Dashboard für Insider-Risikomanagementbenutzer

Das Dashboard "Benutzer" ist ein wichtiges Tool im Insider-Risikomanagement-Workflow und hilft Ermittlern und Analysten, ein umfassenderes Verständnis von Risikoaktivitäten zu erhalten. Dieses Dashboard bietet Ansichten und Verwaltungsfunktionen, um administrative Anforderungen zwischen der Erstellung von Insider-Risikomanagementrichtlinien und der Verwaltung von Insider-Risikomanagementfällen zu erfüllen.

Nachdem Benutzer zu Insider-Risikomanagementrichtlinien hinzugefügt wurden, werden Benutzeraktivitäten automatisch von Hintergrundprozessen für auslösende Indikatoren ausgewertet. Nachdem auslösende Indikatoren vorhanden sind, werden Benutzeraktivitäten Risikobewertungen zugewiesen. Einige dieser Aktivitäten können zu einer Insider-Risikowarnung führen, aber einige Aktivitäten erfüllen möglicherweise nicht die Mindestrisikobewertungsstufe, und es wird keine Insider-Risikowarnung erstellt. Das Dashboard "Benutzer " ermöglicht Es Ihnen, Benutzer mit diesen Arten von Indikatoren und Risikobewertungen sowie Benutzer mit aktiven Insider-Risikowarnungen anzuzeigen.

Erfahren Sie mehr darüber, wie das Benutzerdashboard Benutzer in den folgenden Szenarien anzeigt:

  • Benutzer mit aktiven Insider-Risikorichtlinienwarnungen
  • Benutzer mit auslösenden Ereignissen
  • Vorübergehend zu Richtlinien hinzugefügte Benutzer

Benutzer mit aktiven Insider-Risikorichtlinienwarnungen

Das Dashboard "Benutzer " zeigt automatisch alle Benutzer mit aktiven Insider-Risikorichtlinienwarnungen an. Diese Benutzer mit Warnungen verfügen sowohl über einen auslösenden Indikator als auch über eine Aktivitätsrisikobewertung, die die Anforderungen für die Erstellung einer Insider-Risikowarnung erfüllt. Aktivitäten für diese Benutzer werden angezeigt, indem Sie den Benutzer im Dashboard "Benutzer " auswählen und zur Registerkarte " Benutzeraktivität " navigieren.

Benutzer mit auslösenden Ereignissen

Das Dashboard "Benutzer " zeigt automatisch alle Benutzer mit auslösenden Ereignissen an, die jedoch keine Aktivitätsrisikobewertung haben, die eine Insider-Risikowarnung erstellen würde. Beispielsweise wird ein Benutzer mit einem gemeldeten Kündigungsdatum angezeigt, da diese Aktivität ein auslösendes Ereignis ist, aber keine Aktivität mit einer Risikobewertung ist. Aktivitäten für diese Benutzer werden angezeigt, indem Sie den Benutzer im Dashboard "Benutzer " auswählen und zur Registerkarte " Benutzeraktivität " navigieren.

Vorübergehend zu Richtlinien hinzugefügte Benutzer

Das Dashboard "Benutzer" enthält Benutzer, die nach einem ungewöhnlichen Ereignis außerhalb des Insider-Risikomanagement-Workflows zu Insider-Risikomanagementrichtlinien hinzugefügt wurden. Das vorübergehende Hinzufügen von Benutzern (über das Richtliniendashboard) ist auch eine Möglichkeit, mit der Bewertung von Benutzeraktivitäten für eine Insider-Risikomanagementrichtlinie zum Testen der Richtlinie zu beginnen, auch wenn kein erforderlicher Connector konfiguriert ist.

Wenn ein Benutzer manuell zu einer Richtlinie hinzugefügt wird, werden die Benutzeraktivitäten für die vorherigen 90 Tage bewertet und der Zeitachse der Benutzeraktivität hinzugefügt. Sie haben beispielsweise einen Benutzer, dem derzeit keine Risikobewertungen für eine Insider-Risikorichtlinie zugewiesen werden, und der Benutzer hat Datenleckaktivitäten an die Rechtsabteilung in Ihrer Organisation gemeldet. Die Rechtsabteilung empfiehlt, neue Anforderungen an die kurzfristige Erkennung für den Benutzer zu konfigurieren. Sie können den Benutzer vorübergehend für eine bestimmte Zeit ( Aktivierungsfenster) Ihrer Richtlinie für Datenlecks zuweisen. Alle vorübergehend hinzugefügten Benutzer werden im Benutzerdashboard angezeigt, da die Anforderungen für auslösende Ereignisse nicht erfüllt werden.

Hinweis

Es kann mehrere Stunden dauern, bis neue manuell hinzugefügte Benutzer im Dashboard " Benutzer" angezeigt werden. Die Anzeige von Aktivitäten für die vorherigen 90 Tage für diese Benutzer kann bis zu 24 Stunden dauern. Um Aktivitäten für manuell hinzugefügte Benutzer anzuzeigen, wählen Sie den Benutzer im Dashboard "Benutzer " aus, und öffnen Sie die Registerkarte " Benutzeraktivität " im Detailbereich.

Der Benutzer wird automatisch aus dem Dashboard "Benutzer " entfernt, und die Bewertung wird beendet, wenn die im Aktivierungsfenster definierte Zeit abläuft, wenn:

  • der Benutzer keine zusätzlichen auslösenden Ereignisse oder Warnungen zu Insider-Risikorichtlinien hat und
  • wenn die Dauer des manuell definierten Aktivierungsfensters länger als die Dauer des globalen Richtlinienaktivierungsfensters ist.

Die Einstellung des Aktivierungsfensters mit der längsten Dauer überschreibt immer die Einstellung des Aktivierungsfensters mit einer kürzeren Dauer. Sie haben z. B . das Aktivierungsfenster auf der Registerkarte "Globale Richtlinien-Zeitrahmen " in den globalen Einstellungen des Insider-Risikomanagements für 15 Tage konfiguriert, das automatisch auf alle Insider-Risikorichtlinien angewendet wird.

Sie fügen vorübergehend einen Benutzer zu Ihrer Insider-Risikorichtlinie für Datenlecks hinzu und definieren 30 Tage als Aktivierungsfenster für diesen Benutzer. Die Einstellung des globalen Aktivierungsfensters von 15 Tagen wird außer Kraft gesetzt, indem die Einstellung des Aktivierungsfensters für den vorübergehend hinzugefügten Benutzer auf 30 Tage festgelegt wird. Der vorübergehend hinzugefügte Benutzer verbleibt im Dashboard "Benutzer " und ist 30 Tage lang im Gültigkeitsbereich der Richtlinie.

Im gegenteiligen Szenario, in dem die Einstellung des globalen Aktivierungsfensters länger ist als die Einstellung des Aktivierungsfensters , die für einen vorübergehend hinzugefügten Benutzer definiert ist, würde die Einstellung des globalen Aktivierungsfensters die Einstellung des Aktivierungsfensters für den vorübergehend hinzugefügten Benutzer außer Kraft setzen. Der vorübergehend hinzugefügte Benutzer verbleibt im Dashboard "Benutzer " und ist für die Richtlinie für die Anzahl der Tage, die in den Einstellungen des globalen Aktivierungsfensters definiert sind, im Gültigkeitsbereich.

Anzeigen von Benutzerinformationen im Dashboard "Benutzer"

Jeder Benutzer, der im Benutzerdashboard angezeigt wird, enthält die folgenden Informationen:

  • Benutzer: Der Benutzername für einen Benutzer. Dieses Feld wird anonymisiert, wenn die globale Anonymisierungseinstellung für das Insider-Risikomanagement aktiviert ist.
  • Risikostufe: Die aktuell berechnete Risikostufe des Benutzers. Dieser Wert wird alle 24 Stunden berechnet, und bezieht die Risikobewertungen aller aktiver Warnungen für den betreffenden Benutzer in die Berechnung mit ein. Für Benutzer, die nur Indikatoren auslösen, ist die Risikostufe null.
  • Aktive Warnungen: Die Anzahl der aktiven Warnungen für alle Richtlinien.
  • Bestätigte Verstöße: Die Anzahl der Fälle, die als bestätigter Richtlinienverstoß für den Benutzer gelöst wurden.
  • Case: The current active case for the user.

Um einen bestimmten Benutzer schnell zu finden, verwenden Sie die Suche oben rechts im Benutzerdashboard. Bei der Suche nach Benutzern müssen Sie den Benutzerprinzipalnamen (User Principal Name, UPN) verwenden. Wenn Sie beispielsweise nach einem Benutzer namens "Tiara Hidayah" suchen, der in Ihrer Organisation über einen UPN von "thidayah" verfügt, würden Sie "thidayah" oder einen Teil des UPN in der Suche eingeben.

Dashboard der Benutzer des Insider-Risikomanagements.

Hinweis

Die Anzahl der Benutzer, die im Dashboard "Benutzer" angezeigt werden, kann in einigen Fällen abhängig von der Anzahl der aktiven Warnungen und übereinstimmenden Richtlinien begrenzt sein. Benutzer mit aktiven Warnungen werden im Dashboard "Benutzer " angezeigt, während die Warnungen generiert werden, und es kann selten vorkommen, dass die maximale Anzahl angezeigter Benutzer erreicht wird. Wenn dieser Grenzwert auftritt, werden Benutzer mit aktiven Warnungen, die nicht angezeigt werden, dem Dashboard " Benutzer " hinzugefügt, da vorhandene Benutzerbenachrichtigungen triaged werden.

Anzeigen von Benutzerdetails

Um weitere Details zu Risikoaktivitäten für einen Benutzer anzuzeigen, öffnen Sie den Detailbereich des Benutzers, indem Sie im Benutzerdashboard auf einen Benutzer doppelklicken. Im Detailbereich können Sie die folgenden Informationen anzeigen:

  • Registerkarte "Benutzerprofil "

    • Name und Titel: Der Name und Position des Benutzers aus Azure Active Directory. Diese Benutzerfelder werden anonymisiert oder leer, wenn die globale Anonymisierungseinstellung für das Insider-Risikomanagement aktiviert ist.
    • Benutzer-E-Mail: Die E-Mail-Adresse des Benutzers.
    • Alias: Der Netzwerkalias für den Benutzer.
    • Organisation oder Abteilung: Die Organisation oder Abteilung für den Benutzer.
  • Registerkarte "Benutzeraktivität"

    • Verlauf der letzten Benutzeraktivität: Listet sowohl auslösende Indikatoren als auch Insider-Risikoindikatoren für Benutzeraktivitäten bis zu den letzten 180 Tagen auf. Alle Aktivitäten, die für Insider-Risikoindikatoren relevant sind, werden ebenfalls bewertet, obwohl die Aktivitäten möglicherweise eine Insider-Risikowarnung generiert haben oder nicht. Triggering Indicator Examples may be a resignation date or the last scheduled date of work for the user. Insider-Risikoindikatoren sind Aktivitäten, die als Risikoelement bestimmt sind und in Richtlinien definiert sind, in denen der Benutzer enthalten ist. Ereignis- und Risikoaktivitäten werden aufgelistet, wobei das neueste Element zuerst aufgeführt wird.

Entfernen von Benutzern aus der bereichsbezogenen Zuweisung zu Richtlinien

Es kann Szenarien geben, in denen Sie die Zuweisung von Risikobewertungen zu den Aktivitäten eines Benutzers in Insider-Risikomanagementrichtlinien beenden müssen. Verwenden Sie " Benutzer entfernen " auf der Dashboardseite "Benutzer ", um die Zuweisung von Risikobewertungen für einen oder mehrere Benutzer aus allen Insider-Risikomanagementrichtlinien zu beenden, für die sie sich derzeit im Bereich befinden. Diese Aktion entfernt keine Benutzer aus der allgemeinen Richtlinienzuweisung (wenn Sie Benutzer oder Gruppen zu einer Richtlinienkonfiguration hinzufügen), sondern entfernt die Benutzer einfach aus der aktiven Verarbeitung durch Richtlinien nach aktuellen auslösenden Ereignissen. Wenn die Benutzer in Zukunft ein weiteres auslösendes Ereignis haben, werden den Benutzern automatisch erneut Risikobewertungen aus Richtlinien zugewiesen. Vorhandene Warnungen oder Fälle für diesen Benutzer werden nicht entfernt.

Hinweis

Das Entfernen eines Benutzers aus einer Richtlinie kann mehrere Minuten dauern. Nach Abschluss des Vorgangs wird der Benutzer nicht mehr auf der Seite "Benutzer" aufgeführt. Wenn der entfernte Benutzer aktive Warnungen oder Fälle hat, bleibt der Benutzer auf der Seite "Benutzer", und die Details für den Benutzer zeigen, dass er nicht mehr in den Gültigkeitsbereich einer Richtlinie fällt.

Führen Sie die folgenden Schritte aus, um Benutzer manuell aus dem Bereichsstatus in allen Insider-Risikomanagementrichtlinien zu entfernen:

  1. Wechseln Sie in der Microsoft Purview-Complianceportal zum Insider-Risikomanagement, und wählen Sie die Registerkarte "Benutzer" aus.
  2. Wählen Sie im Dashboard "Benutzer" den Oder die Benutzer aus, die Sie aus dem Bereich "Insider-Risikomanagement"-Richtlinien entfernen möchten.
  3. Wählen Sie "Benutzer entfernen" aus.
  4. Wählen Sie im Bereich "Benutzer entfernen " die Option "Entfernen " oder "Abbrechen " aus, um die Änderungen zu verwerfen und das Dialogfeld zu schließen.
  5. Wählen Sie im Bestätigungsbereich " Entfernen " aus, um den Benutzer zu entfernen.

Ausführen automatisierter Aufgaben mit Power Automate-Flüssen für einen Benutzer

Mithilfe empfohlener Power Automate-Abläufe können Risikoermittler und Analysten schnell Maßnahmen ergreifen, um Folgendes zu erreichen:

  • Benutzer benachrichtigen, wenn sie einer Insider-Risikorichtlinie hinzugefügt werden

So führen Sie Power Automate-Flüsse für einen Insider-Risikomanagementbenutzer aus, verwalten oder erstellen sie:

  1. Wählen Sie auf der Symbolleiste für Benutzeraktionen die Option "Automatisieren " aus.
  2. Wählen Sie den auszuführenden Power Automate-Fluss und dann " Ablauf ausführen" aus.
  3. Nachdem der Fluss abgeschlossen ist, wählen Sie "Fertig" aus.

Weitere Informationen zu Power Automate-Abläufen für das Insider-Risikomanagement finden Sie unter "Erste Schritte mit Insider-Risikomanagementeinstellungen".