Beschreiben des Insider-Risikomanagements in Microsoft Purview

  • 6 Minuten

Microsoft Purview Insider Risk Management ist eine Lösung, die dazu beiträgt, die internen Risiken zu minimieren, indem sie eine Organisation in die Lage versetzt, riskante und bösartige Aktivitäten zu erkennen, zu untersuchen und darauf zu reagieren.

Management und Minimierung von Risiken in einer Organisation beginnen mit dem Verständnis der Arten von Risiken, die in der modernen Arbeitswelt vorkommen. Einige Risiken werden durch externe Ereignisse und Faktoren verursacht und entziehen sich der direkten Kontrolle durch eine Organisation. Andere Risiken werden durch interne Ereignisse und Mitarbeiteraktivitäten verursacht, die unterbunden und vermieden werden können. Beispiele hierfür sind:

  • Lecks bei vertraulichen Daten und Datenabfluss
  • Vertraulichkeitsverstöße
  • Diebstahl von geistigem Eigentum
  • Betrug
  • Insiderhandel
  • Verstöße gegen gesetzliche Bestimmungen

Das Insider-Risikomanagement basiert auf folgenden Prinzipien:

  • Transparenz: Schaffen eines Gleichgewichts zwischen Datenschutz und Organisationsrisiko mittels einer Architektur zum Datenschutz durch Technikgestaltung
  • Konfigurierbarkeit: konfigurierbare Richtlinien, die auf Branche, Region und Unternehmensgruppen basieren
  • Integriert: Integrierter Workflow über alle Microsoft Purview-Lösungen hinweg.
  • Umsetzbarkeit: Bereitstellung von Erkenntnissen, um Benutzerbenachrichtigungen sowie Daten- und Benutzeruntersuchungen zu ermöglichen

Workflow beim Insider-Risikomanagement

Insider-Risikomanagement hilft Organisationen dabei, interne Risiken zu identifizieren, zu untersuchen und zu beseitigen. Mit fokussierten Richtlinienvorlagen, umfassender Meldung von Aktivitäten im Microsoft 365-System und einem flexiblen Workflow können Organisationen von umsetzbaren Erkenntnissen profitieren, um riskante Verhaltensweisen schnell aufzuspüren und zu unterbinden. Die Ermittlung und Behebung interner Risikoaktivitäten und Complianceprobleme mithilfe von Insider-Risikomanagement in Microsoft Purview wird durch folgenden Workflow erreicht:

Ein Diagramm des Arbeitsablaufs beim Management von Insider-Risiken.

  • Richtlinien: Richtlinien für das Insider-Risikomanagement werden mithilfe vordefinierter Vorlagen und Richtlinienbedingungen formuliert, die bestimmen, welche Risikoindikatoren in Microsoft 365-Featurebereichen überprüft werden. Diese Bedingungen berücksichtigen, wie Indikatoren für Warnungen verwendet werden, welche Benutzer in die Richtlinie einbezogen werden, welche Dienste priorisiert werden und wie lange die Überwachung dauert.

  • Warnungen – Warnungen werden automatisch durch Risikoindikatoren generiert, die Richtlinienbedingungen entsprechen und werden auf der Warnungsseite angezeigt, die eine Schnellansicht über alle Warnungen bietet, die eine Überprüfung benötigen, offene Warnungen im Zeitverlauf und Warnungsstatistiken für die Organisation. DLP-Warnungen können auch im Microsoft Defender-Portal angezeigt werden, in dem sie automatisch zu Vorfällen kombiniert werden, die einen umfassenden Einblick in potenzielle Richtlinienverstöße und erweiterte Tools zur Untersuchung und Wartung bieten.

  • Selektierung: Bei neuen Aktivitäten, die untersucht werden müssen, werden automatisch Warnungen generiert, denen der Status Prüfung erforderlich zugewiesen wird. Prüfer in der Organisation können diese Warnungen schnell ausmachen und durch diese zwecks Auswertung und Selektierung scrollen. Warnungen werden behoben, indem ein neuer Fall angelegt, die Warnung einem vorhandenen Fall zugewiesen oder die Warnung verworfen wird. Im Rahmen des Selektierungsprozesses können Prüfer die Details der Warnung für die Richtlinienübereinstimmung, die mit der Übereinstimmung verbundenen Benutzeraktivitäten, den Schweregrad der Warnung und die Benutzerprofilinformationen einsehen.

  • Untersuchung: Fälle werden für Warnungen erstellt, die eine genauere Überprüfung und Untersuchung der Details und Umstände der Richtlinienübereinstimmung erfordern. Die Seite „Fälle“ bietet eine Übersicht über alle aktiven Fälle, offenen Fälle im Zeitverlauf und Fallstatistiken für die Organisation. Wenn ein Fall ausgewählt wird, wird er zur Untersuchung und Überprüfung geöffnet. In diesem Bereich werden Risikoaktivitäten, Richtlinienbedingungen, Warnungs- und Benutzerdetails für Prüfer in einer integrierten Übersicht zusammengeführt. Die wichtigsten Untersuchungstools in diesem Bereich sind:

    • Benutzeraktivität: Die Benutzerrisikoaktivität wird automatisch in einem interaktiven Diagramm angezeigt, das Aktivitäten im Zeitverlauf und nach Risikostufe für aktuelle oder vergangene Risikoaktivitäten darstellt. Prüfer können den gesamten Risikoverlauf für eine*n Benutzer*in schnell filtern und anzeigen und weitere Details zu bestimmten Aktivitäten durchführen.
    • Inhalts-Explorer: Alle Datendateien und E-Mail-Nachrichten, die mit Alarmaktivitäten verbunden sind, werden automatisch erfasst und im Inhalts-Explorer angezeigt. Prüfer können Dateien und Nachrichten nach Datenquelle, Dateityp, Tags, Unterhaltung und vielen weiteren Attributen filtern und anzeigen.
    • Fallnotizen: Prüfer können im Abschnitt „Fallnotizen“ Anmerkungen zu einem Fall machen. Diese Liste fasst alle Anmerkungen in einer zentralen Ansicht zusammen und enthält Informationen zum Prüfer und zum Datum der Übermittlung.

  • Maßnahmen: Nachdem Fälle untersucht wurden, können Prüfer schnell handeln, um den Fall zu lösen oder mit anderen Risikoverantwortlichen in der Organisation zusammenzuarbeiten. Maßnahmen können so einfach sein wie das Senden einer Benachrichtigung, wenn Mitarbeiter versehentlich oder unabsichtlich gegen Richtlinienbedingungen verstoßen. In schwerwiegenderen Fällen müssen Prüfer möglicherweise die Informationen des Insider-Risikomanagement-Falls mit anderen Prüfern in der Organisation besprechen. Das Eskalieren eines Falles zur Untersuchung ermöglicht die Übertragung der Daten und der Verwaltung des Falles an eDiscovery in Microsoft Purview.

Insider-Risikomanagement kann Ihnen helfen, interne Risiken in Ihrer Organisation in mehreren gängigen Szenarien zu erkennen, zu untersuchen und Maßnahmen zu ergreifen. Zu diesen Szenarien gehören u. a. Datendiebstahl durch Mitarbeiter, die absichtliche oder unabsichtliche Weitergabe vertraulicher Informationen oder beleidigendes Verhalten.

Integration mit Microsoft Security Copilot

Microsoft Purview Insider-Risiko Management unterstützt die Integration mit Microsoft Security Copilot über die eigenständigen und eingebetteten Funktionen.

Um die Copilot-Integration nutzen zu können, müssen Organisationen in Copilot eingebunden sein, Copilot für den Zugriff auf Daten von Microsoft 365-Diensten aktiviert haben und die Benutzer müssen über die entsprechenden Rollenberechtigungen verfügen.

Die Microsoft Purview-Funktionen, die Sie in der eigenständigen Ansicht anzeigen können, indem Sie das Eingabeaufforderungssymbol auswählen und alle Funktionen auswählen, sind integrierte Eingabeaufforderungen, die Sie verwenden können. Sie können jedoch auch eigene Eingabeaufforderungen basierend auf den unterstützten Funktionen eingeben.

Screenshot der Microsoft Purview-Funktionen, die Microsoft Security Copilot zur Verfügung stehen.

In der eingebetteten Erfahrung unterstützt Copilot in Microsoft Purview Insider Risk Management die Zusammenfassung von Warnmeldungen. Um in Microsoft Purview Insider Risk Management auf Copilot zuzugreifen, navigieren Sie zur Warnungswarteschlange, um die Warnung auszuwählen, die Sie überprüfen möchten. Informationen zum Warnhinweis und zur Option zum Zusammenfassen der Warnung werden angezeigt. Sie wählen "Zusammenfassung" aus, damit Copilot die Zusammenfassung zu den Warnhinweisen generiert.