Erfahren Sie mehr über forensische Beweise für das Insider-Risikomanagement
Wichtig
Forensische Beweise sind ein opt-in-Add-On-Feature im Insider-Risikomanagement, das Sicherheitsteams visuelle Einblicke in potenzielle Insider-Datensicherheitsvorfälle mit integriertem Datenschutz bietet. Forensische Beweise umfassen anpassbare Ereignistrigger und integrierte Datenschutzkontrollen für Benutzer, die es Sicherheitsteams ermöglichen, potenzielle Insiderdatenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser zu untersuchen, zu verstehen und darauf zu reagieren.
Organisationen legen die richtigen Richtlinien für sich selbst fest, einschließlich der risikobehafteten Ereignisse, die höchste Priorität für die Erfassung forensischer Beweise haben und welche Daten am sensibelsten sind. Forensische Beweise sind standardmäßig deaktiviert, die Richtlinienerstellung erfordert eine doppelte Autorisierung, und Benutzernamen können mit Pseudonymisierung maskiert werden (die standardmäßig für Insider-Risikomanagement aktiviert ist). Das Einrichten von Richtlinien und das Überprüfen von Sicherheitswarnungen innerhalb des Insider-Risikomanagements nutzt strenge rollenbasierte Zugriffssteuerungen (Role-Based Access Controls, RBAC), um sicherzustellen, dass die angegebenen Personen in der Organisation mit zusätzlichen Überwachungsfunktionen die richtigen Maßnahmen ergreifen.
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insider-Risiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Visueller Kontext ist für Sicherheitsteams bei forensischen Untersuchungen von entscheidender Bedeutung, um bessere Einblicke in potenziell riskante sicherheitsbezogene Benutzeraktivitäten zu erhalten. Mit anpassbaren Ereignistriggern und integrierten Steuerelementen zum Schutz des Datenschutzes von Benutzern ermöglichen forensische Beweise eine geräteübergreifende anpassbare Erfassung visueller Aktivitäten, damit Ihre Organisation potenzielle Datenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser entschärfen, verstehen und darauf reagieren kann. Sie legen die richtigen Richtlinien für Ihre Organisation fest, einschließlich, welche riskanten Ereignisse die höchste Priorität für die Erfassung forensischer Beweise haben, welche Daten am vertraulichsten sind und ob Benutzer benachrichtigt werden, wenn die forensische Erfassung aktiviert ist. Die Erfassung forensischer Beweise ist standardmäßig deaktiviert, und die Richtlinienerstellung erfordert eine doppelte Autorisierung.
Tipp
Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.
Featurefunktionen
- Die visuelle Erfassung ermöglicht Es Organisationen, Clips von wichtigen sicherheitsbezogenen Benutzeraktivitäten zu erfassen, um eine sicherere oder konforme Sichtbarkeit zu ermöglichen und die Anforderungen der Organisation zu erfüllen.
- Schließen Sie Desktopanwendungen und/oder Websites ein oder aus, um eine Aufzeichnungsrichtlinie zu konfigurieren, die sich auf die Anwendungen und Websites konzentriert, die das größte Risiko darstellen. Dadurch werden Speicherplatz und Benutzerdatenschutz beibehalten. Schließen Sie beispielsweise persönliche E-Mail- und Social-Media-Konten aus.
- Der erweiterte Phishingschutz (Vorschau) ermöglicht Es Organisationen, Clips im Zusammenhang mit dem erweiterten Phishingschutz in Microsoft Defender SmartScreen zu erfassen. Sie können z. B. erfassen, wann ein Benutzer das Microsoft-Kennwort eingibt, mit dem er sich auf einem Windows 11-Gerät auf einer Phishingwebsite oder einer Anwendung anmeldet, die eine Verbindung mit einer Phishingwebsite herstellt. Weitere Informationen zum erweiterten Phishingschutz in Microsoft Defender SmartScreen
- Geschützter Datenschutz durch mehrere Genehmigungsebenen für die Aktivierung des Erfassungsfeatures.
- Anpassbare Trigger und Erfassungsoptionen bedeuten, dass Sicherheitsteams forensische Beweise einrichten können, um ihre Anforderungen zu erfüllen, unabhängig davon, ob sie auf Vorfällen basieren (z. B. 5 Minuten vor und 10 Minuten, nachdem ein Benutzer "SecretResearchPlans.docx" heruntergeladen hat) oder basierend auf den Anforderungen der kontinuierlichen Erfassung.
- Benutzerorientierte Richtlinienadressierung bedeutet, dass Sicherheits- und Complianceteams sich auf Aktivitäten nach Benutzer und nicht nach Gerät konzentrieren können, um bessere kontextbezogene Erkenntnisse zu erhalten.
- Starke rollenbasierte Zugriffssteuerungen (Role-Based Access Controls, RBAC) bedeuten, dass die Möglichkeit zum Einrichten und Überprüfen forensischer Clips streng kontrolliert wird und nur für Personen in der Organisation mit den richtigen Berechtigungen verfügbar ist.
- Tiefe Integration in aktuelle Insider-Risikomanagement-Features, die das Onboarding und vertrautere Workflows für Insider-Risikomanagementadministratoren und einen vertrauenswürdigen Einzelplattformansatz ermöglichen.
- Testkapazität (bis zu 20 GB) für aufgezeichnete Clips mit schnellem Zugriff auf die Kapazitätsauslastung und der Möglichkeit, zusätzliche Kapazität zu erwerben.
Geräte- und Konfigurationsanforderungen
Die folgenden Tabellen enthalten die unterstützten Mindestanforderungen für die Verwendung von forensischen Erkenntnissen des Insider-Risikomanagements.
Unterstützte Plattformen
Betriebssystem | SKU | Prozessor |
---|---|---|
Windows 10 (einschließlich Windows 365) | Großunternehmen | 64-Bit (Intel oder AMD) |
Windows 11 (einschließlich Windows 365) | Großunternehmen | 64-Bit (Intel oder AMD) |
Physische Geräte
Hardware | Mindestanforderung |
---|---|
RAM | Mindestens 8 GB (mindestens 2 GB sollten für die Clientnutzung verfügbar sein) |
CPU-Prozessor | Intel i5 oder höher und AMD Ryzen 5 oder höher |
Grafikkarte | Kompatibel mit DirectX 11 oder höher, mit einem WDDM 1.0-Treiber oder höher (derzeit nur integrierte Grafikkarten unterstützt) |
Festplattenspeicher | Mindestens 10 GB Datenträgerspeicher |
Anzeige | Minimale Bildschirmauflösung von 1920 x 1080 |
Hyper-V und virtuelle Computer
Hardware | Mindestanforderung |
---|---|
RAM | Mindestens 16 GB (mindestens 2 GB sollten für die Clientnutzung verfügbar sein) |
CPU-Prozessor | Mindestens acht vCPU-Prozessoren oder gleichwertig |
Festplattenspeicher | Mindestens 10 GB Datenträgerspeicher |
Anzeige | Minimale Bildschirmauflösung von 1920 x 1080 |
Wichtig
Wenn die Mindestanforderungen nicht erfüllt sind, treten bei Benutzern wahrscheinlich Probleme mit dem Microsoft Purview-Client auf, und die Qualität der forensischen Erfassungen ist möglicherweise nicht zuverlässig.
Erfassungsoptionen
Auslösende Ereignisse, globale Indikatoren und Richtlinienindikatoren spielen eine wichtige Rolle in allen Insider-Risikomanagementrichtlinien, einschließlich forensischer Beweisrichtlinien. Auslösende Ereignisse sind Benutzeraktionen, die bestimmen, ob Benutzer in den Bereich der Auswertung in Insider-Risikomanagementrichtlinien gebracht werden. Globale Einstellungsindikatoren werden verwendet, um zu bestimmen, welche Aktivitäten vom Insider-Risikomanagement erfasst werden. Richtlinienindikatoren werden verwendet, um eine Risikobewertung für einen Benutzer im Bereich zu bestimmen.
Je nachdem, wie Sich Ihre Organisation entscheidet, forensische Beweise zu konfigurieren, gibt es zwei Erfassungsoptionen:
- Bestimmte Aktivitäten: Diese Richtlinienoption erfasst Aktivitäten nur, wenn ein auslösendes Ereignis einen genehmigten Benutzer in den Bereich der forensischen Beweisrichtlinie gebracht hat und wenn die Bedingungen für einen Richtlinienindikator für den Benutzer erkannt werden. Beispielsweise wird ein Benutzer, der für die Erfassung forensischer Beweise genehmigt ist, in den Gültigkeitsbereich der Richtlinie für forensische Beweise übertragen, und der Benutzer kopiert Daten auf persönliche Cloudspeicherdienste oder tragbare Speichergeräte. Die Erfassung ist nur auf den konfigurierten Zeitrahmen ausgerichtet, in dem der Benutzer die Daten in den persönlichen Cloudspeicherdienst oder in ein tragbares Speichergerät kopiert. Erfassungen für diese Option stehen auf der Registerkarte Forensische Beweise im Dashboard Warnungen zur Überprüfung zur Verfügung.
- Alle Aktivitäten: Diese Richtlinienoption erfasst alle Aktivitäten, die von Benutzern ausgeführt werden. Beispielsweise hat Ihre Organisation eine zeitkritische Notwendigkeit, Aktivitäten für einen genehmigten Benutzer zu erfassen, der aktiv an potenziell riskanten Aktivitäten beteiligt ist, die zu einem Sicherheitsvorfall führen können. Richtlinienindikatoren haben möglicherweise nicht den Schwellenwert für eine Warnung erreicht, die von der Richtlinie generiert werden soll, und die potenziell riskante Aktivität ist möglicherweise nicht dokumentiert. Kontinuierliche Erfassung verhindert, dass potenziell riskante Aktivitäten übersehen oder unentdeckt bleiben. Erfassungen für diese Option können auf der Registerkarte Forensische Beweise im Dashboard Benutzeraktivitätsberichte (Vorschau) überprüft werden.
Wichtig
Forensische Beweisclips werden 120 Tage nach der Erfassung oder am Ende des Vorschauzeitraums gelöscht, je nachdem, was früher ist. Sie können forensische Beweisclips herunterladen oder übertragen, bevor sie gelöscht werden.
Workflow
Der allgemeine Workflow zum Erkennen, Untersuchen und Beheben von Warnungen, die Clip capture enthalten, folgt den gleichen grundlegenden Schritten wie andere Insider-Risikomanagementrichtlinien. Es gibt jedoch einige wichtige Unterschiede bei forensischen Beweisen, wenn sie in Ihrer Organisation konfiguriert werden:
- Benutzer, die erfasst werden, müssen über explizite Erfassungsanforderungen und Genehmigungen verfügen: Dies ist ein zusätzlicher Prozess, der nicht im Rahmen der Konfiguration anderer Insider-Risikomanagementrichtlinien enthalten ist. Benutzer, die den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren zugewiesen sind, müssen eine Anforderung an Benutzer übermitteln, die der Rollengruppe Insider-Risikomanagement genehmigende Personen zugewiesen sind, bevor ein Benutzer in Ihrer Organisation für clip capture-Optionen berechtigt ist. Diese Anforderung hilft beispielsweise bei der Unterstützung von Organisationsszenarien, in denen Ihre Insider-Risikomanagementadministratoren eine explizite Genehmigung von Ihrem designierten Juristischen oder Personalpersonal einholen müssen, bevor die Erfassung für einen Beliebigen Benutzer aktiviert ist.
- Geräte müssen integriert sein und den Microsoft Purview-Client installiert haben: Bevor forensische Beweise clips sammeln und speichern können, die für berechtigte Benutzer erfasst wurden, müssen ihre Geräte im Microsoft Purview-Complianceportal integriert werden. Außerdem muss auf jedem Gerät der Microsoft Purview-Client installiert sein. Diese Voraussetzungen ermöglichen die Unterstützung für die Online- und Offlineerfassung von Geräten.
Sind Sie bereit loszulegen?
- Unter Erste Schritte mit forensischen Beweisen für das Insider-Risikomanagement finden Sie schritt-für-Schritt-Anleitungen zum Konfigurieren der Erfassung forensischer Beweise in Ihrer Organisation.
- Informationen zum Konfigurieren der Voraussetzungen, zum Erstellen von Richtlinien und zum Empfangen von Warnungen finden Sie unter Erste Schritte mit dem Insider-Risikomanagement .