Optimieren von Ausschlüssen im Insider-Risikomanagement durch Erstellen von Erkennungsgruppen (Vorschau)
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Sie können Elemente von der Bewertung durch Insider-Risikomanagementrichtlinien ausschließen, indem Sie die Einstellung Globale Ausschlüsse verwenden. Diese Arten von Ausschlüssen gelten für jeden Trigger und Indikator für alle Richtlinien, die Sie innerhalb eines Mandanten erstellen. Mithilfe von Erkennungsgruppen können Sie einen integrierten globalen Ausschluss so ändern, dass er für die Anforderungen Ihrer Organisation spezifisch ist.
Sie können auch Erkennungsgruppen verwenden, um die integrierten Insider-Risikoindikatoren zu ändern, um Erkennungen für verschiedene Gruppen von Benutzern auf Richtlinienebene anzupassen. Um beispielsweise die Anzahl falsch positiver Ergebnisse für E-Mail-Aktivitäten zu reduzieren, können Sie eine Variante des Indikators Senden von E-Mails mit Anlagen an Empfänger außerhalb der Organisation erstellen, um nur E-Mails zu erkennen, die an persönliche Domänen gesendet wurden.
Prozess zum Erstellen und Verwenden von Erkennungsgruppen
Um eine Erkennungsgruppe als Teil eines globalen Ausschlusses zu verwenden, erstellen Sie die Erkennungsgruppe wie in diesem Artikel beschrieben und wählen sie dann als Teil des globalen Ausschlusses aus.
Die Verwendung einer Erkennungsgruppe zum Ändern eines integrierten Indikators umfasst die folgenden Schritte:
- Erstellen Sie die Erkennungsgruppe wie in diesem Artikel beschrieben. Sie wählen diese Erkennungsgruppe aus, wenn Sie die Variante erstellen.
- Erstellen Sie die Variante.
- Verwenden Sie die Variante in einer neuen oder vorhandenen Richtlinie.
- Überprüfen Sie Warnungen im Zusammenhang mit den in der Variante angegebenen Aktivitäten.
Erstellen einer Erkennungsgruppe
Mithilfe einer Erkennungsgruppe können Sie einen integrierten Indikator oder einen globalen Ausschluss festlegen, um sich auf die wichtigen Aktivitäten zu konzentrieren, die für Ihre Organisation wichtig sind.
Erkennungstypen für Richtlinienindikatoren
Jeder Richtlinienindikator enthält bestimmte Erkennungstypen, die für diesen Indikator gelten. Für den Indikator Freigeben von SharePoint-Dateien für Personen außerhalb der Organisation ist einer der Erkennungstypen Domänen. Wenn Sie eine SharePoint-Datei freigeben, wählen Sie eine Domäne aus, für die die Datei freigegeben werden soll. Nicht alle Indikatoren weisen die gleichen Erkennungstypen auf. Domänen sind beispielsweise ein Erkennungstyp des Indikators Freigeben von SharePoint-Dateien für Personen außerhalb der Organisation , aber es handelt sich nicht um einen Erkennungstyp des Indikators Erstellen oder Kopieren von Dateien auf USB , da er in diesem Fall nicht anwendbar ist.
Das Insider-Risikomanagement unterstützt derzeit sieben Erkennungstypen:
- Domänen
- Dateipfade
- Dateitypen
- Schlüsselwörter
- Typen vertraulicher Informationen
- SharePoint-Websites
- Trainierbare Klassifizierungsmerkmale
Tipp
Wenn Sie eine Erkennungsgruppe erstellen, können Sie alle anwendbaren Indikatoren für eine bestimmte Erkennung anzeigen, indem Sie den Link Anwendbare Indikatoren anzeigen im Einführungstext für den Gruppentyp auswählen.
Die folgenden Verfahren zeigen, wie Sie eine Erkennungsgruppe für jeden Gruppentyp erstellen.
Erstellen einer Domänenerkennungsgruppe
Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
Wählen Sie im Bereich auf der rechten Seite unter Typ die Option Domänen aus.
Wählen Sie im Bereich auf der rechten Seite Neue Domänengruppe aus.
Fügen Sie im Bereich Neue Domänengruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
Geben Sie im Feld Domänen hinzufügen eine Domäne ein, und drücken Sie dann die EINGABETASTE. Fügen Sie auf die gleiche Weise weitere Domänen hinzu. Wenn Sie eine lange Liste von Domänen hinzufügen möchten, können Sie sie als CSV-Datei importieren, indem Sie Domänen aus CSV-Datei importieren auswählen. Die Domänen, die Sie hinzufügen, werden am unteren Rand des Bereichs aufgeführt. Sie können bis zu 10 Domänenerkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
Hinweis
Um Unterdomänen mit mehreren Ebenen für eine Stammdomäne anzugeben, aktivieren Sie das Kontrollkästchen Unterdomänen mit mehreren Ebenen einschließen , fügen Sie eine Domäne hinzu, und drücken Sie dann die EINGABETASTE, um die Domäne der Liste hinzuzufügen. Alle Unterdomänen, die in dieser Domäne enthalten sind, werden eingeschlossen. Wiederholen Sie den gleichen Vorgang, um weitere Domänen hinzuzufügen, und wählen Sie dann Domänen hinzufügen aus, wenn Sie fertig sind.
Tipp
Sie können Platzhalter verwenden, um Variationen von Stammdomänen oder Unterdomänen abzugleichen. Um beispielsweise sales.wingtiptoys.com und support.wingtiptoys.com anzugeben, verwenden Sie den Platzhaltereintrag "*.wingtiptoys.com", um diese Unterdomänen (und alle anderen Unterdomänen auf derselben Ebene) zuzuordnen.
Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.
So erkennt die Domänengruppe "Öffentliche Domänen free " die Exfiltration von Geschäftsdaten in persönliche E-Mail-Domänen.
Die Domänenerkennungsgruppe enthält eine spezielle Domänengruppe namens Kostenlose öffentliche Domänen , die aus einer Liste kostenloser E-Mail-Anbieter (z. B. gmail.com oder yahoo.com) besteht, die zum Erstellen einer persönlichen E-Mail-ID verwendet werden können. Diese Liste wird verwendet, um die Exfiltration von Geschäftsdaten in persönliche E-Mail-Domänen für die E-Mail-Erkenntnisse auf den Registerkarten Benutzeraktivität und Aktivitäts-Explorer automatisch hervorzuheben. Die Erkenntnis listet die Anzahl der E-Mails auf, die von einem Benutzer im Bereich an kostenlose öffentliche Domänen gesendet wurden. Die Liste wird auch für den Algorithmus verwendet, der E-Mails identifiziert, die an sich selbst gesendet werden (gesendet an das persönliche E-Mail-Konto des Benutzers im Bereich). Die E-Mail-Erkenntnis listet die Anzahl der E-Mails auf, die an sich selbst gesendet wurden.
Sie können diese integrierte Domänengruppe wie jede andere Domänengruppe verwenden, um eine Variante eines integrierten Indikators für Ihre Richtlinien zu erstellen. Diese Domänengruppe gilt nur für den Indikator Senden von E-Mails mit Anlagen an Empfänger außerhalb des Organisationsindikators . Zurzeit können Sie die Domänengruppe "Öffentliche Domänen free " nicht bearbeiten oder löschen. Weitere Informationen zum Erstellen einer Variante eines integrierten Indikators
Erstellen einer Dateipfaderkennungsgruppe
- Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
- Wählen Sie im Bereich auf der rechten Seite unter Typdie Option Dateipfade aus.
- Wählen Sie im Bereich auf der rechten Seite neue Dateipfadgruppe aus.
- Fügen Sie im Bereich Neue Dateipfadgruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
- Wählen Sie Dateipfade hinzufügen aus, wählen Sie die Dateipfade aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 Dateipfaderkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
- Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.
Erstellen einer Dateityperkennungsgruppe
- Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
- Wählen Sie im Bereich auf der rechten Seite unter Typdie Option Dateitypen aus.
- Wählen Sie im Bereich auf der rechten Seite Neue Dateitypgruppe aus.
- Fügen Sie im Bereich Neue Dateitypgruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
- Geben Sie im Feld Dateityp hinzufügen eine Dateierweiterung ein, und drücken Sie dann die EINGABETASTE. Setzen Sie das Hinzufügen weiterer Dateierweiterungen auf die gleiche Weise fort. Die Erweiterungen, die Sie hinzufügen, werden unten im Bereich aufgeführt. Sie können bis zu 10 Dateitypen-Erkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
- Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.
Erstellen einer Suchbegriffserkennungsgruppe
- Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
- Wählen Sie im Bereich auf der rechten Seite unter Typdie Option Schlüsselwörter aus.
- Wählen Sie im Bereich auf der rechten Seite Neue Schlüsselwörtergruppe aus.
- Fügen Sie im Gruppenbereich Neue Schlüsselwörter einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
- Geben Sie im Feld Schlüsselwörter hinzufügen ein Schlüsselwort ein, und drücken Sie dann die EINGABETASTE. Wiederholen Sie diesen Vorgang für jedes Schlüsselwort, das Sie hinzufügen möchten. Die von Ihnen hinzugefügten Schlüsselwörter werden am unteren Rand des Bereichs aufgeführt. Sie können bis zu 10 Suchbegriffserkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
- Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.
Erstellen einer Erkennungsgruppe für Typen vertraulicher Informationen
Hinweis
Die Ausschlussliste vertraulicher Informationstypen hat Vorrang vor der Prioritätsinhaltsliste .
- Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
- Wählen Sie im Bereich auf der rechten Seite unter Typ die Option Typen vertraulicher Informationen aus.
- Wählen Sie im Bereich auf der rechten Seite neue Typgruppe vertraulicher Informationen aus.
- Fügen Sie im Bereich Neue Gruppe des Typs vertraulicher Informationen einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
- Wählen Sie Typen vertraulicher Informationen hinzufügen aus, wählen Sie die Typen vertraulicher Informationen aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 Gruppen vertraulicher Informationstypen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
- Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.
Erstellen einer SharePoint-Websiteerkennungsgruppe
- Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
- Wählen Sie im Bereich auf der rechten Seite unter Typ die Option SharePoint-Websites aus.
- Wählen Sie im Bereich auf der rechten Seite Neue SharePoint-Websitegruppe aus.
- Fügen Sie im Bereich Neue SharePoint-Websitegruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
- Wählen Sie Websites hinzufügen aus, wählen Sie die SharePoint-Websites aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 Erkennungsgruppen für SharePoint-Websites erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
- Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.
Erstellen einer trainierbaren Klassifizierererkennungsgruppe
- Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
- Wählen Sie im Bereich auf der rechten Seite unter Typ die Option Trainierbare Klassifizierer aus.
- Wählen Sie im Bereich auf der rechten Seite Neue trainierbare Klassifizierergruppe aus.
- Fügen Sie im Gruppenbereich Neue trainierbare Klassifizierer einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
- Wählen Sie Trainierbare Klassifizierer hinzufügen aus, wählen Sie die trainierbaren Klassifizierer aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 trainierbare Klassifizierererkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
- Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.