Ota analytiikka käyttöön Insider-riskinhallinnassa

Tärkeää

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta korreloi eri signaaleja tunnistaakseen mahdollisia haitallisia tai tahattomia insider-riskejä, kuten IP-varkaus, tietovuoto ja tietoturvarikkomukset. Insider-riskinhallinnan avulla asiakkaat voivat luoda käytäntöjä suojauksen ja yhteensopivuuden hallitsemiseksi. Käyttäjät ovat oletusarvoisesti salaisia tietosuojan avulla, ja roolipohjaiset käytön hallinta- ja valvontalokit auttavat varmistamaan käyttäjätason tietosuojan.

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta analytiikan käyttöönotto tarjoaa kaksi tärkeää etua. Kun analytiikka on käytössä, voit tehdä seuraavaa:

• Arvioi mahdolliset insider-riskit organisaatiossasi määrittämättä insider-riskikäytäntöjä.
• Saat reaaliaikaisia ohjeita ilmaisimen raja-arvoasetusten määrittämiseen.

Vihje

Jos et ole E5-asiakas, käytä 90 päivän Microsoft Purview -ratkaisujen kokeiluversiota ja tutustu siihen, miten muut Purview-ominaisuudet voivat auttaa organisaatiotasi hallitsemaan tietoturva- ja yhteensopivuustarpeita. Aloita nyt Microsoft Purview -yhteensopivuusportaali kokeilukeskuksesta. Lue lisätietoja rekisteröitymisestä ja kokeiluehdoista.

Insider-riskien arvioinnin suorittaminen organisaatiossasi

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta analytiikan avulla voit arvioida mahdollisia insider-riskejä organisaatiossasi määrittämättä insider-riskikäytäntöjä. Tämän arvioinnin avulla organisaatiosi voi tunnistaa mahdolliset alueet, joilla käyttäjäriski on suurempi, ja auttaa määrittämään insider-riskinhallintakäytäntöjen tyypin ja laajuuden, jotka haluat ehkä määrittää. Analysointiskannaukset tarjoavat seuraavat edut organisaatiollesi:

• Helppo määrittää: Aloita analytiikkatarkistusten käyttö valitsemalla Suorita tarkistus analytiikkasuosituksen pyydettäessä tai siirry kohtaan Insider-riskiasetukset>Analysointi ja ota analytiikka käyttöön.
• Tietosuoja rakenteen mukaan: Skannatut tulokset ja merkitykselliset tiedot palautetaan koostettuna ja nimettömäksi muunnettuna käyttäjän toimintona. Tarkistajat eivät voi tunnistaa yksittäisiä käyttäjänimiä. Koska insider-riskinhallinta ei luokittele mitään käyttäjätietoja organisaatiossa analysointia varten, ratkaisu selittää kaikki upn-käyttäjätunnukset/käyttäjätiedot, jotka saattavat liittyä tietoihin, jotka poistuvat organisaation rajalta. Tämä voi koskea esimerkiksi käyttäjätilejä, järjestelmätilejä ja vierastilejä.
• Tutustu mahdollisiin riskeihin yhdistettyjen merkityksellisten tietojen avulla: Skannaustulokset voivat auttaa sinua tunnistamaan nopeasti mahdollisia riskialueita käyttäjillesi ja mikä käytäntö auttaa parhaiten lieventämään näitä riskejä.

Tutustu Insider Risk Management Analytics -videoon , jossa kerrotaan, miten analytiikka voi auttaa nopeuttamaan mahdollisten insider-riskien tunnistamista.

Skannatut alueet

Analytiikka etsii riskienhallintatoimintaa useista lähteistä, jotta voidaan tunnistaa merkityksellisiä tietoja mahdollisista riskialueista. Nykyisestä määrityksestä riippuen analytiikka etsii ehdot täyttäviä riskitoimintoja seuraavilta alueilta:

• Microsoft 365 -valvontalokit: Tämä on ensisijainen lähde, jonka avulla tunnistetaan suurin osa mahdollisesti riskialttiista toiminnoista.
• Exchange Online: Kaikkiin tarkistuksiin sisältyvä Exchange Online auttaa tunnistamaan toimintoja, joissa liitteissä olevat tiedot lähetetään sähköpostitse ulkoisille yhteyshenkilöille tai palveluille.
• Azure Active Directory: Kaikkiin tarkistuksiin sisältyvä Azure AD historia auttaa tunnistamaan riskialttiita toimintoja, jotka liittyvät poistettuja käyttäjätilejä käyttäviin käyttäjiin.
• Microsoft 365 HR -tietoliitin: Jos se on määritetty, HR-liittimen tapahtumat auttavat tunnistamaan riskialttiita toimintoja, jotka liittyvät käyttäjiin, joilla on eroamis- tai tulevat päättymispäivät.

Tarkistusten analytiikan merkitykselliset tiedot perustuvat samoihin riskienhallintatoimintojen signaaleihin, joita insider-riskinhallintakäytännöt ja raporttien tulokset käyttävät sekä yksittäisten että sekvenssikäyttäjien toimien perusteella. Analytiikan riskien pisteytys perustuu kuitenkin enintään 10 päivän toimintaan, kun taas insider-riskikäytännöt käyttävät päivittäistä toimintaa merkityksellisiin tietoihin. Kun otat analytiikan käyttöön ja suoritat sitä organisaatiossasi ensimmäisen kerran, näet yhden päivän tarkistuksen tulokset. Jos jätät analytiikan käyttöön, näet jokaisen päivittäisen tarkistuksen tulokset, jotka on lisätty merkityksellisten tietojen raportteihin enintään 10 edellisen toimintapäivän ajalta.

Saat reaaliaikaisia ohjeita ilmaisimen raja-arvoasetusten määrittämiseen

Melun vähentämisen käytäntöjä manuaalisesti säätäminen voi olla hyvin aikaa vievä kokemus, joka edellyttää paljon kokeiluversiota ja virheitä käytäntöjen halutun määrityksen määrittämiseksi. Jos analytiikka on käytössä ja päätät mukauttaa ilmaisimen raja-arvoasetuksia, voit saada reaaliaikaisia merkityksellisiä tietoja analytiikasta, jos haluat hyödyntää ohjattua (tietopohjaista) raja-arvon määrityskokemusta, jonka avulla voit määrittää asianmukaiset raja-arvot, kun luot uuden käytännön tai virität aiemmin luotua käytäntöä. Näiden merkityksellisten tietojen avulla voit tehokkaasti säätää toimintoesiintymän ilmaisimien ja raja-arvojen valintaa niin, että et saa liian vähän tai liikaa käytäntöilmoituksia. Reaaliaikainen analytiikka (esikatselu) perustuu vuokraajasi viimeisten 10 päivän toimintatietoihin ja globaaleihin poissulkemisiin. Lisätietoja reaaliaikaisen analysoinnin raja-arvoasetuksista on kohdassa Ilmaisintason asetukset.

Ota analytiikka käyttöön ja aloita mahdollisten insider-riskien tarkistus organisaatiossasi

Jos haluat ottaa käyttöön insider-riskianalytiikan, sinun on oltava Insider Risk Managementin, Insider Risk Management -järjestelmänvalvojien tai Microsoft 365:n yleisen järjestelmänvalvojan rooliryhmän jäsen.

1. Siirry Microsoft Purview -yhteensopivuusportaali kohtaan Insider-riskinhallinta.

2. Vieritä Yleiskatsaus-välilehdessäAlaspäin Insider-riskin analysointi -korttiin ja valitse sitten Hae organisaatiosi insider-riskit -kohdasta Suorita tarkistus. Tämä ottaa käyttöön analytiikan tarkistuksen organisaatiossasi. Analysointitarkistuksen tulosten tarkasteleminen voi kestää jopa 48 tuntia, ennen kuin merkitykselliset tiedot ovat saatavilla raportteina tarkastelua varten.

   Vihje

   Voit myös ottaa käyttöön skannauksen organisaatiossasi minkä tahansa insider-riskinhallintasivun yläosassa olevan Asetukset-painikkeen kautta. Kun olet valinnut painikkeen, valitse Analytiikka ja ota sitten asetus käyttöön.

   

Tarkastele analytiikan merkityksellisiä tietoja ensimmäisen analytiikan tarkistuksen jälkeen

Kun ensimmäinen analytiikan tarkistus on valmis organisaatiollesi, Insider Risk Management -järjestelmänvalvojien rooliryhmän jäsenet saavat automaattisesti sähköposti-ilmoituksen ja voivat tarkastella käyttäjien alkuperäisiä merkityksellisiä tietoja ja suosituksia mahdollisesti riskialttiista toiminnoista. Päivittäiset tarkistukset jatkuvat, ellet poista analytiikkaa käytöstä organisaatiossasi. Järjestelmänvalvojille ilmoitetaan sähköpostitse kustakin kolmesta vaikutusalueen osa-alueluokasta analysointia varten (tietovuodot, varkaudet ja suodatus) organisaatiosi mahdollisesti riskialttiin toiminnan ensimmäisen esiintymän jälkeen. Sähköposti-ilmoituksia ei lähetetä järjestelmänvalvojille päivittäisistä tarkistuksista johtuvien riskienhallintatoimintojen tunnistuksen seurantaa varten.

Huomautus

Jos Analytiikka-asetus on poistettu käytöstä ja otettu sitten uudelleen käyttöön, automaattiset sähköposti-ilmoitukset nollataan ja sähköposti-ilmoitukset lähetetään Insider Risk Management -järjestelmänvalvojien rooliryhmän jäsenille uusien merkityksellisten tietojen skannaamista varten.

Jos haluat tarkastella organisaatiosi mahdollisia riskejä, siirry Yleiskatsaus-välilehteen ja valitse sitten Insider-riskin analysointi -kortissa Näytä tulokset.

Huomautus

Jos organisaatiosi tarkistus ei ole valmis, näet ilmoituksen siitä, että tarkistus on edelleen aktiivinen.

Valmiissa analyyseissä näet organisaatiossasi havaitut mahdolliset riskit sekä merkitykselliset tiedot ja suositukset näiden riskien käsittelemiseksi. Tunnistetut riskit ja tarkat merkitykselliset tiedot sisältyvät raportteihin, jotka on ryhmitelty alueen mukaan, niiden käyttäjien kokonaismäärään (kaikentyyppiset Azure AD tilit, mukaan lukien käyttäjä, vieras, järjestelmä ja niin edelleen) ja tunnistettuihin riskeihin, niiden käyttäjien prosenttiosuuteen, joilla on mahdollisesti riskialttiita toimintoja, ja suositeltuun insider-riskikäytäntöön, joka auttaa lieventämään näitä riskejä. Raportit sisältävät seuraavat:

• Tiedot vuotavat merkityksellisiä tietoja: Kaikille käyttäjille, joihin saattaa sisältyä tahattoman ylijakamisen tietoja organisaatiosi ulkopuolella tai tietojen vuotoja käyttäjiltä, joilla on pahantahtoinen tarkoitus.
• Tietovarkauden merkitykselliset tiedot: Lähteville käyttäjille tai käyttäjille, joilla on poistettuja Azure AD tilejä, joihin saattaa sisältyä vahingollinen tietojen jakaminen organisaatiosi ulkopuolelle tai tietojen varastaminen käyttäjiltä, joilla on pahantahtoinen tarkoitus.
• Tärkeimmät suodattimen merkitykselliset tiedot: Kaikille käyttäjille, jotka voivat sisältää tietojen jakamista organisaatiosi ulkopuolelle.

Jos haluat näyttää lisätietoja merkityksellistä tietoa varten, valitse Näytä tiedot , jolloin näkyviin tulee merkityksellisten tietojen tietoruutu. Tietoruutu sisältää täydelliset merkitykselliset tiedot, Insider-riskin käytäntösuosituksen ja Luo käytäntö -painikkeen, joiden avulla voit nopeasti luoda suositellun käytännön. Valitsemalla Luo käytäntö siirryt ohjattuun käytännön luomiseen ja valitsee automaattisesti merkityksellisiin tietoihin liittyvän suositellun käytäntömallin. Jos analytiikan merkitykselliset tiedot ovat esimerkiksi Tietovarkaus-toiminnolle , Tietovarkaus-käytäntömalli on esivalittu ohjatussa käytännön ohjatussa toiminnossa puolestasi.

Poista analytiikka käytöstä

Jos haluat poistaa käytöstä insider-riskianalytiikan, sinun on oltava Insider Risk Managementin, Insider Risk Management -järjestelmänvalvojien tai Microsoft 365 :n yleisen järjestelmänvalvojan rooliryhmän jäsen.

Kun olet poistanut analytiikan käytöstä:

• Merkityksellisten tietojen analysointiraportit pysyvät staattisina, eikä niitä päivitetä uusien riskien varalta.
• Et näe reaaliaikaista analytiikkaa, kun mukautat ilmaisimen raja-arvoasetuksia käytännöissäsi.

Analytiikan poistaminen käytöstä:

1. Siirry Microsoft Purview -yhteensopivuusportaali kohtaan Insider-riskinhallinta.
2. Valitse Asetukset-painike ja valitse sitten Analytiikka.
3. Poista asetus käytöstä Analytiikka-sivulla .