Aktivieren von Analysen im Insider-Risikomanagement
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Die Aktivierung Microsoft Purview Insider Risk Management Analysen bietet zwei wichtige Vorteile. Wenn Die Analyse aktiviert ist, haben Sie folgende Möglichkeiten:
- Führen Sie eine Bewertung potenzieller Insiderrisiken in Ihrem organization durch, ohne Insider-Risikorichtlinien zu konfigurieren.
- Erhalten Sie Anleitungen in Echtzeit zum Konfigurieren von Indikatorschwellenwerten.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Führen Sie eine Bewertung von Insider-Risiken in Ihrem organization
Microsoft Purview Insider Risk Management Analysen ermöglichen es Ihnen, potenzielle Insider-Risiken in Ihrem organization zu bewerten, ohne Insider-Risikorichtlinien zu konfigurieren. Diese Auswertung kann Ihnen dabei helfen, organization potenzielle Bereiche mit höherem Benutzerrisiko zu identifizieren und den Typ und Umfang der Richtlinien für das Insider-Risikomanagement zu bestimmen, die Sie möglicherweise konfigurieren möchten. Analysescans bieten die folgenden Vorteile für Ihre organization:
- Einfach zu konfigurieren: Um mit Analysescans zu beginnen, wählen Sie Überprüfung ausführen aus, wenn Sie von der Analyseempfehlung aufgefordert werden, oder wechseln Sie zu Insider-Risikoeinstellungen>Analytics , und aktivieren Sie Analysen.
- Beabsichtigter Datenschutz: Gescannte Ergebnisse und Erkenntnisse werden als aggregierte und anonymisierte Benutzeraktivitäten zurückgegeben. Einzelne Benutzernamen sind von Prüfern nicht identifizierbar. Da das Insider-Risikomanagement keine Identität im organization für Analysen klassifizieren kann, werden von der Lösung alle UPNs/Identitäten erfasst, die möglicherweise an Daten beteiligt sind, die die organization Grenze verlassen. Dies kann Benutzerkonten, Systemkonten, Gastkonten usw. umfassen.
- Verstehen potenzieller Risiken durch konsolidierte Erkenntnisse: Scanergebnisse können Ihnen helfen, potenzielle Risikobereiche für Ihre Benutzer schnell zu identifizieren und welche Richtlinie am besten geeignet wäre, um diese Risiken zu mindern.
Sehen Sie sich das Insider-Risikomanagement-Video an, um zu verstehen, wie Analysen die Identifizierung potenzieller Insider-Risiken beschleunigen können.
Gescannte Bereiche
Analytics sucht nach Risikomanagementaktivitäten aus verschiedenen Quellen, um Erkenntnisse in potenzielle Risikobereiche zu identifizieren. Abhängig von Ihrer aktuellen Konfiguration sucht die Analyse nach qualifizierenden Risikoaktivitäten in den folgenden Bereichen:
- Microsoft 365-Überwachungsprotokolle: Dies ist in allen Überprüfungen enthalten und die primäre Quelle für die Identifizierung der meisten potenziell riskanten Aktivitäten.
- Exchange Online: In allen Überprüfungen enthalten, hilft Exchange Online Aktivität bei der Identifizierung von Aktivitäten, bei denen Daten in Anlagen per E-Mail an externe Kontakte oder Dienste gesendet werden.
- Microsoft Entra ID: In allen Überprüfungen enthalten, hilft Microsoft Entra Verlauf dabei, riskante Aktivitäten im Zusammenhang mit Benutzern mit gelöschten Benutzerkonten zu identifizieren.
- Microsoft 365 HR-Datenconnector: Falls konfiguriert, helfen HR-Connectorereignisse dabei, riskante Aktivitäten im Zusammenhang mit Benutzern zu identifizieren, die abtreten oder anstehende Beendigungstermine haben.
Analyseerkenntnisse aus Überprüfungen basieren auf denselben Risikomanagementaktivitätssignalen, die von Insider-Risikomanagementrichtlinien verwendet werden, und berichten Ergebnisse basierend auf Einzel- und Sequenzbenutzeraktivitäten. Die Risikobewertung für Analysen basiert jedoch auf einer Aktivität von bis zu 10 Tagen, während Insider-Risikorichtlinien tägliche Aktivitäten verwenden, um Erkenntnisse zu gewinnen. Wenn Sie analysen zum ersten Mal in Ihrem organization aktivieren und ausführen, werden die Überprüfungsergebnisse für einen Tag angezeigt. Wenn Sie die Analyse aktiviert lassen, werden die Ergebnisse jeder täglichen Überprüfung angezeigt, die den Erkenntnisberichten für einen maximalen Aktivitätsbereich der letzten 10 Tage hinzugefügt wurde.
Erhalten von Echtzeitanleitungen zum Konfigurieren von Schwellenwerteinstellungen für Indikator
Das manuelle Optimieren von Richtlinien zur Verringerung von "Rauschen" kann eine sehr zeitaufwendige Erfahrung sein, bei der Sie viele Test- und Fehlerverfahren durchführen müssen, um die gewünschte Konfiguration für Ihre Richtlinien zu bestimmen. Wenn die Analyse aktiviert ist, können Sie Echtzeiteinblicke erhalten, die Ihnen helfen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, sodass Sie nicht zu wenige oder zu viele Richtlinienwarnungen erhalten. Erfahren Sie mehr über die Verwendung von Echtzeitanalysen zur Verwaltung des Warnungsvolumens.
Aktivieren Sie Analysen, und starten Sie eine Überprüfung potenzieller Insiderrisiken in Ihrem organization
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Um Insider-Risikoanalysen zu aktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wechseln Sie zur Insider-Risikomanagement-Lösung .
- Scrollen Sie auf der Registerkarte Übersicht nach unten zum Karte Insider-Risikoanalysen, und wählen Sie dann in Ihrem organization unter Nach Insiderrisiken suchen die Option Überprüfung ausführen aus. Dadurch wird die Analyseüberprüfung für Ihre organization aktiviert. Analysescanergebnisse können bis zu 48 Stunden dauern, bis Erkenntnisse als Berichte zur Überprüfung verfügbar sind.
Tipp
Sie können die Überprüfung auch in Ihrem organization über die Einstellungen oben auf jeder Insider-Risikomanagement-Seite aktivieren. Wählen Sie Analytics aus, und aktivieren Sie dann die Einstellung.
Anzeigen von Analyseerkenntnissen nach der ersten Analyseüberprüfung
Nachdem die erste Analyseüberprüfung für Ihre organization abgeschlossen ist, erhalten Mitglieder der Rollengruppe Insider-Risikomanagement-Administratoren automatisch eine E-Mail-Benachrichtigung und können die ersten Erkenntnisse und Empfehlungen für potenziell riskante Aktivitäten Ihrer Benutzer anzeigen. Tägliche Überprüfungen werden fortgesetzt, es sei denn, Sie deaktivieren Analysen für Ihre organization. Email Benachrichtigungen an Administratoren werden für jede der drei Bereichskategorien für Analysen (Datenlecks, Diebstahl und Exfiltration) nach dem ersten instance potenziell riskanter Aktivitäten in Ihrem organization bereitgestellt. Email Benachrichtigungen werden nicht an Administratoren gesendet, um die Aktivitätserkennung des Risikomanagements zu verfolgen, die sich aus den täglichen Überprüfungen ergibt.
Hinweis
Wenn die Einstellung Analyse deaktiviert und dann wieder aktiviert ist, werden automatische E-Mail-Benachrichtigungen zurückgesetzt, und E-Mail-Benachrichtigungen werden an Mitglieder der Rollengruppe Insider-Risikomanagement-Administratoren gesendet, um neue Einblicke in die Überprüfung zu erhalten.
Um potenzielle Risiken für Ihre organization anzuzeigen, wechseln Sie zur Registerkarte Übersicht, und wählen Sie dann im Karte Insider-Risikoanalysendie Option Ergebnisse anzeigen aus.
Hinweis
Wenn die Überprüfung für Ihre organization nicht abgeschlossen ist, wird eine Meldung angezeigt, dass die Überprüfung noch aktiv ist.
Für abgeschlossene Analysen sehen Sie die potenziellen Risiken, die in Ihrem organization entdeckt wurden, sowie Erkenntnisse und Empfehlungen, um diese Risiken zu beheben. Identifizierte Risiken und spezifische Erkenntnisse sind in Berichten enthalten, die nach Bereich gruppiert sind, die Gesamtzahl der Benutzer (alle Arten von Microsoft Entra-Konten, einschließlich Benutzer, Gast, System usw.) mit identifizierten Risiken, der Prozentsatz dieser Benutzer mit potenziell riskanten Aktivitäten und einer empfohlenen Insider-Risikorichtlinie, um diese Risiken zu mindern. Die Berichte umfassen Folgendes:
- Erkenntnisse zu Datenlecks: Für alle Benutzer, die versehentliche Überschreitung von Informationen außerhalb Ihrer organization oder Datenlecks durch Benutzer mit böswilliger Absicht umfassen können.
- Erkenntnisse zum Datendiebstahl: Für ausscheidende Benutzer oder Benutzer mit gelöschten Microsoft Entra Konten, die riskante Weitergabe von Informationen außerhalb Ihrer organization oder Datendiebstahl durch Benutzer mit böswilliger Absicht umfassen können.
- Wichtigste Exfiltrationserkenntnisse: Für alle Benutzer, die daten außerhalb Ihrer organization freigeben können.
Um weitere Informationen für einen Einblick anzuzeigen, wählen Sie Details anzeigen aus, um den Detailbereich für die Erkenntnis anzuzeigen. Der Detailbereich enthält die vollständigen Erkenntnisergebnisse, eine Empfehlung für Insider-Risikorichtlinien und Richtlinie erstellen , um Ihnen beim schnellen Erstellen der empfohlenen Richtlinie zu helfen. Wenn Sie Richtlinie erstellen auswählen , gelangen Sie zum Richtlinien-Assistenten und wählen automatisch die empfohlene Richtlinienvorlage aus, die sich auf die Erkenntnis bezieht. Wenn die Analyseeinsicht z. B. für die Datendiebstahlaktivität gilt, wird die Richtlinienvorlage "Datendiebstahl " im Richtlinien-Assistenten für Sie vorab ausgewählt.
Deaktivieren von Analysen
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Um die Insider-Risikoanalyse zu deaktivieren, müssen Sie Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagement-Administratoren oder Globaler Microsoft 365-Administrator sein.
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wählen Sie in der oberen rechten Ecke der Seite Einstellungen aus.
- Wählen Sie Insider-Risikomanagement aus, um zu den Einstellungen für insider-Risikomanagement zu wechseln.
- Wählen Sie unter Insider-Risikoeinstellungendie Option Analytics aus, und deaktivieren Sie dann die Einstellung.
Nach dem Deaktivieren der Analyse:
- Analyseerkenntnisse bleiben statisch und werden nicht auf neue Risiken aktualisiert.
- Echtzeitanalysen werden nicht angezeigt, wenn Sie die Einstellungen für Den Indikatorschwellenwert für Ihre Richtlinien anpassen.