Teilen über


Ergreifen von Maßnahmen bei Insider-Risikomanagementfällen

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Fälle sind das Herzstück des Insider-Risikomanagements und ermöglichen es Ihnen, Probleme, die durch in Ihren Richtlinien definierte Risikoindikatoren generiert werden, eingehend zu untersuchen und darauf zu reagieren. Fälle werden manuell anhand von Warnungen in Situationen erstellt, in denen weitere Maßnahmen erforderlich sind, um ein Complianceproblem für einen Benutzer zu beheben. Jeder Fall ist auf einen einzelnen Benutzer festgelegt, und mehrere Warnungen für den Benutzer können einem vorhandenen Fall oder einem neuen Fall hinzugefügt werden.

Nachdem Sie die Details eines Falls untersucht haben, können Sie folgende Maßnahmen ergreifen:

  • Senden einer Benachrichtigung an den Benutzer
  • Beheben des Falls als harmlos
  • Teilen des Falls mit Ihrem ServiceNow-instance oder einem E-Mail-Empfänger
  • Eskalieren des Falls für eine eDiscovery (Premium)-Untersuchung

Sehen Sie sich das Video zur Untersuchung und Eskalation des Insider-Risikomanagements an, um einen Überblick darüber zu erhalten, wie Fälle im Insider-Risikomanagement untersucht und verwaltet werden.

Tipp

Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.

Fälle Dashboard

Tipp

Um Berichte für Fälle anzuzeigen, wechseln Sie zur Seite Berichte . Jedes Berichtswidget auf der Seite Berichte zeigt Informationen für die letzten 30 Tage an:

  • Aktive Fälle: Die Gesamtzahl der aktiven Fälle, die untersucht werden.
  • Fälle in den letzten 30 Tagen: Die Gesamtzahl der erstellten Fälle, sortiert nach aktivem und geschlossenem status.
  • Statistiken: Durchschnittliche Zeit der aktiven Fälle, aufgelistet in Stunden, Tagen oder Monaten.

Mit der Dashboard Insider-Risikomanagementfälle können Sie Fälle anzeigen und darauf reagieren. Die Fallwarteschlange listet alle aktiven und geschlossenen Fälle für Ihre organization zusätzlich zum aktuellen status der folgenden Fallattribute auf:

  • Fall-ID: Die ID des Falls.
  • Fallname: Der Name des Falls, der definiert wird, wenn eine Warnung bestätigt und der Fall erstellt wird.
  • Status: Die status des Falls, entweder Aktiv oder Geschlossen.
  • Benutzer: Der Benutzer für den Fall. Wenn die Anonymisierung für Benutzernamen aktiviert ist, werden anonymisierte Informationen angezeigt.
  • Zeitpunkt, zu dem der Fall geöffnet wurde: Die Zeit, die verstrichen ist, seit der Fall geöffnet wurde.
  • Gesamtanzahl von Richtlinienwarnungen: Die Anzahl der im Fall enthaltenen Richtlinieneinstimmungen. Diese Zahl kann steigen, wenn neue Warnungen zu dem Fall hinzugefügt werden.
  • Fall zuletzt aktualisiert: Die Zeit, die verstrichen ist, seit eine zusätzliche Fallnotiz oder Änderung des Fallzustands aufgetreten ist.
  • Zuletzt aktualisiert von: Der Name des Insider-Risikomanagementanalysten oder -ermittlers, der den Fall zuletzt aktualisiert hat.

Hinweis

Wenn Ihre Richtlinien auf eine oder mehrere Verwaltungseinheiten beschränkt sind, kann der Besitz eines Falls nur Benutzern des Insider-Risikomanagements mit den entsprechenden Rollengruppenberechtigungen übertragen werden, und der in der Warnung hervorgehobene Benutzer muss sich im Bereich der Administratoreinheit befinden. Wenn beispielsweise ein Verwaltungsbereich nur für Benutzer in Deutschland gilt, kann der Insider-Risikomanagement-Benutzer nur Warnungen für Benutzer in Deutschland sehen. Uneingeschränkte Administratoren können alle Fälle für alle Benutzer im organization anzeigen.

Verwenden Sie das Steuerelement Suchen , um nach einer Fall-ID zu suchen oder nach einem bestimmten Text in Fallnamen zu suchen. Verwenden Sie den Fallfilter, um Fälle nach den folgenden Attributen zu sortieren:

  • Status
  • Öffnung des Falls, Startdatum und Enddatum
  • Letzte Aktualisierung, Startdatum und Enddatum

Zuweisen eines Falls

Wenn Sie ein Administrator mit den entsprechenden Berechtigungen sind, können Sie sich selbst oder einem Insider-Risikomanagementbenutzer mit der Rolle Insider-Risikomanagement, Insider-Risikomanagementanalyst oder Insider-Risikomanagement-Prüfer den Besitz an einem Fall zuweisen. Nachdem ein Fall zugewiesen wurde, können Sie ihn auch einem Benutzer mit derselben Rolle zuweisen. Sie können einen Fall jeweils nur einem Administrator zuweisen.

Wenn einem Fall ein Administrator zugewiesen ist, können Sie nach Administrator filtern.

Zuweisen eines Falls aus dem Dashboard

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie im Dashboard Fälle die Fälle aus, die Sie zuweisen möchten.
  5. Wählen Sie in der Befehlsleiste oberhalb der Warteschlange für Fälle die Option Zuweisen aus.
  6. Suchen Sie im Bereich Besitzer zuweisen auf der rechten Seite des Bildschirms nach einem Administrator mit den entsprechenden Berechtigungen, und aktivieren Sie dann das Kontrollkästchen für diesen Administrator.
  7. Wählen Sie Zuweisen aus.

Zuweisen eines Falls über die Detailseite "Fälle"

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus.
  5. Wählen Sie im Detailbereich für den Fall Zuweisen aus.
  6. Wählen Sie in der Liste Vorgeschlagene Kontakte den entsprechenden Administrator aus.

Filterfälle

Abhängig von der Anzahl und Art der aktiven Insider-Risikomanagementrichtlinien in Ihrem organization kann die Überprüfung einer großen Warteschlange von Fällen eine Herausforderung darstellen. Die Verwendung von Fallfiltern kann Analysten und Ermittlern dabei helfen, Fälle nach mehreren Attributen zu sortieren. Um Warnungen für die Dashboard Fälle zu filtern, wählen Sie das Steuerelement Filter aus. Sie können Fälle nach einem oder mehreren Attributen filtern:

  • Status: Wählen Sie einen oder mehrere status Werte aus, um die Fallliste zu filtern. Die Optionen sind Aktiv und Geschlossen.
  • Zeitpunkt des Öffnens des Falls: Wählen Sie das Start- und Enddatum für den Zeitpunkt aus, an dem der Fall geöffnet wurde.
  • Letzte Aktualisierung: Wählen Sie das Start- und Enddatum für die Aktualisierung des Falls aus.

Filtern von Fällen, Speichern einer Ansicht eines Filtersatzes, Anpassen von Spalten oder Suchen nach Warnungen

Abhängig von der Anzahl und Art der aktiven Insider-Risikomanagementrichtlinien in Ihrem organization kann die Überprüfung einer großen Warteschlange von Fällen eine Herausforderung darstellen. Damit Sie fälle besser nachverfolgen können, haben Sie folgende Möglichkeiten:

  • Filtern Sie Fälle nach verschiedenen Attributen.
  • Speichern Sie eine Ansicht eines Filtersatzes, um sie später wiederzuverwenden.
  • Spalten anzeigen oder ausblenden.
  • Suchen Sie nach einer Warnung.

Filterfälle

  1. Wählen Sie Filter hinzufügen aus.

  2. Wählen Sie eines oder mehrere der folgenden Attribute aus:

    Attribut Beschreibung
    Zugewiesen an Der Administrator, dem die Warnung für die Selektierung zugewiesen ist (sofern zugewiesen).
    Fall zuletzt aktualisiert Das Start- und Enddatum für den Zeitpunkt, an dem der Fall zuletzt aktualisiert wurde.
    Status Aktuelle status des Falls. Die Optionen sind Aktiv und Geschlossen.
    Zeitpunkt des Öffnens des Falls Das Start- und Enddatum für den Zeitpunkt, an dem der Fall geöffnet wurde.

    Die ausgewählten Attribute werden der Filterleiste hinzugefügt.

  3. Wählen Sie ein Attribut in der Filterleiste aus, und wählen Sie dann einen Wert aus, nach dem gefiltert werden soll. Wählen Sie z. B. das Attribut Datum der letzten Aktivität aus, geben Sie die Datumsangaben in die Felder Startdatum und Enddatum ein, oder wählen Sie sie aus , und wählen Sie dann Übernehmen aus.

    Tipp

    Wenn Sie zu einem beliebigen Zeitpunkt von vorn beginnen möchten, wählen Sie auf der Filterleiste alle zurücksetzen aus.

Speichern einer Ansicht eines Filtersatzes zur späteren Wiederverwendung

  1. Nachdem Sie die Filter wie im vorherigen Verfahren beschrieben angewendet haben, wählen Sie speichern über der Filterleiste aus, geben Sie einen Namen für den Filtersatz ein, und wählen Sie dann Speichern aus.

    Der Filtersatz wird als Karte oberhalb der Filterleiste hinzugefügt. Sie enthält eine Zahl, die die Anzahl der Fälle angibt, die die Kriterien im Filtersatz erfüllen.

    Hinweis

    Sie können bis zu fünf Filtersätze speichern. Wenn Sie einen Filtersatz löschen müssen, wählen Sie die Auslassungspunkte (drei Punkte) in der oberen rechten Ecke des Karte aus, und wählen Sie dann Löschen aus.

  2. Wenn Sie einen gespeicherten Filtersatz erneut anwenden möchten, wählen Sie einfach die Karte für den Filtersatz aus.

Anzeigen oder Ausblenden von Spalten

  1. Wählen Sie auf der rechten Seite die Option Spalten anpassen aus.

  2. Aktivieren oder deaktivieren Sie die Kontrollkästchen für die Spalten, die Sie anzeigen oder ausblenden möchten.

Die Spalteneinstellungen werden sitzungs- und browserübergreifend gespeichert.

Suchen nach Warnungen

Verwenden Sie das Suchsteuerelement , um nach einem Benutzerprinzipalnamen (UPN), einem zugewiesenen Administratornamen oder einer Warnungs-ID zu suchen.

Untersuchen eines Falls

Eine eingehendere Untersuchung von Insider-Risikomanagementwarnungen ist wichtig, um geeignete Korrekturmaßnahmen zu ergreifen. Insider-Risikomanagementfälle sind das zentrale Verwaltungstool, um den Verlauf von Benutzerrisikoaktivitäten, Warnungsdetails, die Abfolge von Risikoereignissen und die Inhalte und Nachrichten, die risiken ausgesetzt sind, genauer zu untersuchen. Risikoanalysten und Ermittler verwenden Fälle auch, um Rezensionsfeedback und -notizen zu zentralisieren und die Lösung von Fällen zu verarbeiten.

Wenn Sie einen Fall auswählen, werden die Fall-Verwaltungstool geöffnet. Diese ermöglichen es Analysten und Ermittlern, sich den Fall bis ins kleinste Detail anzeigen zu lassen.

Fallübersicht

Auf der Registerkarte Fallübersicht werden die Falldetails für Risikoanalysten und Ermittler zusammengefasst. Sie enthält die folgenden Informationen im Bereich "About this case" (Informationen zu diesem Fall ).

  • Fall-ID: Die ID des Falls.
  • Status: Die aktuelle status des Falls, entweder Aktiv oder Geschlossen.
  • Fall erstellt am: Das Datum und die Uhrzeit der Erstellung des Falls.
  • Risikobewertung des Benutzers: Die aktuelle berechnete Risikostufe des Benutzers für den Fall. Diese Bewertung wird alle 24 Stunden berechnet und verwendet Warnungsrisikobewertungen aller aktiven Warnungen, die dem Benutzer zugeordnet sind. Wenn der Benutzer als potenzieller Benutzer mit hoher Auswirkung erkannt wird oder der Benutzer Mitglied einer prioritätsbasierten Benutzergruppe ist, enthält die Seite "Benutzerdetails" detaillierte Informationen zum berechneten Risikolevel des Benutzers im Abschnitt "Richtlinienindikatoren" der Seite "Einstellungen für das Insider-Risikomanagement".
  • Email: Der E-Mail-Alias des Benutzers für den Fall.
  • Organisation oder Abteilung: Die organization oder Abteilung, der der Benutzer zugewiesen ist.
  • Managername: Der Name des Vorgesetzten des Benutzers.
  • Manager-E-Mail: Der E-Mail-Alias des Vorgesetzten des Benutzers.

Details zum Insider-Risikomanagement

Die Registerkarte Fallübersicht enthält auch einen Abschnitt Warnungen , der die folgenden Informationen zu Richtlinienüberstimmungswarnungen enthält, die dem Fall zugeordnet sind:

  • Richtlinien-Übereinstimmungen: Der Name der Insider-Risikomanagement-Richtlinie, die den Übereinstimmungswarnungen für potenziell riskante Benutzeraktivitäten zugeordnet ist, die zu einem Sicherheitsvorfall führen können.
  • Status: Status der Warnung.
  • Schweregrad: Schweregrad der Warnung.
  • Erkannte Zeit: Die Zeit, die seit dem Generieren der Warnung vergangen ist.

Warnungen

Auf der Registerkarte Warnungen werden die aktuellen Warnungen zusammengefasst, die in dem Fall enthalten sind. Neue Warnungen können einem vorhandenen Fall hinzugefügt werden, und sie werden der Warnungswarteschlange hinzugefügt, sobald sie zugewiesen werden. Die folgenden Warnungsattribute sind in der Warteschlange aufgeführt:

  • Warnung
  • Warnungs-ID
  • Status
  • Severity
  • Erkannte Zeit

Wählen Sie eine Warnung aus der Warteschlange aus, um die Seite Warnungsdetails anzuzeigen.

Verwenden Sie das Suchsteuerelement, um nach einer Warnungs-ID zu suchen oder nach bestimmtem Text in Warnungsnamen zu suchen. Verwenden Sie den Warnungsfilter, um Fälle nach den folgenden Attributen zu sortieren:

  • Status
  • Severity
  • Zeitpunkt der Erkennung, Startdatum und Enddatum

Verwenden Sie das Filtersteuerelement, um Warnungen nach verschiedenen Attributen zu filtern, einschließlich:

  • Status: Wählen Sie einen oder mehrere status Werte aus, um die Warnungsliste zu filtern. Die Optionen sind Bestätigt, Abgelehnt, Überprüfung erforderlich und Behoben.
  • Schweregrad: Wählen Sie einen oder mehrere Schweregrade des Warnungsrisikos aus, um die Warnungsliste zu filtern. Die Optionen sind Hoch, Moderat und Niedrig.
  • Uhrzeit erkannt: Wählen Sie das Start- und Enddatum für die Erstellung der Warnung aus.
  • Richtlinie: Wählen Sie eine oder mehrere Richtlinien aus, um die von den ausgewählten Richtlinien generierten Warnungen zu filtern.

Benutzeraktivität

Auf der Registerkarte Benutzeraktivität können Risikoanalysten und Ermittler Details zur Benutzeraktivität überprüfen und eine visuelle Darstellung aller potenziell riskanten Aktivitäten im Zusammenhang mit Risikowarnungen und -fällen verwenden, um festzustellen, ob diese riskanten Aktivitäten zu einem Sicherheitsvorfall führen können. Beispielsweise müssen Analysten im Rahmen des Warnungs selektierungsprozesses möglicherweise alle risikobehafteten Aktivitäten im Zusammenhang mit dem Fall überprüfen, um weitere Details zu erhalten. In Fällen können Risikoermittler Details zur Benutzeraktivität und das Blasendiagramm überprüfen, um den Gesamtumfang der risikobezogenen Aktivitäten im Zusammenhang mit dem Fall zu verstehen. Weitere Informationen zum Diagramm "Benutzeraktivität" finden Sie im Artikel Aktivitäten zum Insider-Risikomanagement .

Aktivitäts-Explorer (Vorschau)

Auf der Registerkarte Aktivitäts-Explorer können Risikoanalysten und Ermittler Details zur Fallaktivität im Zusammenhang mit Risikowarnungen überprüfen. Beispielsweise müssen Ermittler und Analysten im Rahmen der Fallmanagementaktionen möglicherweise alle risikobehafteten Aktivitäten im Zusammenhang mit dem Fall überprüfen, um weitere Details zu erhalten. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter potenziell riskanter Aktivitäten untersuchen und alle Risikoaktivitäten im Zusammenhang mit Warnungen identifizieren und filtern.

Weitere Informationen zum Aktivitäts-Explorer finden Sie im Artikel Insider-Risikomanagementaktivitäten .

Forensische Beweise

Auf der Registerkarte Forensische Beweise können Risikoermittler visuelle Erfassungen im Zusammenhang mit Risikoaktivitäten überprüfen, die in Fällen enthalten sind. Im Rahmen der Fallverwaltungsaktionen müssen Ermittler beispielsweise dazu beitragen, den Kontext der zu überprüfenden Benutzeraktivität zu klären. Das Anzeigen der tatsächlichen Clips der Aktivität kann dem Prüfer dabei helfen, festzustellen, ob die Benutzeraktivität potenziell riskant ist und zu einem Sicherheitsvorfall führen kann.

Weitere Informationen zu forensischen Beweisen finden Sie im Artikel Informationen zu forensischen Beweisen für das Insider-Risikomanagement .

Inhalts-Explorer

Auf der Registerkarte Inhalts-Explorer können Risikoermittler Kopien aller einzelnen Dateien und E-Mail-Nachrichten überprüfen, die Risikowarnungen zugeordnet sind. Wenn beispielsweise eine Warnung erstellt wird, wenn ein Benutzer Hunderte von Dateien aus SharePoint Online herunterlädt und die Aktivität eine Richtlinienwarnung auslöst, werden alle heruntergeladenen Dateien für die Warnung erfasst und aus den ursprünglichen Speicherquellen in den Insider-Risikomanagementfall kopiert.

Der Inhalts-Explorer ist ein leistungsstarkes Tool mit einfachen und erweiterten Such- und Filterfunktionen. Weitere Informationen zur Verwendung des Inhalts-Explorers finden Sie unter Inhalts-Explorer für das Insider-Risikomanagement.

Insider-Risikomanagement: Inhalts-Explorer.

Fallnotizen

Auf der Registerkarte "Fallhinweise " in dem Fall geben Risikoanalysten und Ermittler Kommentare, Feedback und Erkenntnisse zu ihrer Arbeit für den Fall. Notizen sind dauerhafte Ergänzungen zu einem Fall und können nach dem Speichern der Notiz nicht bearbeitet oder gelöscht werden. Wenn ein Fall aus einer Warnung erstellt wird, werden die im Dialogfeld Benachrichtigung bestätigen und Insider-Risikofall erstellen eingegebenen Kommentare automatisch als Fallnotiz hinzugefügt.

In den Fallnotizen Dashboard werden Die Notizen des Benutzers, der die Notiz erstellt hat, sowie die Seit dem Speichern der Notiz verstrichene Zeit angezeigt. Um das Textfeld für die Fallnotiz nach einem bestimmten Schlüsselwort (keyword) zu durchsuchen, verwenden Sie Die Suche für den Fall Dashboard, und geben Sie einen bestimmten Schlüsselwort (keyword) ein.

Hinzufügen einer Fallnotiz

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall und dann die Registerkarte Fallnotizen aus.
  5. Wählen Sie Fallnotiz hinzufügen aus.
  6. Geben Sie im Dialogfeld Fallnotiz hinzufügen die Notiz ein.
  7. Wählen Sie Speichern aus, um die Notiz zum Fall hinzuzufügen.

Mitwirkende

Auf der Registerkarte Mitwirkendekönnen Risikoanalysten und Ermittler weitere Mitwirkende zu dem Fall hinzufügen. Standardmäßig werden alle Benutzer, denen die Rollen Insider-Risikomanagementermittler und Insider-Risikomanagement zugewiesen sind, als Mitwirkende für jeden aktiven und geschlossenen Fall aufgeführt.

Der temporäre Zugriff auf einen Fall kann gewährt werden, indem ein Benutzer als Mitwirkender hinzugefügt wird, jedoch mit den folgenden Einschränkungen:

  • Analysten und Ermittler können Mitwirkende hinzufügen
  • Analysten können nicht als Mitwirkende hinzugefügt werden
  • Mitwirkende können keine Mitwirkenden hinzufügen

Mitwirkende haben die gesamte Fallverwaltungssteuerung für den jeweiligen Fall, außer:

  • Die Berechtigung, Warnungen zu bestätigen oder zu verwerfen
  • Die Berechtigung, die Mitwirkenden eines Falles zu bearbeiten

Hinzufügen einer Mitwirkender zu einem Fall

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall und dann die Registerkarte Mitwirkende aus.
  5. Wählen Sie Mitwirkender hinzufügen aus.
  6. Beginnen Sie im Dialogfeld Mitwirkender hinzufügen mit der Eingabe des Namens des Benutzers, den Sie hinzufügen möchten, und wählen Sie dann den Benutzer aus der Liste der vorgeschlagenen Benutzer aus. Diese Liste wird aus dem Microsoft Entra ID Ihres Mandantenabonnements generiert.
  7. Wählen Sie Hinzufügen aus, um den Benutzer als Mitwirkender hinzuzufügen.

Fallmaßnahmen

Risikoermittler können in einer von mehreren Methoden maßnahmen ergreifen, abhängig von der Schwere des Falls, dem Verlauf des Risikos des Benutzers und den Risikorichtlinien Ihrer organization. In einigen Situationen müssen Sie einen Fall möglicherweise an einen Benutzer oder eine Datenuntersuchung eskalieren, um mit anderen Bereichen Ihrer organization zusammenzuarbeiten und sich eingehender mit Risikoaktivitäten zu befassen. Das Insider-Risikomanagement ist eng mit anderen Microsoft Purview-Lösungen integriert, um Sie bei der End-to-End-Lösungsverwaltung zu unterstützen.

E-Mail-Benachrichtigung senden

In den meisten Fällen sind Benutzeraktionen, die Insider-Risikowarnungen erstellen, versehentlich oder versehentlich. Das Senden einer Erinnerungsbenachrichtigung an den Benutzer per E-Mail ist eine effektive Methode zum Dokumentieren von Fallüberprüfungen und Aktionen und ist eine Methode, um Benutzer an Unternehmensrichtlinien zu erinnern oder sie auf Aktualisierungsschulungen zu verweisen. Hinweise werden aus Hinweisvorlagen generiert, die Sie für Ihre Insider-Risikomanagement-Infrastruktur erstellen.

Beachten Sie, dass das Senden einer E-Mail-Benachrichtigung an einen Benutzer den Fall nicht als Geschlossen löst. In einigen Fällen können Sie einen Fall offen lassen, nachdem Sie eine Benachrichtigung an einen Benutzer gesendet haben, um nach weiteren Risikoaktivitäten zu suchen, ohne einen neuen Fall zu öffnen. Wenn Sie einen Fall nach dem Senden einer Benachrichtigung auflösen möchten, müssen Sie Fall lösen als Folgeschritt nach dem Senden einer Benachrichtigung auswählen.

Senden einer Benachrichtigung an den Benutzer, der einem Fall zugewiesen ist

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus, und wählen Sie dann auf der Symbolleiste der Fallaktion die Option E-Mail-Benachrichtigung senden aus.
  5. Wählen Sie im Dialogfeld E-Mail-Benachrichtigung senden das Dropdown-Steuerelement Benachrichtigungsvorlage auswählen aus, um die Benachrichtigungsvorlage für die Benachrichtigung auszuwählen. Diese Auswahl füllt die anderen Felder im Hinweis vorab aus.
  6. Überprüfen Sie die Benachrichtigungsfelder, und aktualisieren Sie sie nach Bedarf. Die eingegebenen Werte überschreiben die Werte in der Vorlage.
  7. Wählen Sie Senden aus, um die Benachrichtigung an den Benutzer zu senden. Alle gesendeten Benachrichtigungen werden der Warteschlange für Fallnotizen im Dashboard "Fallnotizen" hinzugefügt.

Eskalieren zur Untersuchung

Eskalieren Sie den Fall der Benutzeruntersuchung in Situationen, in denen eine zusätzliche rechtliche Überprüfung für die Risikoaktivität des Benutzers erforderlich ist. Diese Eskalation öffnet einen neuen Microsoft Purview-eDiscovery (Premium)-Fall in Ihrem Microsoft 365-organization. eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Überprüfen, Analysieren und Exportieren von Inhalten, die auf die internen und externen rechtlichen Untersuchungen Ihres Unternehmens reagieren. Außerdem kann Ihr Rechtsteam den gesamten Benachrichtigungs-Workflow einsehen, der für juristische Zwecke aufbewahrt wurde, und so mit den an einem Fall beteiligten Verwahrern kommunizieren. Die Eskalation zu einem eDiscovery (Premium)-Fall aus einem Insider-Risikomanagementfall hilft Ihrem Rechtsteam, geeignete Maßnahmen zu ergreifen und die Aufbewahrung von Inhalten zu verwalten. Weitere Informationen zu eDiscovery (Premium)-Fällen finden Sie unter Übersicht über Microsoft Purview-eDiscovery (Premium).

Eskalieren eines Falls an eine Benutzeruntersuchung

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus, und wählen Sie dann auf der Symbolleiste der Fallaktion die Option Zur Untersuchung eskalieren aus.
  5. Geben Sie im Dialogfeld Zur Untersuchung eskalieren einen Namen für die neue Benutzeruntersuchung ein. Geben Sie bei Bedarf Notizen zum Fall ein, und wählen Sie dann Eskalieren aus.
  6. Überprüfen Sie die Benachrichtigungsfelder, und aktualisieren Sie sie nach Bedarf. Die eingegebenen Werte überschreiben die Werte in der Vorlage.
  7. Wählen Sie Bestätigen aus, um den Fall der Benutzeruntersuchung zu erstellen.

Nachdem der Fall des Insider-Risikomanagements zu einem neuen Untersuchungsfall für Benutzer eskaliert wurde, können Sie den neuen Fall im Bereich eDiscovery>Advanced im Microsoft Purview-Portal überprüfen.

Ausführen automatisierter Aufgaben mit Power Automate-Flows für den Fall

Mithilfe empfohlener Power Automate-Flows können Risikoermittler und Analysten schnell Maßnahmen ergreifen, um Folgendes zu tun:

  • Fordern Sie Informationen von hr oder business zu einem Benutzer in einem Insider-Risikofall an.
  • Benachrichtigen Sie den Manager, wenn ein Benutzer über eine Insider-Risikowarnung verfügt.
  • Erstellen Sie einen Datensatz für einen Insider-Risikomanagementfall in ServiceNow.
  • Benachrichtigen Sie Benutzer, wenn sie einer Insider-Risikorichtlinie hinzugefügt werden.

So führen Sie Power Automate-Flows für einen Insider-Risikomanagementfall aus, verwalten oder erstellen sie:

  1. Wählen Sie auf der Symbolleiste der Fallaktion die Option Automatisieren aus.
  2. Wählen Sie den auszuführenden Power Automate-Flow und dann Flow ausführen aus.
  3. Wählen Sie nach Abschluss des Flows Fertig aus.

Weitere Informationen zu Power Automate-Flows für das Insider-Risikomanagement finden Sie unter Erste Schritte mit Insider-Risikomanagementeinstellungen.

Anzeigen oder Erstellen eines Microsoft Teams-Teams für den Fall

Wenn die Microsoft Teams-Integration für insider-Risikomanagement in den Einstellungen aktiviert ist, wird jedes Mal automatisch ein Microsoft Teams-Team erstellt, wenn eine Warnung bestätigt und ein Fall erstellt wird. Risikoermittler und Analysten können Microsoft Teams schnell öffnen und direkt zum Team für einen Fall navigieren, indem sie auf der Symbolleiste für die Fallaktion die Option Microsoft Teams-Team anzeigen auswählen.

Für Fälle, die vor der Aktivierung der Microsoft Team-Integration geöffnet wurden, können Risikoermittler und Analysten ein neues Microsoft Teams-Team für einen Fall erstellen, indem Sie auf der Symbolleiste für Fallaktionen die Option Microsoft Teams-Team erstellen auswählen.

Wenn ein Fall gelöst wird, wird das zugeordnete Microsoft-Team automatisch archiviert (ausgeblendet und schreibgeschützt).

Weitere Informationen zu Microsoft Teams für das Insider-Risikomanagement finden Sie unter Erste Schritte mit Insider-Risikomanagementeinstellungen.

Auflösen des Falls

Nachdem Risikoanalysten und Ermittler ihre Überprüfung und Untersuchung abgeschlossen haben, kann ein Fall gelöst werden, um auf alle derzeit in dem Fall enthaltenen Warnungen zu reagieren. Durch das Auflösen eines Falls wird eine Auflösungsklassifizierung hinzugefügt, der Fall status in Geschlossen geändert, und die Gründe für die Lösungsaktion werden automatisch der Warteschlange für Fallnotizen im Dashboard "Fallnotizen" hinzugefügt. Fälle können auf zwei Arten aufgelöst werden:

  • Gutartig: Die Klassifizierung für Fälle, in denen Warnungen zur Richtlinieneinstimmung als risikoarm, nicht schwerwiegend oder falsch positiv bewertet werden.
  • Bestätigter Richtlinienverstoß: Die Klassifizierung für Fälle, in denen Warnungen für Richtlinienabgleiche als riskant, schwerwiegend oder als Ergebnis böswilliger Absichten bewertet werden.

Beheben eines Falls

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus, und wählen Sie dann auf der Symbolleiste der Fallaktion die Option *Groß-/Kleinschreibung auflösen aus.
  5. Wählen Sie im Dialogfeld Fall auflösen das Dropdown-Steuerelement Als Auflösen aus, um die Auflösungsklassifizierung für den Fall auszuwählen. Die Optionen sind "Gutartig" oder " Bestätigt".
  6. Geben Sie im Dialogfeld Fall auflösen die Gründe für die Auflösungsklassifizierung in das Textfeld Aktion ausgeführt ein .
  7. Wählen Sie Auflösen aus, um den Fall zu schließen.