Policyer for insider-risikostyring

Viktig

Microsoft Purview administrasjon av intern risiko korrelerer ulike signaler for å identifisere potensielt ondsinnede eller utilsiktede innsiderisikoer, for eksempel IP-tyveri, datalekkasje og sikkerhetsbrudd. Insider Risk Management gjør det mulig for kunder å opprette policyer for å administrere sikkerhet og samsvar. Brukere er bygget med personvern etter utforming, og er pseudonymisert som standard, og rollebaserte tilgangskontroller og revisjonslogger er på plass for å sikre personvern på brukernivå.

Policyer for insider-risikostyring avgjør hvilke brukere som er i omfanget, og hvilke typer risikoindikatorer som er konfigurert for varsler. Du kan raskt opprette en sikkerhetspolicy som gjelder for alle brukere i organisasjonen, eller definere individuelle brukere eller grupper for administrasjon i en policy. Policyer støtter innholdsprioriteringer for å fokusere policybetingelser på flere eller bestemte Microsoft Teams, SharePoint-nettsteder, datafølsomhetstyper og dataetiketter. Ved hjelp av maler kan du velge bestemte risikoindikatorer og tilpasse hendelsesterskler for policyindikatorer, effektivt tilpasse risikoresultater og nivå og frekvens for varsler.

Du kan også konfigurere policyer for rask datalekkasje og datatyveri ved å angi brukerpolicyer som automatisk definerer policybetingelser basert på resultater fra de nyeste analysene. Risikoscoreboostere og avviksregistreringer bidrar også til å identifisere potensielt risikabel brukeraktivitet som er av høyere betydning eller uvanlig. Med policyvinduer kan du definere tidsrammen for å bruke policyen til å varsle aktiviteter og brukes til å bestemme varigheten av policyen når den er aktivert.

Se videoen om konfigurasjon av policyer for insider-risikobehandling for å få en oversikt over hvordan policyer som er opprettet med innebygde policymaler, kan hjelpe deg med raskt å håndtere potensielle risikoer.

Tips

Hvis du ikke er en E5-kunde, kan du prøve alle premiumfunksjonene i Microsoft Purview gratis. Bruk den 90-dagers prøveversjonen av Purview-løsninger til å utforske hvordan robuste Purview-funksjoner kan hjelpe organisasjonen med å administrere datasikkerhet og samsvarsbehov. Start nå på Microsoft Purview-samsvarsportal trials hub. Lær mer om registrering og prøveabonnementer.

Instrumentbord for policy

Med instrumentbordet for policyer kan du raskt se policyene i organisasjonen, tilstanden til policyen, legge til brukere manuelt i sikkerhetspolicyer og vise statusen for varsler som er knyttet til hver policy.

  • Policynavn: Navn tilordnet policyen i policyveiviseren.
  • Status: Tilstandsstatus for hver policy. Viser antall policyadvarsler og anbefalinger, eller statusen Sunn for policyer uten problemer. Du kan velge policyen for å se tilstandsstatusdetaljene for eventuelle advarsler eller anbefalinger.
  • Aktive varsler: Antall aktive varsler for hver policy.
  • Bekreftede varsler: Totalt antall varsler som resulterte i tilfeller fra policyen de siste 365 dagene.
  • Handlinger utført på varsler: Totalt antall varsler som ble bekreftet eller avvist de siste 365 dagene.
  • Policyvarslingseffektivitet: Prosent som bestemmes av totalt antall bekreftede varsler delt på totalt antall handlinger som er utført på varsler (som er summen av varsler som ble bekreftet eller avvist i løpet av det siste året).

Instrumentbord for insider-risikostyringspolicy

Policyanbefalinger fra analyse

Insider Risk Analytics gir deg en samlet oversikt over anonymiserte brukeraktiviteter relatert til sikkerhet og samsvar, slik at du kan evaluere potensielle insider-risikoer i organisasjonen uten å konfigurere policyer for innsiderisiko. Denne evalueringen kan hjelpe organisasjonen med å identifisere potensielle områder med høyere risiko og bidra til å fastslå typen og omfanget av policyer for insider-risikostyring som du kan vurdere å konfigurere. Hvis du bestemmer deg for å handle på analyseskanningsresultater for datalekkasjer eller datatyveri ved å forlate brukernes policyer, har du til og med muligheten til å konfigurere en rask policy basert på disse resultatene.

Hvis du vil lære mer om insider risk analytics og policyanbefalinger, kan du se insider risk management settings: Analytics.

For mange organisasjoner kan det være en utfordring å komme i gang med en innledende policy. Hvis du ikke har brukt insider risk management før og bruker de anbefalte handlingene for å komme i gang, kan du konfigurere en rask policy for å fremskynde generelle datalekkasjer eller datatyverier ved å forlate brukernes retningslinjer. Hurtigpolicyinnstillinger fylles automatisk ut basert på resultater fra den nyeste analyseskanningen i organisasjonen. Hvis kontrollen for eksempel oppdaget potensielle datalekkasjeaktiviteter, vil hurtigpolicyen inkludere indikatorene som brukes til å oppdage disse aktivitetene.

Kom i gang ved å se gjennom innstillingene for hurtigpolicyer og konfigurere policyen med ett enkelt valg. Hvis du trenger å tilpasse en hurtigpolicy, kan du endre betingelsene under den første konfigurasjonen eller etter at policyen er opprettet. Du kan også holde deg oppdatert med gjenkjenningsresultatene for en rask policy ved å konfigurere e-postvarsler hver gang du har en policyadvarsel, eller hver gang policyen genererer et varsel med høy alvorlighetsgrad.

Policymaler

Maler for insider-risikostyring er forhåndsdefinerte policybetingelser som definerer typene risikoindikatorer og risikopoengmodell som brukes av policyen. Hver policy må ha en mal tilordnet i veiviseren for oppretting av policy før policyen opprettes. Insider Risk Management støtter opptil fem policyer for hver policymal. Når du oppretter en ny policy for insider-risiko med policyveiviseren, velger du fra én av følgende policymaler:

Datatyveri ved å forlate brukere

Når brukere forlater organisasjonen, finnes det spesifikke risikoindikatorer som vanligvis er knyttet til potensielle datatyverier ved å forlate brukere. Denne policymalen bruker eksfiltreringsindikatorer for risikopoengberegning og fokuserer på gjenkjenning og varsler i dette risikoområdet. Datatyveri for brukere med avgang kan omfatte nedlasting av filer fra SharePoint Online, utskrift av filer og kopiering av data til personlige skymeldingstjenester og lagringstjenester i nærheten av ansettelsesavslutnings- og sluttdatoene. Ved å bruke enten Microsoft HR-koblingen eller alternativet for automatisk å se etter sletting av brukerkontoer i Azure Active Directory for organisasjonen, begynner denne malen å score for risikoindikatorer knyttet til disse aktivitetene, og hvordan de samsvarer med brukeransettelsesstatus.

Viktig

Når du bruker denne malen, kan du konfigurere en Microsoft 365 HR-kobling til regelmessig å importere informasjon om oppsigelses- og avslutningsdato for brukere i organisasjonen. Se importdataene med HR-koblingsartikkelen for trinnvis veiledning for å konfigurere Microsoft 365 HR-kobling. Hvis du velger ikke å bruke HR-koblingen, må du velge brukerkontoen som er slettet fra azure Active Directory-alternativet når du konfigurerer utløserhendelser i policyveiviseren.

Datalekkasjer

Beskyttelse av data og forebygging av datalekkasjer er en konstant utfordring for de fleste organisasjoner, spesielt med den raske veksten av nye data som opprettes av brukere, enheter og tjenester. Brukere har mulighet til å opprette, lagre og dele informasjon på tvers av tjenester og enheter som gjør administrasjon av datalekkasjer stadig mer komplisert og vanskelig. Datalekkasjer kan omfatte utilsiktet overdeling av informasjon utenfor organisasjonen eller datatyveri med ondsinnede hensikter. Med en tilordnet Microsoft Purview hindring av datatap (DLP)-policy, innebygde eller tilpassbare utløserhendelser begynner denne malen å finne mistenkelige SharePoint Online-datanedlastinger, fil- og mappedeling, utskriftsfiler og kopiering av data til personlige skymeldinger og lagringstjenester.

Når du bruker en mal for datalekkasjer , kan du tilordne en DLP-policy til å utløse indikatorer i policyen for innsiderisiko for varsler med høy alvorlighetsgrad i organisasjonen. Når et varsel med høy alvorlighetsgrad genereres av en DLP-policyregel som legges til i Office 365 overvåkingslogg, undersøker policyer for innsiderisiko som er opprettet med denne malen, automatisk DLP-varselet med høy alvorlighetsgrad. Hvis varselet inneholder en bruker i omfanget som er definert i policyen for insider-risiko, behandles varselet av policyen for innsiderisiko som et nytt varsel og tilordnet en alvorlighetsgrad og risikopoengsum for innsiderisiko. Du kan også velge å tilordne valgte indikatorer som utløserhendelser for en policy. Denne fleksibiliteten og tilpassingen bidrar til å begrense policyen til bare aktivitetene som dekkes av indikatorene. Med denne policyen kan du evaluere dette varselet i kontekst med andre aktiviteter som er inkludert i saken.

Retningslinjer for policy for datalekkasjer

Når du oppretter eller endrer policyer for hindring av tap av data for bruk med policyer for insider-risikostyring, bør du vurdere følgende retningslinjer:

  • Prioriter dataeksfiltreringshendelser og vær selektiv når du tilordner innstillingene for hendelsesrapporter til Høy når du konfigurerer regler i DLP-policyene. E-postsensitive dokumenter til en kjent konkurrent bør for eksempel være en exfiltration-hendelse på høyt varslingsnivå. Overtilordning av det høye nivået i innstillingene for hendelsesrapporter i andre DLP-policyregler kan øke støyen i varslingsarbeidsflyten for insider-risikostyring og gjøre det vanskeligere for dataetterforskere og analytikere å evaluere disse varslene på riktig måte. Hvis du for eksempel tilordner høye varslingsnivåer for å få tilgang til fornektelsesaktiviteter i DLP-policyer, blir det mer utfordrende å evaluere virkelig risikabel brukeratferd og aktiviteter.

  • Når du bruker en DLP-policy som utløserhendelse, må du sørge for at du forstår og konfigurerer de infangerte brukerne i både DLP- og Insider Risk Management-policyene på riktig måte. Bare brukere som er definert som in-scope for insider risk management policies using the Data leaks template will have high severity DLP policy alerts processed. I tillegg analyseres bare brukere som er definert som omfang i en regel for DLP-varsel med høy alvorlighetsgrad, av policyen for insider-risikostyring for vurdering. Det er viktig at du ikke bevisst konfigurerer brukere i omfanget i både DLP- og insider-risikopolicyer på en motstridende måte.

    Hvis for eksempel DLP-policyreglene er begrenset til bare brukere i salgsteamet, og policyen for innsiderisiko som er opprettet fra malen for datalekkasjer , har definert alle brukere som omfangsområder, vil policyen for innsiderisiko bare behandle DLP-varsler med høy alvorlighetsgrad for brukerne i salgsteamet. Policyen for insider-risiko mottar ingen DLP-varsler med høy prioritet som brukere kan behandle som ikke er definert i DLP-reglene i dette eksemplet. Hvis policyen for insider-risikostyring som er opprettet fra datalekkasjemaler , er begrenset til bare brukere i salgsteamet og den tilordnede DLP-policyen er begrenset til alle brukere, vil policyen for innsiderisiko bare behandle DLP-varsler med høy alvorlighetsgrad for medlemmer av salgsteamet. Policyen for insider risk management ignorerer DLP-varsler med høy alvorlighetsgrad for alle brukere som ikke er i salgsteamet.

  • Kontroller at regelinnstillingen for hendelsesrapporter i DLP-policyen som brukes for denne insider-risikostyringsmalen, er konfigurert for varsler på høyt alvorlighetsgradsnivå. Høyt alvorlighetsgradsnivå er utløserhendelser, og varsler om insider-risikostyring genereres ikke fra regler i DLP-policyer med hendelsesrapportfeltet satt til Lav eller Middels.

    Varselinnstilling for DLP-policy.

    Obs!

    Når du oppretter en ny DLP-policy ved hjelp av de innebygde malene, må du velge alternativet Opprett eller tilpass avanserte DLP-regler for å konfigurere innstillingen for hendelsesrapporter for høyt alvorlighetsgradsnivå.

Hver policy for insider-risikostyring som er opprettet fra malen for datalekkasjer , kan bare ha én DLP-policy tilordnet når du bruker dette utløserhendelsesalternativet. Vurder å opprette en dedikert DLP-policy som kombinerer de ulike aktivitetene du vil oppdage og fungere som utløsende hendelser for policyer for innsiderisiko som bruker malen datalekkasjer .

Se artikkelen Opprette, teste og justere en DLP-policy for trinnvis veiledning for å konfigurere DLP-policyer for organisasjonen.

Datalekkasjer fra prioriterte brukere (forhåndsversjon)

Beskyttelse av data og hindring av datalekkasjer for brukere i organisasjonen kan avhenge av deres posisjon, tilgangsnivå til sensitiv informasjon eller risikohistorikk. Datalekkasjer kan omfatte utilsiktet overdeling av svært sensitiv informasjon utenfor organisasjonen eller datatyveri med ondsinnede hensikter. Med en tilordnet policy for hindring av datatap (DLP) som et utløsende hendelsesalternativ, begynner denne malen å registrere mistenkelig aktivitet i sanntid og resultere i økt sannsynlighet for varsler og varsler om innsiderisiko med høyere alvorlighetsgrad. Prioriterte brukere defineres i prioriterte brukergrupper som er konfigurert i innstillingsområdet for insider-risikostyring.

Som med malen datalekkasjer kan du velge en DLP-policy for å utløse indikatorer i policyen for innsiderisiko for varsler med høy alvorlighetsgrad i organisasjonen. Følg retningslinjene for datalekkasjepolicyer for DLP-policyer når du oppretter en policy med DLP-alternativet når du bruker denne malen. Du kan også velge å tilordne valgte indikatorer som utløserhendelser for en policy. Denne fleksibiliteten og tilpassingen bidrar til å begrense policyen til bare aktivitetene som dekkes av indikatorene. I tillegg må du tilordne prioriterte brukergrupper som er opprettet i brukergrupper for insider-risikostyringsinnstillinger>>, til policyen.

Datalekkasjer fra risikable brukere (forhåndsversjon)

Når brukere opplever stress, kan de bli risikable brukere, noe som kan øke sjansene for innsiderisikoaktivitet. Denne malen starter poengbrukeraktivitet når en indikator som er knyttet til en risikabel bruker, identifiseres. Eksempler kan være varsler om ytelsesforbedring, dårlige ytelsesvurderinger, endringer i jobbnivåstatus eller e-post og andre meldinger som kan signalisere risikoaktiviteter. Datalekkasjer for risikable brukere kan omfatte nedlasting av filer fra SharePoint Online og kopiering av data til personlige skymeldinger og lagringstjenester.

Når du bruker denne malen, må du enten konfigurere en HR-kobling, velge alternativet for å integrere risikosignaler for kommunikasjonssamsvar fra brukermeldinger, eller velge begge deler. HR-koblingen aktiverer periodisk import av varsler om ytelsesforbedringer, statuser for dårlig ytelsesgjennomgang eller informasjon om endring av jobbnivå for brukere i organisasjonen. Integrering av kommunikasjonssamsvarsrisiko importerer signaler for brukermeldinger som kan inneholde potensielt truende, trakasserende eller diskriminerende tekstinnhold. Tilknyttede varsler som genereres i samsvar med kommunikasjon trenger ikke å bli triaged, utbedret eller endret i status for å bli integrert med policyen for insider risk management.

Hvis du vil konfigurere en HR-kobling, kan du se artikkelen Importer data med HR-koblingen . Hvis du vil konfigurere integrasjon med kommunikasjonssamsvar, velger du dette alternativet i veiviseren når du konfigurerer policyen.

Brudd på sikkerhetspolicyer (forhåndsversjon)

I mange organisasjoner har brukere tillatelse til å installere programvare på enhetene sine eller endre enhetsinnstillinger for å hjelpe til med oppgavene sine. Brukere kan installere skadelig programvare eller deaktivere viktige sikkerhetsfunksjoner som bidrar til å beskytte informasjon på enheten eller på nettverksressursene, enten utilsiktet eller med ondsinnede hensikter. Denne policymalen bruker sikkerhetsvarsler fra Microsoft Defender for endepunkt til å begynne å score disse aktivitetene og fokusgjenkjenning og varsler til dette risikoområdet. Bruk denne malen til å gi innsikt i brudd på sikkerhetspolicyer i scenarioer der brukere kan ha en logg over sikkerhetspolicybrudd som kan være en indikator på insider-risiko.

Du må ha Microsoft Defender for endepunkt konfigurert i organisasjonen og aktivere Defender for Endpoint for insider risk management-integrering i Defender Security Center for å importere varsler om sikkerhetsbrudd. Hvis du vil ha mer informasjon om hvordan du konfigurerer Defender for Endpoint for integrering av insider-risikostyring, kan du se Konfigurere avanserte funksjoner i Defender for Endpoint.

Misbruk av pasientdata (forhåndsversjon)

Beskyttelse av journaldata for helsetjenester og forebygging av misbruk av personopplysninger for pasienter er en betydelig bekymring for organisasjoner i helsesektoren. Dette misbruket kan omfatte konfidensielle datalekkasjer til uautoriserte personer, uredelig endring av pasientjournaler eller tyveri av pasientjournaler. Forebygging av denne misbruk av pasientdata, enten på grunn av mangel på bevissthet, uaktsomhet eller svindel av brukere er også viktig komponent i å møte de regulatoriske kravene i Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health (HITECH) Act. Begge disse handlingene etablerer kravene for å sikre pasientbeskyttet helseinformasjon (PHI).

Denne policymalen aktiverer risikopoeng for interne brukere som oppdager mistenkelige aktiviteter knyttet til poster som driftes på eksisterende emr-systemer (electronic medical record). Gjenkjenning fokuserer på uautorisert tilgang, visning, endring og eksport av pasientdata. Du må konfigurere en kobling til Microsoft Healthcare-koblingen eller Epic-koblingen for å støtte gjenkjenning av tilgangs-, eksfiltrasjons- eller obfuscation-aktiviteter i EMR-systemet.

Når du bruker denne malen, må du også konfigurere en Microsoft HR-kobling til regelmessig å importere organisasjonsprofildata for brukere i organisasjonen. Se artikkelen Konfigurer en kobling for å importere HR-data for trinnvis veiledning for å konfigurere Microsoft 365 HR-kobling.

Risikabel nettleserbruk (forhåndsversjon)

Identifisering av brukerbesøk til potensielt upassende eller uakseptable nettsteder på organisasjonsenheter og nettverk er en viktig del av å minimere sikkerhet, juridiske og regulatoriske risikoer. Brukere som utilsiktet eller målrettet besøker denne typen nettsteder, kan utsette organisasjonen for juridiske handlinger fra andre brukere, bryte forskriftsmessige krav, øke nettverkssikkerhetsrisikoer eller sette nåværende og fremtidige forretningsoperasjoner og muligheter i fare. Dette misbruket er ofte definert i en organisasjons policy for akseptabel bruk for brukerenheter og organisasjonsnettverksressurser, men det er ofte vanskelig å raskt identifisere og handle på.

For å beskytte deg mot disse risikoene kan denne policyen bidra til å oppdage og aktivere risikopoengvurdering for nettlesing som kan være i strid med organisasjonens akseptable brukspolicy, for eksempel å besøke nettsteder som utgjør en trussel (for eksempel phishing-nettsteder) eller inneholde innhold for voksne. Flere typer kategorier er tilgjengelige for automatisk kategorisering av nettlesingsaktiviteter av brukere med omfang.

Når du bruker denne policymalen, trenger du flere forutsetninger. Hvis du vil ha mer informasjon, kan du se Lær om og konfigurere nettlesersignalregistrering for insider-risikostyring.

Brudd på sikkerhetspolicy ved å forlate brukere (forhåndsversjon)

Brukere som forlater brukerne, enten de går på positive eller negative vilkår, kan være høyere risiko for brudd på sikkerhetspolicyen. Denne policymalen bruker Defender for endepunktvarsler til å gi innsikt i sikkerhetsrelaterte aktiviteter for å beskytte mot utilsiktede eller skadelige sikkerhetsbrudd for brukere som forlater brukere. Disse aktivitetene omfatter brukeren som installerer skadelig programvare eller andre potensielt skadelige programmer og deaktiverer sikkerhetsfunksjoner på enhetene sine. Ved å bruke enten Microsoft HR-kobling eller alternativet for automatisk å se etter sletting av brukerkontoer i Azure Active Directory for organisasjonen, begynner denne malen å score for risikoindikatorer knyttet til disse sikkerhetsaktivitetene og hvordan de samsvarer med brukeransettelsesstatus.

Du må ha Microsoft Defender for endepunkt konfigurert i organisasjonen og aktivere Defender for Endpoint for insider risk management-integrering i Defenfder Security Center for å importere varsler om sikkerhetsbrudd. Hvis du vil ha mer informasjon om hvordan du konfigurerer Defender for Endpoint for integrering av insider-risikostyring, kan du se Konfigurere avanserte funksjoner i Defender for Endpoint.

Brudd på sikkerhetspolicyer etter prioriterte brukere (forhåndsversjon)

Beskyttelse mot sikkerhetsbrudd for brukere i organisasjonen kan avhenge av posisjonen deres, tilgangsnivået til sensitiv informasjon eller risikologgen. Fordi sikkerhetsbrudd av prioriterte brukere kan ha en betydelig innvirkning på organisasjonens kritiske områder, begynner denne policymalen å score på disse indikatorene, og bruker Microsoft Defender for endepunkt varsler til å gi innsikt i sikkerhetsrelaterte aktiviteter for disse brukerne. Disse aktivitetene kan omfatte prioriterte brukere som installerer skadelig programvare eller andre potensielt skadelige programmer og deaktiverer sikkerhetsfunksjoner på enhetene sine. Prioriterte brukere defineres i prioriterte brukergrupper som er konfigurert i innstillingsområdet for insider-risikostyring.

Du må ha Microsoft Defender for endepunkt konfigurert i organisasjonen og aktivere Defender for Endpoint for insider risk management-integrering i Defender Security Center for å importere varsler om sikkerhetsbrudd. Hvis du vil ha mer informasjon om hvordan du konfigurerer Defender for Endpoint for integrering av insider-risikostyring, kan du se Konfigurere avanserte funksjoner i Defender for Endpoint. I tillegg må du tilordne prioriterte brukergrupper som er opprettet i brukergrupper for insider-risikostyringsinnstillinger>>, til policyen.

Brudd på sikkerhetspolicy av risikable brukere (forhåndsversjon)

Brukere som opplever stress i ansettelsen, kan ha høyere risiko for utilsiktede eller skadelige sikkerhetspolicybrudd. Disse stressfaktorene kan resultere i virkemåter som fører til at brukeren plasseres på en ytelsesforbedringsplan, en dårlig status for ytelsesgjennomgang, degradering fra gjeldende posisjon, eller at brukeren sender e-post og andre meldinger som kan signalisere risikabel atferd. Denne policymalen starter risikopoengvurdering basert på disse indikatorene og aktivitetene som er knyttet til disse hendelsene for disse brukerne.

Når du bruker denne malen, må du konfigurere en HR-kobling eller velge alternativet for å integrere risikosignaler for kommunikasjonssamsvar fra brukermeldinger eller begge deler. HR-koblingen aktiverer periodisk import av varsler om ytelsesforbedringer, statuser for dårlig ytelsesgjennomgang eller informasjon om endring av jobbnivå for brukere i organisasjonen. Integrering av kommunikasjonssamsvarsrisiko importerer signaler for brukermeldinger som kan inneholde potensielt truende, trakasserende eller diskriminerende tekstinnhold. Tilknyttede varsler som genereres i samsvar med kommunikasjon trenger ikke å triaged, utbedres eller endres i status for å bli integrert med policyen for insider risk management. Hvis du vil konfigurere en HR-kobling, kan du se artikkelen Importer data med HR-koblingen . Hvis du vil konfigurere integrasjon med kommunikasjonssamsvar, velger du dette alternativet i veiviseren når du konfigurerer policyen.

Du må også ha Microsoft Defender for endepunkt konfigurert i organisasjonen og aktivere Defender for Endpoint for insider risk management-integrering i Defender Security Center for å importere varsler om sikkerhetsbrudd. Hvis du vil ha mer informasjon om hvordan du konfigurerer Defender for Endpoint for integrering av insider-risikostyring, kan du se Konfigurere avanserte funksjoner i Defender for Endpoint.

Forutsetninger for policymaler og utløserhendelser

Avhengig av malen du velger for en policy for insider risk management, varierer utløsingshendelser og policyangitte. Utløserhendelser er forutsetninger som avgjør om en bruker er aktiv for en policy for insider-risikostyring. Hvis en bruker legges til i en policy for insider risk management, men ikke har en utløsende hendelse, evalueres ikke brukeraktiviteten av policyen med mindre de legges til manuelt på instrumentbordet for brukere. Forutsetninger for policyer er nødvendige elementer, slik at policyen mottar signalene eller aktivitetene som er nødvendige for å evaluere risiko.

Tabellen nedenfor viser utløserhendelser og forutsetninger for policyer som er opprettet fra hver policymal for insider risk management:

Policymal Utløser hendelser for policyer Forutsetninger
Datatyveri ved å forlate brukere Indikator for oppsigelses- eller avslutningsdato fra HR-kobling eller sletting av Azure Active Directory-konto (valgfritt) Microsoft 365 HR-kobling konfigurert for indikatorer for avslutnings- og oppsigelsesdato
Datalekkasjer Aktivitet for datalekkasjepolicy som oppretter et varsel om høy alvorlighetsgrad eller innebygde utløsere for eksfiltreringshendelser DLP-policy konfigurert for varsler om høy alvorlighetsgrad

ELLER

Egendefinerte utløserindikatorer
Datalekkasjer fra prioriterte brukere Aktivitet for datalekkasjepolicy som oppretter et varsel om høy alvorlighetsgrad eller innebygde utløsere for eksfiltreringshendelser DLP-policy konfigurert for varsler om høy alvorlighetsgrad

ELLER

Egendefinerte utløserindikatorer

Prioriterte brukergrupper konfigurert i insider-risikoinnstillinger
Datalekkasjer fra risikable brukere – Ytelsesforbedring, dårlig ytelse eller endringsindikatorer på jobbnivå fra HR-koblingen.
– Meldinger som inneholder potensielt truende, trakasserende eller diskriminerende språk
Microsoft 365 HR-kobling konfigurert for misfornøyde indikatorer

AND/OR

Integrering av kommunikasjonssamsvar og dedikerte retningslinjer for misnøye
Brudd på sikkerhetspolicy Forsvarsunndragelse av sikkerhetskontroller eller uønsket programvare oppdaget av Microsoft Defender for endepunkt Aktivt Microsoft Defender for endepunkt-abonnement

Microsoft Defender for endepunkt integrering med Microsoft Purview-samsvarsportal konfigurert
Misbruk av pasientdata Forsvarsunndragelse av sikkerhetskontroller fra EMR-systemer

Samsvarende indikatorer for bruker- og pasientadresser fra HR-systemer
Indikatorer for helsetilgang valgt i policy- eller innsiderisikoinnstillinger

Microsoft 365 HR-kobling konfigurert for adressesamsvar

Microsoft Healthcare eller Epic Connector konfigurert
Risikobasert nettleserbruk Brukerleseraktivitet relatert til sikkerhet som samsvarer med minst én valgt indikator for visning Se den fullstendige listen over forutsetninger i artikkelen om signalregistrering i nettleseren
Brudd på sikkerhetspolicy ved å forlate brukere Indikatorer for oppsigelses- eller avslutningsdato fra HR-kobling eller sletting av Azure Active Directory-konto (valgfritt) Microsoft 365 HR-kobling konfigurert for indikatorer for avslutnings- og oppsigelsesdato

Aktivt Microsoft Defender for endepunkt-abonnement

Microsoft Defender for endepunkt integrering med Microsoft Purview-samsvarsportal konfigurert
Brudd på sikkerhetspolicy av prioriterte brukere Forsvarsunndragelse av sikkerhetskontroller eller uønsket programvare oppdaget av Microsoft Defender for endepunkt Aktivt Microsoft Defender for endepunkt-abonnement

Microsoft Defender for endepunkt integrering med Microsoft Purview-samsvarsportal konfigurert

Prioriterte brukergrupper konfigurert i insider-risikoinnstillinger
Brudd på sikkerhetspolicy av risikable brukere – Ytelsesforbedring, dårlig ytelse eller endringsindikatorer på jobbnivå fra HR-koblingen.
– Meldinger som inneholder potensielt truende, trakasserende eller diskriminerende språk
Microsoft 365 HR-kobling konfigurert for risikoindikatorer

AND/OR

Integrering av kommunikasjonssamsvar og dedikert risikabel brukerpolicy

OG

Aktivt Microsoft Defender for endepunkt-abonnement

Microsoft Defender for endepunkt integrering med Microsoft Purview-samsvarsportal konfigurert

Prioritere innhold i policyer

Policyer for insider-risikostyring støtter angivelse av høyere prioritet for innhold, avhengig av hvor det lagres, innholdstypen eller hvordan det klassifiseres. Du kan også velge om du vil tilordne risikoresultater til alle aktiviteter som oppdages av en policy eller bare aktiviteter som inkluderer prioritert innhold. Hvis du angir innhold som prioritet, økes risikoresultatet for alle tilknyttede aktiviteter, noe som igjen øker sjansen for å generere et varsel med høy alvorlighetsgrad. Noen aktiviteter genererer imidlertid ikke et varsel i det hele tatt med mindre det relaterte innholdet inneholder innebygde eller egendefinerte sensitive informasjonstyper eller ble angitt som en prioritet i policyen.

Organisasjonen har for eksempel et dedikert SharePoint-område for et svært konfidensielt prosjekt. Datalekkasjer for informasjon på dette SharePoint-nettstedet kan kompromittere prosjektet og ha en betydelig innvirkning på suksessen. Ved å prioritere dette SharePoint-området i en policy for datalekkasjer økes risikoresultatene for kvalifiserte aktiviteter automatisk. Denne prioriteringen øker sannsynligheten for at disse aktivitetene genererer et insider-risikovarsel og øker alvorsgradnivået for varselet.

I tillegg kan du velge å fokusere denne policyen for SharePoint-områdeaktivitet som bare inkluderer prioritert innhold for dette prosjektet. Risikoresultater blir tilordnet, og varsler genereres bare når angitte aktiviteter inkluderer prioritert innhold. Aktiviteter uten prioritert innhold får ikke poengsum, men du kan fremdeles se gjennom dem hvis det genereres et varsel.

Obs!

Hvis du konfigurerer en policy til å generere varsler bare for aktiviteter som inkluderer prioritert innhold, brukes ingen endringer på boostere for risikopoengsum.

Når du oppretter en policy for insider risk management i policyveiviseren, kan du velge blant følgende prioriteringer:

  • SharePoint-områder: Enhver aktivitet som er knyttet til alle filtyper i definerte SharePoint-områder, tilordnes en høyere risikopoengsum. Brukere som konfigurerer policyen og velger prioriterte SharePoint-områder, kan velge SharePoint-områder de har tilgang til. Hvis SharePoint-områder ikke er tilgjengelige for valg i policyen av gjeldende bruker, kan en annen bruker med de nødvendige tillatelsene velge områdene for policyen senere, eller den gjeldende brukeren bør få tilgang til de nødvendige områdene.
  • Sensitive informasjonstyper: Enhver aktivitet som er knyttet til innhold som inneholder sensitive informasjonstyper , tilordnes en høyere risikopoengsum.
  • Følsomhetsetiketter: Enhver aktivitet som er knyttet til innhold som har spesifikke følsomhetsetiketter, tilordnes en høyere risikopoengsum.
  • Filtyper: Enhver aktivitet knyttet til innhold som har bestemte filtyper. Brukere som konfigurerer en policy for datatyveri/lekkasje som velger Filtyper som skal prioriteres i policyveiviseren, kan definere opptil 50 filtyper som skal prioriteres i policyen. Innskrevne utvidelser kan inkludere eller utelate en «.» som det første tegnet i den prioriterte filtypen.
  • Kalibrerbare klassifierere: Enhver aktivitet som er knyttet til innhold som er inkludert i en kalibrerbar klassifier. Brukere som konfigurerer en policy som velger Kalibrerbare klassifiere i policyveiviseren, kan velge opptil fem kalibrerbare klassifier som skal gjelde for policyen. Disse klassifiererne kan være eksisterende klassifiere som identifiserer mønstre av sensitiv informasjon, for eksempel personnummer, kredittkort eller bankkontonumre eller egendefinerte klassifierer som er opprettet i organisasjonen.

Sekvensgjenkjenning (forhåndsvisning)

Risikostyringsaktiviteter kan ikke forekomme som isolerte hendelser. Disse risikoene er ofte en del av en større sekvens av hendelser. En sekvens er en gruppe med to eller flere potensielt risikable aktiviteter utført etter hverandre som kan tyde på en forhøyet risiko. Identifisering av disse relaterte brukeraktivitetene er en viktig del av evalueringen av den generelle risikoen. Når sekvensregistrering er valgt for policyer for datatyveri eller datalekkasjer, vises innsikt fra sekvensinformasjonsaktiviteter på Brukeraktivitet-fanen i en insider risk management-sak. Følgende policymaler støtter sekvensgjenkjenning:

  • Datatyveri ved å forlate brukere
  • Datalekkasjer
  • Datalekkasjer fra prioriterte brukere
  • Datalekkasjer fra risikable brukere

Disse policyene for insider-risikostyring kan bruke bestemte indikatorer og rekkefølgen de utfører for å oppdage hvert trinn i en sekvens av risiko. For policyer som er opprettet fra datalekkasjer og datalekkasjer etter prioriterte brukermaler , kan du også velge hvilke sekvenser som utløser policyen. Filnavn brukes når du tilordner aktiviteter på tvers av en sekvens. Disse risikoene er organisert i fire hovedkategorier for aktivitet:

  • Samling: Oppdager nedlastingsaktiviteter av policybrukere i omfanget. Eksempel på risikostyringsaktiviteter inkluderer nedlasting av filer fra SharePoint-områder eller flytting av filer til en komprimert mappe.
  • Exfiltration: Oppdager delings- eller uttrekkingsaktiviteter til interne og eksterne kilder av policybrukere i omfanget. Et eksempel på risikostyringsaktivitet inkluderer sending av e-postmeldinger med vedlegg fra organisasjonen til eksterne mottakere.
  • Obfuscation: Oppdager maskering av potensielt risikable aktiviteter av policybrukere i omfanget. Eksempel på risikostyringsaktiviteter inkluderer å gi nytt navn til filer på en enhet eller fjerne eller nedgradere følsomhetsetiketter på SharePoint-filer.
  • Opprydding: Oppdager slettingsaktiviteter av policybrukere i omfang. Et eksempel på risikostyringsaktivitet omfatter sletting av filer fra en enhet.

Obs!

Sekvensregistrering bruker indikatorer som er aktivert i de globale innstillingene for insider risk management. Hvis riktige indikatorer ikke er valgt, kan du aktivere disse indikatorene i sekvensregistreringstrinnet i policyveiviseren.

Du kan tilpasse individuelle terskelinnstillinger for hver sekvensregistreringstype når den er konfigurert i policyen. Disse terskelinnstillingene justerer varsler basert på volumet på filer som er knyttet til sekvenstypen.

Hvis du vil lære mer om administrasjon av sekvensregistrering i brukeraktivitetsvisningen , kan du se tilfeller for insider-risikostyring: Brukeraktivitet.

Kumulativ eksfiltreringsgjenkjenning (forhåndsversjon)

Med personvern på som standard bidrar indikatorer for innsiderisiko til å identifisere uvanlige nivåer av risikoaktiviteter når de evalueres daglig for brukere som er i området for policyer for innsiderisiko. Kumulativ eksfiltreringsgjenkjenning bruker maskinlæringsmodeller for å hjelpe deg med å identifisere når exfiltration-aktiviteter som en bruker utfører over en viss tid, overskrider den normale mengden som er utført av brukere i organisasjonen de siste 30 dagene over flere eksfiltreringsaktivitetstyper. Hvis en bruker for eksempel har delt flere filer enn de fleste brukere i løpet av den siste måneden, vil denne aktiviteten bli oppdaget og klassifisert som en kumulativ eksfiltreringsaktivitet.

Insider risk management analytikere og etterforskere kan bruke kumulativ exfiltration detection innsikt for å identifisere exfiltration aktiviteter som kanskje ikke vanligvis genererer varsler , men er over hva som er typisk for organisasjonen. Noen eksempler kan være at brukere sakte eksfiltrerer data på tvers av en rekke dager, eller når brukere gjentatte ganger deler data på tvers av flere kanaler mer enn vanlig for datadeling for organisasjonen, eller sammenlignet med deres nodegrupper.

Obs!

Kumulativ eksfiltreringsgjenkjenning genererer som standard risikoresultater basert på en brukers kumulative eksfiltreringsaktivitet sammenlignet med organisasjonens normer. Du kan aktivere alternativer for kumulativ eksfiltreringsgjenkjenning i delen Policyindikatorer på innstillingssiden for insider-risikostyring. Resultater med høyere risiko tilordnes til kumulative exfiltration-aktiviteter for SharePoint-områder, sensitive informasjonstyper og innhold med følsomhetsetiketter konfigurert som prioritert innhold i en policy eller for aktivitet som involverer etiketter som er konfigurert som høy prioritet i Microsoft Purview informasjonsbeskyttelse.

Kumulativ eksfiltreringsgjenkjenning aktiveres som standard når du bruker følgende policymaler:

  • Datatyveri ved å forlate brukere
  • Datalekkasjer
  • Datalekkasjer fra prioriterte brukere
  • Datalekkasjer fra risikable brukere

Nodegrupper for kumulativ exfiltration-gjenkjenning

Insider Risk Management identifiserer tre typer nodegrupper for analyse av eksfiltreringsaktivitet utført av brukere. Nodegrupper som er definert for brukere, er basert på følgende vilkår:

SharePoint-nettsteder: Insider Risk Management identifiserer nodegrupper basert på brukere som har tilgang til lignende SharePoint-nettsteder.

Lignende organisasjon: Brukere med rapporter og gruppemedlemmer basert på organisasjonshierarki. Dette alternativet krever at organisasjonen bruker Azure Active Directory (Azure AD) til å vedlikeholde organisasjonshierarkiet.

Lignende stilling: Brukere med en kombinasjon av organisasjonsavstand og lignende stillingstitler. En bruker med en Senior Sales Manager-tittel med lignende rolleangivelse som kundeemnesalgssjef i samme organisasjon, vil for eksempel bli identifisert som en lignende stilling. Dette alternativet krever at organisasjonen bruker Azure AD til å vedlikeholde organisasjonshierarki, rollebetegnelser og stillingstitler. Hvis du ikke har Azure AD konfigurert for organisasjonsstruktur og stillingstitler, identifiserer insider risk management nodegrupper basert på vanlige SharePoint-nettsteder.

Hvis du aktiverer kumulativ exfiltration-gjenkjenning, godtar organisasjonen å dele Azure AD data med samsvarsportalen, inkludert organisasjonshierarki og stillingstitler. Hvis organisasjonen ikke bruker Azure AD til å vedlikeholde denne informasjonen, kan gjenkjenningen være mindre nøyaktig.

Obs!

Kumulativ eksfiltreringsgjenkjenning bruker eksfiltreringsindikatorer som er aktivert i de globale innstillingene for insider risk management og exfiltration-indikatorer som er valgt i en policy. Som sådan evalueres kumulativ eksfiltreringsgjenkjenning bare for de nødvendige eksfiltreringsindikatorene som er valgt. Kumulative eksfiltreringsaktiviteter for følsomhetsetiketter som er konfigurert i prioritert innhold, genererer resultater med høyere risiko.

Når kumulativ exfiltration-gjenkjenning er aktivert for datatyveri eller policyer for datalekkasje, vises innsikt fra kumulative exfiltration-aktiviteter på Brukeraktivitet-fanen i en insider risk management-sak. Hvis du vil lære mer om brukeraktivitetsstyring, kan du se insider-risikostyringssaker: Brukeraktiviteter.

Policytilstand

Statusen for policytilstand gir deg innsikt i potensielle problemer med policyene for insider-risikostyring. Status-kolonnenFanen Policyer kan varsle deg om policyproblemer som kan hindre at brukeraktivitet rapporteres, eller hvorfor antall aktivitetsvarsler er uvanlig. Statusen for policytilstanden kan også bekrefte at policyen er sunn og ikke trenger oppmerksomhets- eller konfigurasjonsendringer.

Hvis det er problemer med en policy, viser policytilstandsstatusen varslingsadvarsler og anbefalinger for å hjelpe deg med å iverksette tiltak for å løse policyproblemer. Disse varslene kan hjelpe deg med å løse følgende problemer:

  • Policyer med ufullstendig konfigurasjon. Disse problemene kan omfatte manglende brukere eller grupper i policyen eller andre ufullstendige policykonfigurasjonstrinn.
  • Policyer med problemer med indikatorkonfigurasjon. Indikatorer er en viktig del av hver policy. Hvis indikatorer ikke er konfigurert, eller hvis for få indikatorer er valgt, kan det hende at policyen ikke evaluerer risikable aktiviteter som forventet.
  • Policyutløsere fungerer ikke, eller krav til policyutløser er ikke riktig konfigurert. Policyfunksjonalitet kan avhenge av andre tjenester eller konfigurasjonskrav for effektivt å oppdage utløserhendelser for å aktivere risikopoengsumtilordning til brukere i policyen. Disse avhengighetene kan omfatte problemer med koblingskonfigurasjon, Microsoft Defender for endepunkt varslingsdeling eller innstillinger for policy for hindring av datatap.
  • Volumbegrensninger nærmer seg eller over grenser. Policyer for insider-risikostyring bruker mange Microsoft 365 tjenester og endepunkter til å aggregere aktivitetssignaler for risiko. Avhengig av antall brukere i policyene dine, kan volumbegrensninger forsinke identifisering og rapportering av risikoaktiviteter. Mer informasjon om disse grensene i delen Om begrensninger for policymaler i denne artikkelen.

Hvis du raskt vil vise tilstandsstatusen for en policy, navigerer du i Policy-fanen og Status-kolonnen. Her ser du følgende alternativer for policytilstandsstatus for hver policy:

  • Sunt: Ingen problemer er identifisert med policyen.
  • Anbefalinger: Et problem med policyen som kan hindre policyen i å fungere som forventet.
  • Advarsler: Et problem med policyen som kan hindre den i å identifisere potensielt risikable aktiviteter.

Hvis du vil ha mer informasjon om eventuelle anbefalinger eller advarsler, velger du en policy på fanen Policy for å åpne kortet for policydetaljer. Mer informasjon om anbefalingene og advarslene, inkludert veiledning om hvordan du løser disse problemene, vises i Varsler-delen av detaljkortet.

Insider risk management policy health.

Varslingsmeldinger

Bruk tabellen nedenfor til å lære mer om anbefalinger og varselvarsler og handlinger du kan utføre for å løse potensielle problemer.

Varslingsmeldinger Policymaler Årsaker / Prøv denne handlingen for å løse
Policyen tilordner ikke risikoresultater til aktivitet Alle policymaler Det kan være lurt å se gjennom policyomfanget og utløse hendelseskonfigurasjonen, slik at policyen kan tilordne risikoresultater til aktiviteter

1. Se gjennom brukerne som er valgt for policyen. Hvis du har valgt noen brukere, kan du velge flere brukere.
2. Hvis du bruker en HR-kobling, må du kontrollere at HR-koblingen sender de riktige dataene.
3. Hvis du bruker en DLP-policy som utløserhendelse, kontrollerer du DLP-policykonfigurasjonen for å sikre at den er konfigurert til å brukes i denne policyen.
4. For policyer for sikkerhetsbrudd kan du se gjennom Microsoft Defender for endepunkt varslingsstatus valgt i Intelligente registreringer for insider-risikoinnstillinger>. Bekreft at varselfilteret ikke er for smalt.
Policyen har ikke generert noen varsler Alle policymaler Det kan være lurt å se gjennom policykonfigurasjonen slik at du analyserer den mest relevante poengaktiviteten.

1. Bekreft at du har valgt indikatorer som du vil score. Jo flere indikatorer som er valgt, jo flere aktiviteter blir tildelt risikoresultater.
2. Se gjennom terskeltilpasning for policy. Hvis terskler som er valgt, ikke samsvarer med organisasjonens risikotoleranse, justerer du valgene slik at varsler opprettes basert på dine foretrukne terskler.
3. Se gjennom brukerne og gruppene som er valgt for policyen. Bekreft at du har valgt alle gjeldende brukere og grupper.
4. For policyer for sikkerhetsbrudd bekrefter du at du har valgt varslingsstatusen du vil score for Microsoft Defender for endepunkt varsler i Intelligent Detections i innstillingene.
Ingen brukere eller grupper er inkludert i denne policyen Alle policymaler Brukere eller grupper er ikke tilordnet policyen.

Rediger policyen, og velg brukere eller grupper for policyen.
Ingen indikatorer er valgt for denne policyen Alle policymaler Indikatorer er ikke valgt for policyen

Rediger policyen, og velg riktige policyindikatorer for policyen.
Ingen prioriterte brukergrupper er inkludert i denne policyen – Datalekkasjer fra prioriterte brukere
– Brudd på sikkerhetspolicyer etter prioriterte brukere
Prioriterte brukergrupper er ikke tilordnet policyen.

Konfigurer prioriterte brukergrupper i insider-risikostyringsinnstillinger og tilordne prioriterte brukergrupper til policyen.
Ingen utløserhendelse er valgt for denne policyen Alle policymaler En utløserhendelse er ikke konfigurert for policyen

Risikoresultater tilordnes ikke til brukeraktiviteter før du redigerer policyen og velger en utløsende hendelse.
HR-kobling er ikke konfigurert eller fungerer som forventet – Datatyveri av avreisebruker
– Brudd på sikkerhetspolicy ved avreisebruker
– Datalekkasjer fra risikable brukere
– Brudd på sikkerhetspolicy av risikable brukere
Det er et problem med HR-koblingen.

1. Hvis du bruker en HR-kobling, må du kontrollere at HR-koblingen sender riktige data

ELLER

2. Velg den slettede utløserhendelsen for Azure AD-kontoen.
Ingen enheter er pålastet – Datatyveri av avgangsbrukere
– Datalekkasjer
– Datalekkasjer fra risikable brukere
– Datalekkasjer av prioriterte brukere
Enhetsindikatorer er valgt, men det finnes ingen enheter pålastet i samsvarsportalen

Kontroller om enhetene er pålastet og oppfyller kravene.
HR-kobling har ikke lastet opp data nylig – Datatyveri av avreisebruker
– Brudd på sikkerhetspolicy ved avreisebruker
– Datalekkasjer fra risikable brukere
– Brudd på sikkerhetspolicy av risikable brukere
HR-kobling har ikke importert data på mer enn sju dager.

Kontroller at HR-koblingen er riktig konfigurert og sender data.
Vi kan ikke kontrollere statusen for HR-koblingen akkurat nå. Kontroller på nytt senere – Datatyveri av avreisebruker
– Brudd på sikkerhetspolicy ved avreisebruker
– Datalekkasjer fra risikable brukere
– Brudd på sikkerhetspolicy av risikable brukere
Insider Risk Management-løsningen kan ikke kontrollere statusen til HR-koblingen.

Kontroller at HR-koblingen er riktig konfigurert og sender data, eller kom tilbake og kontroller policystatusen.
DLP-policy er ikke valgt som utløserhendelse – Datalekkasjer
– Datalekkasjer fra prioriterte brukere
En DLP-policy er ikke valgt som en utløserhendelse, eller den valgte DLP-policyen er slettet.

Rediger policyen, og velg enten en aktiv DLP-policy, eller «Brukeren utfører en eksfiltreringsaktivitet» som utløserhendelsen i policykonfigurasjonen.
DLP-policy som brukes i denne policyen, er deaktivert – Datalekkasjer
– Datalekkasjer fra prioriterte brukere
DLP-policyen som brukes i denne policyen, er deaktivert.

1. Aktiver DLP-policyen som er tilordnet denne policyen.

ELLER

2. Rediger denne policyen, og velg en ny DLP-policy, eller «Brukeren utfører en eksfiltreringsaktivitet» som utløserhendelsen i policykonfigurasjonen.
DLP-policyen oppfyller ikke kravene – Datalekkasjer
– Datalekkasjer fra prioriterte brukere
DLP-policyer som brukes som utløserhendelser, må konfigureres for å generere varsler med høy alvorlighetsgrad.

1. Rediger DLP-policyen for å tilordne aktuelle varsler som høy alvorlighetsgrad.

ELLER

2. Rediger denne policyen, og velg Bruker utfører en eksfiltreringsaktivitet som utløserhendelsen.
Organisasjonen har ikke et Microsoft Defender for endepunkt abonnement – Brudd på sikkerhetspolicyer
– Brudd på sikkerhetspolicyer ved å forlate brukere
– Brudd på sikkerhetspolicy av risikable brukere
– Brudd på sikkerhetspolicyer etter prioriterte brukere
Det ble ikke oppdaget et aktivt Microsoft Defender for endepunkt abonnement for organisasjonen.

Før et Microsoft Defender for endepunkt abonnement er lagt til, vil ikke disse policyene tilordne risikoresultater til brukeraktivitet.
Microsoft Defender for endepunkt varsler deles ikke med samsvarsportalen – Brudd på sikkerhetspolicyer
– Brudd på sikkerhetspolicyer ved å forlate brukere
– Brudd på sikkerhetspolicy av risikable brukere
– Brudd på sikkerhetspolicyer etter prioriterte brukere
Microsoft Defender for endepunkt varsler deles ikke med samsvarsportalen.

Konfigurer deling av Microsoft Defender for endepunkt varsler.
Du nærmer deg maksimumsgrensen for brukere som blir aktivt scoret for denne policymalen Alle policymaler Hver policymal har maksimalt antall brukere i omfanget. Se avsnittsdetaljene for malgrensen.

Se gjennom brukerne i Brukere-fanen, og fjern alle brukere som ikke trenger å få poeng lenger.
Utløserhendelse oppstår gjentatte ganger for over 15 % av brukerne i denne policyen Alle policymaler Juster utløserhendelsen for å redusere hvor ofte brukere hentes inn i policyomfanget.

Begrensninger for policymaler

Policymaler for insider-risikostyring bruker grenser til å administrere volumet og behandlingshastigheten for brukerrisikoaktiviteter i omfang og hvordan denne prosessen er integrert med støtte for Microsoft 365-tjenester. Hver policymal har et maksimalt antall brukere som aktivt kan tilordnes risikoresultater for policyen som den kan støtte og effektivt behandle og rapportere potensielt risikable aktiviteter. Brukere i omfanget er brukere med utløserhendelser for policyen.

Grensen for hver policy beregnes basert på det totale antallet unike brukere som mottar risikoresultater per policymaltype. Hvis antall brukere for en policymaltype er nær eller overskrider brukergrensen, reduseres policyytelsen. Hvis du vil vise gjeldende antall brukere for en policy, går du til Policy-fanen og Brukere i omfang-kolonnen. Du kan ha opptil fem policyer for en hvilken som helst policymal. Disse maksimumsgrensene gjelder for brukere på tvers av alle policyer ved hjelp av en gitt policymal.

Bruk tabellen nedenfor til å bestemme maksimalt antall brukere i omfanget som støttes for hver policymal:

Policymal Maksimalt maksimalt gjeldende brukeromfang
Generell datalekkasje 15,000
Datalekkasje av risikable brukere 7,500
Datalekkasje av prioriterte brukere 1,000
Datatyveri ved å forlate brukere 20,000
Brudd på sikkerhetspolicy 1,000
Misbruk av pasientdata 5,000
Risikobasert nettleserbruk 7,000
Brudd på sikkerhetspolicy av prioriterte brukere 1,000
Brudd på sikkerhetspolicy ved å forlate brukere 15,000
Brudd på sikkerhetspolicy av risikable brukere 7,500
Rettsmedisinske bevis Fem brukere for forhåndsversjonsutgivelse

Opprett en ny policy

Hvis du vil opprette en ny policy for insider-risikostyring, bruker du vanligvis policyveiviseren i insider-løsningen for risikostyring i Microsoft Purview-samsvarsportal. Du kan også opprette raske policyer for generelle datalekkasjer og datatyveri ved å forlate brukere fra analysekontroller hvis aktuelt.

Fullfør følgende trinn for å opprette en ny policy ved hjelp av policyveiviseren:

  1. Gå til Insider Risk Managementi Microsoft Purview-samsvarsportal, og velg policyer-fanen.

  2. Velg Opprett policy for å åpne policyveiviseren.

  3. Velg en policykategori på policymalsiden , og velg deretter malen for den nye policyen. Disse malene består av betingelser og indikatorer som definerer risikoaktivitetene du vil oppdage og undersøke. Se gjennom forutsetningene for malen, utløse hendelser og oppdagede aktiviteter for å bekrefte at denne policymalen passer dine behov.

    Viktig

    Noen policymaler har forutsetninger som må konfigureres for at policyen skal generere relevante varsler. Hvis du ikke har konfigurert gjeldende forutsetninger for policyer, kan du se trinn 4 i Kom i gang med insider risk management.

  4. Velg Neste for å fortsette.

  5. Fyll ut følgende felt på siden Navn og beskrivelse :

    • Navn (obligatorisk): Skriv inn et egendefinert navn for policyen. Dette navnet kan ikke endres etter at policyen er opprettet.
    • Beskrivelse (valgfritt): Angi en beskrivelse for policyen.
  6. Velg Neste for å fortsette.

  7. Velg Inkluder alle brukere og gruppersiden Brukere og grupper, eller Inkluder bestemte brukere og grupper for å definere hvilke brukere eller grupper som er inkludert i policyen, eller hvis du har valgt en prioritert brukerbasert mal. velg Legg til eller rediger prioritetsbrukergrupper. Hvis du velger Inkluder alle brukere og grupper , ser du etter utløserhendelser for alle brukere og grupper i organisasjonen for å begynne å tilordne risikoresultater for policyen. Hvis du velger Inkluder bestemte brukere og grupper , kan du definere hvilke brukere og grupper som skal tilordnes til policyen. Gjestebrukerkontoer støttes ikke.

  8. Velg Neste for å fortsette.

  9. siden Innhold for å prioritere kan du tilordne (om nødvendig) kildene som skal prioriteres, noe som øker sjansen for å generere et varsel med høy alvorlighetsgrad for disse kildene. Velg ett av følgende valg:

    • Jeg vil prioritere innhold. Hvis du velger dette alternativet, kan du prioritere SharePoint-områder, følsomhetsetiketter, sensitive informasjonstyper og innholdstyper for filtyper . Hvis du velger dette alternativet, må du velge minst én prioritetsinnholdstype.
    • Jeg vil ikke angi prioritert innhold akkurat nå. Hvis du velger dette alternativet, hopper du over de prioriterte innholdsdetaljsidene i veiviseren.
  10. Velg Neste for å fortsette.

  11. Hvis du har valgt at jeg vil prioritere innhold i forrige trinn, ser du detaljsidene for SharePoint-nettsteder, sensitive informasjonstyper, følsomhetsetiketter, filtyper og poengsum. Bruk disse detaljsidene til å definere SharePoint, sensitive informasjonstyper, følsomhetsetiketter og filtyper for å prioritere i policyen. Med detaljsiden for poengsum kan du begrense policyen til bare å tilordne risikoresultater til prioritert innhold.

    • SharePoint-områder: Velg Legg til SharePoint-område , og velg SharePoint-områdene du har tilgang til og vil prioritere. For eksempel «group1@contoso.sharepoint.com/områder/gruppe1».
    • Sensitiv informasjonstype: Velg Legg til sensitiv informasjonstype , og velg følsomhetstypene du vil prioritere. Eksempel: «Amerikansk bankkontonummer» og «Kredittkortnummer».
    • Følsomhetsetiketter: Velg Legg til følsomhetsetikett , og velg etikettene du vil prioritere. For eksempel Konfidensielt og «Hemmelig».
    • Filtyper: Legg til opptil 50 filtyper. Du kan inkludere eller utelate "." med filtypen. PY eller py prioriterer for eksempel Python-filer.
    • Poengsum: Bestem om du vil tilordne risikoresultater til alle aktiviteter som oppdages av denne policyen, eller bare for aktiviteter som inkluderer prioritert innhold. Velg Få varsler for all aktivitet eller Få varsler bare for aktivitet som inkluderer prioritert innhold.

    Obs!

    Brukere som konfigurerer policyen og bestemmer prioriterte SharePoint-områder, kan velge SharePoint-områder de har tilgang til. Hvis SharePoint-områder ikke er tilgjengelige for valg i policyen av gjeldende bruker, kan en annen bruker med de nødvendige tillatelsene velge områdene for policyen senere, eller den gjeldende brukeren bør få tilgang til de nødvendige områdene.

  12. Velg Neste for å fortsette.

  13. Hvis du har valgt datalekkasjer eller datalekkasjer av maler for prioriterte brukere , ser du alternativer på utløsere for denne policysiden for egendefinerte utløserhendelser og policyindikatorer. Du kan velge en DLP-policy eller indikatorer for å utløse hendelser som bringer brukere som er tilordnet policyen i omfanget for aktivitetspoengvurdering. Hvis du velger alternativet Bruker som samsvarer med et alternativ for hindring av datatap (DLP), må du velge en DLP-policy fra rullegardinlisten for DLP-policy for å aktivere utløserindikatorer for DLP-policyen for denne policyen for insider risk management. Hvis du velger alternativet Bruker som utløser en eksfiltreringsaktivitet , må du velge én eller flere av de oppførte indikatorene for policyutløserhendelsen.

    Viktig

    Hvis du ikke kan velge en oppført indikator, er det fordi de ikke er aktivert for organisasjonen. Hvis du vil gjøre dem tilgjengelige for å velge og tilordne policyen, aktiverer du indikatorene i indikatorene forpolicy for innstillingspolicy>for insider-risikostyring>.

    Hvis du har valgt andre policymaler, støttes ikke egendefinerte utløserhendelser. De innebygde policyutløsingshendelsene gjelder, og du fortsetter til trinn 23 uten å definere policyattributter.

  14. Hvis du har valgt datalekkasjer av risikable brukere eller sikkerhetspolicybrudd av risikable brukermaler , ser du alternativer på utløserne for denne policysiden for integrering med kommunikasjonssamsvar og HR-datakoblingshendelser. Du har muligheten til å tilordne risikoresultater når brukere sender meldinger som inneholder potensielt truende, trakasserende eller diskriminerende språk, eller for å bringe brukere inn i policyomfanget etter at risikable brukerhendelser rapporteres i HR-systemet. Hvis du velger risikoutløsere fra alternativet for kommunikasjonssamsvar (forhåndsvisning ), kan du godta standardpolicyen for kommunikasjonssamsvar (automatisk opprettet), velge et tidligere opprettet policyomfang for denne utløseren eller opprette en annen omfangspolicy. Hvis du velger HR-datakoblingshendelser, må du konfigurere en HR-datakobling for organisasjonen.

  15. Velg Neste for å fortsette.

  16. Hvis du har valgt datalekkasjer eller datalekkasjer av maler for prioriterte brukere og har valgt at brukeren utfører en eksfiltreringsaktivitet og tilknyttede indikatorer, kan du velge egendefinerte eller standard terskler for indikatoren som utløser hendelser som du har valgt. Velg enten bruk standard terskler (anbefales) eller bruk egendefinerte terskler for utløserhendelsene.

  17. Velg Neste for å fortsette.

  18. Hvis du har valgt Bruk egendefinerte terskler for utløserhendelsene, velger du det aktuelle nivået for å generere ønsket nivå for aktivitetsvarsler for hver utløserhendelsesindikator du valgte i trinn 13.

  19. Velg Neste for å fortsette.

  20. policyindikatorsiden ser du indikatorene som du har definert som tilgjengelige påindikatorsiden indikatorerfor Insider-risikoinnstillinger>. Velg indikatorene du vil bruke på policyen.

    Viktig

    Hvis indikatorer på denne siden ikke kan velges, må du velge indikatorene du vil aktivere for alle policyer. Du kan bruke knappen Slå på indikatorer i veiviseren eller velge indikatorer på indikatorer for policyer forinnstillingspolicy> for Insider-risikostyring>.

    Hvis du har valgt minst én Office - eller Enhetsindikator , velger du boosterne for risikoresultat etter behov. Risikoresultatboostere gjelder bare for valgte indikatorer. Hvis du har valgt en policymal for datatyveri eller datalekkasjer , velger du én eller flere sekvensregistreringsmetoder og en kumulativ metode for eksfiltreringsgjenkjenning som skal gjelde for policyen. Hvis du har valgt policymalen For risikobasert bruk av nettleser , velger du én eller flere av indikatorene for visning.

  21. Velg Neste for å fortsette.

  22. Velg egendefinerte eller standard terskler for policyindikatorene du har valgt, på siden Bestem om du vil bruke standard- eller egendefinerte indikatorterskler . Velg enten Bruk standard terskler for alle indikatorer eller Angi egendefinerte terskler for de valgte policyindikatorene. Hvis du har valgt Angi egendefinerte terskler, velger du riktig nivå for å generere ønsket nivå for aktivitetsvarsler for hver policyindikator.

  23. Velg Neste for å fortsette.

  24. Se gjennom innstillingene du har valgt for policyen på Se gjennom-siden , og eventuelle forslag eller advarsler for valgene dine. Velg Rediger for å endre noen av policyverdiene, eller velg Send for å opprette og aktivere policyen.

Oppdatere en policy

Hvis du vil oppdatere en eksisterende policy for insider-risikostyring, bruker du policyveiviseren i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal.

Fullfør følgende trinn for å administrere en eksisterende policy:

  1. Gå til Insider Risk Managementi Microsoft Purview-samsvarsportal, og velg policyer-fanen.

  2. Velg policyen du vil administrere, på instrumentbordet for policyen.

  3. Velg Rediger policy på siden policydetaljer

  4. Du kan ikke redigere følgende i policyveiviseren:

    • Policymal: Malen som brukes til å definere typene risikoindikatorer som er kontrollert av policyen.
    • Navn: Det egendefinerte navnet på policyen
  5. Oppdater beskrivelsen for policyen i Beskrivelse-feltetsiden Navn og beskrivelse.

  6. Velg Neste for å fortsette.

  7. Velg Inkluder alle brukere og gruppersiden Brukere og grupper, eller Inkluder bestemte brukere og grupper for å definere hvilke brukere eller grupper som er inkludert i policyen, eller hvis du har valgt en prioritert brukerbasert mal. velg Legg til eller rediger prioritetsbrukergrupper. Hvis du velger Inkluder alle brukere og grupper , ser du etter utløsing av sikkerhets- og samsvarsrelaterte hendelser for alle brukere og grupper i organisasjonen for å begynne å tilordne risikoresultater for policyen. Hvis du velger Inkluder bestemte brukere og grupper , kan du definere hvilke brukere og grupper som skal tilordnes til policyen. Gjestebrukerkontoer støttes ikke.

  8. Velg Neste for å fortsette.

  9. siden Innhold for å prioritere kan du tilordne (om nødvendig) kildene som skal prioriteres, noe som øker sjansen for å generere et varsel med høy alvorlighetsgrad for disse kildene. Velg ett av følgende valg:

    • Jeg vil prioritere innhold. Hvis du velger dette alternativet, kan du prioritere SharePoint-områder, følsomhetsetiketter, sensitive informasjonstyper og innholdstyper for filtyper . Hvis du velger dette alternativet, må du velge minst én prioritetsinnholdstype.
    • Jeg vil ikke angi prioritert innhold akkurat nå. Hvis du velger dette alternativet, hopper du over de prioriterte innholdsdetaljsidene i veiviseren.
  10. Velg Neste for å fortsette.

  11. Hvis du har valgt at jeg vil prioritere innhold i forrige trinn, ser du detaljsidene for SharePoint-nettsteder, sensitive informasjonstyper, følsomhetsetiketter, filtyper og poengsum. Bruk disse detaljsidene til å definere SharePoint, sensitive informasjonstyper, følsomhetsetiketter og filtyper for å prioritere i policyen. Med detaljsiden for poengsum kan du begrense policyen til bare å tilordne risikoresultater til prioritert innhold.

    • SharePoint-områder: Velg Legg til SharePoint-område , og velg SharePoint-områdene du har tilgang til og vil prioritere. For eksempel «group1@contoso.sharepoint.com/områder/gruppe1».
    • Sensitiv informasjonstype: Velg Legg til sensitiv informasjonstype , og velg følsomhetstypene du vil prioritere. Eksempel: «Amerikansk bankkontonummer» og «Kredittkortnummer».
    • Følsomhetsetiketter: Velg Legg til følsomhetsetikett , og velg etikettene du vil prioritere. For eksempel Konfidensielt og «Hemmelig».
    • Filtyper: Legg til opptil 50 filtyper. Du kan inkludere eller utelate "." med filtypen. PY eller py prioriterer for eksempel Python-filer.
    • Poengsum: Bestem om du vil tilordne risikoresultater til alle aktiviteter som oppdages av denne policyen, eller bare for aktiviteter som inkluderer prioritert innhold. Velg Få varsler for all aktivitet eller Få varsler bare for aktivitet som inkluderer prioritert innhold.

    Obs!

    Brukere som konfigurerer policyen og velger prioriterte SharePoint-områder, kan velge SharePoint-områder de har tilgang til. Hvis SharePoint-områder ikke er tilgjengelige for valg i policyen av gjeldende bruker, kan en annen bruker med de nødvendige tillatelsene velge områdene for policyen senere, eller den gjeldende brukeren bør få tilgang til de nødvendige områdene.

  12. Velg Neste for å fortsette.

  13. Hvis du har valgt generelle datalekkasjer eller datalekkasjer av maler for prioriterte brukere , ser du alternativer på utløsere for denne policysiden for egendefinerte utløserhendelser og policyindikatorer. Du kan velge en DLP-policy eller indikatorer for å utløse hendelser som bringer brukere som er tilordnet policyen i omfanget for aktivitetspoengvurdering. Hvis du velger alternativet Bruker som samsvarer med et alternativ for hindring av datatap (DLP), må du velge en DLP-policy fra rullegardinlisten for DLP-policy for å aktivere utløserindikatorer for DLP-policyen for denne policyen for insider risk management. Hvis du velger alternativet Bruker som utløser en eksfiltreringsaktivitet , må du velge én eller flere av de oppførte indikatorene for policyutløserhendelsen.

    Viktig

    Hvis du ikke kan velge en oppført indikator, er det fordi de ikke er aktivert for organisasjonen. Hvis du vil gjøre dem tilgjengelige for å velge og tilordne policyen, aktiverer du indikatorene i indikatorene forpolicy for innstillingspolicy>for insider-risikostyring>. Hvis du har valgt andre policymaler, støttes ikke egendefinerte utløserhendelser. De innebygde policyutløsingshendelsene gjelder, og du fortsetter til trinn 23 uten å definere policyattributter.

  14. Hvis du har valgt datalekkasjer av risikable brukere eller sikkerhetspolicybrudd av risikable brukermaler , ser du alternativer på utløserne for denne policysiden forintegrering med kommunikasjonssamsvar og HR-datakoblingshendelser. Du har muligheten til å tilordne risikoresultater når brukere sender meldinger som inneholder potensielt truende, trakasserende eller diskriminerende språk, eller for å bringe brukere inn i policyomfanget etter at risikable brukerhendelser rapporteres i HR-systemet. Hvis du velger risikoutløsere fra alternativet for kommunikasjonssamsvar (forhåndsvisning ), kan du godta standardpolicyen for kommunikasjonssamsvar (automatisk opprettet), velge et tidligere opprettet policyomfang for denne utløseren eller opprette en annen omfangspolicy. Hvis du velger HR-datakoblingshendelser, må du konfigurere en HR-datakobling for organisasjonen.

  15. Velg Neste for å fortsette.

  16. Hvis du har valgt datalekkasjer eller datalekkasjer av maler for prioriterte brukere og har valgt at brukeren utfører en eksfiltreringsaktivitet og tilknyttede indikatorer, kan du velge egendefinerte eller standard terskler for indikatoren som utløser hendelser som du har valgt. Velg enten bruk standard terskler (anbefales) eller bruk egendefinerte terskler for utløserhendelsene.

  17. Velg Neste for å fortsette.

  18. Hvis du har valgt Bruk egendefinerte terskler for utløserhendelsene, velger du det aktuelle nivået for å generere ønsket nivå for aktivitetsvarsler for hver utløserhendelsesindikator du valgte i trinn 13.

  19. Velg Neste for å fortsette.

  20. policyindikatorsiden ser du indikatorene som du har definert som tilgjengelige påindikatorsiden indikatorerfor Insider-risikoinnstillinger>. Velg indikatorene du vil bruke på policyen.

    Viktig

    Hvis indikatorer på denne siden ikke kan velges, må du velge indikatorene du vil aktivere for alle policyer. Du kan bruke knappen Slå på indikatorer i veiviseren eller velge indikatorer på indikatorer for policyer forinnstillingspolicy> for Insider-risikostyring>.

    Hvis du har valgt minst én Office - eller Enhetsindikator , velger du boosterne for risikoresultat etter behov. Risikoresultatboostere gjelder bare for valgte indikatorer. Hvis du har valgt en policymal for datatyveri eller datalekkasjer , velger du én eller flere sekvensregistreringsmetoder og en kumulativ metode for eksfiltreringsgjenkjenning som skal gjelde for policyen.

  21. Velg Neste for å fortsette.

  22. Velg egendefinerte eller standard terskler for policyindikatorene du har valgt, på siden Bestem om du vil bruke standard- eller egendefinerte indikatorterskler . Velg enten Bruk standard terskler for alle indikatorer eller Angi egendefinerte terskler for de valgte policyindikatorene. Hvis du har valgt Angi egendefinerte terskler, velger du riktig nivå for å generere ønsket nivå for aktivitetsvarsler for hver policyindikator.

  23. Velg Neste for å fortsette.

  24. Se gjennom innstillingene du har valgt for policyen på Se gjennom-siden , og eventuelle forslag eller advarsler for valgene dine. Velg Rediger for å endre noen av policyverdiene, eller velg Send for å opprette og aktivere policyen.

Kopiere en policy

Du må kanskje opprette en ny policy som ligner på en eksisterende policy, men som bare trenger noen få konfigurasjonsendringer. I stedet for å opprette en ny policy fra grunnen av, kan du kopiere en eksisterende policy og deretter endre områdene som må oppdateres i den nye policyen.

Fullfør følgende trinn for å kopiere en eksisterende policy:

  1. Gå til Insider Risk Managementi Microsoft Purview-samsvarsportal, og velg policyer-fanen.
  2. Velg policyen du vil kopiere, på instrumentbordet for policyen.
  3. Velg Kopier på siden policydetaljer.
  4. Gi nytt navn til den nye policyen i policyveiviseren, og oppdater policykonfigurasjonen etter behov.

Det kan være scenarioer der du umiddelbart må begynne å tilordne risikoresultater til brukere med insider-risikopolicyer utenfor insider risk management som utløser hendelsesarbeidsflyten. Bruk startpoengsum for brukerefanen Policyer til å legge til en bruker (eller brukere) manuelt i én eller flere policyer for innsiderisiko i en bestemt tidsperiode, for å umiddelbart begynne å tilordne risikoresultater til aktiviteten, og for å omgå kravet om at en bruker skal ha en utløsende indikator (for eksempel en DLP-policysamsvar). Du kan også legge til en grunn til å legge til brukeren i policyen, som vises på brukernes tidslinje for aktivitet. Brukere som legges til manuelt i policyer, vises på brukerinstrumentbordet , og varsler opprettes hvis aktiviteten oppfyller terskler for policyvarsel. Du kan legge til opptil 4000 brukere per policy når du legger til brukere for umiddelbar poengsum.

Noen scenarioer der du kanskje umiddelbart vil begynne å score brukeraktiviteter:

  • Når brukere identifiseres med risikoproblemer, og du umiddelbart vil begynne å tilordne risikoresultater til aktiviteten for én eller flere av policyene dine.
  • Når det er en hendelse som kan kreve at du umiddelbart begynner å tilordne risikoresultater til involverte brukeres aktivitet for én eller flere av policyene dine.
  • Når du ikke har konfigurert HR-koblingen ennå, men du vil begynne å tilordne risikoresultater til brukeraktiviteter for HR-hendelser ved å laste opp en .csv-fil for brukerne.

Obs!

Det kan ta flere timer før nye brukere som legges til manuelt, vises på instrumentbordet for brukere . Aktiviteter for de foregående 90 dagene for disse brukerne kan ta opptil 24 timer å vise. Hvis du vil vise aktiviteter for brukere som er lagt til manuelt, går du til Brukere-fanen og velger brukeren på instrumentbordet for brukere og åpner brukeraktivitetsfanen i detaljruten.

Hvis du vil starte poengaktiviteten manuelt for brukere i én eller flere policyer for insider-risikostyring, fullfører du følgende trinn:

  1. Gå til Insider Risk Managementi Microsoft Purview-samsvarsportal, og velg policyer-fanen.

  2. Velg policyen eller policyene du vil legge til brukere i, på instrumentbordet for policyen.

  3. Velg Start resultataktivitet for brukere.

  4. Legg til en grunn til å legge til brukerne i Årsak-feltet i ruten Legg til brukere i flere policyer .

  5. I feltet Dette skal vare i (velg mellom 5 og 30 dager) definerer du antall dager brukerens aktivitet skal score for policyen de er lagt til i

  6. Hvis du vil søke etter brukere i Active Directory, bruker du søkebrukeren til å legge til i policyfeltet . Skriv inn navnet på brukeren du vil legge til i policyene. Velg brukernavnet, og gjenta for å tilordne flere brukere til policyene. Listen over brukere du har valgt, vises i brukere-delen av ruten Legg til brukere i flere policyer.

  7. Hvis du vil importere en liste over brukere som skal legges til i policyene, velger du Importer for å importere en fil med .csv (kommadelte verdier). Filen må være i følgende format, og du må vise hovednavnene for bruker i filen:

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. Velg Legg til brukere i policyer for å godta endringene og legge til brukere i policyene, eller velg Avbryt for å forkaste endringene og lukke dialogboksen.

Slutte å score brukere i en policy

Hvis du vil slutte å score brukere i en policy, kan du se insider-risikostyringsbrukere: Fjern brukere fra tilordning i omfang til policyartikkelen .

Slette en policy

Obs!

Hvis du sletter en policy, slettes ikke aktive eller arkiverte varsler som genereres fra policyen.

Hvis du vil slette en eksisterende policy for insider risk management, fullfører du følgende trinn:

  1. Gå til Insider Risk Managementi Microsoft Purview-samsvarsportal, og velg policyer-fanen.
  2. Velg policyen du vil slette, på instrumentbordet for policyen.
  3. Velg Slett på verktøylinjen på instrumentbordet.
  4. Velg Ja i dialogboksen Slett for å slette policyen, eller velg Avbryt for å lukke dialogboksen.