Analyse inschakelen in intern risicobeheer

  • Artikel

Belangrijk

Microsoft Purview Intern risicobeheer correleert verschillende signalen om mogelijke schadelijke of onbedoelde interne risico's te identificeren, zoals IP-diefstal, gegevenslekken en beveiligingsschendingen. Met intern risicobeheer kunnen klanten beleidsregels maken voor het beheren van beveiliging en naleving. Ontworpen met privacy, worden gebruikers standaard gepseudonimiseerd en op rollen gebaseerde toegangsbeheer en auditlogboeken zijn ingesteld om privacy op gebruikersniveau te waarborgen.

Het inschakelen van Microsoft Purview Intern risicobeheer analytics biedt twee belangrijke voordelen. Wanneer analyse is ingeschakeld, kunt u het volgende doen:

  • Voer een evaluatie uit van mogelijke interne risico's in uw organisatie zonder een intern risicobeleid te configureren.
  • Ontvang realtime richtlijnen voor het configureren van instellingen voor indicatordrempelwaarden.

Tip

Als u geen E5-klant bent, gebruikt u de 90-daagse proefversie van Microsoft Purview-oplossingen om te verkennen hoe aanvullende Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.

Een evaluatie uitvoeren van interne risico's in uw organisatie

Microsoft Purview Intern risicobeheer analytics stelt u in staat om potentiële interne risico's in uw organisatie te evalueren zonder een intern risicobeleid te configureren. Deze evaluatie kan uw organisatie helpen bij het identificeren van potentiële gebieden met een hoger gebruikersrisico en het bepalen van het type en bereik van intern risicobeheerbeleid dat u mogelijk wilt configureren. Analysescans bieden de volgende voordelen voor uw organisatie:

  • Eenvoudig te configureren: als u aan de slag wilt met analysescans, selecteert u Scan uitvoeren wanneer u hierom wordt gevraagd door de aanbeveling voor analyse of gaat u naar Insider-risico-instellingen>Analyse en schakelt u analyses in.
  • Privacy by design: gescande resultaten en inzichten worden geretourneerd als geaggregeerde en geanonimiseerde gebruikersactiviteit. Afzonderlijke gebruikersnamen kunnen niet worden geïdentificeerd door revisoren. Omdat intern risicobeheer geen identiteit in de organisatie classificeert voor analyse, houdt de oplossing rekening met alle UPN's/identiteiten die betrokken kunnen zijn bij gegevens die de organisatiegrens verlaten. Dit kan betrekking hebben op gebruikersaccounts, systeemaccounts, gastaccounts, enzovoort.
  • Inzicht krijgen in potentiële risico's via geconsolideerde inzichten: Scanresultaten kunnen u helpen om snel potentiële risicogebieden voor uw gebruikers te identificeren en welk beleid het beste is om deze risico's te beperken.

Bekijk de Insider Risk Management Analytics-video om te begrijpen hoe analyses de identificatie van potentiële interne risico's kunnen versnellen.

Gescande gebieden

Analyse scant activiteiten op het gebied van risicobeheer uit verschillende bronnen om inzicht te krijgen in mogelijke risicogebieden. Afhankelijk van uw huidige configuratie zoekt analyse naar in aanmerking komende risicoactiviteiten op de volgende gebieden:

  • Microsoft 365-auditlogboeken: dit is opgenomen in alle scans en is de primaire bron voor het identificeren van de meeste mogelijk riskante activiteiten.
  • Exchange Online: Exchange Online activiteit is opgenomen in alle scans en helpt bij het identificeren van activiteiten waarbij gegevens in bijlagen per e-mail naar externe contactpersonen of services worden verzonden.
  • Azure Active Directory: Azure AD geschiedenis is opgenomen in alle scans en helpt bij het identificeren van riskante activiteiten die zijn gekoppeld aan gebruikers met verwijderde gebruikersaccounts.
  • Microsoft 365 HR-gegevensconnector: indien geconfigureerd, helpen HR-connectorgebeurtenissen bij het identificeren van riskante activiteiten die zijn gekoppeld aan gebruikers met een datum voor ontslag of toekomstige beëindiging.

Analytische inzichten van scans zijn gebaseerd op dezelfde activiteitssignalen voor risicobeheer die worden gebruikt door intern risicobeheerbeleid en rapportresultaten op basis van zowel enkele als opeenvolgende gebruikersactiviteiten. De risicoscore voor analyses is echter gebaseerd op maximaal 10 dagen activiteit, terwijl intern risicobeleid dagelijkse activiteit gebruikt voor inzichten. Wanneer u voor het eerst analyses in uw organisatie inschakelt en uitvoert, ziet u de scanresultaten voor één dag. Als u analyse ingeschakeld laat, ziet u de resultaten van elke dagelijkse scan die is toegevoegd aan de inzichtenrapporten voor een maximaal bereik van de afgelopen 10 dagen aan activiteit.

Ontvang realtime richtlijnen voor het configureren van drempelwaarde-instellingen voor de indicator

Het handmatig afstemmen van beleidsregels om 'ruis' te verminderen kan een zeer tijdrovende ervaring zijn waarvoor u veel trial and error moet uitvoeren om de gewenste configuratie voor uw beleid te bepalen. Als analyse is ingeschakeld en u besluit de drempelwaarde-instellingen voor de indicator aan te passen, kunt u realtime inzichten krijgen uit analyses als u wilt profiteren van een begeleide (gegevensgestuurde) drempelwaardeconfiguratie-ervaring waarmee u de juiste drempelwaarden kunt configureren wanneer u een nieuw beleid maakt of een bestaand beleid aanpast. Met deze inzichten kunt u de selectie van indicatoren en drempelwaarden voor het optreden van activiteiten efficiënt aanpassen, zodat u niet te weinig of te veel beleidswaarschuwingen ontvangt. Realtime-analyses (preview) zijn gebaseerd op de laatste 10 dagen aan activiteitsgegevens in uw tenant en er wordt rekening gehouden met globale uitsluitingen. Zie Instellingen voor indicatorniveau voor meer informatie over realtime analyses voor drempelwaarde-instellingen.

Analyse inschakelen en een scan starten van potentiële interne risico's in uw organisatie

Als u insider risk analytics wilt inschakelen, moet u lid zijn van de rollengroep Insider Risk Management, Insider Risk Management Admins of Microsoft 365 Global Admin .

  1. Ga in het Microsoft Purview-nalevingsportal naar Intern risicobeheer.

  2. Schuif op het tabblad Overzicht omlaag naar de kaart Insider-risicoanalyse en selecteer vervolgens onder Scannen op interne risico's in uw organisatie de optie Scan uitvoeren. Hiermee schakelt u het scannen van analyses voor uw organisatie in. Analysescanresultaten kunnen tot 48 uur duren voordat inzichten beschikbaar zijn als rapporten voor beoordeling.

    Tip

    U kunt ook scannen in uw organisatie inschakelen via de knop Instellingen bovenaan een pagina voor intern risicobeheer. Nadat u de knop hebt geselecteerd, selecteert u Analyse en schakelt u de instelling in.

    Instellingen voor analyse van intern risicobeheer

Analyse-inzichten weergeven na de eerste analysescan

Nadat de eerste analysescan voor uw organisatie is voltooid, ontvangen leden van de rollengroep Insider-risicobeheerbeheerders automatisch een e-mailmelding en kunnen ze de eerste inzichten en aanbevelingen voor mogelijk riskante activiteiten van uw gebruikers bekijken. Dagelijkse scans gaan door, tenzij u analyses voor uw organisatie uitschakelt. Email meldingen aan beheerders worden verstrekt voor elk van de drie categorieën binnen het bereik voor analyse (gegevenslekken, diefstal en exfiltratie) na het eerste exemplaar van mogelijk riskante activiteiten in uw organisatie. Email meldingen worden niet verzonden naar beheerders voor de detectie van activiteiten op het gebied van risicomanagement als gevolg van de dagelijkse scans.

Opmerking

Als de instelling Analyse is uitgeschakeld en vervolgens opnieuw wordt ingeschakeld, worden automatische e-mailmeldingen opnieuw ingesteld en worden e-mailmeldingen verzonden naar leden van de rollengroep Insider Risk Management-beheerders voor nieuwe scaninzichten.

Als u potentiële risico's voor uw organisatie wilt bekijken, gaat u naar het tabblad Overzicht en selecteert u vervolgens Resultaten weergeven op de kaart Insider-risicoanalyse.

Rapportklare kaart voor insider-risicobeheeranalyse

Opmerking

Als de scan voor uw organisatie niet is voltooid, ziet u een bericht dat de scan nog steeds actief is.

Voor voltooide analyses ziet u de mogelijke risico's die in uw organisatie zijn gedetecteerd en ziet u inzichten en aanbevelingen om deze risico's aan te pakken. Geïdentificeerde risico's en specifieke inzichten worden opgenomen in rapporten gegroepeerd per gebied, het totale aantal gebruikers (alle typen Azure AD accounts, inclusief gebruiker, gast, systeem, enzovoort) met geïdentificeerde risico's, het percentage van deze gebruikers met mogelijk riskante activiteiten en een aanbevolen intern risicobeleid om deze risico's te beperken. De rapporten omvatten:

  • Inzichten in gegevenslekken: voor alle gebruikers die onbedoelde oversharing van informatie buiten uw organisatie of gegevenslekken door gebruikers met kwaadwillende bedoelingen kunnen bevatten.
  • Inzichten in gegevensdiefstal: voor vertrekkende gebruikers of gebruikers met verwijderde Azure AD-accounts die risicovol delen van informatie buiten uw organisatie of gegevensdiefstal door gebruikers met kwaadwillende bedoelingen kunnen omvatten.
  • Belangrijkste inzichten in exfiltratie: voor alle gebruikers die gegevens kunnen delen buiten uw organisatie.

Overzichtsrapport voor analyse van intern risicobeheer.

Als u meer informatie voor een inzicht wilt weergeven, selecteert u Details weergeven om het detailvenster voor het inzicht weer te geven. Het detailvenster bevat de volledige inzichtenresultaten, een aanbeveling voor intern risicobeleid en de knop Beleid maken om snel het aanbevolen beleid te maken. Als u Beleid maken selecteert, gaat u naar de wizard beleid en selecteert u automatisch de aanbevolen beleidssjabloon met betrekking tot het inzicht. Als het analyse-inzicht bijvoorbeeld voor gegevensdiefstalactiviteit is, wordt de beleidssjabloon Gegevensdiefstal vooraf geselecteerd in de beleidswizard voor u.

Rapport met details van analysegegevens voor intern risicobeheer.

Analyse uitschakelen

Als u insider risk analytics wilt uitschakelen, moet u lid zijn van de rollengroep Insider Risk Management, Insider Risk Management Admins of Microsoft 365 Global Admin .

Nadat u analyse hebt uitgeschakeld:

Analyse uitschakelen:

  1. Ga in het Microsoft Purview-nalevingsportal naar Intern risicobeheer.
  2. Selecteer de knop Instellingen en selecteer vervolgens Analyse.
  3. Schakel op de pagina Analyse de instelling uit.