Erste Schritte mit dem Insider-Risikomanagement

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Verwenden Sie Insider-Risikomanagementrichtlinien, um riskante Aktivitäten und Verwaltungstools zu identifizieren, um auf Risikowarnungen in Ihrem organization zu reagieren. Führen Sie die folgenden Schritte aus, um die Voraussetzungen einzurichten und eine Insider-Risikomanagementrichtlinie zu konfigurieren.

Wichtig

Die Insider-Risikomanagementlösung bietet eine Option auf Mandantenebene, mit der Kunden die interne Governance auf Benutzerebene erleichtern können. Administratoren auf Mandantenebene können Berechtigungen einrichten, um Mitgliedern Ihrer organization Zugriff auf diese Lösung zu gewähren, und Datenconnectors im Microsoft Purview-Complianceportal einrichten, um relevante Daten zu importieren, um die Identifizierung potenziell riskanter Aktivitäten auf Benutzerebene zu unterstützen. Kunden erkennen an, dass Erkenntnisse im Zusammenhang mit dem Verhalten, Charakter oder leistung eines einzelnen Benutzers, die sich auf die Beschäftigung beziehen, vom Administrator berechnet und anderen im organization zur Verfügung gestellt werden können. Darüber hinaus erkennen Kunden an, dass sie ihre eigene vollständige Untersuchung in Bezug auf das Verhalten, den Charakter oder die Leistung des einzelnen Benutzers durchführen müssen, die wesentlich mit der Beschäftigung zusammenhängen, und nicht nur auf Erkenntnisse des Insider-Risikomanagementdiensts angewiesen sind. Kunden sind allein verantwortlich für die Nutzung des Insider-Risikomanagementdiensts und aller zugehörigen Features oder Dienste in Übereinstimmung mit allen anwendbaren Gesetzen, einschließlich Der Gesetze zur Identifizierung einzelner Benutzer und aller Abhilfemaßnahmen.

Weitere Informationen dazu, wie Insider-Risikorichtlinien Ihnen beim Verwalten von Risiken in Ihrem organization helfen können, finden Sie unter Informationen zum Insider-Risikomanagement.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Abonnements und Lizenzierung

Bevor Sie mit dem Insider-Risikomanagement beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Für den Zugriff auf und die Verwendung des Insider-Risikomanagements müssen Die Ministratoren überprüfen, ob ihre organization über ein unterstütztes Abonnement verfügt und den Benutzern die entsprechenden Lizenzen zugewiesen sind. Weitere Informationen zu Abonnements und Lizenzierung finden Sie unter Abonnementanforderungen für das Insider-Risikomanagement.

Wichtig

Insider-Risikomanagement ist derzeit in Mandanten verfügbar, die in geografischen Regionen und Ländern gehostet werden, die von Azure-Dienstabhängigkeiten unterstützt werden. Informationen dazu, ob das Insider-Risikomanagement für Ihre organization unterstützt wird, finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land/Region.

Wenn Sie noch keinen Microsoft 365 Enterprise E5-Plan haben und das Insider-Risikomanagement ausprobieren möchten, können Sie Ihrem vorhandenen Abonnement Microsoft 365 hinzufügen oder sich für eine Testversion von Microsoft 365 Enterprise E5 registrieren.

Empfohlene Maßnahmen können Ihrem organization beim Insider-Risikomanagement helfen. Empfohlene Aktionen, die auf der Seite Übersicht enthalten sind, führen Sie durch die Schritte zum Konfigurieren und Bereitstellen von Richtlinien.

Empfohlene Aktionen des Insider-Risikomanagements.

Die folgenden Empfehlungen sind verfügbar, um Ihnen den Einstieg in die Konfiguration des Insider-Risikomanagements zu erleichtern oder diese zu maximieren:

  • Überwachung aktivieren: Wenn diese Option aktiviert ist, werden Benutzer- und Administratoraktivitäten in Ihrem organization im Microsoft 365-Überwachungsprotokoll aufgezeichnet. Insider-Risikorichtlinien und Analysescans verwenden dieses Protokoll, um Risikoaktivitäten zu erkennen.
  • Berechtigungen für die Verwendung des Insider-Risikomanagements erhalten: Die Zugriffsebene auf Insider-Risikomanagementfeatures hängt davon ab, welcher Rollengruppe Sie zugewiesen wurden. Um auf empfohlene Aktionen zugreifen und diese konfigurieren zu können, müssen Benutzer den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren zugewiesen werden.
  • Auswählen von Richtlinienindikatoren: Indikatoren sind im Wesentlichen die Risikomanagementaktivitäten, die Sie erkennen und untersuchen möchten. Sie können Indikatoren auswählen, um Aktivitäten an mehreren Microsoft 365-Standorten und -Diensten zu erkennen.
  • Überprüfung auf potenzielle Insiderrisiken: Führen Sie eine Analyseüberprüfung durch, um potenzielle Insiderrisiken zu ermitteln, die in Ihrer Organisation auftreten. Überprüfen Sie nach der Auswertung der Ergebnisse die empfohlenen Richtlinien, die eingerichtet werden sollen.
  • Anderen Berechtigungen zuweisen: Wenn zusätzliche Teammitglieder für die Verwaltung von Insider-Risikofeatures verantwortlich sind, müssen Sie diese den entsprechenden Rollengruppen zuweisen.
  • Erstellen Ihrer ersten Richtlinie: Um Warnungen zu potenziell riskanten Aktivitäten zu erhalten, müssen Sie Richtlinien basierend auf vordefinierten Vorlagen einrichten, die die Benutzeraktivitäten definieren, die Sie erkennen und untersuchen möchten.

Jede empfohlene Aktion, die in dieser Benutzeroberfläche enthalten ist, weist vier Attribute auf:

  • Aktion: Name und Beschreibung der empfohlenen Aktion.
  • Status: Status der empfohlenen Aktion. Die Werte sind Nicht gestartet, In Bearbeitung, Für später gespeichert oder Abgeschlossen.
  • Erforderlich oder optional: Gibt an, ob die empfohlene Aktion erforderlich oder optional ist, damit Insider-Risikomanagementfeatures wie erwartet funktionieren.
  • Geschätzte Zeit bis zum Abschließen: Geschätzte Zeit zum Abschließen der empfohlenen Aktion in Minuten.

Wählen Sie eine Empfehlung aus der Liste aus, um mit der Konfiguration des Insider-Risikomanagements zu beginnen. Jede empfohlene Aktion führt Sie durch die erforderliche Aktion für die Empfehlung, einschließlich aller Anforderungen, der zu erwartenden Informationen und der Auswirkungen der Konfiguration des Features in Ihrem organization. Jede empfohlene Aktion wird bei der Konfiguration automatisch als abgeschlossen markiert, oder Sie müssen die Aktion bei der Konfiguration manuell als abgeschlossen auswählen.

Schritt 1 (erforderlich): Berechtigungen für Insider-Risikomanagement aktivieren

Wichtig

Nach dem Konfigurieren Ihrer Rollengruppen kann es bis zu 30 Minuten dauern, bis die Rollengruppenberechtigungen für zugewiesene Benutzer in Ihrem organization gelten.

Es gibt sechs Rollengruppen, die zum Konfigurieren von Insider-Risikomanagementfeatures verwendet werden. Um das Insider-Risikomanagement als Menüoption in Microsoft Purview verfügbar zu machen und mit diesen Konfigurationsschritten fortzufahren, müssen Sie einer der folgenden Rollen oder Rollengruppen zugewiesen sein:

Je nachdem, wie Sie Richtlinien und Warnungen für das Insider-Risikomanagement verwalten möchten, müssen Sie Benutzer bestimmten Rollengruppen zuweisen, um verschiedene Sätze von Insider-Risikomanagementfunktionen zu verwalten. Sie können Benutzer mit unterschiedlichen Compliance-Verantwortlichkeiten bestimmten Rollengruppen zuweisen, um verschiedene Bereiche von Insider-Risikomanagementfeatures zu verwalten. Oder Sie können alle Benutzerkonten für designierte Administratoren, Analysten, Ermittler und Zuschauer der Rollengruppe Insider-Risikomanagement zuweisen. Verwenden Sie eine einzelne Rollengruppe oder mehrere Rollengruppen, um Ihre Complianceverwaltungsanforderungen optimal zu erfüllen.

Wählen Sie aus den folgenden Rollengruppenoptionen und Lösungsaktionen aus, wenn Sie mit insider-Risikomanagement arbeiten:

Aktionen Insider-Risikomanagement Insider-Risikomanagement-Administratoren Insider-Risikomanagement-Analysten Insider-Risikomanagement-Prüfer Insider-Risikomanagement-Prüfer Genehmigende Personen des Insider-Risikomanagements
Konfigurieren von Richtlinien und Einstellungen Ja Ja Nein Nein Nein Nein
Access Analytics Insights Ja Ja Ja Nein Nein Nein
Zugreifen & Untersuchen von Warnungen Ja Nein Ja Ja Nein Nein
Access & Untersuchen von Fällen Ja Nein Ja Ja Nein Nein
Zugreifen & Anzeigen des inhaltsbezogenen Explorer Ja Nein Nein Ja Nein Nein
Konfigurieren von Hinweisvorlagen Ja Nein Ja Ja Nein Nein
Anzeigen & Exportieren von Überwachungsprotokollen Ja Nein Nein Nein Ja Nein
Zugreifen & Anzeigen forensischer Beweisaufnahmen Ja Nein Nein Ja Nein Nein
Erstellen einer Forensik-Beweisaufnahmeanforderung Ja Ja Nein Nein Nein Nein
Genehmigen von Forensik-Beweiserfassungsanforderungen Ja Nein Nein Nein Nein Ja
Konfigurieren des adaptiven Schutzes Ja Ja Nein Nein Nein Nein
Registerkarte "Benutzer mit adaptivem Schutz anzeigen" Ja Nein Ja Ja Nein Nein

Wichtig

Stellen Sie sicher, dass immer mindestens ein Benutzer in den integrierten Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren vorhanden ist (je nach ausgewählter Option), damit Ihre Konfiguration des Insider-Risikomanagements nicht in ein Szenario vom Typ "Kein Administrator" eintritt, wenn bestimmte Benutzer Ihre organization verlassen.

Mitglieder der folgenden Rollen können Benutzer Rollengruppen für insider-Risikomanagement zuweisen und verfügen über die gleichen Lösungsberechtigungen, die in der Rollengruppe Insider-Risikomanagement-Administratoren enthalten sind:

  • globaler Microsoft Entra-ID-Administrator
  • Microsoft Entra ID-Complianceadministrator
  • Microsoft Purview-Organisationsverwaltung
  • Microsoft Purview-Complianceadministrator

Hinzufügen von Benutzern zur Rollengruppe "Insider-Risikomanagement"

Führen Sie die folgenden Schritte aus, um dieser Rollengruppe Benutzer hinzuzufügen:

  1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization bei Microsoft Purview an.
  2. Wählen Sie im linken Navigationsbereich Berechtigungen und in der Liste der Microsoft Purview-Lösungendie Option Rollen aus.
  3. Wählen Sie die Rollengruppe Insider-Risikomanagement und dann Bearbeiten aus.
  4. Wählen Sie die Registerkarte Benutzer auswählen aus, und aktivieren Sie dann das Kontrollkästchen für alle Benutzer, die Sie der Rollengruppe hinzufügen möchten.
  5. Wählen Sie Auswählen und dann Weiter aus.
  6. Wählen Sie Speichern aus, um die Benutzer der Rollengruppe hinzuzufügen. Wählen Sie Fertig aus, um die Schritte auszuführen.

Schritt 2 (erforderlich): Aktivieren des Microsoft 365-Überwachungsprotokolls

Das Insider-Risikomanagement verwendet Microsoft 365-Überwachungsprotokolle für Benutzererkenntnisse und Risikomanagementaktivitäten, die in Richtlinien und Analyseeinblicken identifiziert werden. Die Microsoft 365-Überwachungsprotokolle sind eine Zusammenfassung aller Aktivitäten innerhalb Ihres organization und Insider-Risikomanagementrichtlinien können diese Aktivitäten zum Generieren von Richtlinienerkenntnissen verwenden.

Die Überwachung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Einige Organisationen haben die Überwachung möglicherweise aus bestimmten Gründen deaktiviert. Wenn die Überwachung für Ihre Organisation deaktiviert ist, kann dies daran liegen, dass ein anderer Administrator sie deaktiviert hat. Es wird empfohlen, zu bestätigen, dass es in Ordnung ist, die Überwachung wieder zu aktivieren, wenn Sie diesen Schritt abschließen.

Schrittweise Anleitungen zum Aktivieren der Überwachung finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollsuche. Daraufhin teilt Ihnen eine Meldung mit, dass das Überwachungsprotokoll vorbereitet wird und Sie in ein paar Stunden nach Abschluss der Vorbereitung eine Suche durchführen können. Sie müssen diese Aktion nur einmal ausführen. Weitere Informationen zur Verwendung des Microsoft 365-Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls.

Schritt 3 (optional): Aktivieren und Anzeigen von Erkenntnissen zur Insider-Risikoanalyse

Wenn Sie Insider-Risikomanagementanalysen aktivieren, haben Sie folgende Möglichkeiten:

  • Suchen Sie vor dem Erstellen von Richtlinien nach potenziellen Insiderrisiken. Sie können eine Bewertung potenzieller Insiderrisiken in Ihrem organization durchführen, ohne Insider-Risikorichtlinien zu konfigurieren. Diese Auswertung kann Ihnen dabei helfen, organization potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang der Richtlinien für das Insider-Risikomanagement zu bestimmen, die Sie möglicherweise konfigurieren möchten. Diese Auswertung kann Ihnen auch dabei helfen, den Bedarf an zusätzlicher Lizenzierung oder zukünftiger Optimierung vorhandener Richtlinien zu ermitteln. Es kann bis zu 48 Stunden dauern, bis Insights aus den Scanergebnissen aus Analytics als Berichte zur Überprüfung verfügbar sind. Weitere Informationen zu Analyseerkenntnissen finden Sie unter Insider-Risikomanagementeinstellungen: Analysen , und sehen Sie sich das Video insider risk management analytics an, um zu verstehen, wie Analysen die Identifizierung potenzieller Insiderrisiken beschleunigen und Ihnen helfen können, schnell Maßnahmen zu ergreifen.
  • Erhalten Sie Echtzeitempfehlungen für Indikatorschwellenwerte. Das manuelle Optimieren von Richtlinien zur Verringerung von "Rauschen" kann eine sehr zeitaufwendige Erfahrung sein, bei der Sie viele Test- und Fehlerverfahren durchführen müssen, um die gewünschte Konfiguration für Ihre Richtlinien zu bestimmen. Wenn die Analyse aktiviert ist, kann das Insider-Risikomanagement Echtzeitempfehlungen für Indikatorschwellenwerte bereitstellen. Sie können die bereitgestellten Empfehlungen auch manuell anpassen und in Echtzeit sehen, wie viele Benutzer basierend auf den von Ihnen vorgenommenen Änderungen in den Geltungsbereich der Richtlinie aufgenommen werden. Weitere Informationen zu Schwellenwertempfehlungen für Echtzeitindikatoren

Hinweis

Um Insider-Risikoanalysen zu aktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.

So aktivieren Sie Insider-Risikoanalysen:

  1. Navigieren Sie in Microsoft Purview zu Insider-Risikomanagement.
  2. Wählen Sie in Ihrem organization Karte auf der Registerkarte Übersicht über insider-Risikomanagement die Option Überprüfung ausführen aus. Mit dieser Aktion wird die Analyseüberprüfung für Ihre organization aktiviert. Sie können die Überprüfung auch in Ihrem organization aktivieren, indem Sie zuAnalyse der Insider-Risikoeinstellungen> navigieren und die Benutzeraktivität Ihres Mandanten überprüfen aktivieren, um potenzielle Insider-Risiken zu identifizieren.
  3. Wählen Sie im Bereich Analysedetails die Option Überprüfung ausführen aus, um die Überprüfung für Ihre organization zu starten. Es kann bis zu 48 Stunden dauern, bis Insights aus den Scanergebnissen aus Analytics als Berichte zur Überprüfung verfügbar sind.

Nachdem Sie die Analyseerkenntnisse überprüft haben, wählen Sie die Insider-Risikorichtlinien aus, und konfigurieren Sie die zugehörigen Voraussetzungen, die der Strategie zur Entschärfung von Insider-Risiken Ihrer organization am besten entsprechen.

Die meisten Richtlinien für das Insider-Risikomanagement verfügen über Voraussetzungen, die für Richtlinienindikatoren konfiguriert werden müssen, um relevante Aktivitätswarnungen zu generieren. Konfigurieren Sie die entsprechenden Voraussetzungen in Abhängigkeit von den Richtlinien, die Sie für Ihre organization konfigurieren möchten.

Konfigurieren des Insider-Risikoindikatorconnectors (Vorschau)

Sie können das Insider-Risikomanagement erweitern, indem Sie Erkennungen für Workloads importieren, die nicht von Microsoft (Drittanbietern) sind. Beispielsweise können Sie Ihre Erkennungen auf Salesforce- und Dropbox-Aktivitäten erweitern und diese zusammen mit den integrierten Erkennungen verwenden, die von der Insider-Risikomanagementlösung bereitgestellt werden, die sich auf Microsoft-Dienste wie SharePoint Online und Exchange Online konzentriert.

Um Ihre eigenen Erkennungen in die Insider-Risikomanagementlösung zu integrieren, importieren Sie vorverarbeitete, aggregierte Erkennungen aus SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel oder Splunk. Hierzu importieren Sie eine Beispieldatei in den Connector-Assistenten für Insider-Risikoindikatoren. Der Connector-Assistent analysiert die Beispieldatei und konfiguriert das erforderliche Schema.

Hinweis

Derzeit können Sie keine "unformatierten" Erkennungssignale in das Insider-Risikomanagement importieren. Sie können nur vorverarbeitete Aggregationen als Datei importieren.

Sie können einen benutzerdefinierten Indikator wie die folgenden Verwenden:

  • Ein Trigger, der verwendet wird, um einen Benutzer in den Bereich einer Richtlinie zu bringen.
  • Ein Richtlinienindikator, der verwendet wird, um den Benutzer für das Risiko zu ermitteln.

Im Artikel Zum Connector für Insider-Risikoindikatoren finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren des Insider-Risikoindikatoren-Connectors für Ihre organization. Nachdem Sie den Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.

Konfigurieren des Microsoft 365 HR-Connectors

Insider-Risikomanagement unterstützt den Import von Benutzer- und Protokolldaten, die von Risikomanagement- und Personalplattformen von Drittanbietern importiert wurden. Mit dem Microsoft 365 Human Resources (HR)-Datenconnector können Sie Personaldaten aus CSV-Dateien abrufen, einschließlich Datumsangaben für Die Beendigung des Benutzers, letzte Anstellungsdaten, Benachrichtigungen zu Leistungsverbesserungsplänen, Leistungsüberprüfungsaktionen und Status auf Auftragsebene. Diese Daten helfen bei der Entwicklung von Warnindikatoren für Insider-Risikomanagement-Richtlinien und sind ein wichtiger Bestandteil bei der Konfiguration einer vollständigen Risikomanagement-Abdeckung in Ihrer Organisation. Wenn Sie mehr als einen HR-Connector für Ihre organization konfigurieren, ruft das Insider-Risikomanagement automatisch Indikatoren aus allen HR-Connectors ab.

Der Microsoft 365 HR-Connector ist erforderlich, wenn die folgenden Richtlinienvorlagen verwendet werden:

  • Datenlecks durch riskante Benutzer
  • Diebstahl von Benutzerdaten
  • Missbrauch von Patientendaten
  • Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
  • Verstöße gegen Sicherheitsrichtlinien durch riskante Benutzer

Eine schrittweise Anleitung zum Konfigurieren des Microsoft 365 HR-Connectors für Ihre organization finden Sie im Artikel Einrichten eines Connectors zum Importieren von PERSONALdaten. Nachdem Sie den HR-Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.

Konfigurieren eines gesundheitsspezifischen Datenconnectors

Insider-Risikomanagement unterstützt den Import von Benutzer- und Protokolldaten, die von Drittanbietern auf bestehende systeme der elektronischen Krankenakte (EMR) importiert wurden. Mit den Microsoft Healthcare- und Epic-Datenconnectors können Sie Aktivitätsdaten aus Ihrem EMR-System mit CSV-Dateien abrufen, einschließlich unsachgemäßem Zugriff auf Patientendaten, verdächtigen Volumenaktivitäten sowie Bearbeitungs- und Exportaktivitäten. Diese Daten helfen bei der Entwicklung von Warnindikatoren für Insider-Risikomanagement-Richtlinien und sind ein wichtiger Bestandteil bei der Konfiguration einer vollständigen Risikomanagement-Abdeckung in Ihrer Organisation.

Wenn Sie mehr als einen Healthcare- oder Epic-Connector für Ihre organization konfigurieren, unterstützt das Insider-Risikomanagement automatisch Ereignis- und Aktivitätssignale von allen Healthcare- und Epic-Connectors. Der Microsoft 365 Healthcare- oder Epic-Connector ist erforderlich, wenn die folgenden Richtlinienvorlagen verwendet werden:

  • Missbrauch von Patientendaten

Im Artikel Einrichten eines Connectors zum Importieren von Gesundheitsdaten oder Einrichten eines Connectors zum Importieren von Epic EGA-Daten finden Sie eine schritt-für-Schritt-Anleitung zum Konfigurieren eines gesundheitsspezifischen Connectors für Ihre organization. Nachdem Sie einen Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.

Konfigurieren von Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust)

Insider-Risikomanagement unterstützt die Verwendung von DLP-Richtlinien, um die absichtliche oder versehentliche Offenlegung vertraulicher Informationen für unerwünschte Parteien für DLP-Warnungen mit hohem Schweregrad zu identifizieren. Wenn Sie eine Insider-Risikomanagementrichtlinie mit einer der Vorlagen für Datenlecks konfigurieren, können Sie der Richtlinie für diese Arten von Warnungen eine bestimmte DLP-Richtlinie zuweisen.

Richtlinien für Datenverlust helfen dabei, Benutzer zu identifizieren, um die Risikobewertung im Insider-Risikomanagement für DLP-Warnungen mit hohem Schweregrad für vertrauliche Informationen zu aktivieren, und sind ein wichtiger Bestandteil der Konfiguration der vollständigen Risikomanagementabdeckung in Ihrem organization. Weitere Informationen zum Insider-Risikomanagement und zur Integration und Planung von DLP-Richtlinien finden Sie unter Insider-Risikomanagementrichtlinien.

Wichtig

Stellen Sie sicher, dass Sie Folgendes abgeschlossen haben:

  • Sie verstehen und konfigurieren die benutzerinternen Benutzer in den DLP- und Insider-Risikomanagementrichtlinien, um die erwartete Richtlinienabdeckung zu erzeugen.
  • Die Einstellung Incidentberichte in der DLP-Richtlinie für insider-Risikomanagement, die mit diesen Vorlagen verwendet wird, ist für Warnungen mit hohem Schweregrad konfiguriert. Insider-Risikomanagementwarnungen werden nicht aus DLP-Richtlinien generiert, wobei das Feld "Incidentberichte " auf "Niedrig " oder " Mittel" festgelegt ist.

Eine DLP-Richtlinie ist optional, wenn die folgenden Richtlinienvorlagen verwendet werden:

  • Datenlecks
  • Datenlecks durch prioritäre Benutzer

Im Artikel Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust finden Sie eine schrittweise Anleitung zum Konfigurieren von DLP-Richtlinien für Ihre organization. Nachdem Sie eine DLP-Richtlinie konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.

Hinweis

Endpunkt-DLP unterstützt jetzt virtualisierte Umgebungen, was bedeutet, dass die Insider-Risikomanagementlösung virtualisierte Umgebungen über Endpunkt-DLP unterstützt. Weitere Informationen zur Unterstützung virtualisierter Umgebungen in Endpunkt-DLP

Konfigurieren der Freigabe von Benutzerrisikoschweregraden mit Microsoft Defender- und DLP-Warnungen

Sie können Die Schweregrade des Benutzerrisikos aus dem Insider-Risikomanagement (Vorschau) freigeben, um Microsoft Defender- und DLP-Warnungen einen eindeutigen Benutzerkontext zu bieten. Insider-Risikomanagement analysiert Benutzeraktivitäten über einen Zeitraum von 90 bis 120 Tagen und sucht nach anomalem Verhalten in diesem Zeitraum. Durch das Hinzufügen dieser Daten zu Microsoft Defender- und DLP-Warnungen werden die in diesen Lösungen verfügbaren Daten verbessert, damit Analysten Warnungen priorisieren können. Weitere Informationen zum Freigeben von Schweregraden von Benutzerrisiken mit Microsoft Defender- und DLP-Warnungen

Konfigurieren von Prioritätsbenutzergruppen

Das Insider-Risikomanagement umfasst Unterstützung für die Zuweisung von Prioritätsbenutzergruppen zu Richtlinien, um eindeutige Risikoaktivitäten für Benutzer mit kritischen Positionen, hohem Daten- und Netzwerkzugriff oder einem früheren Verlauf des Risikoverhaltens zu identifizieren. Durch das Erstellen einer Prioritätsbenutzergruppe und das Zuweisen von Benutzern zur Gruppe können Richtlinien auf die besonderen Umstände, die von diesen Benutzern dargestellt werden, festgelegt werden.

Sie können eine Prioritätsbenutzergruppe erstellen und der Gruppe Benutzer zuweisen, damit Sie Richtlinien festlegen können, die auf die besonderen Umstände dieser identifizierten Benutzer zugeschnitten sind. Um den Risikobewertungs-Booster für Prioritätsbenutzergruppen zu aktivieren, wechseln Sie zur Seite Insider-Risikomanagementeinstellungen , und wählen Sie dann Richtlinienindikatoren und Risikobewertungs-Booster aus. Diese identifizierten Benutzer erhalten mit höherer Wahrscheinlichkeit Warnungen, sodass Analysten und Ermittler den Risikoschweregrad dieser Benutzer überprüfen und priorisieren können, um die Selektierung von Warnungen in Übereinstimmung mit den Risikorichtlinien und -standards Ihrer organization zu unterstützen.

Bei Verwendung der folgenden Richtlinienvorlagen ist eine Prioritätsbenutzergruppe erforderlich:

  • Verstöße gegen Sicherheitsrichtlinien durch prioritäre Benutzer
  • Datenlecks durch prioritäre Benutzer

Schritt-für-Schritt-Konfigurationsanleitungen finden Sie im Artikel Erste Schritte mit Den Einstellungen für das Insider-Risikomanagement .

Konfigurieren des Physischen Badging-Connectors (optional)

Insider-Risikomanagement unterstützt den Import von Benutzer- und Protokolldaten von physischen Steuerungs- und Zugriffsplattformen. Mit dem Connector für physische Badgings können Sie Zugriffsdaten aus JSON-Dateien abrufen, einschließlich Benutzer-IDs, Zugriffspunkt-IDs, Zugriffszeit und -datum sowie Zugriff status. Diese Daten helfen bei der Entwicklung von Warnindikatoren für Insider-Risikomanagement-Richtlinien und sind ein wichtiger Bestandteil bei der Konfiguration einer vollständigen Risikomanagement-Abdeckung in Ihrer Organisation. Wenn Sie mehr als einen Physischen Badging-Connector für Ihre organization konfigurieren, ruft das Insider-Risikomanagement automatisch Indikatoren von allen Physischen Badging-Connectors ab. Informationen aus dem Connector für physische Badgings ergänzen andere Insider-Risikosignale, wenn alle Richtlinienvorlagen für Insider-Risiken verwendet werden.

Wichtig

Damit Insider-Risikomanagementrichtlinien Signaldaten im Zusammenhang mit ausscheidenden und beendeten Benutzern mit Ereignisdaten von Ihren physischen Steuerungs- und Zugriffsplattformen verwenden und korrelieren können, müssen Sie auch den Microsoft 365 HR-Connector konfigurieren. Wenn Sie den Connector für physische Badgings aktivieren, ohne den Microsoft 365 HR-Connector zu aktivieren, verarbeiten Insider-Risikomanagementrichtlinien nur Ereignisse für nicht autorisierten physischen Zugriff für Benutzer in Ihrem organization.

Im Artikel Einrichten eines Connectors zum Importieren physischer Badgingdaten finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren des Physischen Badging-Connectors für Ihre organization. Nachdem Sie den Connector konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.

Konfigurieren Microsoft Defender for Endpoint (optional)

Microsoft Defender for Endpoint ist eine Sicherheitsplattform für Unternehmensendpunkte, die Unternehmensnetzwerke dabei unterstützen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Um eine bessere Sichtbarkeit von Sicherheitsverstößen in Ihrem organization zu erhalten, können Sie Defender für Endpunkt-Warnungen nach Aktivitäten importieren und filtern, die in Richtlinien verwendet werden, die aus Richtlinienvorlagen für Sicherheitsverletzungen im Insider-Risikomanagement erstellt wurden.

Wenn Sie Richtlinien für Sicherheitsverletzungen erstellen, müssen Sie Microsoft Defender for Endpoint in Ihrem organization konfiguriert haben und Defender für Endpunkt für die Integration des Insider-Risikomanagements in Das Defender Security Center aktivieren, um Warnungen gegen Sicherheitsverletzungen zu importieren. Weitere Informationen zu Anforderungen finden Sie im Artikel Mindestanforderungen für Microsoft Defender for Endpoint.

Im Artikel Konfigurieren erweiterter Features in Defender für Endpunkt finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren von Defender für Endpunkt für die Integration des Insider-Risikomanagements. Nachdem Sie die Microsoft Defender for Endpoint konfiguriert haben, kehren Sie zu diesen Konfigurationsschritten zurück.

Konfigurieren von forensischen Beweisen (optional)

Visueller Kontext ist für Sicherheitsteams bei forensischen Untersuchungen von entscheidender Bedeutung, um bessere Einblicke in riskante Benutzeraktivitäten zu erhalten, die zu einem Sicherheitsvorfall führen können. Mit anpassbaren Ereignistriggern und integrierten Datenschutzkontrollen für Benutzer ermöglichen forensische Beweise eine geräteübergreifende anpassbare Erfassung, damit Ihre organization potenzielle Datenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser entschärfen, verstehen und darauf reagieren können.

Im Artikel Erste Schritte mit forensischen Beweisen für das Insider-Risikomanagement finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren von forensischen Beweisen für Ihre organization.

Konfigurieren der optischen Zeichenerkennung (optional)

Microsoft Purview kann in Dokumenten nach vertraulichen Inhalten suchen, um diese Dokumente vor unangemessener Offenlegung zu schützen. Wenn Sie die optische Zeichenerkennung (OCR) in Microsoft Purview aktivieren, können Datenklassifizierer, z. B. Typen vertraulicher Informationen und trainierbare Klassifizierer, auch Zeichen in eigenständigen Bildern erkennen. Nach dem Konfigurieren der OCR-Einstellungen (Vorschau) werden Ihre vorhandenen Insider-Risikorichtlinien sowohl auf Bilder als auch auf Dokumente angewendet.

Für die OCR-Vorschau unterstützt das Insider-Risikomanagement die Überprüfung an den folgenden Speicherorten: Windows-Endpunktgeräte, SharePoint Online und Teams. Exchange Online und OneDrive werden für die Vorschau nicht unterstützt.

OCR-Einstellungen gelten nicht für forensische Beweisclips im Insider-Risikomanagement.

Erfahren Sie mehr über das Einrichten der OCR-Überprüfung und der abrechnungsbasierten Bezahlung.

Schritt 5 (erforderlich): Konfigurieren von Insider-Risikoeinstellungen

Insider-Risikoeinstellungen gelten für alle Insider-Risikomanagementrichtlinien, unabhängig von der Vorlage, die Sie beim Erstellen einer Richtlinie auswählen. Einstellungen werden über die Schaltfläche Einstellungen am oberen Rand der Insider-Risikomanagement-Seiten konfiguriert. Diese Einstellungen steuern Datenschutz, Indikatoren, intelligente Erkennungen und vieles mehr. Erfahren Sie mehr über Einstellungen, die Sie vor dem Erstellen einer Richtlinie berücksichtigen sollten.

Schritt 6 (erforderlich): Erstellen einer Insider-Risikomanagementrichtlinie

Richtlinien für das Insider-Risikomanagement umfassen die zugewiesenen Benutzer und legen fest, welche Arten von Risikoindikatoren für Warnmeldungen konfiguriert werden. Bevor potenziell riskante Aktivitäten Warnungen auslösen können, muss eine Richtlinie konfiguriert werden. Verwenden Sie den Richtlinien-Assistenten, um neue Richtlinien für das Insider-Risikomanagement zu erstellen.

Hinweis

Informationen zum Erstellen eines benutzerdefinierten Triggers oder Indikators für eine Nicht-Microsoft-Workload finden Sie unter Benutzerdefinierte Indikatoren.

  1. Wechseln Sie in Microsoft Purview zu Insider-Risikomanagement , und wählen Sie die Registerkarte Richtlinien aus.

  2. Wählen Sie Richtlinie erstellen aus, um den Richtlinien-Assistenten zu öffnen.

  3. Wählen Sie auf der Seite Richtlinienvorlage eine Richtlinienkategorie aus, und wählen Sie dann die Vorlage für die neue Richtlinie aus. Diese Vorlagen bestehen aus Bedingungen und Indikatoren, die die zu erkennenden und zu untersuchenden Risikoaktivitäten definieren. Überprüfen Sie die Vorlagenvoraussetzungen, die auslösenden Ereignisse und die erkannten Aktivitäten, um zu bestätigen, dass diese Richtlinienvorlage Ihren Anforderungen entspricht.

    Wichtig

    Für einige Richtlinienvorlagen gibt es Voraussetzungen, die für die Richtlinie konfiguriert werden müssen, damit sie relevante Warnungen generiert. Wenn Sie die anwendbaren Richtlinienvoraussetzungen nicht konfiguriert haben, sehen Sie weiter oben unter Schritt 4 nach.

  4. Wählen Sie Weiter aus, um fortzufahren.

  5. Füllen Sie auf der Seite Name und Beschreibung die folgenden Felder aus:

    • Name (erforderlich): Geben Sie einen Anzeigenamen für die Richtlinie ein. Dieser Name kann nach dem Erstellen der Richtlinie nicht mehr geändert werden.
    • Beschreibung (optional): Geben Sie eine Beschreibung für die Richtlinie ein.
  6. Wählen Sie Weiter aus, um fortzufahren.

  7. Wählen Sie auf der Seite Benutzer und Gruppen die Option Alle Benutzer und Gruppen einschließen oder Bestimmte Benutzer und Gruppen einschließen aus, um zu definieren, welche Benutzer oder Gruppen in die Richtlinie einbezogen werden, oder wenn Sie eine auf prioritären Benutzern basierende Vorlage ausgewählt haben, wählen Sie Gruppen prioritärer Benutzer hinzufügen oder bearbeiten aus. Wenn Sie Alle Benutzer und Gruppen einschließen auswählen, sucht das Insider-Risikomanagement nach auslösenden Ereignissen für alle Benutzer und Gruppen in Ihrem organization um mit dem Zuweisen von Risikobewertungen für die Richtlinie zu beginnen. Wenn Sie Bestimmte Benutzer und Gruppen einschließen auswählen, können Sie definieren, welche Benutzer und Gruppen der Richtlinie zugewiesen werden sollen. Gastkonten werden nicht unterstützt.

  8. Wählen Sie Weiter aus, um fortzufahren.

  9. Auf der Seite Zu priorisierende Inhalte können Sie (bei Bedarf) die zu priorisierenden Quellen zuweisen, wodurch sich die Wahrscheinlichkeit erhöht, dass eine Warnung mit hohem Schweregrad für diese Quellen generiert wird. Wählen Sie eine der folgenden Optionen aus:

    • Ich möchte Inhalte priorisieren. Wenn Sie diese Option auswählen, können Sie SharePoint-Websites, Vertraulichkeitsbezeichnungen, Typen vertraulicher Informationen und Inhaltstypen von Dateierweiterungen priorisieren. Wenn Sie diese Option auswählen, müssen Sie mindestens einen Inhaltstyp mit Priorität auswählen.

    • Ich möchte derzeit keine Prioritätsinhalte angeben. Wenn Sie diese Option auswählen, werden die Detailseiten mit prioritätsbezogenen Inhalten im Assistenten übersprungen.

  10. Wählen Sie Weiter aus, um fortzufahren.

  11. Wenn Sie im vorherigen Schritt Ich möchte Inhalte priorisieren ausgewählt haben, werden die Detailseiten für SharePoint-Websites, Vertraulichkeitsbezeichnungen, Typen vertraulicher Informationen, Dateierweiterungen und Bewertung angezeigt. Verwenden Sie diese Detailseiten, um sharePoint, vertrauliche Informationstypen, Vertraulichkeitsbezeichnungen, trainierbare Klassifizierer und Dateierweiterungen zu definieren, die in der Richtlinie priorisiert werden sollen. Auf der Detailseite Bewertung können Sie die Richtlinie so festlegen, dass nur Risikobewertungen zugewiesen und Warnungen für bestimmte Aktivitäten generiert werden, die Prioritätsinhalte enthalten.

    • SharePoint-Sites: Wählen Sie SharePoint-Site hinzufügen und dann die SharePoint-Sites aus, auf die Sie Zugriff haben und die Sie priorisieren möchten. Beispiel: "group1@contoso.sharepoint.com/sites/group1".
    • Typ vertraulicher Informationen: Wählen Sie Typ vertraulicher Informationen hinzufügen und dann die Typen vertraulicher Informationen aus, die Sie priorisieren möchten. Beispiel: „US-Bankkontonummer“ oder „Kreditkartennummer“.
    • Vertraulichkeitsbezeichnungen: Wählen Sie Vertraulichkeitsbezeichnung hinzufügen und dann die Vertraulichkeitsbezeichnungen aus, die Sie priorisieren möchten. Beispiel: „Vertraulich“ oder „Geheim“.
    • Trainierbare Klassifizierer: Wählen Sie Trainierbare Klassifizierer hinzufügen und dann die trainierbaren Klassifizierer aus, die Sie priorisieren möchten. Beispiel: Quellcode.
    • Dateierweiterungen: Fügen Sie bis zu 50 Dateierweiterungen hinzu. Sie können "." mit der Dateierweiterung einschließen oder weglassen. Beispielsweise würden .py oder py Python-Dateien priorisieren.
    • Bewertung: Entscheiden Sie, ob Risikobewertungen allen Risikomanagementaktivitäten zugewiesen werden sollen, die von dieser Richtlinie erkannt werden, oder nur für Aktivitäten, die Prioritätsinhalte enthalten. Wählen Sie Get alerts for all activity (Warnungen für alle Aktivitäten abrufen ) oder Get alerts only for activity that includes priority content (Warnungen für alle Aktivitäten abrufen) aus.
  12. Wählen Sie Weiter aus, um fortzufahren.

  13. Wenn Sie die Vorlagen Data leaks or Data leaks by priority users (Datenlecks oder Datenlecks nach Prioritätsbenutzern ) ausgewählt haben, werden auf der Seite Trigger für diese Richtlinie Optionen für benutzerdefinierte Ereignisse und Richtlinienindikatoren angezeigt. Sie haben die Wahl, eine DLP-Richtlinie oder Indikatoren zum Auslösen von Ereignissen auszuwählen, die Benutzer, die der Richtlinie für die Aktivitätsbewertung zugewiesen sind, in den Gültigkeitsbereich bringen. Wenn Sie die Option Benutzer stimmt mit einem Ereignis zur Verhinderung von Datenverlust (DLP) ab, müssen Sie eine DLP-Richtlinie aus der Dropdownliste der DLP-Richtlinie auswählen, um auslösende Indikatoren für die DLP-Richtlinie für diese Insider-Risikomanagementrichtlinie zu aktivieren. Wenn Sie die Option Benutzer führt ein Ereignis zum Auslösen einer Exfiltrationsaktivität auswählt, müssen Sie mindestens einen der aufgeführten Indikatoren für das richtlinienauslösende Ereignis auswählen.

    Wichtig

    Wenn Sie einen aufgelisteten Indikator oder eine Sequenz nicht auswählen können, liegt dies daran, dass diese derzeit nicht für Ihre organization aktiviert sind. Um sie für die Auswahl und Zuweisung zur Richtlinie zur Verfügung zu stellen, wählen Sie die Eingabeaufforderung Indikatoren aktivieren aus.

    Wenn Sie andere Richtlinienvorlagen ausgewählt haben, werden benutzerdefinierte auslösende Ereignisse nicht unterstützt. Es gelten die integrierten Richtlinienauslösungsereignisse. Fahren Sie mit Schritt 23 fort, ohne Richtlinienattribute zu definieren.

  14. Wenn Sie die Vorlagen Data leaks by risky users (Datenlecks durch riskante Benutzer oder Sicherheitsrichtlinienverstöße durch riskante Benutzer ) ausgewählt haben, werden auf der Seite Trigger für diese Richtlinie Optionen für die Integration in Ereignisse für Kommunikationscompliance und HR-Datenconnector angezeigt. Sie haben die Wahl, Risikobewertungen zuzuweisen, wenn Benutzer Nachrichten senden, die potenziell bedrohliche, belästigende oder diskriminierende Sprache enthalten, oder Benutzer in den Richtlinienbereich zu bringen, nachdem riskante Benutzerereignisse in Ihrem Personalsystem gemeldet wurden. Wenn Sie die Option Risikotrigger aus Kommunikationscompliance (Vorschau) auswählen, können Sie die Standardrichtlinie für die Kommunikationskonformität übernehmen (automatisch erstellt), einen zuvor erstellten Richtlinienbereich für diesen Trigger auswählen oder eine andere bereichsbezogene Richtlinie erstellen. Wenn Sie HR-Datenconnectorereignisse auswählen, müssen Sie einen HR-Datenconnector für Ihre organization konfigurieren.

  15. Wählen Sie Weiter aus, um fortzufahren.

  16. Wenn Sie die Vorlagen Datenlecks oder Datenlecks nach Prioritätsbenutzern ausgewählt und die Option Benutzer führt eine Exfiltrationsaktivität und zugehörige Indikatoren aus, können Sie benutzerdefinierte oder Standardschwellenwerte für den ausgewählten Indikator auswählen, der Ereignisse auslöst. Wählen Sie entweder Standardschwellenwerte verwenden (empfohlen) oder Benutzerdefinierte Schwellenwerte für die auslösenden Ereignisse verwenden aus.

  17. Wählen Sie Weiter aus, um fortzufahren.

  18. Wenn Sie Benutzerdefinierte Schwellenwerte für die auslösenden Ereignisse verwenden ausgewählt haben, wählen Sie für jeden auslösenden Ereignisindikator, den Sie in Schritt 13 ausgewählt haben, die entsprechende Ebene aus, um die gewünschte Ebene von Aktivitätswarnungen zu generieren. Sie können die empfohlenen Schwellenwerte, benutzerdefinierten Schwellenwerte oder Schwellenwerte basierend auf anomalen Aktivitäten (für bestimmte Indikatoren) verwenden, die über der täglichen Norm für Benutzer liegen.

  19. Wählen Sie Weiter aus, um fortzufahren.

  20. Auf der Seite Richtlinienindikatoren werden die Indikatoren angezeigt, die Sie als verfügbar definiert haben, auf der Seite Insider-Risikoeinstellungen>Indikatoren, die Indikatorvarianten enthalten, sofern Sie sie definiert haben. Wählen Sie die Indikatoren aus, die Sie auf die Richtlinie anwenden möchten.

    Wichtig

    Wenn Indikatoren auf dieser Seite nicht ausgewählt werden können, müssen Sie die Indikatoren auswählen, die Sie für alle Richtlinien aktivieren möchten. Sie können die Schaltfläche Indikatoren aktivieren im Assistenten verwenden oder Indikatoren auf der Seite Insider-Risikomanagement>Einstellungen>Richtlinienindikatoren auswählen.

    Wenn Sie mindestens einen Office- oder Geräte-Indikator ausgewählt haben, wählen Sie die entsprechenden Risikobewertungsverstärker aus. Risikobewertungsverstärker sind nur auf ausgewählte Indikatoren anwendbar. Wenn Sie eine Datendiebstahl- oder Datenleck-Richtlinienvorlage ausgewählt haben, wählen Sie eine oder mehrere Sequenzerkennungsmethoden sowie eine Methode für die Erkennung kumulativer Exfiltration aus, die auf die Richtlinie angewendet werden sollen. Wenn Sie die Vorlage Riskante Browsernutzungsrichtlinie ausgewählt haben, wählen Sie mindestens einen der Browserindikatoren aus.If you've selected the Risky browser usage policy template, select one or more of the Browsing indicators.

  21. Wählen Sie Weiter aus, um fortzufahren.

  22. Wählen Sie auf der Seite Schwellenwerttyp für Indikatoren auswählen eine der folgenden Optionen aus:

    • Von Microsoft bereitgestellte Schwellenwerte anwenden: Wählen Sie diese Option aus, wenn Sie die integrierten Schwellenwerte auf alle angegebenen Selektoren anwenden möchten.
    • Anwenden von Schwellenwerten, die auf die Aktivität Ihrer Benutzer spezifisch sind: Wählen Sie diese Option (empfohlen) aus, wenn Sie möchten, dass das Insider-Risikomanagement Schwellenwerte basierend auf der Benutzeraktivität in Ihrem Mandanten empfiehlt.

    Hinweis

    Sie müssen Analytics aktivieren , um diese Option verwenden zu können, und Sie müssen mindestens einen integrierten Indikator auswählen. Das Insider-Risikomanagement bietet keine empfohlenen Schwellenwerte für benutzerdefinierte Indikatoren oder Varianten integrierter Indikatoren.

    • Wählen Sie Ihre eigenen Schwellenwerte aus: Wählen Sie diese Option aus, wenn Sie Indikatorschwellenwerte manuell anpassen möchten. Wenn Analytics aktiviert ist, basieren die Standardschwellenwerteinstellungen, die Sie anpassen, auf den empfohlenen Schwellenwerten (basierend auf der Benutzeraktivität in Ihrem Mandanten). Wenn Analytics nicht aktiviert ist, basieren die Standardschwellenwerte auf den integrierten Schwellenwerten.

    Tipp

    Wählen Sie den Link Auswirkung anzeigen in der Erkenntnis unterhalb der einzelnen Schwellenwerteinstellungen aus, um ein Diagramm anzuzeigen, mit dem Sie geeignete Schwellenwerteinstellungen ermitteln können. Erfahren Sie mehr über das manuelle Anpassen von Schwellenwerten.

  23. Wählen Sie Weiter aus, um fortzufahren.

  24. Überprüfen Sie auf der Seite Überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen zu Ihrer Auswahl. Wählen Sie Bearbeiten aus, um die Richtlinienwerte zu ändern, oder wählen Sie Absenden aus, um die Richtlinie zu erstellen und zu aktivieren.

Nächste Schritte

Nachdem Sie diese Schritte zum Erstellen Ihrer ersten Insider-Risikomanagementrichtlinie abgeschlossen haben, erhalten Sie nach etwa 24 Stunden Warnungen von Aktivitätsindikatoren. Konfigurieren Sie nach Bedarf zusätzliche Richtlinien, indem Sie die Anleitung in Schritt 4 dieses Artikels oder die Schritte unter Erstellen einer neuen Insider-Risikorichtlinie verwenden.

Weitere Informationen zum Untersuchen von Insider-Risikowarnungen und den Dashboard "Warnungen" finden Sie unter Aktivitäten des Insider-Risikomanagements.