Finn ut mer om insider risk management

Tips

Visste du at du kan prøve premiumversjonene av alle de ni Microsoft Purview-løsningene gratis? Bruk den 90-dagers prøveversjonen av Purview-løsninger for å utforske hvordan robuste Purview-funksjoner kan hjelpe organisasjonen med å oppfylle samsvarsbehovene. Microsoft 365 E3 og Office 365 E3 kunder kan starte nå på Microsoft Purview-samsvarsportal prøveversjoner-huben. Lær mer om hvem som kan registrere seg og prøveabonnementer.

Microsoft Purview administrasjon av intern risiko er en løsning for samsvar som bidrar til å minimere interne risikoer ved å gjøre det mulig for deg å oppdage, undersøke og handle på skadelige og utilsiktede aktiviteter i organisasjonen. Med insider-risikopolicyer kan du definere risikotypene for å identifisere og oppdage i organisasjonen, inkludert å handle i saker og eskalerende saker til Microsoft eDiscovery (Premium) om nødvendig. Risikoanalytikere i organisasjonen kan raskt utføre nødvendige tiltak for å sikre at brukerne samsvarer med organisasjonens samsvarsstandarder.

Hvis du vil ha mer informasjon og en oversikt over planleggingsprosessen for å håndtere risikable aktiviteter i organisasjonen, kan du se Starte et insider risk management program.

Se videoene nedenfor for å finne ut hvordan insider risk management kan hjelpe organisasjonen med å forhindre, oppdage og inneholde risikoer, samtidig som du prioriterer organisasjonens verdier, kultur og brukeropplevelse:

Løsning for insider-risikostyring & utvikling:


Arbeidsflyt for insider-risikobehandling:

Ta en titt på Microsoft Mechanics-videoen om hvordan insider-risikostyring og kommunikasjonssamsvar fungerer sammen for å redusere datarisiko fra brukere i organisasjonen.

Viktig

Insider Risk Management er for øyeblikket tilgjengelig i leiere som driftes i geografiske områder og land som støttes av Azure-tjenesteavhengigheter. Hvis du vil bekrefte at insider risk management støttes for organisasjonen, kan du se Azure-avhengighetstilgjengelighet etter land/område.

Moderne risikosmerter

Administrasjon og minimering av risiko i organisasjonen begynner med å forstå risikotypene som finnes på den moderne arbeidsplassen. Noen risikoer er drevet av eksterne hendelser og faktorer som er utenfor direkte kontroll. Andre risikoer er drevet av interne hendelser og brukeraktiviteter som kan minimeres og unngås. Noen eksempler er risikoer fra ulovlig, upassende, uautorisert eller uetisk oppførsel og handlinger fra brukere i organisasjonen. Disse virkemåtene omfatter et bredt spekter av interne risikoer fra brukere:

  • Lekkasjer av sensitive data og datasøl
  • Brudd på konfidensialitet
  • Tyveri av immaterielle rettigheter (IP)
  • Svindel
  • Innsidehandel
  • Brudd på forskriftssamsvar

Brukere på den moderne arbeidsplassen har tilgang til å opprette, administrere og dele data på tvers av et bredt spekter av plattformer og tjenester. I de fleste tilfeller har organisasjoner begrensede ressurser og verktøy for å identifisere og redusere risikoer for hele organisasjonen, samtidig som de oppfyller brukernes personvernstandarder.

Insider Risk Management bruker den fulle bredden av tjenesten og tredjepartsindikatorer for å hjelpe deg med raskt å identifisere, triage og handle på risikoaktivitet. Ved å bruke logger fra Microsoft 365 og Microsoft Graph kan du bruke insider risk management til å definere bestemte policyer for å identifisere risikoindikatorer. Med disse policyene kan du identifisere risikable aktiviteter og handle for å redusere disse risikoene.

Insider Risk Management er sentrert rundt følgende prinsipper:

  • Gjennomsiktighet: Balansere brukerpersonvern kontra organisasjonsrisiko med arkitektur for personvern for utforming.
  • Konfigurerbart: Konfigurerbare policyer basert på bransjegrupper, geografiske grupper og forretningsgrupper.
  • Integrert: Integrert arbeidsflyt på tvers av Microsoft Purview-løsninger.
  • Gjennomførbart: Gir innsikt for å aktivere varsler, dataundersøkelser og brukerundersøkelser for korrekturlesere.

Identifisere potensielle risikoer med analyser

Med Insider Risk Analytics kan du gjennomføre en evaluering av potensielle insider-risikoer i organisasjonen uten å konfigurere policyer for innsiderisiko. Denne evalueringen kan hjelpe organisasjonen med å identifisere potensielle områder med høyere brukerrisiko og bidra til å fastslå typen og omfanget av policyer for insider-risikostyring som du kan vurdere å konfigurere. Denne evalueringen kan også hjelpe deg med å bestemme behovene for ytterligere lisensiering eller fremtidig optimalisering av eksisterende policyer for innsiderisiko.

Hvis du vil lære mer om insider risk analytics, kan du se insider risk management settings: Analytics.

Enten du setter opp insider risk management for første gang eller kommer i gang med å opprette nye policyer, kan den nye anbefalte handlingsopplevelsen hjelpe deg med å få mest mulig ut av insider risk management-funksjoner. Anbefalte handlinger omfatter å konfigurere tillatelser, velge policyindikatorer, opprette en policy og mer.

Arbeidsflyt

Arbeidsflyten for insider risk management hjelper deg med å identifisere, undersøke og iverksette tiltak for å håndtere interne risikoer i organisasjonen. Med fokuserte policymaler, omfattende aktivitetssignalering på tvers av Microsoft 365-tjenesten og verktøy for varslings- og saksbehandling, kan du bruke handlingsrettet innsikt til raskt å identifisere og handle på risikabel atferd.

Identifisering og løsning av interne risikoaktiviteter og samsvarsproblemer med insider risk management bruker følgende arbeidsflyt:

Arbeidsflyt for insider-risikostyring.

Retningslinjer

Policyer for insider-risikostyring opprettes ved hjelp av forhåndsdefinerte maler og policybetingelser som definerer hvilke utløserhendelser og risikoindikatorer som undersøkes i organisasjonen. Disse betingelsene omfatter hvordan risikoindikatorer brukes for varsler, hvilke brukere som er inkludert i policyen, hvilke tjenester som prioriteres, og gjenkjenningsperioden.

Du kan velge blant følgende policymaler for raskt å komme i gang med insider risk management:

Instrumentbord for policy for insider-risikostyring.

Varsler

Varsler genereres automatisk av risikoindikatorer som samsvarer med policybetingelser og vises i instrumentbordet for varsler. Dette instrumentbordet gir en rask oversikt over alle varsler som trenger gjennomgang, åpne varsler over tid og varslingsstatistikk for organisasjonen. Alle policyvarsler vises med følgende informasjon for å hjelpe deg med raskt å identifisere statusen for eksisterende varsler og nye varsler som trenger handling:

  • Status
  • Alvorlighetsgraden
  • Tid oppdaget
  • Tilfelle
  • Saksstatus

Instrumentbord for insider-risikostyringsvarsel.

Triage

Nye brukeraktiviteter som trenger undersøkelser, genererer automatisk varsler som er tilordnet en status for gjennomgang av behov . Korrekturlesere kan raskt identifisere og se gjennom, evaluere og triage disse varslene.

Varsler løses ved å åpne en ny sak, tilordne varselet til en eksisterende sak eller avvise varselet. Ved hjelp av varselfiltre er det enkelt å raskt identifisere varsler etter status, alvorlighetsgrad eller tid som oppdages. Som en del av triage-prosessen kan kontrollører vise varseldetaljer for aktivitetene som identifiseres av policyen, vise brukeraktivitet knyttet til policysamsvaret, se alvorsgraden til varselet og se gjennom brukerprofilinformasjonen.

Insider risk management triage.

Undersøk

Undersøk raskt alle aktiviteter for en valgt bruker med brukeraktivitetsrapporter (forhåndsversjon). Disse rapportene gjør det mulig for etterforskere i organisasjonen å undersøke aktiviteter for bestemte brukere i en definert tidsperiode uten å måtte tilordne dem midlertidig eller eksplisitt til en policy for insider risk management. Etter å ha undersøkt aktiviteter for en bruker, kan etterforskerne avvise individuelle aktiviteter som godartede, dele eller sende en kobling til rapporten med andre etterforskere, eller velge å tilordne brukeren midlertidig eller eksplisitt til en insider risikostyringspolitikk.

Det opprettes saker for varsler som krever dypere gjennomgang og undersøkelse av aktivitetsdetaljene og omstendighetene rundt policysvarslingen. Saksinstrumentbordet gir en oversikt over alle aktive saker, åpne saker over tid og saksstatistikk for organisasjonen. Korrekturlesere kan raskt filtrere saker etter status, datoen saken ble åpnet, og datoen da saken sist ble oppdatert.

Hvis du velger en sak på saksinstrumentbordet, åpnes saken for undersøkelse og gjennomgang. Dette trinnet er kjernen i insider risk management-arbeidsflyten. Dette området er der risikoaktiviteter, policybetingelser, varsler og brukerdetaljer syntetiseres til en integrert visning for korrekturlesere. De primære undersøkelsesverktøyene i dette området er:

  • Brukeraktivitet: Brukeraktivitet vises automatisk i et interaktivt diagram som tegner inn aktiviteter over tid og etter risikonivå for gjeldende eller tidligere risikoaktiviteter. Korrekturlesere kan raskt filtrere og vise hele risikologgen for brukeren og drille ned i bestemte aktiviteter for mer informasjon.
  • Innholdsutforsker: Alle datafiler og e-postmeldinger som er knyttet til varselaktiviteter, registreres og vises automatisk i innholdsutforskeren. Korrekturlesere kan filtrere og vise filer og meldinger etter datakilde, filtype, koder, samtale og mange flere attributter.
  • Saksnotater: Korrekturlesere kan gi notater for en sak i saksnotater-delen. Denne listen konsoliderer alle notater i en sentral visning og inkluderer korrekturleser og dato innsendt informasjon.

Insider risk management-undersøkelse.

I tillegg gjør den nye revisjonsloggen (forhåndsvisningen) deg i stand til å holde deg informert om handlingene som ble utført på insider risk management-funksjoner. Denne ressursen gir en uavhengig gjennomgang av handlingene som er utført av brukere som er tilordnet til én eller flere rollegrupper for insider-risikostyring.

Handling

Når sakene er undersøkt, kan korrekturlesere raskt handle for å løse saken eller samarbeide med andre risikointeressenter i organisasjonen. Hvis brukere ved et uhell eller ved et uhell bryter policyvilkårene, kan en enkel påminnelse sendes til brukeren fra varselmaler du kan tilpasse for organisasjonen. Disse merknadene kan fungere som enkle påminnelser eller kan be brukeren om å oppdatere opplæring eller veiledning for å forhindre fremtidig risikabel atferd. Hvis du vil ha mer informasjon, kan du se maler for insider-risikostyring.

I mer alvorlige situasjoner må du kanskje dele saksinformasjonen om insider-risikostyring med andre korrekturlesere eller tjenester i organisasjonen. Insider Risk Management er tett integrert med andre Microsoft Purview-løsninger for å hjelpe deg med ende-til-ende-risikoløsning.

  • eDiscovery (Premium): Ved å eskalere en sak for undersøkelser kan du overføre data og administrasjon av saken til Microsoft Purview eDiscovery (Premium). eDiscovery (Premium) tilbyr en ende-til-ende-arbeidsflyt for å bevare, samle inn, se gjennom, analysere og eksportere innhold som svarer til organisasjonens interne og eksterne undersøkelser. Det gjør det mulig for juridiske team å administrere hele varslingsarbeidsflyten for juridisk sperring. Hvis du vil ha mer informasjon om eDiscovery-saker (Premium), kan du se Oversikt over Microsoft Purview eDiscovery (Premium).
  • integrering av Office 365 Management API-er (forhåndsversjon): Insider Risk Management støtter eksport av varslingsinformasjon til siem-tjenester (security information and event management) via Office 365 Management API-er. Hvis du har tilgang til varslingsinformasjon på plattformen, passer best til organisasjonens risikoprosesser, får du mer fleksibilitet når det gjelder hvordan du handler på risikoaktiviteter. Hvis du vil lære mer om hvordan du eksporterer varselinformasjon med Office 365 API-er for administrasjon, kan du se Eksportere varsler.

Obs!

Takk for tilbakemeldingen og støtten under forhåndsvisningen av ServiceNow-koblingen. Vi har bestemt oss for å avslutte forhåndsvisningen av ServiceNow-koblingen og avslutte støtten i insider risk management 30. november 2020. Vi evaluerer aktivt alternative metoder for å gi kunder ServiceNow-integrering i insider risk management.

Scenarier

Insider Risk Management kan hjelpe deg med å oppdage, undersøke og iverksette tiltak for å redusere interne risikoer i organisasjonen i flere vanlige scenarioer:

Datatyveri ved å forlate brukere

Når brukere forlater en organisasjon, enten frivillig eller som et resultat av oppsigelse, er det ofte legitime bekymringer for at firma-, kunde- og brukerdata er i fare. Brukere kan feilaktig anta at prosjektdata ikke er proprietære, eller de kan bli fristet til å ta firmadata for personlig vinning og i strid med selskapets retningslinjer og juridiske standarder. Policyer for insider-risikostyring som bruker datatyveriet ved å forlate policymalen for brukere , oppdager automatisk aktiviteter som vanligvis er knyttet til denne typen tyveri. Med denne policyen vil du automatisk motta varsler om mistenkelige aktiviteter knyttet til datatyveri ved å forlate brukere, slik at du kan utføre nødvendige undersøkende handlinger. Konfigurering av en Microsoft 365 HR-kobling for organisasjonen kreves for denne policymalen.

Tilsiktet eller utilsiktet lekkasje av sensitiv eller konfidensiell informasjon

I de fleste tilfeller prøver brukerne sitt beste for å håndtere sensitiv eller konfidensiell informasjon på riktig måte. Men noen ganger kan brukere gjøre feil, og informasjon deles ved et uhell utenfor organisasjonen eller i strid med policyene for informasjonsbeskyttelse. Under andre omstendigheter kan brukere med vilje lekke eller dele sensitiv og konfidensiell informasjon med ondsinnede hensikter og for potensiell personlig vinning. Policyer for insider-risikostyring som opprettes ved hjelp av følgende policymaler for datalekkasjer, oppdager automatisk aktiviteter som vanligvis er knyttet til deling av sensitiv eller konfidensiell informasjon:

Brudd på sikkerhetspolicyer med hensikt eller utilsiktet (forhåndsversjon)

Brukere har vanligvis en stor grad av kontroll når de administrerer enhetene sine på den moderne arbeidsplassen. Denne kontrollen kan inneholde tillatelser til å installere eller avinstallere programmer som kreves for å utføre sine oppgaver eller muligheten til å deaktivere sikkerhetsfunksjoner for enheten midlertidig. Uansett om denne aktiviteten er utilsiktet, utilsiktet eller skadelig, kan denne oppførselen utgjøre en risiko for organisasjonen og er viktig for å identifisere og handle for å minimere. For å identifisere disse risikable sikkerhetsaktivitetene, scorer følgende maler for brudd på sikkerhetspolicyer for insider-risikostyring sikkerhetsrisikoindikatorer og bruker Microsoft Defender for endepunkt varsler til å gi innsikt for sikkerhetsrelaterte aktiviteter:

Policyer for brukere basert på posisjon, tilgangsnivå eller risikologg (forhåndsversjon)

Brukere i organisasjonen kan ha ulike risikonivåer avhengig av posisjon, tilgangsnivå til sensitiv informasjon eller risikohistorikk. Denne strukturen kan omfatte medlemmer av organisasjonens ledergruppe, IT-administratorer som har omfattende rettigheter for data- og nettverkstilgang, eller brukere med en tidligere logg over risikable aktiviteter. Under disse omstendighetene er nærmere inspeksjon og mer aggressiv risikoscoring viktig for å bidra til å vise varsler for undersøkelse og rask handling. Hvis du vil identifisere risikable aktiviteter for disse brukertypene, kan du opprette prioriterte brukergrupper og opprette policyer fra følgende policymaler:

Helsetjenester (forhåndsversjon)

For organisasjoner i helsesektoren har nyere studier funnet en svært høy andel innsiderelaterte databrudd. Å oppdage misbruk av pasientdata og helsejournalinformasjon er en viktig del av å ivareta pasientens personvern og overholde samsvarsforskrifter som Health Insurance Portability and Accountability Act (HIPAA) og Loven om helseinformasjonsteknologi for økonomisk og klinisk helse (HITECH). Misbruk av pasientdata kan variere fra tilgang til privilegerte pasientjournaler til tilgang til registreringer av pasienter fra familie eller naboer med ondsinnede hensikter. For å identifisere disse typene risikable aktiviteter bruker følgende policymaler for insider-risikostyring Microsoft 365 HR-koblingen og en helsespesifikk datakobling til å begynne å score risikoindikatorer knyttet til atferd som kan oppstå i dine elektroniske heath record (EHR)-systemer:

Handlinger og virkemåter fra misfornøyde brukere (forhåndsversjon)

Ansettelsesbelastningshendelser kan påvirke brukeratferd på flere måter som er relatert til innsiderisiko. Disse stressfaktorene kan være en dårlig ytelsesgjennomgang, en posisjonsdegradering eller brukeren som plasseres på en plan for ytelsesgjennomgang. Selv om de fleste brukere ikke reagerer ondsinnet på disse hendelsene, kan stresset av disse handlingene føre til at noen brukere oppfører seg på måter de vanligvis ikke kan vurdere under normale omstendigheter. For å identifisere disse typene risikable aktiviteter bruker følgende policymaler for insider-risikostyring Microsoft 365 HR-koblingen og begynner å score risikoindikatorer knyttet til atferd som kan oppstå i nærheten av stressorhendelser for ansettelser:

Risikabel nettleserbruk som kan føre til en sikkerhetshendelse (forhåndsversjon)

De fleste organisasjoner gir brukere regler og retningslinjer som klargjør hvordan en organisasjons enheter og Internett-tilgang skal brukes. Disse policyene bidrar til å beskytte både organisasjonen og brukerne mot sikkerhets- og forskriftsmessige risikoer. For å identifisere disse typene risikable handlinger kan følgende policymal for insider-risikostyring bidra til å oppdage og aktivere risikopoengvurdering for nettlesingsatferd som kan føre til en datasikkerhetshendelse, for eksempel å besøke nettsteder som tilbyr skadelig programvare eller hackingsverktøy.

Er du klar til å komme i gang?