Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Bevor Sie mit den Richtlinien für das Insider-Risikomanagement beginnen, ist es wichtig, die Einstellungen für das Insider-Risikomanagement zu verstehen und auszuwählen, die die Complianceanforderungen für Ihre organization am besten erfüllen. Die Einstellungen des Insider-Risikomanagements gelten für alle Insider-Risikomanagement-Richtlinien, unabhängig von der Vorlage, die Sie beim Erstellen einer Richtlinie auswählen.
Hinweis
Verwenden Sie Einstellungen oben auf jeder Seite für insider-Risikomanagement, um Einstellungen vorzunehmen.
In der folgenden Tabelle werden die einzelnen Einstellungen für das Insider-Risikomanagement beschrieben, und es wird ein Link bereitgestellt, über den Sie mehr über die Einstellung erfahren können.
| Einstellung | Beschreibung |
|---|---|
| Datenschutz | Wählen Sie aus, ob Benutzernamen oder anonymisierte Versionen von Benutzernamen für alle aktuellen und früheren Richtlinienüberstimmungen für Warnungen und Fälle angezeigt werden sollen. |
| Richtlinienindikatoren | Jede Richtlinienvorlage für das Insider-Risikomanagement basiert auf bestimmten Indikatoren, die bestimmten Auslösern und Risikoaktivitäten entsprechen. Alle globalen Indikatoren sind standardmäßig deaktiviert. Sie müssen einen oder mehrere Indikatoren auswählen, um eine Insider-Risikomanagement-Richtlinie zu konfigurieren. Mithilfe der Einstellungen auf Indikatorebene können Sie steuern, wie sich die Anzahl der Vorkommen von Risikoereignissen in Ihrem organization auf die Risikobewertung auswirken. |
| Erkennungsgruppen | Verwenden Sie die Einstellung Erkennungsgruppen , um Varianten integrierter Indikatoren zu erstellen, wenn Sie Erkennungen für verschiedene Benutzergruppen anpassen möchten. Das Erstellen von Erkennungsgruppen trägt dazu bei, falsch positive Ergebnisse zu reduzieren. |
| Globale Ausschlüsse | Verwenden Sie die Einstellung Globale Ausschlüsse , um globale Ausschlüsse anzugeben, die nicht von Ihren Insider-Risikomanagement-Richtlinien bewertet werden. |
| Zeitrahmen für Richtlinien | Mit der Einstellung Richtlinienzeitrahmen können Sie vergangene und zukünftige Überprüfungszeiträume definieren, die nach Richtlinienüberstimmungen basierend auf Ereignissen und Aktivitäten für die Richtlinienvorlagen für das Insider-Risikomanagement ausgelöst werden. |
| Intelligente Erkennungen | Verwenden Sie die Einstellung Intelligente Erkennungen, um die Bewertung für ungewöhnliche Downloadaktivitäten zu erhöhen, das Warnungsvolumen zu steuern, Microsoft Defender for Endpoint Warnungen zu importieren und zu filtern und nicht zulässige Domänen und Domänen von Drittanbietern für die Risikobewertung anzugeben. |
| Exportieren von Warnungen | Insider-Risikomanagement-Warnungsinformationen können mithilfe des Office 365 Management-API-Schemas in SIEM-Lösungen (Security Information and Event Management) und Security Orchestration Automated Response (SOAR) exportiert werden. Sie können die Office 365 Management Activity-APIs verwenden, um Warnungsinformationen in andere Anwendungen zu exportieren, die Ihre organization möglicherweise zum Verwalten oder Aggregieren von Insider-Risikoinformationen verwenden. |
| Datenfreigabe | Verwenden Sie die Einstellung Datenfreigabe, um eine der folgenden Aktionen auszuführen: 1) Exportieren von Insider-Risikomanagement-Warnungsinformationen in SIEM-Lösungen mithilfe des Office 365 Management Activity API-Schemas; 2) Teilen Sie die Benutzerrisikoebenen des Insider-Risikomanagements mit Microsoft Defender- und DLP-Warnungen. |
| Prioritätsbenutzergruppen | Benutzer in Ihrem organization können je nach Position, Zugriffsebene auf vertrauliche Informationen oder Risikoverlauf unterschiedliche Risikostufen aufweisen. Wenn Sie die Prüfung und Bewertung der Aktivitäten dieser Benutzer priorisieren, können Sie auf potenzielle Risiken aufmerksam gemacht werden, die höhere Auswirkungen auf Ihre organization haben können. Verwenden Sie die Einstellung Prioritätsbenutzergruppen, um die Benutzer in Ihrem organization zu definieren, die eine genauere Überprüfung und eine sensiblere Risikobewertung erfordern. |
| Priorität physischer Ressourcen (Vorschau) | Das Identifizieren des Zugriffs auf vorrangige physische Ressourcen und das Korrelieren der Zugriffsaktivität mit Benutzerereignissen ist eine wichtige Komponente Ihrer Complianceinfrastruktur. Diese physischen Ressourcen stellen Prioritätsstandorte in Ihrem organization dar, z. B. Unternehmensgebäude, Rechenzentren oder Serverräume. Insider-Risikoaktivitäten können damit verbunden sein, dass Benutzer ungewöhnliche Stunden arbeiten, versuchen, auf diese nicht autorisierten sensiblen oder sicheren Bereiche zuzugreifen, und Anforderungen für den Zugriff auf allgemeine Bereiche ohne legitime Notwendigkeiten. |
| Power Automate-Flows (Vorschau) | Microsoft Power Automate ist ein Workflowdienst, der Aktionen anwendungs- und dienstübergreifend automatisiert. Mithilfe von Flows aus Vorlagen oder manuell erstellten Datenflüssen können Sie allgemeine Aufgaben im Zusammenhang mit diesen Anwendungen und Diensten automatisieren. Wenn Sie Power Automate-Flows für das Insider-Risikomanagement aktivieren, können Sie wichtige Aufgaben für Fälle und Benutzer automatisieren. Sie können Power Automate-Flows konfigurieren, um Benutzer-, Warnungs- und Fallinformationen abzurufen und diese Informationen für Beteiligte und andere Anwendungen freizugeben sowie Aktionen im Insider-Risikomanagement zu automatisieren, z. B. das Veröffentlichen in Fallnotizen. Power Automate-Flows gelten für Fälle und alle Benutzer im Bereich einer Richtlinie. |
| Microsoft Teams (Vorschau) | Sie können den Support von Microsoft Teams aktivieren, damit Complianceanalysten und Ermittler Teams verwenden können, um an Insider-Risikomanagement-Fällen zusammenzuarbeiten. Verwenden Sie Teams für Folgendes: - Koordinieren und Überprüfen von Reaktionsaktivitäten für Fälle in privaten Teams-Kanälen - Sicheres Freigeben und Speichern von Dateien und Beweismitteln im Zusammenhang mit Einzelfällen - Erkennen und Überprüfen von Reaktionsaktivitäten von Analysten und Ermittlern |
| Analyse | Mit Insider-Risikoanalysen können Sie eine Auswertung potenzieller Insider-Risiken in Ihrer Organisation durchführen, ohne Insider-Risikorichtlinien konfigurieren zu müssen. Diese Auswertung kann Ihrem organization dabei helfen, potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang von Insider-Risikomanagement-Richtlinien zu bestimmen, die Sie ggf. konfigurieren möchten. |
| Admin Benachrichtigungen | Verwenden Sie die Einstellung Admin Benachrichtigungen, um automatisch eine E-Mail-Benachrichtigung an auswählbare Rollengruppen des Insider-Risikomanagements zu senden. Sie haben folgende Möglichkeiten: – Senden einer Benachrichtigungs-E-Mail, wenn die erste Warnung für eine neue Richtlinie generiert wird – Senden einer täglichen E-Mail, wenn neue Warnungen mit hohem Schweregrad generiert werden – Senden einer wöchentlichen E-Mail zur Zusammenfassung von Richtlinien mit nicht aufgelösten Warnungen |
| Anpassung von Inlinewarnungen | Durch die Anpassung von Inlinewarnungen können Sie eine Insider-Risikomanagement-Richtlinie direkt aus dem Dashboard Warnungen während der Überprüfung der Warnung schnell optimieren. Warnungen werden generiert, wenn eine Risikomanagementaktivität die in der zugehörigen Richtlinie konfigurierten Schwellenwerte erfüllt. Um die Anzahl der Warnungen zu reduzieren, die Sie von dieser Art von Aktivität erhalten, können Sie die Schwellenwerte ändern oder die Risikomanagementaktivität ganz aus der Richtlinie entfernen. |
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.