Freigeben über


Überprüfen von Aktivitäten mit dem Insider-Risikomanagement-Überwachungsprotokoll

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insider-Risiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Das Überwachungsprotokoll für das Insider-Risikomanagement ermöglicht Es Ihnen, über die Maßnahmen im Rahmen der Insider-Risikomanagementfunktionen auf dem Laufenden zu bleiben. Dieses Protokoll ermöglicht eine unabhängige Überprüfung der Aktionen von Benutzern, die einer oder mehreren Rollengruppen für das Insider-Risikomanagement zugewiesen sind. Das Insider-Risikomanagement-Überwachungsprotokoll wird in Ihrer Organisation automatisch aktiviert und kann nicht deaktiviert werden.

Insider-Risikomanagement-Überwachungsprotokoll.

Das Überwachungsprotokoll wird automatisch und sofort aktualisiert, wenn erkannte Risikoaktivitäten auftreten. Das Überwachungsprotokoll speichert Informationen für 180 Tage (etwa sechs Monate). Nach 180 Tagen werden Daten endgültig aus dem Protokoll gelöscht.

Zu den Bereichen in der Erkennung von Risikoaktivitäten gehören:

  • Richtlinien
  • Etuis
  • Warnungen
  • Einstellungen
  • Benutzer
  • Benachrichtigungsvorlagen

Zum Anzeigen und Exportieren von Daten aus dem Überwachungsprotokoll müssen Benutzer den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagementprüfer zugewiesen werden. Weitere Informationen zu Insider-Risikomanagement-Rollengruppen finden Sie unter Erste Schritte mit dem Insider-Risikomanagement Schritt 1: Aktivieren von Berechtigungen.

Hinweis

Das Insider-Risikomanagement-Überwachungsprotokoll ist nicht dem Microsoft 365-Überwachungsprotokoll zugeordnet, da es sich um unabhängige Überwachungssysteme handelt, die Informationen zu separaten Bereichen erfassen. Das Deaktivieren der Microsoft 365-Überwachung wirkt sich nicht auf die Aktivitätsüberwachung im Insider-Risikomanagement aus.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Anzeigen der Aktivität im Überwachungsprotokoll für Insider-Risiken

Um die für das Insider-Risikomanagement erkannten Featureaktivitäten anzuzeigen, navigieren Sie zu , und wählen Sie den Link Insider-Risikoüberwachungsprotokoll im oberen rechten Bereich einer beliebigen Registerkarte für Insider-Risikomanagement aus. Standardmäßig werden die folgenden Informationen für Insider-Risikomanagementaktivitäten angezeigt:

  • Aktivität: Eine Beschreibung der identifizierten Risikoaktivität, die von einem Benutzer innerhalb der Insider-Risikomanagementlösung durchgeführt wird.
  • Kategorie: Der Bereich oder das Element, in dem die identifizierte Risikoaktivität ausgeführt wurde. Beispielsweise wird Richtlinien als Kategorie angezeigt, wenn Richtlinienänderungsaktivitäten ausgeführt wurden.
  • Aktivität durchgeführt von: Der Benutzername des Benutzers, der die identifizierte Risikoaktivität ausgeführt hat.
  • Datum: Das Datum und die Uhrzeit der Ausführung der identifizierten Risikoaktivität. Datum und Uhrzeit sind das lokale Datum und die lokale Uhrzeit für Ihre Organisation.

Wenn Sie weitere Informationen zu einer protokollierten Aktivität erhalten möchten, wählen Sie die Aktivität aus, um den Bereich mit den Aktivitätsdetails anzuzeigen. Dieser Bereich enthält zusätzliche Informationen zur identifizierten Risikoaktivität.

Spalten und Filtern

Um Prüfern die Überprüfung von Überwachungsprotokollen zu erleichtern, wird das Filtern im Insider-Risikoüberwachungsprotokoll unterstützt. Für die grundlegende Filterung können Warteschlangenspalten der Ansicht hinzugefügt werden, um unterschiedliche Pivots für die Dateien und Nachrichten bereitzustellen. Sie können identifizierte Risikoaktivitäten nach den Feldern Kategorie, Datumsbereich und Aktivität nach Feldern filtern.

Um Spaltenüberschriften für die Warteschlange hinzuzufügen oder zu entfernen, verwenden Sie das Steuerelement Spalten anpassen , und wählen Sie aus den Spaltenoptionen aus. Diese Spalten entsprechen allgemeinen Bedingungen, die im Insider-Risikoüberwachungsprotokoll unterstützt werden, und werden weiter unten in diesem Artikel aufgeführt.

Export des Überwachungsprotokolls

Benutzer, die den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagementprüfer zugewiesen sind, können Überwachungsprotokollaktivitäten in eine .csv-Datei (durch Trennzeichen getrennte Werte) exportieren, indem sie auf der Seite Insider-Risikoüberwachungsprotokolldie Option Exportieren auswählen. Abhängig von der Überwachungsprotokollaktivität sind einige Felder möglicherweise nicht in der gefilterten Warteschlange enthalten, und daher werden diese Felder in der exportierten Datei als leer angezeigt.

Die Datei enthält Überwachungsprotokollaktivitätsinformationen für die folgenden Felder:

  • Aktivität durchgeführt von: Der Name des Benutzers, der einen Elementwert ändert. Die hier aufgeführten Benutzer wurden einer oder mehreren der folgenden Rollengruppen für das Insider-Risikomanagement zugewiesen: Insider-Risikomanagement, Insider-Risikomanagement-Administratoren, Insider-Risikomanagement-Analysten, Insider-Risikomanagement-Ermittler. Jede Rollengruppe verfügt über unterschiedliche Berechtigungsstufen für die Verwaltung von Insider-Risikofeatures.
  • Aktivität: Typ der Aktivität, die für ein Element ausgeführt wird. Die Werte sind "Angezeigt", "Gelöscht", "Hinzugefügt", "Richtlinie bearbeitet", "Groß-/Kleinschreibung", "Benutzer", "Warnung" und "Einstellungen".
  • Hinzugefügt: Objekte, die während der identifizierten Risikoaktivität hinzugefügt wurden, z. B. Benutzer, Dateitypen oder Domänen.
  • Warnungsvolumen: In den Einstellungen für das Insider-Risikomanagement definierte Warnungsvolumen.
  • Betrag: Aktuell ausgewählte benutzerdefinierte Indikatorbeträge für eine Richtlinie.
  • Ressourcen-ID: Asset-ID der prioritätsbasierten physischen Ressource, für die die Aktivität ausgeführt wurde.
  • Kategorie: Kategorie des geänderten Elements. Die Werte sind Richtlinien, Fälle, Benutzer, Warnungen, Einstellungen und Benachrichtigungsvorlagen.
  • Datum: Datum und Uhrzeit, die im lokalen Datum und der lokalen Uhrzeit Ihrer Organisation aufgeführt sind.
  • Beschreibung: Beschreibungseingabe des Benutzers für das Objekt, auf das gehandelt wird (z. B. eine Richtlinie oder eine Prioritätsbenutzergruppe).
  • DLP-Richtlinie: Die Microsoft Purview-Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist ausgewählt, um die Aufnahme in eine Insider-Risikomanagementrichtlinie auszulösen.
  • Indikator: Indikator in den Insider-Risikoeinstellungen, für die die Aktivität ausgeführt wurde (z. B. Hinzufügen oder Entfernen eines Indikators).
  • Hinweisvorlage: Beachten Sie die Vorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
  • Anzahl der Tage: Fenster zur Richtlinienaktivierung, das in den Insider-Risikoeinstellungen definiert ist.
  • Anzahl von Dateien: In den Einstellungen für das Insider-Risikomanagement definierte Dateivolumenlimit.
  • Richtlinienvorlage: Die Richtlinienvorlage, auf die die Indikatoren reagiert haben, gehört.
  • Vorheriger Betrag: Zuvor ausgewählte benutzerdefinierte Indikatorbeträge für eine Richtlinie.
  • Prioritätsbenutzergruppe: Prioritätsbenutzergruppe, für die die identifizierte Risikoaktivität ausgeführt wurde.
  • Entfernt: Objekte, die während der identifizierten Risikoaktivität entfernt wurden, z. B. Benutzer, Dateitypen oder Domänen.
  • Absender: Absenderfeld der Benachrichtigungsvorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
  • Zielrichtlinie: Die Richtlinie, für die die identifizierte Risikoaktivität ausgeführt wurde (z. B. Hinzufügen eines Benutzers zu oder Entfernen eines Benutzers aus).
  • Vorlagennachrichtentext: Der Nachrichtentext der Benachrichtigungsvorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
  • Vorlagenthema: Das Betrefffeld der Benachrichtigungsvorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
  • Benutzer: Benutzer, für den die identifizierte Risikoaktivität ausgeführt wurde.