Informationen zum Insider-Risikomanagement

Tipp

Wussten Sie, dass Sie die Premiumversionen aller neun Microsoft Purview-Lösungen kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation dabei helfen können, die Complianceanforderungen zu erfüllen. Microsoft 365 E3 und Office 365 E3 Kunden können jetzt im Testhub des Microsoft Purview Compliance-Portals beginnen. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Microsoft Purview Insider-Risikomanagement ist eine Compliance-Lösung, die Ihnen hilft, interne Risiken zu minimieren, indem sie es Ihnen ermöglicht, bösartige und unbeabsichtigte Aktivitäten in Ihrer Organisation zu erkennen, zu untersuchen und darauf zu reagieren. Insider-Risikorichtlinien ermöglichen es Ihnen, die Arten von Risiken zu definieren, die in Ihrer Organisation identifiziert und erkannt werden sollen, einschließlich der Bearbeitung von Fällen und der Eskalation von Fällen an Microsoft eDiscovery (Premium), falls erforderlich. Risikoanalysten in Ihrer Organisation können schnell geeignete Maßnahmen ergreifen, um sicherzustellen, dass Benutzer mit den Compliance-Standards Ihrer Organisation konform sind.

Weitere Informationen und eine Übersicht über den Planungsprozess zur Bewältigung riskanter Aktivitäten in Ihrer Organisation finden Sie unter Starten eines Insider-Risikomanagementprogramms.

Schauen Sie sich die folgenden Videos an, um zu erfahren, wie Insider-Risikomanagement Ihrer Organisation dabei helfen kann, Risiken zu verhindern, zu erkennen und einzudämmen, während Sie werte, Kultur und Benutzerfreundlichkeit Ihrer Organisation priorisieren:

Insider-Risikomanagement-Lösung & Entwicklung:


Insider-Risikomanagement-Workflow:

Sehen Sie sich das Microsoft Mechanics-Video zur Zusammenarbeit von Insider-Risikomanagement und Kommunikationscompliance an, um Datenrisiken von Benutzern in Ihrer Organisation zu minimieren.

Wichtig

Das Insider-Risikomanagement ist derzeit in Mandanten verfügbar, die in geografischen Regionen und Ländern gehostet werden, die von Azure-Dienstabhängigkeiten unterstützt werden. Informationen zur Überprüfung, ob das Insider-Risikomanagement für Ihre Organisation unterstützt wird, finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land/Region.

Moderne Risiko-Schwachstellen

Das Management und die Minimierung von Risiken in Ihrem Unternehmen beginnt mit der Kenntnis der Arten von Risiken, die am modernen Arbeitsplatz auftreten. Einige Risiken werden durch externe Ereignisse und Faktoren gesteuert, die sich außerhalb der direkten Kontrolle befinden. Andere Risiken werden durch interne Ereignisse und Benutzeraktivitäten gesteuert, die minimiert und vermieden werden können. Einige Beispiele sind Risiken durch illegales, unangemessenes, nicht autorisiertes oder unethisches Verhalten und Aktionen von Benutzern in Ihrer Organisation. Diese Verhaltensweisen umfassen eine breite Palette interner Risiken von Benutzern:

  • Preisgabe vertraulicher Daten und Datenlecks
  • Verstöße gegen die Vertraulichkeit
  • Diebstahl von geistigem Eigentum
  • Betrug
  • Insidergeschäfte
  • Verstöße gegen gesetzliche Vorschriften

Benutzer am modernen Arbeitsplatz haben Zugriff auf das Erstellen, Verwalten und Teilen von Daten über ein breites Spektrum von Plattformen und Diensten hinweg. In den meisten Fällen verfügen Organisationen über begrenzte Ressourcen und Tools, um organisationsweite Risiken zu identifizieren und zu mindern und gleichzeitig die Datenschutzstandards der Benutzer zu erfüllen.

Das Insider-Risikomanagement verwendet die gesamte Bandbreite an Service- und Drittanbieterindikatoren, die Ihnen dabei helfen, Risikoaktivitäten schnell zu identifizieren, zu triagen und zu reagieren. Mithilfe von Protokollen von Microsoft 365 und Microsoft Graph können Sie mithilfe des Insider-Risikomanagements bestimmte Richtlinien definieren, um Risikoindikatoren zu identifizieren. Diese Richtlinien ermöglichen es Ihnen, riskante Aktivitäten zu identifizieren und zu handeln, um diese Risiken zu mindern.

Das Insider-Risikomanagement konzentriert sich auf die folgenden Prinzipien:

  • Transparenz: Ausgewogenes Verhältnis zwischen Benutzerdatenschutz und Organisationsrisiko mit architekturbasiertem Datenschutz.
  • Konfigurierbar: Konfigurierbare Richtlinien basierend auf Branchen-, geografischen und Unternehmensgruppen.
  • Integriert: Integrierter Workflow in allen Microsoft Purview-Lösungen.
  • Umsetzbar: Bietet Einblicke, um Prüferbenachrichtigungen, Datenuntersuchungen und Benutzeruntersuchungen zu ermöglichen.

Identifizieren potenzieller Risiken mitHilfe von Analysen

Mit Insider-Risikoanalysen können Sie eine Auswertung potenzieller Insider-Risiken in Ihrer Organisation durchführen, ohne Insider-Risikorichtlinien konfigurieren zu müssen. Diese Auswertung kann Ihrer Organisation dabei helfen, potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang von Insider-Risikomanagement-Richtlinien zu bestimmen, die Sie konfigurieren sollten. Diese Auswertung kann Ihnen auch helfen, die Anforderungen für zusätzliche Lizenzierung oder zukünftige Optimierung vorhandener Insider-Risikorichtlinien zu ermitteln.

Weitere Informationen zu Insider-Risikoanalysen finden Sie unter Insider-Risikomanagementeinstellungen: Analyse.

Ganz gleich, ob Sie das Insider-Risikomanagement zum ersten Mal einrichten oder mit der Erstellung neuer Richtlinien beginnen – die neue empfohlene Aktionserfahrung kann Ihnen helfen, die Insider-Risikomanagementfunktionen optimal zu nutzen. Empfohlene Aktionen umfassen das Einrichten von Berechtigungen, das Auswählen von Richtlinienindikatoren, das Erstellen einer Richtlinie und vieles mehr.

Workflow

Der Insider-Risikomanagement-Workflow hilft Ihnen, interne Risiken in Ihrer Organisation zu identifizieren, zu untersuchen und Maßnahmen zu ergreifen. Mit fokussierten Richtlinienvorlagen, umfassenden Aktivitätssignalen im gesamten Microsoft 365-Dienst sowie Warnungs- und Fallverwaltungstools können Sie umsetzbare Erkenntnisse verwenden, um riskantes Verhalten schnell zu identifizieren und darauf zu reagieren.

Das Identifizieren und Beheben interner Risikoaktivitäten und Complianceprobleme mit dem Insider-Risikomanagement verwendet den folgenden Workflow:

Insider-Risikomanagement-Workflow.

Richtlinien

Insider-Risikomanagementrichtlinien werden mit vordefinierten Vorlagen und Richtlinienbedingungen erstellt, die definieren, welche auslösenden Ereignisse und Risikoindikatoren in Ihrer Organisation untersucht werden. Diese Bedingungen umfassen, wie Risikoindikatoren für Warnungen verwendet werden, welche Benutzer in der Richtlinie enthalten sind, welche Dienste priorisiert werden, und den Erkennungszeitraum.

Sie können aus den folgenden Richtlinienvorlagen auswählen, um schnell mit dem Insider-Risikomanagement zu beginnen:

Insider-Risikomanagement-Richtliniendashboard.

Warnungen

Warnungen werden automatisch von Risikoindikatoren generiert, die Richtlinienbedingungen entsprechen, und werden im Warnungsdashboard angezeigt. Dieses Dashboard ermöglicht eine schnelle Ansicht aller Warnungen, die überprüft werden müssen, offener Warnungen im Zeitverlauf und von Warnungsstatistiken für Ihre Organisation. Alle Richtlinienwarnungen werden mit den folgenden Informationen angezeigt, damit Sie schnell den Status vorhandener Warnungen und neuer Warnungen identifizieren können, die eine Aktion erfordern:

  • Status
  • Severity
  • Zeit erkannt
  • Fall
  • Fallstatus

Insider-Risikomanagement-Warnungsdashboard.

Triage

Neue Benutzeraktivitäten, die untersucht werden müssen, generieren automatisch Warnungen, denen der Status "Überprüfung der Anforderungen" zugewiesen ist. Prüfer können diese Warnungen schnell identifizieren und überprüfen, auswerten und bewerten.

Warnungen werden gelöst, indem ein neuer Fall eröffnet, die Warnung einem bestehenden Fall zugeordnet oder die Warnung zurückgewiesen wird. Mithilfe von Warnungsfiltern ist es einfach, Warnungen schnell nach Status, Schweregrad oder erkannter Zeit zu identifizieren. Im Rahmen des Triageprozesses können Prüfer Warnungsdetails für die von der Richtlinie identifizierten Aktivitäten anzeigen, benutzeraktivitäten anzeigen, die der Richtlinienübereinstimmung zugeordnet sind, den Schweregrad der Warnung anzeigen und Benutzerprofilinformationen überprüfen.

Insider-Risikomanagement-Triage.

Untersuchen

Untersuchen Sie schnell alle Aktivitäten für einen ausgewählten Benutzer mit Benutzeraktivitätsberichten (Vorschau). Diese Berichte ermöglichen es Ermittlern in Ihrer Organisation, Aktivitäten für bestimmte Benutzer für einen definierten Zeitraum zu untersuchen, ohne sie vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen zu müssen. Nach der Untersuchung von Aktivitäten für einen Benutzer können Ermittler einzelne Aktivitäten als gutartig schließen, einen Link zum Bericht mit anderen Ermittlern teilen oder per E-Mail senden oder den Benutzer vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen.

Es werden Fälle für Warnungen erstellt, die eine eingehendere Überprüfung und Untersuchung der Aktivitätsdetails und -umstände im Bereich der Richtlinienübereinstimmung erfordern. Das Fälle-Dashboard bietet eine Übersicht über alle aktiven Fälle, offene Fälle im Zeitverlauf und Fallstatistiken für Ihre Organisation. Prüfer können Fälle schnell nach Status, dem Datum des Öffnens des Falls und dem Datum der letzten Aktualisierung des Falls filtern.

Wenn Sie einen Fall auf dem Falldashboard auswählen, wird er zur Untersuchung und Überprüfung geöffnet. Dieser Schritt ist das Herzstück des Insider-Risikomanagement-Workflows. In diesem Bereich werden Risikoaktivitäten, Richtlinienbedingungen, Warnungsdetails und Benutzerdetails zu einer integrierten Ansicht für Prüfer zusammengefasst. Die wichtigsten Untersuchungstools in diesem Bereich sind:

  • Benutzeraktivität: Benutzeraktivitäten werden automatisch in einem interaktiven Diagramm angezeigt, in dem Aktivitäten über einen Zeitraum und nach Risikostufe für aktuelle oder vergangene Risikoaktivitäten dargestellt werden. Prüfer können schnell den gesamten Risikoverlauf für den Benutzer filtern und anzeigen und einen Drilldown zu bestimmten Aktivitäten ausführen, um weitere Details zu erhalten.
  • Inhalts-Explorer: Alle Datendateien und E-Mail-Nachrichten, die warnungsaktivitäten zugeordnet sind, werden automatisch erfasst und im Inhalts-Explorer angezeigt. Prüfer können Dateien und Nachrichten nach Datenquelle, Dateityp, Tags, Unterhaltungen und vielen weiteren Attributen filtern und anzeigen.
  • Fallhinweise: Prüfer können Notizen für einen Fall im Abschnitt "Fallnotizen" bereitstellen. Diese Liste konsolidiert alle Notizen in einer zentralen Ansicht und enthält Prüfer- und datumsgesendete Informationen.

Untersuchung des Insider-Risikomanagements.

Darüber hinaus können Sie mit dem neuen Überwachungsprotokoll (Vorschau) über die Aktionen informiert bleiben, die für Insider-Risikomanagementfeatures ergriffen wurden. Diese Ressource ermöglicht eine unabhängige Überprüfung der Aktionen, die von Benutzern ausgeführt werden, die einer oder mehreren Rollengruppen des Insider-Risikomanagements zugewiesen sind.

Aktion

Nachdem Fälle untersucht wurden, können Prüfer schnell handeln, um den Fall zu lösen oder mit anderen Risikobeteiligten in Ihrer Organisation zusammenzuarbeiten. Wenn Benutzer versehentlich oder versehentlich gegen Richtlinienbedingungen verstoßen, kann dem Benutzer über Benachrichtigungsvorlagen, die Sie für Ihre Organisation anpassen können, eine einfache Erinnerungsbenachrichtigung gesendet werden. Diese Hinweise können als einfache Erinnerungen dienen oder den Benutzer zu Auffrischungsschulungen oder Anleitungen leiten, um zukünftiges riskantes Verhalten zu verhindern. Weitere Informationen finden Sie unter Benachrichtigungsvorlagen für das Insider-Risikomanagement.

In schwerwiegenderen Situationen müssen Sie die Insider-Risikomanagement-Fallinformationen möglicherweise mit anderen Prüfern oder Diensten in Ihrer Organisation teilen. Das Insider-Risikomanagement ist eng mit anderen Microsoft Purview-Lösungen integriert, um Sie bei der End-to-End-Risikolösung zu unterstützen.

  • eDiscovery (Premium): Wenn Sie einen Fall zur Untersuchung eskalieren, können Sie Daten und die Verwaltung des Falls an Microsoft Purview-eDiscovery (Premium) übertragen. eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Überprüfen, Analysieren und Exportieren von Inhalten, die auf interne und externe Untersuchungen Ihrer Organisation reagieren. Dies ermöglicht es juristischen Teams, den gesamten Warnungs-Workflow für die gesetzliche Aufbewahrungspflicht zu verwalten. Weitere Informationen zu eDiscovery(Premium)-Fällen finden Sie unter Übersicht über Microsoft Purview-eDiscovery (Premium).
  • Office 365 Integration von Verwaltungs-APIs (Vorschau): Das Insider-Risikomanagement unterstützt das Exportieren von Warnungsinformationen in SIEM-Dienste (Security Information and Event Management) über die Office 365-Verwaltungs-APIs. Wenn Sie Zugriff auf Warnungsinformationen auf der Plattform haben, die am besten zu den Risikoprozessen Ihrer Organisation passen, erhalten Sie mehr Flexibilität, wie Sie auf Risikoaktivitäten reagieren können. Weitere Informationen zum Exportieren von Warnungsinformationen mit Office 365-Verwaltungs-APIs finden Sie unter "Exportieren von Warnungen".

Hinweis

Vielen Dank für Ihr Feedback und Ihren Support während der Vorschau des ServiceNow-Connectors. Wir haben beschlossen, die Vorschau des ServiceNow-Connectors zu beenden und den Support im Insider-Risikomanagement am 30. November 2020 einzustellen. Wir evaluieren aktiv alternative Methoden, um Kunden die ServiceNow-Integration im Insider-Risikomanagement zu ermöglichen.

Szenarien

Das Insider-Risikomanagement kann Ihnen dabei helfen, interne Risiken in Ihrer Organisation in mehreren gängigen Szenarien zu erkennen, zu untersuchen und Maßnahmen zu ergreifen:

Datendiebstahl durch ausscheidende Benutzer

Wenn Benutzer eine Organisation entweder freiwillig oder aufgrund einer Kündigung verlassen, gibt es häufig berechtigte Bedenken, dass Unternehmens-, Kunden- und Benutzerdaten gefährdet sind. Benutzer gehen möglicherweise unschuldig davon aus, dass Projektdaten nicht geschützt sind, oder sie sind versucht, Unternehmensdaten zu persönlichen Zwecken und unter Verstoß gegen Die Unternehmenspolitik und die gesetzlichen Standards zu verwenden. Richtlinien für das Insider-Risikomanagement, die den Datendiebstahl verwenden, indem sie die Richtlinienvorlage für ausscheidende Benutzer verwenden, erkennen automatisch Aktivitäten, die normalerweise mit dieser Art von Diebstahl verbunden sind. Mit dieser Richtlinie erhalten Sie automatisch Warnungen für verdächtige Aktivitäten im Zusammenhang mit Datendiebstahl durch ausscheidende Benutzer, damit Sie geeignete Ermittlungsmaßnahmen ergreifen können. Das Konfigurieren eines Microsoft 365 HR-Connectors für Ihre Organisation ist für diese Richtlinienvorlage erforderlich.

Absichtlicher oder unbeabsichtigter Verlust vertraulicher oder vertraulicher Informationen

In den meisten Fällen versuchen Benutzer, vertrauliche oder vertrauliche Informationen ordnungsgemäß zu behandeln. Gelegentlich können Benutzer jedoch Fehler machen, und Informationen werden versehentlich außerhalb Ihrer Organisation oder unter Verletzung Ihrer Informationsschutzrichtlinien weitergegeben. Unter anderen Umständen können Benutzer absichtlich vertrauliche und vertrauliche Informationen mit böswilliger Absicht und zu potenziellen persönlichen Vorteilen weitergeben. Richtlinien für das Insider-Risikomanagement, die mithilfe der folgenden Richtlinienvorlagen für Datenlecks erstellt wurden, erkennen automatisch Aktivitäten, die normalerweise mit der Freigabe vertraulicher oder vertraulicher Informationen verbunden sind:

Absichtliche oder unbeabsichtigte Verstöße gegen Sicherheitsrichtlinien (Vorschau)

Benutzer haben in der Regel ein hohes Maß an Kontrolle, wenn sie ihre Geräte am modernen Arbeitsplatz verwalten. Dieses Steuerelement kann Berechtigungen zum Installieren oder Deinstallieren von Anwendungen enthalten, die zur Erfüllung ihrer Aufgaben oder zur vorübergehenden Deaktivierung von Gerätesicherheitsfeatures erforderlich sind. Unabhängig davon, ob diese Aktivität versehentlich, versehentlich oder bösartig ist, kann dieses Verhalten ein Risiko für Ihre Organisation darstellen und ist wichtig, um zu identifizieren und zu minimieren. Um diese riskanten Sicherheitsaktivitäten zu identifizieren, werden in den folgenden Vorlagen für Sicherheitsrichtlinienverletzungen des Insider-Risikomanagements Sicherheitsrisikoindikatoren ermittelt und Microsoft Defender for Endpoint Warnungen verwendet, um Einblicke für sicherheitsrelevante Aktivitäten zu liefern:

Richtlinien für Benutzer basierend auf Position, Zugriffsebene oder Risikoverlauf (Vorschau)

Benutzer in Ihrer Organisation haben je nach Position, Zugriffsebene auf vertrauliche Informationen oder Risikoverlauf möglicherweise unterschiedliche Risikostufen. Diese Struktur kann Mitglieder des Führungsteams Ihrer Organisation, IT-Administratoren mit umfangreichen Daten- und Netzwerkzugriffsberechtigungen oder Benutzer mit einer früheren Geschichte riskanter Aktivitäten umfassen. Unter diesen Umständen sind eine genauere Inspektion und eine aggressivere Risikobewertung wichtig, um Warnungen für die Untersuchung und schnelles Handeln anzuzeigen. Um riskante Aktivitäten für diese Benutzertypen zu identifizieren, können Sie prioritäre Benutzergruppen erstellen und Richtlinien aus den folgenden Richtlinienvorlagen erstellen:

Gesundheitswesen (Vorschau)

Für Organisationen im Gesundheitswesen haben aktuelle Studien eine sehr hohe Rate von Insider-bezogenen Datenschutzverletzungen festgestellt. Das Erkennen des Missbrauchs von Patientendaten und Gesundheitsdatendaten ist ein wichtiger Bestandteil des Schutzes der Privatsphäre von Patienten und der Einhaltung der Compliance-Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA) und dem Health Information Technology for Economic and Clinical Health (HITECH) Act. Der Missbrauch von Patientendaten kann vom Zugriff auf privilegierte Patientendatensätze bis hin zum Zugriff auf Patientendatensätze von Familienangehörigen oder Nachbarn mit böswilliger Absicht reichen. Um diese Arten riskanter Aktivitäten zu identifizieren, verwenden die folgenden Richtlinienvorlagen für das Insider-Risikomanagement den Microsoft 365 HR-Connector und einen datenspezifischen Datenconnector für das Gesundheitswesen, um mit der Bewertung von Risikoindikatoren in Bezug auf Verhaltensweisen zu beginnen, die innerhalb Ihrer EA-Systeme auftreten können:

Aktionen und Verhaltensweisen von verärgerten Benutzern (Vorschau)

Beschäftigungsstressereignisse können sich auf verschiedene Weise auf das Benutzerverhalten auswirken, die sich auf Insider-Risiken beziehen. Diese Stressoren können eine schlechte Leistungsüberprüfung, eine Herabstufung der Position oder die Platzierung des Benutzers in einem Plan zur Leistungsüberprüfung sein. Obwohl die meisten Benutzer nicht bösartig auf diese Ereignisse reagieren, kann der Stress dieser Aktionen dazu führen, dass sich einige Benutzer in einer Weise verhalten, die sie unter normalen Umständen möglicherweise nicht berücksichtigen. Um diese Arten riskanter Aktivitäten zu identifizieren, verwenden die folgenden Richtlinienvorlagen für das Insider-Risikomanagement den Microsoft 365 HR-Connector und beginnen mit der Bewertung von Risikoindikatoren in Bezug auf Verhaltensweisen, die bei Beschäftigungsstressereignissen auftreten können:

Riskante Browsernutzung, die zu einem Sicherheitsvorfall führen könnte (Vorschau)

Die meisten Organisationen stellen Benutzern Regeln und Richtlinien zur Verfügung, die verdeutlichen, wie die Geräte und der Internetzugang einer Organisation verwendet werden sollen. Diese Richtlinien tragen dazu bei, sowohl die Organisation als auch die Benutzer vor Sicherheits- und regulatorischen Risiken zu schützen. Um diese Arten riskanter Aktionen zu identifizieren, kann die folgende Richtlinienvorlage für das Insider-Risikomanagement helfen, Die Risikobewertung für Verhaltensweisen im Web zu erkennen und zu aktivieren, die zu einem Datenschutzvorfall führen können, z. B. beim Besuch von Websites, die Schadsoftware oder Hacking-Tools bereitstellen.

Sind Sie bereit loszulegen?