Aktivieren von Analysen im Insider-Risikomanagement

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Die Aktivierung von Microsoft Purview Insider Risk Management-Analysen bietet zwei wichtige Vorteile. Wenn Die Analyse aktiviert ist, haben Sie folgende Möglichkeiten:

• Führen Sie eine Bewertung potenzieller Insiderrisiken in Ihrer Organisation durch, ohne Insider-Risikorichtlinien zu konfigurieren.
• Erhalten Sie Anleitungen in Echtzeit zum Konfigurieren von Indikatorschwellenwerten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Durchführen einer Bewertung von Insider-Risiken in Ihrer Organisation

Mit Microsoft Purview Insider Risk Management-Analysen können Sie potenzielle Insiderrisiken in Ihrer Organisation bewerten, ohne Insider-Risikorichtlinien zu konfigurieren. Diese Auswertung kann Ihrer Organisation helfen, potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang der Insider-Risikomanagementrichtlinien zu bestimmen, die Sie möglicherweise konfigurieren möchten. Analysescans bieten die folgenden Vorteile für Ihre Organisation:

• Einfach zu konfigurieren: Um mit Analysescans zu beginnen, wählen Sie Überprüfung ausführen aus, wenn Sie von der Analyseempfehlung aufgefordert werden, oder wechseln Sie zu Insider-Risikoeinstellungen>Analytics , und aktivieren Sie Analysen.
• Beabsichtigter Datenschutz: Gescannte Ergebnisse und Erkenntnisse werden als aggregierte und anonymisierte Benutzeraktivitäten zurückgegeben. Einzelne Benutzernamen sind von Prüfern nicht identifizierbar. Da das Insider-Risikomanagement keine Identität in der Organisation für Analysen klassifizieren kann, werden von der Lösung alle UPNs/Identitäten erfasst, die möglicherweise an Daten beteiligt sind, die die Organisationsgrenze verlassen. Dies kann Benutzerkonten, Systemkonten, Gastkonten usw. umfassen.
• Verstehen potenzieller Risiken durch konsolidierte Erkenntnisse: Scanergebnisse können Ihnen helfen, potenzielle Risikobereiche für Ihre Benutzer schnell zu identifizieren und welche Richtlinie am besten geeignet wäre, um diese Risiken zu mindern.

Sehen Sie sich das Insider-Risikomanagement-Video an, um zu verstehen, wie Analysen die Identifizierung potenzieller Insider-Risiken beschleunigen können.

Gescannte Bereiche

Analytics sucht nach Risikomanagementaktivitäten aus verschiedenen Quellen, um Erkenntnisse in potenzielle Risikobereiche zu identifizieren. Abhängig von Ihrer aktuellen Konfiguration sucht die Analyse nach qualifizierenden Risikoaktivitäten in den folgenden Bereichen:

• Microsoft 365-Überwachungsprotokolle: Dies ist in allen Überprüfungen enthalten und die primäre Quelle für die Identifizierung der meisten potenziell riskanten Aktivitäten.
• Exchange Online: Die Exchange Online-Aktivität ist in allen Überprüfungen enthalten und hilft bei der Identifizierung von Aktivitäten, bei denen Daten in Anlagen per E-Mail an externe Kontakte oder Dienste gesendet werden.
• Microsoft Entra ID: Der Microsoft Entra-Verlauf ist in allen Überprüfungen enthalten und hilft dabei, riskante Aktivitäten im Zusammenhang mit Benutzern mit gelöschten Benutzerkonten zu identifizieren.
• Microsoft 365 HR-Datenconnector: Falls konfiguriert, helfen HR-Connectorereignisse dabei, riskante Aktivitäten im Zusammenhang mit Benutzern zu identifizieren, die abtreten oder anstehende Beendigungstermine haben.

Analyseerkenntnisse aus Überprüfungen basieren auf denselben Risikomanagementaktivitätssignalen, die von Insider-Risikomanagementrichtlinien verwendet werden, und berichten Ergebnisse basierend auf Einzel- und Sequenzbenutzeraktivitäten. Die Risikobewertung für Analysen basiert jedoch auf einer Aktivität von bis zu 10 Tagen, während Insider-Risikorichtlinien tägliche Aktivitäten verwenden, um Erkenntnisse zu gewinnen. Wenn Sie die Analyse in Ihrer Organisation zum ersten Mal aktivieren und ausführen, werden die Überprüfungsergebnisse für einen Tag angezeigt. Wenn Sie die Analyse aktiviert lassen, werden die Ergebnisse jeder täglichen Überprüfung angezeigt, die den Erkenntnisberichten für einen maximalen Aktivitätsbereich der letzten 10 Tage hinzugefügt wurde.

Erhalten von Echtzeitanleitungen zum Konfigurieren von Schwellenwerteinstellungen für Indikator

Das manuelle Optimieren von Richtlinien zur Verringerung von "Rauschen" kann eine sehr zeitaufwendige Erfahrung sein, bei der Sie viele Test- und Fehlerverfahren durchführen müssen, um die gewünschte Konfiguration für Ihre Richtlinien zu bestimmen. Wenn die Analyse aktiviert ist, können Sie Echtzeiteinblicke erhalten, die Ihnen helfen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, sodass Sie nicht zu wenige oder zu viele Richtlinienwarnungen erhalten. Erfahren Sie mehr über die Verwendung von Echtzeitanalysen zur Verwaltung des Warnungsvolumens.

Aktivieren von Analysen und Starten einer Überprüfung potenzieller Insiderrisiken in Ihrer Organisation

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Um Insider-Risikoanalysen zu aktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Scrollen Sie auf der Registerkarte Übersicht nach unten zur Karte Insider-Risikoanalyse , und wählen Sie dann unter Nach Insiderrisiken in Ihrer Organisation suchen die Option Überprüfung ausführen aus. Dadurch wird die Analyseüberprüfung für Ihre Organisation aktiviert. Analysescanergebnisse können bis zu 48 Stunden dauern, bis Erkenntnisse als Berichte zur Überprüfung verfügbar sind.

Compliance-Portal

1. Melden Sie sich beim Complianceportal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Scrollen Sie auf der Registerkarte Übersicht nach unten zur Karte Insider-Risikoanalyse , und wählen Sie dann unter Nach Insiderrisiken in Ihrer Organisation suchen die Option Überprüfung ausführen aus. Dadurch wird die Analyseüberprüfung für Ihre Organisation aktiviert. Analysescanergebnisse können bis zu 48 Stunden dauern, bis Erkenntnisse als Berichte zur Überprüfung verfügbar sind.

Tipp

Sie können die Überprüfung in Ihrer Organisation auch über die Schaltfläche Einstellungen oben auf jeder Insider-Risikomanagementseite aktivieren. Nachdem Sie die Schaltfläche ausgewählt haben, wählen Sie Analytics aus, und aktivieren Sie dann die Einstellung.

Anzeigen von Analyseerkenntnissen nach der ersten Analyseüberprüfung

Nachdem die erste Analyseüberprüfung für Ihre Organisation abgeschlossen ist, erhalten Mitglieder der Rollengruppe Insider-Risikomanagement-Administratoren automatisch eine E-Mail-Benachrichtigung und können die ersten Erkenntnisse und Empfehlungen für potenziell riskante Aktivitäten Ihrer Benutzer anzeigen. Tägliche Überprüfungen werden fortgesetzt, es sei denn, Sie deaktivieren analysen für Ihre Organisation. E-Mail-Benachrichtigungen an Administratoren werden für jede der drei Bereichskategorien für Analysen (Datenlecks, Diebstahl und Exfiltration) nach der ersten Instanz potenziell riskanter Aktivitäten in Ihrer Organisation bereitgestellt. E-Mail-Benachrichtigungen werden nicht an Administratoren gesendet, um die Aktivität des Risikomanagements nachzuverfolgen, die sich aus den täglichen Überprüfungen ergibt.

Hinweis

Wenn die Einstellung Analyse deaktiviert und dann wieder aktiviert ist, werden automatische E-Mail-Benachrichtigungen zurückgesetzt, und E-Mail-Benachrichtigungen werden an Mitglieder der Rollengruppe Insider-Risikomanagement-Administratoren gesendet, um neue Einblicke in die Überprüfung zu erhalten.

Um potenzielle Risiken für Ihre Organisation anzuzeigen, wechseln Sie zur Registerkarte Übersicht , und wählen Sie dann auf der Karte Insider-Risikoanalysen die Option Ergebnisse anzeigen aus.

Hinweis

Wenn die Überprüfung für Ihre Organisation nicht abgeschlossen ist, wird eine Meldung angezeigt, dass die Überprüfung noch aktiv ist.

Für abgeschlossene Analysen sehen Sie die potenziellen Risiken, die in Ihrer Organisation entdeckt wurden, sowie Erkenntnisse und Empfehlungen zur Bewältigung dieser Risiken. Identifizierte Risiken und spezifische Erkenntnisse sind in Berichten enthalten, die nach Bereich gruppiert sind, der Gesamtzahl der Benutzer (alle Arten von Microsoft Entra-Konten, einschließlich Benutzer, Gast, System usw.) mit identifizierten Risiken, dem Prozentsatz dieser Benutzer mit potenziell riskanten Aktivitäten und einer empfohlenen Insider-Risikorichtlinie, um diese Risiken zu mindern. Die Berichte umfassen Folgendes:

• Erkenntnisse zu Datenlecks: Für alle Benutzer, die versehentliche Überschreitung von Informationen außerhalb Ihrer Organisation oder Datenlecks durch Benutzer mit böswilliger Absicht umfassen können.
• Erkenntnisse zum Datendiebstahl: Für ausscheidende Benutzer oder Benutzer mit gelöschten Microsoft Entra-Konten, die riskante Weitergabe von Informationen außerhalb Ihrer Organisation oder Datendiebstahl durch Benutzer mit böswilligen Absichten umfassen können.
• Wichtigste Exfiltrationserkenntnisse: Für alle Benutzer, die die Freigabe von Daten außerhalb Ihrer Organisation umfassen können.

Um weitere Informationen für einen Einblick anzuzeigen, wählen Sie Details anzeigen aus, um den Detailbereich für die Erkenntnis anzuzeigen. Der Detailbereich enthält die vollständigen Erkenntnisergebnisse, eine Empfehlung für Insider-Risikorichtlinien und die Schaltfläche Richtlinie erstellen , mit der Sie schnell die empfohlene Richtlinie erstellen können. Wenn Sie Richtlinie erstellen auswählen , gelangen Sie zum Richtlinien-Assistenten und wählen automatisch die empfohlene Richtlinienvorlage aus, die sich auf die Erkenntnis bezieht. Wenn die Analyseeinsicht z. B. für die Datendiebstahlaktivität gilt, wird die Richtlinienvorlage "Datendiebstahl " im Richtlinien-Assistenten für Sie vorab ausgewählt.

Deaktivieren von Analysen

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Um die Insider-Risikoanalyse zu deaktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.
2. Wählen Sie in der oberen rechten Ecke der Seite die Schaltfläche Einstellungen aus.
3. Wählen Sie Insider-Risikomanagement aus, um zu den Einstellungen für insider-Risikomanagement zu wechseln.
4. Wählen Sie unter Insider-Risikoeinstellungendie Option Analytics aus, und deaktivieren Sie dann die Einstellung.

Compliance-Portal

1. Melden Sie sich beim Complianceportal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wählen Sie die Schaltfläche Einstellungen und dann Analytics aus.
4. Deaktivieren Sie auf der Seite Analytics die Einstellung.

Nach dem Deaktivieren der Analyse:

• Analyseerkenntnisse bleiben statisch und werden nicht auf neue Risiken aktualisiert.
• Echtzeitanalysen werden nicht angezeigt, wenn Sie die Einstellungen für Den Indikatorschwellenwert für Ihre Richtlinien anpassen.