Erstellen und Verwalten von Insider-Risikomanagementrichtlinien

  • Artikel

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenziell schädliche oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Insider-Risikomanagement-Richtlinien legen fest, welche Benutzer in den Geltungsbereich fallen und welche Arten von Risikoindikatoren für Warnmeldungen konfiguriert werden. Sie können schnell eine Sicherheitsrichtlinie erstellen, die für alle Benutzer in Ihrem organization gilt, oder einzelne Benutzer oder Gruppen für die Verwaltung in einer Richtlinie definieren. Richtlinien unterstützen Inhaltsprioritäten, um Richtlinienbedingungen auf mehrere oder bestimmte Microsoft-Teams, SharePoint-Sites, Vertraulichkeitstypen von Daten und Datenbezeichnungen zu konzentrieren. Mithilfe von Vorlagen können Sie bestimmte Risikoindikatoren auswählen und Ereignisschwellenwerte für Richtlinienindikatoren anpassen und so die Risikobewertungen sowie die Stufe und Häufigkeit von Warnungen effektiv anpassen.

Sie können auch Richtlinien für schnelles Datenleck und Datendiebstahl konfigurieren, indem Sie Benutzerrichtlinien verlassen, die automatisch Richtlinienbedingungen basierend auf den Ergebnissen der neuesten Analysen definieren. Außerdem helfen Risikobewertungs-Booster und Anomalieerkennungen dabei, potenziell riskante Benutzeraktivitäten zu identifizieren, die von höherer Oder ungewöhnlicher Bedeutung sind. Mit Richtlinienfenstern können Sie den Zeitrahmen definieren, in dem die Richtlinie auf Warnungsaktivitäten angewendet wird, und sie werden verwendet, um die Dauer der Richtlinie ab der Aktivierung zu bestimmen.

Sehen Sie sich das Video zur Konfiguration von Insider-Risikomanagementrichtlinien an, um einen Überblick darüber zu erhalten, wie Richtlinien, die mit integrierten Richtlinienvorlagen erstellt wurden, Ihnen helfen können, schnell auf potenzielle Risiken zu reagieren.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Richtlinien-Dashboard

Mit dem Richtlinien-Dashboard können Sie schnell die Richtlinien in Ihrem organization, die Integrität der Richtlinie anzeigen, Benutzer manuell zu Sicherheitsrichtlinien hinzufügen und die status von Warnungen anzeigen, die den einzelnen Richtlinien zugeordnet sind.

  • Richtlinienname: Name, der der Richtlinie im Richtlinien-Assistenten zugewiesen ist.
  • Status: Integrität status für jede Richtlinie. Zeigt die Anzahl der Richtlinienwarnungen und Empfehlungen oder den Status Fehlerfrei für Richtlinien ohne Probleme an. Sie können die Richtlinie auswählen, um die Integritäts- status Details für Warnungen oder Empfehlungen anzuzeigen.
  • Aktive Warnungen: Anzahl der aktiven Warnungen für jede Richtlinie.
  • Bestätigte Warnungen: Die Gesamtanzahl der Warnungen, die in den letzten 365 Tagen zu Fällen aus der Richtlinie geführt haben.
  • Für Warnungen ausgeführte Aktionen: Die Gesamtanzahl der Warnungen, die in den letzten 365 Tagen bestätigt oder verworfen wurden.
  • Effektivität von Richtlinienwarnungen: Prozentsatz, der durch die Gesamtzahl bestätigter Warnungen dividiert durch die Gesamtzahl der für Warnungen durchgeführten Aktionen bestimmt wird (dies ist die Summe der Warnungen, die im letzten Jahr bestätigt oder verworfen wurden).

Insider-Risikomanagement-Richtlinien-Dashboard

Richtlinienempfehlungen aus Analysen

Insider-Risikoanalysen geben Ihnen eine aggregierte Übersicht über anonymisierte Benutzeraktivitäten im Zusammenhang mit Sicherheit und Compliance, sodass Sie potenzielle Insider-Risiken in Ihrem organization bewerten können, ohne Insider-Risikorichtlinien zu konfigurieren. Diese Auswertung kann Ihnen dabei helfen, organization potenzielle Bereiche mit höherem Risiko zu identifizieren und die Art und den Umfang der Richtlinien für das Insider-Risikomanagement zu bestimmen, die Sie ggf. konfigurieren möchten. Wenn Sie sich entschließen, auf Analysescanergebnisse für Datenlecks oder Datendiebstahl durch ausscheidende Benutzerrichtlinien zu reagieren, haben Sie sogar die Möglichkeit, eine schnelle Richtlinie basierend auf diesen Ergebnissen zu konfigurieren.

Weitere Informationen zu Insider-Risikoanalysen und Richtlinienempfehlungen finden Sie unter Insider-Risikomanagementeinstellungen: Analysen.

Für viele Organisationen kann der Einstieg in eine anfängliche Richtlinie eine Herausforderung darstellen. Wenn Sie noch keine Erfahrung mit insider-Risikomanagement haben und die empfohlenen Aktionen für den Einstieg verwenden, können Sie eine schnelle Richtlinie konfigurieren, um die Richtlinie Allgemeine Datenlecks oder Datendiebstahl durch ausscheidende Benutzer zu beschleunigen. Schnelle Richtlinieneinstellungen werden automatisch basierend auf den Ergebnissen der letzten Analyseüberprüfung in Ihrem organization aufgefüllt. Wenn bei der Überprüfung z. B. potenzielle Datenleckaktivitäten erkannt wurden, enthält die Schnellrichtlinie die Indikatoren, die zum Erkennen dieser Aktivitäten verwendet werden.

Überprüfen Sie zunächst die Schnellrichtlinieneinstellungen, und konfigurieren Sie die Richtlinie mit einer einzelnen Auswahl. Wenn Sie eine Schnellrichtlinie anpassen müssen, können Sie die Bedingungen während der Erstkonfiguration oder nach der Erstellung der Richtlinie ändern. Außerdem können Sie mit den Erkennungsergebnissen für eine schnelle Richtlinie auf dem Laufenden bleiben, indem Sie E-Mail-Benachrichtigungen jedes Mal konfigurieren, wenn sie eine Richtlinienwarnung erhalten oder jedes Mal, wenn die Richtlinie eine Warnung mit hohem Schweregrad generiert.

Priorisieren von Inhalten in Richtlinien

Insider-Risikomanagementrichtlinien unterstützen die Angabe einer höheren Priorität für Inhalte, je nachdem, wo sie gespeichert werden, vom Inhaltstyp oder von ihrer Klassifizierung. Sie können auch auswählen, ob Risikobewertungen allen Aktivitäten zugewiesen werden sollen, die von einer Richtlinie erkannt wurden, oder nur Aktivitäten, die Prioritätsinhalte enthalten. Durch Angeben von Inhalten als Priorität wird die Risikobewertung für jede zugeordnete Aktivität erhöht, wodurch wiederum die Wahrscheinlichkeit steigt, eine Warnung mit hohem Schweregrad zu generieren. Bei einigen Aktivitäten wird jedoch überhaupt keine Warnung generiert, es sei denn, der relevante Inhalt enthält integrierte oder benutzerdefinierte Typen vertraulicher Informationen oder wurde in der Richtlinie als Priorität festgelegt.

Angenommen, Ihre Organisation besitzt eine dedizierte SharePoint-Site für ein hochgradig vertrauliches Projekt. Datenlecks mit Informationen auf dieser SharePoint-Site könnten das Projekt kompromittieren und hätten erheblichen Einfluss auf den Projekterfolg. Durch Priorisierung dieser SharePoint-Site in einer Datenleckrichtlinie werden die Risikobewertungen für qualifizierende Aktivitäten automatisch erhöht. Diese Priorisierung erhöht die Wahrscheinlichkeit, dass diese Aktivitäten eine Insider-Risikowarnung generieren, und erhöht den Schweregrad der Warnung.

Darüber hinaus können Sie diese Richtlinie für SharePoint-Websiteaktivitäten konzentrieren, die nur Prioritätsinhalte für dieses Projekt enthalten. Risikobewertungen werden zugewiesen, und Warnungen werden nur generiert, wenn bestimmte Aktivitäten Prioritätsinhalte enthalten. Aktivitäten ohne Prioritätsinhalte werden nicht bewertet, aber Sie können sie weiterhin überprüfen, wenn eine Warnung generiert wird.

Hinweis

Wenn Sie eine Richtlinie so konfigurieren, dass nur Warnungen für Aktivitäten generiert werden, die Prioritätsinhalte enthalten, werden keine Änderungen an Risikobewertungs-Boostern angewendet.

Wenn Sie im Richtlinien-Assistenten eine Insider-Risikomanagement-Richtlinie erstellen, stehen Ihnen die folgenden Prioritäten zur Auswahl:

  • SharePoint-Sites: Jede Aktivität, die mit allen Dateitypen auf definierten SharePoint-Sites verknüpft ist, erhält eine höhere Risikobewertung. Benutzer, die die Richtlinie konfigurieren und prioritätsbasierte SharePoint-Websites auswählen, können SharePoint-Websites auswählen, für die sie über Zugriffsberechtigungen verfügen. Wenn SharePoint-Websites nicht für die Auswahl in der Richtlinie durch den aktuellen Benutzer verfügbar sind, kann ein anderer Benutzer mit den erforderlichen Berechtigungen später die Websites für die Richtlinie auswählen, oder der aktuelle Benutzer sollte Zugriff auf die erforderlichen Websites erhalten.
  • Typen vertraulicher Informationen: Jegliche Aktivität, die mit Inhalten verknüpft ist, die Typen vertraulicher Informationen enthalten, erhält eine höhere Risikobewertung.
  • Vertraulichkeitsbezeichnungen: Jegliche Aktivität, die mit Inhalten in Zusammenhang steht, auf die spezielle Vertraulichkeitsbezeichnungen angewendet wurden, erhält eine höhere Risikobewertung.
  • Dateierweiterungen: Jede Aktivität, die Inhalten zugeordnet ist, die bestimmte Dateierweiterungen aufweisen. Benutzer, die eine Richtlinie für Datendiebstahl/Datenlecks konfigurieren, die Dateierweiterungen zur Priorisierung im Richtlinien-Assistenten auswählt, können bis zu 50 Dateierweiterungen definieren, die in der Richtlinie priorisiert werden sollen. Eingegebene Erweiterungen können ein "." als erstes Zeichen der priorisierten Erweiterung enthalten oder weglassen.
  • Trainierbare Klassifizierer: Jede Aktivität, die inhalten zugeordnet ist, die in einem trainierbaren Klassifizierer enthalten sind. Benutzer, die eine Richtlinie konfigurieren, die trainierbare Klassifizierer im Richtlinien-Assistenten auswählt, können bis zu 5 trainierbare Klassifizierer auswählen, die auf die Richtlinie angewendet werden sollen. Bei diesen Klassifizierern kann es sich um vorhandene Klassifizierer handeln, die Muster vertraulicher Informationen wie Sozialversicherung, Kredit- Karte oder Bankkontonummern oder benutzerdefinierte Klassifizierer identifizieren, die in Ihrem organization erstellt wurden.

Sequenzerkennung (Vorschau)

Risikomanagementaktivitäten können nicht als isolierte Ereignisse auftreten. Diese Risiken sind häufig Teil einer größeren Ereignissequenz. Eine Sequenz ist eine Gruppe von zwei oder mehr potenziell riskanten Aktivitäten, die nacheinander ausgeführt werden und auf ein erhöhtes Risiko hindeuten können. Die Identifizierung dieser zugehörigen Benutzeraktivitäten ist ein wichtiger Bestandteil der Bewertung des Gesamtrisikos. Wenn die Sequenzerkennung für Richtlinien für Datendiebstahl oder Datenlecks ausgewählt ist, werden Erkenntnisse aus Sequenzinformationsaktivitäten in einem Insider-Risikomanagementfall auf der Registerkarte Benutzeraktivität angezeigt. Die folgenden Richtlinienvorlagen unterstützen Sequenzerkennung:

  • Datendiebstahl durch ausscheidende Benutzer
  • Datenlecks
  • Datenlecks durch prioritäre Benutzer
  • Datenlecks durch riskante Benutzer

Diese Insider-Risikomanagement-Richtlinien können bestimmte Indikatoren und die Reihenfolge, in der sie auftreten, verwenden, um jeden Schritt in einer Risikosequenz zu erkennen. Für Richtlinien, die aus den Vorlagen Datenlecks und Datenlecks nach Prioritätsbenutzern erstellt wurden, können Sie auch auswählen, welche Sequenzen die Richtlinie auslösen. Beim Zuordnen von Aktivitäten über eine Sequenz hinweg werden Dateinamen verwendet. Diese Risiken sind in vier Hauptkategorien von Aktivitäten unterteilt:

  • Sammlung: Erkennt Downloadaktivitäten von Richtlinienbenutzern im Gültigkeitsbereich. Beispiele für Risikomanagementaktivitäten sind das Herunterladen von Dateien von SharePoint-Websites, Clouddiensten von Drittanbietern, nicht zugelassenen Domänen oder das Verschieben von Dateien in einen komprimierten Ordner.
  • Exfiltration: Erkennt Freigabe- oder Extraktionsaktivitäten für interne und externe Quellen durch Richtlinienbenutzer im Gültigkeitsbereich. Ein Beispiel für eine Risikomanagementaktivität ist das Senden von E-Mails mit Anlagen von Ihrem organization an externe Empfänger.
  • Obfuskation: Erkennt die Maskierung potenziell riskanter Aktivitäten durch Benutzer im Bereich der Richtlinie. Ein Beispiel für eine Risikomanagementaktivität umfasst das Umbenennen von Dateien auf einem Gerät.
  • Bereinigung: Erkennt Löschaktivitäten von Benutzern im Bereich der Richtlinie. Ein Beispiel für eine Risikomanagementaktivität umfasst das Löschen von Dateien von einem Gerät.

Hinweis

Die Sequenzerkennung verwendet Indikatoren, die in den globalen Einstellungen für das Insider-Risikomanagement aktiviert sind. Wenn keine entsprechenden Indikatoren ausgewählt sind, können Sie diese Indikatoren im Schritt zur Sequenzerkennung im Richtlinien-Assistenten aktivieren.

Sie können einzelne Schwellenwerteinstellungen für jeden Sequenzerkennungstyp anpassen, wenn dieser in der Richtlinie konfiguriert ist. Diese Schwellenwerteinstellungen passen Warnungen basierend auf der Menge der Dateien an, die dem Sequenztyp zugeordnet sind.

Weitere Informationen zur Verwaltung der Sequenzerkennung in der Ansicht Benutzeraktivität finden Sie unter Insider-Risikomanagementfälle: Benutzeraktivität.

Erkennung kumulativer Exfiltration (Vorschau)

Wenn der Datenschutz standardmäßig aktiviert ist, helfen Insider-Risikoindikatoren dabei, ungewöhnliche Risikoaktivitäten zu identifizieren, wenn sie täglich für Benutzer ausgewertet werden, die für Insider-Risikorichtlinien gelten. Die kumulative Exfiltrationserkennung verwendet Machine Learning-Modelle, um zu ermitteln, wann Exfiltrationsaktivitäten, die ein Benutzer über einen bestimmten Zeitraum ausführt, die normale Menge überschreiten, die von Benutzern in Ihrem organization in den letzten 30 Tagen über mehrere Exfiltrationsaktivitätstypen ausgeführt wurde. Wenn beispielsweise ein Benutzer im letzten Monat mehr Dateien freigegeben hat als die meisten Benutzer, wird diese Aktivität erkannt und als kumulative Exfiltrationsaktivität klassifiziert.

Insider-Risikomanagementanalysten und Prüfer können kumulative Erkenntnisse zur Exfiltrationserkennung verwenden, um Exfiltrationsaktivitäten zu identifizieren, die in der Regel keine Warnungen generieren, aber über dem liegen, was für ihre organization typisch ist. Einige Beispiele sind das langsame Exfiltrieren von Daten von Benutzern über einen Bestimmten Zeitraum von Tagen hinweg oder wenn Benutzer Daten wiederholt über mehrere Kanäle freigeben, mehr als üblich, um Daten für Ihre organization zu teilen oder mit ihren Peergruppen zu vergleichen.

Hinweis

Standardmäßig generiert die Kumulative Exfiltrationserkennung Risikobewertungen basierend auf der kumulativen Exfiltrationsaktivität eines Benutzers im Vergleich zu seinen organization Normen. Sie können die Optionen für die Kumulative Exfiltrationserkennung im Abschnitt Richtlinienindikatoren der Seite Insider-Risikomanagementeinstellungen aktivieren. Höhere Risikobewertungen werden kumulativen Exfiltrationsaktivitäten für SharePoint-Websites, Typen vertraulicher Informationen und Inhalte mit Vertraulichkeitsbezeichnungen zugewiesen, die als Prioritätsinhalt in einer Richtlinie konfiguriert sind, oder für Aktivitäten mit Bezeichnungen, die in Microsoft Purview Information Protection als hohe Priorität konfiguriert sind.

Die Erkennung kumulierter Exfiltration ist standardmäßig aktiviert, wenn die folgenden Richtlinienvorlagen verwendet werden:

  • Datendiebstahl durch ausscheidende Benutzer
  • Datenlecks
  • Datenlecks durch prioritäre Benutzer
  • Datenlecks durch riskante Benutzer

Peergruppen für die Erkennung der kumulativen Exfiltration

Das Insider-Risikomanagement identifiziert drei Arten von Peergruppen zum Analysieren von Exfiltrationsaktivitäten, die von Benutzern durchgeführt werden. Für Benutzer definierte Peergruppen basieren auf den folgenden Kriterien:

SharePoint-Websites: Das Insider-Risikomanagement identifiziert Peergruppen basierend auf Benutzern, die auf ähnliche SharePoint-Websites zugreifen.

Ähnliche organization: Benutzer mit Berichten und Teammitgliedern, die auf organization Hierarchie basieren. Diese Option erfordert, dass Ihr organization Azure Active Directory (Azure AD) verwendet, um organization Hierarchie zu verwalten.

Ähnliche Position: Benutzer mit einer Kombination aus organisationsbezogener Entfernung und ähnlichen Stellenbezeichnungen. Beispielsweise würde ein Benutzer mit einem Senior Sales Manager-Titel mit einer ähnlichen Rollenbezeichnung als Lead Sales Manager in derselben organization als ähnliche Position identifiziert werden. Diese Option erfordert, dass Ihr organization Azure AD verwendet, um organization Hierarchie, Rollenbezeichnungen und Stellenbezeichnungen zu verwalten. Wenn Sie Azure AD nicht für organization Struktur und Berufsbezeichnungen konfiguriert haben, identifiziert das Insider-Risikomanagement Peergruppen basierend auf gängigen SharePoint-Websites.

Wenn Sie die kumulative Exfiltrationserkennung aktivieren, stimmt Ihr organization der Freigabe von Azure AD-Daten für das Complianceportal zu, einschließlich organization Hierarchie und Stellenbezeichnungen. Wenn Ihr organization Azure AD nicht verwendet, um diese Informationen zu verwalten, ist die Erkennung möglicherweise weniger genau.

Hinweis

Die Erkennung kumulativer Exfiltration verwendet Exfiltrationsindikatoren, die in den globalen Einstellungen für das Insider-Risikomanagement aktiviert sind, sowie Exfiltrationsindikatoren, die in einer Richtlinie ausgewählt sind. Als solches wird die Erkennung kumulativer Exfiltration nur für die erforderlichen, ausgewählten Exfiltrationsindikatoren ausgewertet. Kumulative Exfiltrationsaktivitäten für Vertraulichkeitsbezeichnungen , die in Prioritätsinhalten konfiguriert sind, führen zu höheren Risikobewertungen.

Wenn die Erkennung kumulativer Exfiltration für Datendiebstahl- oder Datenleckrichtlinien aktiviert ist, werden Erkenntnisse aus kumulativen Exfiltrationsaktivitäten auf der Registerkarte Benutzeraktivität in einem Insider-Risikomanagementfall angezeigt. Weitere Informationen zur Verwaltung von Benutzeraktivitäten finden Sie unter Insider-Risikomanagementfälle: Benutzeraktivitäten.

Richtlinienintegrität

Der Richtlinienintegritätsstatus verschafft Ihnen Erkenntnisse über potenzielle Probleme mit Ihren Insider-Risikomanagement-Richtlinien. Die Spalte Status auf der Registerkarte Richtlinien kann Sie auf Richtlinienprobleme aufmerksam machen, die verhindern können, dass Benutzeraktivitäten gemeldet werden oder warum die Anzahl von Aktivitätswarnungen ungewöhnlich ist. Der Richtlinienintegritätsstatus kann auch bestätigen, dass die Richtlinie fehlerfrei ist und keine Maßnahmen oder Konfigurationsänderungen erforderlich sind.

Wenn es Probleme mit einer Richtlinie gibt, werden im Richtlinienintegritätsstatus Warnungen und Empfehlungen angezeigt, die Ihnen helfen sollen, Maßnahmen zur Lösung von Richtlinienproblemen zu ergreifen. Diese Benachrichtigungen können Ihnen bei der Behebung dieser Probleme helfen:

  • Richtlinien mit unvollständiger Konfiguration. Diese Probleme können fehlende Benutzer oder Gruppen in der Richtlinie oder andere unvollständige Richtlinienkonfigurationsschritte umfassen.
  • Richtlinien mit Problemen bei der Indikatorkonfiguration. Indikatoren sind ein wichtiger Bestandteil jeder Richtlinie. Wenn Indikatoren nicht konfiguriert sind, oder wenn zu wenige Indikatoren ausgewählt sind, wertet die Richtlinie riskante Aktivitäten möglicherweise nicht erwartungsgemäß aus.
  • Richtlinientrigger funktionieren nicht, oder Richtlinientriggeranforderungen sind nicht ordnungsgemäß konfiguriert. Die Richtlinienfunktionalität kann von anderen Diensten oder Konfigurationsanforderungen abhängig sein, um auslösende Ereignisse effektiv zu erkennen und so die Zuweisung von Risikobewertungen an Benutzer in der Richtlinie zu aktivieren. Diese Abhängigkeiten können Probleme mit der Connectorkonfiguration, mit der Warnungsfreigabe von Microsoft Defender für Endpunkte oder mit den Konfigurationseinstellungen von Richtlinien zur Verhinderung von Datenverlust umfassen.
  • Die Grenzwerte für die Lautstärke nähern sich oder überschreiten diese. Insider-Risikomanagement-Richtlinien verwenden zahlreiche Microsoft 365-Dienste und -Endpunkte, um Signale von Risikoaktivitäten zu aggregieren. Abhängig von der Anzahl der Benutzer in Ihren Richtlinien können Volumengrenzwerte die Identifizierung und Meldung von Risikoaktivitäten verzögern. Weitere Informationen zu diesen Grenzwerten finden Sie im Abschnitt „Grenzwerte für Richtlinienvorlagen“ in diesem Artikel.

Um die Integritäts-status für eine Richtlinie schnell anzuzeigen, navigieren Sie zur Registerkarte Richtlinie und zur Spalte Status. Hier werden die folgenden Richtlinienintegritätsoptionen status für jede Richtlinie angezeigt:

  • Fehlerfrei: Es wurden keine Probleme mit der Richtlinie identifiziert.
  • Empfehlungen: Ein Problem mit der Richtlinie, das verhindern kann, dass die Richtlinie wie erwartet funktioniert.
  • Warnungen: Ein Problem mit der Richtlinie, das verhindern kann, dass potenziell riskante Aktivitäten identifiziert werden.

Um weitere Details zu Empfehlungen oder Warnungen zu erhalten, wählen Sie eine Richtlinie auf der Registerkarte Richtlinie aus, um die Karte „Richtliniendetails“ zu öffnen. Weitere Informationen zu den Empfehlungen und Warnungen, einschließlich Anleitungen zur Behebung dieser Probleme, finden Sie im Abschnitt Benachrichtigungen der Details Karte.

Integrität der Insider-Risikomanagementrichtlinie.

Benachrichtigungen

In der folgenden Tabelle finden Sie weitere Informationen zu Empfehlungen und Warnungsbenachrichtigungen sowie zu den Maßnahmen, die Sie ergreifen können, um potenzielle Probleme zu beheben.

Benachrichtigungen Richtlinienvorlagen Ursachen/Korrekturversuch mit dieser Aktion
Die Richtlinie weist Aktivitäten keine Risikobewertungen zu. Alle Richtlinienvorlagen Möglicherweise möchten Sie ihren Richtlinienbereich überprüfen und die Ereigniskonfiguration auslösen, damit die Richtlinie Aktivitäten Risikobewertungen zuweisen kann.

1. Überprüfen Sie die Benutzer, die für die Richtlinie ausgewählt sind. Wenn Sie nur wenige Benutzer ausgewählt haben, sollten Sie weitere Benutzer auswählen.
2. Wenn Sie einen HR-Connector verwenden, überprüfen Sie, ob Ihr HR-Connector die richtigen Daten sendet.
3. Wenn Sie eine DLP-Richtlinie als auslösendes Ereignis verwenden, überprüfen Sie ihre DLP-Richtlinienkonfiguration, um sicherzustellen, dass sie für die Verwendung in dieser Richtlinie konfiguriert ist.
4. Überprüfen Sie für Richtlinien gegen Sicherheitsverletzungen die Microsoft Defender for Endpoint warnungstriage status, die unter Insider-Risikoeinstellungen > Intelligente Erkennungen ausgewählt wurde. Vergewissern Sie sich, dass der Warnungsfilter nicht zu eng gefasst ist.
Die Richtlinie hat noch keine Warnungen generiert. Alle Richtlinienvorlagen Möglicherweise möchten Sie Ihre Richtlinienkonfiguration überprüfen, damit Sie die relevanteste Bewertungsaktivität analysieren.

1. Vergewissern Sie sich, dass Sie Indikatoren ausgewählt haben, die Sie bewerten möchten. Je mehr Indikatoren ausgewählt sind, desto mehr Risikobewertungen werden zu Aktivitäten zugewiesen.
2. Überprüfen sie die Anpassung der Schwellenwerte für die Richtlinie. Wenn die ausgewählten Schwellenwerte nicht mit der Risikotoleranz Ihres organization übereinstimmen, passen Sie die Auswahl so an, dass Warnungen basierend auf Ihren bevorzugten Schwellenwerten erstellt werden.
3. Überprüfen Sie die für die Richtlinie ausgewählten Benutzer und Gruppen. Vergewissern Sie sich, dass Sie alle anwendbaren Benutzer und Gruppen ausgewählt haben.
4. Vergewissern Sie sich bei Richtlinien für Sicherheitsverstöße, dass Sie den Warnungsselektierungsstatus, den Sie für Microsoft Defender für Endpunkt-Warnungen bewerten möchten, in den Einstellungen unter „Intelligente Erkennungen“ ausgewählt haben.
In dieser Richtlinie sind keine Benutzer oder Gruppen enthalten. Alle Richtlinienvorlagen Der Richtlinie sind keine Benutzer oder Gruppen zugewiesen.

Bearbeiten Sie Ihre Richtlinie, und wählen Sie Benutzer oder Gruppen für die Richtlinie aus.
Für diese Richtlinie wurden keine Indikatoren ausgewählt. Alle Richtlinienvorlagen Für die Richtlinie wurden keine Indikatoren ausgewählt.

Bearbeiten Sie Ihre Richtlinie, und wählen Sie geeignete Richtlinienindikatoren für die Richtlinie aus.
Es sind keine Gruppen prioritärer Benutzer in dieser Richtlinie enthalten. – Datenlecks durch prioritäre Benutzer
– Verstöße gegen Sicherheitsrichtlinien durch prioritäre Benutzer		 Der Richtlinie sind keine Gruppen prioritärer Benutzer zugewiesen.

Konfigurieren Sie Gruppen prioritärer Benutzer in den Einstellungen für das Insider-Risikomanagement, und weisen Sie der Richtline Gruppen prioritärer Benutzer zu.
Für diese Richtlinie wurde kein auslösendes Ereignis ausgewählt. Alle Richtlinienvorlagen Für die Richtlinie ist kein auslösendes Ereignis konfiguriert.

Risikobewertungen werden Benutzeraktivitäten erst zugewiesen, wenn Sie die Richtlinie bearbeiten und ein auslösendes Ereignis auswählen.
Der HR-Connector ist nicht konfiguriert oder funktioniert nicht wie erwartet. – Datendiebstahl durch ausscheidende Benutzer
– Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
- Datenlecks durch riskante Benutzer
– Sicherheitsrichtlinienverstöße durch riskante Benutzer		 Es liegt ein Problem mit dem HR-Connector vor.

1. Wenn Sie einen HR-Connector verwenden, überprüfen Sie, ob Ihr HR-Connector die richtigen Daten sendet.

ODER

2. Wählen Sie das auslösende Ereignis „Azure AD-Konto gelöscht“ aus.
Es wurden noch keine Geräte integriert. – Datendiebstahl durch ausscheidende Benutzer
– Datenlecks
- Datenlecks durch riskante Benutzer
– Datenlecks durch prioritäre Benutzer		 Geräteindikatoren sind ausgewählt, aber es sind keine Geräte im Complianceportal integriert.

Überprüfen Sie, ob Geräte eingebunden sind und die Anforderungen erfüllen.
Der HR-Connector hat in letzter Zeit keine Daten hochgeladen. – Datendiebstahl durch ausscheidende Benutzer
– Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
- Datenlecks durch riskante Benutzer
– Sicherheitsrichtlinienverstöße durch riskante Benutzer		 Der HR-Connector hat in mehr als 7 Tagen keine Daten importiert.

Überprüfen Sie, ob Ihr HR-Connector richtig konfiguriert ist und Daten sendet.
Wir können die status Ihres HR-Connectors derzeit nicht überprüfen. Bitte überprüfen Sie dies später erneut. – Datendiebstahl durch ausscheidende Benutzer
– Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
- Datenlecks durch riskante Benutzer
– Sicherheitsrichtlinienverstöße durch riskante Benutzer		 Die Insider-Risikomanagementlösung kann den Status Ihres HR-Connectors nicht überprüfen.

Überprüfen Sie, ob Ihr HR-Connector richtig konfiguriert ist und Daten sendet, oder kehren Sie zurück, und überprüfen Sie den Richtlinienstatus.
Die DLP-Richtlinie ist nicht als auslösendes Ereignis ausgewählt. – Datenlecks
– Datenlecks durch prioritäre Benutzer		 Eine DLP-Richtlinie wurde nicht als auslösendes Ereignis ausgewählt, oder die ausgewählte DLP-Richtlinie wurde gelöscht.

Bearbeitung Sie die Richtlinie, und wählen Sie entweder eine aktive DLP-Richtlinie oder „Benutzer führt eine Exfiltrationsaktivität durch“ als auslösendes Ereignis in der Richtlinienkonfiguration aus.
Die in dieser Richtlinie verwendete DLP-Richtlinie ist deaktiviert. – Datenlecks
– Datenlecks durch prioritäre Benutzer		 Die in dieser Richtlinie verwendete DLP-Richtlinie ist deaktiviert.

1. Aktivieren Sie die DLP-Richtlinie, die dieser Richtlinie zugewiesen ist.

ODER

2. Bearbeitung Sie diese Richtlinie, und wählen Sie entweder eine neue DLP-Richtlinie oder „Benutzer führt eine Exfiltrationsaktivität durch“ als auslösendes Ereignis in der Richtlinienkonfiguration aus.
Die DLP-Richtlinie entspricht nicht den Anforderungen. – Datenlecks
– Datenlecks durch prioritäre Benutzer		 Als auslösende Ereignisse verwendete DLP-Richtlinien müssen zum Generieren von Warnungen mit hohem Schweregrad konfiguriert sein.

1. Bearbeiten Sie Ihre DLP-Richtlinie, um anwendbare Warnungen als Schweregrad „Hoch“ zuzuweisen.

ODER

2. Bearbeitung Sie diese Richtlinie, und wählen Sie Benutzer führt eine Exfiltrationsaktivität durch als auslösendes Ereignis aus.
Ihre Organisation besitzt kein Abonnement für Microsoft Defender für Endpunkt. – Sicherheitsrichtlinienverstöße
– Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
– Sicherheitsrichtlinienverstöße durch riskante Benutzer
– Verstöße gegen Sicherheitsrichtlinien durch prioritäre Benutzer		 Es wurde kein aktives Microsoft Defender für Endpunkt-Abonnement für Ihre Organisation gefunden.

Diese Richtlinien weisen Benutzeraktivitäten erst dann Risikobewertungen zu, wenn ein Microsoft Defender für Endpunkt-Abonnement hinzugefügt wurde.
Microsoft Defender for Endpoint Warnungen werden nicht für das Complianceportal freigegeben – Sicherheitsrichtlinienverstöße
– Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer
– Sicherheitsrichtlinienverstöße durch riskante Benutzer
– Verstöße gegen Sicherheitsrichtlinien durch prioritäre Benutzer		 Microsoft Defender for Endpoint Warnungen werden nicht für das Complianceportal freigegeben.

Konfigurieren Sie das Teilen von Microsoft Defender für Endpunkt-Warnungen.
Sie nähern sich dem maximalen Grenzwert für aktive Benutzerbewertungen für diese Richtlinienvorlage. Alle Richtlinienvorlagen Jede Richtlinienvorlage besitzt eine maximale Anzahl von im Umfang enthaltenen Benutzern. Informationen hierzu finden Sie in den Details im Abschnitt mit den Vorlagengrenzwerten.

Überprüfen Sie die Benutzer auf der Registerkarte Benutzer, und entfernen Sie alle Benutzer, die nicht mehr bewertet werden müssen.
Das auslösende Ereignis tritt für mehr als 15 % der Benutzer in dieser Richtlinie wiederholt auf. Alle Richtlinienvorlagen Passen Sie das auslösende Ereignis an, um zu verringern, wie oft Benutzer in den Richtlinienbereich gebracht werden.

Erstellen einer neuen Richtlinie

Zum Erstellen einer neuen Insider-Risikomanagementrichtlinie verwenden Sie im Allgemeinen den Richtlinien-Assistenten in der Insider-Risikomanagementlösung im Microsoft Purview-Complianceportal. Sie können auch schnelle Richtlinien für allgemeine Datenlecks und Datendiebstahl erstellen, indem Sie Benutzer ggf. von Analytics-Überprüfungen entfernen.

Führen Sie Schritt 6: Erstellen einer Insider-Risikomanagementrichtlinie aus, um neue Richtlinien für Insider-Risiken zu konfigurieren.

Aktualisieren einer Richtlinie

Zum Aktualisieren einer vorhandenen Insider-Risikomanagementrichtlinie verwenden Sie den Richtlinien-Assistenten in der Insider-Risikomanagementlösung im Microsoft Purview-Complianceportal.

Führen Sie die folgenden Schritte aus, um eine vorhandene Richtlinie zu verwalten:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Richtlinien aus.

  2. Wählen Sie im Richtlinien-Dashboard die Richtlinie aus, die verwaltet werden soll.

  3. Wählen Sie auf der Seite „Richtliniendetails“ die Option Richtlinie bearbeiten aus.

  4. Im Richtlinien-Assistenten können Sie Folgendes nicht bearbeiten:

    • Richtlinienvorlage: Die Vorlage, die verwendet wird, um die Typen von Risikoindikatoren zu definieren, die von der Richtlinie überprüft werden.
    • Name: Der Anzeigename für die Richtlinie.

  5. Aktualisieren Sie auf der Seite Name und Beschreibung die Beschreibung für die Richtlinie im Feld Beschreibung.

  6. Wählen Sie Weiter aus, um fortzufahren.

  7. Wählen Sie auf der Seite Benutzer und Gruppen die Option Alle Benutzer und Gruppen einschließen oder Bestimmte Benutzer und Gruppen einschließen aus, um zu definieren, welche Benutzer oder Gruppen in die Richtlinie einbezogen werden, oder wenn Sie eine auf prioritären Benutzern basierende Vorlage ausgewählt haben, wählen Sie Gruppen prioritärer Benutzer hinzufügen oder bearbeiten aus. Wenn Sie Alle Benutzer und Gruppen einschließen auswählen, wird nach Sicherheits- und Complianceereignissen für alle Benutzer und Gruppen in Ihrem organization gesucht, um mit dem Zuweisen von Risikobewertungen für die Richtlinie zu beginnen. Wenn Sie Bestimmte Benutzer und Gruppen einschließen auswählen, können Sie definieren, welche Benutzer und Gruppen der Richtlinie zugewiesen werden sollen. Gastbenutzerkonten werden nicht unterstützt.

    Hinweis

    Um echtzeitbasierte Analysen (Vorschau) für Schwellenwerteinstellungen für Indikatoren zu nutzen, müssen Sie ihre Richtlinie auf Alle Benutzer und Gruppen einschließen festlegen. Mithilfe von Echtzeitanalysen können Sie die Anzahl der Benutzer anzeigen, die potenziell mit einem bestimmten Satz von Richtlinienbedingungen in Echtzeit übereinstimmen können. Dies hilft Ihnen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, damit Sie nicht zu wenige oder zu viele Richtlinienwarnungen haben. Wenn Sie Ihre Richtlinie auf Alle Benutzer und Gruppen einschließen festlegen, bietet sie auch einen besseren allgemeinen Schutz für Den gesamten Mandanten. Weitere Informationen zur Echtzeitanalyse für Schwellenwerteinstellungen finden Sie unter Einstellungen auf Indikatorebene.

  8. Wählen Sie Weiter aus, um fortzufahren.

  9. Auf der Seite Zu priorisierende Inhalte können Sie (bei Bedarf) die zu priorisierenden Quellen zuweisen, wodurch sich die Wahrscheinlichkeit erhöht, dass eine Warnung mit hohem Schweregrad für diese Quellen generiert wird. Wählen Sie eine der folgenden Optionen aus:

    • Ich möchte Inhalte priorisieren. Wenn Sie diese Option auswählen, können Sie SharePoint-Websites, Vertraulichkeitsbezeichnungen, Typen vertraulicher Informationen und Inhaltstypen von Dateierweiterungen priorisieren. Wenn Sie diese Option auswählen, müssen Sie mindestens einen Inhaltstyp mit Priorität auswählen.

    • Ich möchte derzeit keine Prioritätsinhalte angeben. Wenn Sie diese Option auswählen, werden die Detailseiten für prioritätsbezogene Inhalte im Assistenten übersprungen.

  10. Wählen Sie Weiter aus, um fortzufahren.

  11. Wenn Sie im vorherigen Schritt Ich möchte Inhalte priorisieren ausgewählt haben, werden die Detailseiten für SharePoint-Websites, Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Dateierweiterungen und Bewertung angezeigt. Verwenden Sie diese Detailseiten, um sharePoint, vertrauliche Informationstypen, Vertraulichkeitsbezeichnungen und Dateierweiterungen zu definieren, die in der Richtlinie priorisiert werden sollen. Auf der Detailseite Bewertung können Sie die Richtlinie so festlegen, dass nur Prioritätsinhalten Risikobewertungen zugewiesen werden.

    • SharePoint-Websites: Wählen Sie SharePoint-Website hinzufügen und dann die SharePoint-Websites aus, die Sie priorisieren möchten. Beispiel: "group1@contoso.sharepoint.com/sites/group1".
    • Typ vertraulicher Informationen: Wählen Sie Typ vertraulicher Informationen hinzufügen und dann die Typen vertraulicher Informationen aus, die Sie priorisieren möchten. Beispiel: „US-Bankkontonummer“ oder „Kreditkartennummer“.
    • Vertraulichkeitsbezeichnungen: Wählen Sie Vertraulichkeitsbezeichnung hinzufügen und dann die Vertraulichkeitsbezeichnungen aus, die Sie priorisieren möchten. Beispiel: „Vertraulich“ oder „Geheim“.
    • Dateierweiterungen: Fügen Sie bis zu 50 Dateierweiterungen hinzu. Sie können "." mit der Dateierweiterung einschließen oder weglassen. Beispielsweise würden .py oder py Python-Dateien priorisieren.
    • Bewertung: Entscheiden Sie, ob Risikobewertungen allen Aktivitäten zugewiesen werden sollen, die von dieser Richtlinie erkannt werden, oder nur für Aktivitäten, die Prioritätsinhalte enthalten. Wählen Sie Get alerts for all activity (Warnungen für alle Aktivitäten abrufen ) oder Get alerts only for activity that includes priority content (Warnungen für alle Aktivitäten abrufen) aus.

  12. Wählen Sie Weiter aus, um fortzufahren.

  13. Wenn Sie die Vorlagen Allgemeine Datenlecks oder Datenlecks nach Prioritätsbenutzern ausgewählt haben, werden auf der Seite Trigger für diese Richtlinie Optionen für benutzerdefinierte Triggerereignisse und Richtlinienindikatoren angezeigt. Sie haben die Wahl, eine DLP-Richtlinie oder Indikatoren zum Auslösen von Ereignissen auszuwählen, die Benutzer, die der Richtlinie für die Aktivitätsbewertung zugewiesen sind, in den Gültigkeitsbereich bringen. Wenn Sie die Option Benutzer stimmt mit einem Ereignis zur Verhinderung von Datenverlust (DLP) ab, müssen Sie eine DLP-Richtlinie aus der Dropdownliste der DLP-Richtlinie auswählen, um auslösende Indikatoren für die DLP-Richtlinie für diese Insider-Risikomanagementrichtlinie zu aktivieren. Wenn Sie die Option Benutzer führt ein Ereignis zum Auslösen einer Exfiltrationsaktivität auswählt, müssen Sie mindestens einen der aufgeführten Indikatoren für das richtlinienauslösende Ereignis auswählen.

    Wichtig

    Wenn Sie einen aufgelisteten Indikator nicht auswählen können, liegt dies daran, dass er für Ihre organization nicht aktiviert ist. Um sie zur Auswahl und Zuweisung zur Richtlinie zur Verfügung zu stellen, aktivieren Sie die Indikatoren in Insider-Risikomanagement-Einstellungen>>Richtlinienindikatoren. Wenn Sie andere Richtlinienvorlagen ausgewählt haben, werden benutzerdefinierte auslösende Ereignisse nicht unterstützt. Die integrierten Richtlinienauslösungsereignisse gelten, und Sie fahren mit Schritt 23 fort, ohne Richtlinienattribute zu definieren.

  14. Wenn Sie die Vorlagen Data leaks by risky users (Datenlecks durch riskante Benutzer oder Sicherheitsrichtlinienverstöße durch riskante Benutzer ) ausgewählt haben, werden auf der Seite Trigger für diese Richtlinie Optionen für die Integration in Ereignisse für Kommunikationscompliance und HR-Datenconnector angezeigt. Sie haben die Wahl, Risikobewertungen zuzuweisen, wenn Benutzer Nachrichten senden, die potenziell bedrohliche, belästigende oder diskriminierende Sprache enthalten, oder Benutzer in den Richtlinienbereich zu bringen, nachdem riskante Benutzerereignisse in Ihrem Personalsystem gemeldet wurden. Wenn Sie die Option Risikotrigger aus Kommunikationscompliance (Vorschau) auswählen, können Sie die Standardrichtlinie für die Kommunikationskonformität übernehmen (automatisch erstellt), einen zuvor erstellten Richtlinienbereich für diesen Trigger auswählen oder eine andere bereichsbezogene Richtlinie erstellen. Wenn Sie HR-Datenconnectorereignisse auswählen, müssen Sie einen HR-Datenconnector für Ihre organization konfigurieren.

  15. Wählen Sie Weiter aus, um fortzufahren.

  16. Wenn Sie die Vorlagen Datenlecks oder Datenlecks nach Prioritätsbenutzern ausgewählt und die Option Benutzer führt eine Exfiltrationsaktivität und zugehörige Indikatoren aus, können Sie benutzerdefinierte oder Standardschwellenwerte für den ausgewählten Indikator auswählen, der Ereignisse auslöst. Wählen Sie entweder Standardschwellenwerte verwenden (empfohlen) oder Benutzerdefinierte Schwellenwerte für die auslösenden Ereignisse verwenden aus.

  17. Wählen Sie Weiter aus, um fortzufahren.

  18. Wenn Sie Benutzerdefinierte Schwellenwerte für die auslösenden Ereignisse verwenden ausgewählt haben, wählen Sie für jeden auslösenden Ereignisindikator, den Sie in Schritt 13 ausgewählt haben, die entsprechende Ebene aus, um die gewünschte Ebene von Aktivitätswarnungen zu generieren.

  19. Wählen Sie Weiter aus, um fortzufahren.

  20. Auf der Seite Richtlinienindikatoren werden die Indikatoren angezeigt, die Sie auf der SeiteIndikatoren für Insider-Risikoeinstellungen> als verfügbar definiert haben. Wählen Sie die Indikatoren aus, die Sie auf die Richtlinie anwenden möchten.

    Wichtig

    Wenn Indikatoren auf dieser Seite nicht ausgewählt werden können, müssen Sie die Indikatoren auswählen, die Sie für alle Richtlinien aktivieren möchten. Sie können die Schaltfläche Indikatoren aktivieren im Assistenten verwenden oder Indikatoren auf der Seite Insider-Risikomanagement>Einstellungen>Richtlinienindikatoren auswählen.

    Wenn Sie mindestens einen Office- oder Geräte-Indikator ausgewählt haben, wählen Sie die entsprechenden Risikobewertungsverstärker aus. Risikobewertungsverstärker sind nur auf ausgewählte Indikatoren anwendbar. Wenn Sie eine Datendiebstahl- oder Datenleck-Richtlinienvorlage ausgewählt haben, wählen Sie eine oder mehrere Sequenzerkennungsmethoden sowie eine Methode für die Erkennung kumulativer Exfiltration aus, die auf die Richtlinie angewendet werden sollen.

  21. Wählen Sie Weiter aus, um fortzufahren.

  22. Wählen Sie auf der Seite Entscheiden, ob Standard- oder benutzerdefinierte Indikatorschwellenwerte verwendet werden sollen , benutzerdefinierte oder Standardschwellenwerte für die ausgewählten Richtlinienindikatoren aus. Wählen Sie entweder Standardschwellenwerte für alle Indikatoren verwenden oder Benutzerdefinierte Schwellenwerte für die ausgewählten Richtlinienindikatoren angeben aus. Wenn Sie Benutzerdefinierte Schwellenwerte angeben ausgewählt haben, wählen Sie die entsprechende Ebene aus, um die gewünschte Ebene von Aktivitätswarnungen für jeden Richtlinienindikator zu generieren.

    Hinweis

    Wenn die Analyse aktiviert ist und Sie die Richtlinie auf alle Benutzer festgelegt haben, können Sie die Echtzeitanalysen nutzen, um Ihre Schwellenwerteinstellungen zu optimieren. Weitere Informationen zu Echtzeitanalysen für Schwellenwerteinstellungen für Indikatoren

  23. Wählen Sie Weiter aus, um fortzufahren.

  24. Überprüfen Sie auf der Seite Überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen zu Ihrer Auswahl. Wählen Sie Bearbeiten aus, um die Richtlinienwerte zu ändern, oder wählen Sie Absenden aus, um die Richtlinie zu erstellen und zu aktivieren.

Kopieren einer Richtlinie

Eventuell müssen Sie eine neue Richtlinie erstellen, die einer vorhandenen Richtlinie ähnelt, aber nur ein paar Konfigurationsänderungen benötigt. Statt eine vollständig neue Richtlinie zu erstellen, können Sie eine vorhandene Richtlinie kopieren und dann die Bereiche ändern, die in der neuen Richtlinie aktualisiert werden müssen.

Führen Sie die folgenden Schritte aus, um eine vorhandene Richtlinie zu kopieren:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Richtlinien aus.
  2. Wählen Sie im Richtlinien-Dashboard die Richtlinie aus, die kopiert werden soll.
  3. Wählen Sie auf der Seite „Richtliniendetails“ die Option „Kopieren“ aus.
  4. Benennen Sie im Richtlinien-Assistenten die neue Richtlinie, und aktualisieren Sie die Richtlinienkonfiguration nach Bedarf.

Sofortiges Starten der Bewertung von Benutzeraktivitäten

Es kann Szenarien geben, in denen Sie Mit der Zuweisung von Risikobewertungen zu Benutzern mit Insider-Risikorichtlinien außerhalb des Workflow zum Auslösen von Ereignissen des Insider-Risikomanagements beginnen müssen. Verwenden Sie Bewertungsaktivität starten für Benutzer auf der Registerkarte Richtlinien , um einen oder mehrere Insider-Risikorichtlinien für einen bestimmten Zeitraum manuell hinzuzufügen, um mit dem Zuweisen von Risikobewertungen zu ihren Aktivitäten zu beginnen und die Anforderung zu umgehen, dass ein Benutzer über einen auslösenden Indikator verfügt (z. B. eine DLP-Richtlinieneinstimmung oder ein Beschäftigungsenddatum aus dem HR Connector). Sie können auch einen Grund für das Hinzufügen des Benutzers zur Richtlinie hinzufügen, der in der Aktivitätszeitachse des Benutzers angezeigt wird. Benutzer, die den Richtlinien manuell hinzugefügt wurden, werden im Dashboard Benutzer angezeigt, und Warnungen werden erstellt, wenn die Aktivität die Schwellenwerte für Richtlinienwarnungen erfüllt. Sie können jederzeit bis zu 4.000 Benutzer im Bereich haben, die mithilfe der Funktion Bewertungsaktivität für Benutzer starten manuell hinzugefügt wurden.

Einige Szenarien, bei denen Sie eventuell sofort mit der Bewertung von Benutzeraktivitäten beginnen sollten:

  • Wenn Benutzer mit Risikobedenken identifiziert werden und Sie sofort damit beginnen möchten, ihrer Aktivität Risikobewertungen für eine oder mehrere Ihrer Richtlinien zuzuweisen.
  • Wenn es einen Incident gibt, bei dem Sie möglicherweise sofort mit der Zuweisung von Risikobewertungen zu den Aktivitäten der betroffenen Benutzer für eine oder mehrere Ihrer Richtlinien beginnen müssen.
  • Wenn Sie Ihren HR-Connector noch nicht konfiguriert haben, aber mit dem Zuweisen von Risikobewertungen zu Benutzeraktivitäten für HR-Ereignisse beginnen möchten, indem Sie eine .csv-Datei für die Benutzer hochladen.

Hinweis

Es kann mehrere Stunden dauern, bis neue, manuell hinzugefügte Benutzer im Benutzer-Dashboard angezeigt werden. Die Anzeige von Aktivitäten für die vorherigen 90 Tage für diese Benutzer kann bis zu 24 Stunden dauern. Um Aktivitäten für manuell hinzugefügte Benutzer anzuzeigen, navigieren Sie zur Registerkarte Benutzer, wählen Sie den Benutzer im Benutzer-Dashboard aus, und öffnen Sie die Registerkarte Benutzeraktivität im Detailbereich.

Um die Bewertung von Aktivitäten für Benutzer in einer oder mehreren Insider-Risikomanagement-Richtlinien manuell zu starten, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Richtlinien aus.

  2. Wählen Sie im Richtlinien-Dashboard die Richtlinie(n) aus, der/denen Sie Benutzer hinzufügen möchten.

  3. Wählen Sie Bewertung der Aktivitäten für Benutzer starten aus.

  4. Fügen Sie im Feld Grund im Bereich Benutzer zu mehreren Richtlinien hinzufügen einen Grund für das Hinzufügen der Benutzer hinzu.

  5. Definieren Sie im Feld Dies sollte für (zwischen 5 und 30 Tage) dauern , wie viele Tage die Aktivität des Benutzers für die Richtlinie bewertet wird, zu der er hinzugefügt wird.

  6. Um Ihr Active Directory nach Benutzern zu durchsuchen, verwenden Sie das Feld Benutzer suchen, um Sie zu Richtlinien hinzuzufügen. Geben Sie den Namen des Benutzers ein, den Sie den Richtlinien hinzufügen möchten. Wählen Sie den Benutzernamen aus, und wiederholen Sie den Vorgang, um den Richtlinien weitere Benutzer zuzuweisen. Die Liste der von Ihnen ausgewählten Benutzer wird im Abschnitt „Benutzer“ des Bereichs „Benutzer zu mehreren Richtlinien hinzufügen“ angezeigt.

  7. Zum Importieren einer Liste von Benutzern, um sie den Richtlinien hinzuzufügen, wählen Sie Importieren aus, um eine CSV-Datei (durch Trennzeichen getrennte Werte) zu importieren. Die Datei muss das folgende Format haben und die Benutzerprinzipalnamen in der Datei auflisten:

    user principal name
user1@domain.com
user2@domain.com

  8. Wählen Sie „Benutzer zu Richtlinien hinzufügen“ aus, um die Änderungen zu akzeptieren und den Richtlinien Benutzer hinzuzufügen, oder wählen Sie „Abbrechen“ aus, um die Änderungen zu verwerfen und das Dialogfeld zu schließen.

Beenden der Bewertung von Benutzern in einer Richtlinie

Informationen zum Beenden der Bewertung von Benutzern in einer Richtlinie finden Sie in dem Artikel Insider-Risikomanagementbenutzer: Entfernen von Benutzern aus der Zuweisung zum Umfang von Richtlinien.

Löschen einer Richtlinie

Hinweis

Beim Löschen einer Richtlinie werden keine aktiven oder archivierten Warnungen gelöscht, die von der Richtlinie generiert wurden.

Um eine vorhandene Insider-Risikomanagement-Richtlinie zu löschen, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Richtlinien aus.
  2. Wählen Sie im Richtlinien-Dashboard die Richtlinie aus, die gelöscht werden soll.
  3. Wählen Sie Löschen auf der Dashboardsymbolleiste aus.
  4. Wählen Sie im Dialogfeld Löschen die Option Ja aus, um die Richtlinie zu löschen, oder wählen Sie Abbrechen aus, um das Dialogfeld zu schließen.