Teilen über


Erste Schritte mit forensischen Beweisen für das Insider-Risikomanagement

Wichtig

Forensische Beweise sind ein opt-in-Add-On-Feature im Insider-Risikomanagement, das Sicherheitsteams visuelle Einblicke in potenzielle Insider-Datensicherheitsvorfälle mit integriertem Datenschutz bietet. Forensische Beweise umfassen anpassbare Ereignistrigger und integrierte Datenschutzkontrollen für Benutzer, die es Sicherheitsteams ermöglichen, potenzielle Insiderdatenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser zu untersuchen, zu verstehen und darauf zu reagieren.

Organisationen legen die richtigen Richtlinien für sich selbst fest, einschließlich der risikobehafteten Ereignisse, die höchste Priorität für die Erfassung forensischer Beweise haben und welche Daten am sensibelsten sind. Forensische Beweise sind standardmäßig deaktiviert, die Richtlinienerstellung erfordert eine doppelte Autorisierung, und Benutzernamen können mit Pseudonymisierung maskiert werden (die standardmäßig für Insider-Risikomanagement aktiviert ist). Das Einrichten von Richtlinien und das Überprüfen von Sicherheitswarnungen innerhalb des Insider-Risikomanagements nutzt strenge rollenbasierte Zugriffssteuerungen (Role-Based Access Controls, RBAC), um sicherzustellen, dass die angegebenen Personen in der Organisation mit zusätzlichen Überwachungsfunktionen die richtigen Maßnahmen ergreifen.

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insider-Risiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Das Konfigurieren von forensischen Beweisen in Ihrer Organisation ähnelt dem Konfigurieren anderer Richtlinien aus Richtlinienvorlagen für das Insider-Risikomanagement. Im Allgemeinen führen Sie die gleichen grundlegenden Konfigurationsschritte aus, um forensische Beweise einzurichten, aber es gibt einige Bereiche, in denen featurespezifische Konfigurationsaktionen erforderlich sind, bevor Sie mit den grundlegenden Konfigurationsschritten beginnen.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Schritt 1: Bestätigen Ihres Abonnements und Konfigurieren des Datenspeicherzugriffs

Bevor Sie mit forensischen Beweisen beginnen, sollten Sie Ihr Insider-Risikomanagement-Abonnement und alle Add-Ons bestätigen.

Darüber hinaus müssen Sie der Positivliste ihrer Firewall und Ihres Proxyservers die folgenden Domänen hinzufügen, um die Speicherung forensischer Beweise für Ihre Organisation zu unterstützen:

Weltweit - Domäne

- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

GCC/GCC High – Domäne

- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

DOD – Domäne

- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

Weitere Informationen zu diesen Endpunkten finden Sie unter Microsoft 365-Endpunkte.

Hinweis

Erfassungs- und Erfassungsdaten werden in diesen Domänen gespeichert und nur Ihrer Organisation zugewiesen. Keine andere Microsoft 365-Organisation hat Zugriff auf forensische Beweiserfassungen für Ihre Organisation.

Forensische Beweisdaten werden in einer Region gespeichert, in der Ihre Exchange Online Protection-Region (EOP) oder Exchange-Region festgelegt ist.

Schritt 2: Konfigurieren unterstützter Geräte

Benutzergeräte, die für die Erfassung forensischer Beweise berechtigt sind, müssen in das Microsoft Purview-Complianceportal integriert sein und den Microsoft Purview-Client installiert haben.

Wichtig

Der Microsoft Purview-Client sammelt automatisch allgemeine Diagnosedaten im Zusammenhang mit Gerätekonfigurations- und Leistungsmetriken. Dies umfasst Daten zu kritischen Fehlern, RAM-Verbrauch, Prozessfehlern und anderen Daten. Diese Daten helfen uns, die Integrität des Kunden zu bewerten und Probleme zu identifizieren. Weitere Informationen zur Verwendung von Diagnosedaten finden Sie unter Verwendung von Software mit Onlinediensten in den Microsoft-Produktbedingungen.

Eine Liste der Geräte- und Konfigurationsanforderungen finden Sie unter Informationen zu forensischen Beweisen. Führen Sie zum Onboarding unterstützter Geräte die Schritte aus, die im Übersichtsartikel Onboarding von Windows 10- und Windows 11-Geräten in Microsoft 365 beschrieben sind.

Installieren des Microsoft Purview-Clients

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.

  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

  3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Clientinstallation aus.

  4. Wählen Sie Installationspaket herunterladen (x64-Version) aus, um das Installationspaket für Windows herunterzuladen.

  5. Verwenden Sie nach dem Herunterladen des Installationspakets Ihre bevorzugte Methode, um den Client auf den Geräten der Benutzer zu installieren. Diese Optionen können die manuelle Installation des Clients auf Geräten oder Tools umfassen, um die Clientinstallation zu automatisieren:

    • Microsoft Intune: Microsoft Intune ist eine integrierte Lösung zum Verwalten all Ihrer Geräte. Microsoft vereint Configuration Manager und Intune, ohne eine komplexe Migration und mit vereinfachter Lizenzierung.
    • Geräteverwaltungslösungen von Drittanbietern: Wenn Ihre Organisation Geräteverwaltungslösungen von Drittanbietern verwendet, lesen Sie die Dokumentation zu diesen Tools, um den Client zu installieren.

Schritt 3: Konfigurieren von Einstellungen

Forensische Beweise verfügen über mehrere Konfigurationseinstellungen, die Flexibilität für die Arten von erfassten sicherheitsbezogenen Benutzeraktivitäten, Erfassungsparametern, Bandbreitenlimits und Offlineerfassungsoptionen bieten. Die Erfassung von forensischen Beweisen ermöglicht es Ihnen, Richtlinien basierend auf Ihren Anforderungen in nur wenigen Schritten zu erstellen, und das Hinzufügen von Benutzern zu einer Richtlinie erfordert eine doppelte Autorisierung.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.

  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

  3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Einstellungen für forensische Beweise aus.

  4. Wählen Sie Forensische Beweiserfassung aus, um die Erfassungsunterstützung in Ihren Forensik-Beweisrichtlinien zu aktivieren. Wenn dies später deaktiviert wird, werden alle zuvor hinzugefügten Benutzer für forensische Beweisrichtlinien entfernt.

    Wichtig

    Der Microsoft Purview-Client, der zum Erfassen von Aktivitäten auf den Geräten der Benutzer verwendet wird, ist unter der Verwendung von Software mit den Onlinediensten gemäß den Microsoft-Produktbedingungen lizenziert. Beachten Sie, dass Kunden allein für die Verwendung der Insider-Risikomanagementlösung, einschließlich des Microsoft Purview-Clients, in Übereinstimmung mit allen geltenden Gesetzen verantwortlich sind.

  5. Definieren Sie im Abschnitt Erfassungsfenster , wann die Aktivitätserfassung gestartet und beendet werden soll. Verfügbare Werte sind 10 Sekunden, 30 Sekunden, 1 Minute, 3 Minuten oder 5 Minuten.

  6. Definieren Sie im Abschnitt Bandbreitenlimit hochladen die Menge der Erfassungsdaten, die pro Benutzer und Tag in Ihr Datenspeicherkonto hochgeladen werden sollen. Verfügbare Werte sind 100 MB, 250 MB, 500 MB, 1 GB oder 2 GB.

  7. Definieren Sie im Abschnitt Cachelimit für die Offlineerfassung die maximale Cachegröße, die auf den Geräten der Benutzer gespeichert werden soll, wenn die Offlineerfassung aktiviert ist. Verfügbare Werte sind 100 MB, 250 MB, 500 MB, 1 GB oder 2 GB.

  8. Klicken Sie auf Speichern.

Schritt 4: Erstellen einer Richtlinie

Forensische Beweisrichtlinien definieren den Umfang sicherheitsbezogener Benutzeraktivitäten, die für konfigurierte Geräte erfasst werden sollen. Es gibt zwei Optionen für die Erfassung forensischer Beweise:

  • Erfassen Sie nur bestimmte Aktivitäten (z. B. Drucken oder Exfiltrieren von Dateien). Mit dieser Option können Sie die Geräteaktivitäten auswählen, die Sie erfassen möchten, und nur die ausgewählten Aktivitäten werden von der Richtlinie erfasst. Sie können auch aktivitäten für bestimmte Desktop-Apps und/oder Websites erfassen. Auf diese Weise können Sie sich nur auf die Aktivitäten, Apps und Websites konzentrieren, die ein Risiko darstellen.
  • Erfassen Sie alle Aktivitäten, die genehmigte Benutzer auf ihren Geräten ausführen. Diese Option wird in der Regel für einen bestimmten Zeitraum verwendet, z. B. wenn ein bestimmter Benutzer potenziell an riskanten Aktivitäten beteiligt ist, die zu einem Sicherheitsvorfall führen können. Alle forensischen Beweisindikatoren werden automatisch einbezogen, wenn Sie diese Option auswählen, einschließlich Geräteindikatoren und Indikatoren für erweiterten Phishingschutz. Um die Kapazität und den Datenschutz der Benutzer zu wahren, können Sie bestimmte Desktop-Apps und/oder Websites wie unten beschrieben von der Erfassung ausschließen.

Nachdem Sie eine Richtlinie erstellt haben, fügen Sie sie in forensische Beweisanforderungen ein, um zu steuern, welche Aktivität für Benutzer erfasst werden soll, deren Anforderungen genehmigt wurden.

Hinweis

Kontinuierliche forensische Richtlinien (Erfassung aller Aktivitäten) haben Vorrang vor selektiven forensischen Beweisrichtlinien (erfassen nur bestimmte Aktivitäten).

Erfassen sie nur bestimmte Aktivitäten

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.

  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

  3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Richtlinien für forensische Beweise aus.

  4. Wählen Sie Richtlinie für forensische Beweise erstellen aus.

  5. Wählen Sie auf der Seite Bereichdie Option Bestimmte Aktivitäten aus. Diese Option erfasst nur Aktivitäten, die von Richtlinien erkannt werden, in denen Benutzer enthalten sind. Diese Aktivitäten werden durch die indikatoren definiert, die in forensischen Beweisrichtlinien ausgewählt wurden. Erfassungen für diese Option können auf der Registerkarte Forensische Beweise (Vorschau) im Dashboard Warnungen oder Fälle überprüft werden.

  6. Wählen Sie Weiter aus.

  7. Füllen Sie auf der Seite Name und Beschreibung die folgenden Felder aus:

    • Name (erforderlich):Geben Sie einen Anzeigenamen für die Richtlinie für forensische Beweise ein. Dieser Name kann nach dem Erstellen der Richtlinie nicht mehr geändert werden.
    • Beschreibung (optional): Geben Sie eine Beschreibung für die Richtlinie für forensische Beweise ein.
  8. Wählen Sie Weiter aus.

  9. Gehen Sie auf der Seite Zu erfassende Geräteaktivitäten auswählen wie vor :

    1. Wählen Sie alle Geräteaktivitäten aus, die Sie erfassen möchten. Nur die ausgewählten Aktivitäten werden von der Richtlinie erfasst.

      Hinweis

      Wenn die Indikatoren nicht ausgewählt werden können, werden Sie aufgefordert, sie zu aktivieren.

    2. Sie können auch aktivitäten für bestimmte Desktop-Apps und/oder Websites in Ihrer Richtlinie erfassen, indem Sie das Kontrollkästchen Eine bestimmte App oder Website öffnen unter Zu erfassende App- und Webbrowsaktivitäten aktivieren.

    Wichtig

    Wenn Sie Browseraktivitäten erfassen möchten (um bestimmte URLs in Ihre Forensik-Beweisrichtlinien einzuschließen oder auszuschließen), stellen Sie sicher, dass Sie die erforderlichen Browsererweiterungen installieren. Außerdem müssen Sie mindestens einen Browserindikator aktivieren. Wenn Sie noch keinen oder mehrere Browserindikatoren aktiviert haben, werden Sie dazu aufgefordert, wenn Sie Desktop-Apps oder Websites einschließen oder ausschließen möchten. Das auslösende Ereignis zum Erfassen von Browseraktivitäten ist eine URL-Aktualisierung in der URL-Leiste, die die angegebene URL enthält.

    1. Wählen Sie Weiter aus.
  10. (Optional) Wenn Sie die Aktivität für bestimmte Desktop-Apps und Websites erfassen möchten, klicken Sie auf der Seite Apps und Websites hinzufügen, die Sie erfassen möchten :

    1. Um eine Desktop-App hinzuzufügen, wählen Sie Desktop-Apps hinzufügen aus, geben Sie den Namen einer ausführbaren Datei ein (z. B. teams.exe), und wählen Sie dann Hinzufügen aus. Wiederholen Sie diesen Vorgang für jede Desktop-App, die Sie hinzufügen möchten (bis zu 25 Apps). Um den Namen einer ausführbaren Datei für die App zu ermitteln, öffnen Sie den Task-Manager, und zeigen Sie dann die Eigenschaften für die App an. Hier finden Sie eine Liste der EXE-Namen für einige der gängigen Anwendungen: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), das Snipping-Tool (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) und Microsoft Remotedesktopverbindung (mstsc.exe).

    Hinweis

    Manchmal unterscheiden sich die EXE-Namen für eine App je nach Gerät und Berechtigungen, mit denen die App geöffnet wurde. Wenn Beispielsweise auf einem Windows 11 Enterprise-Gerät Windows PowerShell ohne Administratorberechtigungen geöffnet wird, wird der EXE-Name WindowsTerminal.exe wenn er jedoch mit Administratorberechtigungen geöffnet wird, ändert sich der EXE-Name in powershell.exe. Stellen Sie sicher, dass Sie beide EXE-Namen in solchen Szenarien einschließen bzw. ausschließen.

    1. Um eine Web-App oder Website hinzuzufügen, wählen Sie Web-Apps und Websites hinzufügen aus, geben Sie eine URL ein (z. B. https://teams.microsoft.com), und wählen Sie dann Hinzufügen aus. Wiederholen Sie diesen Vorgang für jede Web-App oder Website, die Sie hinzufügen möchten. Sie können bis zu 25 URLs mit einer Zeichenlänge von 100 für jede URL hinzufügen.

    Tipp

    Wenn eine App über eine Desktop- und eine Webversion verfügt, müssen Sie sowohl die ausführbare Desktopversion als auch die Web-URL hinzufügen, um sicherzustellen, dass Sie die Aktivität für beides erfassen.

    1. Wählen Sie Weiter aus.
  11. Überprüfen Sie auf der Seite Einstellungen überprüfen und fertig stellen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Bearbeiten Sie einen der Richtlinienwerte, oder wählen Sie Senden aus, um die Richtlinie zu erstellen und zu aktivieren.

  12. Nachdem Sie die Schritte zur Richtlinienkonfiguration abgeschlossen haben, fahren Sie mit Schritt 5 fort.

Erfassen aller Aktivitäten

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.

  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

  3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Richtlinien für forensische Beweise aus.

  4. Wählen Sie Richtlinie für forensische Beweise erstellen aus.

  5. Wählen Sie auf der Seite Bereichdie Option Alle Aktivitäten aus. Diese Option erfasst alle Aktivitäten, die von Benutzern ausgeführt werden. Erfassungen für diese Option können auf der Registerkarte Forensische Beweise (Vorschau) im Dashboard Benutzeraktivitätsberichte (Vorschau) überprüft werden.

  6. Wählen Sie Weiter aus.

  7. Füllen Sie auf der Seite Name und Beschreibung die folgenden Felder aus:

    • Name (erforderlich):Geben Sie einen Anzeigenamen für die Richtlinie für forensische Beweise ein. Dieser Name kann nach dem Erstellen der Richtlinie nicht mehr geändert werden.
    • Beschreibung (optional): Geben Sie eine Beschreibung für die Richtlinie für forensische Beweise ein.
  8. Wählen Sie Weiter aus.

  9. Wenn Sie auf der Seite Zu erfassende Geräteaktivitäten auswählen bestimmte Desktop-Apps und/oder Web-Apps oder Websites von der Erfassung ausschließen möchten, aktivieren Sie unter Zu erfassende App- und Webbrowsaktivitäten das Kontrollkästchen Bestimmte Apps oder Websites ausschließen .

  10. Wählen Sie Weiter aus.

  11. Wenn Sie bestimmte Desktop-Apps und Websites von der Erfassung ausschließen möchten, klicken Sie auf der Seite Anwendungen/URLs ausschließen :

    • Um eine Desktop-App von der Erfassung auszuschließen, wählen Sie Desktop-Apps ausschließen aus, geben Sie den Namen einer ausführbaren Datei ein (z. B. teams.exe), und wählen Sie dann Hinzufügen aus. Wiederholen Sie diesen Vorgang für jede Desktop-App, die Sie ausschließen möchten (bis zu 25 Apps). Um den Namen einer ausführbaren Datei für eine App zu ermitteln, öffnen Sie den Task-Manager, und zeigen Sie dann die Eigenschaften für die App an.
    • Um eine Web-App oder Website auszuschließen, wählen Sie Web-Apps und Websites ausschließen aus, geben Sie eine URL ein (z. B https://teams.microsoft.com. ), und wählen Sie dann Hinzufügen aus. Wiederholen Sie diesen Vorgang für jede Web-App oder Website, die Sie ausschließen möchten. Sie können bis zu 25 URLs mit einer Zeichenlänge von 100 für jede URL ausschließen.

    Tipp

    Wenn eine App über eine Desktop- und eine Webversion verfügt, müssen Sie sowohl die ausführbare Desktopversion als auch die Web-URL hinzufügen, um sicherzustellen, dass Sie beides ausschließen.

  12. Überprüfen Sie auf der Seite Einstellungen überprüfen und fertig stellen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Bearbeiten Sie einen der Richtlinienwerte, oder wählen Sie Senden aus, um die Richtlinie zu erstellen und zu aktivieren.

  13. Nachdem Sie die Schritte zur Richtlinienkonfiguration abgeschlossen haben, fahren Sie mit Schritt 5 fort.

Schritt 5: Definieren und Genehmigen von Benutzern für die Erfassung

Bevor sicherheitsrelevante Benutzeraktivitäten erfasst werden können, müssen Administratoren den Prozess der doppelten Autorisierung in forensischen Beweisen befolgen. Dieser Prozess erfordert, dass die Aktivierung der visuellen Erfassung für bestimmte Benutzer sowohl von den entsprechenden Personen in Ihrer Organisation definiert als auch genehmigt wird.

Sie müssen anfordern, dass die Erfassung forensischer Beweise für bestimmte Benutzer aktiviert ist. Wenn eine Anforderung übermittelt wird, werden genehmigende Personen in Ihrer Organisation per E-Mail benachrichtigt und können die Anforderung genehmigen oder ablehnen. Wenn der Benutzer genehmigt wird, wird er auf der Registerkarte Genehmigte Benutzer angezeigt und ist für die Erfassung berechtigt. Weitere Informationen finden Sie unter diesen Links:

Nächste Schritte

Nachdem Sie Ihre Forensik-Beweisrichtlinie konfiguriert haben, kann es bis zu zwei Stunden dauern, bis die Richtlinienerzwingung erfolgt, da die forensischen Beweisclients (die auf den Endpunktgeräten installiert sind) online sind. Wenn ein Clip vom Client erfasst wird, kann es bis zu einer Stunde dauern, bis der Clip zur Überprüfung verfügbar ist. Weitere Informationen zum Verwalten forensischer Beweise und zum Überprüfen von Clipaufnahmen finden Sie im Artikel Verwalten von forensischen Beweisen für das Informationsrisikomanagement .