Untersuchen von Insider-Risikomanagementaktivitäten

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Die Untersuchung potenziell riskanter Benutzeraktivitäten ist ein wichtiger erster Schritt zur Minimierung von Insider-Risiken für Ihre organization. Diese Risiken können Aktivitäten sein, die Warnungen aus Insider-Risikomanagementrichtlinien generieren. Sie können auch Risiken durch Compliance-bezogene Aktivitäten darstellen, die von Richtlinien erkannt werden, aber nicht sofort Insider-Risikomanagementwarnungen für Benutzer erstellen. Sie können diese Arten von Aktivitäten mithilfe der Benutzeraktivitätsberichte (Vorschau) oder mit dem Warnungs-Dashboard untersuchen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Benutzeraktivitätsberichte

Benutzeraktivitätsberichte ermöglichen es Ihnen, potenziell riskante Aktivitäten (für bestimmte Benutzer und einen definierten Zeitraum) zu untersuchen, ohne diese Aktivitäten vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen zu müssen. In den meisten Insider-Risikomanagementszenarien sind Benutzer explizit in Richtlinien definiert, und sie verfügen möglicherweise über Richtlinienwarnungen (abhängig von auslösenden Ereignissen) und Risikobewertungen, die den Aktivitäten zugeordnet sind. In einigen Szenarien können Sie jedoch die Aktivitäten für Benutzer untersuchen, die nicht explizit in einer Richtlinie definiert sind. Diese Aktivitäten können für Benutzer gelten, die Sie einen Tipp zum Benutzer und potenziell riskante Aktivitäten erhalten haben, oder für Benutzer, die in der Regel keiner Insider-Risikomanagementrichtlinie zugewiesen werden müssen.

Nachdem Sie Indikatoren auf der Seite Einstellungen für das Insider-Risikomanagement konfiguriert haben, wird die Benutzeraktivität für potenziell riskante Aktivitäten erkannt, die den ausgewählten Indikatoren zugeordnet sind. Diese Konfiguration bedeutet, dass alle erkannten Aktivitäten für Benutzer zur Überprüfung verfügbar sind, unabhängig davon, ob ein auslösendes Ereignis vorliegt oder eine Warnung erstellt wird. Berichte werden auf Benutzerbasis erstellt und können alle Aktivitäten für einen benutzerdefinierten 90-Tage-Zeitraum enthalten. Mehrere Berichte für denselben Benutzer werden nicht unterstützt.

Nach der Untersuchung potenziell riskanter Aktivitäten können Ermittler die Aktivitäten einzelner Benutzer als gutartig verwerfen. Sie können auch einen Link zum Bericht mit anderen Ermittlern teilen oder per E-Mail senden oder Benutzer (vorübergehend oder explizit) einer Insider-Risikomanagementrichtlinie zuweisen. Benutzer müssen der Rollengruppe Insider-Risikomanagement-Ermittler zugewiesen sein, um die Seite Benutzeraktivitätsberichte anzeigen zu können.

Übersicht über den Bericht über Benutzeraktivitäten im Insider-Risikomanagement.

Wählen Sie zunächst auf der Seite Übersicht über das Insider-Risikomanagement im Abschnitt Benutzeraktivität untersuchen die Option Berichte verwalten aus.

Um Aktivitäten für einen Benutzer anzuzeigen, wählen Sie zuerst Bericht über Benutzeraktivität erstellen aus, und füllen Sie die folgenden Felder im Bereich Neuer Benutzeraktivitätsbericht aus:

  • Benutzer: Search für einen Benutzer anhand des Namens oder der E-Mail-Adresse.
  • Startdatum: Verwenden Sie das Kalendersteuerelement, um das Startdatum für Benutzeraktivitäten auszuwählen.
  • Enddatum: Verwenden Sie das Kalendersteuerelement, um das Enddatum für Benutzeraktivitäten auszuwählen. Das ausgewählte Enddatum muss mehr als zwei Tage nach dem ausgewählten Startdatum und nicht mehr als 90 Tage ab dem ausgewählten Startdatum sein.

Hinweis

Daten außerhalb des ausgewählten Bereichs können eingeschlossen werden, wenn der Benutzer zuvor in eine Warnung eingeschlossen wurde.

Benutzeraktivitätsdaten stehen ungefähr 48 Stunden nach dem Auftreten der Aktivität für berichte zur Verfügung. Um beispielsweise Benutzeraktivitätsdaten für den 1. Dezember zu überprüfen, müssen Sie sicherstellen, dass mindestens 48 Stunden verstrichen sind, bevor Sie den Bericht erstellen (Sie würden frühestens am 3. Dezember einen Bericht erstellen).

Neue Berichte dauern in der Regel bis zu 10 Stunden, bevor sie zur Überprüfung bereit sind. Wenn der Bericht bereit ist, wird berichtbereit in der Spalte Status auf der Seite Benutzeraktivitätsbericht angezeigt. Wählen Sie den Benutzer aus, um den detaillierten Bericht anzuzeigen:

Insider-Risikomanagement- Benutzeraktivitätsbericht

Der Benutzeraktivitätsbericht für den ausgewählten Benutzer enthält die Registerkarten Benutzeraktivität, Aktivitäts-Explorer und Forensische Beweise :

  • Benutzeraktivität: Verwenden Sie diese Diagrammansicht, um potenziell riskante Aktivitäten zu untersuchen und potenziell verwandte Aktivitäten anzuzeigen, die in Sequenzen auftreten. Diese Registerkarte ist so strukturiert, dass eine schnelle Überprüfung eines Falls ermöglicht wird, einschließlich einer verlaufsbezogenen Zeitleiste aller Aktivitäten, Aktivitätsdetails, der aktuellen Risikobewertung für den Benutzer im Fall, der Abfolge von Risikoereignissen und Filtersteuerelementen, die bei Ermittlungsbemühungen helfen.
  • Aktivitäts-Explorer: Diese Registerkarte bietet Risikoermittlern ein umfassendes Analysetool, das detaillierte Informationen zu Aktivitäten bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter riskanter Aktivitäten überprüfen und alle potenziell riskanten Aktivitäten im Zusammenhang mit Warnungen identifizieren und filtern. Weitere Informationen zur Verwendung des Aktivitäts-Explorers finden Sie im Abschnitt Aktivitäts-Explorer weiter unten in diesem Artikel.

Dashboard "Warnung"

Insider-Risikomanagementwarnungen werden automatisch von Risikoindikatoren generiert, die in Insider-Risikomanagementrichtlinien definiert sind. Diese Warnungen bieten Complianceanalysten und Ermittlern eine übersicht über die aktuellen Risiko-status und ermöglichen es Ihren organization, selektieren und Maßnahmen für ermittelte potenzielle Risiken zu ergreifen. Standardmäßig generieren Richtlinien eine bestimmte Anzahl von Warnungen mit niedrigem, mittlerem und hohem Schweregrad, aber Sie können das Warnungsvolumen entsprechend Ihren Anforderungen erhöhen oder verringern . Darüber hinaus können Sie den Warnungsschwellenwert für Richtlinienindikatoren konfigurieren, wenn Sie eine neue Richtlinie mit dem Richtlinienerstellungstool erstellen.

Hinweis

Für alle generierten Warnungen generiert das Insider-Risikomanagement eine einzelne aggregierte Warnung pro Benutzer. Alle neuen Erkenntnisse für diesen Benutzer werden derselben Warnung hinzugefügt.

Sehen Sie sich das Video Insider Risk Management Alerts Triage Experience an, um einen Überblick darüber zu erhalten, wie Warnungen Details, Kontext und verwandte Inhalte für riskante Aktivitäten bereitstellen und wie Sie Ihren Untersuchungsprozess effektiver gestalten können.

Hinweis

Wenn Ihre Richtlinien durch eine oder mehrere Verwaltungseinheiten beschränkt sind, werden nur Warnungen für die Benutzer angezeigt, für die Sie einen Bereich haben. Wenn beispielsweise ein Verwaltungsbereich nur für Benutzer in Deutschland gilt, werden nur Warnungen für Benutzer in Deutschland angezeigt. Uneingeschränkte Administratoren können alle Warnungen für alle Benutzer im organization anzeigen.

Mit dem insider risk alert Dashboard können Sie Warnungen anzeigen und darauf reagieren, die von Insider-Risikorichtlinien generiert wurden. Jedes Berichtswidget zeigt Informationen für die letzten 30 Tage an.

  • Gesamtanzahl von Warnungen, die überprüft werden müssen: Die Gesamtzahl der Warnungen, die überprüft und selektiert werden müssen, werden aufgeführt, einschließlich einer Aufschlüsselung nach Warnungsschweregrad.
  • Öffnen von Warnungen in den letzten 30 Tagen: Die Gesamtanzahl der von der Richtlinie erstellten Warnungen stimmt in den letzten 30 Tagen überein, sortiert nach hohen, mittleren und niedrigen Warnungsschweregraden.
  • Durchschnittliche Zeit zum Auflösen von Warnungen: Eine Zusammenfassung nützlicher Warnungsstatistiken:
    • Durchschnittliche Zeit zur Behebung von Warnungen höheren Schweregrades, angegeben in Stunden, Tagen oder Monaten.
    • Durchschnittliche Zeit bis zur Behebung von Warnungen mittleren Schweregrades, angegeben in Stunden, Tagen oder Monaten.
    • Durchschnittliche Zeit bis zur Behebung von Warnungen niedrigen Schweregrades, angegeben in Stunden, Tagen oder Monaten.

Dashboard für Insider-Risikomanagementwarnungen

Hinweis

Bei der Verwaltung von Insider-Risiken wird eine integrierte Warnungsdrosselung verwendet, um Ihre Erfahrungen bei der Risikoermittlung und -prüfung zu schützen und zu optimieren. Diese Drosselung schützt vor Problemen, die zu einer Überlastung von Richtlinienwarnungen führen können, z. B. falsch konfigurierte Datenconnectors oder Richtlinien zur Verhinderung von Datenverlust. Infolgedessen kann es zu einer Verzögerung bei der Anzeige neuer Warnungen für einen Benutzer kommen.

Warnungsstatus und Schweregrad

Sie können Warnungen in einen der folgenden Status selektieren:

  • Bestätigt: Eine Warnung wurde bestätigt und einem neuen oder vorhandenen Fall zugewiesen.
  • Verworfen: Eine Warnung, die im Selektierungsprozess als unschädlich abgelehnt wird. Sie können einen Grund für die Kündigung der Warnung angeben und Notizen hinzufügen, die im Warnungsverlauf des Benutzers verfügbar sind, um zusätzlichen Kontext für zukünftige Verweise oder für andere Prüfer bereitzustellen. Die Gründe können von erwarteten Aktivitäten, nicht imtakten Ereignissen, einer einfachen Reduzierung der Anzahl von Warnungsaktivitäten für den Benutzer oder einem Grund im Zusammenhang mit den Warnungsnotizen reichen. Gründe für die Klassifizierung: Aktivität wird für diesen Benutzer erwartet, Aktivität ist so wirkungsvoll, dass ich es genauer untersuchen kann, und Warnungen für diesen Benutzer enthalten zu viele Aktivitäten.
  • Überprüfung erforderlich: Eine neue Warnung, bei der noch keine Selektierungsaktionen durchgeführt wurden.
  • Gelöst: Eine Warnung, die Teil eines geschlossenen und gelösten Falls ist.

Warnungsrisikobewertungen werden automatisch aus mehreren Risikoaktivitätsindikatoren berechnet. Diese Indikatoren umfassen die Art der Risikoaktivität, die Anzahl und Häufigkeit des Aktivitätsereignisses, den Verlauf der Risikoaktivität der Benutzer und die Hinzufügung von Aktivitätsrisiken, die die Schwere der potenziell riskanten Aktivität erhöhen können. Die Warnungsrisikobewertung steuert die programmgesteuerte Zuweisung eines Risikoschweregrads für jede Warnung und kann nicht angepasst werden. Wenn Warnungen nicht eingestuft werden und weiterhin Risikoaktivitäten für die Warnung anfallen, kann sich der Risikoschweregrad erhöhen. Risikoanalysten und Prüfer können den Schweregrad des Warnungsrisikos verwenden, um Warnungen in Übereinstimmung mit den Risikorichtlinien und -standards Ihrer organization zu selektieren.

Schweregrade des Warnungsrisikos sind:

  • Hoher Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein erhebliches Risiko dar. Die damit verbundenen Risikoaktivitäten sind schwerwiegend, wiederholend und basieren stark auf andere signifikante Risikofaktoren.
  • Mittlerer Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein moderates Risiko dar. Die damit verbundenen Risikoaktivitäten sind moderat, häufig und weisen eine gewisse Korrelation zu anderen Risikofaktoren auf.
  • Niedriger Schweregrad: Die potenziell riskanten Aktivitäten und Indikatoren für die Warnung stellen ein geringes Risiko dar. Die damit verbundenen Risikoaktivitäten sind geringfügig, seltener und basieren nicht auf anderen signifikanten Risikofaktoren.

Filtern von Warnungen, Speichern einer Ansicht eines Filtersatzes, Anpassen von Spalten oder Suchen nach Warnungen

Je nach Anzahl und Art der aktiven Verwaltungsrichtlinien für Insider-Risiken in Ihrem Unternehmen kann die Überprüfung einer großen Warteschlange von Warnungen eine Herausforderung darstellen. Damit Sie Warnungen besser nachverfolgen können, haben Sie folgende Möglichkeiten:

  • Filtern sie Warnungen nach verschiedenen Attributen.
  • Speichern Sie eine Ansicht eines Filtersatzes, um sie später wiederzuverwenden.
  • Spalten anzeigen oder ausblenden.
  • Search für eine Warnung.

Filtern von Warnungen

  1. Wählen Sie Filter hinzufügen aus.

  2. Wählen Sie eines oder mehrere der folgenden Attribute aus:

    Attribut Beschreibung
    Aktivität, die die Warnung generiert hat Zeigt die potenziell risikobehaftete Aktivitäts- und Richtlinieneinstimmung während des Aktivitätsauswertungszeitraums an, der zur Generierung der Warnung geführt hat. Dieser Wert kann im Laufe der Zeit aktualisiert werden.
    Grund für warnungsbedingte Kündigung Der Grund für das Verwerfen der Warnung.
    Zugewiesen an Der Administrator, dem die Warnung für die Selektierung zugewiesen ist (sofern zugewiesen).
    Richtlinie Der Name der Richtlinie
    Risikofaktoren Die Risikofaktoren, die bestimmen, wie riskant die Aktivität eines Benutzers sein kann. Die möglichen Werte sind Kumulierte Exfiltrationsaktivitäten, Aktivitäten enthalten Prioritätsinhalte, Sequenzaktivitäten, Aktivitäten enthalten nicht zulässige Domänen, Mitglied einer prioritären Benutzergruppe und Potenzieller Benutzer mit hoher Auswirkung.
    Schweregrad Der Risikoschweregrad des Benutzers. Die Optionen sind Hoch, Moderat und Niedrig.
    Status Der Status der Warnung. Die Optionen sind Bestätigt, Abgelehnt, Überprüfung erforderlich und Behoben.
    Erkannte Zeit (UTC) Das Start- und Enddatum für die Erstellung der Warnung. Der Filter sucht zwischen UTC 00:00 am Startdatum und UTC 00:00 am Enddatum nach Warnungen.
    Auslösendes Ereignis Das Ereignis, das den Benutzer in den Bereich der Richtlinie gebracht hat. Das auslösende Ereignis kann sich im Laufe der Zeit ändern.

    Die ausgewählten Attribute werden der Filterleiste hinzugefügt.

  3. Wählen Sie ein Attribut in der Filterleiste aus, und wählen Sie dann einen Wert aus, nach dem gefiltert werden soll. Wählen Sie z. B. das Utc-Attribut (Time detected) aus, geben Sie die Datumsangaben in die Felder Startdatum und Enddatum ein, oder wählen Sie sie aus, und wählen Sie dann Übernehmen aus.

    Tipp

    Wenn Sie zu einem beliebigen Zeitpunkt von vorn beginnen möchten, wählen Sie auf der Filterleiste alle zurücksetzen aus.

Speichern einer Ansicht eines Filtersatzes zur späteren Wiederverwendung

  1. Nachdem Sie die Filter wie im vorherigen Verfahren beschrieben angewendet haben, wählen Sie speichern über der Filterleiste aus, geben Sie einen Namen für den Filtersatz ein, und wählen Sie dann Speichern aus.

    Der Filtersatz wird als Karte oberhalb der Filterleiste hinzugefügt. Sie enthält eine Zahl, die die Anzahl der Warnungen angibt, die die Kriterien im Filtersatz erfüllen.

    Hinweis

    Sie können bis zu fünf Filtersätze speichern. Wenn Sie einen Filtersatz löschen müssen, wählen Sie die Schaltfläche mit den Auslassungspunkten (drei Punkte) in der oberen rechten Ecke des Karte aus, und wählen Sie dann Löschen aus.

  2. Wenn Sie einen gespeicherten Filtersatz erneut anwenden möchten, wählen Sie einfach die Karte für den Filtersatz aus.

Anzeigen oder Ausblenden von Spalten

  1. Wählen Sie auf der rechten Seite die Option Spalten anpassen aus.

  2. Aktivieren oder deaktivieren Sie die Kontrollkästchen für die Spalten, die Sie anzeigen oder ausblenden möchten.

Die Spalteneinstellungen werden sitzungs- und browserübergreifend gespeichert.

Search für Warnungen

Verwenden Sie das Search-Steuerelement, um nach einem Benutzerprinzipalnamen (UPN), einem zugewiesenen Administratornamen oder einer Warnungs-ID zu suchen.

Mehrere Warnungen schließen (Vorschau)

Dies kann dazu beitragen, dass Analysten und Ermittler Zeit für die Selektierung sparen, um mehrere Warnungen sofort gleichzeitig zu verwerfen. Mit der Befehlsleistenoption Warnungen schließen können Sie eine oder mehrere Warnungen mit der status "Überprüfung erforderlich" auf dem Dashboard auswählen und diese Warnungen im Selektierungsprozess schnell als unschädlich verwerfen. Sie können bis zu 400 Warnungen auswählen, die gleichzeitig geschlossen werden sollen.

Führen Sie die folgenden Schritte aus, um eine Insider-Risikowarnung zu verwerfen:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie auf der Dashboard Warnungen die Warnung (oder Warnungen) mit einem status erforderlich aus, die Sie schließen möchten.
  3. Wählen Sie auf der Befehlsleiste Warnungen die Option Warnungen schließen aus.
  4. Im Detailbereich Warnungen schließen können Sie die Benutzer- und Richtliniendetails überprüfen, die den ausgewählten Warnungen zugeordnet sind.
  5. Wählen Sie Warnungen schließen aus, um die Warnungen als unbedenklich aufzulösen, oder wählen Sie Abbrechen aus, um den Detailbereich zu schließen, ohne die Warnungen zu schließen.

Zuweisen einer Warnung

Wenn Sie Ein Administrator sind und Mitglied der Rollengruppe Insider-Risikomanagement, Insider-Risikomanagementanalysten oder Insider-Risikomanagement-Ermittler sind, können Sie den Besitz einer Warnung sich selbst oder einem Insider-Risikomanagementbenutzer mit einer der gleichen Rollen zuweisen. Nachdem eine Warnung zugewiesen wurde, können Sie sie auch einem Benutzer mit einer der gleichen Rollen zuweisen. Sie können eine Warnung jeweils nur einem Administrator zuweisen.

Hinweis

Wenn Ihre Richtlinien auf eine oder mehrere Verwaltungseinheiten beschränkt sind, kann der Besitz einer Warnung nur Insider-Risikomanagementbenutzern mit den entsprechenden Rollengruppenberechtigungen übertragen werden, und der in der Warnung hervorgehobene Benutzer muss sich im Bereich der Administratoreinheit befinden. Wenn beispielsweise ein Verwaltungsbereich nur für Benutzer in Deutschland gilt, kann der Insider-Risikomanagement-Benutzer nur Warnungen für Benutzer in Deutschland sehen. Uneingeschränkte Administratoren können alle Warnungen für alle Benutzer im organization anzeigen.

Nachdem ein Administrator zugewiesen wurde, können Sie nach Administrator suchen.

Hinweis

Administratoren, die in einer Microsoft Entra Sicherheitsgruppe enthalten sind, werden für die Zuweisung von Warnungen nicht unterstützt. Administratoren müssen direkt einer der erforderlichen Rollen zugewiesen werden.

Zuweisen einer Warnung aus dem Dashboard

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie dann die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnungen aus, die Sie zuweisen möchten.
  3. Wählen Sie in der Schaltflächenleiste oberhalb der Warnungswarteschlange die Option Zuweisen aus.
  4. Suchen Sie im Bereich Besitzer zuweisen auf der rechten Seite des Bildschirms nach einem Administrator mit den entsprechenden Berechtigungen, und aktivieren Sie dann das Kontrollkästchen für diesen Administrator.
  5. Wählen Sie Zuweisen aus.

Zuweisen einer Warnung über die Detailseite "Warnungen"

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie dann die Registerkarte Warnungen aus.
  2. Wählen Sie eine Warnung aus.
  3. Wählen Sie im Detailbereich für die Warnung in der oberen rechten Ecke der Seite die Option Zuweisen aus.
  4. Wählen Sie in der Liste Vorgeschlagene Kontakte den entsprechenden Administrator aus.

Selektierungswarnungen

So selektieren Sie eine Insider-Risikowarnung:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnung aus, die Sie selektieren möchten.
  3. Auf der Seite Warnungsdetails können Sie Informationen zur Warnung überprüfen. Sie können die Warnung bestätigen und einen neuen Fall erstellen, die Warnung bestätigen und zu einem vorhandenen Fall hinzufügen oder die Warnung verwerfen. Diese Seite enthält auch die aktuelle status für die Warnung und den Schweregrad des Warnungsrisikos, der als Hoch, Mittel oder Niedrig aufgeführt ist. Der Schweregrad kann sich im Laufe der Zeit erhöhen oder verringern, wenn die Warnung nicht selektiert wird.

Verwenden Sie die folgenden Abschnitte und Registerkarten auf der Seite Warnungsdetails, um weitere Informationen zur Warnung zu erhalten:

Header-/Zusammenfassungsabschnitt

Dieser Abschnitt enthält allgemeine Informationen zum Benutzer und zur Warnung. Diese Informationen sind für den Kontext verfügbar, während detaillierte Informationen zur erkannten Risikomanagementaktivität in der Warnung für den Benutzer überprüft werden:

  • Aktivität, die diese Warnung generiert hat: Zeigt die potenziell risikobehaftete Aktivitäts- und Richtlinieneinstimmung während des Aktivitätsauswertungszeitraums an, der zum Generieren der Warnung geführt hat.
  • Auslösendes Ereignis: Zeigt das letzte auslösende Ereignis an, das die Richtlinie aufgefordert hat, der Aktivität des Benutzers Risikobewertungen zuzuweisen. Wenn Sie die Integration in die Kommunikationscompliance für Datenlecks durch riskante Benutzer oder Verstöße gegen Sicherheitsrichtlinien durch Richtlinien für riskante Benutzer konfiguriert haben, ist das auslösende Ereignis für diese Warnungen auf die Kommunikationscomplianceaktivitäten ausgerichtet.
  • Benutzerdetails: Zeigt allgemeine Informationen zum Benutzer an, der der Warnung zugewiesen ist. Wenn die Anonymisierung aktiviert ist, werden die Felder benutzername, E-Mail-Adresse, Alias und organization anonymisiert.
  • Benutzerwarnungsverlauf: Zeigt eine Liste der Warnungen für den Benutzer für die letzten 30 Tage an. Enthält einen Link zum Anzeigen des vollständigen Warnungsverlaufs für den Benutzer.

Hinweis

Wenn ein Benutzer als potenzieller Benutzer mit hoher Auswirkung erkannt wird, werden diese Informationen im Warnungsheader auf der Seite Benutzerdetails hervorgehoben. Die Benutzerdetails enthalten auch eine Zusammenfassung mit den Gründen, aus denen der Benutzer als solcher erkannt wurde. Weitere Informationen zum Festlegen von Richtlinienindikatoren für Potenzielle Benutzer mit hohen Auswirkungen finden Sie unter Insider-Risikomanagementeinstellungen.

Warnungen, die von Richtlinien generiert werden, die nur Aktivitäten umfassen, die Prioritätsinhalte enthalten, umfassen die Benachrichtigung Nur Aktivität mit Prioritätsinhalt wurde für diese Warnungsbenachrichtigung in diesem Abschnitt bewertet.

Alle Risikofaktoren

Auf dieser Registerkarte wird die Zusammenfassung der Risikofaktoren für die Warnungsaktivität des Benutzers geöffnet. Risikofaktoren können Ihnen helfen, zu bestimmen, wie riskant die Risikomanagementaktivität dieses Benutzers während der Überprüfung ist. Zu den Risikofaktoren gehören Zusammenfassungen für:

  • Wichtigste Exfiltrationsaktivitäten: Zeigt Exfiltrationsaktivitäten mit der höchsten Anzahl oder Ereignissen für die Warnung an.
  • Kumulative Exfiltrationsaktivitäten: Zeigt Ereignisse im Zusammenhang mit kumulativen Exfiltrationsaktivitäten an.
  • Sequenzen von Aktivitäten: Zeigt die erkannten potenziell riskanten Aktivitäten im Zusammenhang mit Risikosequenzen an.
  • Ungewöhnliche Aktivität für diesen Benutzer: Zeigt bestimmte Aktivitäten für den Benutzer an, die als potenziell riskant betrachtet werden, da sie ungewöhnlich sind und von den typischen Aktivitäten abweichen.
  • Prioritätsinhalt: Zeigt potenziell riskante Aktivitäten im Zusammenhang mit Prioritätsinhalten an.
  • Nicht zugelassene Domänen: Zeigt potenziell riskante Aktivitäten für Ereignisse an, die nicht zugelassenen Domänen zugeordnet sind.
  • Zugriff auf Integritätsdatensätze: Zeigt potenziell riskante Aktivitäten für Ereignisse im Zusammenhang mit dem Zugriff auf Integritätsdatensätze an.
  • Riskante Browsernutzung: Zeigt potenziell riskante Aktivitäten für Ereignisse im Zusammenhang mit dem Surfen auf potenziell unangemessenen Websites an.

Mit diesen Filtern werden nur Warnungen mit den oben genannten Risikofaktoren angezeigt, aber die Aktivität, die eine Warnung generiert hat, fällt möglicherweise nicht in eine dieser Kategorien. Beispielsweise könnte eine Warnung mit Sequenzaktivitäten generiert worden sein, weil der Benutzer eine Datei auf ein USB-Gerät kopiert hat.

Erkannter Inhalt

Der Abschnitt auf der Registerkarte Alle Risikofaktoren enthält Inhalte, die den Risikoaktivitäten für die Warnung zugeordnet sind, und fasst Aktivitätsereignisse nach Schlüsselbereichen zusammen. Wenn Sie einen Aktivitätslink auswählen, wird der Aktivitäts-Explorer geöffnet, und es werden weitere Details zur Aktivität angezeigt.

Aktivitäten-Explorer

Auf dieser Registerkarte wird der Aktivitäts-Explorer geöffnet. Weitere Informationen finden Sie im Abschnitt Aktivitäts-Explorer in diesem Artikel.

Benutzeraktivität

Das Diagramm benutzeraktivität ist eines der leistungsfähigsten Tools für die interne Risikoanalyse und Untersuchung von Warnungen und Fällen in der Insider-Risikomanagement-Lösung. Diese Registerkarte ist so strukturiert, dass sie eine schnelle Überprüfung aller Aktivitäten für einen Benutzer ermöglicht, einschließlich einer verlaufsbezogenen Zeitleiste aller Warnungen, Warnungsdetails, der aktuellen Risikobewertung für den Benutzer und der Abfolge von Risikoereignissen.

Benutzeraktivität des Insider-Risikomanagements

  1. Fallaktionen: Optionen zum Auflösen des Falls finden Sie auf der Symbolleiste für Fallaktionen. Wenn Sie einen Fall anzeigen, können Sie einen Fall lösen, eine E-Mail-Benachrichtigung an den Benutzer senden oder den Fall für eine Daten- oder Benutzeruntersuchung eskalieren.

  2. Chronologie der Risikoaktivität: Die vollständige Chronologie aller Risikowarnungen im Zusammenhang mit dem Fall wird aufgeführt, einschließlich aller Details, die in der entsprechenden Warnungsblase verfügbar sind.

  3. Filter und Sortierung (Vorschau):

    • Risikokategorie: Filtern Sie Aktivitäten nach den folgenden Risikokategorien: Aktivitäten mit Risikobewertungen > 15 (sofern nicht in einer Sequenz) und Sequenzaktivitäten.
    • Aktivitätstyp: Filtern Sie Aktivitäten nach den folgenden Typen: Zugriff, Löschung, Sammlung, Exfiltration, Infiltration, Obfuskation und Sicherheit.
    • Sortieren nach: Listen Sie die Zeitleiste potenziell riskanter Aktivitäten nach Datum oder Risikobewertung auf.
  4. Zeitfilter: Standardmäßig werden die letzten drei Monate potenziell riskanter Aktivitäten im Diagramm Benutzeraktivität angezeigt. Sie können die Diagrammansicht einfach filtern, indem Sie die Registerkarten 6 Monate, 3 Monate oder 1 Monat im Blasendiagramm auswählen.

  5. Risikosequenz: Die chronologische Reihenfolge potenziell riskanter Aktivitäten ist ein wichtiger Aspekt der Risikountersuchung, und die Identifizierung dieser verwandten Aktivitäten ist ein wichtiger Bestandteil der Bewertung des Gesamtrisikos für Ihre organization. Verwandte Warnungsaktivitäten werden mit Verbindungslinien angezeigt, um hervorzuheben, dass diese Aktivitäten einem größeren Risikobereich zugeordnet sind. Sequenzen werden in dieser Ansicht auch durch ein Symbol identifiziert, das über den Sequenzaktivitäten relativ zur Risikobewertung für die Sequenz positioniert ist. Zeigen Sie auf das Symbol, um das Datum und die Uhrzeit der dieser Sequenz zugeordneten riskanten Aktivität anzuzeigen. Diese Sicht auf Aktivitäten kann Ermittlern dabei helfen, die Punkte für Risikoaktivitäten zu verbinden, die als isolierte oder einmalige Ereignisse hätten betrachtet werden können. Wählen Sie das Symbol oder eine beliebige Blase in der Sequenz aus, um Details für alle zugehörigen Risikoaktivitäten anzuzeigen. Zu den Details gehören:

    • Name der Sequenz.
    • Datums- oder Datumsbereich der Sequenz.
    • Risikobewertung für die Sequenz. Diese Bewertung ist die numerische Bewertung für die Abfolge der kombinierten Schweregrade des Warnungsrisikos für jede verwandte Aktivität in der Sequenz.
    • Anzahl der Ereignisse, die jeder Warnung in der Sequenz zugeordnet sind. Links zu jeder Datei oder E-Mail, die jeder potenziell riskanten Aktivität zugeordnet ist, sind ebenfalls verfügbar.
    • Aktivitäten nacheinander anzeigen. Zeigt die Sequenz als Hervorhebungslinie im Blasendiagramm an und erweitert die Warnungsdetails, um alle zugehörigen Warnungen in der Sequenz anzuzeigen.
  6. Aktivität und Details zu Risikowarnungen: Potenziell riskante Aktivitäten werden visuell als farbige Blasen im Diagramm "Benutzeraktivität" angezeigt. Blasen werden für verschiedene Risikokategorien erstellt. Wählen Sie eine Blase aus, um die Details für jede potenziell riskante Aktivität anzuzeigen. Zu den Details gehören:

    • Datum der Risikoaktivität.
    • Die Risikoaktivitätskategorie. Beispielsweise Email mit Anlagen, die außerhalb des organization oder von SharePoint Online heruntergeladenen Dateien gesendet werden.
    • Risikobewertung für die Warnung. Diese Bewertung ist der numerische Wert für den Schweregrad des Risikos.
    • Anzahl der Ereignisse, die mit der Warnung verknüpft sind. Links zu jeder Datei oder E-Mail, die der Risikoaktivität zugeordnet sind, sind ebenfalls verfügbar.
  7. Kumulative Exfiltrationsaktivitäten: Wählen Sie diese Schaltfläche aus, um ein visuelles Diagramm anzuzeigen, in dem sich die Aktivität im Laufe der Zeit für den Benutzer aufbaut.

  8. Legende zur Risikoaktivität: Am unteren Rand des Benutzeraktivitätsdiagramms können Sie mit einer farbcodierten Legende schnell die Risikokategorie für jede Warnung bestimmen.

Aktivitäten-Explorer

Hinweis

Der Aktivitäts-Explorer ist im Warnungsverwaltungsbereich für Benutzer mit auslösenden Ereignissen verfügbar, nachdem dieses Feature in Ihrem organization verfügbar ist.

Der Aktivitäts-Explorer bietet Risikoermittlern und Analysten ein umfassendes Analysetool, das detaillierte Informationen zu Warnungen bereitstellt. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter potenziell riskanter Aktivitäten überprüfen und alle Risikoaktivitäten im Zusammenhang mit Warnungen identifizieren und filtern.

So verwenden Sie den Aktivitäts-Explorer:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnung aus, die Sie selektieren möchten.
  3. Wählen Sie im Detailbereich Warnungen die Option Erweiterte Ansicht öffnen aus.
  4. Wählen Sie auf der Seite für die ausgewählte Warnung die Registerkarte Aktivitäts-Explorer aus.

Beim Überprüfen von Aktivitäten im Aktivitäts-Explorer können Ermittler und Analysten eine bestimmte Aktivität auswählen und den Bereich mit den Aktivitätsdetails öffnen. Im Bereich werden ausführliche Informationen zu der Aktivität angezeigt, die Ermittler und Analysten während des Warnungs selektierungsprozesses verwenden können. Ausführliche Informationen können kontextbezogene Informationen für die Warnung bereitstellen und dabei helfen, den gesamten Umfang der Risikoaktivität zu identifizieren, die die Warnung ausgelöst hat.

Wenn Sie die Ereignisse einer Aktivität aus dem aktivitäts-Zeitleiste auswählen, stimmt die Anzahl der im Explorer angezeigten Aktivitäten möglicherweise nicht mit der Anzahl von Aktivitätsereignissen überein, die im Zeitleiste aufgeführt sind. Beispiele dafür, warum dieser Unterschied auftreten kann:

  • Kumulative Exfiltrationserkennung: Die kumulative Exfiltrationserkennung analysiert Ereignisprotokolle, wendet jedoch ein Modell an, das die Deduplizierung ähnlicher Aktivitäten zum Berechnen des kumulativen Exfiltrationsrisikos umfasst. Darüber hinaus kann es auch einen Unterschied in der Anzahl der potenziell riskanten Aktivitäten geben, die im Aktivitäts-Explorer angezeigt werden, wenn Sie Änderungen an Ihrer vorhandenen Richtlinie oder Ihren vorhandenen Einstellungen vorgenommen haben. Wenn Sie beispielsweise zulässige/nicht zugelassene Domänen ändern oder neue Dateitypausschlüsse hinzufügen, nachdem eine Richtlinie erstellt wurde und potenziell risikobehaftete Aktivitätsübereinstimmungen aufgetreten sind, unterscheiden sich die kumulativen Exfiltrationserkennungsaktivitäten von den Ergebnissen, bevor sich die Richtlinie oder einstellungen ändern. Die Gesamtsummen der Kumulativen Exfiltrationserkennungsaktivität basieren auf der Richtlinien- und Einstellungskonfiguration zum Zeitpunkt der Berechnung und schließen keine Aktivitäten vor den Richtlinien- und Einstellungsänderungen ein.
  • E-Mails an externe Empfänger: Potenziell riskante Aktivitäten für E-Mails, die an externe Empfänger gesendet werden, erhalten eine Risikobewertung basierend auf der Anzahl der gesendeten E-Mails, die möglicherweise nicht mit den Aktivitätsereignisprotokollen übereinstimmen.

Details des Insider-Risikomanagement-Aktivitäts-Explorers.

Sequenzen, die Ereignisse enthalten, die von der Risikobewertung ausgeschlossen sind

Eine Sequenz kann ein oder mehrere Ereignisse enthalten, die basierend auf Ihrer Einstellungskonfiguration von der Risikobewertung ausgeschlossen sind. Ihr organization kann beispielsweise die Einstellung Intelligente Erkennungen verwenden, um .png Dateien von der Risikobewertung auszuschließen, da .png Dateien normalerweise nicht riskant sind. Eine .png Datei könnte jedoch verwendet werden, um eine schädliche Aktivität zu verschleiern. Aus diesem Grund ist ein Ereignis, das aufgrund einer Verschleierungsaktivität von der Risikobewertung ausgeschlossen wird, Teil einer Sequenz, da es im Kontext der Sequenz interessant sein kann.

Der Aktivitäts-Explorer zeigt die folgenden Informationen für ausgeschlossene Ereignisse in Sequenzen an:

  • Wenn eine Sequenz einen Schritt enthält, in dem alle Ereignisse ausgeschlossen werden, enthält die Erkenntnis nur den Aktivitätsnamen und das Datum. Wählen Sie den Link Ausgeschlossene Ereignisse anzeigen aus, um im Aktivitäts-Explorer nach den ausgeschlossenen Ereignissen zu filtern. Das Punktdiagrammsymbol "Benutzeraktivität" weist eine Risikobewertung von 0 auf, wenn alle Ereignisse ausgeschlossen werden.
  • Wenn eine Sequenz einen Einblick hat, bei dem einige Ereignisse ausgeschlossen werden, werden die Ereignisinformationen für die nicht ausgeschlossenen Ereignisse angezeigt, aber die Ereignisanzahl enthält nicht die ausgeschlossenen Ereignisse. Wählen Sie den Link Ausgeschlossene Ereignisse anzeigen aus, um im Aktivitäts-Explorer nach den ausgeschlossenen Ereignissen zu filtern.
  • Wenn Sie einen Sequenzlink für einen Einblick auswählen, können Sie einen Drilldown in die Abfolge der Ereignisse im Bereich mit den Aktivitätsdetails durchführen, einschließlich aller Ereignisse, die von der Bewertung ausgeschlossen wurden. Ein von der Bewertung ausgeschlossenes Ereignis wird als Ausgeschlossen markiert.

Filtern von Warnungen im Aktivitäts-Explorer

Um Warnungen im Aktivitäts-Explorer nach Spalteninformationen zu filtern, wählen Sie Filter aus. Sie können Warnungen nach einem oder mehreren Attributen filtern, die im Detailbereich für die Warnung aufgeführt sind. Der Aktivitäts-Explorer unterstützt auch anpassbare Spalten, um Ermittlern und Analysten dabei zu helfen, die Dashboard auf die für sie wichtigsten Informationen zu konzentrieren.

Verwenden Sie die Filter Aktivitätsbereich, Risikofaktor und Status überprüfen, um Aktivitäten und Erkenntnisse für die folgenden Bereiche anzuzeigen und zu sortieren.

  • Aktivitätsbereich: Filtert alle bewerteten Aktivitäten für den Benutzer.

    • Alle bewerteten Aktivitäten für diesen Benutzer
    • Nur bewertete Aktivität in dieser Warnung
  • Risikofaktor: Filter für Risikofaktoraktivitäten, die für alle Richtlinien gelten, die Risikobewertungen zuweisen. Dies schließt alle Aktivitäten für alle Richtlinien für Benutzer im Gültigkeitsbereich ein.

    • Ungewöhnliche Aktivität
    • Umfasst Ereignisse mit Prioritätsinhalten.
    • Schließt Ereignisse mit einer nicht zulässigen Domäne ein.
    • Sequenzaktivitäten
    • Kumulative Exfiltrationsaktivitäten
    • Zugriffsaktivitäten für Integritätsdaten
    • Riskante Browsernutzung
  • Überprüfen Sie status: Filtert aktivitätsüberprüfungs-status.

    • Alle
    • Noch nicht überprüft (filtert alle Aktivitäten heraus, die Teil einer verworfenen oder aufgelösten Warnung waren)

Übersicht über den Aktivitäts-Explorer für das Insider-Risikomanagement

Speichern einer Ansicht eines Filters zur späteren Wiederverwendung

Wenn Sie einen Filter erstellen und Spalten für den Filter anpassen, können Sie eine Ansicht Ihrer Änderungen speichern, sodass Sie oder andere Personen später schnell nach den gleichen Änderungen filtern können. Wenn Sie eine Ansicht speichern, speichern Sie sowohl die Filter als auch die Spalten. Wenn Sie die Ansicht laden, werden sowohl gespeicherte Filter als auch Spalten geladen.

  1. Erstellen Sie einen Filter, und passen Sie Spalten an.

    Tipp

    Wenn Sie zu einem beliebigen Zeitpunkt von vorn beginnen möchten, wählen Sie Zurücksetzen aus. Wählen Sie Spalten zurücksetzen aus, um die von Ihnen angepassten Spalten zu ändern.

  2. Wenn Sie über den gewünschten Filter verfügen, wählen Sie Diese Ansicht speichern aus, geben Sie einen Namen für die Ansicht ein, und wählen Sie dann Speichern aus.

    Hinweis

    Die maximale Länge für einen Ansichtsnamen beträgt 40 Zeichen, und Sie können keine Sonderzeichen verwenden.

  3. Um die Ansicht des Filters später wiederzuverwenden, wählen Sie Ansichten aus, und wählen Sie dann auf der Registerkarte Empfohlene Ansichten (mit den am häufigsten verwendeten Ansichten) oder auf der Registerkarte Benutzerdefinierte Ansichten (die am häufigsten verwendeten Filter werden oben in der Liste angezeigt) die Ansicht aus, die Sie öffnen möchten.

Wenn Sie eine Ansicht auf diese Weise auswählen, werden alle vorhandenen Filter zurückgesetzt und durch die von Ihnen ausgewählte Ansicht ersetzt.

Erstellen eines Falls für eine Warnung

Wenn die Warnung überprüft und selektiert wird, können Sie einen neuen Fall erstellen, um die potenziell riskante Aktivität weiter zu untersuchen. Führen Sie die folgenden Schritte aus, um einen Fall für eine Warnung zu erstellen:

  1. Wechseln Sie im Microsoft Purview-Complianceportal zu Insider-Risikomanagement, und wählen Sie die Registerkarte Warnungen aus.
  2. Wählen Sie im Dashboard Warnungen die Warnung aus, für die Sie bestätigen möchten, und erstellen Sie einen neuen Fall.
  3. Wählen Sie im Bereich Warnungsdetailsdie Option Aktionen>Warnungen bestätigen & Fall erstellen aus.
  4. Geben Sie im Dialogfeld Warnung bestätigen und Insider-Risikofall erstellen einen Namen für den Fall ein, wählen Sie Benutzer aus, die als Mitwirkende hinzugefügt werden sollen, und fügen Sie ggf. Kommentare hinzu. Kommentare werden dem Fall automatisch als Fallhinweis hinzugefügt.
  5. Wählen Sie Fall erstellen aus, um einen neuen Fall zu erstellen, oder wählen Sie Abbrechen aus, um das Dialogfeld zu schließen, ohne einen Fall zu erstellen.

Nachdem der Fall erstellt wurde, können Ermittler und Analysten den Fall verwalten und darauf reagieren. Weitere Informationen finden Sie im Artikel Zum Insider-Risikomanagement .

Aufbewahrungs- und Elementbeschränkungen

Mit zunehmendem Alter von Warnungen des Insider-Risikomanagements nimmt ihr Wert zur Minimierung potenziell riskanter Aktivitäten für die meisten Organisationen ab. Umgekehrt sind aktive Fälle und zugehörige Artefakte (Warnungen, Erkenntnisse, Aktivitäten) für Organisationen immer wertvoll und sollten kein automatisches Ablaufdatum aufweisen. Dies schließt alle zukünftigen Warnungen und Artefakte in einer aktiven status für jeden Benutzer ein, der einem aktiven Fall zugeordnet ist.

Um die Anzahl älterer Elemente zu minimieren, die einen begrenzten aktuellen Wert bieten, gelten die folgenden Aufbewahrungs- und Grenzwerte für Insider-Risikomanagementwarnungen, -Fälle und Benutzerberichte:

Item Aufbewahrung/Grenzwert
Warnungen mit status 120 Tage nach erstellung der Warnung und dann automatisch gelöscht
Aktive Fälle (und zugehörige Artefakte) Unbegrenzte Aufbewahrung, läuft nie ab
Behobene Fälle (und zugehörige Artefakte) 120 Tage nach der Lösung des Falls, dann automatisch gelöscht
Maximale Anzahl aktiver Fälle 100
Berichte zu Benutzeraktivitäten 120 Tage nach erstellung des Berichts und dann automatisch gelöscht

Hilfe beim Verwalten Ihrer Warteschlange für Insider-Risikowarnungen

Das Überprüfen, Untersuchen und Reagieren auf potenziell riskante Insider-Warnungen sind wichtige Teile der Minimierung von Insider-Risiken in Ihrem organization. Wenn Sie schnell Maßnahmen ergreifen, um die Auswirkungen dieser Risiken zu minimieren, können Sie möglicherweise Zeit, Geld und regulatorische oder rechtliche Auswirkungen für Ihre organization sparen. In diesem Korrekturprozess kann der erste Schritt der Überprüfung von Warnungen für viele Analysten und Ermittler als die schwierigste Aufgabe erscheinen. Abhängig von Ihren Umständen stehen Sie möglicherweise mit einigen kleineren Hindernissen konfrontiert, wenn Sie auf potenziell riskante Insider-Warnungen reagieren. Sehen Sie sich die folgenden Empfehlungen an, und erfahren Sie, wie Sie den Prozess der Warnungsüberprüfung optimieren.

Zu wenige Warnungen zum Überprüfen

Wenn Sie zu wenige Warnungen erhalten:

  • Aktualisieren Sie Ihre Einstellungen. Änderungen, die Sie an Einstellungen vornehmen, gelten global für alle Ihre Richtlinien.

    • Aktivieren Sie weitere Indikatoren. Wenn Sie weitere Indikatoren auswählen, erhalten Sie für Ihre Richtlinien eine größere Gruppe von Aktivitäten, die erkannt werden können.

      Wechseln Sie zu Einstellungen>Richtlinienindikatoren, und aktivieren Sie dann alle verfügbaren und relevanten Indikatoren.

    • Generieren Sie weitere Warnungen, indem Sie den Schieberegler Warnungslautstärke anpassen. Verwenden Sie diesen Schieberegler, um alle Warnungen mit mittlerem und hohem Schweregrad sowie Warnungen mit den meisten niedrigen Schweregraden anzuzeigen. Hinweis: Das Anpassen des Schiebereglers kann zu mehr falsch positiven Ergebnissen führen.

      Wechseln Sie zu Einstellungen>Intelligente Erkennungen Warnungslautstärke>, und verschieben Sie den Schieberegler auf Weitere Warnungen.

  • Identifizieren Sie die Richtlinie, die nicht genügend Warnungen generiert:

    • Erhöhen Sie die Benutzerabdeckung in der Richtlinie. Richtlinien, bei denen nur wenige Benutzer im Bereich enthalten sind, generieren mit geringerer Wahrscheinlichkeit Warnungen. Erwägen Sie ggf. die Erhöhung der Anzahl von Benutzern im Bereich Ihrer Richtlinie.

      Wählen Sie auf der Seite Richtlinien eine bestimmte Richtlinie aus, wählen Sie Richtlinie bearbeiten aus, und wechseln Sie dann zur Seite Benutzer und Gruppen , um die Anzahl der Benutzer im Gültigkeitsbereich zu erhöhen.

    • Verringern Sie die Triggerschwellenwerte in der Richtlinie. Richtlinien, die auf den Vorlagen Datenlecks und Riskante Browsernutzung (Vorschau) basieren, ermöglichen es Ihnen, einige Triggerschwellenwerte anzupassen. Diese Schwellenwerte definieren, wann Sie mit der Erkennung von Benutzeraktivitäten beginnen. Wenn Sie die Triggerschwellenwerte verringern, verringern Sie die Kriterien für einen Benutzer, um mit der Bewertung auf riskante Aktivitäten zu beginnen. Hinweis: Wenn ein Benutzer nicht auf der Seite Benutzer und Gruppen angezeigt wird, bedeutet dies, dass die Auslösenden Ereigniskriterien noch nicht erfüllt wurden.

      Navigieren Sie auf der Seite Richtlinien zu der spezifischen Richtlinie, wählen Sie Richtlinie bearbeiten aus, wechseln Sie zur Seite Schwellenwerte auslösen , wählen Sie die Option Benutzerdefinierte Schwellenwerte verwenden aus, und legen Sie dann Ihre Schwellenwerte fest.

    • Bearbeiten sie Indikatoren in der Richtlinie. Indikatoren sind die Aktivitäten, die ein Benutzer ausführen muss, um als riskant eingestuft zu werden. Wenn Sie nicht viele Indikatoren (Aktivitäten, die als riskant eingestuft werden) in Ihrer Richtlinie ausgewählt haben, ist die Wahrscheinlichkeit geringer, dass Warnungen generiert werden.

      Navigieren Sie auf der Seite Richtlinien zu der spezifischen Richtlinie, wählen Sie Richtlinie bearbeiten aus, und wechseln Sie dann zur Seite Indikatoren .

    • Niedrigere Indikatorschwellenwerte in der Richtlinie. Nachdem Ihre Benutzer mit der Auswertung begonnen haben (über ein auslösendes Ereignis verfügen), wird eine Warnung nur für diese Benutzer generiert, wenn sie Aktivitäten durchführen, die einen bestimmten Schwellenwert überschreiten, der darauf hindeutet, dass ihre Aktivität riskant ist. Durch das Verringern der Indikatorschwellenwerte wird der Schwellenwert verringert, den Benutzer überschreiten müssen, um eine Warnung zu generieren.

      Navigieren Sie auf der Seite Richtlinien zu der spezifischen Richtlinie, wählen Sie Richtlinie bearbeiten aus, wechseln Sie zur Seite Schwellenwerte für Indikator , wählen Sie die Option Schwellenwerte anpassen aus, und legen Sie dann Ihre Schwellenwerte fest.

Zu viele Warnungen zum Überprüfen

Wenn Sie zu viele gültige Warnungen erhalten oder zu viele veraltete Warnungen mit geringem Risiko haben, sollten Sie die folgenden Aktionen ausführen:

  • Aktivieren von Analysen: Die Aktivierung von Analysen kann Ihnen helfen, potenzielle Risikobereiche für Ihre Benutzer schnell zu identifizieren und den Typ und Umfang der Richtlinien für das Insider-Risikomanagement zu bestimmen, die Sie möglicherweise konfigurieren möchten. Weitere Informationen zu Analyseerkenntnissen finden Sie unter Insider-Risikomanagementeinstellungen: Analysen. Sie können auch Echtzeiteinblicke aus Analysen erhalten, wenn Sie eine geführte (datengesteuerte) Schwellenwertkonfiguration nutzen möchten, um die entsprechenden Schwellenwerte zu konfigurieren, wenn Sie eine neue Richtlinie erstellen oder eine vorhandene Richtlinie optimieren. Diese Erkenntnisse können Ihnen dabei helfen, die Auswahl von Indikatoren und Schwellenwerten für das Auftreten von Aktivitäten effizient anzupassen, sodass Sie nicht zu wenige oder zu viele Richtlinienwarnungen erhalten. Weitere Informationen finden Sie unter Verwenden von Echtzeitanalysen zum Verwalten des Warnungsvolumens.

  • Anpassen Ihrer Insider-Risikorichtlinien: Die Auswahl und Konfiguration der richtigen Insider-Risikorichtlinie ist die einfachste Methode, um den Typ und die Menge der Warnungen zu behandeln. Beginnend mit der entsprechenden Richtlinienvorlage können Sie sich auf die Arten von Risikoaktivitäten und Warnungen konzentrieren, die Angezeigt werden. Weitere Faktoren, die sich auf das Warnungsvolumen auswirken können, sind die Größe des Benutzers und der Gruppen im Bereich sowie die Inhalte und Kanäle, die priorisiert werden. Erwägen Sie das Anpassen von Richtlinien, um diese Bereiche an das zu verfeinern, was für Ihre organization am wichtigsten ist.

  • Ändern Ihrer Insider-Risikoeinstellungen: Insider-Risikoeinstellungen umfassen eine Vielzahl von Konfigurationsoptionen, die sich auf die Menge und die Arten von Warnungen auswirken können, die Sie erhalten. Achten Sie darauf, die folgenden Einstellungen zu überprüfen und zu verstehen, um Warnungsgeräusche herauszufiltern:

  • Inline-Warnungsanpassung aktivieren: Durch die Aktivierung der Anpassung von Inlinewarnungen können Analysten und Prüfer Richtlinien beim Überprüfen von Warnungen schnell bearbeiten. Sie können Schwellenwerte für die Aktivitätserkennung mit Microsoft-Empfehlungen aktualisieren, benutzerdefinierte Schwellenwerte konfigurieren oder den Aktivitätstyp ignorieren, der die Warnung erstellt hat. Wenn dies nicht aktiviert ist, können nur Benutzer, die der Rollengruppe Insider-Risikomanagement zugewiesen sind, die Anpassung von Inlinewarnungen verwenden.

  • Massenlöschung von Warnungen, falls zutreffend: Es kann dazu beitragen, Dass Ihre Analysten und Ermittler Zeit für die Selektierung sparen, um mehrere Warnungen sofort gleichzeitig zu verwerfen. Sie können bis zu 400 Warnungen auswählen, die gleichzeitig geschlossen werden sollen.

Nicht mit dem Prozess der Warnungs selektierung vertraut

Das Untersuchen und Reagieren auf Warnungen im Insider-Risikomanagement ist einfach:

  1. Überprüfen Sie die warnungs-Dashboard auf Warnungen mit einer status der Überprüfung der Anforderungen. Filtern Sie bei Bedarf nach Warnungsstatus , um diese Arten von Warnungen zu finden.
  2. Beginnen Sie mit den Warnungen mit dem höchsten Schweregrad. Filtern Sie bei Bedarf nach Warnungsschweregrad , um diese Arten von Warnungen zu finden.
  3. Wählen Sie eine Warnung aus, um weitere Informationen zu ermitteln und die Warnungsdetails zu überprüfen. Verwenden Sie bei Bedarf den Aktivitäts-Explorer, um eine Zeitleiste des zugehörigen potenziell riskanten Verhaltens zu überprüfen und alle Risikoaktivitäten für die Warnung zu identifizieren.
  4. Reagieren Sie auf die Warnung. Sie können entweder bestätigen und einen Fall für die Warnung erstellen oder die Warnung verwerfen und auflösen.

Ressourceneinschränkungen in meinem organization

Moderne Arbeitsplatzbenutzer haben häufig eine Vielzahl von Aufgaben und Anforderungen an ihre Zeit. Es gibt mehrere Aktionen, die Sie ausführen können, um Ressourceneinschränkungen zu beheben:

  • Konzentrieren Sie sich zuerst auf die Warnungen mit dem höchsten Risiko. Abhängig von Ihren Richtlinien erfassen Sie möglicherweise Benutzeraktivitäten und generieren Warnungen mit unterschiedlichem Grad potenzieller Auswirkungen auf Ihre Bemühungen zur Risikominderung. Filtern Sie Warnungen nach Schweregrad, und priorisieren Sie Warnungen mit hohem Schweregrad .
  • Weisen Sie Benutzer als Analysten und Ermittler zu. Die Zuweisung des richtigen Benutzers zu den richtigen Rollen ist ein wichtiger Bestandteil des Überprüfungsprozesses für Insider-Risikowarnungen. Stellen Sie sicher, dass Sie den Rollengruppen Insider Risk Management Analysts und Insider Risk Management Investigators die entsprechenden Benutzer zugewiesen haben.
  • Verwenden Sie automatisierte Insider-Risikofeatures, um aktivitäten mit dem höchsten Risiko zu ermitteln.