Optimieren von Ausschlüssen im Insider-Risikomanagement durch Erstellen von Erkennungsgruppen und Varianten integrierter Indikatoren (Vorschau)

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Microsoft Purview Insider Risk Management bietet Dutzende sofort einsatzbereiter Indikatoren. Die Erkennung von Insider-Risiken ist jedoch möglicherweise keine universelle Lösung für alle Benutzer in einem organization. Sie können die Einstellung Intelligente Erkennungen in Insider-Risikomanagementrichtlinien verwenden, um bestimmte Aktivitäten global von der Bewertung durch Ihre Richtlinien auszuschließen. Diese Ausschlüsse gelten jedoch für jeden Trigger und Indikator für alle Richtlinien, die Sie innerhalb eines Mandanten erstellen. Mit Erkennungsgruppen und Varianten können Organisationen die integrierten Insider-Risikoindikatoren ändern und Erkennungen für verschiedene Benutzergruppen anpassen. Um beispielsweise die Anzahl falsch positiver Ergebnisse für E-Mail-Aktivitäten zu reduzieren, können Sie eine Variante von Senden von E-Mails mit Anlagen an Empfänger außerhalb des integrierten organization-Indikators erstellen, um nur E-Mails zu erkennen, die an persönliche Domänen gesendet wurden.

Gesamtprozess zum Erstellen einer Erkennungsgruppe und deren Verwendung zusammen mit einer integrierten Indikatorvariante

Das Erstellen einer Erkennungsgruppe und deren Verwendung zusammen mit einer Variante umfasst vier Schritte:

1. Erstellen Sie eine Erkennungsgruppe , wie in diesem Artikel beschrieben. Sie wählen diese Erkennungsgruppe aus, wenn Sie die Variante erstellen.
2. Erstellen Sie die Variante.
3. Verwenden Sie die Variante in einer neuen oder vorhandenen Richtlinie.
4. Überprüfen Sie Warnungen im Zusammenhang mit den in der Variante angegebenen Aktivitäten.

Erstellen einer Erkennungsgruppe

Um eine Variante eines integrierten Indikators zu erstellen, erstellen Sie zunächst eine Erkennungsgruppe. Mithilfe einer Erkennungsgruppe können Sie einen integrierten Indikator nach unten festlegen, um sich auf die wichtigen Aktivitäten zu konzentrieren, die für Ihre organization wichtig sind.

Jeder Richtlinienindikator enthält bestimmte Erkennungstypen, die für diesen Indikator gelten. Für den Indikator Freigeben von SharePoint-Dateien für Personen außerhalb des organization ist einer der Erkennungstypen Domänen. Wenn Sie eine SharePoint-Datei freigeben, wählen Sie eine Domäne aus, für die die Datei freigegeben werden soll. Nicht alle Indikatoren weisen die gleichen Erkennungstypen auf. Domänen sind beispielsweise ein Erkennungstyp der Freigabe von SharePoint-Dateien für Personen außerhalb des organization Indikators, aber es handelt sich nicht um einen Erkennungstyp des Indikators Erstellen oder Kopieren von Dateien auf USB, da er in diesem Fall nicht anwendbar ist.

Das Insider-Risikomanagement unterstützt derzeit sieben Erkennungstypen:

• Domänen
• Dateipfade
• Dateitypen
• Schlüsselwörter
• Typen vertraulicher Informationen
• SharePoint-Websites
• Trainierbare Klassifizierungsmerkmale

Tipp

Wenn Sie eine Erkennungsgruppe erstellen, können Sie alle anwendbaren Indikatoren für eine bestimmte Erkennung anzeigen, indem Sie den Link Anwendbare Indikatoren anzeigen im Einführungstext für den Gruppentyp auswählen.

Die folgenden Verfahren zeigen, wie Sie eine Erkennungsgruppe für jeden Gruppentyp erstellen.

Erstellen einer Domänenerkennungsgruppe

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.

2. Wählen Sie im Bereich auf der rechten Seite unter Typ die Option Domänen aus.

3. Wählen Sie im Bereich auf der rechten Seite Neue Domänengruppe aus.

4. Fügen Sie im Bereich Neue Domänengruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.

5. Geben Sie im Feld Domänen hinzufügen eine Domäne ein, und drücken Sie dann die EINGABETASTE. Fügen Sie auf die gleiche Weise weitere Domänen hinzu. Wenn Sie eine lange Liste von Domänen hinzufügen möchten, können Sie sie als CSV-Datei importieren, indem Sie Domänen aus CSV-Datei importieren auswählen. Die Domänen, die Sie hinzufügen, werden am unteren Rand des Bereichs aufgeführt. Sie können bis zu 10 Domänenerkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.

   Hinweis

   Um Unterdomänen mit mehreren Ebenen für eine Stammdomäne anzugeben, aktivieren Sie das Kontrollkästchen Unterdomänen mit mehreren Ebenen einschließen , fügen Sie eine Domäne hinzu, und drücken Sie dann die EINGABETASTE, um die Domäne der Liste hinzuzufügen. Alle Unterdomänen, die in dieser Domäne enthalten sind, werden eingeschlossen. Wiederholen Sie den gleichen Vorgang, um weitere Domänen hinzuzufügen, und wählen Sie dann Domänen hinzufügen aus, wenn Sie fertig sind.

   Tipp

   Sie können Platzhalter verwenden, um Variationen von Stammdomänen oder Unterdomänen abzugleichen. Um beispielsweise sales.wingtiptoys.com und support.wingtiptoys.com anzugeben, verwenden Sie den Platzhaltereintrag "*.wingtiptoys.com", um diese Unterdomänen (und alle anderen Unterdomänen auf derselben Ebene) zuzuordnen.

6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Erstellen einer Dateipfaderkennungsgruppe

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
2. Wählen Sie im Bereich auf der rechten Seite unter Typdie Option Dateipfade aus.
3. Wählen Sie im Bereich auf der rechten Seite neue Dateipfadgruppe aus.
4. Fügen Sie im Bereich Neue Dateipfadgruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
5. Wählen Sie Dateipfade hinzufügen aus, wählen Sie die Dateipfade aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 Dateipfaderkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Erstellen einer Dateityperkennungsgruppe

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
2. Wählen Sie im Bereich auf der rechten Seite unter Typdie Option Dateitypen aus.
3. Wählen Sie im Bereich auf der rechten Seite Neue Dateitypgruppe aus.
4. Fügen Sie im Bereich Neue Dateitypgruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
5. Geben Sie im Feld Dateityp hinzufügen eine Dateierweiterung ein, und drücken Sie dann die EINGABETASTE. Setzen Sie das Hinzufügen weiterer Dateierweiterungen auf die gleiche Weise fort. Die Erweiterungen, die Sie hinzufügen, werden unten im Bereich aufgeführt. Sie können bis zu 10 Dateitypen-Erkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Erstellen einer Suchbegriffserkennungsgruppe

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
2. Wählen Sie im Bereich auf der rechten Seite unter Typdie Option Schlüsselwörter aus.
3. Wählen Sie im Bereich auf der rechten Seite Neue Schlüsselwörtergruppe aus.
4. Fügen Sie im Gruppenbereich Neue Schlüsselwörter einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
5. Geben Sie im Feld Schlüsselwörter hinzufügen einen Schlüsselwort (keyword) ein, und drücken Sie dann die EINGABETASTE. Wiederholen Sie diesen Vorgang für jede Schlüsselwort (keyword), die Sie hinzufügen möchten. Die von Ihnen hinzugefügten Schlüsselwörter werden am unteren Rand des Bereichs aufgeführt. Sie können bis zu 10 Suchbegriffserkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Erstellen einer Erkennungsgruppe für Typen vertraulicher Informationen

Hinweis

Die Ausschlussliste vertraulicher Informationstypen hat Vorrang vor der Prioritätsinhaltsliste .

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
2. Wählen Sie im Bereich auf der rechten Seite unter Typ die Option Typen vertraulicher Informationen aus.
3. Wählen Sie im Bereich auf der rechten Seite neue Typgruppe vertraulicher Informationen aus.
4. Fügen Sie im Bereich Neue Gruppe des Typs vertraulicher Informationen einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
5. Wählen Sie Typen vertraulicher Informationen hinzufügen aus, wählen Sie die Typen vertraulicher Informationen aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 Gruppen vertraulicher Informationstypen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Erstellen einer SharePoint-Websiteerkennungsgruppe

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
2. Wählen Sie im Bereich auf der rechten Seite unter Typ die Option SharePoint-Websites aus.
3. Wählen Sie im Bereich auf der rechten Seite Neue SharePoint-Websitegruppe aus.
4. Fügen Sie im Bereich Neue SharePoint-Websitegruppe einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
5. Wählen Sie Websites hinzufügen aus, wählen Sie die SharePoint-Websites aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 Erkennungsgruppen für SharePoint-Websites erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Erstellen einer trainierbaren Klassifizierererkennungsgruppe

1. Wählen Sie in den Einstellungen für insider-Risikomanagement die Option Erkennungsgruppen (Vorschau) aus.
2. Wählen Sie im Bereich auf der rechten Seite unter Typ die Option Trainierbare Klassifizierer aus.
3. Wählen Sie im Bereich auf der rechten Seite Neue trainierbare Klassifizierergruppe aus.
4. Fügen Sie im Gruppenbereich Neue trainierbare Klassifizierer einen Namen für die Gruppe (oder akzeptieren Sie den vorgeschlagenen Namen) und eine Beschreibung (optional) hinzu.
5. Wählen Sie Trainierbare Klassifizierer hinzufügen aus, wählen Sie die trainierbaren Klassifizierer aus, die Sie von der Bewertung ausschließen möchten, und wählen Sie dann Hinzufügen aus. Sie können bis zu 10 trainierbare Klassifizierererkennungsgruppen erstellen, und jede Gruppe kann bis zu 200 Elemente enthalten.
6. Klicken Sie auf Speichern. Es wird ein Dialogfeld Nächste Schritte angezeigt, in dem Sie über den nächsten Schritt im Prozess informiert werden, einschließlich der Verwendung dieser Erkennungsgruppe in einer Variante.

Siehe auch

• Erstellen Sie eine Variante eines integrierten Indikators.
• Verwenden Sie eine Variante in einer neuen oder vorhandenen Richtlinie.
• Untersuchen Sie Warnungen im Zusammenhang mit den aktivitäten, die in einer Variante angegeben sind.