Freigeben über


Untersuchen von Insider-Risikomanagementaktivitäten

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Die Untersuchung potenziell riskanter Benutzeraktivitäten ist ein wichtiger erster Schritt zur Minimierung von Insider-Risiken für Ihre organization. Diese Risiken können Aktivitäten sein, die Warnungen aus Insider-Risikomanagementrichtlinien generieren. Sie können auch Risiken durch Compliance-bezogene Aktivitäten darstellen, die von Richtlinien erkannt werden, aber nicht sofort Insider-Risikomanagementwarnungen für Benutzer erstellen. Sie können diese Arten von Aktivitäten mithilfe der Benutzeraktivitätsberichte (Vorschau) oder mit dem Warnungs-Dashboard untersuchen.

Tipp

Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.

Benutzeraktivitätsberichte

Benutzeraktivitätsberichte ermöglichen es Ihnen, potenziell riskante Aktivitäten (für bestimmte Benutzer und einen definierten Zeitraum) zu untersuchen, ohne diese Aktivitäten vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen zu müssen. In den meisten Insider-Risikomanagementszenarien sind Benutzer explizit in Richtlinien definiert, und sie verfügen möglicherweise über Richtlinienwarnungen (abhängig von auslösenden Ereignissen) und Risikobewertungen, die den Aktivitäten zugeordnet sind. In einigen Szenarien können Sie jedoch die Aktivitäten für Benutzer untersuchen, die nicht explizit in einer Richtlinie definiert sind. Diese Aktivitäten können für Benutzer gelten, die Sie einen Tipp zum Benutzer und potenziell riskante Aktivitäten erhalten haben, oder für Benutzer, die in der Regel keiner Insider-Risikomanagementrichtlinie zugewiesen werden müssen.

Nachdem Sie Indikatoren auf der Seite Einstellungen für das Insider-Risikomanagement konfiguriert haben, wird die Benutzeraktivität für potenziell riskante Aktivitäten erkannt, die den ausgewählten Indikatoren zugeordnet sind. Diese Konfiguration bedeutet, dass alle erkannten Aktivitäten für Benutzer zur Überprüfung verfügbar sind, unabhängig davon, ob ein auslösendes Ereignis vorliegt oder eine Warnung erstellt wird. Berichte werden auf Benutzerbasis erstellt und können alle Aktivitäten für einen benutzerdefinierten 90-Tage-Zeitraum enthalten. Mehrere Berichte für denselben Benutzer werden nicht unterstützt.

Nach der Untersuchung potenziell riskanter Aktivitäten können Ermittler die Aktivitäten einzelner Benutzer als gutartig verwerfen. Sie können auch einen Link zum Bericht mit anderen Ermittlern teilen oder per E-Mail senden oder Benutzer (vorübergehend oder explizit) einer Insider-Risikomanagementrichtlinie zuweisen. Benutzer müssen der Rollengruppe Insider-Risikomanagement-Ermittler zugewiesen sein, um die Seite Benutzeraktivitätsberichte anzeigen zu können.

Übersicht über den Bericht über Benutzeraktivitäten im Insider-Risikomanagement.

Wählen Sie zunächst auf der Seite Übersicht über das Insider-Risikomanagement im Abschnitt Benutzeraktivität untersuchen die Option Berichte verwalten aus.

Um Aktivitäten für einen Benutzer anzuzeigen, wählen Sie zuerst Bericht über Benutzeraktivität erstellen aus, und füllen Sie die folgenden Felder im Bereich Neuer Benutzeraktivitätsbericht aus:

  • Benutzer: Suchen Sie nach einem Benutzer anhand des Namens oder der E-Mail-Adresse.
  • Startdatum: Verwenden Sie das Kalendersteuerelement, um das Startdatum für Benutzeraktivitäten auszuwählen.
  • Enddatum: Verwenden Sie das Kalendersteuerelement, um das Enddatum für Benutzeraktivitäten auszuwählen. Das ausgewählte Enddatum muss mehr als zwei Tage nach dem ausgewählten Startdatum und nicht mehr als 90 Tage ab dem ausgewählten Startdatum sein.

Hinweis

Daten außerhalb des ausgewählten Bereichs können eingeschlossen werden, wenn der Benutzer zuvor in eine Warnung eingeschlossen wurde.

Benutzeraktivitätsdaten stehen ungefähr 48 Stunden nach dem Auftreten der Aktivität für berichte zur Verfügung. Um beispielsweise Benutzeraktivitätsdaten für den 1. Dezember zu überprüfen, müssen Sie sicherstellen, dass mindestens 48 Stunden verstrichen sind, bevor Sie den Bericht erstellen (Sie würden frühestens am 3. Dezember einen Bericht erstellen).

Neue Berichte dauern in der Regel bis zu 10 Stunden, bevor sie zur Überprüfung bereit sind. Wenn der Bericht bereit ist, wird berichtbereit in der Spalte Status auf der Seite Benutzeraktivitätsbericht angezeigt. Wählen Sie den Benutzer aus, um den detaillierten Bericht anzuzeigen:

Insider-Risikomanagement- Benutzeraktivitätsbericht

Der Benutzeraktivitätsbericht für den ausgewählten Benutzer enthält die Registerkarten Benutzeraktivität, Aktivitäts-Explorer und Forensische Beweise :

  • Benutzeraktivität: Verwenden Sie diese Diagrammansicht, um potenziell riskante Aktivitäten zu untersuchen und potenziell verwandte Aktivitäten anzuzeigen, die in Sequenzen auftreten. Diese Registerkarte ist so strukturiert, dass eine schnelle Überprüfung eines Falls ermöglicht wird, einschließlich einer verlaufsbezogenen Zeitleiste aller Aktivitäten, Aktivitätsdetails, der aktuellen Risikobewertung für den Benutzer im Fall, der Abfolge von Risikoereignissen und Filtersteuerelementen, die bei Ermittlungsbemühungen helfen.
  • Aktivitäts-Explorer: Diese Registerkarte bietet Risikoermittlern ein umfassendes Analysetool, das detaillierte Informationen zu Aktivitäten bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter riskanter Aktivitäten überprüfen und alle potenziell riskanten Aktivitäten im Zusammenhang mit Warnungen identifizieren und filtern. Weitere Informationen zur Verwendung des Aktivitäts-Explorers finden Sie im Abschnitt Aktivitäts-Explorer weiter unten in diesem Artikel.

Dashboard "Warnung"

Insider-Risikomanagementwarnungen werden automatisch von Risikoindikatoren generiert, die in Insider-Risikomanagementrichtlinien definiert sind. Diese Warnungen bieten Complianceanalysten und Ermittlern eine übersicht über die aktuellen Risiko-status und ermöglichen es Ihren organization, selektieren und Maßnahmen für ermittelte potenzielle Risiken zu ergreifen. Standardmäßig generieren Richtlinien eine bestimmte Anzahl von Warnungen mit niedrigem, mittlerem und hohem Schweregrad, aber Sie können das Warnungsvolumen entsprechend Ihren Anforderungen erhöhen oder verringern . Darüber hinaus können Sie den Warnungsschwellenwert für Richtlinienindikatoren konfigurieren, wenn Sie eine neue Richtlinie mit dem Richtlinienerstellungstool erstellen.

Hinweis

Für alle generierten Warnungen generiert das Insider-Risikomanagement eine einzelne aggregierte Warnung pro Benutzer. Alle neuen Erkenntnisse für diesen Benutzer werden derselben Warnung hinzugefügt.

Sehen Sie sich das Video Insider Risk Management Alerts Triage Experience an, um einen Überblick darüber zu erhalten, wie Warnungen Details, Kontext und verwandte Inhalte für riskante Aktivitäten bereitstellen und wie Sie Ihren Untersuchungsprozess effektiver gestalten können.

Wichtig

Wenn Ihre Richtlinien durch eine oder mehrere Verwaltungseinheiten beschränkt sind, werden nur Warnungen für die Benutzer angezeigt, für die Sie einen Bereich haben. Wenn beispielsweise ein Verwaltungsbereich nur für Benutzer in Deutschland gilt, werden nur Warnungen für Benutzer in Deutschland angezeigt. Uneingeschränkte Administratoren können alle Warnungen für alle Benutzer im organization anzeigen.

Eingeschränkte Administratoren können nicht über Sicherheitsgruppen oder Verteilergruppen, die in Verwaltungseinheiten hinzugefügt wurden, auf Warnungen für die ihnen zugewiesenen Benutzer zugreifen. Solche Benutzerwarnungen sind nur für uneingeschränkte Administratoren sichtbar. Microsoft empfiehlt, Benutzer direkt zu Verwaltungseinheiten hinzuzufügen, um sicherzustellen, dass ihre Warnungen auch für eingeschränkte Administratoren mit zugewiesenen Verwaltungseinheiten sichtbar sind.

Generieren von Warnungen

Die folgende Grafik zeigt, wie Warnungen im Insider-Risikomanagement generiert werden.

Grafik, die zeigt, wie Insider-Risikomanagementwarnungen generiert werden.

Filtern von Warnungen, Speichern einer Ansicht eines Filtersatzes, Anpassen von Spalten oder Suchen nach Warnungen

Je nach Anzahl und Art der aktiven Verwaltungsrichtlinien für Insider-Risiken in Ihrem Unternehmen kann die Überprüfung einer großen Warteschlange von Warnungen eine Herausforderung darstellen. Damit Sie Warnungen besser nachverfolgen können, haben Sie folgende Möglichkeiten:

  • Filtern sie Warnungen nach verschiedenen Attributen.
  • Speichern Sie eine Ansicht eines Filtersatzes, um sie später wiederzuverwenden.
  • Spalten anzeigen oder ausblenden.
  • Suchen Sie nach einer Warnung.

Filtern von Warnungen

  1. Wählen Sie Filter hinzufügen aus.

  2. Wählen Sie eines oder mehrere der folgenden Attribute aus:

    Attribut Beschreibung
    Aktivität, die die Warnung generiert hat Zeigt die potenziell risikobehaftete Aktivitäts- und Richtlinieneinstimmung während des Aktivitätsauswertungszeitraums an, der zur Generierung der Warnung geführt hat. Dieser Wert kann im Laufe der Zeit aktualisiert werden.
    Grund für warnungsbedingte Kündigung Der Grund für das Verwerfen der Warnung.
    Zugewiesen an Der Administrator, dem die Warnung für die Selektierung zugewiesen ist (sofern zugewiesen).
    Richtlinie Der Name der Richtlinie
    Risikofaktoren Die Risikofaktoren, die bestimmen, wie riskant die Aktivität eines Benutzers sein kann. Die möglichen Werte sind Kumulierte Exfiltrationsaktivitäten, Aktivitäten enthalten Prioritätsinhalte, Sequenzaktivitäten, Aktivitäten enthalten nicht zulässige Domänen, Mitglied einer prioritären Benutzergruppe und Potenzieller Benutzer mit hoher Auswirkung.
    Schweregrad Der Risikoschweregrad des Benutzers. Die Optionen sind Hoch, Moderat und Niedrig.
    Status Der Status der Warnung. Die Optionen sind Bestätigt, Abgelehnt, Überprüfung erforderlich und Behoben.
    Erkannte Zeit (UTC) Das Start- und Enddatum für die Erstellung der Warnung. Der Filter sucht zwischen UTC 00:00 am Startdatum und UTC 00:00 am Enddatum nach Warnungen.
    Auslösendes Ereignis Das Ereignis, das den Benutzer in den Bereich der Richtlinie gebracht hat. Das auslösende Ereignis kann sich im Laufe der Zeit ändern.

    Die ausgewählten Attribute werden der Filterleiste hinzugefügt.

  3. Wählen Sie ein Attribut in der Filterleiste aus, und wählen Sie dann einen Wert aus, nach dem gefiltert werden soll. Wählen Sie z. B. das Utc-Attribut (Time detected) aus, geben Sie die Datumsangaben in die Felder Startdatum und Enddatum ein, oder wählen Sie sie aus, und wählen Sie dann Übernehmen aus.

    Tipp

    Wenn Sie zu einem beliebigen Zeitpunkt von vorn beginnen möchten, wählen Sie auf der Filterleiste alle zurücksetzen aus.

Speichern einer Ansicht eines Filtersatzes zur späteren Wiederverwendung

  1. Nachdem Sie die Filter wie im vorherigen Verfahren beschrieben angewendet haben, wählen Sie speichern über der Filterleiste aus, geben Sie einen Namen für den Filtersatz ein, und wählen Sie dann Speichern aus.

    Der Filtersatz wird als Karte oberhalb der Filterleiste hinzugefügt. Sie enthält eine Zahl, die die Anzahl der Warnungen angibt, die die Kriterien im Filtersatz erfüllen.

    Hinweis

    Sie können bis zu fünf Filtersätze speichern. Wenn Sie einen Filtersatz löschen müssen, wählen Sie die Auslassungspunkte (drei Punkte) in der oberen rechten Ecke des Karte aus, und wählen Sie dann Löschen aus.

  2. Wenn Sie einen gespeicherten Filtersatz erneut anwenden möchten, wählen Sie einfach die Karte für den Filtersatz aus.

Anzeigen oder Ausblenden von Spalten

  1. Wählen Sie auf der rechten Seite die Option Spalten anpassen aus.

  2. Aktivieren oder deaktivieren Sie die Kontrollkästchen für die Spalten, die Sie anzeigen oder ausblenden möchten.

Die Spalteneinstellungen werden sitzungs- und browserübergreifend gespeichert.

Suchen nach Warnungen

Verwenden Sie das Suchsteuerelement , um nach einem Benutzerprinzipalnamen (UPN), einem zugewiesenen Administratornamen oder einer Warnungs-ID zu suchen.

Selektieren von Warnungen

Das Untersuchen und Reagieren auf Warnungen im Insider-Risikomanagement umfasst die folgenden Schritte:

  1. Überprüfen Sie die warnungs-Dashboard auf Warnungen mit einer status der Überprüfung der Anforderungen. Filtern Sie bei Bedarf nach Warnungsstatus , um diese Arten von Warnungen zu finden.
  2. Beginnen Sie mit den Warnungen mit dem höchsten Schweregrad. Filtern Sie bei Bedarf nach Warnungsschweregrad , um diese Arten von Warnungen zu finden.
  3. Wählen Sie eine Warnung aus, um weitere Informationen zu ermitteln und die Warnungsdetails zu überprüfen. Verwenden Sie bei Bedarf den Aktivitäts-Explorer, um eine Zeitleiste des zugehörigen potenziell riskanten Verhaltens zu überprüfen und alle Risikoaktivitäten für die Warnung zu identifizieren.
  4. Reagieren Sie auf die Warnung. Sie können entweder bestätigen und einen Fall für die Warnung erstellen oder die Warnung verwerfen und auflösen.

Jeder dieser Schritte wird in diesem Abschnitt ausführlicher beschrieben.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Verwenden von Copilot zum Zusammenfassen einer Warnung

Sie können Mit Copilot zusammenfassen oder das Copilot-Symbol auswählen, um eine Warnung schnell zusammenzufassen und die Warnungen zu priorisieren, die eine weitere Untersuchung erfordern. Sie können ausgewählte Warnungen zusammenfassen, ohne die Warnung zu öffnen oder nachdem Sie die Details der Warnung angezeigt haben. Wenn Sie eine Warnung mit Microsoft Copilot in Microsoft Purview zusammenfassen, wird auf der rechten Seite des Bildschirms ein Copilot-Bereich mit einer Warnungszusammenfassung angezeigt.

Insider-Risikomanagement Copilot-Schaltfläche

Die Warnungszusammenfassung enthält alle wesentlichen Details zur Warnung, z. B. die ausgelöste Richtlinie, die Aktivität, die die Warnung generiert hat, das auslösende Ereignis, den beteiligten Benutzer, seinen letzten Arbeitstermin (falls zutreffend), alle wichtigen Benutzerattribute und die wichtigsten Risikofaktoren des Benutzers. Copilot in Microsoft Purview konsolidiert Informationen über den Benutzer aus all seinen Warnungen und richtlinien im Gültigkeitsbereich und hebt die wichtigsten Risikofaktoren des Benutzers hervor.

Vorgeschlagene Eingabeaufforderungen werden automatisch aufgelistet, um Ihre Zusammenfassung weiter zu verfeinern und zusätzliche Einblicke in die aktivitäten zu geben, die der Warnung zugeordnet sind. Wählen Sie aus den folgenden vorgeschlagenen Eingabeaufforderungen aus:

  • Listet alle Datenexfiltrationsaktivitäten auf, die diesen Benutzer betreffen.
  • Listet alle sequenziellen Aktivitäten auf, an denen dieser Benutzer beteiligt ist.
  • Hat der Benutzer ungewöhnliches Verhalten?
  • Zeigen Sie die wichtigsten Aktionen an, die vom Benutzer in den letzten 10 Tagen ausgeführt wurden.
  • Fassen Sie die Aktivität des Benutzers der letzten 30 Tage zusammen.

Selektieren einer Warnung

Sie können Warnungen selektieren, indem Sie zur Seite Warnungsdetails wechseln.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Warnungen aus.
  4. Wählen Sie im Dashboard Warnungen die Warnung aus, die Sie selektieren möchten.
  5. Auf der Seite Warnungsdetails können Sie Informationen zur Warnung überprüfen. Sie können die Warnung bestätigen und einen neuen Fall erstellen, die Warnung bestätigen und zu einem vorhandenen Fall hinzufügen oder die Warnung verwerfen. Diese Seite enthält auch die aktuelle status für die Warnung und den Schweregrad des Warnungsrisikos, der als Hoch, Mittel oder Niedrig aufgeführt ist. Der Schweregrad kann sich im Laufe der Zeit erhöhen oder verringern, wenn die Warnung nicht selektiert wird. Bei falsch positiven Ergebnissen können Sie mehrere Warnungen auswählen und diese in einem Massenvorgang verwerfen, indem Sie Warnungen schließen auswählen.

Abschnitt "Kopfzeile/Zusammenfassung" der Seite "Warnungsdetails"

Dieser Abschnitt auf der Seite Warnungsdetails enthält allgemeine Informationen zum Benutzer und zur Warnung. Diese Informationen sind für den Kontext verfügbar, während detaillierte Informationen zur erkannten Risikomanagementaktivität in der Warnung für den Benutzer überprüft werden:

  • Aktivität, die diese Warnung generiert hat: Zeigt die potenziell risikobehaftete Aktivitäts- und Richtlinieneinstimmung während des Aktivitätsauswertungszeitraums an, der zum Generieren der Warnung geführt hat.
  • Auslösendes Ereignis: Zeigt das letzte auslösende Ereignis an, das die Richtlinie aufgefordert hat, der Aktivität des Benutzers Risikobewertungen zuzuweisen. Wenn Sie die Integration in die Kommunikationscompliance für Datenlecks durch riskante Benutzer oder Verstöße gegen Sicherheitsrichtlinien durch Richtlinien für riskante Benutzer konfiguriert haben, ist das auslösende Ereignis für diese Warnungen auf die Kommunikationscomplianceaktivitäten ausgerichtet.
  • Benutzerdetails: Zeigt allgemeine Informationen zum Benutzer an, der der Warnung zugewiesen ist. Wenn die Anonymisierung aktiviert ist, werden die Felder benutzername, E-Mail-Adresse, Alias und organization anonymisiert.
  • Benutzerwarnungsverlauf: Zeigt eine Liste der Warnungen für den Benutzer für die letzten 30 Tage an. Enthält einen Link zum Anzeigen des vollständigen Warnungsverlaufs für den Benutzer.

Hinweis

Wenn ein Benutzer als potenzieller Benutzer mit hoher Auswirkung erkannt wird, werden diese Informationen im Warnungsheader auf der Seite Benutzerdetails hervorgehoben. Die Benutzerdetails enthalten auch eine Zusammenfassung mit den Gründen, aus denen der Benutzer als solcher erkannt wurde. Weitere Informationen zum Festlegen von Richtlinienindikatoren für Potenzielle Benutzer mit hohen Auswirkungen finden Sie unter Insider-Risikomanagementeinstellungen.

Warnungen, die von Richtlinien generiert werden, die nur Aktivitäten umfassen, die Prioritätsinhalte enthalten, umfassen die Benachrichtigung Nur Aktivität mit Prioritätsinhalt wurde für diese Warnungsbenachrichtigung in diesem Abschnitt bewertet.

Tipp

Um einen schnellen Überblick über eine Warnung zu erhalten, wählen Sie auf der Seite mit den Warnungsdetails zusammenfassen aus. Wenn Sie Zusammenfassen auswählen, wird auf der rechten Seite auf der Seite ein Copilot-Bereich mit einer Warnungszusammenfassung angezeigt. Die Warnungszusammenfassung enthält alle wesentlichen Details zur Warnung, z. B. die ausgelöste Richtlinie, die Aktivität, die die Warnung generiert hat, das auslösende Ereignis, den beteiligten Benutzer, seinen letzten Arbeitstermin (falls zutreffend), alle wichtigen Benutzerattribute und die wichtigsten Risikofaktoren des Benutzers. Copilot in Microsoft Purview konsolidiert Informationen über den Benutzer aus all seinen Warnungen und richtlinien im Gültigkeitsbereich und hebt die wichtigsten Risikofaktoren des Benutzers hervor. Sie können die Warnung auch aus der Warnungswarteschlange zusammenfassen, ohne die Warnung mithilfe von Copilot öffnen zu müssen. Oder verwenden Sie die eigenständige Version von Microsoft Copilot for Security, um Insider-Risikomanagement, Microsoft Purview Data Loss Prevention (DLP) und Microsoft Defender XDR Warnungen zu untersuchen.

Registerkarte "Alle Risikofaktoren"

Auf dieser Registerkarte auf der Seite Warnungsdetails wird die Zusammenfassung der Risikofaktoren für die Warnungsaktivität des Benutzers geöffnet. Risikofaktoren können Ihnen helfen, zu bestimmen, wie riskant die Risikomanagementaktivität dieses Benutzers während der Überprüfung ist. Zu den Risikofaktoren gehören Zusammenfassungen für:

  • Wichtigste Exfiltrationsaktivitäten: Zeigt Exfiltrationsaktivitäten mit der höchsten Anzahl oder Ereignissen für die Warnung an.
  • Kumulative Exfiltrationsaktivitäten: Zeigt Ereignisse im Zusammenhang mit kumulativen Exfiltrationsaktivitäten an.
  • Sequenzen von Aktivitäten: Zeigt die erkannten potenziell riskanten Aktivitäten im Zusammenhang mit Risikosequenzen an.
  • Ungewöhnliche Aktivität für diesen Benutzer: Zeigt bestimmte Aktivitäten für den Benutzer an, die als potenziell riskant betrachtet werden, da sie ungewöhnlich sind und von den typischen Aktivitäten abweichen.
  • Prioritätsinhalt: Zeigt potenziell riskante Aktivitäten im Zusammenhang mit Prioritätsinhalten an.
  • Nicht zugelassene Domänen: Zeigt potenziell riskante Aktivitäten für Ereignisse an, die nicht zugelassenen Domänen zugeordnet sind.
  • Zugriff auf Integritätsdatensätze: Zeigt potenziell riskante Aktivitäten für Ereignisse im Zusammenhang mit dem Zugriff auf Integritätsdatensätze an.
  • Riskante Browsernutzung: Zeigt potenziell riskante Aktivitäten für Ereignisse im Zusammenhang mit dem Surfen auf potenziell unangemessenen Websites an.

Mit diesen Filtern werden nur Warnungen mit den oben genannten Risikofaktoren angezeigt, aber die Aktivität, die eine Warnung generiert hat, fällt möglicherweise nicht in eine dieser Kategorien. Beispielsweise könnte eine Warnung mit Sequenzaktivitäten generiert worden sein, weil der Benutzer eine Datei auf ein USB-Gerät kopiert hat.

Erkannter Inhalt

Dieser Abschnitt auf der Registerkarte Alle Risikofaktoren enthält Inhalte, die den Risikoaktivitäten für die Warnung zugeordnet sind, und fasst Aktivitätsereignisse nach Schlüsselbereichen zusammen. Wenn Sie einen Aktivitätslink auswählen, wird der Aktivitäts-Explorer geöffnet, und es werden weitere Details zur Aktivität angezeigt.

Registerkarte "Benutzeraktivität"

Die Registerkarte Benutzeraktivität ist eines der leistungsfähigsten Tools für die interne Risikoanalyse und Untersuchung von Warnungen und Fällen in der Insider-Risikomanagementlösung. Diese Registerkarte ist so strukturiert, dass sie eine schnelle Überprüfung aller Aktivitäten für einen Benutzer ermöglicht, einschließlich einer verlaufsbezogenen Zeitleiste aller Warnungen, Warnungsdetails, der aktuellen Risikobewertung für den Benutzer und der Abfolge von Risikoereignissen.

Benutzeraktivität des Insider-Risikomanagements

  1. Fallaktionen: Optionen zum Auflösen des Falls finden Sie auf der Symbolleiste für Fallaktionen. Wenn Sie einen Fall anzeigen, können Sie einen Fall lösen, eine E-Mail-Benachrichtigung an den Benutzer senden oder den Fall für eine Daten- oder Benutzeruntersuchung eskalieren.

  2. Chronologie der Risikoaktivität: Die vollständige Chronologie aller Risikowarnungen im Zusammenhang mit dem Fall wird aufgeführt, einschließlich aller Details, die in der entsprechenden Warnungsblase verfügbar sind.

  3. Filter und Sortierung (Vorschau):

    • Risikokategorie: Filtern Sie Aktivitäten nach den folgenden Risikokategorien: Aktivitäten mit Risikobewertungen > 15 (sofern nicht in einer Sequenz) und Sequenzaktivitäten.
    • Aktivitätstyp: Filtern Sie Aktivitäten nach den folgenden Typen: Zugriff, Löschung, Sammlung, Exfiltration, Infiltration, Verschleierung, Sicherheit, Kommunikationsrisiko.
    • Sortieren nach: Listen Sie die Zeitleiste potenziell riskanter Aktivitäten nach Datum oder Risikobewertung auf.
  4. Zeitfilter: Standardmäßig werden die letzten drei Monate potenziell riskanter Aktivitäten im Diagramm Benutzeraktivität angezeigt. Sie können die Diagrammansicht einfach filtern, indem Sie die Registerkarten 6 Monate, 3 Monate oder 1 Monat im Blasendiagramm auswählen.

  5. Risikosequenz: Die chronologische Reihenfolge potenziell riskanter Aktivitäten ist ein wichtiger Aspekt der Risikountersuchung, und die Identifizierung dieser verwandten Aktivitäten ist ein wichtiger Bestandteil der Bewertung des Gesamtrisikos für Ihre organization. Verwandte Warnungsaktivitäten werden mit Verbindungslinien angezeigt, um hervorzuheben, dass diese Aktivitäten einem größeren Risikobereich zugeordnet sind. Sequenzen werden in dieser Ansicht auch durch ein Symbol identifiziert, das über den Sequenzaktivitäten relativ zur Risikobewertung für die Sequenz positioniert ist. Zeigen Sie auf das Symbol, um das Datum und die Uhrzeit der dieser Sequenz zugeordneten riskanten Aktivität anzuzeigen. Diese Sicht auf Aktivitäten kann Ermittlern dabei helfen, die Punkte für Risikoaktivitäten zu verbinden, die als isolierte oder einmalige Ereignisse hätten betrachtet werden können. Wählen Sie das Symbol oder eine beliebige Blase in der Sequenz aus, um Details für alle zugehörigen Risikoaktivitäten anzuzeigen. Zu den Details gehören:

    • Name der Sequenz.
    • Datums- oder Datumsbereich der Sequenz.
    • Risikobewertung für die Sequenz. Diese Bewertung ist die numerische Bewertung für die Abfolge der kombinierten Schweregrade des Warnungsrisikos für jede verwandte Aktivität in der Sequenz.
    • Anzahl der Ereignisse, die jeder Warnung in der Sequenz zugeordnet sind. Links zu jeder Datei oder E-Mail, die jeder potenziell riskanten Aktivität zugeordnet ist, sind ebenfalls verfügbar.
    • Aktivitäten nacheinander anzeigen. Zeigt die Sequenz als Hervorhebungslinie im Blasendiagramm an und erweitert die Warnungsdetails, um alle zugehörigen Warnungen in der Sequenz anzuzeigen.
  6. Aktivität und Details zu Risikowarnungen: Potenziell riskante Aktivitäten werden visuell als farbige Blasen im Diagramm "Benutzeraktivität" angezeigt. Blasen werden für verschiedene Risikokategorien erstellt. Wählen Sie eine Blase aus, um die Details für jede potenziell riskante Aktivität anzuzeigen. Zu den Details gehören:

    • Datum der Risikoaktivität.
    • Die Risikoaktivitätskategorie. Beispielsweise Email mit Anlagen, die außerhalb des organization oder von SharePoint Online heruntergeladenen Dateien gesendet werden.
    • Risikobewertung für die Warnung. Diese Bewertung ist der numerische Wert für den Schweregrad des Risikos.
    • Anzahl der Ereignisse, die mit der Warnung verknüpft sind. Links zu jeder Datei oder E-Mail, die der Risikoaktivität zugeordnet sind, sind ebenfalls verfügbar.
  7. Kumulative Exfiltrationsaktivitäten: Wählen Sie diese Option aus, um ein visuelles Diagramm anzuzeigen, in dem sich die Aktivität im Laufe der Zeit für den Benutzer aufbaut.

  8. Legende zur Risikoaktivität: Am unteren Rand des Benutzeraktivitätsdiagramms können Sie mit einer farbcodierten Legende schnell die Risikokategorie für jede Warnung bestimmen.

Registerkarte "Aktivitäts-Explorer"

Hinweis

Der Aktivitäts-Explorer ist im Warnungsverwaltungsbereich für Benutzer mit auslösenden Ereignissen verfügbar, nachdem dieses Feature in Ihrem organization verfügbar ist.

Der Aktivitäts-Explorer bietet Risikoermittlern und Analysten ein umfassendes Analysetool, das detaillierte Informationen zu Warnungen bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter potenziell riskanter Aktivitäten überprüfen und alle Risikoaktivitäten im Zusammenhang mit Warnungen identifizieren und filtern.

Verwenden des Aktivitäts-Explorers

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Warnungen aus.
  4. Wählen Sie im Dashboard Warnungen die Warnung aus, die Sie selektieren möchten.
  5. Wählen Sie im Detailbereich Warnungen die Option Erweiterte Ansicht öffnen aus.
  6. Wählen Sie auf der Seite für die ausgewählte Warnung die Registerkarte Aktivitäts-Explorer aus.

Beim Überprüfen von Aktivitäten im Aktivitäts-Explorer können Ermittler und Analysten eine bestimmte Aktivität auswählen und den Bereich mit den Aktivitätsdetails öffnen. Im Bereich werden ausführliche Informationen zu der Aktivität angezeigt, die Ermittler und Analysten während des Warnungs selektierungsprozesses verwenden können. Ausführliche Informationen können kontextbezogene Informationen für die Warnung bereitstellen und dabei helfen, den gesamten Umfang der Risikoaktivität zu identifizieren, die die Warnung ausgelöst hat.

Wenn Sie die Ereignisse einer Aktivität aus dem aktivitäts-Zeitleiste auswählen, stimmt die Anzahl der im Explorer angezeigten Aktivitäten möglicherweise nicht mit der Anzahl von Aktivitätsereignissen überein, die im Zeitleiste aufgeführt sind. Beispiele dafür, warum dieser Unterschied auftreten kann:

  • Kumulative Exfiltrationserkennung: Die kumulative Exfiltrationserkennung analysiert Ereignisprotokolle, wendet jedoch ein Modell an, das die Deduplizierung ähnlicher Aktivitäten zum Berechnen des kumulativen Exfiltrationsrisikos umfasst. Darüber hinaus kann es auch einen Unterschied in der Anzahl der potenziell riskanten Aktivitäten geben, die im Aktivitäts-Explorer angezeigt werden, wenn Sie Änderungen an Ihrer vorhandenen Richtlinie oder Ihren vorhandenen Einstellungen vorgenommen haben. Wenn Sie beispielsweise zulässige/nicht zugelassene Domänen ändern oder neue Dateitypausschlüsse hinzufügen, nachdem eine Richtlinie erstellt wurde und potenziell risikobehaftete Aktivitätsübereinstimmungen aufgetreten sind, unterscheiden sich die kumulativen Exfiltrationserkennungsaktivitäten von den Ergebnissen, bevor sich die Richtlinie oder einstellungen ändern. Die Gesamtsummen der Kumulativen Exfiltrationserkennungsaktivität basieren auf der Richtlinien- und Einstellungskonfiguration zum Zeitpunkt der Berechnung und schließen keine Aktivitäten vor den Richtlinien- und Einstellungsänderungen ein.
  • E-Mails an externe Empfänger: Potenziell riskante Aktivitäten für E-Mails, die an externe Empfänger gesendet werden, erhalten eine Risikobewertung basierend auf der Anzahl der gesendeten E-Mails, die möglicherweise nicht mit den Aktivitätsereignisprotokollen übereinstimmen.

Details des Insider-Risikomanagement-Aktivitäts-Explorers.

Sequenzen, die Ereignisse enthalten, die von der Risikobewertung ausgeschlossen sind

Eine Sequenz kann ein oder mehrere Ereignisse enthalten, die basierend auf Ihrer Einstellungskonfiguration von der Risikobewertung ausgeschlossen sind. Ihr organization kann beispielsweise die Einstellung Globale Ausschlüsse verwenden, um .png Dateien von der Risikobewertung auszuschließen, da .png Dateien normalerweise nicht riskant sind. Eine .png Datei könnte jedoch verwendet werden, um eine schädliche Aktivität zu verschleiern. Aus diesem Grund ist ein Ereignis, das aufgrund einer Verschleierungsaktivität von der Risikobewertung ausgeschlossen wird, Teil einer Sequenz, da es im Kontext der Sequenz interessant sein kann.

Der Aktivitäts-Explorer zeigt die folgenden Informationen für ausgeschlossene Ereignisse in Sequenzen an:

  • Wenn eine Sequenz einen Schritt enthält, in dem alle Ereignisse ausgeschlossen werden, enthält die Erkenntnis nur den Aktivitätsnamen und das Datum. Wählen Sie den Link Ausgeschlossene Ereignisse anzeigen aus, um im Aktivitäts-Explorer nach den ausgeschlossenen Ereignissen zu filtern. Das Punktdiagrammsymbol "Benutzeraktivität" weist eine Risikobewertung von 0 auf, wenn alle Ereignisse ausgeschlossen werden.
  • Wenn eine Sequenz einen Einblick hat, bei dem einige Ereignisse ausgeschlossen werden, werden die Ereignisinformationen für die nicht ausgeschlossenen Ereignisse angezeigt, aber die Ereignisanzahl enthält nicht die ausgeschlossenen Ereignisse. Wählen Sie den Link Ausgeschlossene Ereignisse anzeigen aus, um im Aktivitäts-Explorer nach den ausgeschlossenen Ereignissen zu filtern.
  • Wenn Sie einen Sequenzlink für einen Einblick auswählen, können Sie einen Drilldown in die Abfolge der Ereignisse im Bereich mit den Aktivitätsdetails durchführen, einschließlich aller Ereignisse, die von der Bewertung ausgeschlossen wurden. Ein von der Bewertung ausgeschlossenes Ereignis wird als Ausgeschlossen markiert.
Filtern von Warnungen im Aktivitäts-Explorer

Um Warnungen im Aktivitäts-Explorer nach Spalteninformationen zu filtern, wählen Sie Filter aus. Sie können Warnungen nach einem oder mehreren Attributen filtern, die im Detailbereich für die Warnung aufgeführt sind. Der Aktivitäts-Explorer unterstützt auch anpassbare Spalten, um Ermittlern und Analysten dabei zu helfen, die Dashboard auf die für sie wichtigsten Informationen zu konzentrieren.

Verwenden Sie die Filter Aktivitätsbereich, Risikofaktor und Status überprüfen, um Aktivitäten und Erkenntnisse für die folgenden Bereiche anzuzeigen und zu sortieren.

  • Aktivitätsbereich: Filtert alle bewerteten Aktivitäten für den Benutzer.

    • Alle bewerteten Aktivitäten für diesen Benutzer
    • Nur bewertete Aktivität in dieser Warnung
  • Risikofaktor: Filter für Risikofaktoraktivitäten, die für alle Richtlinien gelten, die Risikobewertungen zuweisen. Dies schließt alle Aktivitäten für alle Richtlinien für Benutzer im Gültigkeitsbereich ein.

    • Ungewöhnliche Aktivität
    • Umfasst Ereignisse mit Prioritätsinhalten.
    • Schließt Ereignisse mit einer nicht zulässigen Domäne ein.
    • Sequenzaktivitäten
    • Kumulative Exfiltrationsaktivitäten
    • Zugriffsaktivitäten für Integritätsdaten
    • Riskante Browsernutzung
  • Überprüfen Sie status: Filtert aktivitätsüberprüfungs-status.

    • Alle
    • Noch nicht überprüft (filtert alle Aktivitäten heraus, die Teil einer verworfenen oder aufgelösten Warnung waren)

Übersicht über den Aktivitäts-Explorer für das Insider-Risikomanagement

Speichern einer Ansicht eines Filters zur späteren Wiederverwendung

Wenn Sie einen Filter erstellen und Spalten für den Filter anpassen, können Sie eine Ansicht Ihrer Änderungen speichern, sodass Sie oder andere Personen später schnell nach den gleichen Änderungen filtern können. Wenn Sie eine Ansicht speichern, speichern Sie sowohl die Filter als auch die Spalten. Wenn Sie die Ansicht laden, werden sowohl gespeicherte Filter als auch Spalten geladen.

  1. Erstellen Sie einen Filter, und passen Sie Spalten an.

    Tipp

    Wenn Sie zu einem beliebigen Zeitpunkt von vorn beginnen möchten, wählen Sie Zurücksetzen aus. Wählen Sie Spalten zurücksetzen aus, um die von Ihnen angepassten Spalten zu ändern.

  2. Wenn Sie über den gewünschten Filter verfügen, wählen Sie Diese Ansicht speichern aus, geben Sie einen Namen für die Ansicht ein, und wählen Sie dann Speichern aus.

    Hinweis

    Die maximale Länge für einen Ansichtsnamen beträgt 40 Zeichen, und Sie können keine Sonderzeichen verwenden.

  3. Um die Ansicht des Filters später wiederzuverwenden, wählen Sie Ansichten aus, und wählen Sie dann auf der Registerkarte Empfohlene Ansichten (mit den am häufigsten verwendeten Ansichten) oder auf der Registerkarte Benutzerdefinierte Ansichten (die am häufigsten verwendeten Filter werden oben in der Liste angezeigt) die Ansicht aus, die Sie öffnen möchten.

Wenn Sie eine Ansicht auf diese Weise auswählen, werden alle vorhandenen Filter zurückgesetzt und durch die von Ihnen ausgewählte Ansicht ersetzt.

Warnungsstatus und Schweregrad

Hinweis

Bei der Verwaltung von Insider-Risiken wird eine integrierte Warnungsdrosselung verwendet, um Ihre Erfahrungen bei der Risikoermittlung und -prüfung zu schützen und zu optimieren. Diese Drosselung schützt vor Problemen, die zu einer Überlastung von Richtlinienwarnungen führen können, z. B. falsch konfigurierte Datenconnectors oder Richtlinien zur Verhinderung von Datenverlust. Infolgedessen kann es zu einer Verzögerung bei der Anzeige neuer Warnungen für einen Benutzer kommen.

Sie können Warnungen in einen der folgenden Status selektieren:

  • Bestätigt: Eine Warnung wurde bestätigt und einem neuen oder vorhandenen Fall zugewiesen.
  • Verworfen: Eine Warnung, die im Selektierungsprozess als unschädlich abgelehnt wird. Sie können einen Grund für die Kündigung der Warnung angeben und Notizen hinzufügen, die im Warnungsverlauf des Benutzers verfügbar sind, um zusätzlichen Kontext für zukünftige Verweise oder für andere Prüfer bereitzustellen. Die Gründe können von erwarteten Aktivitäten, nicht imtakten Ereignissen, einer einfachen Reduzierung der Anzahl von Warnungsaktivitäten für den Benutzer oder einem Grund im Zusammenhang mit den Warnungsnotizen reichen. Gründe für die Klassifizierung: Aktivität wird für diesen Benutzer erwartet, Aktivität ist so wirkungsvoll, dass ich es genauer untersuchen kann, und Warnungen für diesen Benutzer enthalten zu viele Aktivitäten.
  • Überprüfung erforderlich: Eine neue Warnung, bei der noch keine Selektierungsaktionen durchgeführt wurden.
  • Gelöst: Eine Warnung, die Teil eines geschlossenen und gelösten Falls ist.

Warnungsrisikobewertungen werden automatisch aus mehreren Risikoaktivitätsindikatoren berechnet. Diese Indikatoren umfassen die Art der Risikoaktivität, die Anzahl und Häufigkeit des Aktivitätsereignisses, den Verlauf der Risikoaktivität der Benutzer und das Hinzufügen von Aktivitätsrisiken, die die Schwere der potenziell riskanten Aktivität erhöhen können. Die Warnungsrisikobewertung steuert die programmgesteuerte Zuweisung eines Risikoschweregrads für jede Warnung und kann nicht angepasst werden. Wenn Warnungen nicht eingestuft werden und weiterhin Risikoaktivitäten für die Warnung anfallen, kann sich der Risikoschweregrad erhöhen. Risikoanalysten und Prüfer können den Schweregrad des Warnungsrisikos verwenden, um Warnungen in Übereinstimmung mit den Risikorichtlinien und -standards Ihrer organization zu selektieren.

Schweregrade des Warnungsrisikos sind:

  • Hoher Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein erhebliches Risiko dar. Die damit verbundenen Risikoaktivitäten sind schwerwiegend, wiederholend und basieren stark auf andere signifikante Risikofaktoren.
  • Mittlerer Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein moderates Risiko dar. Die damit verbundenen Risikoaktivitäten sind moderat, häufig und weisen eine gewisse Korrelation zu anderen Risikofaktoren auf.
  • Niedriger Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein geringes Risiko dar. Die damit verbundenen Risikoaktivitäten sind geringfügig, seltener und basieren nicht auf anderen signifikanten Risikofaktoren.

Mehrere Warnungen schließen (Vorschau)

Dies kann dazu beitragen, dass Analysten und Ermittler Zeit für die Selektierung sparen, um mehrere Warnungen sofort gleichzeitig zu verwerfen. Mit der Befehlsleistenoption Warnungen schließen können Sie eine oder mehrere Warnungen mit der status "Überprüfung erforderlich" auf dem Dashboard auswählen und diese Warnungen im Selektierungsprozess schnell als unschädlich verwerfen. Sie können bis zu 400 Warnungen auswählen, die gleichzeitig geschlossen werden sollen.

Verwerfen einer Insider-Risikowarnung

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Warnungen aus.
  4. Wählen Sie im Dashboard Warnungen die Warnung (oder Warnungen) aus, für die die status "Überprüfung erforderlich" vorhanden ist.
  5. Wählen Sie auf der Befehlsleiste Warnungen die Option Warnungen schließen aus.
  6. Überprüfen Sie im Detailbereich Warnungen schließen die Benutzer- und Richtliniendetails, die den ausgewählten Warnungen zugeordnet sind.
  7. Wählen Sie Warnungen schließen aus, um die Warnungen als gutartig aufzulösen.

Berichte für Warnungen

Um Berichte für Warnungen anzuzeigen, wechseln Sie zur Seite Berichte . Jedes Berichtswidget auf der Seite Berichte zeigt Informationen für die letzten 30 Tage an:

  • Gesamtanzahl von Warnungen, die überprüft werden müssen: Die Gesamtzahl der Warnungen, die überprüft und selektiert werden müssen, werden aufgeführt, einschließlich einer Aufschlüsselung nach Warnungsschweregrad.
  • Öffnen von Warnungen in den letzten 30 Tagen: Die Gesamtanzahl der von der Richtlinie erstellten Warnungen stimmt in den letzten 30 Tagen überein, sortiert nach hohen, mittleren und niedrigen Warnungsschweregraden.
  • Durchschnittliche Zeit zum Auflösen von Warnungen: Eine Zusammenfassung nützlicher Warnungsstatistiken:
    • Durchschnittliche Zeit zur Behebung von Warnungen höheren Schweregrades, angegeben in Stunden, Tagen oder Monaten.
    • Durchschnittliche Zeit bis zur Behebung von Warnungen mittleren Schweregrades, angegeben in Stunden, Tagen oder Monaten.
    • Durchschnittliche Zeit bis zur Behebung von Warnungen niedrigen Schweregrades, angegeben in Stunden, Tagen oder Monaten.

Zuweisen einer Warnung

Wenn Sie Ein Administrator sind und Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagementanalysten oder Insider-Risikomanagement-Ermittler sind, können Sie den Besitz einer Warnung sich selbst oder einem Insider-Risikomanagementbenutzer mit einer der gleichen Rollen zuweisen. Nachdem eine Warnung zugewiesen wurde, können Sie sie auch einem Benutzer mit einer der gleichen Rollen zuweisen. Sie können eine Warnung jeweils nur einem Administrator zuweisen.

Hinweis

Wenn Ihre Richtlinien auf eine oder mehrere Verwaltungseinheiten beschränkt sind, kann der Besitz einer Warnung nur Insider-Risikomanagementbenutzern mit den entsprechenden Rollengruppenberechtigungen übertragen werden, und der in der Warnung hervorgehobene Benutzer muss sich im Bereich der Administratoreinheit befinden. Wenn beispielsweise ein Verwaltungsbereich nur für Benutzer in Deutschland gilt, kann der Insider-Risikomanagement-Benutzer nur Warnungen für Benutzer in Deutschland sehen. Uneingeschränkte Administratoren können alle Warnungen für alle Benutzer im organization anzeigen.

Nachdem ein Administrator zugewiesen wurde, können Sie nach Administrator suchen.

Hinweis

Administratoren, die in einer Microsoft Entra Sicherheitsgruppe enthalten sind, werden für die Zuweisung von Warnungen nicht unterstützt. Administratoren müssen direkt einer der erforderlichen Rollen zugewiesen werden.

Wenn Sie eine benutzerdefinierte Gruppe verwenden, stellen Sie sicher, dass die benutzerdefinierte Gruppe die Rolle Fallverwaltung enthält. Die Rollengruppen Insider Risk Management Analysts und Insider Risk Management Investigators enthalten beide die Rolle "Fallverwaltung ". Wenn Sie jedoch eine benutzerdefinierte Gruppe verwenden, müssen Sie der Gruppe explizit die Rolle "Fallverwaltung " hinzufügen.

Zuweisen einer Warnung aus dem Dashboard

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Warnungen aus.
  4. Wählen Sie im Dashboard Warnungen die Warnungen aus, die Sie zuweisen möchten.
  5. Wählen Sie in der Befehlsleiste oberhalb der Warnungswarteschlange die Option Zuweisen aus.
  6. Suchen Sie im Bereich Besitzer zuweisen auf der rechten Seite des Bildschirms nach einem Administrator mit den entsprechenden Berechtigungen, und aktivieren Sie dann das Kontrollkästchen für diesen Administrator.
  7. Wählen Sie Zuweisen aus.

Zuweisen einer Warnung über die Detailseite "Warnungen"

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Warnungen aus.
  4. Wählen Sie eine Warnung aus.
  5. Wählen Sie im Detailbereich für die Warnung in der oberen rechten Ecke der Seite die Option Zuweisen aus.
  6. Wählen Sie in der Liste Vorgeschlagene Kontakte den entsprechenden Administrator aus.

Erstellen eines Falls für eine Warnung

Sie können einen Fall für eine Warnung erstellen, wenn Sie potenziell riskante Aktivitäten weiter untersuchen möchten.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Warnungen aus.
  4. Wählen Sie im Dashboard Warnungen die Warnung aus, für die Sie bestätigen möchten, und erstellen Sie einen neuen Fall.
  5. Wählen Sie im Bereich Warnungsdetailsdie Option Aktionen>Warnungen bestätigen & Fall erstellen aus.
  6. Geben Sie im Dialogfeld Warnung bestätigen und Insider-Risikofall erstellen einen Namen für den Fall ein, wählen Sie Benutzer aus, die als Mitwirkende hinzugefügt werden sollen, und fügen Sie ggf. Kommentare hinzu. Kommentare werden dem Fall automatisch als Fallhinweis hinzugefügt.
  7. Wählen Sie Fall erstellen aus, um einen neuen Fall zu erstellen.

Nachdem der Fall erstellt wurde, können Ermittler und Analysten den Fall verwalten und darauf reagieren. Weitere Informationen finden Sie im Artikel Zum Insider-Risikomanagement .

Aufbewahrungs- und Elementbeschränkungen

Mit zunehmendem Alter von Warnungen des Insider-Risikomanagements nimmt ihr Wert zur Minimierung potenziell riskanter Aktivitäten für die meisten Organisationen ab. Umgekehrt sind aktive Fälle und zugehörige Artefakte (Warnungen, Erkenntnisse, Aktivitäten) für Organisationen immer wertvoll und sollten kein automatisches Ablaufdatum aufweisen. Dies schließt alle zukünftigen Warnungen und Artefakte in einer aktiven status für jeden Benutzer ein, der einem aktiven Fall zugeordnet ist.

Um die Anzahl älterer Elemente zu minimieren, die einen begrenzten aktuellen Wert bieten, gelten die folgenden Aufbewahrungs- und Grenzwerte für Insider-Risikomanagementwarnungen, -Fälle und Benutzerberichte:

Item Aufbewahrung/Grenzwert
Warnungen mit status 120 Tage nach erstellung der Warnung und dann automatisch gelöscht
Aktive Fälle (und zugehörige Artefakte) Unbegrenzte Aufbewahrung, läuft nie ab
Behobene Fälle (und zugehörige Artefakte) 120 Tage nach der Lösung des Falls, dann automatisch gelöscht
Maximale Anzahl aktiver Fälle 100
Berichte zu Benutzeraktivitäten 120 Tage nach erstellung des Berichts und dann automatisch gelöscht

Bewährte Methoden für die Verwaltung Ihres Benachrichtigungsvolumens

Das Überprüfen, Untersuchen und Reagieren auf potenziell riskante Insider-Warnungen sind wichtige Teile der Minimierung von Insider-Risiken in Ihrem organization. Wenn Sie schnell Maßnahmen ergreifen, um die Auswirkungen dieser Risiken zu minimieren, können Sie möglicherweise Zeit, Geld und regulatorische oder rechtliche Auswirkungen für Ihre organization sparen. Erfahren Sie mehr über bewährte Methoden für die Verwaltung Ihrer Warteschlange für Insider-Risikomanagementwarnungen.

Siehe auch