Freigeben über

Ergreifen von Entschärfungsmaßnahmen in Untersuchungen zur Datensicherheit

Untersuchungen zur Datensicherheit bietet mehrere Features, mit denen Sie die Auswirkungen von Datensicherheitsincidents in Ihrem organization schnell verringern können.

Entschärfungsplan

Der Entschärfungsplan hilft Ihnen, die Analyse mit bestimmten Maßnahmen zur Entschärfung von Untersuchungstools und Analystenbewertungen zu verbinden. Verwenden Sie den Entschärfungsplan wie eine Aufgabenliste, um Maßnahmen zur Risikominderung von Daten in Ihrer Untersuchung zu verwalten und nachzuverfolgen. Dieser Plan hilft Analysten dabei, alle Elemente zu zentralisieren, die Aufmerksamkeit oder Maßnahmen erfordern, um Risiken im Zusammenhang mit der Untersuchung und dem Datensicherheitsvorfall zu mindern.

Führen Sie mithilfe des Entschärfungsplans die folgenden Aktionen aus:

  • Priorisieren nach Risikostufe: Beheben Sie sofort alles, was zu einer aktiven Sicherheitsverletzung führen kann, wenn Sie sie nicht beheben.

  • Elemente für die Nachverfolgung markieren: Verwenden Sie den Entschärfungsplan, um Folgeaktivitäten nachzuverfolgen.

  • Wenden Sie sich an die relevanten Projektbeteiligten, oder binden Sie sie ein: Stellen Sie sicher, dass Ihr Plan die Zuständigkeiten für die folgenden Bereiche berücksichtigt:

    • Anmeldeinformationen: Identifizieren Sie, wer Anmeldeinformationen zurücksetzt und wann.
    • Offenlegung von Daten: Identifizieren Sie, wer externe Freigabelinks entfernt oder Dateien an einen sicheren Speicherort verschiebt.
    • Schulung oder Durchsetzung von Benutzern: Identifizieren Sie, wer mit Schulungen oder Disziplinarmaßnahmen nachvollzieht.
    • Weitere Untersuchung: Ermitteln Sie, wer für jedes Element verantwortlich ist, das auf ein größeres Sicherheitsproblem in Ihrem organization hindeutet.

Dashboard des Entschärfungsplans

Der Entschärfungsplan zeigt alle Elemente an, die Sie dem Entschärfungsplan in Ihrer Untersuchung hinzufügen. Mithilfe dieser Ansicht können Sie schnell alle Elemente sehen, die in Ihrer Untersuchung eine Aktion erfordern, die status für jedes Element und andere wichtige Informationen zu den einzelnen Elementen im Plan.

  • Name: Der Betreff oder Titel des Datenelements.
  • Typ: Der Dateityp des Datenelements.
  • Beschreibung: Die Beschreibung des Datenelements.
  • Status: Die aktuelle status des Datenelements. Zu den Werten gehören In-Progress oder Complete.
  • Zuletzt geändert von: Der Name des Analysten oder Ermittlers, der zuletzt Informationen zum Datenelement aktualisiert hat.
  • Letzte Aktualisierung (UTC): Datum und Uhrzeit in koordinierter Weltzeit (UTC) für die letzte Aktualisierung des Datenelements.

Wählen Sie Spalten anpassen aus, um die angezeigten Spalten und die Reihenfolge der Spalten im Entschärfungsplan anzupassen. Wählen Sie die Spalten aus, die angezeigt oder ausgeblendet werden sollen. Wählen Sie Filter hinzufügen und dann einen verfügbaren Filter aus, um Elemente im Entschärfungsplan zu filtern.

Wählen Sie Downloadliste aus, um eine .csv Datei zu erstellen, die die Liste der Datenelemente und die Spalteninformationen im Entschärfungsplan enthält.

Detailansicht des Elements

Analysten können Im Rahmen des Überprüfungs- und Evaluierungsprozesses Details zu jedem Datenelement anzeigen, das im Entschärfungsplan enthalten ist. Nachdem Sie ein Datenelement ausgewählt haben, werden eine Elementzusammenfassung und Viewer zum Anzeigen von Metadaten, Quellen und anderen Informationen angezeigt.

Element aktualisieren status

Wenn Sie Datenelemente überprüfen und daran arbeiten, Risiken für jedes Datenelement zu minimieren, verwalten Sie die aktuellen status für jedes Element. Aktualisieren Sie die status für einzelne Elemente, oder aktualisieren Sie die status für mehrere Datenelemente per Massenvorgang.

Führen Sie die folgenden Schritte aus, um die status für ein Datenelement zu aktualisieren:

  1. Wechseln Sie im Microsoft Purview-Portal zu Untersuchungen zur Datensicherheit, und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem Untersuchungen zur Datensicherheit Berechtigungen zugewiesen sind.
  2. Wählen Sie die Untersuchungen zur Datensicherheit Lösung Karte und dann im linken Navigationsbereich Untersuchungen aus.
  3. Wählen Sie eine Untersuchung und dann Entschärfung aus.
  4. Wählen Sie ein oder mehrere Datenelemente im Entschärfungsplan aus.
  5. Wählen Sie status aktualisieren und dann den entsprechenden status aus.

Sie können auch die status eines Datenelements in der Elementdetailseite ändern. Wählen Sie in der Detailansicht für ein Element Abschließen aus, um die status des Datenelements zu ändern.

Implementieren des Entschärfungsplans

Um Ihren Entschärfungsplan zu implementieren, müssen Sie die folgenden Schritte zur Entschärfung durcharbeiten:

  • Anmeldeinformationen sofort widerrufen oder ändern: Stellen Sie für jedes verfügbar gemachte Kennwort oder Geheimnis sicher, dass der verantwortliche Besitzer es zurücksetzt. Diese Aktion kann das Erzwingen von Kennwortzurücksetzungen für Benutzerkonten, das Löschen oder erneute Generieren von Zugriffsschlüsseln oder das Ändern der Anmeldeinformationen des Dienstkontos umfassen.

  • Datengefährdung enthalten: Wenn Dateien öffentlich oder für zu viele Personen zugänglich waren, sperren Sie die Berechtigungen sofort. Entfernen Sie den externen Gastzugriff auf SharePoint-Websites, wenn eine vertrauliche Datei freigegeben wurde. Wenn eine E-Mail mit Geheimnissen extern gesendet wurde, wenden Sie sich an den Empfänger, um sie zu löschen (falls zutreffend), oder verwenden Sie nach Möglichkeit den Nachrichtenrückruf.

  • Korrigieren von Dokumenten: Bei Dateien, die bestimmte Informationen nicht enthalten dürfen, entscheiden Sie, ob sie gelöscht, bearbeitet oder gesichert werden sollen. Häufig wird empfohlen, den vertraulichen Inhalt aus der Quelle zu entfernen (oder zu verschlüsseln). Erwägen Sie das Anwenden von Vertraulichkeitsbezeichnungen oder Richtlinien zur Verhinderung von Datenverlust , um zu verhindern, dass Dateien erneut freigegeben werden.

  • Nachverfolgen von Aktivitäten und Erkenntnissen: Verwenden Sie die Aktivitäts-Zeitleiste für Elemente. Diese Informationen können verwandte Benutzeraktivitäten identifizieren. Überprüfen Sie, ob ein riskantes Benutzerverhalten andauert und ob eine weitere Untersuchung dieses Benutzers gerechtfertigt sein könnte.

  • Jede Aktion dokumentieren: Im Aktivitätsverlauf wird jede Such-, Analyse- und Entschärfungsaktion protokolliert. Diese Informationen sind für die Überwachung und nach der Incidentüberprüfung nützlich. Stellen Sie sicher, dass das Protokoll anzeigt, dass alle riskanten Elemente adressiert sind.

  • Kommunizieren und Beheben des Incidents: Aktualisieren Sie alle Beteiligten anhand der folgenden Informationen:

    • Vergewissern Sie sich, dass kritische Lücken (Anmeldeinformationen, öffentliche Links und andere Sicherheitsrisiken) geschlossen sind.
    • Bereiten Sie bei Bedarf externe Benachrichtigungen vor. Zum Beispiel, um Kunden über eine Datenverletzung zu informieren und die zuständigen Regulierungsbehörden zu informieren.
    • Führen Sie eine Nachbesprechung mit allen Beteiligten durch. Die gewonnenen Erkenntnisse und Erkenntnisse können verwendet werden, um Richtlinien zu verbessern und zukünftige Vorfälle zu verhindern.

Säubern

Untersuchungen zur Datensicherheit umfasst Bereinigungsfeatures, mit denen Sie Exchange-Postfächer und Microsoft Teams-Elemente in Ihrem organization identifizieren und entfernen können. Diese Notwendigkeit kann die Identifizierung von Elementen umfassen, die mit streng vertraulichen oder vertraulichen Informationen über Finanz-, Marketing- oder Vertriebsprojekte oder andere eigentumsrechtlich geschützte Objekte verknüpft sind. Mithilfe der integrierten Suchfunktion für Untersuchungen können Sie schnell eine neue Suchabfrage erstellen und als Bereinigungsabfrage speichern, die Sie bei Bedarf überprüfen und ausführen können.

Tipp

Verwenden Sie die weiche Bereinigung als Standardbereinigungsmethode für die meisten untersuchungsgesteuerten Workflows. Mit der vorläufigen Bereinigung können Sie vertrauliche Inhalte schnell aus der Ansicht eines Benutzers entfernen und gleichzeitig die Möglichkeit erhalten, Elemente bei Bedarf wiederherzustellen. Reservieren Sie eine harte Bereinigung für Szenarien, in denen Sie sehr sicher sind, dass ein dauerhaftes Löschen erforderlich ist und Elemente ordnungsgemäß identifiziert werden.

Untersuchungen zur Datensicherheit unterstützt die folgenden Bereinigungsoptionen:

  • Vorläufige Bereinigung: Elemente werden in den Ordner für wiederherstellbare Elemente verschoben und basierend auf Ihren Aufbewahrungseinstellungen beibehalten. Die vorläufige Bereinigung wird nur für Exchange-Postfachelemente unterstützt. Teams-Nachrichten und OneDrive- und SharePoint-Dateien werden für die vorläufige Bereinigung nicht unterstützt.
  • Harte Bereinigung: Elemente werden dauerhaft aus ihren Datenquellen gelöscht. Diese Aktion kann nicht rückgängig und Suchabfragen können nach Abschluss der Bereinigung nicht mehr bearbeitet werden.

Warnung

Bei der endgültigen Bereinigung werden Elemente ohne Wiederherstellungspfad endgültig gelöscht. Verwenden Sie die harte Bereinigung nur, wenn Sie sehr sicher sind, dass die Elemente ordnungsgemäß identifiziert werden und eine dauerhafte Löschung explizit erforderlich ist.

Die vorläufige Bereinigung ist nützlich für Szenarien wie Benutzerbeendigungen oder aktive Eindämmung von Datenlecks, bei denen Sie vertrauliche Inhalte schnell aus der Ansicht eines Benutzers entfernen müssen, während die Möglichkeit erhalten bleibt, Elemente wiederherzustellen, wenn sich der Untersuchungsbereich ändert oder der Inhalt für eine weitere Beweisüberprüfung benötigt wird.

Sowohl die vorläufige als auch die harte Bereinigung respektieren Rechtsstreitigkeiten, eDiscovery-Aufbewahrungsrichtlinien und Aufbewahrungsrichtlinien. Wenn Elemente einer Aufbewahrungs- oder Aufbewahrungsrichtlinie unterliegen, werden gelöschte Elemente im Ordner "Wiederherstellbare Elemente" beibehalten und können erst endgültig gelöscht werden, wenn der Aufbewahrungszeitraum entfernt oder der Aufbewahrungszeitraum abläuft. Weitere Informationen finden Sie unter Die Prinzipien der Aufbewahrung oder was hat Vorrang?.

Wichtig

Beim Bereinigen werden Elemente von ihren ursprünglichen Quellspeicherorten entfernt, aber keine Elemente aus dem Untersuchungsbereich in Untersuchungen zur Datensicherheit. Um alle Elemente aus Untersuchungen zur Datensicherheit zu entfernen, löschen Sie die Untersuchung.

Sie bezahlen für die Verarbeitung, die zum Bereinigen der Datenmenge erforderlich ist, die sich aus Ihrer Suchabfrage ergibt, und verwenden die neue Untersuchungen zur Datensicherheit Computeeinheit. Weitere Informationen zur Computeeinheit finden Sie unter Abrechnung in Untersuchungen zur Datensicherheit.

Warteschlange Dashboard bereinigen

In der Warteschlange Bereinigen werden alle gespeicherten Löschabfragen in Ihrer Untersuchung angezeigt. Mithilfe dieser Ansicht können Sie schnell alle Löschabfragen in Ihrer Untersuchung, die status für jede Abfrage und andere wichtige Informationen zu jeder Abfrage in der Warteschlange anzeigen.

  • Name: Der Name der Bereinigungsabfrage.
  • Status: Die aktuelle status der Bereinigungsabfrage. Zu den Werten gehören Nicht gestartet, In Bearbeitung, Fehler oder Abgeschlossen.
  • Hinzugefügt von: Der Name des Ermittlers, der die Löschabfrage hinzugefügt hat.
  • Hinzugefügtes Datum (UTC): Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), an dem die Bereinigungsabfrage der Löschwarteschlange hinzugefügt wurde.

Wählen Sie Spalten anpassen aus, um die angezeigten Spalten und die Reihenfolge der Spalten in der Löschwarteschlange anzupassen. Wählen Sie die Spalten aus, die angezeigt oder ausgeblendet werden sollen. Wählen Sie Filter hinzufügen und dann einen verfügbaren Filter aus, um Elemente in der Löschwarteschlange zu filtern.

Wählen Sie Downloadliste aus, um eine .csv Datei zu erstellen, die die Liste der Datenelemente und die Spalteninformationen in der Löschwarteschlange enthält.

Auswählen einer Bereinigungsmethode

Verwenden Sie die folgende Tabelle, um die beste Bereinigungsmethode für Ihr Szenario zu ermitteln:

Überlegungen Weiches Bereinigen Harte Bereinigung
Aktion Verschiebt Elemente in den Ordner "Wiederherstellbare Elemente" Elemente werden dauerhaft aus Datenquellen gelöscht.
Wiederherstellbare Ja, basierend auf den Aufbewahrungseinstellungen. Nein, die Aktion kann nicht rückgängig werden.
Unterstützte Datenquellen Nur Exchange-Postfachelemente. Exchange-Postfachelemente und Teams-Nachrichten.
Risikostufe Geringeres Risiko: Elemente können bei Bedarf wiederhergestellt werden. Hohes Risiko – unumkehrbar, kein Wiederherstellungspfad.
Empfohlene Verwendung Standard für die meisten untersuchungsgesteuerten Bereinigungen, massen- oder suchbasierten Bereinigungen und Szenarien, in denen der Abfragebereich breit sein kann. Nur wenn Sie sehr sicher sind, dass Elemente ordnungsgemäß identifiziert werden und eine dauerhafte Löschung erforderlich ist.
Beispielszenarien Benutzerbeendigungen, aktive Eindämmung von Datenlecks, Entfernen vertraulicher Inhalte unter Beibehaltung von Beweisen. Bestätigte schädliche Inhalte, verbotenes Material ohne Complianceaufbewahrungsanforderung.

Löschen von Elementen mit einer Suchabfrage

Führen Sie die folgenden Schritte aus, um bestimmte Elemente in Ihrem organization zu bereinigen:

  1. Wechseln Sie im Microsoft Purview-Portal zu Untersuchungen zur Datensicherheit, und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem Untersuchungen zur Datensicherheit Berechtigungen zugewiesen sind.

  2. Wählen Sie im linken Navigationsbereich Untersuchungen aus.

  3. Wählen Sie eine Untersuchung aus, oder wählen Sie Untersuchung erstellen aus, um eine neue Untersuchung zu erstellen.

  4. Wählen Sie auf der Registerkarte Suchen die Datenquellen aus, die die Elemente enthalten, die Sie bereinigen möchten.

    Wichtig

    Nur Elemente in Exchange-Postfächern und Microsoft Teams unterstützen derzeit die Bereinigung. Wenn Sie SharePoint-Websites oder OneDrive-Konten auswählen, werden Löschaktionen deaktiviert. Die vorläufige Bereinigung wird nur für Exchange-Postfachelemente unterstützt. Wenn die Suchabfrage Teams-Nachrichten oder OneDrive- und SharePoint-Dateien enthält, ist die Option für die vorläufige Bereinigung nicht verfügbar.

  5. Erstellen Sie eine Suche, um die Elemente zu identifizieren, die Sie bereinigen möchten, und wählen Sie dann Schätzungen überprüfen aus.

    Wichtig

    FileID ist nicht verfügbar für gelöschte Elemente, die nicht zu einem Überprüfungssatz hinzugefügt wurden, oder wenn sie exportiert werden. Verwenden Sie bei Bedarf ImmutableID .

  6. Überprüfen Sie auf der Seite Schätzungen überprüfen , ob die in den Schätzungen zurückgegebenen Elemente mit den Elementen übereinstimmen, die Sie bereinigen möchten. Sie können bis zu 1.000 Elemente pro Suche bereinigen.

    Wenn Sie die Suche bearbeiten müssen, wählen Sie Suchen aus, und aktualisieren Sie die Bedingungen der Suche. Wählen Sie zum Anzeigen von Details für Such übereinstimmungen die Auslassungspunkte und Beispiele anzeigen aus, oder wählen Sie Zu Bereich hinzufügen aus.

    Wichtig

    Wenn Sie einem Untersuchungsbereich Elemente hinzufügen, wird dem Azure Speicherkonto, das Untersuchungen zur Datensicherheit in Ihrem organization zugeordnet ist, eine Kopie der Elemente hinzugefügt. Wenn Sie die Bereinigungsabfrage in der Warteschlange Bereinigen ausführen, werden Elemente von allen aktuellen Quellspeicherorten entfernt, aber nicht aus dem Untersuchungsbereich in Untersuchungen zur Datensicherheit. Um alle Elemente aus Untersuchungen zur Datensicherheit zu entfernen, löschen Sie die Untersuchung.

  7. Wählen Sie Zum Löschen speichern aus, und geben Sie einen eindeutigen Namen für die Bereinigungsabfrage in das Feld Abfragename ein.

  8. Wählen Sie Speichern aus, um die Abfrage zu speichern und der Löschwarteschlange hinzuzufügen.

    Wichtig

    In diesem Schritt wird die Abfrage nur als Bereinigungsabfrage gespeichert. Es werden keine Elemente gelöscht.

  9. Auf der Registerkarte Entschärfung für die Untersuchung werden Sie automatisch zur Warteschlange bereinigen Dashboard weitergeleitet.

  10. Wählen Sie die Löschabfrage aus, die Sie ausführen möchten.

  11. Überprüfen Sie auf der Seite Abfragedetails bereinigen die Abfragedetails, und wählen Sie Ausführen aus.

  12. Wählen Sie im Dialogfeld zur Bestätigung der Bereinigung die Bereinigungsmethode für die Abfrage aus:

    • Vorläufiges Löschen: Verschiebt Elemente in den Ordner für wiederherstellbare Elemente und behält sie basierend auf Ihren Aufbewahrungseinstellungen bei. Diese Option wird für Teams-Nachrichten und OneDrive- und SharePoint-Dateien nicht unterstützt. Wenn die Suchabfrage nicht unterstützte Elemente enthält, ist die Option zum vorläufigen Löschen nicht verfügbar.
    • Harte Bereinigung: Löscht Elemente endgültig aus ihren Datenquellen. Diese Aktion kann nicht rückgängig werden.

    Hinweis

    Wenn Sich Elemente unter einer Aufbewahrungsrichtlinie für Rechtsstreitigkeiten, eDiscovery-Aufbewahrungsrichtlinien oder Aufbewahrungsrichtlinien befinden, behält der Löschprozess die Elemente bei und kann sie erst endgültig löschen, wenn der Aufbewahrungszeitraum entfernt wird oder der Aufbewahrungszeitraum abläuft.

  13. Wählen Sie Bereinigung bestätigen aus.

  14. Um die status der Bereinigungsabfrage anzuzeigen, wählen Sie die Registerkarte Aktivitäten aus.

Nach Abschluss der Bereinigung können Sie einen Bericht als .zip Datei herunterladen, die Element-, Speicherort-, Einstellungen- und Zusammenfassungsinformationen zu den gelöschten Elementen enthält.

Löschen eines einzelnen Elements

Führen Sie die folgenden Schritte aus, um ein einzelnes Element aus einer Untersuchung zu löschen:

  1. Wechseln Sie im Microsoft Purview-Portal zu Untersuchungen zur Datensicherheit, und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem Untersuchungen zur Datensicherheit Berechtigungen zugewiesen sind.

  2. Wählen Sie im linken Navigationsbereich Untersuchungen aus.

  3. Wählen Sie eine Untersuchung und dann Analyse aus, um auf den Untersuchungsbereich zuzugreifen.

  4. Wählen Sie das Element aus, das Sie aus dem Untersuchungsbereich löschen möchten.

  5. Wählen Sie Zur Entschärfung hinzufügen und dann Entschärfung aus, um die Liste Entschärfung anzuzeigen.

  6. Wählen Sie das Element aus der Liste Entschärfung aus.

  7. Wählen Sie Zur Bereinigungswarteschlange hinzufügen und dann Warteschlange löschen aus, um die Warteschlange bereinigen anzuzeigen.

  8. Wählen Sie das Element aus der Warteschlange Bereinigen und dann Bereinigen aus.

  9. Wählen Sie die Bereinigungsmethode für das Element aus:

    • Vorläufige Bereinigung: Verschiebt das Element in den Ordner für wiederherstellbare Elemente und behält es basierend auf Ihren Aufbewahrungseinstellungen bei. Diese Option ist nur für Exchange-Postfachelemente verfügbar.
    • Harte Bereinigung: Löscht das Element endgültig aus seiner Datenquelle. Diese Aktion kann nicht rückgängig werden.

    Hinweis

    Wenn Sich Elemente unter einer Aufbewahrungsrichtlinie für Rechtsstreitigkeiten, eDiscovery-Aufbewahrungsrichtlinien oder Aufbewahrungsrichtlinien befinden, behält der Löschprozess die Elemente bei und kann sie erst endgültig löschen, wenn der Aufbewahrungszeitraum entfernt wird oder der Aufbewahrungszeitraum abläuft.

  10. Wählen Sie Bereinigung bestätigen aus.

  11. Um die status der Bereinigung anzuzeigen, wählen Sie die Registerkarte Aktivitäten aus.

  • Last updated on