Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Der adaptive Schutz in Microsoft Purview verwendet maschinelles Lernen, um die kritischsten Risiken zu identifizieren und proaktiv und dynamisch Schutzsteuerelemente anzuwenden:
- Microsoft Purview Data Loss Prevention (DLP)
- Microsoft Purview-Datenlebenszyklusverwaltung (Vorschau)
- Microsoft Entra bedingter Zugriff (Vorschau)
Die Integration in die Verhinderung von Datenverlust, die Verwaltung des Datenlebenszyklus und den bedingten Zugriff hilft Organisationen dabei, ihre Reaktion auf Insiderrisiken zu automatisieren, und reduziert die Zeit, die zum Identifizieren und Beheben potenzieller Bedrohungen erforderlich ist. Mithilfe der Funktionen aller vier Lösungen können Organisationen ein umfassenderes Sicherheitsframework erstellen, das sowohl interne als auch externe Bedrohungen behandelt.
Wichtig
Informationen zu den Lizenzierungsanforderungen für die Verwendung von Adaptive Protection mit Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und bedingtem Zugriff finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11-Abonnements.
Adaptiver Schutz trägt dazu bei, potenzielle Risiken zu minimieren, indem Folgendes verwendet wird:
- Kontextbezogene Erkennung. Hilft bei der Identifizierung der kritischsten Risiken durch ML-gesteuerte Analyse von Inhalts- und Benutzeraktivitäten.
- Dynamische Steuerelemente. Hilft, effektive Kontrollen für Benutzer mit hohem Risiko zu erzwingen, während andere die Produktivität aufrechterhalten.
- Automatisierte Entschärfung. Trägt dazu bei, die Auswirkungen potenzieller Datensicherheitsvorfälle zu minimieren und den Verwaltungsaufwand zu reduzieren.
Der adaptive Schutz weist Benutzern basierend auf den Insider-Risikostufen, die von den Machine Learning-Modellen im Insider-Risikomanagement definiert und analysiert werden, dynamisch geeignete Richtlinien zur Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und bedingtem Zugriff zu. Richtlinien werden basierend auf dem Benutzerkontext adaptiv, um sicherzustellen, dass die effektivste Richtlinie, z. B. das Blockieren der Datenfreigabe durch Verhinderung von Datenverlust oder das Blockieren des Anwendungszugriffs durch bedingten Zugriff, nur auf Benutzer mit hohem Risiko angewendet wird, während Benutzer mit geringem Risiko die Produktivität aufrechterhalten. Die Richtlinienkontrollen zur Verhinderung von Datenverlust und bedingtem Zugriff werden ständig angepasst. Wenn sich die Insider-Risikostufe eines Benutzers ändert, wird dynamisch eine geeignete Richtlinie angewendet, um der neuen Insider-Risikostufe zu entsprechen. Bei der Verwaltung des Datenlebenszyklus erkennt Insider Risk Management Benutzer mit erhöhtem Risiko und behält ihre gelöschten Daten 120 Tage lang mithilfe einer automatisch erstellten Aufbewahrungsbezeichnungsrichtlinie für die Datenlebenszyklusverwaltung bei.
Wichtig
Insider-Risikomanagement ist derzeit in Mandanten verfügbar, die in geografischen Regionen und Ländern gehostet werden, die von Azure Dienstabhängigkeiten unterstützt werden. Um zu überprüfen, ob die Insider-Risikomanagementlösung für Ihre organization unterstützt wird, lesen Sie Azure Verfügbarkeit von Abhängigkeiten nach Land/Region. Insider-Risikomanagement ist für kommerzielle Clouds verfügbar, aber derzeit nicht für Cloudprogramme der US-Regierung.
Sehen Sie sich das folgende Video an, um eine Zusammenfassung darüber zu erhalten, wie adaptiver Schutz dazu beitragen kann, die kritischsten Risiken in Ihrer organization zu identifizieren und zu mindern:
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Insider-Risikostufen und präventive Kontrollen
Mit adaptivem Schutz können Administratoren Risikofaktoren oder Aktivitäten für anpassbare Insider-Risikostufen basierend auf den Anforderungen Ihrer organization konfigurieren. Die Insider-Risikostufen für adaptiven Schutz werden basierend auf den Risikofaktoren und Erkenntnissen der Benutzer kontinuierlich und automatisch aktualisiert. Wenn die Datensicherheitsrisiken der Benutzer zunehmen oder sinken, passen sich ihre Insider-Risikostufen entsprechend an. Basierend auf den Insider-Risikostufen wenden Richtlinien zur Verhinderung von Datenverlust und Richtlinien für bedingten Zugriff automatisch die richtige Ebene der von Administratoren konfigurierten präventiven Kontrollen an, z. B. Blockieren, Blockieren mit Außerkraftsetzung oder Warnung.
Tipp
Insider-Risikostufen im adaptiven Schutz unterscheiden sich von Warnungsschweregraden , die Insider-Risikomanagement-Benutzer basierend auf Aktivitäten zuweisen, die in Insider-Risikomanagement-Richtlinien erkannt wurden.
- Die in diesem Artikel beschriebenen Insider-Risikostufen (Erhöht, Mittel oder Geringfügig) messen das Risiko, das durch vom Administrator definierte Bedingungen bestimmt wird, z. B. die Anzahl der Exfiltrationsaktivitäten, die Benutzer an einem Tag ausführen, oder ob ihre Aktivität eine Warnung zu einem insider-Risiko mit hohem Schweregrad generiert hat.
- Warnungsschweregrade (Niedrig, Mittel oder Hoch) werden Benutzern basierend auf aktivitäten zugewiesen, die in Insider-Risikomanagementrichtlinien erkannt wurden. Diese Ebenen werden basierend auf Warnungsrisikobewertungen berechnet, die allen aktiven Warnungen zugewiesen sind, die dem Benutzer zugeordnet sind. Diese Ebenen helfen Insider-Risikoanalysten und Ermittlern dabei, Benutzeraktivitäten entsprechend zu priorisieren und darauf zu reagieren.
Für die Verwaltung des Datenlebenszyklus überwacht die Datenlebenszyklusverwaltungsrichtlinie Benutzer, die eine erhöhte Risikostufe durch den adaptiven Schutz des Insider-Risikomanagements zuweisen. Wenn ein riskanter Benutzer Inhalte aus SharePoint, OneDrive oder Exchange Online löscht, werden die Inhalte automatisch 120 Tage lang aufbewahrt. Administratoren können sich an den Microsoft-Support wenden, um erhaltene Inhalte wiederherzustellen.
Abhängig von der in Adaptive Protection zugewiesenen Insider-Risikomanagement-Richtlinie werden verschiedene Kriterien (Benutzer, Gruppen, Indikatoren, Schwellenwerte usw.) verwendet, um die geltenden Insider-Risikostufen zu bestimmen. Insider-Risikostufen basieren auf Erkenntnissen der Benutzer, nicht nur auf der Anzahl der Instanzen bestimmter Benutzeraktivitäten. Insights ist eine Berechnung der aggregierten Anzahl von Aktivitäten und des Schweregrads dieser Aktivitäten.
Insider-Risikostufen für Benutzer A würden beispielsweise nicht von Benutzer A bestimmt, der eine potenziell riskante Aktivität mehr als dreimal ausführt. Die Insider-Risikostufen für Benutzer A würden durch einen Einblick in die aggregierte Anzahl von Aktivitäten bestimmt, und Risikobewertungen würden der Aktivität basierend auf den in der ausgewählten Richtlinie konfigurierten Schwellenwerten zugewiesen.
Insider-Risikostufen
Insider-Risikostufen in Adaptive Protection definieren, wie riskant die Aktivität eines Benutzers ist, und können auf Kriterien basieren, z. B. wie viele Exfiltrationsaktivitäten er ausgeführt hat oder ob seine Aktivität eine Insider-Risikowarnung mit hohem Schweregrad generiert hat. Diese Insider-Risikostufen verfügen über integrierte Insider-Risikostufendefinitionen, aber Sie können diese Definitionen nach Bedarf anpassen:
- Erhöhte Risikostufe: Diese Risikostufe umfasst integrierte Definitionen für Benutzer mit Warnungen mit hohem Schweregrad, Benutzer mit mindestens drei Sequenzerkenntnissen, die jeweils über eine Warnung mit hohem Schweregrad für bestimmte Risikoaktivitäten verfügen, oder eine oder mehrere bestätigte Warnungen mit hohem Schweregrad.
- Moderate Risikostufe: Diese Risikostufe umfasst integrierte Definitionen für Benutzer mit mittlerem Schweregrad oder Benutzer mit mindestens zwei Datenexfiltrationsaktivitäten mit hohen Schweregraden.
- Geringe Risikostufe: Diese Risikostufe umfasst integrierte Definitionen für Benutzer mit Warnungen mit niedrigem Schweregrad oder Benutzer mit mindestens einer Datenexfiltrationsaktivität mit einem hohen Schweregrad.
Damit einem Benutzer eine Insider-Risikostufe zugewiesen werden kann, müssen die Anzahl der Erkenntnisse und der Der Aktivität zugewiesene Schweregrad mit der Definition für die Insider-Risikostufe übereinstimmen. Die Anzahl der Aktivitäten für einen Einblick kann eine einzelne Aktivität oder mehrere Aktivitäten sein, die für die einzelne Erkenntnis anfallen. Die Anzahl der Erkenntnisse wird für die Definition der Insider-Risikostufe ausgewertet, nicht die Anzahl der Aktivitäten, die in einer Erkenntnis enthalten sind.
Angenommen, die Bedingungen in der Insider-Risikomanagement-Richtlinie, die dem Bereich adaptiver Schutz zugewiesen ist, um Downloads von SharePoint-Websites in Ihrem organization zu identifizieren. Wenn die Richtlinie erkennt, dass ein Benutzer an einem einzigen Tag 10 Dateien von einer SharePoint-Website heruntergeladen hat, die einen hohen Schweregrad aufweisen, zählt dies als einzelne Erkenntnis, die aus 10 Aktivitätsereignissen besteht. Um dem Benutzer eine erhöhte Risikostufe zuzuweisen, sind zwei zusätzliche Erkenntnisse (mit hohem Schweregrad) für den Benutzer erforderlich. Die zusätzlichen Erkenntnisse enthalten möglicherweise eine oder mehrere Aktivitäten.
Anpassen von Insider-Risikostufen
Mit benutzerdefinierten Insider-Risikostufen können Sie Insider-Risikostufen erstellen, die den Anforderungen Ihrer organization entsprechen. Sie können die Kriterien für die Insider-Risikostufe anpassen und Bedingungen dafür definieren, wann benutzer die Insider-Risikostufe zugewiesen werden sollen.
Sehen Sie sich die folgenden Beispiele für die Verwendung von adaptivem Schutz zusammen mit Der Verhinderung von Datenverlust, der Datenlebenszyklusverwaltung und richtlinien für bedingten Zugriff an.
-
Richtlinien zur Verhinderung von Datenverlust:
- Benutzern mit der Risikostufe "Geringfügig " oder " Mittel" erlauben, Richtlinientipps und Informationen zu bewährten Methoden für den Umgang mit vertraulichen Daten zu erhalten. Mit diesem Ansatz können Sie positive Verhaltensänderungen im Laufe der Zeit beeinflussen und Risiken für Unternehmensdaten verringern.
- Verhindern Sie, dass Benutzer mit der erhöhten Risikostufe vertrauliche Daten speichern oder freigeben, um die Auswirkungen potenzieller Datenvorfälle zu minimieren.
-
Datenlebenszyklus-Verwaltungsrichtlinie:
- Bewahren Sie alle SharePoint-, OneDrive- oder Exchange Online Inhalte, die von einem riskanten Benutzer gelöscht wurden, 120 Tage lang auf. Ein risikobehafteter Benutzer ist in diesem Fall ein Benutzer, dem adaptiver Schutz die Erhöhte Risikostufe zuweist.
-
Richtlinien für bedingten Zugriff:
- Benutzer mit geringer Risikostufe müssen die Nutzungsbedingungen bestätigen, bevor sie eine Anwendung verwenden.
- Blockieren des Zugriffs auf bestimmte Anwendungen durch Benutzer mit mittlerem Risiko.
- Vollständiges Blockieren der Verwendung von Anwendungen durch Benutzer mit erhöhten Risiken. Weitere Informationen zu häufig angewendeten Richtlinien für bedingten Zugriff
Kriterien und Bedingungen der Insider-Risikostufe
Sie können Die Kriterien und Bedingungen der Insider-Risikostufe basierend auf den folgenden Bereichen anpassen:
- Warnungen, die für einen Benutzer generiert oder bestätigt wurden: Wählen Sie Bedingungen basierend auf dem Schweregrad für Warnungen aus, die von der ausgewählten Insider-Risikomanagement-Richtlinie für einen Benutzer generiert oder bestätigt werden. Bedingungen für Warnungen sind nicht additiv. Die Insider-Risikostufe wird einem Benutzer zugewiesen, wenn eine der Bedingungen erfüllt ist.
- Bestimmte Benutzeraktivität: Wählen Sie bedingungen für die zu erkennende Aktivität, ihren Schweregrad und die Anzahl der täglichen Vorkommen während des Vorherigen Aktivitätserkennungsfensters (optional) aus. Bedingungen für Benutzeraktivitäten sind additiv. Die Insider-Risikostufe wird einem Benutzer nur zugewiesen, wenn alle Bedingungen erfüllt sind.
Erkennung vergangener Aktivitäten
Diese Einstellung der Insider-Risikostufe bestimmt, wie viele Tage zurück der adaptive Schutz untersucht, um zu erkennen, ob ein Benutzer die Bedingungen erfüllt, die durch eine der Insider-Risikostufen definiert sind. Die Standardeinstellung ist 7 Tage, aber Sie können zwischen 5 und 30 Tagen der vorherigen Aktivität wählen, um Bedingungen der Insider-Risikostufe anzuwenden. Diese Einstellung gilt nur für Insider-Risikostufen, die auf der täglichen Aktivität eines Benutzers basieren, und schließt Insider-Risikostufen basierend auf Warnungen aus.
Im folgenden Beispiel wird veranschaulicht, wie einstellungen für die Erkennung früherer Aktivitäten und Insider-Risikostufen interagieren, um zu bestimmen, ob die vergangene Aktivität eines Benutzers im Gültigkeitsbereich liegt:
- Einstellung für erhöhte Risikostufe: Der Benutzer führt mindestens drei Sequenzen mit einem hohen Schweregradrisiko aus (67 bis 100)
- Einstellung für die Erkennung vergangener Aktivitäten: 3 Tage
| Benutzeraktivität | Aktivität im Gültigkeitsbereich für Insider-Risikostufe |
|---|---|
| Der Benutzer verfügt täglich über eine Sequenz mit hohem Schweregrad am Tag T-3, T-2, T-1 | Ja |
| Der Benutzer verfügt über eine Sequenz mit hohem Schweregrad an Tag T-4 und zwei Sequenzen mit hohem Schweregrad am Tag T-3. | Nein |
| Der Benutzer verfügt über drei Sequenzen mit hohem Schweregrad am Tag T-3. | Ja |
Zeitrahmen für Insider-Risikoebene
Diese Einstellung der Insider-Risikostufe bestimmt, wie lange eine Insider-Risikostufe einem Benutzer zugewiesen bleibt, bevor sie automatisch zurückgesetzt wird. Die Standardeinstellung beträgt 7 Tage, Aber Sie können zwischen 5 und 30 Tagen wählen, bevor Sie die Insider-Risikostufe für einen Benutzer zurücksetzen.
Insider-Risikostufen werden auch für einen Benutzer zurückgesetzt, wenn:
- Die zugeordnete Warnung für den Benutzer wird geschlossen.
- Der zugehörige Fall für den Benutzer wurde behoben.
- Das Enddatum der Insider-Risikostufe ist manuell abgelaufen.
Hinweis
Wenn einem Benutzer derzeit eine Insider-Risikostufe zugewiesen ist und dieser Benutzer die Kriterien für diese Insider-Risikostufe erneut erfüllt, verlängert sich der Zeitrahmen der Insider-Risikostufe um die definierte Anzahl von Tagen für den Benutzer.
Optionen für den Ablauf der Risikostufe
Wenn Sie diese Option aktivieren (standardmäßig aktiviert), laufen die Risikostufen des adaptiven Schutzes für einen Benutzer automatisch ab, wenn die zugeordnete Warnung für einen Benutzer verworfen oder der zugehörige Fall für den Benutzer geschlossen wird. Wenn Sie die Risikostufe für adaptiven Schutz für einen Benutzer beibehalten möchten, auch wenn die Warnung verworfen oder der Fall geschlossen wird, deaktivieren Sie die Option.
Berechtigungen für adaptiven Schutz
Wichtig
Informationen zu den Lizenzierungsanforderungen für die Verwendung von Adaptive Protection mit Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und bedingtem Zugriff finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11-Abonnements.
Je nachdem, wie Sie integrierte Rollengruppen und Rollengruppen für die Verhinderung von Datenverlust oder bedingten Zugriff verwenden, müssen Sie möglicherweise Berechtigungen für Administratoren, Analysten und Ermittler in Ihrem organization aktualisieren.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die für bestimmte Aufgaben des adaptiven Schutzes erforderlich sind.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Aufgabe | Erforderliche Rollengruppe |
|---|---|
| Konfigurieren des adaptiven Schutzes und Aktualisieren von Einstellungen | Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren |
| Erstellen und Verwalten von Richtlinien für bedingten Zugriff mit der Bedingung "Adaptiver Schutz" | Eine der folgenden Optionen: globaler Admin, Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Erstellen und Verwalten von Richtlinien zur Verhinderung von Datenverlust mit der Bedingung adaptiver Schutz | Eine der folgenden Optionen: Complianceadministrator, Compliancedatenadministrator, DLP-Complianceverwaltung, globaler Administrator |
| Anzeigen von Details zu den zugewiesenen Insider-Risikostufen von Benutzern oder Agents | Insider-Risikomanagement, Insider-Risikomanagement-Analysten oder Insider-Risikomanagement-Ermittler |
Wichtig
Die vier Kategorien von Rollengruppen entsprechen den folgenden Registerkarten auf der Seite Adaptiver Schutz: Insider-Risikostufen, Benutzer zugewiesene Insider-Risikostufen, Verhinderung von Datenverlust, bedingter Zugriff. Wenn Sie nicht der entsprechenden Rollengruppe zugewiesen sind, wird die Registerkarte nicht auf der Seite Adaptiver Schutz angezeigt.
Konfigurieren des adaptiven Schutzes
Abhängig von den Anforderungen Ihrer organization oder wo Sie derzeit mit Insider-Risikomanagement, Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und bedingtem Zugriff konfiguriert sind, haben Sie zwei Möglichkeiten, um mit adaptivem Schutz zu beginnen:
- Schnelleinrichtung
- Benutzerdefinierte Einrichtung
Schnelleinrichtung
Die Schnelleinrichtungsoption ist der schnellste Weg, um mit adaptivem Schutz zu beginnen. Mit dieser Option benötigen Sie keine bereits vorhandenen Richtlinien für Insider-Risikomanagement, Verhinderung von Datenverlust, Datenlebenszyklusverwaltung oder bedingten Zugriff. Sie müssen auch keine Einstellungen oder Features vorkonfigurieren. Wenn Ihr organization nicht über ein aktuelles Abonnement oder eine Lizenz verfügt, die Insider-Risikomanagement, Verhinderung von Datenverlust oder Datenlebenszyklusverwaltung unterstützt, registrieren Sie sich für eine Testversion von Microsoft Purview-Risiko- und Compliancelösungen, bevor Sie mit dem schnell eingerichteten Prozess beginnen. Sie können sich auch für eine Microsoft Entra Testversion für bedingten Zugriff registrieren.
Wählen Sie zunächst auf den Karten für adaptiven Schutz auf der Startseite des Microsoft Purview-Portals oder auf der Übersichtsseite zur Verhinderung von Datenverlust die Option Adaptiven Schutz aktivieren aus. Sie können den Schnelleinrichtungsprozess auch starten, indem Sie zu Insider-Risikomanagement>Adaptiver Schutz>Dashboard>Schnelleinrichtung wechseln.
Hinweis
Wenn Sie bereits ein bereichsbezogener Administrator für Microsoft Purview sind, können Sie die Schnelleinrichtung nicht aktivieren.
So konfiguriert der Schnelleinrichtungsprozess den adaptiven Schutz:
| Bereich | Konfiguration |
|---|---|
| Eine neue Insider-Risikorichtlinie | - Richtlinienvorlage: Datenlecks - Richtlinienname: Adaptive Schutzrichtlinie für Insider-Risikomanagement - Richtlinienbereich für Benutzer und Gruppen: Alle Benutzer und Gruppen - Prioritätsinhalt: Keine - Auslösen von Ereignissen: Ausgewählte Exfiltrationsereignisse (sie können in den Einstellungen für insider-Risikomanagement angezeigt werden) - Richtlinienindikatoren: Eine Teilmenge der Office-Indikatoren (sie können in den Einstellungen für insider-Risikomanagement angezeigt werden) - Risikobewertungs-Booster: Die Aktivität liegt über der üblichen Aktivität des Benutzers an diesem Tag. |
| Insider-Risikostufen für adaptiven Schutz |
-
Erhöhte Risikostufe: Benutzer müssen mindestens drei Exfiltrationssequenzen mit hohem Schweregrad aufweisen. - Moderate Risikostufe: Benutzer müssen mindestens zwei Aktivitäten mit hohem Schweregrad haben (mit Ausnahme einiger Arten von Downloads). - Geringe Risikostufe: Benutzer müssen mindestens eine Aktivität mit hohem Schweregrad haben (mit Ausnahme einiger Arten von Downloads). |
| Insider-Risikoeinstellungen (falls bereits konfiguriert) | - Richtlinienindikatoren: Office-Indikatoren, die noch nicht konfiguriert sind (Sie können in den Einstellungen für Insider-Risikomanagement anzeigen) – Alle anderen zuvor konfigurierten Einstellungen werden nicht aktualisiert oder geändert. - Analyse: Ein (Schwellenwerte zum Auslösen von Ereignissen in Richtlinien sind die Standardeinstellungen, die von Analytics-Empfehlungen bestimmt werden) |
| Insider-Risikoeinstellungen (sofern noch nicht konfiguriert) | - Datenschutz: Anonymisierte Versionen von Benutzernamen anzeigen.
Anmerkung: Benutzernamen werden beim bedingten Zugriff oder der Verhinderung von Datenverlust nicht anonymisiert. - Richtlinienzeitrahmen: Standardwerte - Richtlinienindikatoren: Eine Teilmenge der Office-Indikatoren (sie können in den Einstellungen für insider-Risikomanagement angezeigt werden) - Risikobewertungs-Booster: Alle - Intelligente Erkennungen: Warnungslautstärke = Standardlautstärke - Analytics: Ein - Admin Benachrichtigungen: Benachrichtigungs-E-Mail senden, wenn die erste Warnung an alle generiert wird |
| Neue Richtlinie für bedingten Zugriff (erstellt im reinen Berichtsmodus, damit Benutzer nicht blockiert werden) |
1: Blockieren des Zugriffs für Benutzer mit Insider-Risiko (Vorschau) - Eingeschlossene Benutzer: Alle Benutzer - Ausgeschlossene Gastbenutzer oder externe Benutzer: B2bDirectConnect-Benutzer; OtherExternalUser; ServiceProvider – Cloud-Apps: Office 365-Apps - Insider-Risikostufen: Erhöht - Zugriff blockieren: Ausgewählt |
| Neue Richtlinie für die Datenlebenszyklusverwaltung | Eine organization richtlinie für automatische Bezeichnungen, die Benutzer überwacht, denen die Erhöhte Risikostufe zugewiesen ist. Alle SharePoint-, OneDrive- oder Exchange Online Inhalte, die von einem riskanten Benutzer gelöscht wurden, werden 120 Tage lang aufbewahrt. Wenn Sie den adaptiven Schutz noch nicht aktiviert haben, wird die Richtlinie automatisch erstellt und angewendet, wenn Sie den adaptiven Schutz aktivieren. Wenn Sie den adaptiven Schutz bereits aktiviert haben, müssen Sie sich explizit für die Richtlinie für die Datenlebenszyklusverwaltung anmelden , die automatisch erstellt wird. |
| Zwei neue Richtlinien zur Verhinderung von Datenverlust |
Adaptive Protection-Richtlinie für Endpunkt-DLP - Regel mit erhöhter Risikoebene: Blockiert - Mäßig/Regel für kleinere Risikostufen : Überwachung - Die Richtlinie wird im Testmodus gestartet (nur Überwachen) Adaptive Protection-Richtlinie für Teams und Exchange DLP - Regel mit erhöhter Risikoebene: Blockiert - Mäßig/Regeln für kleinere Risikostufen : Überwachung - Die Richtlinie wird im Testmodus gestartet (nur Überwachen) |
Nachdem Sie den Schnelleinrichtungsprozess gestartet haben, kann es bis zu 72 Stunden dauern, bis die folgenden Elemente abgeschlossen sind:
- Analyse
- Zugehörige Richtlinien für Insider-Risikomanagement, Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und bedingten Zugriff
- Insider-Risikostufen für adaptiven Schutz, Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und Aktionen für bedingten Zugriff, die auf anwendbare Benutzeraktivitäten angewendet werden.
Hinweis
Nachdem Sie den adaptiven Schutz aktiviert haben, deaktivieren Sie ihn nicht, bevor der Setupvorgang abgeschlossen ist. Das Deaktivieren des adaptiven Schutzes vor Abschluss des Setupvorgangs kann zu Richtlinienfehlern führen.
Administratoren erhalten eine Benachrichtigungs-E-Mail, wenn der Schnelleinrichtungsprozess abgeschlossen ist.
Benutzerdefinierte Einrichtung
Mit der benutzerdefinierten Setupoption können Sie die Insider-Risikomanagement-Richtlinie, die Insider-Risikostufen sowie die Richtlinien zur Verhinderung von Datenverlust und bedingten Zugriff anpassen, die für adaptiven Schutz konfiguriert sind.
Hinweis
Wenn Sie den adaptiven Schutz für die Datenlebenszyklusverwaltung nicht aktivieren, wird die Richtlinie nicht automatisch erstellt und angewendet. Wenn Sie adaptiven Schutz für Ihre organization aktivieren, müssen Sie sich explizit für die Anwendung der Datenlebenszyklusverwaltungsrichtlinie anmelden.
Mit dieser Option können Sie auch diese Elemente konfigurieren, bevor Sie die Verbindungen des adaptiven Schutzes zwischen Insider-Risikomanagement und Verhinderung von Datenverlust aktivieren. Verwenden Sie diese Option in den meisten Fällen, wenn Ihr organization bereits über Richtlinien zum Insider-Risikomanagement und zur Verhinderung von Datenverlust verfügt.
Führen Sie die folgenden Schritte aus, um den adaptiven Schutz mithilfe des benutzerdefinierten Setups zu konfigurieren.
Schritt 1: Erstellen einer Insider-Risikomanagement-Richtlinie
Weisen Sie Benutzern oder Agents Insider-Risikostufen zu, wenn eine in Adaptive Protection zugewiesene Richtlinie entweder Benutzer- oder Agentaktivitäten erkennt oder Warnungen generiert, die den Bedingungen der Insider-Risikostufe entsprechen, die Sie im nächsten Schritt definieren. Wenn Sie keine vorhandene Richtlinie für das Insider-Risikomanagement verwenden möchten, erstellen Sie eine neue Richtlinie für insider-Risikomanagement. Ihre Insider-Risikomanagement-Richtlinie für adaptiven Schutz sollte Folgendes umfassen:
- Benutzer, deren Aktivität Sie erkennen möchten. Diese Gruppe kann alle Benutzer und Gruppen in Ihrem organization oder nur eine Teilmenge für bestimmte Risikominderungsszenarien oder Testzwecke enthalten.
- Aktivitäten, die Sie als riskant betrachten, und benutzerdefinierte Schwellenwerte, die die Risikobewertung einer Aktivität beeinflussen. Riskante Aktivitäten können das Senden von E-Mails von Personen außerhalb Ihrer organization oder das Kopieren von Dateien auf USB-Geräte umfassen.
Wählen Sie Insider-Risikorichtlinie erstellen aus, um den neuen Richtlinienworkflow zu starten. Die Richtlinienvorlage "Datenlecks " wird automatisch im Workflow ausgewählt, Sie können jedoch eine beliebige Richtlinienvorlage auswählen.
Wichtig
Abhängig von der ausgewählten Richtlinienvorlage müssen Sie möglicherweise zusätzliche Einstellungen für die Richtlinie konfigurieren, um potenziell riskante Aktivitäten ordnungsgemäß zu erkennen und entsprechende Warnungen zu erstellen.
Schritt 2: Konfigurieren der Einstellungen der Insider-Risikostufe
Wählen Sie die Registerkarte Insider-Risikostufen aus. Wählen Sie zunächst die Insider-Risikomanagement-Richtlinie aus, die Sie für adaptiven Schutz verwenden möchten. Diese Richtlinie kann die neue Richtlinie sein, die Sie in Schritt 1 erstellt haben, oder eine vorhandene Richtlinie oder Richtlinien, die Sie bereits konfiguriert haben.
Akzeptieren Sie als Nächstes die geltenden integrierten Bedingungen der Insider-Risikostufe, oder erstellen Sie eigene Bedingungen. Abhängig von der Art der ausgewählten Richtlinie spiegeln die Bedingungen der Insider-Risikostufe die anwendbaren Bedingungen im Zusammenhang mit Indikatoren und Aktivitäten wider, die Sie in der Richtlinie konfigurieren.
Wenn Sie beispielsweise eine Richtlinie basierend auf der Richtlinienvorlage "Datenlecks " auswählen, gelten die integrierten Optionen für die Insider-Risikostufe für Indikatoren und Aktivitäten, die in dieser Richtlinie verfügbar sind. Wenn Sie eine Richtlinie basierend auf der Richtlinienvorlage Sicherheitsrichtlinienverletzungen auswählen, gelten die integrierten Bedingungen der Insider-Risikostufe automatisch für Indikatoren und Aktivitäten, die in dieser Richtlinie verfügbar sind.
Anpassen einer Insider-Risikostufe für Ihre Richtlinie
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
Wechseln Sie zur Insider-Risikomanagement-Lösung .
Wählen Sie im linken Navigationsbereich Adaptiver Schutz und dann Insider-Risikostufen aus.
Wählen Sie auf der Seite Insider-Risikostufen die Option Bearbeiten für die Insider-Risikostufe aus, die Sie anpassen möchten (Erhöht, Mittel oder Minder).
Wählen Sie im Bereich Benutzerdefinierte Insider-Risikostufe eine Option im Abschnitt Insider-Risikostufe basierend auf aus:
- Warnung für einen Benutzer generiert oder bestätigt
- Bestimmte Benutzeraktivität
Wenn Sie die Option Warnung generiert oder bestätigt für einen Benutzer auswählen, wählen Sie die Schweregrade für Warnungen aus, die für einen Benutzer generiert oder bestätigt werden, der diese Insider-Risikostufe verwenden soll. Sie können den Schweregrad für generierte Warnungen und den Schweregrad für bestätigte Warnungen beibehalten oder eine dieser Bedingungen entfernen, wenn Sie nur eine verwenden möchten. Wenn Sie eine dieser Bedingungen wieder hinzufügen müssen, wählen Sie Bedingung hinzufügen und dann die Bedingung aus. Wählen Sie für jede Bedingung den Schweregrad aus, der für die Bedingung angewendet werden soll (Hoch, Mittel oder Niedrig). Wenn eine der Bedingungen erfüllt ist, wird die Insider-Risikostufe einem Benutzer zugewiesen.
Wenn Sie die Option Bestimmte Benutzeraktivität auswählen, wählen Sie die zu erkennende Aktivität, ihren Schweregrad und die Anzahl der täglichen Vorkommen während des letzten Aktivitätserkennungsfensters aus. Sie müssen die Bedingungen Aktivitäten, Aktivitätsschweregrad und Aktivitätsereignisse während des Erkennungsfensters für diese Insider-Risikostufe konfigurieren.
Für die Bedingung Aktivitäten werden die Optionen, aus denen Sie wählen können, automatisch für die Arten von Aktivitäten aktualisiert, die Sie mit den in der zugeordneten Richtlinie konfigurierten Indikatoren definieren. Aktivieren Sie bei Bedarf das Kontrollkästchen Diese Insider-Risikostufe jedem Benutzer zuweisen, dem eine zukünftige Warnung bestätigt wurde, auch wenn die oben genannten Bedingungen nicht erfüllt sind . Wenn alle Bedingungen erfüllt sind, wird die Insider-Risikostufe einem Benutzer zugewiesen.
Geben Sie für die Bedingung Aktivitätsschweregrad den Schweregrad für die Aktivitäten an, die in der täglichen Aktivitätserkenntnisse enthalten sind. Die Optionen sind Hoch, Mittel und Niedrig und basieren auf Risikobewertungsbereichen.
Geben Sie für die Bedingung Aktivitätsereignisse während des Erkennungsfensters an, wie oft ausgewählte Aktivitäten innerhalb des angegebenen Zeitraums für die Erkennung vergangener Aktivitäten erkannt werden müssen. Diese Zahl steht nicht im Zusammenhang mit der Anzahl von Ereignissen, die für eine Aktivität auftreten können. Wenn die Richtlinie beispielsweise erkennt, dass ein Benutzer an einem Tag 20 Dateien von SharePoint heruntergeladen hat, ist dies eine tägliche Aktivitätsersicht, die aus 20 Ereignissen besteht.
Wählen Sie Bestätigen aus, um die bedingungen für die benutzerdefinierte Insider-Risikostufe anzuwenden.
Wie die Insider-Risikostufe zugewiesen wird, wenn sich ein Benutzer im Bereich mehrerer Richtlinien befindet
Wenn sich ein Benutzer im Gültigkeitsbereich für mehrere Richtlinien befindet und Warnungen mit unterschiedlichen Schweregraden erhält, wird dem Benutzer der höchste empfangene Schweregrad zugewiesen. Betrachten Sie beispielsweise eine Richtlinie, die eine Erhöhte Risikostufe zuweist, wenn Benutzer eine Warnung mit hohem Schweregrad erhalten. Wenn ein Benutzer eine Warnung mit niedrigem Schweregrad von Richtlinie 1, eine Warnung mit mittlerem Schweregrad aus Richtlinie 2 und eine Warnung mit hohem Schweregrad von Richtlinie 3 erhält, wird dem Benutzer eine Erhöhte Risikostufe zugewiesen– die Stufe für den höchsten empfangenen Warnungsschweregrad.
Bedingungen auf Insider-Risikoebene müssen in ausgewählten Richtlinien vorhanden sein, um erkannt zu werden. Wenn Sie z. B. die Aktivität Auf USB kopieren auswählen, um die Risikostufe Mittel zuzuweisen, die Aktivität jedoch nur in einer von drei ausgewählten Richtlinien ausgewählt ist, weist nur die Aktivität aus dieser Richtlinie eine Risikostufe Mittel für diese Aktivität zu.
Schritt 3: Erstellen oder Bearbeiten einer Richtlinie zur Verhinderung von Datenverlust
Erstellen Sie als Nächstes eine neue Richtlinie zur Verhinderung von Datenverlust, oder bearbeiten Sie eine vorhandene Richtlinie, um Aktionen für Benutzer einzuschränken, die ihren Bedingungen der Insider-Risikostufe in Adaptiver Schutz entsprechen. Verwenden Sie die folgenden Richtlinien für die Konfiguration Ihrer Richtlinie zur Verhinderung von Datenverlust:
- Sie müssen die Insider-Risikostufe des Benutzers für adaptiven Schutz ist in Ihre Richtlinie zur Verhinderung von Datenverlust einschließen. Diese Richtlinie zur Verhinderung von Datenverlust kann bei Bedarf andere Bedingungen enthalten.
- Obwohl Sie andere Speicherorte in die Richtlinie zur Verhinderung von Datenverlust einschließen können, unterstützt adaptiver Schutz derzeit nur Exchange, Microsoft Teams und Geräte.
Wählen Sie Richtlinie erstellen aus, um den Workflow zur Verhinderung von Datenverlust zu starten und eine neue Richtlinie zur Verhinderung von Datenverlust zu erstellen. Wenn Sie über eine vorhandene Richtlinie zur Verhinderung von Datenverlust verfügen, die Sie für adaptiven Schutz konfigurieren möchten, wechseln Sie im Microsoft Purview-Portal zuRichtlinienzur Verhinderung von> Datenverlust, und wählen Sie die Richtlinie zur Verhinderung von Datenverlust aus, die Sie für adaptiven Schutz aktualisieren möchten. Anleitungen zum Konfigurieren einer neuen Richtlinie zur Verhinderung von Datenverlust oder zum Aktualisieren einer vorhandenen Richtlinie zur Verhinderung von Datenverlust für adaptiven Schutz finden Sie unter Informationen zum adaptiven Schutz bei der Verhinderung von Datenverlust: Manuelle Konfiguration.
Tipp
Es wird empfohlen, die Richtlinie zur Verhinderung von Datenverlust (mit Richtlinientipps) zu testen, damit Sie warnungen zur Verhinderung von Datenverlust überprüfen können, um sicherzustellen, dass die Richtlinie wie erwartet funktioniert, bevor Sie adaptiven Schutz aktivieren.
Schritt 4: Erstellen oder Bearbeiten einer Richtlinie für bedingten Zugriff
Erstellen Sie als Nächstes eine neue Richtlinie für bedingten Zugriff, oder bearbeiten Sie eine vorhandene Richtlinie, um Aktionen für Benutzer einzuschränken, die Ihren Bedingungen der Insider-Risikostufe in Adaptiver Schutz entsprechen. Verwenden Sie die folgenden Richtlinien für ihre Richtlinienkonfiguration für bedingten Zugriff:
- Legen Sie auf der Seite Bedingter Zugriff, auf der Sie den Zugriff basierend auf Signalen von Bedingungen steuern, die Insider-Risikobedingung auf Ja fest, und wählen Sie dann eine Insider-Risikostufe (erhöht, Mittel oder Minder) aus. Dies ist die Insider-Risikostufe, über die Benutzer verfügen müssen, damit die Richtlinie erzwungen wird.
Wählen Sie Richtlinie erstellen aus, um den Workflow für Richtlinien für bedingten Zugriff zu starten und eine neue Richtlinie für bedingten Zugriff zu erstellen. Wenn Sie über eine vorhandene Richtlinie für bedingten Zugriff verfügen, die Sie für adaptiven Schutz konfigurieren möchten, wechseln Sie im Microsoft Entra Admin Center zu Schutz>bedingter Zugriff, und wählen Sie die Richtlinie für bedingten Zugriff aus, die Sie für adaptiven Schutz aktualisieren möchten. Anleitungen zum Konfigurieren einer neuen Richtlinie für bedingten Zugriff oder zum Aktualisieren einer vorhandenen Richtlinie für bedingten Zugriff für adaptiven Schutz finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Insider-risikobasierte Richtlinie.
Schritt 5: Aktivieren des adaptiven Schutzes
Nachdem Sie alle vorherigen Schritte ausgeführt haben, können Sie den adaptiven Schutz aktivieren. Wenn Sie den adaptiven Schutz aktivieren:
- Die Insider-Risikomanagement-Richtlinie sucht nach Benutzeraktivitäten, die Ihren Bedingungen der Insider-Risikostufe entsprechen. Falls erkannt, werden die Insider-Risikostufen den Benutzern zugewiesen.
- Benutzer, denen Insider-Risikostufen zugewiesen sind, werden auf der Registerkarte Benutzer zugewiesene Insider-Risikostufen unter Adaptiver Schutz angezeigt.
- Die Richtlinie zur Verhinderung von Datenverlust wendet Schutzaktionen für alle Benutzer an, die Insider-Risikostufen zugewiesen sind, die in der Richtlinie zur Verhinderung von Datenverlust enthalten sind. Die Richtlinie zur Verhinderung von Datenverlust wird der Registerkarte Verhinderung von Datenverlust im adaptiven Schutz hinzugefügt. Sie können Details zur Richtlinie zur Verhinderung von Datenverlust anzeigen und Richtlinienbedingungen im Dashboard bearbeiten.
- Die Richtlinie für die Datenlebenszyklusverwaltung, die automatisch erstellt wird, wendet Schutzaktionen für jeden Benutzer an, der der Erhöhten Risikostufe zugewiesen ist. Die folgende Meldung wird mit einem grünen Hintergrund auf der Registerkarte Adaptiver Schutz angezeigt, um Benutzer darüber zu informieren, dass die proaktive Datenarchivierung angewendet wird: "Ihre organization wird auch dynamisch vor Benutzern geschützt, die möglicherweise kritische Daten löschen." Die Meldung enthält auch einen Link zur Einstellung für die Datenlebenszyklusverwaltung, in der Sie das Feature für die proaktive Datenarchivierung bei Bedarf deaktivieren können.
- Die Richtlinie für bedingten Zugriff wendet Schutzaktionen für alle Benutzer an, die Insider-Risikostufen zugewiesen sind, die in der Richtlinie für bedingten Zugriff enthalten sind. Die Richtlinie für bedingten Zugriff wird der Registerkarte Richtlinien für bedingten Zugriff unter Adaptiver Schutz hinzugefügt. Sie können Details zur Richtlinie für bedingten Zugriff anzeigen und Richtlinienbedingungen im Dashboard bearbeiten.
Wählen Sie zum Aktivieren des adaptiven Schutzes die Registerkarte Einstellungen für adaptiven Schutz aus, und aktivieren Sie adaptiver Schutz auf Ein. Es kann bis zu 36 Stunden dauern, bis Sie erwarten können, dass die Insider-Risikostufen für adaptiven Schutz und die Verhinderung von Datenverlust, die Verwaltung des Datenlebenszyklus und aktionen für bedingten Zugriff auf die entsprechenden Benutzeraktivitäten angewendet werden.
Sehen Sie sich das folgende Video auf dem Microsoft Mechanics-Kanal an, um zu erfahren, wie adaptiver Schutz die Stärke des Datenschutzes basierend auf berechneten Datenschutz-Insider-Risikostufen von Benutzern automatisch anpassen kann.
Verwalten des adaptiven Schutzes
Wenn Sie adaptiven Schutz aktivieren und Ihre Richtlinien für Insider-Risikomanagement, Verhinderung von Datenverlust und bedingten Zugriff konfigurieren, können Sie auf Informationen zu Richtlinienmetriken, aktuellen Benutzern im Gültigkeitsbereich und Insider-Risikostufen zugreifen, die sich derzeit im Gültigkeitsbereich befinden.
Hinweis
Metriken für die Datenlebenszyklusverwaltung werden derzeit nicht auf dem Dashboard angezeigt. Wenn die proaktive Datenaufhaltung aktiviert ist, wird auf der Registerkarte Adaptiver Schutz die folgende Meldung angezeigt: "Ihr organization wird auch dynamisch vor Benutzern geschützt, die möglicherweise kritische Daten löschen."
Dashboard
Nachdem Sie entweder den Schnell - oder benutzerdefinierten Setupvorgang abgeschlossen haben, werden auf der Registerkarte Dashboard unter Adaptiver Schutz Widgets mit zusammenfassenden Informationen zu Den Risikostufen für Benutzer-Insider, Richtlinien für bedingten Zugriff und Richtlinien zur Verhinderung von Datenverlust angezeigt.
- Benutzern zugewiesene Insider-Risikostufen: Zeigt die Anzahl der Benutzer für jede Insider-Risikostufe (Erhöht, Mittel und Geringfügig) an.
- Richtlinien mit Insider-Risikostufen: Zeigt die status von Richtlinien (Nicht gestartet oder abgeschlossen), den Typ der Richtlinie (bedingter Zugriff oder Verhinderung von Datenverlust) und die Anzahl der konfigurierten Richtlinien für jeden Richtlinientyp an. Wenn kein Richtlinientyp konfiguriert ist, wählen Sie Schnelleinrichtung aus, um die Richtlinie zu konfigurieren.
Benutzer, denen Insider-Risikostufen zugewiesen sind
Auf der Registerkarte Benutzer zugewiesene Insider-Risikostufen werden Benutzer angezeigt, denen eine Insider-Risikostufe in Adaptiver Schutz zugewiesen ist. Sie können die folgenden Informationen für jeden Benutzer überprüfen:
Benutzer: Listet den Benutzernamen auf. Wenn für Richtlinien zur Verhinderung von Datenverlust die Option Anonymisierte Versionen von Benutzernamen anzeigen in den Einstellungen des Insider-Risikomanagements ausgewählt ist, werden anonymisierte Benutzernamen angezeigt. Für Richtlinien für bedingten Zugriff werden Benutzernamen nicht anonymisiert, auch wenn die Einstellung Anonymisierte Versionen von Benutzernamen anzeigen ausgewählt ist.
Wichtig
Um die referenzielle Integrität aufrechtzuerhalten, wird die Anonymisierung von Benutzernamen (sofern aktiviert) für Benutzer des adaptiven Schutzes, die Warnungen oder Aktivitäten haben, die außerhalb des Insider-Risikomanagements angezeigt werden, nicht beibehalten. Tatsächliche Benutzernamen werden in verwandten Warnungen zur Verhinderung von Datenverlust und im Aktivitäts-Explorer angezeigt.
Insider-Risikostufe: Die aktuelle Insider-Risikostufe, die dem Benutzer zugewiesen ist.
Dem Benutzer zugewiesen: Die Anzahl der Tage oder Monate, die verstrichen sind, seit dem Benutzer eine Insider-Risikostufe zugewiesen wurde.
Zurücksetzen der Insider-Risikostufe: Die Anzahl der Tage, bis die Insider-Risikostufe automatisch für den Benutzer zurückgesetzt wird.
Um die Insider-Risikostufe für einen Benutzer manuell zurückzusetzen, wählen Sie den Benutzer und dann Ablauf aus. Dieser Benutzer verfügt nicht mehr über eine zugewiesene Insider-Risikostufe. Vorhandene Warnungen oder Fälle für diesen Benutzer werden nicht entfernt. Wenn dieser Benutzer in der ausgewählten Insider-Risikomanagement-Richtlinie enthalten ist, wird erneut eine Insider-Risikostufe zugewiesen, wenn ein auslösendes Ereignis erkannt wird.
Aktive Warnungen: Die Anzahl der aktuellen Insider-Risikomanagement-Warnungen für den Benutzer.
Als Verstoß bestätigte Fälle: Die Anzahl der bestätigten Fälle für den Benutzer.
Groß-/Kleinschreibung: Der Name des Falls.
Sie können Benutzer nach Insider-Risikostufe filtern.
Wenn Sie detaillierte Informationen zu Insider-Risiken und adaptivem Schutz für einen bestimmten Benutzer anzeigen möchten, wählen Sie den Benutzer aus, um den Bereich mit den Benutzerdetails zu öffnen. Der Detailbereich enthält drei Registerkarten: Benutzerprofil, Benutzeraktivität und Zusammenfassung des adaptiven Schutzes. Informationen zu den Registerkarten Benutzerprofil und Benutzeraktivität finden Sie unter Anzeigen von Benutzerdetails.
Auf der Registerkarte Zusammenfassung des adaptiven Schutzes werden Informationen in vier Abschnitten zusammengefasst:
- Adaptiver Schutz: Zeigt Informationen zur aktuellen Risikostufe, der zugewiesenen Risikostufe und zum Zurücksetzen der Risikostufe für den Benutzer an.
- Richtlinien zur Verhinderung von Datenverlust im Bereich (dynamisch): Zeigt alle Richtlinien zur Verhinderung von Datenverlust an, die sich derzeit im Bereich des Benutzers befinden, sowie das Start- und Enddatum für die Richtlinie. Diese Informationen basieren auf der Insider-Risikostufe für den Benutzer und der Richtlinienkonfiguration zur Verhinderung von Datenverlust für Insider-Risikostufen. Wenn ein Benutzer beispielsweise über Aktivitäten verfügt, die als Erhöhte Risikostufe für Insider-Risikomanagementrichtlinien definiert sind, und zwei Richtlinien zur Verhinderung von Datenverlust mit der Bedingung Erhöhte Risikoebene konfiguriert sind, werden diese beiden Richtlinien zur Verhinderung von Datenverlust hier für den Benutzer angezeigt.
- Richtlinien für bedingten Zugriff im Bereich (dynamisch): Zeigt alle Richtlinien für bedingten Zugriff an, die sich derzeit im Bereich des Benutzers befinden, sowie das Start- und Enddatum für die Richtlinie. Diese Informationen basieren auf der Insider-Risikostufe für den Benutzer und der Richtlinienkonfiguration für bedingten Zugriff für Insider-Risikostufen. Wenn ein Benutzer beispielsweise über Aktivitäten verfügt, die als Erhöhte Risikostufe für Insider-Risikomanagementrichtlinien definiert sind, und eine Richtlinie für bedingten Zugriff mit der Bedingung Erhöhte Risikostufe konfiguriert ist, wird die Richtlinie für bedingten Zugriff hier für den Benutzer angezeigt.
- Insider-Risikorichtlinie für adaptiven Schutz: Zeigt alle Insider-Risikomanagement-Richtlinien an, bei denen sich der Benutzer derzeit im Gültigkeitsbereich befindet.
Richtlinien für bedingten Zugriff
Auf der Seite Richtlinien für bedingten Zugriff werden alle Richtlinien für bedingten Zugriff angezeigt, die die Insider-Risikobedingung verwenden. Sie können die folgenden Informationen für jede Richtlinie überprüfen:
- Richtlinienname: Der Name der Richtlinie für bedingten Zugriff.
- Richtlinienstatus: Der aktuelle Status der Richtlinie. Die Werte sind Aktiv oder Inaktiv.
- Insider-Risikostufen: Die Insider-Risikostufen, die in der Richtlinie für bedingten Zugriff enthalten sind, indem die Bedingung Insider-Risiko verwendet wird. Die Optionen sind "Erhöht", "Mittel" oder " Neben".
- Policy status: Die aktuelle status der Richtlinie für bedingten Zugriff. Die Optionen sind Ein oder Test mit Benachrichtigungen.
- Erstellt am: Das Datum, an dem Sie die Richtlinie für bedingten Zugriff erstellt haben.
- Letzte Änderung: Das Datum, an dem Sie die Bedingungsrichtlinie zuletzt bearbeitet haben.
Richtlinien zur Verhinderung von Datenverlust
Auf der Seite Richtlinien zur Verhinderung von Datenverlust werden alle Richtlinien zur Verhinderung von Datenverlust angezeigt, die die Insider-Risikostufe des Benutzers für adaptiven Schutz ist bedingung verwenden. Sie können die folgenden Informationen für jede Richtlinie überprüfen:
- Richtlinienname: Der Name der Richtlinie zur Verhinderung von Datenverlust.
- Richtlinienstatus: Der aktuelle Status der Richtlinie. Die Werte sind Aktiv oder Inaktiv.
- Richtlinienspeicherort: Die In der Richtlinie zur Verhinderung von Datenverlust enthaltenen Speicherorte . Derzeit unterstützt Adaptive Protection Exchange, Teams und Geräte.
- Insider-Risikostufen: Die Insider-Risikostufen, die in der Richtlinie zur Verhinderung von Datenverlust enthalten sind, indem die Insider-Risikostufe für adaptiven Schutz verwendet wird, ist Bedingung. Die Optionen sind "Erhöht", "Mittel" oder " Neben".
- Policy status: Die aktuelle status der Richtlinie zur Verhinderung von Datenverlust. Die Optionen sind Ein oder Test mit Benachrichtigungen.
- Erstellt: Das Datum, an dem Sie die Richtlinie zur Verhinderung von Datenverlust erstellt haben.
- Letzte Änderung: Das Datum, an dem Sie die Richtlinie zur Verhinderung von Datenverlust zuletzt bearbeitet haben.
Optimieren der Einstellungen der Insider-Risikostufe
Nachdem Sie Benutzer mit Insider-Risikostufen überprüft haben, finden Sie möglicherweise zu viele oder zu wenige Benutzer, denen eine Insider-Risikostufe zugewiesen ist. Verwenden Sie diese beiden Methoden, um Ihre Richtlinienkonfigurationen zu optimieren und die Anzahl der Benutzer anzupassen, denen Insider-Risikostufen zugewiesen sind:
-
Ändern Sie die Einstellungen der Insider-Risikostufe. Passen Sie Ihre Schwellenwerte an, um einem Benutzer eine Insider-Risikostufe zuzuweisen:
- Erhöhen oder verringern Sie den Schweregrad der Aktivität, die erforderlich ist, um eine Insider-Risikostufe zuzuweisen. Reduzieren Sie beispielsweise den Aktivitäts- oder Warnungsschweregrad, wenn zu wenige Benutzer mit Insider-Risikostufen angezeigt werden.
- Wenn die Insider-Risikostufe auf einer bestimmten Benutzeraktivität basiert, erhöhen oder verringern Sie die Aktivitätsereignisse während des Erkennungsfensters. Reduzieren Sie beispielsweise die Aktivitätsereignisse, wenn zu wenige Benutzer mit Insider-Risikostufen angezeigt werden.
- Ändern Sie, worauf die Insider-Risikostufe basiert. Weisen Sie beispielsweise nur dann eine Insider-Risikostufe zu, wenn die Warnung bestätigt wird, um die Anzahl der Benutzer zu verringern, wenn zu viele Benutzer mit Insider-Risikostufen angezeigt werden.
- Ändern von Richtlinienschwellenwerten. Da Richtlinienerkennungen Insider-Risikostufen zuweisen, ändern Sie Ihre Richtlinie, um die Anforderungen zu ändern, um eine Insider-Risikostufe zuzuweisen. Ändern Sie eine Richtlinie, indem Sie die Richtlinienschwellenwerte erhöhen oder verringern, die zu Aktivitäten und Warnungen mit hohem, mittlerem oder niedrigem Schweregrad führen.
Deaktivieren des adaptiven Schutzes
In bestimmten Szenarien müssen Sie den adaptiven Schutz möglicherweise vorübergehend deaktivieren. Um den adaptiven Schutz zu deaktivieren, wählen Sie die Registerkarte Adaptiver Schutz mit den Einstellungen aus, und aktivieren Sie adaptiven Schutzaus.
Wenn Sie den adaptiven Schutz deaktivieren, nachdem er aktiviert und aktiv war, beendet das System die Zuweisung von Insider-Risikostufen für Benutzer und beendet die Freigabe dieser Risikostufen für die Verhinderung von Datenverlust, die Verwaltung des Datenlebenszyklus und den bedingten Zugriff. Alle vorhandenen Insider-Risikostufen für Benutzer werden zurückgesetzt. Nach dem Deaktivieren des adaptiven Schutzes kann es bis zu sechs Stunden dauern, bis die Zuweisung von Insider-Risikostufen zu Benutzeraktivitäten beendet und alle zurückgesetzt wurden. Die Richtlinien für Insider-Risikomanagement, Verhinderung von Datenverlust, Datenlebenszyklusverwaltung und bedingten Zugriff werden nicht automatisch gelöscht.
Hinweis
Sie können den Schutz der Datenlebenszyklusverwaltung deaktivieren, ohne den adaptiven Schutz des Insider-Risikomanagements zu deaktivieren, indem Sie die Einstellung Adaptiver Schutz in der Datenlebenszyklusverwaltung in der Datenlebenszyklusverwaltung deaktivieren. Wenn Sie diese Einstellung deaktivieren, wird die Richtlinie für die Datenlebenszyklusverwaltung gelöscht. Die Einstellung wird nur dann wieder aktiviert, wenn Sie sie wieder aktivieren. Weitere Informationen zur Einstellung "Adaptiver Schutz in der Datenlebenszyklusverwaltung"