Verwalten des Workflows mit den Insider-Risikomanagementbenutzern Dashboard
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Die Benutzer-Dashboard ist ein wichtiges Tool im Insider-Risikomanagement-Workflow und hilft Ermittlern und Analysten, ein umfassenderes Verständnis von Risikoaktivitäten zu erhalten. Dieses Dashboard bietet Ansichten und Verwaltungsfeatures, um administrative Anforderungen zwischen der Erstellung von Insider-Risikomanagementrichtlinien und der Verwaltung von Insider-Risikomanagementfällen zu erfüllen.
Nachdem Benutzer zu Insider-Risikomanagementrichtlinien hinzugefügt wurden, werten Hintergrundprozesse automatisch Benutzeraktivitäten aus, um Indikatoren auszulösen. Nachdem auslösende Indikatoren vorhanden sind, werden Benutzeraktivitäten Risikobewertungen zugewiesen. Einige dieser Aktivitäten können zu einer Insider-Risikowarnung führen, aber einige Aktivitäten erfüllen möglicherweise nicht die Mindestrisikobewertung, und eine Insider-Risikowarnung wird nicht erstellt. Mit dem Dashboard "Benutzer" können Sie Benutzer mit diesen Arten von Indikatoren und Risikobewertungen sowie Benutzer mit aktiven Insider-Risikowarnungen anzeigen.
Erfahren Sie mehr darüber, wie benutzer Dashboard Benutzer in den folgenden Szenarien anzeigt:
- Benutzer mit aktiven Warnungen zu Insider-Risikorichtlinien
- Benutzer mit auslösenden Ereignissen
- Benutzer, die als potenzielle Benutzer mit hoher Auswirkung oder in prioritären Benutzergruppen identifiziert wurden
- Benutzer, die vorübergehend zu Richtlinien hinzugefügt wurden
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Benutzer mit aktiven Warnungen zu Insider-Risikorichtlinien
Im Dashboard Benutzer werden automatisch alle Benutzer mit aktiven Warnungen zu Insider-Risikorichtlinien angezeigt. Diese Benutzer mit Warnungen verfügen sowohl über einen auslösenden Indikator als auch über eine Aktivitätsrisikobewertung, die die Anforderungen zum Erstellen einer Insider-Risikowarnung erfüllt. Aktivitäten für diese Benutzer werden angezeigt, indem Sie den Benutzer im Dashboard Benutzer auswählen und zur Registerkarte Benutzeraktivität navigieren.
Benutzer mit auslösenden Ereignissen
Im Dashboard Benutzer werden automatisch alle Benutzer mit auslösenden Ereignissen angezeigt, die jedoch keine Aktivitätsrisikobewertung aufweisen, die eine Insider-Risikowarnung auslösen würde. Beispielsweise wird ein Benutzer mit einem gemeldeten Rücktrittsdatum angezeigt, da diese Aktivität ein auslösendes Ereignis, aber keine Aktivität mit einer Risikobewertung ist. Aktivitäten für diese Benutzer werden angezeigt, indem Sie den Benutzer im Dashboard Benutzer auswählen und zur Registerkarte Benutzeraktivität navigieren.
Benutzer, die vorübergehend zu Richtlinien hinzugefügt wurden
Die benutzer-Dashboard enthält Benutzer, die nach einem ungewöhnlichen Ereignis außerhalb des Insider-Risikomanagement-Workflows zu Insider-Risikomanagementrichtlinien hinzugefügt wurden. Das vorübergehende Hinzufügen von Benutzern (aus dem richtlinien-Dashboard) ist auch eine Möglichkeit, mit der Bewertung von Benutzeraktivitäten für eine Insider-Risikomanagementrichtlinie zum Testen der Richtlinie zu beginnen, auch wenn kein erforderlicher Connector konfiguriert ist.
Wenn ein Benutzer manuell zu einer Richtlinie hinzugefügt wird, werden die Benutzeraktivitäten der letzten 90 Tage bewertet und der benutzeraktivität Zeitleiste hinzugefügt. Beispielsweise verfügen Sie über einen Benutzer, dem derzeit keine Risikobewertungen für eine Insider-Risikorichtlinie zugewiesen sind, und der Benutzer hat Datenleckaktivitäten an die Rechtsabteilung in Ihrem organization gemeldet. Die Rechtsabteilung empfiehlt, neue Anforderungen an die kurzfristige Erkennung für den Benutzer zu konfigurieren. Sie können den Benutzer für einen bestimmten Zeitraum ( Aktivierungsfenster) vorübergehend Ihrer Richtlinie für Datenlecks zuweisen. Alle vorübergehend hinzugefügten Benutzer werden im benutzerbasierten Dashboard angezeigt, da auf die Anforderungen an auslösende Ereignisse verzichtet wird.
Hinweis
Es kann mehrere Stunden dauern, bis neue manuell hinzugefügte Benutzer im Dashboard Benutzer angezeigt werden. Die Anzeige von Aktivitäten für die vorherigen 90 Tage für diese Benutzer kann bis zu 24 Stunden dauern. Um Aktivitäten für manuell hinzugefügte Benutzer anzuzeigen, wählen Sie den Benutzer im Dashboard Benutzer aus, und öffnen Sie im Detailbereich die Registerkarte Benutzeraktivität.
Der Benutzer wird automatisch aus dem Dashboard Benutzer entfernt, und die Bewertung wird beendet, wenn die im Aktivierungsfenster definierte Zeit abläuft, wenn:
- der Benutzer über keine zusätzlichen auslösenden Ereignisse oder Warnungen von Insider-Risikorichtlinien verfügt, und
- , wenn die manuell definierte Dauer des Aktivierungsfensters länger ist als die Dauer des Aktivierungsfensters der globalen Richtlinie.
Die Einstellung des Aktivierungsfensters mit der längsten Dauer setzt die Einstellung des Aktivierungsfensters immer mit einer kürzeren Dauer außer Kraft. Beispielsweise haben Sie das Aktivierungsfenster auf der Globalen Registerkarte Richtlinienzeitrahmen in den globalen Einstellungen für das Insider-Risikomanagement für 15 Tage konfiguriert, das automatisch auf alle Ihre Insider-Risikorichtlinien angewendet wird.
Sie fügen vorübergehend einen Benutzer zu Ihrer Richtlinie zum Insider-Risiko für Datenlecks hinzu und definieren 30 Tage als Aktivierungsfenster für diesen Benutzer. Die Einstellung des globalen Aktivierungsfensters von 15 Tagen wird überschrieben, indem die Einstellung des Aktivierungsfensters von 30 Tagen für den vorübergehend hinzugefügten Benutzer definiert wird. Der vorübergehend hinzugefügte Benutzer verbleibt im Dashboard Benutzer und befindet sich 30 Tage lang im Gültigkeitsbereich der Richtlinie.
Im umgekehrten Szenario, in dem die Einstellung des globalen Aktivierungsfensters länger ist als die Einstellung des Aktivierungsfensters , die für einen vorübergehend hinzugefügten Benutzer definiert ist, würde die Einstellung des globalen Aktivierungsfensters die Einstellung des Fensters "Aktivierung" für den vorübergehend hinzugefügten Benutzer außer Kraft setzen. Der vorübergehend hinzugefügte Benutzer verbleibt im Dashboard Benutzer und befindet sich im Gültigkeitsbereich der Richtlinie für die Anzahl von Tagen, die in den Einstellungen des globalen Aktivierungsfensters definiert sind.
Anzeigen von Benutzerinformationen im Dashboard
Jeder Benutzer, der im Dashboard Benutzer angezeigt wird, verfügt über die folgenden Informationen:
- Benutzer: Benutzername für einen Benutzer. Dieses Feld wird anonymisiert, wenn die globale Anonymisierungseinstellung für das Insider-Risikomanagement aktiviert ist.
- Warnungsschweregrad: Aktuelle berechnete Risikostufe des Benutzers. Diese Bewertung wird alle 24 Stunden berechnet und verwendet die Warnungsrisikobewertungen aller aktiven Warnungen, die dem Benutzer zugeordnet sind. Für Benutzer mit nur auslösenden Indikatoren ist der Schweregrad der Warnung null.
- Aktive Warnungen: Anzahl der aktiven Warnungen für alle Richtlinien.
- Bestätigte Verstöße: Anzahl der Fälle, die als bestätigter Richtlinienverstoß für den Benutzer behoben wurden.
- Fall: Aktueller aktiver Fall für den Benutzer.
Um einen bestimmten Benutzer schnell zu finden, verwenden Sie Die Suche oben rechts im Dashboard Benutzer. Bei der Suche nach Benutzern müssen Sie den Benutzerprinzipalnamen (UPN) verwenden. Wenn Sie beispielsweise nach einem Benutzer namens "Tiara Hidayah" suchen, der den UPN "thidayah" in Ihrem organization hat, würden Sie "thidayah" oder einen Teil des UPN in der Suche eingeben.
Hinweis
Die Anzahl der Benutzer, die auf der Dashboard Benutzer angezeigt werden, kann in einigen Fällen begrenzt sein, abhängig von der Anzahl der aktiven Warnungen und übereinstimmenden Richtlinien. Benutzer mit aktiven Warnungen werden auf der Dashboard Benutzer angezeigt, während die Warnungen generiert werden, und es kann in seltenen Fällen vorkommen, in denen die maximale Anzahl angezeigter Benutzer erreicht wird. Wenn dieser Grenzwert auftritt, werden Benutzer mit aktiven Warnungen, die nicht angezeigt werden, dem Dashboard Benutzer hinzugefügt, da vorhandene Benutzerwarnungen selektieren.
Anzeigen von Benutzerdetails
Um weitere Details zur Risikoaktivität für einen Benutzer anzuzeigen, öffnen Sie den Bereich mit den Benutzerdetails, indem Sie im Dashboard Benutzer auf einen Benutzer doppelklicken. Im Detailbereich können Sie die folgenden Informationen anzeigen:
Registerkarte "Benutzerprofil "
- Name und Titel: Name und Positionstitel für den Benutzer aus Microsoft Entra ID. Diese Benutzerfelder sind anonymisiert oder leer, wenn die globale Anonymisierungseinstellung für das Insider-Risikomanagement aktiviert ist.
- Benutzerdetails: Listen, ob der Benutzer als potenzieller Benutzer mit hoher Auswirkung identifiziert wurde oder ob der Benutzer in prioritätsbasierten Benutzergruppen enthalten ist.
- Warnungs- und Aktivitätszusammenfassung: Listen aktive Benutzerwarnungen und offene Fälle.
- E-Mail-Adresse des Benutzers: Email Adresse für den Benutzer.
- Alias: Netzwerkalias für den Benutzer.
- Organisation oder Abteilung: Organisation oder Abteilung für den Benutzer.
- Im Bereich: Listen bereichsinterne Zuweisung des Benutzers zu Richtlinien.
Registerkarte "Benutzeraktivität "
- Verlauf der letzten Benutzeraktivitäten: Listen sowohl auslösende Indikatoren als auch Insider-Risikoindikatoren für Risikoaktivitäten bis zu den letzten 90 Tagen. Alle Risikoaktivitäten, die für Insider-Risikoindikatoren relevant sind, werden ebenfalls bewertet, obwohl die Aktivitäten möglicherweise eine Insider-Risikowarnung generiert haben oder nicht. Auslösende Indikatorbeispiele können ein Rücktrittsdatum oder das letzte geplante Datum der Arbeit für den Benutzer sein. Insider-Risikoindikatoren sind Aktivitäten, die als Risikoelemente festgelegt sind, die möglicherweise zu einem Sicherheitsvorfall führen können, und werden in Richtlinien definiert, in die der Benutzer eingeschlossen ist. Ereignis- und Risikoaktivitäten werden mit dem neuesten Element zuerst aufgeführt.
Verwenden von Copilot zum Zusammenfassen von Benutzeraktivitäten (Vorschau)
Sie können im Bereich mit Den Benutzerdetails die Option Mit Copilot zusammenfassen auswählen, um schnell die Aktivitäten für Benutzer zusammenzufassen, die möglicherweise weiter untersucht werden müssen. Wenn Sie Benutzerrisikoaktivitäten mit Microsoft Copilot in Microsoft Purview zusammenfassen, wird auf der rechten Seite des Bildschirms ein Copilot-Bereich mit einer Benutzerzusammenfassung angezeigt.
Die Benutzerzusammenfassung enthält wichtige Details wie Den Namen, den Titel, den Benutzerprinzipalnamen, den Warnungs- und Fallverlauf sowie die wichtigsten Risikofaktoren. Die wichtigsten Risikofaktoren bieten wichtige Einblicke in die Benutzerrollen, Berechtigungen, die Beteiligung an Exfiltrationsaktivitäten, sequenzielle Muster oder ungewöhnliches Verhalten. Diese Ansicht hilft ihnen, Benutzer zu identifizieren, die möglicherweise das höchste Insiderrisiko für Ihre organization darstellen.
Vorgeschlagene Eingabeaufforderungen werden automatisch aufgelistet, um Ihre Zusammenfassung weiter zu verfeinern und zusätzliche Einblicke in die aktivitäten zu geben, die dem Benutzer zugeordnet sind. Wählen Sie aus den folgenden vorgeschlagenen Eingabeaufforderungen aus:
- Listet alle Datenexfiltrationsaktivitäten auf, die diesen Benutzer betreffen.
- Listet alle sequenziellen Aktivitäten auf, an denen dieser Benutzer beteiligt ist.
- Hat der Benutzer ungewöhnliches Verhalten?
- Zeigen Sie die wichtigsten Aktionen an, die vom Benutzer in den letzten 10 Tagen ausgeführt wurden.
- Fassen Sie die Aktivität des Benutzers der letzten 30 Tage zusammen.
Tipp
Sie können auch die eigenständige Version von Microsoft Security Copilot verwenden, um Insider-Risikomanagement, Microsoft Purview Data Loss Prevention (DLP) und Microsoft Defender XDR Warnungen zu untersuchen.
Entfernen von Benutzern aus der bereichsinternen Zuweisung zu Richtlinien
Es kann Szenarien geben, in denen Sie die Zuweisung von Risikobewertungen zu einem Benutzer in Insider-Risikomanagementrichtlinien beenden müssen. Verwenden Sie Bewertungsaktivität beenden für Benutzer im Dashboard Benutzer, um die Zuweisung von Risikobewertungen für einen Benutzer aus allen Insider-Risikomanagementrichtlinien zu beenden, für die sie sich derzeit im Geltungsbereich befinden. Diese Aktion entfernt den Benutzer nicht aus der allgemeinen Richtlinienzuweisung (wenn Sie Benutzer oder Gruppen zu einer Richtlinienkonfiguration hinzufügen), sondern entfernt den Benutzer einfach aus der aktiven Verarbeitung durch Richtlinien nach aktuellen auslösenden Ereignissen. Wenn der Benutzer in Zukunft ein weiteres auslösendes Ereignis hat, werden dem Benutzer automatisch wieder Risikobewertungen aus Richtlinien zugewiesen. Alle vorhandenen Warnungen oder Fälle für diesen Benutzer werden nicht entfernt.
Entfernen eines Benutzers aus einem bereichsinternen status in allen Insider-Risikomanagementrichtlinien
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wechseln Sie zur Insider-Risikomanagement-Lösung .
- Wählen Sie im linken Navigationsbereich Benutzer aus.
- Wählen Sie auf der Dashboard Benutzer die Benutzer aus, für die Sie die Bewertungsaktivität beenden möchten.
- Wählen Sie Bewertungsaktivität für Benutzer beenden aus.
Hinweis
Das Entfernen eines Benutzers aus einem bereichsinternen status kann einige Minuten dauern. Nach Abschluss des Vorgangs wird der Benutzer nicht mehr im Dashboard Benutzer aufgeführt. Wenn der entfernte Benutzer über aktive Warnungen oder Fälle verfügt, verbleibt der Benutzer im Dashboard Benutzer, und die Benutzerdetails zeigen, dass er sich nicht mehr im Gültigkeitsbereich einer Richtlinie befindet.
Ausführen automatisierter Aufgaben mit Power Automate-Flows für einen Benutzer
Mithilfe empfohlener Power Automate-Flows können Risikoermittler und Analysten schnell Maßnahmen ergreifen, um Benutzer zu benachrichtigen, wenn sie einer Insider-Risikorichtlinie hinzugefügt werden.
So führen Sie Power Automate-Flows für Insider-Risikomanagementbenutzer aus, verwalten und erstellen sie:
- Wählen Sie auf der Symbolleiste der Benutzeraktion die Option Automatisieren aus.
- Wählen Sie den auszuführenden Power Automate-Flow und dann Flow ausführen aus.
- Wählen Sie nach Abschluss des Flows Fertig aus.
Weitere Informationen zu Power Automate-Flows für das Insider-Risikomanagement finden Sie unter Erste Schritte mit Insider-Risikomanagementeinstellungen.