Planen des Insider-Risikomanagements
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insider-Risiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Bevor Sie mit dem Insider-Risikomanagement in Ihrer Organisation beginnen, gibt es wichtige Planungsaktivitäten und Überlegungen, die von Ihren It- und Compliance-Managementteams überprüft werden sollten. Ein gründliches Verständnis und eine gründliche Planung für die Bereitstellung in den folgenden Bereichen tragen dazu bei, dass Ihre Implementierung und Verwendung von Insider-Risikomanagementfunktionen reibungslos verläuft und an bewährten Methoden ausgerichtet ist.
Weitere Informationen und eine Übersicht über den Planungsprozess für riskante Aktivitäten in Ihrer Organisation finden Sie unter Starten eines Insider-Risikomanagementprogramms.
Sehen Sie sich das folgende Video an, um zu erfahren, wie der Workflow für das Insider-Risikomanagement Ihrer Organisation dabei helfen kann, Risiken zu verhindern, zu erkennen und einzudämmen und gleichzeitig die Werte, Kultur und Benutzererfahrung Ihrer Organisation zu priorisieren:
Sehen Sie sich das Microsoft Mechanics-Video zur Zusammenarbeit von Insider-Risikomanagement und Kommunikationscompliance an, um Datenrisiken von Benutzern in Ihrer Organisation zu minimieren.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Zusammenarbeit mit Projektbeteiligten in Ihrer Organisation
Identifizieren Sie die geeigneten Projektbeteiligten in Ihrer Organisation für die Zusammenarbeit, um Maßnahmen an Insider-Risikomanagementwarnungen und -fällen zu ergreifen. Einige empfohlene Projektbeteiligte, die in die erste Planung und den End-to-End-Workflow des Insider-Risikomanagements einbezogen werden sollten, sind Personen aus den folgenden Bereichen Ihrer Organisation:
- Informationstechnologie
- Compliance
- Datenschutz
- Sicherheit
- Personalwesen
- Rechtliche Hinweise
Ermitteln regionaler Complianceanforderungen
In verschiedenen geografischen und organisatorischen Bereichen gelten möglicherweise Compliance- und Datenschutzanforderungen, die sich von anderen Bereichen Ihrer Organisation unterscheiden. Arbeiten Sie mit den Beteiligten in diesen Bereichen zusammen, um sicherzustellen, dass sie die Compliance- und Datenschutzkontrollen im Insider-Risikomanagement verstehen und wie sie in verschiedenen Bereichen Ihrer Organisation verwendet werden sollten. In einigen Szenarien erfordern Compliance- und Datenschutzanforderungen möglicherweise Richtlinien, die bestimmte Projektbeteiligte auf der Grundlage des Falls für einen Benutzer oder gesetzliche oder Richtlinienanforderungen für den Bereich festlegen oder daran hindern, Untersuchungen und Fälle durchzuführen.
Wenn Sie anforderungen haben, dass bestimmte Projektbeteiligte an Falluntersuchungen beteiligt werden müssen, die Benutzer in bestimmten Regionen, Rollen oder Abteilungen einbeziehen, sollten Sie separate (wenn auch identische) Insider-Risikomanagementrichtlinien für die verschiedenen Regionen und Bevölkerungsgruppen implementieren. Diese Konfiguration erleichtert es den richtigen Projektbeteiligten, Fälle zu selektieren und zu verwalten, die für ihre Rollen und Regionen relevant sind. Möglicherweise sollten Sie Prozesse und Richtlinien für Regionen erstellen, in denen Ermittler und Prüfer die gleiche Sprache wie die Benutzer sprechen, was dazu beitragen kann, den Eskalationsprozess für Insider-Risikomanagementwarnungen und -fälle zu optimieren.
Planen von Berechtigungen zur Unterstützung des Überprüfungs- und Untersuchungsworkflows
Je nachdem, wie Sie Richtlinien und Warnungen für das Insider-Risikomanagement verwalten möchten, müssen Sie Benutzer bestimmten Rollengruppen zuweisen, um verschiedene Sätze von Insider-Risikomanagementfunktionen zu verwalten. Sie haben die Möglichkeit, Benutzer mit unterschiedlichen Compliance-Zuständigkeiten bestimmten Rollengruppen zuzuweisen, um verschiedene Bereiche der Insider-Risikomanagementfunktionen zu verwalten. Oder Sie können alle Benutzerkonten für designierte Administratoren, Analysten, Ermittler und Zuschauer der Rollengruppe Insider-Risikomanagement zuweisen. Weitere Informationen finden Sie unter Erste Schritte mit dem Insider-Risikomanagement.
Grundlegendes zu Anforderungen und Abhängigkeiten
Je nachdem, wie Sie Insider-Risikomanagementrichtlinien implementieren möchten, müssen Sie über die richtigen Microsoft 365-Lizenzierungsabonnements verfügen und einige Lösungsvoraussetzungen verstehen und planen.
Lizenzierung: Insider-Risikomanagement ist als Teil einer großen Auswahl von Microsoft 365-Lizenzierungsabonnements verfügbar. Weitere Informationen finden Sie im Artikel Erste Schritte mit dem Insider-Risikomanagement .
Wichtig
Insider-Risikomanagement ist derzeit in Mandanten verfügbar, die in geografischen Regionen und Ländern gehostet werden, die von Azure-Dienstabhängigkeiten unterstützt werden. Informationen zum Überprüfen, ob das Insider-Risikomanagement für Ihre Organisation unterstützt wird, finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land/Region.
Wenn Sie noch keinen Microsoft 365 Enterprise E5-Plan haben und das Insider-Risikomanagement ausprobieren möchten, können Sie Ihrem vorhandenen Abonnement Microsoft 365 hinzufügen oder sich für eine Testversion von Microsoft 365 Enterprise E5 registrieren.
Richtlinienvorlagenanforderungen: Abhängig von der ausgewählten Richtlinienvorlage müssen Sie sicherstellen, dass Sie die folgenden Anforderungen kennen und entsprechend planen, bevor Sie das Insider-Risikomanagement in Ihrer Organisation konfigurieren:
- Wenn Sie die Vorlage Datendiebstahl durch ausscheidende Benutzer verwenden, müssen Sie einen Microsoft 365 HR-Connector konfigurieren, um in regelmäßigen Abständen Rücktritts- und Beendigungsdatumsinformationen für Benutzer in Ihrer Organisation zu importieren. Eine schritt-für-Schritt-Anleitung zum Konfigurieren des Microsoft 365 HR-Connectors finden Sie im Artikel Importieren von Daten mit dem HR-Connector .
- Wenn Sie die Vorlage "Datenlecks " verwenden, müssen Sie mindestens eine Microsoft Purview-Dlp-Richtlinie (Data Loss Prevention, Verhinderung von Datenverlust) konfigurieren, um vertrauliche Informationen in Ihrer Organisation zu definieren und Insider-Risikowarnungen für DLP-Richtlinienwarnungen mit hohem Schweregrad zu erhalten. Eine schrittweise Anleitung zum Konfigurieren von DLP-Richtlinien finden Sie im Artikel Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust .
- Wenn Sie die Vorlage sicherheitsrichtlinienverstoß verwenden, müssen Sie Microsoft Defender für Endpunkt für die Integration des Insider-Risikomanagements in Defender Security Center aktivieren, um Warnungen zu Sicherheitsverletzungen zu importieren. Eine schritt-für-Schritt-Anleitung zum Aktivieren der Integration von Defender für Endpunkt mit Insider-Risikomanagement finden Sie unter Konfigurieren erweiterter Features in Microsoft Defender für Endpunkt.
- Wenn Sie die Vorlage riskante Benutzer verwenden, müssen Sie einen Microsoft 365 HR-Connector konfigurieren, um regelmäßig Leistungs- oder Herabstufungsstatusinformationen für Benutzer in Ihrer Organisation zu importieren. Eine schritt-für-Schritt-Anleitung zum Konfigurieren des Microsoft 365 HR-Connectors finden Sie im Artikel Importieren von Daten mit dem HR-Connector .
Testen mit einer kleinen Gruppe von Benutzern in einer Produktionsumgebung
Bevor Sie diese Lösung in Ihrer Produktionsumgebung allgemein aktivieren, sollten Sie die Richtlinien mit einer kleinen Gruppe von Produktionsbenutzern testen und gleichzeitig die erforderlichen Compliance-, Datenschutz- und rechtlichen Überprüfungen in Ihrer Organisation durchführen. Die Auswertung des Insider-Risikomanagements in einer Testumgebung erfordert, dass Sie simulierte Benutzeraktionen und andere Signale generieren, um Warnungen für die Selektierung und Fälle für die Verarbeitung zu erstellen. Dieser Ansatz ist für viele Organisationen möglicherweise nicht praktikabel. Daher wird empfohlen, das Insider-Risikomanagement mit einer kleinen Gruppe von Benutzern in einer Produktionsumgebung zu testen.
Lassen Sie das Anonymisierungsfeature in den Richtlinieneinstellungen aktiviert, um Die Anzeigenamen von Benutzern in der Insider-Risikomanagement-Konsole während dieser Tests zu anonymisieren, um den Datenschutz innerhalb des Tools zu gewährleisten. Diese Einstellung trägt dazu bei, die Privatsphäre von Benutzern zu schützen, die richtlinienkonsentiert sind, und kann die Objektivität bei Der Untersuchung und Analyse von Daten für Insider-Risikowarnungen fördern.
Wenn unmittelbar nach dem Konfigurieren einer Insider-Risikomanagementrichtlinie keine Warnungen angezeigt werden, kann dies bedeuten, dass der Mindestrisikoschwellenwert noch nicht erreicht wurde. Überprüfen Sie auf der Seite Benutzer , ob die Richtlinie ausgelöst wird und wie erwartet funktioniert, und um zu überprüfen, ob sich Benutzer im Gültigkeitsbereich der Richtlinie befinden.
Migrieren zwischen Microsoft 365 US Government Cloud und der kommerziellen Cloud
Wenn Sie Ihre Organisation von der Microsoft 365 US Government Cloud zur weltweiten kommerziellen Cloud oder von der weltweiten kommerziellen Cloud zur Government Cloud migrieren, werden aktive Fälle und Warnungen nicht migriert. Schließen Sie alle Warnungen und Fälle, bevor Sie mit der Migration beginnen.
Ressourcen für Beteiligte
Teilen Sie die Insider-Risikomanagementdokumentation mit den Beteiligten in Ihrer Organisation, die in Ihrem Verwaltungs- und Wartungsworkflow enthalten sind:
- Erstellen und Verwalten von Insider-Risikorichtlinien
- Untersuchen von Insider-Risikoaktivitäten
- Maßnahmen bei Insider-Risikofällen ergreifen
- Überprüfen von Falldaten mit dem Insider-Risiko-Inhalts-Explorer
- Erstellen von Vorlagen für Benachrichtigungen zu Insider-Risiken
Sind Sie bereit loszulegen?
Sind Sie bereit, das Insider-Risikomanagement für Ihre Organisation zu konfigurieren? Wir empfehlen Ihnen, die folgenden Artikel zu lesen:
- Erste Schritte mit Insider-Risikomanagementeinstellungen zum Konfigurieren globaler Richtlinieneinstellungen.
- Beginnen Sie mit dem Insider-Risikomanagement , um Voraussetzungen zu konfigurieren, Richtlinien zu erstellen und Warnungen zu erhalten.
- Erste Schritte mit forensischen Erkenntnissen für das Insider-Risikomanagement finden Sie in einer schritt-für-Schritt-Anleitung zum Konfigurieren der erfassung forensischer Beweise in Ihrer Organisation.