen. Format: DisplayName <SmtpAddress>. |
Absenderdomäne | Domäne des Absenders. |
An | Das Feld „An“ einer E-Mail-Nachricht. |
Eindeutig im E-Mail-Satz | False, wenn ein Duplikat der Anlage im E-Mail-Satz vorhanden ist. |
Dokumentfilter
Filters | Beschreibung |
---|---|
Konformitätsbezeichnungen | In Microsoft 365 angewendete Compliancebezeichnungen. |
Erstellungszeit (UTC) | Das Datum und die Uhrzeit der Erstellung der Datei oder E-Mail-Nachricht. Datum und Uhrzeit sind in koordinierter Weltzeit (UTC) angegeben. |
Datum der letzten Änderung (UTC) | Das Datum, an dem ein Dokument zuletzt geändert wurde. Datum und Uhrzeit sind in koordinierter Weltzeit (UTC) angegeben. |
Kategorie | Der Erweiterungstyp der Datei. |
Benutzeraktivitätsereignisse | Aktivität für Elemente im Zusammenhang mit bestimmten Benutzeraktivitäten in einem Fall. Wenn Sie z. B. einen Link zu "Inhalt durchsuchen" für eine Aktivität auf der Seite "Benutzeraktivität " eines Falls auswählen, wird dieser Filter verwendet, um Elemente anzuzeigen, die sich auf diese Aktivität beziehen. |
Arbeitsprodukt | Der Typ des Arbeitsprodukts für das Dokument. Beispielsweise Anmerkungen oder Tags im Dokument. |