Untersuchen von Insider-Risikomanagementaktivitäten

  • Artikel
  • 23 Minuten Lesedauer

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Die Untersuchung potenziell riskanter Benutzeraktivitäten ist ein wichtiger erster Schritt zur Minimierung von Insider-Risiken für Ihre Organisation. Diese Risiken können Aktivitäten sein, die Warnungen aus Insider-Risikomanagementrichtlinien generieren. Sie können auch Risiken durch Compliance-bezogene Aktivitäten darstellen, die von Richtlinien erkannt werden, aber nicht sofort Insider-Risikomanagementwarnungen für Benutzer erstellen. Sie können diese Arten von Aktivitäten mithilfe der Benutzeraktivitätsberichte (Vorschau) oder mit dem Warnungsdashboard untersuchen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Benutzeraktivitätsberichte

Benutzeraktivitätsberichte ermöglichen es Ihnen, potenziell riskante Aktivitäten (für bestimmte Benutzer und einen definierten Zeitraum) zu untersuchen, ohne diese Aktivitäten vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen zu müssen. In den meisten Insider-Risikomanagementszenarien sind Benutzer explizit in Richtlinien definiert, und sie verfügen möglicherweise über Richtlinienwarnungen (abhängig von auslösenden Ereignissen) und Risikobewertungen, die den Aktivitäten zugeordnet sind. In einigen Szenarien können Sie jedoch die Aktivitäten für Benutzer untersuchen, die nicht explizit in einer Richtlinie definiert sind. Diese Aktivitäten können für Benutzer gelten, die Sie einen Tipp zum Benutzer und potenziell riskante Aktivitäten erhalten haben, oder für Benutzer, die in der Regel keiner Insider-Risikomanagementrichtlinie zugewiesen werden müssen.

Nachdem Sie Indikatoren auf der Seite Einstellungen für das Insider-Risikomanagement konfiguriert haben, wird die Benutzeraktivität für potenziell riskante Aktivitäten erkannt, die den ausgewählten Indikatoren zugeordnet sind. Diese Konfiguration bedeutet, dass alle erkannten Aktivitäten für Benutzer zur Überprüfung verfügbar sind, unabhängig davon, ob ein auslösendes Ereignis vorliegt oder eine Warnung erstellt wird. Berichte werden auf Benutzerbasis erstellt und können alle Aktivitäten für einen benutzerdefinierten 90-Tage-Zeitraum enthalten. Mehrere Berichte für denselben Benutzer werden nicht unterstützt.

Nach der Untersuchung potenziell riskanter Aktivitäten können Ermittler die Aktivitäten einzelner Benutzer als unschädlich verwerfen. Sie können auch einen Link zum Bericht mit anderen Ermittlern teilen oder per E-Mail senden oder Benutzer (vorübergehend oder explizit) einer Insider-Risikomanagementrichtlinie zuweisen. Benutzer müssen der Rollengruppe Insider-Risikomanagement-Ermittler zugewiesen sein, um die Seite Benutzeraktivitätsberichte anzeigen zu können.

Übersicht über den Bericht über Benutzeraktivitäten im Insider-Risikomanagement.

Wählen Sie zunächst auf der Seite Übersicht über das Insider-Risikomanagement im Abschnitt Benutzeraktivität untersuchen die Option Berichte verwalten aus.

Um Aktivitäten für einen Benutzer anzuzeigen, wählen Sie zuerst Bericht über Benutzeraktivität erstellen aus, und füllen Sie die folgenden Felder im Bereich Neuer Benutzeraktivitätsbericht aus:

  • Benutzer: Suchen Sie nach einem Benutzer anhand des Namens oder der E-Mail-Adresse.
  • Startdatum: Verwenden Sie das Kalendersteuerelement, um das Startdatum für Benutzeraktivitäten auszuwählen.
  • Enddatum: Verwenden Sie das Kalendersteuerelement, um das Enddatum für Benutzeraktivitäten auszuwählen. Das ausgewählte Enddatum muss mehr als zwei Tage nach dem ausgewählten Startdatum und nicht mehr als 90 Tage ab dem ausgewählten Startdatum sein.

Hinweis

Daten außerhalb des ausgewählten Bereichs können eingeschlossen werden, wenn der Benutzer zuvor in eine Warnung eingeschlossen wurde.

Benutzeraktivitätsdaten stehen ungefähr 48 Stunden nach dem Auftreten der Aktivität für berichte zur Verfügung. Wenn Sie beispielsweise Die Benutzeraktivitätsdaten für den 1. Dezember überprüfen möchten, müssen Sie sicherstellen, dass mindestens 48 Stunden verstrichen sind, bevor Sie den Bericht erstellen (Sie würden frühestens am 3. Dezember einen Bericht erstellen).

Neue Berichte dauern in der Regel bis zu 10 Stunden, bevor sie zur Überprüfung bereit sind. Wenn der Bericht bereit ist, wird Bericht bereit in der Spalte Status auf der Seite Benutzeraktivitätsbericht angezeigt. Wählen Sie den Benutzer aus, um den detaillierten Bericht anzuzeigen:

Insider-Risikomanagement- Benutzeraktivitätsbericht

Der Benutzeraktivitätsbericht für den ausgewählten Benutzer enthält die Registerkarten Benutzeraktivität, Aktivitäts-Explorer und Forensische Beweise :

  • Benutzeraktivität: Verwenden Sie diese Diagrammansicht, um potenziell riskante Aktivitäten zu untersuchen und potenziell verwandte Aktivitäten anzuzeigen, die in Sequenzen auftreten. Diese Registerkarte ist so strukturiert, dass eine schnelle Überprüfung eines Falls ermöglicht wird, einschließlich einer verlaufsbezogenen Zeitachse aller Aktivitäten, Aktivitätsdetails, der aktuellen Risikobewertung für den Benutzer im Fall, der Abfolge von Risikoereignissen und Filtersteuerelementen, die bei Ermittlungsbemühungen helfen.
  • Aktivitäts-Explorer: Diese Registerkarte bietet Risikoermittlern ein umfassendes Analysetool, das detaillierte Informationen zu Aktivitäten bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitachse mit erkannten riskanten Aktivitäten überprüfen und alle potenziell riskanten Aktivitäten im Zusammenhang mit Warnungen identifizieren und filtern. Weitere Informationen zur Verwendung des Aktivitäts-Explorers finden Sie im Abschnitt Aktivitäts-Explorer weiter unten in diesem Artikel.

Dashboard "Warnung"

Insider-Risikomanagementwarnungen werden automatisch von Risikoindikatoren generiert, die in Insider-Risikomanagementrichtlinien definiert sind. Diese Warnungen bieten Complianceanalysten und Ermittlern eine Übersicht über den aktuellen Risikostatus und ermöglichen es Ihrer Organisation, selektieren und Maßnahmen für ermittelte potenzielle Risiken zu ergreifen. Standardmäßig generieren Richtlinien eine bestimmte Anzahl von Warnungen mit niedrigem, mittlerem und hohem Schweregrad, aber Sie können das Warnungsvolumen entsprechend Ihren Anforderungen erhöhen oder verringern . Darüber hinaus können Sie den Warnungsschwellenwert für Richtlinienindikatoren konfigurieren, wenn Sie eine neue Richtlinie mit dem Richtlinienerstellungstool erstellen.

Sehen Sie sich das Video Insider Risk Management Alerts Triage Experience an, um einen Überblick darüber zu erhalten, wie Warnungen Details, Kontext und verwandte Inhalte für riskante Aktivitäten bereitstellen und wie Sie Ihren Untersuchungsprozess effektiver gestalten können.

Über das Insider-Risikowarnungsdashboard können Sie Warnungen anzeigen und darauf reagieren, die von Insider-Risikorichtlinien generiert werden. Jedes Berichtswidget zeigt Informationen für die letzten 30 Tage an.

  • Gesamtanzahl von Warnungen, die überprüft werden müssen: Die Gesamtzahl der Warnungen, die überprüft und selektiert werden müssen, werden aufgeführt, einschließlich einer Aufschlüsselung nach Warnungsschweregrad.
  • Öffnen von Warnungen in den letzten 30 Tagen: Die Gesamtanzahl der von der Richtlinie erstellten Warnungen stimmt in den letzten 30 Tagen überein, sortiert nach hohen, mittleren und niedrigen Warnungsschweregraden.
  • Durchschnittliche Zeit zum Auflösen von Warnungen: Eine Zusammenfassung nützlicher Warnungsstatistiken:
    • Durchschnittliche Zeit zur Behebung von Warnungen höheren Schweregrades, angegeben in Stunden, Tagen oder Monaten.
    • Durchschnittliche Zeit bis zur Behebung von Warnungen mittleren Schweregrades, angegeben in Stunden, Tagen oder Monaten.
    • Durchschnittliche Zeit bis zur Behebung von Warnungen niedrigen Schweregrades, angegeben in Stunden, Tagen oder Monaten.

Dashboard für Insider-Risikomanagementwarnungen

Hinweis

Bei der Verwaltung von Insider-Risiken wird eine integrierte Warnungsdrosselung verwendet, um Ihre Erfahrungen bei der Risikoermittlung und -prüfung zu schützen und zu optimieren. Diese Drosselung schützt vor Problemen, die zu einer Überlastung von Richtlinienwarnungen führen können, z. B. falsch konfigurierte Datenconnectors oder Richtlinien zur Verhinderung von Datenverlust. Infolgedessen kann es zu einer Verzögerung bei der Anzeige neuer Warnungen für einen Benutzer kommen.

Warnungsstatus und Schweregrad

Sie können Warnungen in einen der folgenden Status selektieren:

  • Bestätigt: Eine Warnung wurde bestätigt und einem neuen oder vorhandenen Fall zugewiesen.
  • Verworfen: Eine Warnung, die im Selektierungsprozess als unschädlich abgelehnt wird. Sie können einen Grund für die Kündigung der Warnung angeben und Notizen hinzufügen, die im Warnungsverlauf des Benutzers verfügbar sind, um zusätzlichen Kontext für zukünftige Verweise oder für andere Prüfer bereitzustellen. Die Gründe können von erwarteten Aktivitäten, nicht auswirkungsbehafteten Ereignissen, einer einfachen Reduzierung der Anzahl von Warnungsaktivitäten für den Benutzer oder einem Grund im Zusammenhang mit den Warnungsnotizen reichen. Gründe für die Klassifizierung: Aktivität wird für diesen Benutzer erwartet, Aktivität ist so wirkungsvoll, dass ich es genauer untersuchen kann, und Warnungen für diesen Benutzer enthalten zu viele Aktivitäten.
  • Überprüfung erforderlich: Eine neue Warnung, bei der noch keine Selektierungsaktionen durchgeführt wurden.
  • Gelöst: Eine Warnung, die Teil eines geschlossenen und gelösten Falls ist.

Warnungsrisikobewertungen werden automatisch aus mehreren Risikoaktivitätsindikatoren berechnet. Zu diesen Indikatoren gehören die Art der Risikoaktivität, die Anzahl und Häufigkeit des Aktivitätsereignisses, der Verlauf der Risikoaktivität der Benutzer und das Hinzufügen von Aktivitätsrisiken, die die Schwere der potenziell riskanten Aktivität erhöhen können. Die Warnungsrisikobewertung steuert die programmgesteuerte Zuweisung eines Risikoschweregrads für jede Warnung und kann nicht angepasst werden. Wenn Warnungen nicht eingestuft werden und weiterhin Risikoaktivitäten für die Warnung anfallen, kann sich der Risikoschweregrad erhöhen. Risikoanalysten und Prüfer können den Schweregrad des Warnungsrisikos verwenden, um Warnungen in Übereinstimmung mit den Risikorichtlinien und -standards Ihrer Organisation zu selektieren.

Schweregrade des Warnungsrisikos sind:

  • Hoher Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein erhebliches Risiko dar. Die damit verbundenen Risikoaktivitäten sind schwerwiegend, wiederholend und basieren stark auf andere signifikante Risikofaktoren.
  • Mittlerer Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein moderates Risiko dar. Die damit verbundenen Risikoaktivitäten sind moderat, häufig und weisen eine gewisse Korrelation zu anderen Risikofaktoren auf.
  • Niedriger Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein geringes Risiko dar. Die damit verbundenen Risikoaktivitäten sind geringfügig, seltener und basieren nicht auf anderen signifikanten Risikofaktoren.

Filtern von Warnungen im Warnungsdashboard

Je nach Anzahl und Art der aktiven Verwaltungsrichtlinien für Insider-Risiken in Ihrem Unternehmen kann die Überprüfung einer großen Warteschlange von Warnungen eine Herausforderung darstellen. Die Verwendung von Warnungsfiltern kann Analysten und Ermittlern helfen, Warnungen nach mehreren Attributen zu sortieren.

Um Warnungen im Dashboard Warnungen zu filtern, wählen Sie das Steuerelement Filter aus. Sie können Warnungen nach einem oder mehreren Attributen filtern:

  • Status: Wählen Sie mindestens einen Statuswert aus, um die Warnungsliste zu filtern. Die Optionen sind Bestätigt, Abgelehnt, Überprüfung erforderlich und Behoben.
  • Schweregrad: Wählen Sie einen oder mehrere Schweregrade des Warnungsrisikos aus, um die Warnungsliste zu filtern. Die Optionen sind Hoch, Mittel und Niedrig.
  • Uhrzeit erkannt: Wählen Sie das Start- und Enddatum für die Erstellung der Warnung aus. Dieser Filter sucht nach Warnungen zwischen UTC 00:00 am Startdatum und UTC 00:00 am Enddatum. Um Warnungen für einen bestimmten Tag zu filtern, geben Sie das Datum für den Tag in das Feld Startdatum und das Datum des Folgetags im Feld Enddatum ein.
  • Richtlinie: Wählen Sie eine oder mehrere Richtlinien aus, um die von den ausgewählten Richtlinien generierten Warnungen zu filtern.
  • Risikofaktoren: Wählen Sie einen oder mehrere Risikofaktoren aus, um die Warnungsliste zu filtern. Die Optionen sind Kumulierte Exfiltrationsaktivitäten, Aktivitäten umfassen Prioritätsinhalte, Sequenzaktivitäten, Aktivitäten enthalten nicht zulässige Domänen, Mitglied einer prioritätsbasierten Benutzergruppe und Benutzer mit potenzieller Auswirkung.

Suchen von Warnungen im Warnungsdashboard

Um den Warnungsnamen nach einem bestimmten Wort zu durchsuchen, wählen Sie das Steuerelement Suchen und geben Sie das zu suchende Wort ein. In den Suchergebnissen wird jede Richtlinienwarnung angezeigt, die das in der Suche definierte Wort enthält.

Mehrere Warnungen schließen (Vorschau)

Dies kann dazu beitragen, dass Analysten und Ermittler Zeit für die Selektierung sparen, um mehrere Warnungen sofort gleichzeitig zu verwerfen. Mit der Befehlsleistenoption Warnungen schließen können Sie eine oder mehrere Warnungen mit dem Status "Überprüfung erforderlich " auf dem Dashboard auswählen und diese Warnungen schnell als gutartig verwerfen, wie es in Ihrem Selektierungsprozess erforderlich ist. Sie können bis zu 400 Warnungen auswählen, die gleichzeitig geschlossen werden sollen.

Führen Sie die folgenden Schritte aus, um eine Insider-Risikowarnung zu verwerfen:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie auf dem Dashboard Warnungen die Warnung (oder Warnungen) mit dem Status Überprüfung erforderlich aus, die Sie schließen möchten.
  3. Wählen Sie auf der Befehlsleiste Warnungen die Option Warnungen schließen aus.
  4. Im Detailbereich Warnungen schließen können Sie die Benutzer- und Richtliniendetails überprüfen, die den ausgewählten Warnungen zugeordnet sind.
  5. Wählen Sie Warnungen schließen aus, um die Warnungen als unbedenklich aufzulösen, oder wählen Sie Abbrechen aus, um den Detailbereich zu schließen, ohne die Warnungen zu schließen.

Selektierungswarnungen

Führen Sie die folgenden Schritte aus, um eine Insider-Risikowarnung zu selektieren:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnung aus, die Sie selektieren möchten.
  3. Auf der Seite Warnungsdetails können Sie Informationen zur Warnung überprüfen. Sie können die Warnung bestätigen und einen neuen Fall erstellen, die Warnung bestätigen und zu einem vorhandenen Fall hinzufügen oder die Warnung verwerfen. Diese Seite enthält auch den aktuellen Status der Warnung und den Schweregrad des Warnungsrisikos, der als Hoch, Mittel oder Niedrig aufgeführt ist. Der Schweregrad kann sich im Laufe der Zeit erhöhen oder verringern, wenn die Warnung nicht selektiert wird.

Verwenden Sie die folgenden Abschnitte und Registerkarten auf der Seite Warnungsdetails, um weitere Informationen zur Warnung zu erhalten:

Header-/Zusammenfassungsabschnitt

Dieser Abschnitt enthält allgemeine Informationen zum Benutzer und zur Warnung. Diese Informationen sind für den Kontext verfügbar, während detaillierte Informationen zur erkannten Risikomanagementaktivität in der Warnung für den Benutzer überprüft werden:

  • Aktivität, die diese Warnung generiert hat: Zeigt die potenziell risikobehaftete Aktivitäts- und Richtlinieneinstimmung während des Aktivitätsauswertungszeitraums an, der zum Generieren der Warnung geführt hat.
  • Auslösendes Ereignis: Zeigt das letzte auslösende Ereignis an, das die Richtlinie aufgefordert hat, der Aktivität des Benutzers Risikobewertungen zuzuweisen. Wenn Sie die Integration in die Kommunikationscompliance für Datenlecks durch riskante Benutzer oder Sicherheitsrichtlinienverstöße durch Richtlinien riskanter Benutzer konfiguriert haben, wird das auslösende Ereignis für diese Warnungen auf die Kommunikationscomplianceaktivitäten festgelegt.
  • Benutzerdetails: Zeigt allgemeine Informationen zum Benutzer an, der der Warnung zugewiesen ist. Wenn die Anonymisierung aktiviert ist, werden die Felder benutzername, E-Mail-Adresse, Alias und Organisation anonymisiert.
  • Benutzerwarnungsverlauf: Zeigt eine Liste der Warnungen für den Benutzer für die letzten 30 Tage an. Enthält einen Link zum Anzeigen des vollständigen Warnungsverlaufs für den Benutzer.

Hinweis

Wenn ein Benutzer als potenzieller Benutzer mit hoher Auswirkung erkannt wird, werden diese Informationen im Warnungsheader auf der Seite Benutzerdetails hervorgehoben. Die Benutzerdetails enthalten auch eine Zusammenfassung mit den Gründen, aus denen der Benutzer als solcher erkannt wurde. Weitere Informationen zum Festlegen von Richtlinienindikatoren für Potenzielle Benutzer mit hohen Auswirkungen finden Sie unter Insider-Risikomanagementeinstellungen.

Warnungen, die von Richtlinien generiert werden, die nur Aktivitäten umfassen, die Prioritätsinhalte enthalten, enthalten die Benachrichtigung Nur Aktivität mit Prioritätsinhalt wurde für diese Warnungsbenachrichtigung in diesem Abschnitt bewertet.

Alle Risikofaktoren

Auf dieser Registerkarte wird die Zusammenfassung der Risikofaktoren für die Warnungsaktivität des Benutzers geöffnet. Risikofaktoren können Ihnen helfen, zu bestimmen, wie riskant die Risikomanagementaktivität dieses Benutzers während der Überprüfung ist. Zu den Risikofaktoren gehören Zusammenfassungen für:

  • Wichtigste Exfiltrationsaktivitäten: Zeigt Exfiltrationsaktivitäten mit der höchsten Anzahl oder Ereignissen für die Warnung an.
  • Kumulative Exfiltrationsaktivitäten: Zeigt Ereignisse im Zusammenhang mit kumulativen Exfiltrationsaktivitäten an.
  • Sequenzen von Aktivitäten: Zeigt die erkannten potenziell riskanten Aktivitäten im Zusammenhang mit Risikosequenzen an.
  • Ungewöhnliche Aktivität für diesen Benutzer: Zeigt bestimmte Aktivitäten für den Benutzer an, die als potenziell riskant angesehen werden, da sie ungewöhnlich sind und von den typischen Aktivitäten abweichen.
  • Prioritätsinhalt: Zeigt potenziell riskante Aktivitäten im Zusammenhang mit Prioritätsinhalten an.
  • Nicht zugelassene Domänen: Zeigt potenziell riskante Aktivitäten für Ereignisse an, die nicht zugelassenen Domänen zugeordnet sind.
  • Zugriff auf Integritätsdatensätze: Zeigt potenziell riskante Aktivitäten für Ereignisse im Zusammenhang mit dem Zugriff auf Integritätsdatensätze an.
  • Riskante Browsernutzung: Zeigt potenziell riskante Aktivitäten für Ereignisse im Zusammenhang mit dem Surfen auf potenziell unangemessenen Websites an.

Mit diesen Filtern werden nur Warnungen mit den oben genannten Risikofaktoren angezeigt, aber die Aktivität, die eine Warnung generiert hat, fällt möglicherweise nicht in eine dieser Kategorien. Beispielsweise könnte eine Warnung mit Sequenzaktivitäten generiert worden sein, weil der Benutzer eine Datei auf ein USB-Gerät kopiert hat.

Erkannter Inhalt

Der Abschnitt auf der Registerkarte Alle Risikofaktoren enthält Inhalte, die den Risikoaktivitäten für die Warnung zugeordnet sind, und fasst Aktivitätsereignisse nach Schlüsselbereichen zusammen. Wenn Sie einen Aktivitätslink auswählen, wird der Aktivitäts-Explorer geöffnet, und es werden weitere Details zur Aktivität angezeigt.

Aktivitäten-Explorer

Auf dieser Registerkarte wird der Aktivitäts-Explorer geöffnet. Weitere Informationen finden Sie im Abschnitt Aktivitäts-Explorer in diesem Artikel.

Benutzeraktivität

Das Diagramm benutzeraktivität ist eines der leistungsfähigsten Tools für die interne Risikoanalyse und Untersuchung von Warnungen und Fällen in der Insider-Risikomanagement-Lösung. Diese Registerkarte ist so strukturiert, dass sie eine schnelle Überprüfung aller Aktivitäten für einen Benutzer ermöglicht, einschließlich einer verlaufsbezogenen Zeitachse aller Warnungen, Warnungsdetails, der aktuellen Risikobewertung für den Benutzer und der Abfolge von Risikoereignissen.

Benutzeraktivität des Insider-Risikomanagements

  1. Fallaktionen: Optionen zum Auflösen des Falls finden Sie auf der Symbolleiste für Fallaktionen. Wenn Sie einen Fall anzeigen, können Sie einen Fall lösen, eine E-Mail-Benachrichtigung an den Benutzer senden oder den Fall für eine Daten- oder Benutzeruntersuchung eskalieren.

  2. Chronologie der Risikoaktivität: Die vollständige Chronologie aller Risikowarnungen im Zusammenhang mit dem Fall wird aufgeführt, einschließlich aller Details, die in der entsprechenden Warnungsblase verfügbar sind.

  3. Filter und Sortierung (Vorschau):

    • Risikokategorie: Filtern Sie Aktivitäten nach den folgenden Risikokategorien: Aktivitäten mit Risikobewertungen > 15 (sofern nicht in einer Sequenz) und Sequenzaktivitäten.
    • Aktivitätstyp: Filtern Sie Aktivitäten nach den folgenden Typen: Zugriff, Löschung, Sammlung, Exfiltration, Infiltration, Verschleierung und Sicherheit.
    • Sortieren nach: Listen Sie die Zeitachse potenziell riskanter Aktivitäten nach Datum oder Risikobewertung auf.

  4. Zeitfilter: Standardmäßig werden die letzten drei Monate potenziell riskanter Aktivitäten im Diagramm Benutzeraktivität angezeigt. Sie können die Diagrammansicht einfach filtern, indem Sie die Registerkarten 6 Monate, 3 Monate oder 1 Monat im Blasendiagramm auswählen.

  5. Risikosequenz: Die chronologische Reihenfolge potenziell riskanter Aktivitäten ist ein wichtiger Aspekt der Risikountersuchung, und die Identifizierung dieser verwandten Aktivitäten ist ein wichtiger Teil der Bewertung des Gesamtrisikos für Ihre Organisation. Verwandte Warnungsaktivitäten werden mit Verbindungslinien angezeigt, um hervorzuheben, dass diese Aktivitäten einem größeren Risikobereich zugeordnet sind. Sequenzen werden in dieser Ansicht auch durch ein Symbol identifiziert, das über den Sequenzaktivitäten relativ zur Risikobewertung für die Sequenz positioniert ist. Zeigen Sie auf das Symbol, um das Datum und die Uhrzeit der risikobehafteten Aktivität anzuzeigen, die dieser Sequenz zugeordnet ist. Diese Sicht auf Aktivitäten kann Ermittlern dabei helfen, die Punkte für Risikoaktivitäten zu verbinden, die als isolierte oder einmalige Ereignisse hätten betrachtet werden können. Wählen Sie das Symbol oder eine beliebige Blase in der Sequenz aus, um Details für alle zugehörigen Risikoaktivitäten anzuzeigen. Zu den Details gehören:

    • Name der Sequenz.
    • Datums- oder Datumsbereich der Sequenz.
    • Risikobewertung für die Sequenz. Diese Bewertung ist die numerische Bewertung für die Abfolge der kombinierten Schweregrade des Warnungsrisikos für jede verwandte Aktivität in der Sequenz.
    • Anzahl der Ereignisse, die jeder Warnung in der Sequenz zugeordnet sind. Links zu jeder Datei oder E-Mail, die jeder potenziell riskanten Aktivität zugeordnet ist, sind ebenfalls verfügbar.
    • Aktivitäten nacheinander anzeigen. Zeigt die Sequenz als Hervorhebungslinie im Blasendiagramm an und erweitert die Warnungsdetails, um alle zugehörigen Warnungen in der Sequenz anzuzeigen.

  6. Aktivität und Details zu Risikowarnungen: Potenziell riskante Aktivitäten werden visuell als farbige Blasen im Diagramm "Benutzeraktivität" angezeigt. Blasen werden für verschiedene Risikokategorien erstellt. Wählen Sie eine Blase aus, um die Details für jede potenziell riskante Aktivität anzuzeigen. Zu den Details gehören:

    • Datum der Risikoaktivität.
    • Die Risikoaktivitätskategorie. Beispielsweise Email mit Anlagen, die außerhalb der Organisation gesendet wurden, oder Dateien, die aus SharePoint Online heruntergeladen wurden.
    • Risikobewertung für die Warnung. Diese Bewertung ist der numerische Wert für den Schweregrad des Risikos.
    • Anzahl der Ereignisse, die mit der Warnung verknüpft sind. Links zu jeder Datei oder E-Mail, die der Risikoaktivität zugeordnet sind, sind ebenfalls verfügbar.

  7. Kumulative Exfiltrationsaktivitäten: Wählen Sie diese Schaltfläche aus, um ein visuelles Diagramm anzuzeigen, in dem sich die Aktivität im Laufe der Zeit für den Benutzer aufbaut.

  8. Legende zur Risikoaktivität: Am unteren Rand des Benutzeraktivitätsdiagramms können Sie mit einer farbcodierten Legende schnell die Risikokategorie für jede Warnung bestimmen.

Aktivitäten-Explorer

Hinweis

Der Aktivitäts-Explorer ist im Warnungsverwaltungsbereich für Benutzer mit auslösenden Ereignissen verfügbar, nachdem dieses Feature in Ihrer Organisation verfügbar ist.

Der Aktivitäts-Explorer bietet Risikoermittlern und Analysten ein umfassendes Analysetool, das detaillierte Informationen zu Warnungen bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitachse mit erkannten potenziell riskanten Aktivitäten überprüfen und alle Risikoaktivitäten im Zusammenhang mit Warnungen identifizieren und filtern.

Um Warnungen im Aktivitäts-Explorer nach Spalteninformationen zu filtern, wählen Sie das Steuerelement Filter aus. Sie können Warnungen nach einem oder mehreren Attributen filtern, die im Detailbereich für die Warnung aufgeführt sind. Der Aktivitäts-Explorer unterstützt auch anpassbare Spalten, damit Ermittler und Analysten das Dashboard auf die für sie wichtigsten Informationen konzentrieren können.

Verwenden Sie die Filter Aktivitätsbereich, Risikofaktor und Status überprüfen, um Aktivitäten und Erkenntnisse für die folgenden Bereiche anzuzeigen und zu sortieren.

  • Aktivitätsbereich: Filtert alle bewerteten Aktivitäten für den Benutzer.

    • Alle bewerteten Aktivitäten für diesen Benutzer
    • Nur bewertete Aktivität in dieser Warnung

  • Risikofaktor: Filter für Risikofaktoraktivitäten, die für alle Richtlinien gelten, die Risikobewertungen zuweisen. Dies schließt alle Aktivitäten für alle Richtlinien für Benutzer im Gültigkeitsbereich ein.

    • Ungewöhnliche Aktivität
    • Umfasst Ereignisse mit Prioritätsinhalten.
    • Schließt Ereignisse mit einer nicht zulässigen Domäne ein.
    • Sequenzaktivitäten
    • Kumulative Exfiltrationsaktivitäten
    • Zugriffsaktivitäten für Integritätsdaten
    • Riskante Browsernutzung

  • Überprüfungsstatus: Filtert den Status der Aktivitätsüberprüfung.

    • Alle
    • Noch nicht überprüft (filtert alle Aktivitäten heraus, die Teil einer verworfenen oder aufgelösten Warnung waren)

Übersicht über den Aktivitäts-Explorer für das Insider-Risikomanagement

Führen Sie die folgenden Schritte aus, um den Aktivitäts-Explorer zu verwenden:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnung aus, die Sie selektieren möchten.
  3. Wählen Sie im Detailbereich Warnungen die Option Erweiterte Ansicht öffnen aus.
  4. Wählen Sie auf der Seite für die ausgewählte Warnung die Registerkarte Aktivitäts-Explorer aus.

Beim Überprüfen von Aktivitäten im Aktivitäts-Explorer können Ermittler und Analysten eine bestimmte Aktivität auswählen und den Bereich mit den Aktivitätsdetails öffnen. Im Bereich werden ausführliche Informationen zu der Aktivität angezeigt, die Ermittler und Analysten während des Warnungs selektierungsprozesses verwenden können. Ausführliche Informationen können kontextbezogene Informationen für die Warnung bereitstellen und dabei helfen, den gesamten Umfang der Risikoaktivität zu identifizieren, die die Warnung ausgelöst hat.

Wenn Sie die Ereignisse einer Aktivität aus der Aktivitätszeitachse auswählen, stimmt die Anzahl der im Explorer angezeigten Aktivitäten möglicherweise nicht mit der Anzahl von Aktivitätsereignissen überein, die auf der Zeitachse aufgeführt sind. Beispiele dafür, warum dieser Unterschied auftreten kann:

  • Kumulative Exfiltrationserkennung: Die kumulative Exfiltrationserkennung analysiert Ereignisprotokolle, wendet jedoch ein Modell an, das die Deduplizierung ähnlicher Aktivitäten zum Berechnen des kumulativen Exfiltrationsrisikos umfasst. Darüber hinaus kann es auch einen Unterschied in der Anzahl der potenziell riskanten Aktivitäten geben, die im Aktivitäts-Explorer angezeigt werden, wenn Sie Änderungen an Ihrer vorhandenen Richtlinie oder Ihren vorhandenen Einstellungen vorgenommen haben. Wenn Sie beispielsweise zulässige/nicht zugelassene Domänen ändern oder neue Dateitypausschlüsse hinzufügen, nachdem eine Richtlinie erstellt wurde und potenziell risikobehaftete Aktivitätsübereinstimmungen aufgetreten sind, unterscheiden sich die kumulativen Exfiltrationserkennungsaktivitäten von den Ergebnissen, bevor sich die Richtlinie oder einstellungen ändern. Die Gesamtsummen der Kumulativen Exfiltrationserkennungsaktivität basieren auf der Richtlinien- und Einstellungskonfiguration zum Zeitpunkt der Berechnung und schließen keine Aktivitäten vor den Richtlinien- und Einstellungsänderungen ein.
  • E-Mails an externe Empfänger: Potenziell riskante Aktivitäten für E-Mails, die an externe Empfänger gesendet werden, erhalten eine Risikobewertung basierend auf der Anzahl der gesendeten E-Mails, die möglicherweise nicht mit den Aktivitätsereignisprotokollen übereinstimmen.

Details des Insider-Risikomanagement-Aktivitäts-Explorers.

Erstellen eines Falls für eine Warnung

Wenn die Warnung überprüft und selektiert wird, können Sie einen neuen Fall erstellen, um die potenziell riskante Aktivität weiter zu untersuchen. Führen Sie die folgenden Schritte aus, um einen Fall für eine Warnung zu erstellen:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnung aus, für die Sie bestätigen möchten, und erstellen Sie einen neuen Fall.
  3. Wählen Sie im Bereich Warnungsdetailsdie Option Aktionen>Warnungen & bestätigen Fall erstellen aus.
  4. Geben Sie im Dialogfeld Warnung bestätigen und Insider-Risikofall erstellen einen Namen für den Fall ein, wählen Sie Benutzer aus, die als Mitwirkende hinzugefügt werden sollen, und fügen Sie ggf. Kommentare hinzu. Kommentare werden dem Fall automatisch als Fallhinweis hinzugefügt.
  5. Wählen Sie Fall erstellen aus, um einen neuen Fall zu erstellen, oder wählen Sie Abbrechen aus, um das Dialogfeld zu schließen, ohne einen Fall zu erstellen.

Nachdem der Fall erstellt wurde, können Ermittler und Analysten den Fall verwalten und darauf reagieren. Weitere Informationen finden Sie im Artikel Zum Insider-Risikomanagement .

Aufbewahrungs- und Elementbeschränkungen

Mit zunehmendem Alter von Warnungen des Insider-Risikomanagements nimmt ihr Wert zur Minimierung potenziell riskanter Aktivitäten für die meisten Organisationen ab. Umgekehrt sind aktive Fälle und zugehörige Artefakte (Warnungen, Erkenntnisse, Aktivitäten) für Organisationen immer wertvoll und sollten kein automatisches Ablaufdatum aufweisen. Dies schließt alle zukünftigen Warnungen und Artefakte in einem aktiven Status für jeden Benutzer ein, der einem aktiven Fall zugeordnet ist.

Um die Anzahl älterer Elemente zu minimieren, die einen begrenzten aktuellen Wert bieten, gelten die folgenden Aufbewahrungs- und Grenzwerte für Insider-Risikomanagementwarnungen, Fälle und Benutzerberichte:

Aspekt Aufbewahrung/Grenzwert
Warnungen mit Dem Status "Überprüfung der Anforderungen" 120 Tage nach erstellung der Warnung und dann automatisch gelöscht
Aktive Fälle (und zugehörige Artefakte) Unbefristete Aufbewahrung, läuft nie ab
Behobene Fälle (und zugehörige Artefakte) 120 Tage nach der Lösung des Falls, dann automatisch gelöscht
Maximale Anzahl aktiver Fälle 100
Berichte zu Benutzeraktivitäten 120 Tage nach erstellung des Berichts und dann automatisch gelöscht

Hilfe beim Verwalten Ihrer Warteschlange für Insider-Risikowarnungen

Das Überprüfen, Untersuchen und Reagieren auf potenziell riskante Insiderwarnungen sind wichtige Bestandteile der Minimierung von Insiderrisiken in Ihrer Organisation. Wenn Sie schnell Maßnahmen ergreifen, um die Auswirkungen dieser Risiken zu minimieren, können Sie möglicherweise Zeit, Geld und regulatorische oder rechtliche Auswirkungen für Ihre Organisation sparen. In diesem Korrekturprozess kann der erste Schritt der Überprüfung von Warnungen für viele Analysten und Ermittler als die schwierigste Aufgabe erscheinen. Abhängig von Ihren Umständen stehen Sie möglicherweise mit einigen kleineren Hindernissen konfrontiert, wenn Sie auf potenziell riskante Insider-Warnungen reagieren. Sehen Sie sich die folgenden Empfehlungen an, und erfahren Sie, wie Sie den Warnungsüberprüfungsprozess optimieren.

Zu viele Warnungen zum Überprüfen

Es kann frustrierend sein, mit der Anzahl von Warnungen zu überlasten, die von Ihren Richtlinien für das Insider-Risikomanagement generiert werden. Die Anzahl der Warnungen kann schnell mit einfachen Schritten behoben werden, abhängig von den Arten der Warnungsmenge, die Sie erhalten. Möglicherweise erhalten Sie zu viele gültige Warnungen oder haben zu viele veraltete Warnungen mit geringem Risiko. Erwägen Sie die folgenden Aktionen:

  • Anpassen Ihrer Insider-Risikorichtlinien: Die Auswahl und Konfiguration der richtigen Insider-Risikorichtlinie ist die grundlegendste Methode, um den Typ und die Menge der Warnungen zu behandeln. Wenn Sie mit der entsprechenden Richtlinienvorlage beginnen, können Sie sich auf die Arten von Risikoaktivitäten und Warnungen konzentrieren, die Angezeigt werden. Weitere Faktoren, die sich auf das Warnungsvolumen auswirken können, sind die Größe des Benutzers und der Gruppen im Bereich sowie die Inhalte und Kanäle, die priorisiert werden. Erwägen Sie das Anpassen von Richtlinien, um diese Bereiche an das zu verfeinern, was für Ihre Organisation am wichtigsten ist.
  • Ändern Ihrer Insider-Risikoeinstellungen: Insider-Risikoeinstellungen umfassen eine Vielzahl von Konfigurationsoptionen, die sich auf die Menge und die Arten von Warnungen auswirken können, die Sie erhalten werden. Dazu gehören Einstellungen für Richtlinienindikatoren, Indikatorschwellenwerte und Richtlinienzeitrahmen. Erwägen Sie das Konfigurieren von Optionen für intelligente Erkennungen , um bestimmte Dateitypen und typen vertraulicher Informationen auszuschließen, trainierbare Klassifizierer, Mindestschwellenwerte zu definieren, bevor Aktivitätswarnungen von Ihren Richtlinien gemeldet werden, und ändern Sie die Konfiguration des Warnungsvolumens in eine niedrigere Einstellung. Sie können auch Echtzeitanalysen (Vorschau) nutzen, um die Auswirkungen der Anpassung von Schwellenwerteinstellungen zu sehen, bevor Sie Ihre Richtlinien live übertragen.
  • Inline-Warnungsanpassung aktivieren (Vorschau): Durch die Aktivierung der Anpassung von Inlinewarnungen können Analysten und Prüfer Richtlinien beim Überprüfen von Warnungen schnell bearbeiten. Sie können Schwellenwerte für die Aktivitätserkennung mit Microsoft-Empfehlungen aktualisieren, benutzerdefinierte Schwellenwerte konfigurieren oder den Typ der Aktivität ignorieren, die die Warnung erstellt hat. Wenn dies nicht aktiviert ist, können nur Benutzer, die der Rollengruppe Insider-Risikomanagement zugewiesen sind, die Anpassung von Inlinewarnungen verwenden.
  • Massenlöschung von Warnungen, falls zutreffend: Es kann dazu beitragen, Dass Ihre Analysten und Ermittler Zeit für die Selektierung sparen, um mehrere Warnungen sofort gleichzeitig zu verwerfen. Sie können bis zu 400 Warnungen auswählen, die gleichzeitig geschlossen werden sollen.

Nicht mit dem Prozess der Warnungs selektierung vertraut

Das Untersuchen und Reagieren auf Warnungen im Insider-Risikomanagement ist einfach:

  1. Überprüfen Sie das Warnungsdashboard auf Warnungen mit dem Status "Bedarfsüberprüfung". Filtern Sie bei Bedarf nach Warnungsstatus , um diese Arten von Warnungen zu finden.
  2. Beginnen Sie mit den Warnungen mit dem höchsten Schweregrad. Filtern Sie bei Bedarf nach Warnungsschweregrad , um diese Arten von Warnungen zu finden.
  3. Wählen Sie eine Warnung aus, um weitere Informationen zu ermitteln und die Warnungsdetails zu überprüfen. Verwenden Sie bei Bedarf den Aktivitäts-Explorer , um eine Zeitachse des zugehörigen potenziell riskanten Verhaltens zu überprüfen und alle Risikoaktivitäten für die Warnung zu identifizieren.
  4. Reagieren Sie auf die Warnung. Sie können entweder bestätigen und einen Fall für die Warnung erstellen oder die Warnung verwerfen und auflösen.

Ressourceneinschränkungen in meiner Organisation

Moderne Arbeitsplatzbenutzer haben häufig eine Vielzahl von Aufgaben und Anforderungen an ihre Zeit. Es gibt mehrere Aktionen, die Sie ausführen können, um Ressourceneinschränkungen zu beheben:

  • Konzentrieren Sie sich zuerst auf die Warnungen mit dem höchsten Risiko. Abhängig von Ihren Richtlinien erfassen Sie möglicherweise Benutzeraktivitäten und generieren Warnungen mit unterschiedlichem Grad potenzieller Auswirkungen auf Ihre Bemühungen zur Risikominderung. Filtern Sie Warnungen nach Schweregrad, und priorisieren Sie Warnungen mit hohem Schweregrad .
  • Weisen Sie Benutzer als Analysten und Ermittler zu. Die Zuweisung des richtigen Benutzers zu den richtigen Rollen ist ein wichtiger Bestandteil des Überprüfungsprozesses für Insider-Risikowarnungen. Stellen Sie sicher, dass Sie die entsprechenden Benutzer den Rollengruppen Insider Risk Management Analysts und Insider Risk Management Investigators zugewiesen haben.
  • Verwenden Sie automatisierte Insider-Risikofeatures, um aktivitäten mit dem höchsten Risiko zu ermitteln. Insider-Risikomanagement-Sequenzerkennung und kumulative Exfiltrationserkennungsfeatures können Ihnen helfen, risiken in Ihrer Organisation schnell zu finden. Erwägen Sie die Feinabstimmung Ihrer Risikobewertungs-Booster, der Dateiaktivitätserkennung, der Domänen und der Einstellungen für den Mindestindikatorschwellenwert für Ihre Richtlinien.