Sicherheits- und Compliance-Warnungen für Microsoft Teams erstellen

  • 7 Minuten

Sie können die Warnungsrichtlinie verwenden, um die Aktivitäten der Benutzer zu überwachen. Warnungen werden generiert, wenn Benutzer Aktivitäten ausführen, die den Bedingungen einer Warnungsrichtlinie entsprechen. Beispiele hierfür sind Schadsoftwareangriffe, Phishingkampagnen und ungewöhnliche Ebenen von Dateilöschungen und externer Freigabe. Sie können das Benachrichtigungsdashboard im Microsoft Purview-Complianceportal erstellen und überprüfen.

Mit Warnungsrichtlinien können Sie die von einer Richtlinie ausgelösten Warnungen kategorisieren, die Richtlinie auf alle Benutzer in Ihrer Organisation anwenden, einen Schwellenwert für das Auslösen einer Warnung festlegen und entscheiden, ob Sie E-Mail-Benachrichtigungen erhalten möchten, wenn Warnungen ausgelöst werden.

Screenshot der Benachrichtigungsrichtlinie

Funktionsweise von Warnungsrichtlinien

Das folgende Diagramm zeigt den grundlegenden Workflow der Funktionsweise von Warnungsrichtlinien:

Screenshot des Workflows „Benachrichtigungsrichtlinie“.

  1. Administratoren erstellen neue oder ändern vorhandene Richtlinien im Microsoft Purview-Complianceportal, die ungewöhnliche Benutzer- oder Administratoraktivitäten überwachen.

  2. Ein Benutzer oder Administrator führt Aktionen aus, die den Bedingungen entsprechen, und löst eine Warnungsrichtlinie aus, z. B. das Erstellen eines eDiscovery-Falls oder möglicherweise das Hinzufügen von Vollzugriffsberechtigungen zu einem Postfach.

  3. Eine Warnung wird generiert und die entsprechende Warnungsaktion wird ausgelöst, z. B. das Senden einer E-Mail an alle globalen Administratoren. Zusätzlich wird im Dashboard „Benachrichtigung“ im Microsoft Purview-Complianceportal ein Benachrichtigungseintrag erstellt.

  4. Administratoren überprüfen Warnungen im Warnungsdashboard und beschließen, die Warnung zu bestätigen oder zu schließen.

Warnungsrichtlinieneinstellungen

Eine Warnungsrichtlinie besteht aus einer Reihe von Regeln und Bedingungen, in denen Folgendes definiert wird: die Benutzer- oder Administratoraktivität, für die eine Warnung generiert wird; eine Liste der Benutzer, für die die Warnung ausgelöst wird, wenn sie die Aktivität ausführen; und der Schwellenwert, der festlegt, wie oft die Aktivität erfolgen muss, bevor eine Warnung ausgelöst wird. Außerdem kategorisieren Sie die Richtlinie und weisen ihr einen Schweregrad zu.

Eine Warnungsrichtlinie besteht aus den folgenden Einstellungen und Bedingungen:

  • Aktivität, die die Warnung verfolgt: Sie erstellen eine Richtlinie, um eine Aktivität oder in einigen Fällen einige verwandte Aktivitäten zu verfolgen, z. B. das Teilen einer Datei mit einem Gast durch Teilen, das Zuweisen von Zugriffsberechtigungen oder das Erstellen eines anonymen Links. Wenn ein Benutzer die in der Richtlinie definierte Aktivität ausführt, wird entsprechend den Einstellungen der Warnungsschwellenwerte eine Warnung ausgelöst.

  • Aktivitätsbedingungen: Für die meisten Aktivitäten können Sie andere Bedingungen definieren, die erfüllt sein müssen, um eine Warnung auszulösen.

  • Wenn die Warnung ausgelöst wird: Sie können eine Einstellung konfigurieren, die definiert, wie oft eine Aktivität stattfinden kann, bevor eine Warnung ausgelöst wird.

    Screenshot „Konfigurieren von Benachrichtigungen zum Auslösen basierend auf Aktivitätsvorkommen, Schwellenwert oder ungewöhnlichen Aktivitäten“.

  • Warnungskategorie: Um das Nachverfolgen und Verwalten der Warnungen zu vereinfachen, können Sie einer Richtlinie eine der folgenden Kategorien zuweisen:

    • Verhinderung von Datenverlust

    • Informationsverwaltung

    • Nachrichtenübermittlung

    • Berechtigungen

    • Bedrohungsverwaltung

    • Sonstige

    Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der Kategorie markiert, die in der Einstellung definiert ist. Das Markieren ermöglicht Ihnen das Nachverfolgen und Verwalten von Benachrichtigungen mit derselben Kategorieeinstellung auf der Seite Benachrichtigungen im Complianceportal, da Sie Benachrichtigungen basierend auf der Kategorie sortieren und filtern können.

  • Warnungsschweregrad: Ähnlich wie bei der Warnungskategorie weisen Sie Warnungsrichtlinien ein Schweregradattribut (Niedrig, Mittel, Hoch oder Informativ) zu. Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung, ähnlich wie mit der Warnungskategorie, mit dem Schweregrad markiert, der für die Warnungsrichtlinie festgelegt ist.

  • E-Mail-Benachrichtigungen: Sie können die Richtlinie so einrichten, dass E-Mail-Benachrichtigungen an bestimmte Benutzer gesendet (oder nicht gesendet) werden, wenn eine Warnung ausgelöst wurde.

Erstellen neuer Warnungen

Führen Sie die folgenden Schritte aus, um eine neue Benachrichtigungsrichtlinie im Microsoft Purview-Complianceportal zu erstellen und zu überprüfen, ob die Überwachungsprotokollierung aktiviert ist:

  1. Melden Sie sich beim Microsoft Purview-Complianceportal an, und wählen Sie Richtlinien > Benachrichtigungsrichtlinien aus.

  2. Wählen Sie im oberen Bereich + Neue Warnungsrichtlinie aus, um eine neue Warnungsrichtlinie zu erstellen.

  3. Unter Kategorisieren, benennen Sie Ihre Warnung und wählen Sie einen Schweregrad für sie aus. seite, geben Sie Folgendes ein:

    • Name für die Identifizierung der Verwendung dieser Warnungsrichtlinie.

    • Beschreibung für andere Administratoren, um den Zweck dieser Warnungsrichtlinie zu verstehen.

    • Schweregrad für eine Wichtigkeitsstufe für Ereignisse dieser Warnungen.

    • Kategorie zum Konfigurieren des Zugriffs für unterschiedliche Rollen in Ihrer Organisation.

  4. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Aktivität, Bedingungen und Zeitpunkt zum Auslösen der Warnung auswählen eine gewünschte Aktivität und Bedingung für die Warnung aus und wählen Sie dann Weiter aus.

  6. Auf der Seite Entscheiden Sie, ob Sie Personen benachrichtigen möchten, wenn diese Warnung ausgelöst wird, können Sie die Empfänger der Benachrichtigung und die Häufigkeit des täglichen Benachrichtigungsgrenzwert angeben. Wählen Sie Weiter aus.

  7. Auf der Seite Einstellungen überprüfen können Sie die Warnungseinstellungen überprüfen und die Richtlinie sofort oder später aktivieren. Wählen Sie Fertigstellen aus, wenn alles nach Bedarf konfiguriert ist.

    Screenshot „Erstellen einer Benachrichtigungsrichtlinie“.

Warnungen anzeigen

Die Rollenbasierte Zugriffssteuerungsberechtigungen (Role Based Access Control, RBAC), die Benutzern in Ihrer Organisation zugewiesen sind, bestimmen, welche Warnungen einem Benutzer auf der Seite "Warnungen" angezeigt werden. Hier sind einige Beispiele:

  • Mitglieder der Rollengruppe "Datensatzverwaltung" können nur die Warnungen anzeigen, die von Warnungsrichtlinien generiert werden, denen die Kategorie Information Governance zugewiesen ist.

  • Mitglieder der "Complianceadministratorrollengruppen" können keine Warnungen anzeigen, die von Warnungsrichtlinien generiert werden, denen die Kategorie Bedrohungsmanagement zugewiesen ist.

  • Mitglieder der Rollengruppe "eDiscovery-Manager" können keine Warnungen anzeigen, da keine der zugewiesenen Rollen die Berechtigung zum Anzeigen von Warnungen aus einer Warnungskategorie bereitstellt.