Grenzwerte im Insider-Risikomanagement
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Das Insider-Risikomanagement verwendet die folgenden integrierten Grenzwerte, um die Benutzererfahrung zu optimieren.
Limite der Elemente
Die folgenden Tabellen enthalten Grenzwerte nach Produktbereich.
Globale Einstellungen
| Element | Grenze |
|---|---|
| Einschränkungen für Den Lookbackzeitraum (Exchange Online) | 10 Tage |
| Lookbackzeitraumslimits für alle anderen Signale | 90 Tage |
| Maximale Anzahl von Elementen in jeder globalen Ausschlussliste (Domänen, SharePoint-Websites, Dateipfade, Schlüsselwörter und Dateitypen) | 500 für jede Liste |
| Maximale Anzahl von Elementen in einer Erkennungsgruppe | 200 |
| Maximale Anzahl benutzerdefinierter Indikatoren | 10 |
| Maximale Anzahl von Feldern pro benutzerdefiniertem Indikator | 20 |
| Maximale Anzahl von Varianten pro Indikator | 3 |
| Maximale Anzahl von Benutzern, die einer Prioritätsbenutzergruppe hinzugefügt werden können | 10.000 |
Trigger (pro UTC-Kalendertag)
| Element | Grenze |
|---|---|
| Benutzerkonto aus Microsoft Entra ID gelöscht | 15.000 |
| Alle über den HR-Connector erfassten Signale | 15.000 |
| Benutzerdefinierte Indikatoren | 15.000 |
| Alle anderen Trigger | 5K |
| Maximale Triggerlautstärke für eine organization | 50.000 |
Hinweis
Einschränkungen gelten für jeden einzelnen Triggertyp.
Maximale Anzahl von Benutzern im Bereich einer Richtlinienvorlage
Hinweis
Es gibt keine Beschränkung für die maximale Anzahl von Benutzern, die Sie einer Richtlinie hinzufügen können. Der Grenzwert gilt für Benutzer im Bereich einer Richtlinienvorlage (Benutzer, die nach einem auslösenden Ereignis in den Bereich gebracht werden).
Andere Richtliniengrenzwerte
| Element | Grenze |
|---|---|
| Maximale Anzahl von Richtlinien, die pro Vorlagentyp erstellt werden können | 20 |
| Maximale Anzahl von Prioritätsstandorten | 50 |
| Maximale Anzahl von Vertraulichkeitsbezeichnungen mit Priorität | 50 |
| Maximale Anzahl vertraulicher Informationstypen mit Priorität | 50 |
| Maximale Anzahl von Prioritätsdateierweiterungen | 50 |
| Maximale Anzahl trainierbarer Klassifizierer mit Priorität | 5 |
Adaptiver Schutz
|Maximale Anzahl von Benutzern, die auf eine DLP-Richtlinie für jede Risikostufe festgelegt werden können|10.000|
Manuelle Benutzerbewertung
| Element | Grenze |
|---|---|
| Maximale Anzahl von Benutzern, die manuell bewertet werden können | 4K |
Etuis
| Element | Grenze |
|---|---|
| Maximale Anzahl aktiver Fälle | 100 |
Exportierend
| Element | Grenze |
|---|---|
| Maximale Anzahl von Benutzern, die von der Seite Benutzer exportiert werden können | 1000 |
| Maximale Anzahl von Warnungen, die von der Seite Warnungen exportiert werden können | 1000 |
| Maximale Anzahl von Protokollen, die aus dem Aktivitäts-Explorer in eine CSV-Datei exportiert werden können | 100.000 |
Aufbewahrungsgrenzwerte für Warnungen, Fälle und zugehörige Artefakte
Mit zunehmendem Alter von Warnungen des Insider-Risikomanagements nimmt ihr Wert zur Minimierung potenziell riskanter Aktivitäten für die meisten Organisationen ab. Umgekehrt sind aktive Fälle und zugehörige Artefakte (Warnungen, Erkenntnisse, Aktivitäten) für Organisationen immer wertvoll und sollten kein automatisches Ablaufdatum aufweisen. Dies schließt alle zukünftigen Warnungen und Artefakte in einer aktiven status für jeden Benutzer ein, der einem aktiven Fall zugeordnet ist.
Um die Anzahl älterer Elemente zu minimieren, die einen begrenzten aktuellen Wert bieten, gelten die folgenden Aufbewahrungsgrenzwerte für Insider-Risikomanagementwarnungen, -Fälle und -Benutzerberichte:
| Item | Aufbewahrungszeitraum |
|---|---|
| Warnungen mit status | 120 Tage nach erstellung der Warnung und dann automatisch gelöscht |
| Aktive Fälle (und zugehörige Artefakte) | Unbegrenzte Aufbewahrung, läuft nie ab |
| Behobene Fälle (und zugehörige Artefakte) | 120 Tage nach der Lösung des Falls, dann automatisch gelöscht |
| Berichte zu Benutzeraktivitäten | 120 Tage nach erstellung des Berichts und dann automatisch gelöscht |
Connectors
| Element | Grenze |
|---|---|
| Maximale Anzahl von Datensätzen in der JSON-Datei, die von der API verarbeitet werden können | 50.000 |