Konfigurieren intelligenter Erkennungen im Insider-Risikomanagement
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Hinweis
Einstellungen für globale Ausschlüsse, die zuvor in der Einstellung Intelligente Erkennungen enthalten waren, sind jetzt in der Einstellung Globale Ausschlüsse (Vorschau) enthalten.
Verwenden Sie die Einstellung Intelligente Erkennungen in Microsoft Purview Insider Risk Management für Folgendes:
- Erhöhen Sie die Bewertung für ungewöhnliche Dateidownloadaktivitäten, indem Sie eine Minimale Anzahl täglicher Ereignisse eingeben.
- Erhöhen oder verringern Sie das Volumen und die Verteilung von Warnungen mit hoher, mittlerer und niedriger Höhe.
- Importieren und filtern Sie Defender für Endpunkt-Warnungen nach Aktivitäten, die in Richtlinien verwendet werden, die aus Insider-Risikomanagementvorlagen erstellt wurden.
- Geben Sie nicht zugelassene Domänen an, um die Risikobewertung für potenziell riskante Aktivitäten zu erhöhen.
- Geben Sie Drittanbieterdomänen an, um Warnungen für potenziell riskante Downloadaktivitäten zu generieren.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Erkennung von Dateiaktivitäten
Sie können diesen Abschnitt verwenden, um die Anzahl der täglichen Ereignisse anzugeben, die erforderlich sind, um die Risikobewertung für Downloadaktivitäten zu erhöhen, die für einen Benutzer als ungewöhnlich angesehen werden. Wenn Sie beispielsweise "25" eingeben, wenn ein Benutzer durchschnittlich 10 Dateien in den letzten 30 Tagen herunterlädt, aber eine Richtlinie erkennt, dass er an einem Tag 20 Dateien heruntergeladen hat, wird die Bewertung für diese Aktivität nicht erhöht, obwohl dies für diesen Benutzer ungewöhnlich ist, da die Anzahl der an diesem Tag heruntergeladenen Dateien kleiner als 25 war.
Warnungslautstärke
Potenziell riskante Aktivitäten, die von Insider-Risikorichtlinien erkannt werden, werden einer bestimmten Risikobewertung zugewiesen, die wiederum den Schweregrad der Warnung (niedrig, mittel, hoch) bestimmt. Standardmäßig generiert das Insider-Risikomanagement eine bestimmte Anzahl von Warnungen mit niedrigem, mittlerem und hohem Schweregrad, aber Sie können das Volumen einer bestimmten Warnungsstufe erhöhen oder verringern, um Ihren Anforderungen gerecht zu werden.
Um die Anzahl der Warnungen für alle Richtlinien für das Insider-Risikomanagement anzupassen, wählen Sie eine der folgenden Einstellungen aus:
- Weniger Warnungen: Sie sehen alle Warnungen mit hohem Schweregrad, weniger Warnungen mit mittlerem Schweregrad und keine Warnungen mit niedrigem Schweregrad. Wenn Sie diese Einstellungsstufe auswählen, können Sie einige true positive Ergebnisse verpassen.
- Standardvolume: Sie sehen alle Warnungen mit hohem Schweregrad und eine ausgeglichene Menge von Warnungen mit mittlerem und niedrigem Schweregrad.
- Weitere Warnungen: Sie sehen alle Warnungen mit mittlerem und hohem Schweregrad sowie warnungen mit niedrigem Schweregrad. Diese Einstellungsebene kann zu mehr falsch positiven Ergebnissen führen.
Microsoft Defender for Endpoint Warnungsstatus
Wichtig
Um Warnungen zu Sicherheitsverletzungen zu importieren, müssen Sie Microsoft Defender for Endpoint in Ihrem organization konfigurieren und Defender für Endpunkt für die Integration des Insider-Risikomanagements im Defender Security Center aktivieren. Weitere Informationen zum Konfigurieren von Defender für Endpunkt für die Insider-Risikomanagementintegration finden Sie unter Konfigurieren erweiterter Features in Defender für Endpunkt.
Microsoft Defender for Endpoint ist eine Sicherheitsplattform für Unternehmensendpunkte, die Unternehmensnetzwerke dabei unterstützen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Um eine bessere Sichtbarkeit von Sicherheitsverstößen in Ihrem organization zu erhalten, können Sie Defender für Endpunkt-Warnungen nach Aktivitäten importieren und filtern, die in Richtlinien verwendet werden, die aus Richtlinienvorlagen für Sicherheitsverletzungen im Insider-Risikomanagement erstellt wurden.
Abhängig von den Signaltypen, an den Sie interessiert sind, können Sie basierend auf der Defender für Endpunkt-Warnungs-Selektierung status, Warnungen in das Insider-Risikomanagement importieren. Sie können einen oder mehrere der folgenden Warnungs selektierungsstatus in den globalen Einstellungen definieren, die importiert werden sollen:
- Unbekannt
- Neu
- In Arbeit
- Gelöst
Warnungen von Defender für Endpunkt werden täglich importiert. Je nach ausgewählter Selektierung status können mehrere Benutzeraktivitäten für dieselbe Warnung wie die Selektierung status Änderungen in Defender für Endpunkt angezeigt werden.
Wenn Sie für diese Einstellung z. B. Neu, In Bearbeitung und Aufgelöst auswählen und eine Microsoft Defender for Endpoint Warnung generiert wird und die status auf Neu festgelegt ist, wird eine anfängliche Warnungsaktivität für den Benutzer im Insider-Risikomanagement importiert. Wenn die Defender für Endpunkt-Selektierung status in In Bearbeitung geändert wird, wird eine zweite Aktivität für diese Warnung importiert. Wenn die endgültige Defender für Endpunkt-Selektierung status von Resolved festgelegt ist, wird eine dritte Aktivität für diese Warnung importiert. Diese Funktion ermöglicht es Ermittlern, den Fortschritt der Defender für Endpunkt-Warnungen zu verfolgen und die Sichtbarkeitsebene auszuwählen, die für ihre Untersuchung erforderlich ist.
Domänen
Sie können nicht zugelassene Domänen und Domänen von Drittanbietern angeben, um Ihre Erkennungen zu erhöhen:
- Nicht zulässige Domänen: Wenn Sie eine nicht zugelassene Domäne angeben, weist die Risikomanagementaktivität, die mit dieser Domäne stattfindet, eine höhere Risikobewertung auf. Sie können beispielsweise Aktivitäten angeben, bei denen Inhalte für eine andere Person freigegeben werden (z. B. das Senden von E-Mails an eine person mit einer gmail.com Adresse) oder Aktivitäten, bei denen Benutzer Inhalte von einer nicht zulässigen Domäne auf ein Gerät herunterladen. Sie können bis zu 500 nicht zugelassene Domänen hinzufügen.
- Domänen von Drittanbietern: Wenn Ihr organization Domänen von Drittanbietern für geschäftliche Zwecke (z. B. Cloudspeicher) verwendet, schließen Sie diese in den Abschnitt Domänen von Drittanbietern ein, um Warnungen für potenziell riskante Aktivitäten im Zusammenhang mit dem Geräteindikator Verwenden Sie einen Browser zum Herunterladen von Inhalten von einer Drittanbieterwebsite zu erhalten. Sie können bis zu 500 Drittanbieterdomänen hinzufügen.
Tipp
Sie können auch Domänen angeben, die von der Bewertung durch Insider-Risikomanagementrichtlinien ausgeschlossen werden sollen.
Hinzufügen einer nicht zugelassenen Domäne
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
Wählen Sie in der oberen rechten Ecke der Seite Einstellungen und dann Insider-Risikomanagement aus, um zu den Einstellungen für das Insider-Risikomanagement zu wechseln.
Wählen Sie unter Insider-Risikoeinstellungendie Option Intelligente Erkennungen aus.
Scrollen Sie nach unten zum Abschnitt Nicht zulässige Domänen , und wählen Sie dann Domänen hinzufügen aus.
Geben Sie eine Domäne ein.
Tipp
Wenn Sie Domänen nicht einzeln eingeben möchten, können Sie sie als CSV-Datei importieren, indem Sie auf der vorherigen Seite Domänen aus CSV-Datei importieren auswählen.
Wenn Sie alle Unterdomänen innerhalb der von Ihnen eingegebenen Domäne einschließen möchten, aktivieren Sie das Kontrollkästchen Unterdomänen mit mehreren Ebenen einschließen .
[! HINWEIS Sie können Platzhalter verwenden, um Variationen von Stammdomänen oder Unterdomänen abzugleichen. Um beispielsweise sales.wingtiptoys.com und support.wingtiptoys.com anzugeben, verwenden Sie den Platzhaltereintrag "*.wingtiptoys.com", um diese Unterdomänen (und jede andere Unterdomäne auf derselben Ebene) zuzuordnen. Um Unterdomänen mit mehreren Ebenen für eine Stammdomäne anzugeben, müssen Sie das Kontrollkästchen Unterdomänen mit mehreren Ebenen einschließen aktivieren.
Drücken Sie die EINGABETASTE. Wiederholen Sie diesen Vorgang für jede Domäne, die Sie hinzufügen möchten.
Wählen Sie Domänen hinzufügen aus.
Hinzufügen einer Drittanbieterdomäne
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
Wählen Sie in der oberen rechten Ecke der Seite Einstellungen und dann Insider-Risikomanagement aus, um zu den Einstellungen für das Insider-Risikomanagement zu wechseln.
Wählen Sie unter Insider-Risikoeinstellungendie Option Intelligente Erkennungen aus.
Scrollen Sie nach unten zum Abschnitt Drittanbieterdomänen , und wählen Sie dann Domänen hinzufügen aus.
Geben Sie eine Domäne ein.
Tipp
Wenn Sie Domänen nicht einzeln eingeben möchten, können Sie sie als CSV-Datei importieren, indem Sie auf der vorherigen Seite Domänen aus CSV-Datei importieren auswählen.
Wenn Sie alle Unterdomänen innerhalb der von Ihnen eingegebenen Domäne einschließen möchten, aktivieren Sie das Kontrollkästchen Unterdomänen mit mehreren Ebenen einschließen .
[! HINWEIS Sie können Platzhalter verwenden, um Variationen von Stammdomänen oder Unterdomänen abzugleichen. Um beispielsweise sales.wingtiptoys.com und support.wingtiptoys.com anzugeben, verwenden Sie den Platzhaltereintrag "*.wingtiptoys.com", um diese Unterdomänen (und jede andere Unterdomäne auf derselben Ebene) zuzuordnen. Um Unterdomänen mit mehreren Ebenen für eine Stammdomäne anzugeben, müssen Sie das Kontrollkästchen Unterdomänen mit mehreren Ebenen einschließen aktivieren.
Drücken Sie die EINGABETASTE. Wiederholen Sie diesen Vorgang für jede Domäne, die Sie hinzufügen möchten.
Wählen Sie Domänen hinzufügen aus.