Kom i gang med innstillinger for insider-risikostyring

Innstillinger for insider-risikostyring gjelder for alle policyer for insider-risikostyring, uavhengig av hvilken mal du velger når du oppretter en policy. Innstillingene konfigureres ved hjelp av kontrollen for Insider-risikoinnstillinger øverst på alle sidene for insider-risikostyring. Disse innstillingene kontrollerer policykomponenter for følgende områder:

Før du kommer i gang og oppretter policyer for insider risk management, er det viktig å forstå disse innstillingene og velge å angi nivåer som passer best for samsvarsbehovene for organisasjonen.

Personvern

Det er viktig å beskytte personvernet til brukere som har policysamsvar, og kan bidra til å fremme objektivitet i dataundersøkelser og analysevurderinger for varsler om insider-risiko. Du kan velge én av følgende innstillinger for brukere med insider-risikopolicyer:

  • Vis anonymiserte versjoner av brukernavn: Navn på brukere anonymiseres for å hindre at administratorer, dataetterforskere og korrekturlesere ser hvem som er knyttet til policyvarsler. En bruker «Grace Taylor» vil for eksempel vises med et randomisert pseudonym, for eksempel «AnonIS8-988» på alle områder av insider risk management-opplevelsen. Hvis du velger denne innstillingen, anonymiseres alle brukere med gjeldende og tidligere policysamsvar og gjelder for alle policyer. Brukerprofilinformasjon i insider-risikovarselet og saksdetaljer vil ikke være tilgjengelig når dette alternativet er valgt. Brukernavn vises imidlertid når du legger til nye brukere i eksisterende policyer eller når du tilordner brukere til nye policyer. Hvis du velger å deaktivere denne innstillingen, vises brukernavn for alle brukere som har gjeldende eller tidligere policysamsvar.

    Viktig

    Anonymisering av brukernavn bevares ikke for eksporterte varsler for å opprettholde referanseintegritet for brukere som har varsler om innsiderisiko eller -saker i Microsoft 365 eller andre systemer. Eksporterte varsler viser brukernavn for hvert varsel.

  • Ikke vis anonymiserte versjoner av brukernavn: Brukernavn vises for alle gjeldende og tidligere policysamsvar for varsler og saker. Brukerprofilinformasjon (navnet, tittelen, aliaset og organisasjonen eller avdelingen) vises for brukeren for alle varsler og saker om insider-risikostyring.

Personverninnstillinger for Insider-risikostyring.

Indikatorer

Policymaler for Insider-risiko definerer typen risikoaktiviteter som du vil oppdage og undersøke. Hver policymal er basert på bestemte indikatorer som samsvarer med bestemte utløsere og risikoaktiviteter. Alle globale indikatorer er deaktivert som standard, og du må velge én eller flere indikatorer for å konfigurere en policy for insider risk management.

Signaler samles inn, og varsler utløses av policyer når brukere utfører aktiviteter relatert til indikatorer. Insider Risk Management bruker ulike typer hendelser og indikatorer til å samle inn signaler og opprette varsler:

  • Utløser hendelser: Hendelser som avgjør om en bruker er aktiv i en policy for insider-risikostyring. Hvis en bruker legges til i en policy for insider risk management ikke har en utløsende hendelse, evalueres ikke brukeraktiviteten av policyen. Bruker A legges for eksempel til i en policy som er opprettet fra datatyveriet ved å forlate policymalen for brukere , og policyen og Microsoft 365 HR-koblingen er riktig konfigurert. Inntil bruker A har en avslutningsdato rapportert av HR-koblingen, evalueres ikke bruker A-aktiviteter av denne policyen for insider-risikostyring for risiko. Et annet eksempel på en utløsende hendelse er hvis en bruker har et DLP-policyvarsel med høy alvorlighetsgrad når de bruker policyer for datalekkasjer .
  • Globale innstillingsindikatorer: Indikatorer som er aktivert i globale innstillinger for insider risk management, definerer både indikatorene som er tilgjengelige for konfigurasjon i policyer og typene brukeraktivitetssignaler som samles inn av insider risk management. Hvis en bruker for eksempel kopierer data til personlige skylagringstjenester eller bærbare lagringsenheter, og disse indikatorene bare velges i globale innstillinger, vil denne aktiviteten være tilgjengelig for gjennomgang i Aktivitetsutforsker. Men siden denne aktiviteten ikke ble definert i en policy for insider risk management, vil ikke aktiviteten bli tilordnet en risikoscore eller generere et varsel.
  • Policyindikatorer: Indikatorer som er inkludert i policyer for insider risk management, brukes til å bestemme en risikopoengsum for en bruker i omfanget. Policyindikatorer aktiveres fra indikatorer som er definert i globale innstillinger, og aktiveres bare etter at en utløserhendelse forekommer for en bruker. Noen eksempler på policyindikatorer er når en bruker kopierer data til personlige skylagringstjenester eller bærbare lagringsenheter, hvis en brukerkonto fjernes fra Azure Active Directory, eller hvis en bruker deler interne filer og mapper med uautoriserte eksterne parter.

Enkelte policyindikatorer kan også brukes til å tilpasse utløserhendelser for bestemte policymaler. Når de konfigureres i policyveiviseren for generelle datalekkasjer eller datalekkasjer av maler for prioriterte brukere , gir disse indikatorene deg mer fleksibilitet og tilpasning for policyene dine, og når brukerne er i området for en policy. I tillegg kan du definere individuelle aktivitetsterskler for disse utløsende indikatorene for mer finkornet kontroll i en policy.

Policyindikatorer segmenteres i følgende områder. Du kan velge indikatorene for å aktivere og tilpasse indikatorhendelsesgrenser for hvert indikatornivå når du oppretter en policy for innsiderisiko:

  • Office-indikatorer: Disse omfatter policyindikatorer for SharePoint-nettsteder, Microsoft Teams og e-postmeldinger.
  • Enhetsindikatorer: Disse inkluderer policyindikatorer for aktivitet, for eksempel deling av filer over nettverket eller med enheter. Indikatorer inkluderer aktiviteter som involverer alle filtyper, unntatt kjørbar (.exe) og dynamisk koblingsbibliotek (.dll) filaktivitet. Hvis du velger enhetsindikatorer, behandles aktiviteten for enheter med Windows 10 bygg 1809 eller nyere og macOS-enheter (Catalina 10.15 eller nyere). For både Windows- og macOS-enheter må du først registrere enheter i samsvarsportalen. Enhetsindikatorer inkluderer også signalregistrering i nettleseren for å hjelpe organisasjonen med å oppdage og behandle eksfiltreringssignaler for filer som ikke kan kjøres, vises, kopieres, deles eller skrives ut i Microsoft Edge og Google Chrome. Hvis du vil ha mer informasjon om hvordan du konfigurerer Windows-enheter for integrering med insider-risiko, kan du se avsnittet Under Aktiver enhetsindikatorer og windows-enheter på bord i denne artikkelen. Hvis du vil ha mer informasjon om hvordan du konfigurerer macOS-enheter for integrering med insider-risiko, kan du se avsnittet Under Aktiver enhetsindikatorer og macOS-enheter på bord i denne artikkelen. Hvis du vil ha mer informasjon om signalregistrering i nettleseren, kan du se Lær om og konfigurere nettlesersignalregistrering for insider-risikostyring.
  • Indikator for brudd på sikkerhetspolicy (forhåndsversjon): Dette inkluderer indikatorer fra Microsoft Defender for endepunkt relatert til ikke-godkjent eller skadelig programvareinstallasjon eller omgåelse av sikkerhetskontroller. Hvis du vil motta varsler i insider risk management, må du ha aktivert en aktiv Defender for Endpoint-lisens og integrering av insider-risiko. Hvis du vil ha mer informasjon om hvordan du konfigurerer Defender for Endpoint for insider risk management-integrering, kan du se Konfigurere avanserte funksjoner i Microsoft Defender for endepunkt.
  • Indikatorer for tilgang til helsejournal (forhåndsversjon): Disse inkluderer policyindikatorer for pasienttilgang til pasientjournal. For eksempel kan forsøk på tilgang til pasientjournaler i de elektroniske medisinske journalene (EMR)-systemloggene deles med retningslinjer for insider risk management healthcare. Hvis du vil motta denne typen varsler i insider risk management, må du ha en helsespesifikk datakobling og HR-datakoblingen konfigurert.
  • Indikatorer for fysisk tilgang (forhåndsvisning): Disse inkluderer policyindikatorer for fysisk tilgang til sensitive ressurser. For eksempel kan forsøk på tilgang til et begrenset område i de fysiske systemloggene for dårligst oppretting deles med policyer for insider risk management. Hvis du vil motta disse typene varsler i insider risk management, må du ha prioriterte fysiske ressurser aktivert i insider risk management og physical badging data connector konfigurert. Hvis du vil lære mer om hvordan du konfigurerer fysisk tilgang, kan du se inndelingen Prioritert fysisk tilgang i denne artikkelen.
  • Microsoft Defender for Cloud Apps indikatorer (forhåndsversjon): Disse inkluderer policyindikatorer fra delte varsler fra Defender for Cloud Apps. Automatisk aktivert avviksregistrering i Defender for Cloud Apps begynner umiddelbart å oppdage og samle resultater, rettet mot mange atferdsavvik på tvers av brukerne og maskiner og enheter som er koblet til nettverket. Hvis du vil inkludere disse aktivitetene i policyvarsler for insider-risikostyring, velger du én eller flere indikatorer i denne delen. Hvis du vil lære mer om Defender for analyse av skyapper og avviksregistrering, kan du se Få atferdsanalyse og avviksregistrering.
  • Risikoscoreboostere: Disse inkluderer å øke risikoresultatet for aktivitet som er over brukerens vanlige aktivitet for en dag, eller for brukere med tidligere saker som er løst som et brudd på policyen. Aktivering av risikoscoreboostere øker risikoresultatene og sannsynligheten for varsler for disse aktivitetstypene. For aktivitet som er over brukerens vanlige aktivitet for en dag, økes resultatene hvis den oppdagede aktiviteten avviker fra brukerens vanlige virkemåte. For brukere med tidligere saker som er løst som et brudd på policyen, økes poengsummer hvis en bruker tidligere har blitt løst som et bekreftet brudd på policyen. Risikoresultatboostere kan bare velges hvis én eller flere indikatorer er valgt.

I noen tilfeller vil du kanskje begrense indikatorene for innsiderisikopolicyer som brukes på policyer for innsiderisiko i organisasjonen. Du kan deaktivere policyindikatorene for bestemte områder ved å deaktivere dem fra alle policyer for innsiderisiko i globale innstillinger. Utløserhendelser kan bare endres for policyer som er opprettet fra generelle datalekkasjer eller datalekkasjer av maler for prioriterte brukere . Policyer som er opprettet fra alle andre maler, har ikke indikatorer eller hendelser som kan tilpasses.

Hvis du vil definere indikatorene for insider-risikopolicyer som er aktivert i alle policyer for innsiderisiko, kan du gå til Indikatorer for Insider-risikoinnstillinger > og velge én eller flere policyindikatorer. Indikatorene som er valgt på siden indikatorinnstillinger , kan ikke konfigureres individuelt når du oppretter eller redigerer en policy for insider-risiko i policyveiviseren.

Obs!

Det kan ta flere timer før nye brukere som legges til manuelt, vises på instrumentbordet for brukere. Aktiviteter for de foregående 90 dagene for disse brukerne kan ta opptil 24 timer å vise. Hvis du vil vise aktiviteter for brukere som er lagt til manuelt, velger du brukeren på brukerinstrumentbordet og åpner brukeraktivitetsfanen i detaljruten.

Aktiver enhetsindikatorer og windows-enheter om bord

Hvis du vil aktivere gjenkjenning av risikoaktiviteter på Windows-enheter og inkludere policyindikatorer for disse aktivitetene, må Windows-enhetene oppfylle følgende krav, og du må fullføre følgende pålastingstrinn.

Trinn 1: Klargjøre endepunktene

Kontroller at de Windows 10 enhetene du planlegger å rapportere i insider risk management oppfyller disse kravene.

  1. Må kjøre Windows 10 x64 bygg 1809 eller nyere og må ha installert Windows 10-oppdateringen (OS bygg 17763.1075) fra 20. februar 2020.
  2. Brukerkontoen som brukes til å logge på den Windows 10 enheten, må være en aktiv Azure Active Directory (AAD)-konto. Den Windows 10 enheten kan være AAD, hybrid AAD eller Active Directory sammenføyd, eller AAD registrert.
  3. Installer Microsoft Edge-nettleseren på endepunktenheten for å oppdage handlinger for opplastingsaktiviteten i skyen. Se, Last ned nye Microsoft Edge basert på Chromium.

Trinn 2: Pålastingsenheter

Du må aktivere enhetsovervåking og om bord i endepunktene før du kan oppdage insider risk management-aktiviteter på en enhet. Begge handlingene utføres i Microsoft Purview-samsvarsportal.

Når du vil registrere enheter som ikke har vært pålastet ennå, laster du ned det aktuelle skriptet og distribuerer som beskrevet i følgende trinn.

Hvis du allerede har enheter innebygd i Microsoft Defender for endepunkt, vises de allerede i listen over administrerte enheter. Følg trinn 3: Hvis du har enheter innebygd i Microsoft Defender for endepunkt i neste del.

I dette distribusjonsscenarioet tar du opp enheter som ikke har vært pålastet ennå, og du vil bare oppdage insider-risikoaktiviteter på Windows 10 enheter.

  1. Åpne Microsoft Purview-samsvarsportal.

  2. Åpne siden for innstillinger for samsvarsportalen, og velg Pålastingsenheter.

    Obs!

    Selv om det vanligvis tar omtrent 60 sekunder før enhetspålasting er aktivert, kan du tillate opptil 30 minutter før du tar kontakt med Microsoft Kundestøtte.

  3. Velg Enhetsbehandling for å åpne enhetslisten . Listen vil være tom til du har innebygde enheter.

  4. Velg Pålasting for å starte pålastingsprosessen.

  5. Velg måten du vil distribuere til disse flere enhetene på, fra listen over distribusjonsmetode , og last deretter ned pakken.

  6. Følg de aktuelle prosedyrene i Pålastingsverktøy og -metoder for Windows 10 maskiner. Denne koblingen tar deg til en målside der du kan få tilgang til Microsoft Defender for endepunkt prosedyrer som samsvarer med distribusjonspakken du valgte i trinn 5:

    • Innebygde Windows 10 maskiner ved hjelp av gruppepolicy
    • Om bord på Windows-maskiner ved hjelp av Microsoft Endpoint Configuration Manager
    • Innebygde Windows 10 maskiner ved hjelp av Mobile Enhetsbehandling-verktøy
    • Innebygde Windows 10 maskiner ved hjelp av et lokalt skript
    • Innebygde maskiner for ikke-vedvarende virtuell skrivebordsinfrastruktur (VDI).

Når du er ferdig og endepunktet er pålastet, skal det være synlig i enhetslisten, og endepunktet begynner å rapportere overvåkingsaktivitetslogger til insider risk management.

Obs!

Denne opplevelsen er under lisenshåndhevelse. Uten den nødvendige lisensen vil ikke dataene være synlige eller tilgjengelige.

Trinn 3: Hvis du har enheter innebygd i Microsoft Defender for endepunkt

Hvis Microsoft Defender for endepunkt allerede er distribuert og det finnes endepunkter som rapporterer, vises alle disse endepunktene i listen over administrerte enheter. Du kan fortsette å bygge inn nye enheter i Insider Risk Management for å utvide dekningen ved hjelp av delen Trinn 2: Pålasting av enheter .

  1. Åpne Microsoft Purview-samsvarsportal.
  2. Åpne siden for innstillinger for samsvarsportalen, og velg Aktiver enhetsovervåking.
  3. Velg Enhetsbehandling for å åpne enhetslisten . Du skal kunne se listen over enheter som allerede rapporterer til Microsoft Defender for endepunkt.
  4. Velg Pålasting hvis du trenger flere enheter.
  5. Velg måten du vil distribuere til disse flere enhetene på, fra listen over distribusjonsmetode , og last deretter ned pakken.
  6. Følg de aktuelle prosedyrene i Pålastingsverktøy og -metoder for Windows 10 maskiner. Denne koblingen tar deg til en målside der du kan få tilgang til Microsoft Defender for endepunkt prosedyrer som samsvarer med distribusjonspakken du valgte i trinn 5:
    • Innebygde Windows 10 maskiner ved hjelp av gruppepolicy
    • Om bord på Windows-maskiner ved hjelp av Microsoft Endpoint Configuration Manager
    • Innebygde Windows 10 maskiner ved hjelp av Mobile Enhetsbehandling-verktøy
    • Innebygde Windows 10 maskiner ved hjelp av et lokalt skript
    • Innebygde maskiner for ikke-vedvarende virtuell skrivebordsinfrastruktur (VDI).

Når du er ferdig og endepunktet er pålastet, skal det være synlig under Enheter-tabellen , og endepunktet begynner å rapportere overvåkingsaktivitetslogger til insider risk management.

Obs!

Denne opplevelsen er under lisenshåndhevelse. Uten den nødvendige lisensen vil ikke dataene være synlige eller tilgjengelige.

Aktiver enhetsindikatorer og macOS-enheter på bord

macOS-enheter (Catalina 10.15 eller nyere) kan inkluderes i Microsoft 365 for å støtte policyer for insider-risikostyring ved hjelp av enten Intune eller JAMF Pro. Hvis du vil ha mer informasjon og konfigurasjonsveiledning, kan du se pålastede macOS-enheter i Microsoft 365-oversikt (forhåndsversjon).

Innstillinger for indikatornivå (forhåndsversjon)

Når du oppretter en policy i policyveiviseren, kan du konfigurere hvordan det daglige antallet risikohendelser skal påvirke risikoresultatet for varsler om insider-risiko. Disse indikatorinnstillingene hjelper deg med å kontrollere hvordan antall forekomster av risikohendelser i organisasjonen skal påvirke risikoresultatet, og dermed den tilknyttede alvorsgraden for varselet for disse hendelsene. Hvis du foretrekker det, kan du også velge å beholde standard terskelnivåer for hendelser anbefalt av Microsoft for alle aktiverte indikatorer.

Du bestemmer deg for eksempel for å aktivere SharePoint-indikatorer i policyinnstillingene for insider-risiko og angi egendefinerte terskler for SharePoint-hendelser når du konfigurerer indikatorer for en ny policy for innsiderisikodatalekkasjer . Når du er i veiviseren for insider-risikopolicy, konfigurerer du tre forskjellige daglige hendelsesnivåer for hver SharePoint-indikator for å påvirke risikoresultatet for varsler som er knyttet til disse hendelsene.

Egendefinerte indikatorinnstillinger for Insider-risikostyring.

For det første daglige hendelsesnivået angir du terskelen for 10 eller flere hendelser per dag for en lavere innvirkning på risikoresultatet for hendelsene, 20 eller flere hendelser per dag for en middels innvirkning på risikoresultatet for hendelsene, og 30 eller flere hendelser per dag en høyere innvirkning på risikoresultatet for hendelsene. Disse innstillingene betyr effektivt:

  • Hvis det er 1-9 SharePoint-hendelser som finner sted etter utløsing av hendelser, påvirkes risikoresultatene minimalt og vil ha en tendens til ikke å generere et varsel.
  • Hvis det er 10-19 SharePoint-hendelser som finner sted etter en utløsende hendelse, er risikopoengsummen i seg selv lavere, og alvorsgraden for varslinger pleier å være på et lavt nivå.
  • Hvis det er 20-29 SharePoint-hendelser som finner sted etter en utløsing, er risikopoengsummen iboende høyere, og alvorsgraden for varsler pleier å være på middels nivå.
  • Hvis det er 30 eller flere SharePoint-hendelser som finner sted etter en utløsing, er risikopoengsummen i seg selv høyere, og alvorsgraden for varsler pleier å være på et høyt nivå.

Et annet alternativ for policyterskler er å tilordne policyutløserhendelsen til aktivitet som er over den vanlige mengden daglig aktivitet for brukere. I stedet for å defineres av bestemte terskelinnstillinger, tilpasses hver terskel dynamisk for uregelmessige aktiviteter som oppdages for policybrukere i omfanget. Hvis terskelaktivitet for uregelmessige aktiviteter støttes for en individuell indikator, kan du velge Aktivitet er over brukerens vanlige aktivitet for dagen i policyveiviseren for denne indikatoren. Hvis dette alternativet ikke er oppført, er avvikende aktivitetsutløsing ikke tilgjengelig for indikatoren. Hvis aktiviteten er over brukerens vanlige aktivitet for dagalternativet er oppført for en indikator, men ikke valgbar, må du aktivere dette alternativet i indikatorer for policy for insider-risikoinnstillinger > .

Policytidsrammer

Med policytidsrammer kan du definere tidligere og fremtidige gjennomgangsperioder som utløses etter policysamsvar basert på hendelser og aktiviteter for policymalene for insider-risikostyring. Avhengig av hvilken policymal du velger, er følgende policytidsrammer tilgjengelige:

  • Aktiveringsvindu: Tilgjengelig for alle policymaler. Aktivering-vinduet er det definerte antallet dager vinduet aktiveres etter en utløsende hendelse. Vinduet aktiveres i 1 til 30 dager etter at en utløserhendelse forekommer for alle brukere som er tilordnet policyen. Du har for eksempel konfigurert en policy for insider risk management og satt aktiveringsvinduet til 30 dager. Flere måneder har gått siden du konfigurerte policyen, og en utløserhendelse forekommer for en av brukerne som er inkludert i policyen. Utløserhendelsen aktiverer aktiveringsvinduet , og policyen er aktiv for denne brukeren i 30 dager etter at utløserhendelsen oppstod.
  • Tidligere aktivitetsgjenkjenning: Tilgjengelig for alle policymaler. Tidligere aktivitetsgjenkjenning er det definerte antallet dager vinduet aktiveres før en utløsende hendelse. Vinduet aktiveres i 0 til 90 dager før en utløserhendelse forekommer for alle brukere som er tilordnet policyen. Du har for eksempel konfigurert en policy for insider risk management og angitt tidligere aktivitetsgjenkjenning til 90 dager. Flere måneder har gått siden du konfigurerte policyen, og en utløserhendelse forekommer for en av brukerne som er inkludert i policyen. Utløserhendelsen aktiverer tidligere aktivitetsgjenkjenning , og policyen samler inn historiske aktiviteter for denne brukeren i 90 dager før utløserhendelsen.

Tidsrammeinnstillinger for Insider-risikostyring.

Intelligente oppdagelser

Intelligente gjenkjenningsinnstillinger bidrar til å begrense hvordan oppdagelser av risikable aktiviteter behandles for varsler. I visse tilfeller må du kanskje definere filtyper som skal ignoreres, eller du vil håndheve et gjenkjenningsnivå for daglige hendelser for å øke risikoresultatene for brukerne. Bruk disse innstillingene til å kontrollere utelukkelser av filtyper, øke risikoresultatet for uvanlig aktivitet og begrensninger for filvolum.

Utelukkelser for filtype

Hvis du vil utelate bestemte filtyper fra alle insider risk management-samsvar, skriver du inn filtyper atskilt med komma. Hvis du for eksempel vil utelate visse typer musikkfiler fra policysamsvar, kan du angi aac,mp3,wav,wma i feltet For utelukkelser av filtype . Filer med disse utvidelsene ignoreres av alle policyer for insider-risikostyring.

Minimum antall daglige hendelser for å øke poengsummen for uvanlig aktivitet

Med denne innstillingen definerer du hvor mange daglige hendelser som kreves for å øke risikoresultatet for aktivitet som anses som uvanlig for en bruker. La oss for eksempel si at du angir 25 for denne risikoboosteren. Hvis en bruker har et gjennomsnitt på 10 filnedlastinger i løpet av de siste 30 dagene, men en policy oppdager at de lastet ned 20 filer på én dag, økes ikke poengsummen for denne aktiviteten, selv om det er uvanlig for denne brukeren, fordi antall filer de lastet ned den dagen, var mindre enn antallet du skrev inn for denne risikoboosteren.

Varselvolum

Brukeraktiviteter som oppdages av policyer for innsiderisiko, tilordnes en bestemt risikopoengsum, som igjen bestemmer alvorsgraden for varsel (lav, middels, høy). Som standard genererer vi en viss mengde varsler om lav, middels og høy alvorlighetsgrad, men du kan øke eller redusere volumet etter dine behov. Hvis du vil justere volumet av varsler for alle policyer for insider-risikostyring, velger du én av følgende innstillinger:

  • Færre varsler: Du ser alle varsler om høy alvorlighetsgrad, færre varsler om middels alvorlighetsgrad og ingen varsler med lav alvorlighetsgrad. Dette innstillingsnivået betyr at du kan gå glipp av noen sanne positiver.
  • Standardvolum: Du ser alle varsler om høy alvorlighetsgrad og en balansert mengde varsler om middels og lav alvorlighetsgrad.
  • Flere varsler: Du ser alle varsler om middels og høy alvorlighetsgrad og de fleste varsler om lav alvorlighetsgrad. Dette innstillingsnivået kan resultere i flere falske positiver.

Microsoft Defender for endepunkt varselstatuser (forhåndsversjon)

Microsoft Defender for endepunkt er en sikkerhetsplattform for virksomhetsendepunkt som er utformet for å hjelpe bedriftsnettverk med å forhindre, oppdage, undersøke og reagere på avanserte trusler. Hvis du vil ha bedre synlighet for sikkerhetsbrudd i organisasjonen, kan du importere og filtrere Defender for endepunktvarsler for aktiviteter som brukes i policyer som er opprettet fra policyer for brudd på sikkerhetsbrudd for insider-risikostyring.

Avhengig av hvilke typer signaler du er interessert i, kan du velge å importere varsler til insider risk management basert på varslingsstatusen Defender for Endpoint. Du kan definere én eller flere av følgende varslingsstatuser i de globale innstillingene som skal importeres:

  • Ukjent
  • Nye
  • Pågår
  • Løst

Varsler fra Defender for endepunkt importeres daglig. Avhengig av hvilken triage-status du velger, kan det hende du ser flere brukeraktiviteter for samme varsel som triage-statusen endres i Defender for Endpoint.

Hvis du for eksempel velger Ny, Pågår og Løst for denne innstillingen, importeres en første varslingsaktivitet for brukeren i insider-risiko når et Microsoft Defender for endepunkt varsel genereres og statusen er Ny. Når triagestatusen Defender for Endpoint endres til Pågår, importeres en annen aktivitet for dette varselet for brukeren med insider-risiko. Når den endelige Triage-statusen for Defender for Endpoint for Resolved er angitt, importeres en tredje aktivitet for dette varselet for brukeren med insider-risiko. Denne funksjonaliteten gjør det mulig for etterforskerne å følge fremdriften til Defender for Endpoint-varsler og velge synlighetsnivået som undersøkelsen krever.

Viktig

Du må ha Microsoft Defender for endepunkt konfigurert i organisasjonen og aktivere Defender for Endpoint for insider risk management-integrering i Defender Security Center for å importere varsler om sikkerhetsbrudd. Hvis du vil ha mer informasjon om hvordan du konfigurerer Defender for Endpoint for integrering av insider-risikostyring, kan du se Konfigurere avanserte funksjoner i Defender for Endpoint.

Domener

Domeneinnstillinger hjelper deg med å definere risikonivåer for aktiviteter til bestemte domener. Disse aktivitetene omfatter deling av filer, sending av e-postmeldinger, nedlasting eller opplasting av innhold. Ved å angi domener i disse innstillingene kan du øke eller redusere risikoen for aktivitet som finner sted med disse domenene.

Bruk Legg til domene til å definere et domene for hver av domeneinnstillingene. I tillegg kan du bruke jokertegn til å sammenligne variasjoner av rotdomener eller underdomener. Hvis du for eksempel vil angi sales.wingtiptoys.com og support.wingtiptoys.com, bruker du jokertegnoppføringen *.wingtiptoys.com til å samsvare med disse underdomenene (og andre underdomener på samme nivå). Hvis du vil angi underdomener på flere nivåer for et rotdomene, må du merke av for Inkluder underdomener med flere nivåer .

Du kan angi opptil 500 domener for hver av følgende domeneinnstillinger:

  • Ikke tillatte domener: Ved å angi ikke-tillatte domener vil aktivitet som foregår med disse domenene, ha høyere risikoresultater. Noen eksempler er aktiviteter som involverer deling av innhold med noen (for eksempel å sende e-post til noen med en gmail.com-adresse), og når brukere laster ned innhold til en enhet fra ett av disse ikke-tillatte domenene.

  • Tillatte domener: Visse aktiviteter som er relatert til tillatte domener, ignoreres av policyene og genererer ikke varsler. Disse aktivitetene omfatter:

    • E-post sendt til eksterne domener
    • Filer, mapper, områder som er delt med eksterne domener
    • Filer lastet opp til eksterne domener (ved hjelp av Microsoft Edge-nettleser)

    Ved å angi tillatte domener i innstillinger, behandles denne aktiviteten med disse domenene på samme måte som den interne organisasjonsaktiviteten behandles. Domener som legges til her, kan for eksempel involvere deling av innhold med noen utenfor organisasjonen (for eksempel å sende e-post til noen med en gmail.com adresse).

  • Tredjepartsdomener: Hvis organisasjonen bruker tredjepartsdomener til forretningsformål (for eksempel skylagring), kan du inkludere dem her, slik at du kan motta varsler om aktivitet relatert til enhetsindikatoren Bruk en nettleser til å laste ned innhold fra et tredjepartsnettsted.

Utelukkelser for filbane

Ved å definere filbaner som skal utelates, genererer ikke brukeraktiviteter som tilordnes bestemte indikatorer, og som forekommer i disse filbaneplasseringene, policyvarsler. Noen eksempler er kopiering eller flytting av filer til en systemmappe eller nettverksdelingsbane. Du kan angi opptil 500 filbaner for utelukkelse.

Hvis du vil legge til filbaner som skal utelates, fullfører du følgende trinn:

  1. Gå til Insider Risk Management > Settings > Intelligent detections i samsvarsportalen.
  2. Velg Legg til filbaner som skal utelates, under Utelukkelse av filbane.
  3. Angi en nøyaktig nettverksressurs eller enhetsbane som skal utelates fra risikopoengvurdering, i ruten Legg til en filbane . Du kan også bruke * og *([0-9]) til å angi bestemte mapper og undermapper som skal utelates.
  4. Velg Legg til filbaner som skal utelates for å konfigurere utelukkelsene for filbanen, eller Lukk for å forkaste endringene.

Hvis du vil slette en utelukkelse for filbane, velger du utelukkelsen av filbanen og velger Slett.

Standard utelukkelser for filbane

Som standard utelukkes flere filbaner automatisk fra å generere policyvarsler. Aktiviteter i disse filbanene er vanligvis godartede og kan potensielt øke volumet på varsler som ikke kan handle. Hvis det er nødvendig, kan du avbryte valget for disse standard utelukkelsene for filbane for å aktivere risikopoengvurdering for aktiviteter på disse plasseringene.

Standard utelukkelser for filbane er:

  • \Brukere\*\AppData
  • \Users\*\AppData\Local
  • \Brukere\*\AppData\Lokal\Roaming
  • \Brukere\*\AppData\Local\Local\Temp

Jokertegnene i disse banene angir at alle mappenivåene mellom \Brukere og \AppData er inkludert i utelukkelsen. Aktiviteter i C:\Users\Test1\AppData\Local og C:\Users\Test2\AppData\Local, C:\Users\Test3\AppData\Local (og så videre) blir for eksempel inkludert og ikke oppnådd for risiko som en del av utvalget \Users\*\AppData\Local exclusion.

Utelukkelser for URL-adresse for område

Konfigurer område-URL-adresseutelukninger for å hindre potensielle risikoaktiviteter som forekommer i SharePoint (og SharePoint-områder knyttet til gruppekanalområder) fra å generere policyvarsler. Du bør vurdere å ekskludere nettsteder og kanaler som inneholder filer og data som ikke er sensitive, og som kan deles med interessenter eller offentligheten. Du kan angi opptil 500 url-baner for området som skal utelates.

Hvis du vil legge til url-baner for området som skal utelates, fullfører du følgende trinn:

  1. Gå til Insider Risk Management > Settings > Intelligent detections i samsvarsportalen.
  2. Velg Legg til eller rediger SharePoint-områder under Utelukkelse av nettadresse for område.
  3. I ruten Legg til eller rediger SharePoint-områder skriver du inn eller søker etter SharePoint-området som skal utelates fra risikopoengvurdering. Du ser bare SharePoint-områder som du har tilgang til.
  4. Velg Legg til for å konfigurere utelukkelsene for nettadressen for området, eller Avbryt for å forkaste endringene.

Hvis du vil redigere banene for url-adressen for området som skal utelates, fullfører du følgende trinn:

  1. Gå til Insider Risk Management > Settings > Intelligent detections i samsvarsportalen.
  2. Velg Legg til eller rediger SharePoint-områder under Utelukkelse av nettadresse for område.
  3. I ruten Legg til eller rediger SharePoint-områder skriver du inn eller søker etter SharePoint-området som skal utelates fra risikopoengvurdering. Du ser bare SharePoint-områder som du har tilgang til.
  4. Velg Rediger for å konfigurere utelukkelsene for nettadressen for området, eller Avbryt for å forkaste endringene.

Hvis du vil slette en utelukkelse for url-adresse for område, velger du utelukkelsen for URL-adressen for området og velger Slett.

Nøkkelordutelukker

Konfigurer utelatelser for nøkkelord som vises i filnavn, filbaner eller emnelinjer for e-postmeldinger. Dette gir fleksibilitet for organisasjoner som trenger å redusere potensiell varselstøy på grunn av flagging av godartede termer angitt for organisasjonen. Slike aktiviteter relatert til filer eller e-postemne som inneholder nøkkelordet, ignoreres av policyene for insider-risikostyring og genererer ikke varsler. Du kan angi opptil 500 nøkkelord som skal utelates.

Bruk utelat bare hvis det ikke inneholder felt for å definere bestemte grupperinger av termer som skal ignoreres for utelukkelse, hvis du for eksempel vil utelate nøkkelordet opplæring, men ikke utelate "samsvarsopplæring", angir du "samsvar" (eller "samsvarsopplæring") i Utelat bare hvis det ikke inneholder felt og "opplæring" i Men inneholder-feltet .

Hvis du bare vil utelate bestemte frittstående termer, angir du bare vilkårene i men inneholder bare felt .

Hvis du vil legge til frittstående nøkkelord som skal utelates, fullfører du følgende trinn:

  1. Gå til Insider Risk Management > Settings > Intelligent detections i samsvarsportalen.
  2. Skriv inn de frittstående nøkkelordene i feltet Men inneholder i delen For utelukkelse av nøkkelord.
  3. Velg Lagre for å konfigurere nøkkelordutelukkelsene.

Hvis du vil slette et frittstående nøkkelord som skal utelates, fullfører du følgende trinn:

  1. Gå til Insider Risk Management > Settings > Intelligent detections i samsvarsportalen.
  2. Velg X for det spesifikke frittstående nøkkelordet i men inneholder feltet, under Nøkkelordutelukkelse. Gjenta etter behov for å fjerne flere nøkkelord.
  3. Velg Lagre for å slette nøkkelordutelukkelsene.

Eksportere varsler

Varslingsinformasjon for insider-risikostyring kan eksporteres til sikkerhetsinformasjon og hendelsesbehandling (SIEM) og løsninger for automatisert respons (SOAR) for sikkerhet ved hjelp av API-skjemaet for Office 365 Management Activity. Du kan bruke API-ene for Office 365 Management Activity til å eksportere varselinformasjon til andre programmer organisasjonen kan bruke til å administrere eller aggregere informasjon om insider-risiko. Varselinformasjon eksporteres og er tilgjengelig hvert 60. minutt via API-ene for Office 365 Management Activity.

Hvis organisasjonen bruker Microsoft Sentinel, kan du også bruke den ut-av-boksen insider risk management data connector til å importere insider risikovarslingsinformasjon til Sentinel. Hvis du vil ha mer informasjon, kan du se Insider Risk Management (IRM) (forhåndsvisning) i Microsoft Sentinel-artikkelen.

Viktig

Anonymisering av brukernavn bevares ikke for eksporterte varsler for å opprettholde referanseintegritet for brukere som har varsler om innsiderisiko eller -saker i Microsoft 365 eller andre systemer. Eksporterte varsler viser brukernavn for hvert varsel.

Slik bruker du API-ene til å se gjennom varslingsinformasjon om innsiderisiko:

  1. Aktiver Office 365 Management Activity API-støtte i Insider Risk Management > Settings > Eksporter varsler. Som standard er denne innstillingen deaktivert for Microsoft 365-organisasjonen.
  2. Filtrer de vanlige Office 365 overvåkingsaktivitetene etter SecurityComplianceAlerts.
  3. Filtrer SecurityComplianceAlerts etter kategorien InsiderRiskManagement .

Innstillinger for eksportvarsling for Insider-risikostyring.

Varslingsinformasjon inneholder informasjon fra sikkerhets- og samsvarsvarselskjemaet og det vanlige skjemaet for Office 365 Management Activity API.

Følgende felter og verdier eksporteres for varsler om insider-risikostyring for varselskjemaet Sikkerhets & samsvar:

Varselparameter Beskrivelse
AlertType Varseltypen er Egendefinert.
AlertId GUID-en for varselet. Varsler om insider-risikostyring kan dempes. Når varselstatusen endres, genereres en ny logg med samme AlertID. Denne AlertID-en kan brukes til å koordinere oppdateringer for et varsel.
Kategori Kategorien for varselet er InsiderRiskManagement. Denne kategorien kan brukes til å skille fra disse varslene fra andre varsler om sikkerhet & samsvar.
Kommentarer Standardkommentarer for varselet. Verdier er Nytt varsel (loggføres når et varsel opprettes) og varsel oppdateres (logges når det finnes en oppdatering for et varsel). Bruk AlertID til å koordinere oppdateringer for et varsel.
Data Dataene for varselet inneholder den unike bruker-ID-en, brukerhovednavn og dato og klokkeslett (UTC) når brukeren ble utløst i en policy.
Navn Policynavn for policy for insider risk management som genererte varselet.
PolicyId GUID-en for policyen for insider-risikostyring som utløste varselet.
Alvorlighetsgraden Alvorsgraden for varselet. Verdiene er høy, middels eller lav.
Kilde Kilden til varselet. Verdien er Office 365 forskriftssamsvar for & sikkerhet.
Status Statusen for varselet. Verdier er aktive (behovsgjennomgang i innsiderisiko), undersøkelse (bekreftet i insider-risiko), løst (løst i innsiderisiko), avvist (avvist i innsiderisiko).
Versjon Versjonen av sikkerhets- og samsvarsvarselskjemaet.

Følgende felt og verdier eksporteres for insider risk management-varsler for det vanlige skjemaet for Office 365 Management Activity API.

  • Brukerid
  • Id
  • RecordType
  • CreationTime
  • Operasjonen
  • Organisasjons-ID
  • UserType
  • UserKey

Prioriterte brukergrupper (forhåndsversjon)

Brukere i organisasjonen kan ha ulike risikonivåer avhengig av posisjon, tilgangsnivå til sensitiv informasjon eller risikohistorikk. Prioritering av undersøkelse og poengsum for aktivitetene til disse brukerne kan bidra til å varsle deg om potensielle risikoer som kan få høyere konsekvenser for organisasjonen. Prioriterte brukergrupper i insider risk management bidrar til å definere brukerne i organisasjonen som trenger nærmere inspeksjon og mer sensitiv risikopoengvurdering. Sammen med sikkerhetspolicybruddene etter prioriterte brukere og datalekkasjer av policymaler for prioriterte brukere , har brukere som er lagt til i en prioritert brukergruppe, økt sannsynlighet for varsler om innsiderisiko og varsler med høyere alvorlighetsgrad.

Innstillinger for insider-risikostyringsprioritet for brukergruppe.

I stedet for å være åpen for gjennomgang av alle analytikere og etterforskere, kan det hende at grupper med prioriterte brukere også må begrense gjennomgangsaktiviteter til bestemte brukere eller rollegrupper for innsiderisiko. Du kan velge å tilordne individuelle brukere og rollegrupper til å se gjennom brukere, varsler, saker og rapporter for hver prioriterte brukergruppe. Prioriterte brukergrupper kan ha gjennomgangstillatelser tilordnet til de innebygde rollegruppene insider risk management, Insider Risk Management Analysts og Insider Risk Management Investigators , én eller flere av disse rollegruppene, eller til et egendefinert utvalg av brukere.

Du må for eksempel beskytte deg mot datalekkasjer for et svært konfidensielt prosjekt der brukerne har tilgang til sensitiv informasjon. Du velger å opprette en gruppe med prioritet for konfidensielle prosjektbrukere for brukere i organisasjonen som arbeider med dette prosjektet. I tillegg bør ikke denne prioriterte brukergruppen ha brukere, varsler, saker og rapporter knyttet til gruppen som er synlige for alle administratorene, analytikerne og etterforskerne for insider-risikostyring som standard. I Innstillinger oppretter du gruppen Fortrolige prosjektbrukere , og tilordner to brukere som korrekturleser som kan vise data relatert til gruppene. Ved hjelp av policyveiviseren og datalekkasjene fra policymalen for prioriterte brukere oppretter du en ny policy og tilordner gruppen Fortrolige prosjektbrukere prioriterte brukere til policyen. Aktiviteter som undersøkes av policyen for medlemmer av den prioriterte brukergruppen Konfidensielt prosjektbrukere , er mer følsomme for risiko og aktiviteter av disse brukerne vil være mer sannsynlig å generere et varsel og ha varsler med høyere alvorlighetsgradnivåer.

Opprette en prioritetsbrukergruppe

Hvis du vil opprette en ny prioritetsbrukergruppe, bruker du innstillingskontroller i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal. Hvis du vil opprette en prioritert brukergruppe, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin.

Fullfør følgende trinn for å opprette en prioritert brukergruppe:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg insider-risikoinnstillinger.
  2. Velg siden For prioriterte brukergrupper (forhåndsvisning ).
  3. Velg Opprett prioritert brukergruppe på siden Prioritetsbrukergrupper (forhåndsvisning) for å starte veiviseren for oppretting av gruppe.
  4. Fyll ut følgende felt på siden Navn og beskriv :
    • Navn (obligatorisk): Skriv inn et egendefinert navn for den prioriterte brukergruppen. Du kan ikke endre navnet på den prioriterte brukergruppen når du har fullført veiviseren.
    • Beskrivelse (valgfritt): Angi en beskrivelse for den prioriterte brukergruppen.
  5. Velg Neste for å fortsette.
  6. Velg Velg medlemmer du vil søke etter, på Velg medlemmer-siden, og velg hvilke e-postaktiverte brukerkontoer som skal inkluderes i gruppen, eller merk av for Merk alle for å legge til alle brukerne i organisasjonen i gruppen. Velg Legg til for å fortsette eller Avbryt for å lukke uten å legge til noen brukere i gruppen.
  7. Velg Neste for å fortsette.
  8. siden Velg hvem som kan vise denne gruppen må du definere hvem som kan se gjennom brukere, varsler, saker og rapporter for den prioriterte brukergruppen. Minst én rollegruppe for bruker- eller innsiderisikostyring må tilordnes. Velg Velg brukere og rollegrupper , og velg brukerne eller rollegruppene for insider-risikostyring som du vil tilordne til den prioriterte brukergruppen. Velg Legg til for å tilordne de valgte brukerne eller rollegruppene til gruppen.
  9. Velg Neste for å fortsette.
  10. Se gjennom innstillingene du har valgt for den prioriterte brukergruppen, på Se gjennom-siden . Velg Rediger koblinger for å endre noen av gruppeverdiene, eller velg Send for å opprette og aktivere prioritetsbrukergruppen.
  11. Velg Ferdig på bekreftelsessiden for å avslutte veiviseren.

Oppdatere en prioritetsbrukergruppe

Hvis du vil oppdatere en eksisterende brukergruppe med prioritet, bruker du innstillingskontroller i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal. Hvis du vil oppdatere en prioritert brukergruppe, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin.

Fullfør følgende trinn for å redigere en prioritert brukergruppe:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg insider-risikoinnstillinger.
  2. Velg siden For prioriterte brukergrupper (forhåndsvisning ).
  3. Velg prioritetsbrukergruppen du vil redigere, og velg Rediger gruppe.
  4. Oppdater Beskrivelse-feltet om nødvendig på siden Navn og beskriv . Du kan ikke oppdatere navnet på den prioriterte brukergruppen. Velg Neste for å fortsette.
  5. Legg til nye medlemmer i gruppen ved hjelp av Velg medlemmer-kontrollenVelg medlemmer-siden. Hvis du vil fjerne en bruker fra gruppen, velger du X ved siden av brukeren du vil fjerne. Velg Neste for å fortsette.
  6. Legg til eller fjern brukere eller rollegrupper som kan se gjennom brukere, varsler, saker og rapporter for den prioriterte brukergruppen, på siden Velg hvem som kan vise denne gruppen .
  7. Velg Neste for å fortsette.
  8. Se gjennom oppdateringsinnstillingene du har valgt for den prioriterte brukergruppen, på Se gjennom-siden . Velg Rediger koblinger for å endre noen av gruppeverdiene, eller velg Send for å oppdatere prioritetsbrukergruppen.
  9. Velg Ferdig på bekreftelsessiden for å avslutte veiviseren.

Slette en prioritetsbrukergruppe

Hvis du vil slette en eksisterende brukergruppe med prioritet, bruker du innstillingene i insider-løsningen for risikostyring i Microsoft Purview-samsvarsportal. Hvis du vil slette en prioritert brukergruppe, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin.

Viktig

Hvis du sletter en prioritert brukergruppe, fjernes den fra alle aktive policyer den er tilordnet til. Hvis du sletter en prioritert brukergruppe som er tilordnet en aktiv policy, vil ikke policyen inneholde brukere i omfanget og vil effektivt være inaktiv og vil ikke opprette varsler.

Fullfør følgende trinn for å slette en prioritert brukergruppe:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg insider-risikoinnstillinger.
  2. Velg siden For prioriterte brukergrupper (forhåndsvisning ).
  3. Velg prioritetsbrukergruppen du vil redigere, og velg Slett fra instrumentbordmenyen.
  4. Velg Ja i dialogboksen Slett for å slette prioritetsbrukergruppen, eller velg Avbryt for å gå tilbake til instrumentbordet.

Prioriterte fysiske ressurser (forhåndsversjon)

Identifisering av tilgang til prioriterte fysiske ressurser og korreler tilgangsaktivitet til brukerhendelser er en viktig komponent i samsvarsinfrastrukturen. Disse fysiske ressursene representerer prioriterte plasseringer i organisasjonen, for eksempel firmabygninger, datasentre eller serverrom. Risikoaktiviteter for Insider kan knyttes til brukere som arbeider uvanlig timer, forsøker å få tilgang til disse uautoriserte sensitive eller sikre områdene, og forespørsler om tilgang til områder på høyt nivå uten legitime behov.

Med prioriterte fysiske ressurser aktivert og fysisk badging-datakobling konfigurert, integrerer insider risk management signaler fra dine fysiske kontroll- og tilgangssystemer med andre brukerrisikoaktiviteter. Ved å undersøke atferdsmønstre på tvers av fysiske tilgangssystemer og relatere disse aktivitetene med andre innsiderisikohendelser, kan insider risk management hjelpe compliance-etterforskere og analytikere med å ta mer informerte responsbeslutninger for varsler. Tilgang til prioriterte fysiske ressurser får poengsum og identifiseres i innsikt forskjellig fra tilgang til ikke-prioriterte ressurser.

Organisasjonen har for eksempel et dårlig system for brukere som styrer og godkjenner fysisk tilgang til normale arbeids- og sensitive prosjektområder. Du har flere brukere som arbeider på et sensitivt prosjekt, og disse brukerne kommer tilbake til andre områder i organisasjonen når prosjektet er fullført. Når det sensitive prosjektet nærmer seg fullføring, vil du sørge for at prosjektarbeidet forblir konfidensielt og at tilgangen til prosjektområdene er tett kontrollert.

Du velger å aktivere fysisk feilslåing av datakoblingen i Microsoft 365 for å importere tilgangsinformasjon fra det fysiske systemet for dårliggjøring og angi prioriterte fysiske ressurser i insider risk management. Ved å importere informasjon fra det dårlige systemet og koordinere informasjon om fysisk tilgang med andre risikoaktiviteter som er identifisert i insider risk management, legger du merke til at en av brukerne på prosjektet har tilgang til prosjektkontorene etter normal arbeidstid og eksporterer også store mengder data til en personlig skylagringstjeneste fra det normale arbeidsområdet. Denne fysiske tilgangsaktiviteten som er knyttet til den elektroniske aktiviteten, kan peke på mulig datatyveri og samsvarsetterforskere, og analytikere kan iverksette nødvendige tiltak som diktert av omstendighetene for denne brukeren.

Insider risikostyring prioritet fysiske eiendeler.

Konfigurer fysiske ressurser med prioritet

Hvis du vil konfigurere prioriterte fysiske ressurser, konfigurerer du fysiske feilkoblinger og bruker innstillingskontroller i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal. Hvis du vil konfigurere prioriterte fysiske ressurser, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin.

Fullfør følgende trinn for å konfigurere prioriterte fysiske ressurser:

  1. Følg konfigurasjonstrinnene for insider risk management i artikkelen Komme i gang med insider risk management . I trinn 3 må du kontrollere at du konfigurerer fysisk feilslåingskobling.

    Viktig

    For at policyer for insider-risikostyring skal kunne bruke og koordinere signaldata relatert til avgang og avsluttet brukere med hendelsesdata fra dine fysiske kontroll- og tilgangsplattformer, må du også konfigurere Microsoft 365 HR-koblingen. Hvis du aktiverer physical badging-koblingen uten å aktivere Microsoft 365 HR-koblingen, behandler policyer for insider risk management bare hendelser for fysiske tilgangsaktiviteter for brukere i organisasjonen.

  2. I Microsoft Purview-samsvarsportal kan du gå til Insider risk management og velge Insider risk settings > Priority physical assets.

  3. siden Prioritets fysiske aktiva kan du enten legge til de fysiske aktiva-ID-ene du vil oppdage aktivahendelser som er importert av Fysisk feilfletting-koblingen, eller importere en .csv fil med alle fysiske aktiva-ID-er som er importert av Fysisk feilfletting-koblingen: a) Hvis du vil legge til fysiske aktiva-ID-er manuelt, velger du Legg til fysiske aktiva med prioritet, angir du en fysisk aktiva-ID, velg deretter Legg til. Angi andre fysiske aktiva-ID-er, og velg deretter Legg til fysiske ressurser med prioritet for å lagre alle ressursene som er angitt. b) Hvis du vil legge til en liste over fysiske aktiva-ID-er fra en .csv-fil, velger du Importer fysiske ressurser med prioritet. Velg .csv filen du vil importere, i filutforskerdialogboksen, og velg deretter Åpne. De fysiske aktiva-ID-ene fra .csv-filene legges til i listen.

  4. Gå til policyindikatorsiden i Innstillinger.

  5. Gå til delen Indikatorer for fysisk tilgangsiden Policyindikatorer, og merk av for Fysisk tilgang etter avslutning eller mislykket tilgang til sensitive aktiva.

  6. Velg Lagre for å konfigurere og avslutte.

Slette en prioritert fysisk ressurs

Hvis du vil slette en eksisterende prioritert fysisk ressurs, bruker du innstillingen kontroller i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal. Hvis du vil slette en prioritert fysisk ressurs, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin.

Viktig

Hvis du sletter en prioritert fysisk ressurs, fjernes den fra undersøkelse av en aktiv policy som den tidligere var inkludert i. Varsler som genereres av aktiviteter som er knyttet til den prioriterte fysiske ressursen, slettes ikke.

Fullfør følgende trinn for å slette en prioritert fysisk ressurs:

  1. I Microsoft Purview-samsvarsportal kan du gå til Insider risk management og velge Insider risk settings > Priority physical assets.
  2. Velg ressursen du vil slette, på prioritetssiden for fysiske aktiva .
  3. Velg Slett på handlingsmenyen for å slette aktivumet.

Power Automate-flyter (forhåndsversjon)

Microsoft Power Automate er en arbeidsflyttjeneste som automatiserer handlinger på tvers av programmer og tjenester. Ved å bruke flyter fra maler eller opprettet manuelt, kan du automatisere vanlige oppgaver som er knyttet til disse programmene og tjenestene. Når du aktiverer Power Automate-flyter for insider-risikostyring, kan du automatisere viktige oppgaver for saker og brukere. Du kan konfigurere Power Automate-flyter for å hente bruker-, varsel- og saksinformasjon og dele denne informasjonen med interessenter og andre programmer, samt automatisere handlinger i insider risk management, for eksempel å publisere til saksnotater. Power Automate-flyter gjelder for saker og alle brukere i omfanget for en policy.

Kunder med Microsoft 365-abonnementer som inkluderer Insider Risk Management, trenger ikke flere Power Automate-lisenser for å bruke de anbefalte Power Automate-malene for insider-risikostyring. Disse malene kan tilpasses for å støtte organisasjonen og dekke kjernescenarioer for insider-risikostyring. Hvis du velger å bruke premium Power Automate-funksjoner i disse malene, oppretter en egendefinert mal ved hjelp av Microsoft Purview-koblingen eller bruker Power Automate-maler for andre samsvarsområder i Microsoft 365, trenger du kanskje flere Power Automate-lisenser.

Følgende Power Automate-maler leveres til kunder for å støtte prosessautomatisering for insider risk management-brukere og -saker:

  • Varsle brukere når de legges til i en policy for insider-risiko: Denne malen er for organisasjoner som har interne policyer, personvern eller forskriftsmessige krav om at brukere må varsles når de er underlagt policyer for insider-risikostyring. Når denne flyten er konfigurert og valgt for en bruker på Brukere-siden , får brukere og deres overordnede en e-postmelding når brukeren legges til i en policy for insider risk management. Denne malen støtter også oppdatering av en SharePoint-liste som ligger på et SharePoint-område for å spore meldingsdetaljer som dato/klokkeslett og meldingsmottaker. Hvis du har valgt å anonymisere brukere i personverninnstillingene, fungerer ikke flyter som er opprettet fra denne malen, slik at brukernes personvern opprettholdes. Power Automate-flyter som bruker denne malen, er tilgjengelige på instrumentbordet for brukere.

  • Be om informasjon fra personaladministrasjon eller bedrift om en bruker i en insider-risikosak: Når du handler på en sak, kan det hende at analytikere og etterforskere må rådføre seg med personaladministrasjon eller andre interessenter for å forstå konteksten til saksaktivitetene. Når denne flyten er konfigurert og valgt for en sak, sender analytikere og etterforskere en e-postmelding til PERSONAL- og forretningsinteressenter som er konfigurert for denne flyten. Hver mottaker får tilsendt en melding med forhåndskonfigurerte eller tilpassbare svaralternativer. Når mottakerne velger et svaralternativ, registreres svaret som et saksnotat og inneholder informasjon om mottaker og dato/klokkeslett. Hvis du har valgt å anonymisere brukere i personverninnstillingene, fungerer ikke flyter som er opprettet fra denne malen, slik at brukernes personvern opprettholdes. Power Automate-flyter som bruker denne malen, er tilgjengelige på Cases-instrumentbordet.

  • Varsle overordnet når en bruker har et insider-risikovarsel: Noen organisasjoner må kanskje ha umiddelbar administrasjonsvarsling når en bruker har et insider risk management-varsel. Når denne flyten er konfigurert og valgt, sendes lederen for saksbrukeren en e-postmelding med følgende informasjon om alle saksvarsler:

    • Gjeldende policy for varselet
    • Dato/klokkeslett for varselet
    • Alvorsgradnivået for varselet

    Flyten oppdaterer automatisk saksnotatene om at meldingen ble sendt, og at flyten ble aktivert. Hvis du har valgt å anonymisere brukere i personverninnstillingene, fungerer ikke flyter som er opprettet fra denne malen, slik at brukernes personvern opprettholdes. Power Automate-flyter som bruker denne malen, er tilgjengelige på Cases-instrumentbordet.

  • Opprett post for insider-risikotilfelle i ServiceNow: Denne malen er for organisasjoner som vil bruke ServiceNow-løsningen til å spore insider-risikostyringssaker. I et tilfelle kan insider-risikoanalytikere og etterforskere opprette en post for saken i ServiceNow. Du kan tilpasse denne malen for å fylle ut valgte felt i ServiceNow basert på organisasjonens krav. Power Automate-flyter som bruker denne malen, er tilgjengelige på Cases-instrumentbordet. Hvis du vil ha mer informasjon om tilgjengelige ServiceNow-felt, kan du se referanseartikkelen for ServiceNow Connector .

Opprett en Power Automate-flyt fra insider risk management-mal

Hvis du vil opprette en Power Automate-flyt fra en anbefalt insider-mal for risikostyring, bruker du innstillingskontrollene i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal eller alternativet Administrer Power Automate-flyter fra Automate-kontrollen når du arbeider direkte i tilfeller eller brukerinstrumentbord.

Hvis du vil opprette en Power Automate-flyt i innstillingsområdet, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin. Hvis du vil opprette en Power Automate-flyt med alternativet Administrer Power Automate-flyter , må du være medlem av minst én rollegruppe for insider-risikostyring.

Fullfør følgende trinn for å opprette en Power Automate-flyt fra en anbefalt insider-mal for risikostyring:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg Insider Risk Settings > Power Automate-flyter. Du kan også få tilgang til instrumentbordsidene for saker eller brukere ved å velge Automatiser > administrerIng av Power Automate-flyter.
  2. Velg en anbefalt mal fra insider-maler for risikostyringSiden Power Automate-flyter som du kanskje vil bruke på siden.
  3. Flyten viser de innebygde tilkoblingene som kreves for flyten, og vil være oppmerksom på om tilkoblingsstatusene er tilgjengelige. Oppdater eventuelle tilkoblinger som ikke vises som tilgjengelige, om nødvendig. Velg Fortsett.
  4. Som standard er de anbefalte flytene forhåndskonfigurert med anbefalt insider risk management og Microsoft 365-tjenestedatafelt som kreves for å fullføre den tilordnede oppgaven for flyten. Om nødvendig kan du tilpasse flytkomponentene ved hjelp av kontrollen Vis avanserte alternativer og konfigurere de tilgjengelige egenskapene for flytkomponenten.
  5. Hvis det er nødvendig, kan du legge til eventuelle andre trinn i flyten ved å velge Ny trinn-knappen . I de fleste tilfeller bør dette ikke være nødvendig for de anbefalte standardmalene.
  6. Velg Lagre kladd for å lagre flyten for videre konfigurasjon, eller velg Lagre for å fullføre konfigurasjonen for flyten.
  7. Velg Lukk for å gå tilbake til Power Automate-flytsiden . Den nye malen vil bli oppført som en flyt på Mine flyter-fanene og er automatisk tilgjengelig fra Automate-rullegardinkontrollen når du arbeider med insider risk management-saker for brukeren som oppretter flyten.

Viktig

Hvis andre brukere i organisasjonen trenger tilgang til flyten, må flyten deles.

Opprett en egendefinert Power Automate-flyt for insider-risikostyring

Noen prosesser og arbeidsflyter for organisasjonen kan være utenfor de anbefalte insider risk management flow-malene, og du kan ha behov for å opprette egendefinerte Power Automate-flyter for insider risk management-områder. Power Automate-flyter er fleksible og støtter omfattende tilpassing, men det finnes trinn som må utføres for å integrere med funksjoner for insider-risikostyring.

Fullfør følgende trinn for å opprette en egendefinert Power Automate-mal for insider-risikostyring:

  1. Kontroller Power Automate-flytlisensen: Hvis du vil opprette tilpassede Power Automate-flyter som bruker insider risk management-utløsere, trenger du en Power Automate-lisens. De anbefalte flytmalene for insider-risikostyring krever ikke ekstra lisensiering og er inkludert som en del av insider risk management-lisensen.
  2. Opprett en automatisert flyt: Opprett en flyt som utfører én eller flere oppgaver etter at den utløses av en insider risk management-hendelse. Hvis du vil ha mer informasjon om hvordan du oppretter en automatisert flyt, kan du se Opprette en flyt i Power Automate.
  3. Velg Microsoft Purview-koblingen: Søk etter og velg Microsoft Purview-koblingen. Denne koblingen muliggjør utløsere og handlinger for insider-risikostyring. Hvis du vil ha mer informasjon om koblinger, kan du se artikkelen Oversikt over koblingsreferanse .
  4. Velg insider risk management-utløsere for flyten: Insider Risk Management har to utløsere tilgjengelig for egendefinerte Power Automate-flyter:
    • For en valgt insider risk management-sak: Flyter med denne utløseren kan velges fra instrumentbordsiden for insider risk management Cases.
    • For en valgt insider risk management-bruker: Flyter med denne utløseren kan velges fra instrumentbordsiden for insider risk management Users.
  5. Velg insider risk management-handlinger for flyten: Du kan velge blant flere handlinger for insider risk management som skal inkluderes i den egendefinerte flyten:
    • Få insider risk management-varsel
    • Få insider risk management-saken
    • Få insider risk management-bruker
    • Få varsler om insider-risikostyring for en sak
    • Legg til saksnotat for insider-risikostyring

Dele en Power Automate-flyt

Som standard er Power Automate-flyter som er opprettet av en bruker, bare tilgjengelige for denne brukeren. For at andre brukere av insider-risikostyring skal ha tilgang til og bruke en flyt, må flyten deles av flytoppretteren. Hvis du vil dele en flyt, bruker du innstillingskontrollene i insider-løsningen for risikostyring i Microsoft Purview-samsvarsportal eller alternativet Administrer Power Automate-flyter fra Automatiser-kontrollen når du arbeider direkte på instrumentbordsidene For saker eller Brukere. Når du har delt en flyt, kan alle som den har blitt delt med, få tilgang til flyten i rullegardinlisten for Automate-kontrollen i instrumentbordene for sak og bruker.

Hvis du vil dele en Power Automate-flyt i innstillingsområdet, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin. Hvis du vil dele en Power Automate-flyt med alternativet Administrer Power Automate-flyter , må du være medlem av minst én rollegruppe for insider-risikostyring.

Fullfør følgende trinn for å dele en Power Automate-flyt:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg Insider Risk Settings > Power Automate-flyter. Du kan også få tilgang til instrumentbordsidene for saker eller brukere ved å velge Automatiser > administrerIng av Power Automate-flyter.
  2. Velg Mine flyter- eller Teamflyter-fanenPower Automate-flyter-siden.
  3. Velg flyten du vil dele, og velg deretter Del fra menyen for flytalternativer.
  4. Skriv inn navnet på brukeren eller gruppen du vil legge til som eier av flyten, på siden for flytdeling.
  5. Velg OK i dialogboksen Tilkobling brukt for å bekrefte at brukeren eller gruppen som er lagt til, har full tilgang til flyten.

Redigere en Power Automate-flyt

Hvis du vil redigere en flyt, bruker du innstillingskontrollene i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal eller alternativet Administrer Power Automate-flyter fra Automatiser-kontrollen når du arbeider direkte i tilfeller eller brukerinstrumentbord.

Hvis du vil redigere en Power Automate-flyt i innstillingsområdet, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin. Hvis du vil redigere en Power Automate-flyt med alternativet Administrer Power Automate-flyter , må du være medlem av minst én rollegruppe for insider-risikostyring.

Fullfør følgende trinn for å redigere en Power Automate-flyt:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg Insider Risk Settings > Power Automate-flyter. Du kan også få tilgang til instrumentbordsidene for saker eller brukere ved å velge Automatiser > administrerIng av Power Automate-flyter.
  2. Velg en flyt du vil redigere på Power Automate-flytsiden , og velg Rediger fra flytkontrollmenyen.
  3. Velg ellipseinnstillingene > for å endre en flytkomponentinnstilling eller ellipse > Slett for å slette en flytkomponent.
  4. Velg Lagre og lukk for å fullføre redigeringen av flyten.

Slette en Power Automate-flyt

Hvis du vil slette en flyt, bruker du innstillingskontrollene i insider-risikostyringsløsningen i Microsoft Purview-samsvarsportal eller alternativet Administrer Power Automate-flyter fra Automate-kontrollen når du arbeider direkte i tilfeller eller brukerinstrumentbord. Når en flyt slettes, fjernes den som et alternativ for alle brukere.

Hvis du vil slette en Power Automate-flyt i innstillingsområdet, må du være medlem av rollegruppen Insider Risk Management eller Insider Risk Management Admin. Hvis du vil slette en Power Automate-flyt med alternativet Administrer Power Automate-flyter , må du være medlem av minst én rollegruppe for insider-risikostyring.

Fullfør følgende trinn for å slette en Power Automate-flyt:

  1. Gå til Insider Risk Management i Microsoft Purview-samsvarsportal, og velg Insider Risk Settings > Power Automate-flyter. Du kan også få tilgang til instrumentbordsidene for saker eller brukere ved å velge Automatiser > administrerIng av Power Automate-flyter.
  2. Velg en flyt du vil slette, på Power Automate-flytsiden , og velg Slett fra flytkontrollmenyen.
  3. Velg Slett i dialogboksen for bekreftelse av sletting for å fjerne flyten, eller velg Avbryt for å avslutte slettingshandlingen.

Microsoft Teams (forhåndsversjon)

Samsvarsanalytikere og etterforskere kan enkelt bruke Microsoft Teams til samarbeid om insider risk management-saker. De kan koordinere og kommunisere med andre interessenter i Microsoft Teams for å:

  • Koordinere og se gjennom responsaktiviteter for saker i private Teams-kanaler
  • Dele og lagre filer og bevis relatert til enkeltsaker på en sikker måte
  • Spor og se gjennom responsaktiviteter fra analytikere og etterforskere

Når Microsoft Teams er aktivert for insider risk management, opprettes et dedikert Microsoft Teams-team hver gang et varsel bekreftes og det opprettes en sak. Som standard inkluderer teamet automatisk alle medlemmer av rollegruppene Insider Risk Management, Insider Risk Management Analysts og Insider Risk Management Investigators (opptil 100 opprinnelige brukere). Flere organisasjonsbidragsytere kan legges til i teamet etter at det er opprettet og etter behov. For eksisterende saker som er opprettet før microsoft Teams aktiveres, kan analytikere og etterforskere velge å opprette et nytt Microsoft Teams-team når de arbeider i en sak om nødvendig. Når du har løst den tilknyttede saken i insider risk management, arkiveres teamet automatisk (flyttes til skjult og skrivebeskyttet).

Hvis du vil ha mer informasjon om hvordan du bruker team og kanaler i Microsoft Teams, kan du se Oversikt over team og kanaler i Microsoft Teams.

Aktivering av Microsoft Teams-støtte for saker er raskt og enkelt å konfigurere. Gjør følgende for å aktivere Microsoft Teams for insider risk management:

  1. Gå til insider-risikoinnstillingene for Insider-risikostyring > i Microsoft Purview-samsvarsportal.
  2. Velg Microsoft Teams-siden .
  3. Aktiver Microsoft Teams-integrering for insider risk management.
  4. Velg Lagre for å konfigurere og avslutte.

Insider risk management Microsoft Teams.

Opprett et Microsoft Teams-team for eksisterende saker

Hvis du aktiverer Microsoft Teams-støtte for insider risk management etter at du har eksisterende saker, må du manuelt opprette et team for hvert tilfelle etter behov. Når du aktiverer Microsoft Teams-støtte i insider risk management-innstillinger, vil nye saker automatisk opprette et nytt Microsoft Teams-team.

Brukere trenger tillatelse til å opprette Microsoft 365-grupper i organisasjonen for å opprette et Microsoft Teams-team fra en sak. Hvis du vil ha mer informasjon om behandling av tillatelser for Microsoft 365 Groups, kan du se Administrere hvem som kan opprette Microsoft 365 Groups.

Hvis du vil opprette et team for en sak, bruker du Opprett Microsoft Team-kontrollen når du arbeider direkte i en eksisterende sak. Fullfør følgende trinn for å opprette et nytt team:

  1. I Microsoft Purview-samsvarsportal går du til Insider Risk Management > Cases og velger en eksisterende sak.
  2. Velg Opprett Microsoft Team på sakshandlingsmenyen.
  3. Skriv inn et navn for det nye Microsoft Teams-teamet i Teamnavn-feltet .
  4. Velg Opprett Microsoft-team , og velg deretter Lukk.

Avhengig av antall brukere som er tilordnet rollegrupper for insider-risikostyring, kan det ta 15 minutter før alle etterforskere og analytikere legges til i Microsoft Teams-teamet for en sak.

Analytics

Med Insider Risk Analytics kan du gjennomføre en evaluering av potensielle insider-risikoer i organisasjonen uten å konfigurere policyer for innsiderisiko. Denne evalueringen kan hjelpe organisasjonen med å identifisere potensielle områder med høyere brukerrisiko og bidra til å fastslå typen og omfanget av policyer for insider-risikostyring som du kan vurdere å konfigurere. Analyseskanninger tilbyr følgende fordeler for organisasjonen:

  • Enkelt å konfigurere: For å komme i gang med analyseskanninger kan du velge Kjør skanning når du blir bedt om det av analyseanbefalingen, eller gå til Insider Risk Settings > Analytics og aktivere analyse.
  • Personvern etter utforming: Skanneresultater og innsikt returneres som aggregert og anonymisert brukeraktivitet, individuelle brukernavn kan ikke identifiseres av korrekturlesere.
  • Forstå potensielle risikoer gjennom konsolidert innsikt: Skanneresultater kan hjelpe deg med raskt å identifisere potensielle risikoområder for brukerne, og hvilken policy som vil være best for å redusere disse risikoene.

Ta en titt på videoen Insider Risk Management Analytics for å forstå hvordan analyser kan bidra til å akselerere identifiseringen av potensielle insider-risikoer og hjelpe deg med å gjøre noe raskt.

Analyse skanner etter risikoaktivitetshendelser fra flere kilder for å identifisere innsikt i potensielle risikoområder. Analyser ser etter kvalifiserende risikoaktiviteter på følgende områder, avhengig av gjeldende konfigurasjon:

  • Microsoft 365-overvåkingslogger: Inkludert i alle skanninger, er dette den primære kilden for å identifisere de fleste av de potensielt risikable aktivitetene.
  • Exchange Online: Inkludert i alle skanninger bidrar Exchange Online aktivitet til å identifisere aktiviteter der data i vedlegg sendes til eksterne kontakter eller tjenester.
  • Azure Active Directory: Azure Active Directory-loggen er inkludert i alle skanninger, og bidrar til å identifisere risikable aktiviteter knyttet til brukere med slettede brukerkontoer.
  • Microsoft 365 HR-datakobling: Hvis konfigurert, bidrar HR-koblingshendelser til å identifisere risikable aktiviteter knyttet til brukere som har oppsigelse eller kommende avslutningsdatoer.

Analyseinnsikt fra skanninger er basert på de samme risikoaktivitetssignalene som brukes av policyer for insider-risikostyring og rapportresultater basert på brukeraktiviteter for både én og sekvens. Risikopoengene for analyser er imidlertid basert på opptil 10 dagers aktivitet, mens policyer for innsiderisiko bruker daglig aktivitet for innsikt. Når du først aktiverer og kjører analyser i organisasjonen, ser du skanneresultatene for én dag. Hvis du lar analyser være aktivert, ser du resultatene av hver daglige skanning som er lagt til i innsiktsrapportene for et maksimalt område av de foregående 10 dagene med aktivitet.

Aktiver analyse og start skanningen

Hvis du vil aktivere insider risk analytics, må du være medlem av rollegruppen Insider Risk Management, Insider Risk Management Admin eller Microsoft 365 Global admin. Fullfør følgende trinn for å aktivere insider risk analytics:

  1. Gå til Insider risk management i Microsoft Purview-samsvarsportal.
  2. Velg Kjør skanningSøk etter insider-risikoer i organisasjonskortet på Oversikt-fanen for insider-risikostyring. Dette aktiverer analyseskanning for organisasjonen. Du kan også aktivere skanning i organisasjonen ved å navigere til Insider risk settings > Analytics og aktivere Skann leierens brukeraktivitet for å identifisere potensielle insider-risikoer.
  3. Velg Kjør skanning i Analysedetaljer-ruten for å starte skanningen for organisasjonen. Analyseskanningsresultater kan ta opptil 48 timer før innsikt er tilgjengelig som rapporter for gjennomgang.

Analyseinnstillinger for Insider-risikostyring.

Vise analyseinnsikt og opprette nye policyer

Når den første analyseskanningen er fullført for organisasjonen, mottar medlemmer av rollegruppen Insider Risk Management Admin automatisk et e-postvarsel og kan vise den innledende innsikten og anbefalingene for potensielt risikable aktiviteter for brukerne. Daglige skanninger fortsetter med mindre du deaktiverer analyse for organisasjonen. E-postvarsler til administratorer tilbys for hver av de tre kategoriene i omfanget for analyse (datalekkasjer, tyveri og eksfiltrering) etter den første forekomsten av aktiviteten i organisasjonen. E-postvarsler sendes ikke til administratorer for oppfølging av aktivitetsregistrering som følge av daglige skanninger. Hvis analyser i Insider Risk Management > Settings > Analytics deaktiveres og deretter aktiveres på nytt i organisasjonen, tilbakestilles automatiske e-postvarsler og e-postmeldinger sendes til medlemmer av rollegruppen Insider Risk Management Admin for ny skanneinnsikt.

Hvis du vil vise potensielle risikoer for organisasjonen, kan du gå til Oversikt-fanen og velge Vis resultaterinsider-analysekortet for risikoanalyse . Hvis skanningen for organisasjonen ikke er fullført, ser du en melding om at skanningen fremdeles er aktiv.

Klargjøringskort for insider-risikostyringsanalyse.

Når det gjelder fullførte skanninger, ser du de potensielle risikoene som er oppdaget i organisasjonen, og innsikt og anbefalinger for å håndtere disse risikoene. Identifiserte risikoer og spesifikk innsikt er inkludert i rapporter gruppert etter område, totalt antall brukere med identifisert risiko, prosentandelen av disse brukerne med potensielt risikable aktiviteter og en anbefalt policy for innsiderisiko for å redusere disse risikoene. Rapportene omfatter:

  • Innsikt i datalekkasjer: Aktiviteter for alle brukere som kan inkludere utilsiktet overdeling av informasjon utenfor organisasjonen eller datalekkasjer fra brukere med ondsinnede hensikter.
  • Innsikt i datatyveri: Aktiviteter for brukere som forlater brukere med slettede Azure Active Directory-kontoer som kan omfatte risikabel deling av informasjon utenfor organisasjonen eller datatyveri av brukere med ondsinnede hensikter.
  • Top exfiltration insights: Aktiviteter for alle brukere som kan inkludere deling av data utenfor organisasjonen.

Oversiktsrapport for insider risk management analytics.

Hvis du vil vise mer informasjon for en innsikt, velger du Vis detaljer for å vise detaljruten for innsikten. Detaljruten inneholder fullstendige innsiktsresultater, en insider risikopolicyanbefaling og Opprett policy-knappen for raskt å hjelpe deg med å opprette den anbefalte policyen. Hvis du velger Opprett policy, kommer du til policyveiviseren og velger automatisk den anbefalte policymalen som er relatert til innsikten. Hvis analyseinnsikten for eksempel gjelder datalekkasjeaktivitet , forhåndsvalges policymalen Generelle datalekkasjer i policyveiviseren for deg.

Rapport om analysedetaljer for Insider-risikostyring.

Deaktiver analyse

Hvis du vil deaktivere insider risk analytics, må du være medlem av rollegruppen Insider Risk Management, Insider Risk Management Admin eller Microsoft 365 Global admin. Når du har deaktivert analyse, forblir analyseinnsiktsrapporter statiske og oppdateres ikke for nye risikoer.

Fullfør følgende trinn for å deaktivere insider risk analytics:

  1. Gå til Insider risk management i Microsoft Purview-samsvarsportal.
  2. Velg analysesiden for Insider-risikoinnstillinger > .
  3. Slå av Skann leierens brukeraktivitet på Analyse-siden for å identifisere potensielle insider-risikoer.

Admin varsler

Admin varsler sender automatisk et e-postvarsel til valgbare rollegrupper for insider-risikostyring. Du kan aktivere varsler og tilordne hvilke rollegrupper som skal motta varslene for følgende scenarioer:

  • Send en e-postmelding når det første varselet genereres for en ny policy. Policyer kontrolleres hver 24. time for førstegangsvarsler, og varsler sendes ikke på etterfølgende varsler for policyen.
  • Send en daglig e-postmelding når nye varsler med høy alvorlighetsgrad genereres. Policyer kontrolleres hver 24. time for varsler om høy alvorlighetsgrad.
  • Sende en ukentlig e-post som oppsummerer policyer som har uløste advarsler

Hvis du har aktivert insider risk management analytics for organisasjonen, mottar medlemmer av rollegruppen Insider Risk Admin Management automatisk et e-postvarsel for innledende analyseinnsikt for datalekkasjer, tyveri og eksfiltreringsaktiviteter.

Hvis du foretrekker å deaktivere administrator- og analysevarsler, kan du utføre følgende trinn:

  1. Gå til insider-risikoinnstillingene for Insider-risikostyring > i Microsoft Purview-samsvarsportal.

  2. Velg Admin varslingssiden.

  3. Fjern merket for følgende alternativer etter behov:

    • Sende en e-postmelding når det første varselet genereres for en ny policy
    • Send et e-postvarsel når en ny innsikt er tilgjengelig i Analytics
    • Sende et e-postvarsel når Analyse er slått av
  4. Velg Lagre for å konfigurere og avslutte.