Freigeben über

Verwenden von Berichten im Insider-Risikomanagement

  • Artikel

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Verwenden Sie Berichte in Microsoft Purview Insider Risk Management, um die Landschaft Ihres Insider-Risikoprogramms zu verstehen. Berichte bieten tiefere Einblicke und zusammenfassende Informationen zu allen Bereichen im Zusammenhang mit Insider-Risiken, einschließlich Warnungen, Fällen, Benutzeraktivitäten und Analysen, die aus qualifizierenden Risikoaktivitäten in microsoft-Diensten generiert werden, um Erkenntnisse in potenzielle Risikobereiche zu identifizieren.

Die folgenden Berichte sind verfügbar, indem Sie im Microsoft Purview-Portal zu Insider-Risikomanagementberichten> navigieren:

  • Warnungen (Vorschau): Anzeigen von Trends für generierte Warnungen, Aktionen für Warnungen im Zeitverlauf und Warnungen nach Richtlinie.
  • Analysen: Zeigen Sie eine Zusammenfassung der anonymisierten Benutzeraktivitäten an, die in Ihrem organization erkannt wurden.
  • Fälle (Vorschau): Anzeigen von Trends für erstellte Fälle, Aktionen für Fälle im Zeitverlauf und Fälle, die nach Richtlinie und Region status.
  • Benutzeraktivität: Überprüfen Sie die letzten Benutzeraktivitäten, unabhängig davon, ob der Benutzer in einer Richtlinie oder Warnung enthalten ist.

Mit Berichten arbeiten

Um zu beginnen und Insider-Risikomanagement-Berichte anzuzeigen, müssen Sie Mitglied der entsprechenden Rolle oder Rollengruppe sein. Die Berechtigungsanforderungen für das Anzeigen von Berichten für Warnungen und Fälle sowie die Berechtigungen, die zum Anzeigen von Berichten für Analysen erforderlich sind, unterscheiden sich. Wenn Ihr organization Verwaltungseinheiten verwendet, kann der Zugriff für diese Berichte variieren. Weitere Informationen finden Sie unter:

Anpassen von Diagrammen

Für jeden Berichtsbereich stehen vordefinierte Berichtsfiltersteuerelemente und eine Datumsauswahl zur Verfügung, mit denen Sie Erkenntnisse schnell auf bestimmte Kriterien oder Datumsbereiche festlegen können. Wählen Sie oben auf der Seite für jeden Bereich einen Filter aus, um alle Berichte im Bereich schnell auf eine Filtereinstellung festzulegen. Wählen Sie für Berichtstermine einen bestimmten Monat aus, oder wählen Sie Letzte 3 Monate aus, um alle Daten für den Berichtsbereich anzuzeigen.

Sie können auch auswählen, welche Berichte standardmäßig in jedem Berichtsbereich angezeigt werden sollen. Um die in den einzelnen Bereichen angezeigten Berichte anzupassen, wählen Sie Ansicht anpassen aus. Im Flyoutbereich Ansicht anpassen können Sie auswählen, welche Berichte angezeigt werden sollen und welche Berichte in den einzelnen Bereichen ausgeblendet werden sollen.

Diagrammdetails

Wählen Sie Details für den Bericht anzeigen aus, um die in einem Bericht enthaltenen Ergebnisse genauer zu untersuchen. In der Detailansicht können Sie die Informationen mithilfe von Filtern festlegen und ihre Ansicht nach Datumsangaben oder Richtlinien ändern. Wenn Sie die in einem Bericht enthaltenen Daten exportieren möchten, wählen Sie Exportieren aus, um entweder ein Bild des Berichtsdiagramms oder eine .csv-Datei mit den Berichtswerten herunterzuladen.

Warnungsberichte (Vorschau)

Die Untersuchung potenziell riskanter Benutzeraktivitäten ist ein wichtiger erster Schritt zur Minimierung von Insider-Risiken für Ihre organization. Diese Risiken können Aktivitäten sein, die Warnungen aus Insider-Risikomanagementrichtlinien generieren. Warnungsberichte bieten Einblicke in das Warnungsvolumen, den Fortschritt bei der Verwaltung von Warnungen, allgemeine Warnungsquellen und die zeitaufwendigen Einstufungen. Sie können alle Warnungsberichte schnell nach Alle Warnungen, Bestätigten Warnungen und Verworfenen Warnungen filtern.

Berichttyp Bericht Beschreibung
Summary Generierte Warnungen Zeigt die Anzahl der Warnungen mit niedrigem, mittlerem und hohem Schweregrad an, die während des angegebenen Datumsbereichs generiert wurden.
Warnungen, auf die reagiert wurden Zeigt die Anzahl der Warnungen an, die während des angegebenen Datumsbereichs für einen Fall bestätigt oder verworfen wurden.
Kündigungsgründe Zeigt...
Demographien Top-Länder/Regionen mit Warnungen Zeigt die Anzahl der für Benutzer generierten Warnungen basierend auf dem Land oder der Region an, in dem sie sich befinden. Nicht angegeben bedeutet, dass ihr Land oder ihre Region nicht in Microsoft Entra ID angegeben ist.
Von der Abteilung generierte Warnungen Zeigt die Anzahl der Warnungen an, die für Benutzer generiert werden, basierend auf der Abteilung, in der sie sich befinden. Nicht angegeben bedeutet, dass ihre Abteilung nicht in Microsoft Entra ID angegeben ist.
Einblicke Warnungen nach dem ereignis am häufigsten auslösenden Ereignis Zeigt die Anzahl der Warnungen basierend auf den am häufigsten ausgelösten Ereignissen an, die während des angegebenen Datumsbereichs erkannt wurden.
Warnungen nach der wichtigsten Aktivität, die die Warnung generiert hat Zeigt die Anzahl der Warnungen basierend auf den wichtigsten Aktivitäten an, die während des angegebenen Datumsbereichs erkannt wurden.
Produktivität Warnungen status nach Zuweisung Zeigt die Anzahl der Warnungen an, die bestimmten Administratoren zugewiesen sind, aufgeschlüsselt nach Warnungen status.
Die durchschnittlichen Tage der Warnungen befinden sich in der Bedarfsüberprüfung. Zeigt die durchschnittliche Anzahl von Tagen an, für die Warnungen während des angegebenen Datumsbereichs in einer status "Bedarfsüberprüfung" verbleiben.

Analyseberichte

Nachdem die erste Analyseüberprüfung für Ihre organization abgeschlossen ist, erhalten Mitglieder der Rollengruppe Insider-Risikomanagement-Administratoren automatisch eine E-Mail-Benachrichtigung und können die ersten Erkenntnisse und Empfehlungen für potenziell riskante Aktivitäten Ihrer Benutzer anzeigen. Tägliche Überprüfungen werden fortgesetzt, es sei denn, Sie deaktivieren Analysen für Ihre organization. Email Benachrichtigungen an Administratoren werden für jede der drei Bereichskategorien für Analysen (Datenlecks, Diebstahl und Exfiltration) nach dem ersten instance potenziell riskanter Aktivitäten in Ihrem organization bereitgestellt. Email Benachrichtigungen werden nicht an Administratoren gesendet, um die Aktivitätserkennung des Risikomanagements zu verfolgen, die sich aus den täglichen Überprüfungen ergibt.

Hinweis

Wenn die Einstellung Analyse deaktiviert und dann wieder aktiviert ist, werden automatische E-Mail-Benachrichtigungen zurückgesetzt, und E-Mail-Benachrichtigungen werden an Mitglieder der Rollengruppe Insider-Risikomanagement-Administratoren gesendet, um neue Einblicke in die Überprüfung zu erhalten.

Um potenzielle Risiken für Ihre organization anzuzeigen, wechseln Sie zu Insider Risk Management>Reports>Analytics.

Hinweis

Wenn die Überprüfung für Ihre organization nicht abgeschlossen ist, wird eine Meldung angezeigt, dass die Überprüfung noch aktiv ist.

Für abgeschlossene Analysen sehen Sie die potenziellen Risiken, die in Ihrem organization entdeckt wurden, sowie Erkenntnisse und Empfehlungen, um diese Risiken zu beheben. Identifizierte Risiken und spezifische Erkenntnisse sind in Berichten enthalten, die nach Bereich gruppiert sind, die Gesamtzahl der Benutzer (alle Arten von Microsoft Entra-Konten, einschließlich Benutzer, Gast, System usw.) mit identifizierten Risiken, der Prozentsatz dieser Benutzer mit potenziell riskanten Aktivitäten und einer empfohlenen Insider-Risikorichtlinie, um diese Risiken zu mindern. Die Berichte umfassen Folgendes:

  • Erkenntnisse zu Datenlecks: Für alle Benutzer, die versehentliche Überschreitung von Informationen außerhalb Ihrer organization oder Datenlecks durch Benutzer mit böswilliger Absicht umfassen können.
  • Erkenntnisse zum Datendiebstahl: Für ausscheidende Benutzer oder Benutzer mit gelöschten Microsoft Entra Konten, die riskante Weitergabe von Informationen außerhalb Ihrer organization oder Datendiebstahl durch Benutzer mit böswilliger Absicht umfassen können.
  • Wichtigste Exfiltrationserkenntnisse: Für alle Benutzer, die daten außerhalb Ihrer organization freigeben können.

Insider-Risikomanagement- Übersichtsbericht.

Um weitere Informationen für einen Einblick anzuzeigen, wählen Sie Details anzeigen aus, um den Detailbereich für die Erkenntnis anzuzeigen. Der Detailbereich enthält die vollständigen Erkenntnisergebnisse, eine Empfehlung für Insider-Risikorichtlinien und Richtlinie erstellen , um Ihnen beim schnellen Erstellen der empfohlenen Richtlinie zu helfen. Wenn Sie Richtlinie erstellen auswählen , gelangen Sie zum Richtlinienworkflow und wählen automatisch die empfohlene Richtlinienvorlage aus, die sich auf die Erkenntnis bezieht. Wenn die Analyseeinblick beispielsweise für die Datendiebstahlaktivität gilt, ist die Richtlinienvorlage Datendiebstahl im Richtlinienworkflow für Sie vorab ausgewählt.

Bericht zu Insider-Risikomanagement-Analysedetails.

Fallberichte (Vorschau)

Fälle ermöglichen es Ihnen, Probleme, die durch in Ihren Richtlinien definierte Risikoindikatoren generiert werden, eingehend zu untersuchen und darauf zu reagieren. Fälle werden manuell anhand von Warnungen in Situationen erstellt, in denen weitere Maßnahmen erforderlich sind, um ein Complianceproblem für einen Benutzer zu beheben. Fallberichte bieten Trendinformationen für Fälle, die Ihnen helfen, die Art der Fälle, die aktuelle status von Fällen, Fälle nach Region oder Zuordnung und vieles mehr nachzuverfolgen. Sie können alle Fallberichte schnell nach Alle Fälle, Bestätigte Fälle und Gutartige Fälle filtern.

Berichttyp Bericht Beschreibung
Summary Erstellte Fälle Zeigt die Anzahl der Fälle an, die während des angegebenen Datumsbereichs generiert wurden.
Aktionsfälle Zeigt die Anzahl der Fälle mit Aktivität während des angegebenen Datumsbereichs an.
Demographien Top-Länder/Regionen mit Fällen Zeigt die Anzahl der Fälle an, die für Benutzer generiert wurden, basierend auf dem Land oder der Region, in dem sie sich befinden. Nicht angegeben bedeutet, dass ihr Land oder ihre Region nicht in Microsoft Entra ID angegeben ist.
Top-Abteilungen mit Fällen Zeigt die Anzahl der Fälle an, die für Benutzer basierend auf der Abteilung generiert wurden, in der sie sich befinden. Nicht angegeben bedeutet, dass ihr Land oder ihre Region nicht in Microsoft Entra ID angegeben ist.
Produktivität Fall status nach Zuweisung Zeigt die Anzahl der Fälle an, die bestimmten Administratoren zugewiesen sind, aufgeschlüsselt nach Warnungen status.
Durchschnittliche Tage mit aktiven status Zeigt die durchschnittliche Anzahl von Tagen an, für die Fälle während des angegebenen Datumsbereichs in einem aktiven status verbleiben.

Benutzeraktivitätsberichte

Benutzeraktivitätsberichte ermöglichen es Ihnen, potenziell riskante Aktivitäten (für bestimmte Benutzer und einen definierten Zeitraum) zu untersuchen, ohne diese Aktivitäten vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen zu müssen. In den meisten Insider-Risikomanagementszenarien sind Benutzer explizit in Richtlinien definiert, und sie verfügen möglicherweise über Richtlinienwarnungen (abhängig von auslösenden Ereignissen) und Risikobewertungen, die den Aktivitäten zugeordnet sind. In einigen Szenarien können Sie jedoch die Aktivitäten für Benutzer untersuchen, die nicht explizit in einer Richtlinie definiert sind. Diese Aktivitäten können für Benutzer gelten, die Sie einen Tipp zum Benutzer und potenziell riskante Aktivitäten erhalten haben, oder für Benutzer, die in der Regel keiner Insider-Risikomanagementrichtlinie zugewiesen werden müssen.

Nachdem Sie Indikatoren auf der Seite Einstellungen für das Insider-Risikomanagement konfiguriert haben, wird die Benutzeraktivität für potenziell riskante Aktivitäten erkannt, die den ausgewählten Indikatoren zugeordnet sind. Diese Konfiguration bedeutet, dass alle erkannten Aktivitäten für Benutzer zur Überprüfung verfügbar sind, unabhängig davon, ob ein auslösendes Ereignis vorliegt oder eine Warnung erstellt wird. Berichte werden auf Benutzerbasis erstellt und können alle Aktivitäten für einen benutzerdefinierten 90-Tage-Zeitraum enthalten. Mehrere Berichte für denselben Benutzer werden nicht unterstützt.

Nach der Untersuchung potenziell riskanter Aktivitäten können Ermittler die Aktivitäten einzelner Benutzer als gutartig verwerfen. Sie können auch einen Link zum Bericht mit anderen Ermittlern teilen oder per E-Mail senden oder Benutzer (vorübergehend oder explizit) einer Insider-Risikomanagementrichtlinie zuweisen. Benutzer müssen der Rollengruppe Insider-Risikomanagement-Ermittler zugewiesen sein, um die Seite Benutzeraktivitätsberichte anzeigen zu können.

Übersicht über den Bericht über Benutzeraktivitäten im Insider-Risikomanagement.

Erstellen eines Benutzeraktivitätsberichts

Führen Sie die folgenden Schritte aus, um einen Benutzeraktivitätsbericht zu erstellen:

  1. Navigieren Sie zu Insider-Risikomanagement-Berichte>>Benutzeraktivität.
  2. Wählen Sie Benutzeraktivitätsbericht erstellen aus.
  3. Wählen Sie ein Datum für das Startdatum aus.
  4. Wählen Sie ein Datum für das Enddatum aus.
  5. Suchen Sie im Feld Benutzer nach einem oder mehreren Benutzern nach Name oder Benutzerprinzipalname.
  6. Wählen Sie Bericht erstellen aus.

Benutzeraktivitätsdaten stehen ungefähr 48 Stunden nach dem Auftreten der Aktivität für berichte zur Verfügung. Um beispielsweise Benutzeraktivitätsdaten für den 1. Dezember zu überprüfen, müssen Sie sicherstellen, dass mindestens 48 Stunden verstrichen sind, bevor Sie den Bericht erstellen (Sie würden frühestens am 3. Dezember einen Bericht erstellen).

Neue Berichte dauern in der Regel bis zu 10 Stunden, bevor sie zur Überprüfung bereit sind. Wenn der Bericht bereit ist, wird berichtbereit in der Spalte Status auf der Seite Benutzeraktivitätsbericht angezeigt.

Anzeigen eines Benutzeraktivitätsberichts

Wählen Sie den Benutzer aus, um den detaillierten Bericht anzuzeigen:

Insider-Risikomanagement- Benutzeraktivitätsbericht

Der Benutzeraktivitätsbericht für den ausgewählten Benutzer enthält die Registerkarten Benutzeraktivität, Aktivitäts-Explorer und Forensische Beweise :

  • Benutzeraktivität: Verwenden Sie diese Diagrammansicht, um potenziell riskante Aktivitäten zu untersuchen und potenziell verwandte Aktivitäten anzuzeigen, die in Sequenzen auftreten. Diese Registerkarte ist so strukturiert, dass eine schnelle Überprüfung eines Falls ermöglicht wird, einschließlich einer verlaufsbezogenen Zeitleiste aller Aktivitäten, Aktivitätsdetails, der aktuellen Risikobewertung für den Benutzer im Fall, der Abfolge von Risikoereignissen und Filtersteuerelementen, die bei Ermittlungsbemühungen helfen. Weitere Informationen finden Sie unter Benutzeraktivität.
  • Aktivitäts-Explorer: Diese Registerkarte bietet Risikoermittlern ein umfassendes Analysetool, das detaillierte Informationen zu Aktivitäten bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter riskanter Aktivitäten überprüfen und alle potenziell riskanten Aktivitäten im Zusammenhang mit Warnungen identifizieren und filtern. Weitere Informationen finden Sie unter Aktivitäts-Explorer.
  • Forensische Beweise: Auf dieser Registerkarte können Risikoermittler visuelle Erfassungen im Zusammenhang mit Risikoaktivitäten überprüfen, die in Fällen der erkennung von forensischen Beweisen enthalten sind.