Einrichten eines Connectors zum Importieren von Insider-Risikoerkennungen von Drittanbietern (Vorschau)

  • Artikel

Sie können einen Connector einrichten, um die Microsoft Purview Insider Risk Management Lösung um Erkennungen von Drittanbietern (nicht von Microsoft) zu erweitern. Beispielsweise können Sie Ihre Erkennungen auf Salesforce- und Dropbox-Aktivitäten erweitern und diese zusammen mit den integrierten Erkennungen des Insider-Risikomanagements verwenden, das sich auf Microsoft-Dienste wie SharePoint Online und Exchange Online konzentriert.

Um Ihre eigenen Erkennungen in die Insider-Risikomanagementlösung zu integrieren, importieren Sie vorverarbeitete, aggregierte Erkennungen aus SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel oder Splunk. Sie importieren eine Beispieldatei in den Connector-Assistenten für Insider-Risikoindikatoren. Der Connector-Assistent analysiert die Beispieldatei und konfiguriert das erforderliche Schema für das Insider-Risikomanagement.

Hinweis

Derzeit können Sie keine "unformatierten" Erkennungssignale in das Insider-Risikomanagement importieren. Sie können nur vorverarbeitete Aggregationen als Datei importieren.

Gesamtprozess

Die Einführung eigener Erkennungen in das Insider-Risikomanagement ist ein dreistufiger Prozess:

  1. Erstellen Sie in Microsoft Purview den Connector für Insider-Risikoindikatoren (Vorschau), wie in diesem Artikel beschrieben.
  2. Erstellen Sie in der Insider-Risikomanagementlösung benutzerdefinierte Indikatoren.
  3. Verwenden Sie in der Insider-Risikomanagementlösung die benutzerdefinierten Indikatoren in Richtlinien als Trigger oder Indikatoren, und definieren Sie Schwellenwerte.

Wenn die Benutzeraktivität den Schwellenwert überschreitet, den Sie für die Richtlinie angeben, wird der Benutzer in den Bereich der Insider-Risikomanagementrichtlinie gebracht und für das Risiko bewertet. Eine Warnung wird generiert, und Analysten können die Warnung mithilfe benutzerdefinierter Indikatordetails untersuchen.

Hinweis

Sie können benutzerdefinierte Indikatoren nur mit den Vorlagen Datendiebstahl und Datenlecks verwenden.

Bevor Sie beginnen:

  1. Bestimmen Sie die Szenarien und Daten, die Sie in Microsoft 365 importieren möchten. Auf diese Weise können Sie bestimmen, wie viele CSV-Dateien und Insider-Risikoindikatorconnectors Sie erstellen müssen, und wie sie die CSV-Dateien strukturieren. Die importierten Daten werden durch die Typen von Triggern und Indikatoren bestimmt, die Sie erstellen möchten. Weitere Informationen finden Sie unter Bestimmen, wie viele CSV-Dateien für Indikatordaten vorbereitet werden sollen.
  2. Bestimmen Sie, wie Die Daten aus Ihrem internen System abgerufen oder exportiert werden sollen, und fügen Sie sie den CSV-Dateien hinzu, die Sie in Schritt 2 vorbereiten. Das Skript, das Sie in Schritt 4 ausführen, lädt die Daten in den CSV-Dateien in die Insider-Risikomanagementlösung hoch.
  3. Weisen Sie die Rolle Datenconnector Admin zu. Diese Rolle ist erforderlich, um Connectors auf der Seite Datenconnectors im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal hinzuzufügen, sodass dem Benutzer, der den Connector in Schritt 3 erstellt, diese Rolle zugewiesen werden muss. Diese Rolle wird standardmäßig mehreren Rollengruppen hinzugefügt. Eine Liste dieser Rollengruppen finden Sie unter Rollen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance. Alternativ kann ein Administrator in Ihrem organization eine benutzerdefinierte Rollengruppe erstellen, der benutzerdefinierten Rollengruppe die Rolle Datenconnector Admin zuweisen und dann die entsprechenden Benutzer als Mitglieder hinzufügen. Eine Anleitung finden Sie unter Erstellen einer benutzerdefinierten Microsoft Purview-Rollengruppe.
  4. Fügen Sie die webhook.ingestion.office.com Domäne ihrer Firewall-Positivliste für Ihre organization hinzu. Das Skript, das Sie in Schritt 4 ausführen, funktioniert nicht, wenn Sie diese Domäne nicht der Positivliste hinzufügen.

Wichtig

Das Beispielskript, das Sie in Schritt 4 ausführen, lädt Ihre Daten in die Microsoft-Cloud hoch, damit sie von der Insider-Risikomanagementlösung verwendet werden können. Dieses Beispielskript wird von keinem Microsoft-Standardsupportprogramm oder -Dienst unterstützt. Das Beispielskript wird wie besehen ohne jegliche Gewährleistung zur Verfügung gestellt. Microsoft schließt ferner alle konkludenten Gewährleistungen, einschließlich, aber nicht beschränkt auf konkludente Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck aus. Das gesamte Risiko, das mit der Verwendung oder Leistung des Beispielskripts und der Dokumentation einhergeht, liegt bei Ihnen. In keinem Fall sind Microsoft, seine Autoren oder an der Erstellung, Produktion oder Übermittlung der Skripts beteiligte Personen für Schäden jeglicher Art (einschließlich und ohne Einschränkung Schäden durch Verlust entgangener Gewinne, Geschäftsunterbrechungen, Verlust von Geschäftsinformationen oder andere geldliche Verluste) haftbar, die aus der Nutzung bzw. Unfähigkeit zur Nutzung der Beispielskripts oder Dokumentation entstehen, auch wenn Microsoft auf die Möglichkeit solcher Schäden hingewiesen wurde.

Bestimmen, wie viele CSV-Dateien für Indikatordaten vorbereitet werden sollen

In Schritt 3 haben Sie die Wahl, separate CSV-Dateien vorzubereiten, die Daten für jeden Indikator enthalten, oder Sie können eine einzelne CSV-Datei vorbereiten, die Daten für zwei oder mehr Indikatoren enthält.

Hier finden Sie einige Richtlinien, die Ihnen helfen, zu bestimmen, wie viele CSV-Dateien vorbereitet werden müssen:

  • Wenn die Insider-Risikomanagementrichtlinie, die Sie implementieren möchten, mehrere Indikatoren erfordert, sollten Sie eine einzelne CSV-Datei verwenden, die die Daten für alle Indikatoren enthält. In der Regel wird die Anzahl der Connectors, die Sie erstellen müssen, durch die Dienste in einer CSV-Datei bestimmt. Wenn eine CSV-Datei beispielsweise alle Dienste enthält, die zur Unterstützung Ihrer Implementierung des Insider-Risikomanagements erforderlich sind, benötigen Sie nur einen Connector. Mit weniger CSV-Dateien können Sie weniger Connectors erstellen und verwalten. Wenn Sie über zwei separate CSV-Dateien verfügen, die jeweils einen einzelnen Dienst enthalten, müssen Sie zwei Connectors erstellen.

  • Die Methode zum Generieren oder Sammeln der Daten kann die Anzahl der CSV-Dateien bestimmen. Wenn sich beispielsweise die verschiedenen Datentypen, die zum Konfigurieren eines Connectors verwendet werden, in einem einzelnen System in Ihrem organization befinden, können Sie die Daten möglicherweise in eine einzelne CSV-Datei exportieren. Wenn Daten jedoch auf verschiedene Systeme verteilt sind, ist es möglicherweise einfacher, Daten in verschiedene CSV-Dateien zu exportieren. Wie Sie Daten aus Ihren Systemen abrufen oder exportieren, hängt möglicherweise von der Anzahl der csv-Dateien ab, die Sie benötigen.

Schritt 1: Erstellen einer App in Microsoft Entra ID

Der erste Schritt besteht darin, eine neue App in Microsoft Entra ID für den Connector zu erstellen und zu registrieren, den Sie in Schritt 3 erstellen. Durch das Erstellen dieser App können Microsoft Entra ID den Connector authentifizieren, wenn er ausgeführt wird und versucht, auf Ihre organization zuzugreifen. Diese App wird auch verwendet, um das Skript zu authentifizieren, das Sie in Schritt 4 ausführen, um Ihre Daten in die Microsoft-Cloud hochzuladen. Achten Sie beim Erstellen der Microsoft Entra-App darauf, die folgenden Informationen zu speichern:

  • Microsoft Entra Anwendungs-ID (App-ID oder Client-ID)
  • Microsoft Entra Anwendungsgeheimnis (geheimer Clientschlüssel)
  • Mandanten-ID (Verzeichnis-ID)

Die oben genannten Werte werden in Den Schritten 3 und 4 verwendet. Schritt-für-Schritt-Anweisungen zum Erstellen einer App in Microsoft Entra ID finden Sie unter Registrieren einer Anwendung beim Microsoft Identity Platform.

Schritt 2: Vorbereiten von CSV-Dateien mit Ihren Insider-Risikoindikatoren

Der nächste Schritt besteht darin, eine CSV-Datei vorzubereiten, die die Indikatordaten enthält, die der Connector in Microsoft 365 importiert. Diese Daten werden von der Insider-Risikomanagementlösung verwendet. Sie können Daten für die folgenden Szenarien importieren:

  • Erstellen Sie einen Trigger, der einen Benutzer bei Aktivierung in den Bereich einer Richtlinie bringt. Beispiel 1 unten zeigt, wie Sie eine CSV-Datei für einen "home-grown"-Trigger vorbereiten, der die Wahrscheinlichkeit vorhersagt, dass ein Mitarbeiter eine organization verlässt.
  • Erstellen Sie einen Richtlinienindikator, der Benutzeraktivitäten überwacht. Beispiel 2 unten zeigt, wie Sie eine einzelne CSV-Datei für mehrere Indikatoren (einen für Dropbox und einen für Salesforce) vorbereiten.

Für jedes Szenario müssen Sie die entsprechenden Indikatordaten in einer oder mehreren CSV-Dateien bereitstellen. Weitere Informationen finden Sie unter Bestimmen, wie viele CSV-Dateien für Indikatordaten verwendet werden sollen.

Nachdem Sie die CSV-Datei mit den erforderlichen Indikatordaten erstellt haben, speichern Sie sie auf dem lokalen Computer, auf dem Sie das Skript in Schritt 4 ausführen. Sie sollten auch eine Updatestrategie implementieren, um sicherzustellen, dass die CSV-Datei immer die aktuellsten Informationen enthält, sodass bei jeder Ausführung des Skripts die aktuellsten Indikatordaten in die Microsoft-Cloud hochgeladen und für die Insider-Risikomanagementlösung zugänglich sind.

Wichtig

Die in den folgenden Abschnitten beschriebenen Spaltennamen sind Beispiele, keine erforderlichen Parameter. Sie können beliebige Spaltennamen in Ihren CSV-Dateien verwenden. Die Spaltennamen, die Sie in einer CSV-Datei verwenden, müssen jedoch einem Datentyp zugeordnet werden, wenn Sie den Connector in Schritt 3 erstellen. Beachten Sie außerdem, dass die CSV-Beispieldateien in den folgenden Abschnitten im Editor angezeigt werden. Es ist viel einfacher, CSV-Dateien in Microsoft Excel anzuzeigen und zu bearbeiten.

Beispiel 1: Vorbereiten einer CSV-Datei für einen einfachen Trigger, der einen Benutzer in den Bereich einer Richtlinie bringt

In diesem Beispiel wird gezeigt, wie Sie eine CSV-Datei strukturieren, um einen "selbst angebauten" Trigger zu erstellen, der verwendet werden kann, um die Wahrscheinlichkeit vorherzusagen, dass ein Mitarbeiter eine organization verlässt. In diesem Beispiel werden die folgenden Beispieldaten verwendet:

UserPrincipalName,PredictionTime,PredictionScore,ModelInfo
sarad@contoso.com,2023-04-20T05:52:56.962686Z,6,Model accuracy: 67%, Model name: LeaverPrediction_M1
sarad@contoso.com,2023-04-24T05:52:56.962686Z,9,Model accuracy: 67%, Model name: LeaverPrediction_M1
sarad@contoso.com,2023-04-24T05:52:56.962686Z,3,Model accuracy: 67%, Model name: LeaverPrediction_M1

In der folgenden Tabelle werden die einzelnen Spalten in der CSV-Datei beschrieben.

Spalte Beschreibung
UserPrincipalName Der Microsoft Entra UserPrincipalName (UPN), der zum Identifizieren des Benutzers verwendet wird.
Vorhersagezeit Pflichtfeld, das das Datum/die Uhrzeit des Auftretens der Aktivität anzeigt. Verwenden Sie das folgende Datumsformat: . Dabei handelt es sich um das Iso 8601-Datums- und Uhrzeitformat. yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm
Vorhersageergebnis Bewertung riskanter Aktivitäten. Dieses Feld wird für die Einstellung des Triggerschwellenwerts verwendet. Nur Zahlenfelder können für Schwellenwerteinstellungen verwendet werden.
Modellinformationen Zusätzliches Feld, das zum Nachverfolgen von Informationen zum Vorhersagemodell verwendet wird.

Hinweis

Nur die Felder UserPrincipalName und Datum/Uhrzeit sind obligatorisch. Alle anderen Felder sind optional, können aber für den Analysten oder Prüfer bei der Entscheidungsfindung hilfreich sein, wenn sie Warnungen selektieren (diese Felder werden im Aktivitäts-Explorer und in Warnungen und Fällen angezeigt).

Wenn Sie den Connector in Schritt 3 erstellen, verwenden Sie die Daten im PredictionScore Feld als Schwellenwert für den Trigger. Wenn ein Benutzer den Schwellenwert überschreitet, den Sie später in der Richtlinie festlegen, wird der Benutzer in den Bereich der Richtlinie gebracht.

Beispiel 2: Vorbereiten einer einzelnen CSV-Datei zum Erstellen mehrerer Richtlinienindikatoren

In diesem Beispiel wird gezeigt, wie Sie mehrere Richtlinienindikatoren (eines für Dropbox und eines für Salesforce) aus einer einzelnen CSV-Datei erstellen. In diesem Beispiel werden die folgenden Beispieldaten verwendet:

User_Principal_Name,Display_Name,Alert_Severity,Alert_Count,Aggregation_Date,Source_Workload,AdditionalInfo_Salesforce,AdditionalInfo_Dropbox
sarad@contoso.com,Salesforce - Sensitive report downloaded and emailed externally,High,10,2023-04-24T05:52:56.962686Z,Salesforce,text,text
sarad@contoso.com,Salesforce - Anomalous download of sales lead reports,Medium,6,2023-04-24T05:52:56.962686Z,Salesforce,text,text
bradh@contoso.com,Salesforce - Printing sales reports,Low,50,2023-04-24T05:52:56.962686Z,Salesforce,text,text
bradh@contoso.com,Salesforce - Excessive modifications to sensitive reports,Medium,3,2023-04-24T05:52:56.962686Z,Salesforce,text,text
sarad@contoso.com,Dropbox - Sensitive files saved to personal Dropbox,High,14,2023-04-24T05:52:56.962686Z,Dropbox,text,text
bradh@contoso.com,Dropbox - Anomalous file copy activity,Medium,5,2023-04-24T05:52:56.962686Z,Dropbox,text,text

In der folgenden Tabelle werden die einzelnen Spalten in der CSV-Datei beschrieben.

Spalte Beschreibung
UserPrincipalName Der Microsoft Entra UserPrincipalName (UPN), der zum Identifizieren des Benutzers verwendet wird.
Anzeigename Name der riskanten Aktivität.
Warnungsschweregrad Schweregradkategorien: Niedrig, Mittel und Hoch.
Warnungsanzahl Anzahl der Inzidenzen jeder Aktivität. Die Daten in diesem Feld werden für die Schwellenwerteinstellung des Indikators verwendet.
Aggregationsdatum Pflichtfeld, das das Datum/die Uhrzeit des Auftretens der Aktivität anzeigt. Verwenden Sie das folgende Datumsformat: . Dabei handelt es sich um das Iso 8601-Datums- und Uhrzeitformat. yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm
Quellworkload Dies ist das Schlüsselfeld für das Szenario mit mehreren Indikatoren. Sie wählen dieses Feld für das Feld Quellspalte aus, wenn Sie den Connector erstellen. Die Werte in diesem Feld (Dropbox und Salesforce) werden im Feld Verknüpfte Werte in der Quellspalte im Connector verwendet.
Zusätzliche Informationen Salesforce Alle zusätzlichen Informationen, die Sie zum Salesforce-Indikator notieren möchten
Zusätzliche Informationen Dropbox Alle zusätzlichen Informationen, die Sie zum Dropbox-Indikator notieren möchten

Im folgenden Beispiel erfahren Sie, wie diese CSV-Datei beim Erstellen des Datenconnectors verwendet wird.

Schritt 3: Erstellen des Insider-Risikoindikatoren-Connectors

Der nächste Schritt besteht darin, einen Connector im Microsoft Purview-Portal oder im Complianceportal zu erstellen. Nachdem Sie das Skript in Schritt 4 ausgeführt haben, importiert der von Ihnen erstellte Connector die Daten aus der CSV-Datei und lädt sie in Ihre Microsoft 365-organization hoch.

Hinweis

Stellen Sie vor dem Erstellen eines Connectors sicher, dass Sie über eine Liste der Szenarien und die entsprechenden CSV-Spaltennamen für jedes Szenario verfügen.

Beispiel 1: Erstellen einer Connectordatei für einen einfachen Trigger

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Datenconnectors aus.

  3. Wählen Sie Meine Connectors und dann Connector hinzufügen aus.

  4. Wählen Sie in der Liste Insider-Risikoindikatoren (Vorschau) aus.

  5. Überprüfen Sie die Nutzungsbedingungen, und wählen Sie dann Akzeptieren aus, wenn Sie die Erstellung des Connectors fortsetzen möchten.

  6. Führen Sie auf der Seite Authentifizierung Folgendes aus:

    1. Geben Sie einen Namen für den Connector ein.
    2. Fügen Sie die Microsoft Entra Anwendungs-ID für die Azure-App ein, die Sie in Schritt 1 erstellt haben.
    3. Wählen Sie Weiter aus.

  7. Auf der Seite Beispieldatei :

    1. Wählen Sie Beispieldatei hochladen und dann die CSV-Datei aus, die Sie hochladen möchten.
    2. Wählen Sie in der Liste Quellspaltedie Option Keine (Einzelne Quelle) aus.
    3. Überprüfen Sie im Abschnitt Überprüfen von Beispieldaten und -datentypen die einzelnen Felder, um sicherzustellen, dass jedem Feld die richtigen Datentypen zugewiesen wurden. Wenn ein Feld später als Schwellenwert verwendet wird, stellen Sie sicher, dass es über den Datentyp Number verfügt. In diesem Szenario wird z. B. das PredictionScore Feld als Schwellenwert verwendet, und der Datentyp wird entsprechend auf Zahl festgelegt.

  8. Wählen Sie Weiter aus.

  9. Auf der Seite Datenzuordnung :

    1. Geben Sie die Werte für Ereigniszeit (UTC-Zeit) und Microsoft 365-Benutzer-E-Mail-Adresse basierend auf den entsprechenden Werten aus der CSV-Datei ein. Dies sind Pflichtfelder für den Connector.
    2. Verwenden Sie im Feld Standard die Liste, um jedes Feld auszuwählen, das Sie aus der CSV-Datei einschließen möchten. Wählen Sie beispielsweise ein Zahlenfeld aus, das später als Schwellenwert für den Indikator verwendet werden soll, oder wählen Sie andere Felder aus, die als unterstützende Informationen verwendet werden sollen.

  10. Wählen Sie Weiter aus.

  11. Überprüfen Sie auf der Seite Fertig stellen alle Informationen, und wenn alles ok aussieht, wählen Sie Fertig stellen aus.

  12. Kopieren Sie die Auftrags-ID für den Connector. Sie benötigen ihn für den nächsten Schritt.

  13. Fahren Sie mit Schritt 4 fort, um das Skript auszuführen, das die Daten in Microsoft 365 hochlädt.

Beispiel 2: Erstellen eines Connectors, der mehrere Richtlinienindikatoren enthält

Dieses Beispiel zeigt, wie Sie einen einzelnen Connector einrichten, um mehrere Richtlinienindikatoren (Salesforce und Dropbox) zu erstellen. Sie können zwei separate Connectors erstellen (einen für Salesforce und einen für Dropbox), aber das Erstellen eines einzelnen Connectors, der für beide funktioniert, kann die allgemeine Dateiwartung reduzieren.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Datenconnectors aus.

  3. Wählen Sie Meine Connectors und dann Connector hinzufügen aus.

  4. Wählen Sie in der Liste Insider-Risikoindikatoren (Vorschau) aus.

  5. Überprüfen Sie die Nutzungsbedingungen, und wählen Sie dann Akzeptieren aus, wenn Sie die Erstellung des Connectors fortsetzen möchten.

  6. Gehen Sie auf der Seite Authentifizierung wie folgt vor:

    1. Geben Sie einen Namen für den Connector ein.
    2. Fügen Sie die Microsoft Entra Anwendungs-ID für die Azure-App ein, die Sie in Schritt 2 erstellt haben.
    3. Wählen Sie Weiter aus.

  7. Auf der Seite Beispieldatei :

    1. Wählen Sie Beispieldatei hochladen und dann die CSV-Datei aus, die Sie hochladen möchten.
    2. Wählen Sie in der Liste Quellspalte die Spalte aus, die als Quelle verwendet werden soll. In der CSV-Beispieldatei ist SourceWorkloaddie Quellspalte , da sie die Werte für die beiden separaten Workloads (Salesforce und Dropbox) speichert.
    3. Geben Sie im Feld Verwandte Werte in der Quellspalte die zugehörigen Werte ein. Geben Sie in diesem Beispiel "Salesforce,Dropbox" ein. Schließen Sie keine Leerzeichen zwischen Werten ein.

    Wichtig

    Stellen Sie sicher, dass die Werte, die Sie im Feld Verwandte Werte in der Quellspalte eingeben, mit den Werten in der Quellspaltenliste übereinstimmen. Der Connector schlägt fehl, wenn die Spaltenwerte nicht übereinstimmen.

    1. Überprüfen Sie im Abschnitt Überprüfen von Beispieldaten und -datentypen die einzelnen Felder, um sicherzustellen, dass für jedes Feld die richtigen Datentypen zugewiesen wurden. Wenn ein Feld später als Schwellenwert verwendet wird, stellen Sie sicher, dass es über den Datentyp Number verfügt. In diesem Beispielszenario wird das AlertCount Feld beispielsweise als Schwellenwert verwendet, und der Datentyp wird entsprechend auf Zahl festgelegt.
    2. Wählen Sie Weiter aus.

  8. Auf der Seite Datenzuordnung :

    1. Geben Sie die Werte für Ereigniszeit (UTC-Zeit) und Microsoft 365-Benutzer-E-Mail-Adresse basierend auf den entsprechenden Werten aus der CSV-Datei ein. Diese Felder sind obligatorisch und gelten für beide Indikatoren, die Sie für dieses Beispiel erstellen.
    2. Wählen Sie die Spalten aus Ihrer Beispieldatei aus, die Sie den beiden Workloads Salesforce und Dropbox zuordnen möchten.

    Tipp

    Sie können den oben beschriebenen Prozess verwenden, um mehrere Richtlinienindikatoren basierend auf Schweregraden zu erstellen. Sie können beispielsweise einen einzelnen Connector verwenden, um separate Indikatoren für niedrig, mittel und hoch zu erstellen. In diesem Fall wählen Sie in der Liste Quellspalte das Feld aus, das die Werte für die separaten Workloads enthält (Niedrig, Mittel, Hoch), geben Sie diese Workloadwerte in das Feld Verwandte Werte in Quellspalte ein, und ordnen Sie dann die entsprechenden Felder auf der Seite Datenzuordnung zu.

  9. Wählen Sie Weiter aus.

  10. Überprüfen Sie auf der Seite Fertig stellen alle Informationen, und wenn alles richtig aussieht, wählen Sie Fertig stellen aus.

  11. Kopieren Sie die Auftrags-ID für den Connector. Sie benötigen ihn für den nächsten Schritt.

  12. Fahren Sie mit dem nächsten Schritt (Schritt 4) fort, um das Skript auszuführen, das die Daten in Microsoft 365 hochlädt.

Schritt 4: Ausführen des Beispielskripts zum Hochladen Ihrer Daten

Der letzte Schritt beim Einrichten eines Connectors besteht darin, ein Beispielskript auszuführen, das die Daten in die CSV-Datei hochlädt. Wenn Sie das Skript ausführen, importiert der Connector, den Sie in Schritt 3 erstellt haben, die Daten in Ihre Microsoft 365-organization wo die Insider-Risikomanagementlösung darauf zugreifen kann. Nachdem Sie das Skript ausgeführt haben, sollten Sie eine Aufgabe so planen, dass sie täglich automatisch ausgeführt wird, damit die aktuellsten Daten in die Microsoft-Cloud hochgeladen werden. Weitere Informationen finden Sie unter Planen der automatischen Ausführung des Skripts.

Vor dem Ausführen des Skripts

  • Stellen Sie sicher, dass Sie die webhook.ingestion.office.com Domäne ihrer Firewall-Positivliste für Ihre organization hinzufügen. Wenn diese Domäne blockiert ist, wird das Skript nicht ausgeführt.
  • Stellen Sie sicher, dass Sie 24 Stunden warten, bevor Sie die Daten hochladen, nachdem die benutzerdefinierten Indikatoren und die zugehörigen Richtlinien aktualisiert wurden. Dies liegt daran, dass es mehrere Stunden dauern kann, alle Komponenten zu synchronisieren. Wenn Sie die Daten sofort hochladen, während die Updates synchronisiert werden, werden einige Daten möglicherweise nicht auf Risiko bewertet.
  • Stellen Sie sicher, dass alle Kombinationen aus UPN und Zeitstempel, die importiert werden sollen, eindeutig sind. Wenn ein Datensatz in der hochgeladenen CSV-Datei denselben Zeitstempel und UPN wie andere Datensätze in der Datei enthält, wird der Datensatz gelöscht.

Ausführen des Beispielskripts

  1. Wechseln Sie zu dem Fenster, das Sie im vorherigen Schritt geöffnet haben, um mit dem Beispielskript auf die GitHub-Website zuzugreifen. Alternativ können Sie die mit Einem Lesezeichen versehene Website öffnen oder die url verwenden, die Sie kopiert haben. Sie können auch unter auf https://github.com/microsoft/m365-compliance-connector-sample-scripts/blob/main/sample_script.ps1das Skript zugreifen.

  2. Wählen Sie die Schaltfläche Roh aus, um das Skript in der Textansicht anzuzeigen.

  3. Kopieren Sie alle Zeilen im Beispielskript, und speichern Sie sie in einer Textdatei.

  4. Ändern Sie bei Bedarf das Beispielskript für Ihre organization.

  5. Speichern Sie die Textdatei als Windows PowerShell Skriptdatei, indem Sie das Dateinamensuffix verwenden.ps1, HRConnector.ps1z. B. . Alternativ können Sie den GitHub-Dateinamen für das Skript verwenden, der ist upload_termination_records.ps1.

  6. Öffnen Sie eine Eingabeaufforderung auf Ihrem lokalen Computer, und wechseln Sie dann zu dem Verzeichnis, in dem Sie das Skript gespeichert haben.

  7. Führen Sie den folgenden Befehl aus, um die Daten in der CSV-Datei in die Microsoft-Cloud hochzuladen. Zum Beispiel:

    .\HRConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'

    In der folgenden Tabelle werden die Parameter, die mit diesem Skript verwendet werden sollen, und die erforderlichen Werte beschrieben. Die Informationen, die Sie in den vorherigen Schritten erhalten haben, werden in den Werten für diese Parameter verwendet.

    Parameter Beschreibung
    tenantId Dies ist die ID für Ihre Microsoft 365-organization, die Sie in Schritt 1 erhalten haben. Sie können die Mandanten-ID für Ihre organization auch auf dem Blatt Übersicht im Microsoft Entra Admin Center abrufen. Dies wird verwendet, um Ihre organization zu identifizieren.
    appId Dies ist die Microsoft Entra Anwendungs-ID für die App, die Sie in Microsoft Entra ID in Schritt 1 erstellt haben. Dies wird von Microsoft Entra ID für die Authentifizierung verwendet, wenn das Skript versucht, auf Ihre Microsoft 365-organization zuzugreifen.
    appSecret Dies ist das Microsoft Entra Anwendungsgeheimnis für die App, die Sie in Microsoft Entra ID in Schritt 1 erstellt haben. Dies wird auch für die Authentifizierung verwendet.
    jobId Dies ist die Auftrags-ID für den Connector, den Sie in Schritt 3 erstellt haben. Dies wird verwendet, um die Daten, die in die Microsoft-Cloud hochgeladen werden, dem Connector zuzuordnen.
    filePath Dies ist der Dateipfad für die Datei (gespeichert auf demselben System wie das Skript), die Sie in Schritt 1 erstellt haben. Versuchen Sie, Leerzeichen im Dateipfad zu vermeiden. verwenden Sie andernfalls einfache Anführungszeichen.

    Hier sehen Sie ein Beispiel für die Syntax für das Connectorskript, das die tatsächlichen Werte für jeden Parameter verwendet:

     .\HRConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\insider_risk_indicator_data.csv'

    Wenn der Upload erfolgreich ist, zeigt das Skript die Meldung Upload Successful (Upload erfolgreich) an .

    Hinweis

    Wenn Sie aufgrund von Ausführungsrichtlinien Probleme beim Ausführen des vorherigen Befehls haben, finden Sie unter Informationen zu Ausführungsrichtlinien und Set-ExecutionPolicy Anleitungen zum Festlegen von Ausführungsrichtlinien.

Schritt 5: Überwachen des Connectors

Nachdem Sie den Connector erstellt und das Skript zum Hochladen Ihrer Daten ausgeführt haben, können Sie den Connector anzeigen und status im Microsoft Purview-Portal oder im Complianceportal hochladen. Wenn Sie planen, dass das Skript regelmäßig automatisch ausgeführt wird, können Sie die aktuelle status nach der letzten Ausführung des Skripts anzeigen.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Datenconnectors aus.

  3. Wählen Sie Meine Connectors und dann den HR-Connector aus, den Sie erstellt haben, um die Flyoutseite anzuzeigen. Diese Seite enthält die Eigenschaften und Informationen zum Connector.

  4. Wählen Sie unter Status den Link Protokoll herunterladen aus, um das status Protokoll für den Connector zu öffnen (oder zu speichern). Dieses Protokoll enthält Informationen zu jeder Ausführung des Skripts und lädt die Daten aus der CSV-Datei in die Microsoft-Cloud hoch.

    Das RecordsSaved Feld gibt die Anzahl der Zeilen in der CSV-Datei an, die hochgeladen wurden. Wenn die CSV-Datei beispielsweise vier Zeilen enthält, ist der Wert des RecordsSaved Felds 4, wenn das Skript erfolgreich alle Zeilen in der CSV-Datei hochgeladen hat.

Wenn Sie das Skript in Schritt 4 noch nicht ausgeführt haben, wird unter Letzter Import ein Link zum Herunterladen des Skripts angezeigt. Sie können das Skript herunterladen und dann die Schritte zum Ausführen des Skripts ausführen.

(Optional) Schritt 6: Planen der automatischen Ausführung des Skripts

Um sicherzustellen, dass die neuesten Daten aus Ihrem organization für die Insider-Risikomanagementlösung verfügbar sind, planen Sie die automatische Ausführung des Skripts auf einer wiederkehrenden Basis, z. B. einmal pro Tag. Dies erfordert, dass Sie die Daten in der CSV-Datei nach einem ähnlichen (wenn nicht demselben) Zeitplan aktualisieren, damit sie die neuesten Informationen enthalten. Das Ziel besteht darin, die aktuellsten Daten hochzuladen, damit der Connector sie der Insider-Risikomanagementlösung zur Verfügung stellen kann.

Sie können die Taskplaner-App in Windows verwenden, um das Skript täglich automatisch auszuführen.

  1. Wählen Sie auf Ihrem lokalen Computer die Windows-Schaltfläche Start aus, und geben Sie Aufgabenplanung ein.

  2. Wählen Sie die App Aufgabenplanung aus .

  3. Wählen Sie im Abschnitt Aktionen die Option Aufgabe erstellen aus.

  4. Geben Sie auf der Registerkarte Allgemein einen beschreibenden Namen für den geplanten Vorgang ein. Beispiel: HR-Connectorskript. Sie können auch eine optionale Beschreibung hinzufügen.

  5. Führen Sie unter Sicherheitsoptionen Folgendes aus:

    1. Bestimmen Sie, ob das Skript nur ausgeführt werden soll, wenn Sie am Computer angemeldet sind oder nicht angemeldet sind.
    2. Stellen Sie sicher, dass das Kontrollkästchen Mit den höchsten Berechtigungen ausführen aktiviert ist.

  6. Wählen Sie die Registerkarte Trigger aus , wählen Sie Neu aus, und führen Sie Folgendes aus:

    1. Wählen Sie unter Einstellungen die Option Täglich aus, und wählen Sie ein Datum und eine Uhrzeit für die erste Ausführung des Skripts aus. Das Skript wird täglich zur angegebenen Zeit ausgeführt.
    2. Stellen Sie sicher, dass unter Erweiterte Einstellungen das Kontrollkästchen Aktiviert aktiviert ist.
    3. Wählen Sie OK aus.

  7. Wählen Sie die Registerkarte Aktionen aus, wählen Sie Neu aus, und führen Sie Folgendes aus:

    1. Stellen Sie in der Dropdownliste Aktion sicher, dass Programm starten ausgewählt ist.

    2. Wählen Sie im Feld Programm/Skript die Option Durchsuchen aus, wechseln Sie dann zum folgenden Speicherort, und wählen Sie ihn aus, damit der Pfad im Feld angezeigt wird: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

    3. Fügen Sie im Feld Argumente hinzufügen (optional) den gleichen Skriptbefehl ein, den Sie in Schritt 4 ausgeführt haben. Beispiel: .\HRConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Users\contosoadmin\Desktop\Data\insider_risk_indicator_data.csv"

    4. Fügen Sie im Feld Start in (optional) den Ordnerspeicherort des Skripts ein, das Sie in Schritt 4 ausgeführt haben. Beispiel: C:\Users\contosoadmin\Desktop\Scripts.

    5. Wählen Sie OK aus, um die Einstellungen für die neue Aktion zu speichern.

  8. Wählen Sie im Fenster Aufgabe erstellendie Option OK aus, um die geplante Aufgabe zu speichern. Möglicherweise werden Sie aufgefordert, Ihre Anmeldeinformationen für Ihr Benutzerkonto einzugeben.

    Die neue Aufgabe wird in der Taskplanerbibliothek angezeigt. Der Zeitpunkt, zu dem das Skript zuletzt ausgeführt wurde, und die nächste geplante Ausführung werden angezeigt. Doppelklicken Sie auf die Aufgabe, um sie zu bearbeiten.

    Sie können auch überprüfen, zu dem das Skript zuletzt ausgeführt wurde, auf der Flyoutseite des entsprechenden Connectors im Microsoft Purview-Portal oder im Complianceportal.

(Optional) Schritt 7: Hochladen von Daten mithilfe von Power Automate-Vorlagen

Sie können die CSV-Daten mithilfe von Power Automate-Vorlagen hochladen und Trigger definieren. Sie können beispielsweise eine Power Automate-Vorlage so konfigurieren, dass sie ausgelöst wird, wenn neue Connectordateien an SharePoint- oder OneDrive-Speicherorten verfügbar sind. Sie können diesen Prozess auch optimieren, indem Sie vertrauliche Informationen wie das in Schritt 1 erstellte Microsoft Entra Anwendungsgeheimnis in Azure Key Vault speichern und mit Power Automate für die Authentifizierung verwenden.

Führen Sie die folgenden Schritte aus, um Daten automatisch hochzuladen, wenn neue Dateien auf OneDrive for Business verfügbar werden:

  1. Laden Sie das ImportHRDataforIRM.zip-Paket von der GitHub-Website herunter.
  2. Wechseln Sie in Power Automate zu Meine Flows.
  3. Wählen Sie Importieren aus, und laden Sie das ImportHRDataforIRM.zip-Paket hoch.
  4. Nachdem das Paket hochgeladen wurde, aktualisieren Sie den Inhalt (Name und OneDrive for Business Verbindung), und wählen Sie Importieren aus.
  5. Wählen Sie Flow öffnen aus, und aktualisieren Sie die Parameter. In der folgenden Tabelle werden die Parameter beschrieben, die in diesem Power Automate-Flow verwendet werden sollen, und ihre erforderlichen Werte. Die Informationen, die Sie in den vorherigen Schritten erhalten haben, werden in den Werten für diese Parameter verwendet.
Parameter Beschreibung
appId Dies ist die Microsoft Entra Anwendungs-ID für die App, die Sie in Microsoft Entra ID in Schritt 1 erstellt haben. Dies wird von Microsoft Entra ID für die Authentifizierung verwendet, wenn das Skript versucht, auf Ihre Microsoft 365-organization zuzugreifen.
appSecret Dies ist das Microsoft Entra Anwendungsgeheimnis für die App, die Sie in Microsoft Entra ID in Schritt 1 erstellt haben. Dies wird für die Authentifizierung verwendet.
fileLocation Dies ist der OneDrive for Business Speicherort, an dem Power Automate aktivitäten zum Erstellen einer neuen Datei überwacht, um diesen Flow auszulösen.
jobId Bezeichner für den in Schritt 3 erstellten Connector. Dies wird verwendet, um die in die Microsoft-Cloud hochgeladenen Daten dem Connector zuzuordnen.
tenantId Bezeichner für Ihre Microsoft 365-organization in Schritt 1 abgerufen. Sie können die Mandanten-ID für Ihre organization auch auf dem Blatt Übersicht im Microsoft Entra Admin Center abrufen. Dies wird verwendet, um Ihre organization zu identifizieren.
URI Vergewissern Sie sich, dass der Wert für diesen Parameter lautet. https://webhook.ingestion.office.com/api/signals
  1. Klicken Sie auf Speichern.
  2. Wechseln Sie zu Flowübersicht , und wählen Sie Aktivieren aus.
  3. Testen Sie den Flow manuell, indem Sie eine neue Datei in Ihren OneDrive for Business Ordner hochladen und überprüfen, ob sie erfolgreich ausgeführt wird. Dies kann nach dem Upload einige Minuten dauern, bevor der Flow ausgelöst wird.
  4. Sie können den Connector jetzt wie in Schritt 5 beschrieben überwachen.

Bei Bedarf können Sie den Flow aktualisieren, um Trigger basierend auf Dateiverfügbarkeits- und Änderungsereignissen in SharePoint und anderen Datenquellen zu erstellen, die von Power Automate-Flows unterstützt werden.

Nächste Schritte