Teilen über


Verwalten des Workflows mit dem Insider-Risikomanagement-Benutzerdashboard

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insider-Risiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Das Benutzerdashboard ist ein wichtiges Tool im Insider-Risikomanagement-Workflow und hilft Ermittlern und Analysten, ein umfassenderes Verständnis von Risikoaktivitäten zu erhalten. Dieses Dashboard bietet Ansichten und Verwaltungsfeatures, um administrative Anforderungen zwischen der Erstellung von Insider-Risikomanagementrichtlinien und der Verwaltung von Insider-Risikomanagementfällen zu erfüllen.

Nachdem Benutzer zu Insider-Risikomanagementrichtlinien hinzugefügt wurden, werten Hintergrundprozesse automatisch Benutzeraktivitäten aus, um Indikatoren auszulösen. Nachdem auslösende Indikatoren vorhanden sind, werden Benutzeraktivitäten Risikobewertungen zugewiesen. Einige dieser Aktivitäten können zu einer Insider-Risikowarnung führen, aber einige Aktivitäten erfüllen möglicherweise nicht die Mindestrisikobewertung, und eine Insider-Risikowarnung wird nicht erstellt. Über das Dashboard Benutzer können Sie Benutzer mit diesen Arten von Indikatoren und Risikobewertungen sowie Benutzer mit aktiven Insider-Risikowarnungen anzeigen.

Erfahren Sie mehr darüber, wie das Dashboard Benutzer in den folgenden Szenarien anzeigt:

  • Benutzer mit aktiven Warnungen zu Insider-Risikorichtlinien
  • Benutzer mit auslösenden Ereignissen
  • Benutzer, die als potenzielle Benutzer mit hoher Auswirkung oder in prioritären Benutzergruppen identifiziert wurden
  • Benutzer, die vorübergehend zu Richtlinien hinzugefügt wurden

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Benutzer mit aktiven Warnungen zu Insider-Risikorichtlinien

Das Dashboard Benutzer zeigt automatisch alle Benutzer mit aktiven Warnungen zu Insider-Risikorichtlinien an. Diese Benutzer mit Warnungen verfügen sowohl über einen auslösenden Indikator als auch über eine Aktivitätsrisikobewertung, die die Anforderungen zum Erstellen einer Insider-Risikowarnung erfüllt. Aktivitäten für diese Benutzer werden angezeigt, indem Sie den Benutzer im Dashboard Benutzer auswählen und zur Registerkarte Benutzeraktivität navigieren.

Benutzer mit auslösenden Ereignissen

Das Benutzerdashboard zeigt automatisch alle Benutzer mit auslösenden Ereignissen an, die jedoch keine Aktivitätsrisikobewertung aufweisen, die eine Insider-Risikowarnung erzeugen würde. Beispielsweise wird ein Benutzer mit einem gemeldeten Rücktrittsdatum angezeigt, da diese Aktivität ein auslösendes Ereignis, aber keine Aktivität mit einer Risikobewertung ist. Aktivitäten für diese Benutzer werden angezeigt, indem Sie den Benutzer im Dashboard Benutzer auswählen und zur Registerkarte Benutzeraktivität navigieren.

Benutzer, die vorübergehend zu Richtlinien hinzugefügt wurden

Das Benutzerdashboard enthält Benutzer, die nach einem ungewöhnlichen Ereignis außerhalb des Insider-Risikomanagement-Workflows zu Insider-Risikomanagementrichtlinien hinzugefügt wurden. Das vorübergehende Hinzufügen von Benutzern (über das Dashboard Richtlinien) ist auch eine Möglichkeit, die Benutzeraktivität für eine Insider-Risikomanagementrichtlinie zum Testen der Richtlinie zu bewerten, auch wenn kein erforderlicher Connector konfiguriert ist.

Wenn ein Benutzer manuell zu einer Richtlinie hinzugefügt wird, werden die Benutzeraktivitäten der letzten 90 Tage bewertet und der Zeitachse der Benutzeraktivität hinzugefügt. Beispielsweise verfügen Sie über einen Benutzer, dem derzeit keine Risikobewertungen für eine Insider-Risikorichtlinie zugewiesen sind, und dem Benutzer wurden Datenleckaktivitäten an die Rechtsabteilung in Ihrer Organisation gemeldet. Die Rechtsabteilung empfiehlt, neue Anforderungen an die kurzfristige Erkennung für den Benutzer zu konfigurieren. Sie können den Benutzer für einen bestimmten Zeitraum ( Aktivierungsfenster) vorübergehend Ihrer Richtlinie für Datenlecks zuweisen. Alle benutzer, die vorübergehend hinzugefügt wurden, werden im Benutzerdashboard angezeigt, da auf die Anforderungen an auslösende Ereignisse verzichtet wird.

Hinweis

Es kann mehrere Stunden dauern, bis neue manuell hinzugefügte Benutzer im Benutzerdashboard angezeigt werden. Die Anzeige von Aktivitäten für die vorherigen 90 Tage für diese Benutzer kann bis zu 24 Stunden dauern. Um Aktivitäten für manuell hinzugefügte Benutzer anzuzeigen, wählen Sie den Benutzer im Dashboard Benutzer aus, und öffnen Sie im Detailbereich die Registerkarte Benutzeraktivität .

Der Benutzer wird automatisch aus dem Dashboard Benutzer entfernt, und die Bewertung wird beendet, wenn die im Aktivierungsfenster definierte Zeit abläuft, wenn:

  • der Benutzer über keine zusätzlichen auslösenden Ereignisse oder Warnungen von Insider-Risikorichtlinien verfügt, und
  • , wenn die manuell definierte Dauer des Aktivierungsfensters länger ist als die Dauer des Aktivierungsfensters der globalen Richtlinie.

Die Einstellung des Aktivierungsfensters mit der längsten Dauer setzt die Einstellung des Aktivierungsfensters immer mit einer kürzeren Dauer außer Kraft. Beispielsweise haben Sie das Aktivierungsfenster auf der Globalen Registerkarte Richtlinienzeitrahmen in den globalen Einstellungen für das Insider-Risikomanagement für 15 Tage konfiguriert, das automatisch auf alle Ihre Insider-Risikorichtlinien angewendet wird.

Sie fügen vorübergehend einen Benutzer zu Ihrer Richtlinie zum Insider-Risiko für Datenlecks hinzu und definieren 30 Tage als Aktivierungsfenster für diesen Benutzer. Die Einstellung des globalen Aktivierungsfensters von 15 Tagen wird überschrieben, indem die Einstellung des Aktivierungsfensters von 30 Tagen für den vorübergehend hinzugefügten Benutzer definiert wird. Der vorübergehend hinzugefügte Benutzer verbleibt im Benutzerdashboard und befindet sich 30 Tage lang im Gültigkeitsbereich der Richtlinie.

Im umgekehrten Szenario, in dem die Einstellung des globalen Aktivierungsfensters länger ist als die Einstellung des Aktivierungsfensters , die für einen vorübergehend hinzugefügten Benutzer definiert ist, würde die Einstellung des globalen Aktivierungsfensters die Einstellung des Fensters "Aktivierung" für den vorübergehend hinzugefügten Benutzer außer Kraft setzen. Der vorübergehend hinzugefügte Benutzer verbleibt im Dashboard Benutzer und befindet sich für die Richtlinie für die Anzahl von Tagen, die in den Einstellungen des globalen Aktivierungsfensters definiert sind.

Anzeigen von Benutzerinformationen im Dashboard "Benutzer"

Jeder Benutzer, der im Dashboard Benutzer angezeigt wird, verfügt über die folgenden Informationen:

  • Benutzer: Benutzername für einen Benutzer. Dieses Feld wird anonymisiert, wenn die globale Anonymisierungseinstellung für das Insider-Risikomanagement aktiviert ist.
  • Warnungsschweregrad: Aktuelle berechnete Risikostufe des Benutzers. Diese Bewertung wird alle 24 Stunden berechnet und verwendet die Warnungsrisikobewertungen aller aktiven Warnungen, die dem Benutzer zugeordnet sind. Für Benutzer mit nur auslösenden Indikatoren ist der Schweregrad der Warnung null.
  • Aktive Warnungen: Anzahl der aktiven Warnungen für alle Richtlinien.
  • Bestätigte Verstöße: Anzahl der Fälle, die als bestätigter Richtlinienverstoß für den Benutzer behoben wurden.
  • Fall: Aktueller aktiver Fall für den Benutzer.

Um einen bestimmten Benutzer schnell zu finden, verwenden Sie die Suche oben rechts im Benutzerdashboard. Bei der Suche nach Benutzern müssen Sie den Benutzerprinzipalnamen (UPN) verwenden. Wenn Sie beispielsweise nach einem Benutzer namens "Tiara Hidayah" suchen, der in Ihrer Organisation den UPN "thidayah" aufweist, würden Sie "thidayah" oder einen Teil des UPN in die Suche eingeben.

Dashboard für Insider-Risikomanagementbenutzer

Hinweis

Die Anzahl der Benutzer, die auf dem Dashboard Benutzer angezeigt werden, kann in einigen Fällen begrenzt sein, abhängig von der Anzahl der aktiven Warnungen und übereinstimmenden Richtlinien. Benutzer mit aktiven Warnungen werden auf dem Dashboard Benutzer angezeigt, während die Warnungen generiert werden, und es kann in seltenen Fällen vorkommen, in denen die maximale Anzahl angezeigter Benutzer erreicht wird. Wenn dieser Grenzwert auftritt, werden Benutzer mit aktiven Warnungen, die nicht angezeigt werden, dem Dashboard Benutzer hinzugefügt, da vorhandene Benutzerwarnungen selektieren.

Anzeigen von Benutzerdetails

Um weitere Details zur Risikoaktivität für einen Benutzer anzuzeigen, öffnen Sie den Bereich mit den Benutzerdetails, indem Sie im Dashboard Benutzer auf einen Benutzer doppelklicken. Im Detailbereich können Sie die folgenden Informationen anzeigen:

  • Registerkarte "Benutzerprofil "

    • Name und Titel: Name und Positionstitel für den Benutzer aus Microsoft Entra ID. Diese Benutzerfelder werden anonymisiert oder leer, wenn die globale Anonymisierungseinstellung für das Insider-Risikomanagement aktiviert ist.
    • Benutzerdetails: Listet auf, ob der Benutzer als potenzieller Benutzer mit hoher Auswirkung identifiziert wurde oder ob der Benutzer in prioritätsbasierten Benutzergruppen gehört.
    • Warnungs- und Aktivitätszusammenfassung: Listet aktive Benutzerwarnungen und offene Fälle auf.
    • Benutzer-E-Mail: E-Mail-Adresse für den Benutzer.
    • Alias: Netzwerkalias für den Benutzer.
    • Organisation oder Abteilung: Organisation oder Abteilung für den Benutzer.
    • Im Bereich: Listet die bereichsinterne Zuweisung des Benutzers zu Richtlinien auf.
  • Registerkarte "Benutzeraktivität "

    • Verlauf der letzten Benutzeraktivitäten: Listet sowohl auslösende Indikatoren als auch Insider-Risikoindikatoren für Risikoaktivitäten bis zu den letzten 90 Tagen auf. Alle Risikoaktivitäten, die für Insider-Risikoindikatoren relevant sind, werden ebenfalls bewertet, obwohl die Aktivitäten möglicherweise eine Insider-Risikowarnung generiert haben oder nicht. Auslösende Indikatorbeispiele können ein Rücktrittsdatum oder das letzte geplante Datum der Arbeit für den Benutzer sein. Insider-Risikoindikatoren sind Aktivitäten, die als Risikoelemente festgelegt sind, die möglicherweise zu einem Sicherheitsvorfall führen können, und werden in Richtlinien definiert, in die der Benutzer eingeschlossen ist. Ereignis- und Risikoaktivitäten werden mit dem neuesten Element zuerst aufgeführt.

Verwenden von Copilot zum Zusammenfassen von Benutzeraktivitäten (Vorschau)

Sie können im Bereich mit Den Benutzerdetails die Option Mit Copilot zusammenfassen auswählen, um schnell die Aktivitäten für Benutzer zusammenzufassen, die möglicherweise weiter untersucht werden müssen. Wenn Sie Benutzerrisikoaktivitäten mit Microsoft Copilot in Microsoft Purview zusammenfassen, wird auf der rechten Seite des Bildschirms ein Copilot-Bereich mit einer Benutzerzusammenfassung angezeigt.

Insider-Risikomanagement Copilot-Schaltfläche

Die Benutzerzusammenfassung enthält wichtige Details wie Den Namen, den Titel, den Benutzerprinzipalnamen, den Warnungs- und Fallverlauf sowie die wichtigsten Risikofaktoren. Die wichtigsten Risikofaktoren bieten wichtige Einblicke in die Benutzerrollen, Berechtigungen, die Beteiligung an Exfiltrationsaktivitäten, sequenzielle Muster oder ungewöhnliches Verhalten. Diese Ansicht hilft ihnen, Benutzer zu identifizieren, die möglicherweise das höchste Insiderrisiko für Ihre Organisation darstellen.

Vorgeschlagene Eingabeaufforderungen werden automatisch aufgelistet, um Ihre Zusammenfassung weiter zu verfeinern und zusätzliche Einblicke in die aktivitäten zu geben, die dem Benutzer zugeordnet sind. Wählen Sie aus den folgenden vorgeschlagenen Eingabeaufforderungen aus:

  • Listet alle Datenexfiltrationsaktivitäten auf, die diesen Benutzer betreffen.
  • Listet alle sequenziellen Aktivitäten auf, an denen dieser Benutzer beteiligt ist.
  • Hat der Benutzer ungewöhnliches Verhalten?
  • Zeigen Sie die wichtigsten Aktionen an, die vom Benutzer in den letzten 10 Tagen ausgeführt wurden.
  • Fassen Sie die Aktivität des Benutzers der letzten 30 Tage zusammen.

Entfernen von Benutzern aus der bereichsinternen Zuweisung zu Richtlinien

Es kann Szenarien geben, in denen Sie die Zuweisung von Risikobewertungen zu einem Benutzer in Insider-Risikomanagementrichtlinien beenden müssen. Verwenden Sie Bewertungsaktivität für Benutzer beenden auf dem Dashboard Benutzer , um die Zuweisung von Risikobewertungen für einen Benutzer aus allen Insider-Risikomanagementrichtlinien zu beenden, für die sie sich derzeit im Bereich befinden. Diese Aktion entfernt den Benutzer nicht aus der allgemeinen Richtlinienzuweisung (wenn Sie Benutzer oder Gruppen zu einer Richtlinienkonfiguration hinzufügen), sondern entfernt den Benutzer einfach aus der aktiven Verarbeitung durch Richtlinien nach aktuellen auslösenden Ereignissen. Wenn der Benutzer in Zukunft ein weiteres auslösendes Ereignis hat, werden dem Benutzer automatisch wieder Risikobewertungen aus Richtlinien zugewiesen. Alle vorhandenen Warnungen oder Fälle für diesen Benutzer werden nicht entfernt.

Entfernen eines Benutzers aus dem Bereichsstatus in allen Insider-Risikomanagementrichtlinien

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Microsoft 365-Organisation an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Benutzer aus.
  4. Wählen Sie im Dashboard Benutzer die Benutzer aus, für die Sie die Bewertungsaktivität beenden möchten.
  5. Wählen Sie Bewertungsaktivität für Benutzer beenden aus.

Hinweis

Das Entfernen eines Benutzers aus dem Bereichsstatus kann einige Minuten dauern. Nach Abschluss des Vorgangs wird der Benutzer nicht mehr im Dashboard Benutzer aufgeführt. Wenn der entfernte Benutzer über aktive Warnungen oder Fälle verfügt, verbleibt der Benutzer im Dashboard Benutzer , und die Benutzerdetails zeigen an, dass er sich nicht mehr im Gültigkeitsbereich einer Richtlinie befindet.

Ausführen automatisierter Aufgaben mit Power Automate-Flows für einen Benutzer

Mithilfe empfohlener Power Automate-Flows können Risikoermittler und Analysten schnell Maßnahmen ergreifen, um Benutzer zu benachrichtigen, wenn sie einer Insider-Risikorichtlinie hinzugefügt werden.

So führen Sie Power Automate-Flows für Insider-Risikomanagementbenutzer aus, verwalten und erstellen sie:

  1. Wählen Sie auf der Symbolleiste der Benutzeraktion die Option Automatisieren aus.
  2. Wählen Sie den auszuführenden Power Automate-Flow und dann Flow ausführen aus.
  3. Wählen Sie nach Abschluss des Flows Fertig aus.

Weitere Informationen zu Power Automate-Flows für das Insider-Risikomanagement finden Sie unter Erste Schritte mit Insider-Risikomanagementeinstellungen.