Erkunden von Insider-Risikomanagementfällen

  • 9 Minuten

Fälle sind das Herzstück des Insider-Risikomanagements. Sie ermöglichen Es Organisationen, Probleme, die durch in ihren Richtlinien definierte Risikoindikatoren generiert werden, eingehend zu untersuchen und darauf zu reagieren. Organisationen erstellen Manuell Fälle aus Warnungen. Sie tun dies in Situationen, in denen sie weitere Maßnahmen ergreifen müssen, um ein Complianceproblem für einen Benutzer zu beheben.

Hinweis

Sie können jeden Fall auf einen einzelnen Benutzer festlegen. Sie können einem vorhandenen Fall oder einem neuen Fall mehrere Warnungen für den Benutzer hinzufügen.

Nachdem die Ermittler und Risikoanalysten eines organization die Details eines Falls untersucht haben, können sie Maßnahmen ergreifen, indem sie:

  • Senden einer Benachrichtigung an den Benutzer.
  • Beheben des Falls als gutartig.
  • Freigeben des Falls an einen E-Mail-Empfänger.
  • Eskalieren des Falls für eine eDiscovery -Untersuchung (Premium).

Zusätzliche Anzeige. Einen Überblick darüber, wie das Insider-Risikomanagement Fälle untersucht und verwaltet, watch das folgende kurze Video mit dem Titel: Untersuchung und Eskalation des Insider-Risikomanagements.

Fälle Dashboard

Die Dashboard Insider-Risikomanagement ermöglicht es den Ermittlern und Risikoanalysten eines organization, Fälle zu sehen und darauf zu reagieren. Jedes Berichtswidget im Dashboard zeigt die folgenden Informationen für die letzten 30 Tage an:

  • Aktive Fälle. Die Gesamtzahl der aktiven Fälle, die untersucht werden.
  • Fälle der letzten 30 Tage. Die Gesamtzahl der erstellten Fälle, sortiert nach aktivem und geschlossenem status.
  • Statistiken. Durchschnittliche Zeit aktiver Fälle in Stunden, Tagen oder Monaten.

Die Fallwarteschlange listet alle aktiven und geschlossenen Fälle für eine organization auf. Außerdem werden die aktuellen status der folgenden Fallattribute angezeigt:

  • Name der Groß-/Kleinschreibung. Der Name des Falls. Wenn ein organization eine Warnung bestätigt und den Fall erstellt, weist er den Fallnamen zu.
  • Status. Die status des Falls, entweder Aktiv oder Geschlossen.
  • Benutzer: Der Benutzer für den Fall. Wenn Sie beim Erstellen des Falls die Einstellung Anonymisierung für Benutzernamen aktivieren, zeigt das System anonymisierte Informationen an.
  • Zeitfall geöffnet. Die Zeit, die verstrichen ist, seit Sie den Fall geöffnet haben.
  • Gesamtanzahl von Richtlinienwarnungen. Die Anzahl der im Fall enthaltenen Richtlinien-Übereinstimmungen. Diese Anzahl kann sich erhöhen, wenn Sie dem Fall neue Warnungen hinzufügen.
  • Der Fall wurde zuletzt aktualisiert. Die Zeit, die vergangen ist, seit jemand eine Fallnotiz hinzugefügt oder den Fallzustand geändert hat.
  • Zuletzt aktualisiert von. Der Name des Insider-Risikomanagementanalysten oder Ermittlers, der den Fall zuletzt aktualisiert hat.

Screenshot: Insider-Risikomanagement-Dashboard mit der Registerkarte

Ermittler und Risikoanalysten können das Suchsteuerelement verwenden, um Fallnamen nach bestimmten Texten zu durchsuchen. Sie können auch den Fallfilter verwenden, um Fälle nach den folgenden Attributen zu sortieren:

  • Status des Falls.
  • Uhrzeit, zu der der Fall geöffnet wurde, plus Start- und Enddatum.
  • Das Datum, an dem Sie den Fall zuletzt aktualisiert haben, sowie das Start- und Enddatum.

Filterfälle

Je nach Anzahl und Art der aktiven Insider-Risikomanagementrichtlinien in einem organization kann die Überprüfung einer großen Warteschlange von Fällen eine Herausforderung darstellen. Die Verwendung von Fallfiltern kann Analysten und Ermittlern dabei helfen, Fälle nach mehreren Attributen zu sortieren. Um Warnungen nach der Dashboard Fälle zu filtern, wählen Sie das Steuerelement Filter aus. Sie können Fälle nach einem oder mehreren Attributen filtern:

  • Status. Wählen Sie einen oder mehrere status Werte aus, um die Fallliste zu filtern. Die Optionen sind Aktiv und Geschlossen.
  • Zeitfall geöffnet. Wählen Sie das Start- und Enddatum für das Öffnen von Fällen aus.
  • Letzte Aktualisierung. Wählen Sie das Start- und Enddatum für den Zeitpunkt der letzten Aktualisierung der Fälle aus.

Untersuchen eines Falls

Eine eingehendere Untersuchung von Insider-Risikomanagementwarnungen ist wichtig, um geeignete Korrekturmaßnahmen zu ergreifen. Insider-Risikomanagementfälle sind das zentrale Verwaltungstool, um tiefer in folgendes einzutauchen:

  • Aktivitätsverlauf des Benutzerrisikos
  • Warnungsdetails
  • Die Abfolge von Risikoereignissen
  • Inhalte und Nachrichten, die Risiken ausgesetzt sind

Risikoanalysten und Ermittler verwenden Fälle auch, um Rezensionsfeedback und -notizen zu zentralisieren und die Lösung von Fällen zu verarbeiten. Wenn sie einen Fall öffnen, werden die Case Management-Tools verfügbar. Diese Tools ermöglichen Es Analysten und Ermittlern, die Details der Fälle zu untersuchen.

Fallübersicht

Auf der Registerkarte Fallübersicht werden die Falldetails für Risikoanalysten und Ermittler zusammengefasst. Sie enthält die folgenden Informationen im Bereich Über diesen Fall:

  • Status. Die aktuelle status des Falls, entweder Aktiv oder Geschlossen.
  • Fall erstellt am. Das Datum und die Uhrzeit, zu der Sie den Fall erstellt haben.
  • Risikobewertung des Benutzers. Die aktuell berechnete Risikostufe des Benutzers für den Fall. Das System berechnet diese Bewertung alle 24 Stunden und verwendet Warnungsrisikobewertungen aus allen aktiven Warnungen, die dem Benutzer zugeordnet sind.
  • E-Mail. Der E-Mail-Alias des Benutzers für den Fall.
  • Organisation oder Abteilung. Die dem Benutzer zugewiesene organization oder Abteilung.
  • Name des Managers. Der Name des Vorgesetzten des Benutzers.
  • E-Mail-Adresse des Managers. Der E-Mail-Alias des Vorgesetzten des Benutzers.

Screenshot: Insider-Risikomanagement-Dashboard mit der Seite

Die Registerkarte Fallübersicht enthält auch einen Abschnitt Warnungen , der die folgenden Informationen zu Richtlinienüberstimmungswarnungen enthält, die dem Fall zugeordnet sind:

  • Richtlinien stimmt überein. Der Name der Insider-Risikomanagementrichtlinie, die den Übereinstimmungswarnungen für Benutzeraktivitäten zugeordnet ist.
  • Status. Der Status der Warnung.
  • Schweregrad. Der Schweregrad der Warnung.
  • Erkannte Zeit. Die Zeit, die verstrichen ist, seit das System die Warnung generiert hat.

Warnungen

Auf der Registerkarte Warnungen werden die aktuellen Warnungen zusammengefasst, die in dem Fall enthalten sind. Das System kann einem vorhandenen Fall neue Warnungen hinzufügen. Das System fügt sie auch der Warnungswarteschlange hinzu, wenn sie einem Fall zugewiesen werden. Die Warteschlange listet die folgenden Warnungsattribute auf:

  • Status
  • Severity
  • Erkannte Zeit

Wählen Sie eine Warnung aus der Warteschlange aus, um die Seite Warnungsdetails anzuzeigen. Verwenden Sie das Suchsteuerelement, um Warnungsnamen nach bestimmtem Text zu durchsuchen, und verwenden Sie den Warnungsfilter, um Fälle nach den folgenden Attributen zu sortieren:

  • Status
  • Severity
  • Zeitpunkt der Erkennung, Startdatum und Enddatum

Verwenden Sie das Filtersteuerelement, um Warnungen nach verschiedenen Attributen zu filtern, einschließlich:

  • Status. Wählen Sie einen oder mehrere status Werte aus, um die Warnungsliste zu filtern. Die Optionen sind Bestätigt, Verworfen, Überprüfung der Anforderungen und Gelöst.
  • Schweregrad. Wählen Sie einen oder mehrere Schweregrade des Warnungsrisikos aus, um die Warnungsliste zu filtern. Die Optionen sind Hoch, Mittel und Niedrig.
  • Erkannte Zeit. Wählen Sie das Start- und Enddatum für den Zeitpunkt aus, an dem das System die Warnung erstellt hat.
  • Richtlinie: Wählen Sie eine oder mehrere Richtlinien aus, um die von den ausgewählten Richtlinien generierten Warnungen zu filtern.

Benutzeraktivität

Auf der Registerkarte Benutzeraktivität können Risikoanalysten und Prüfer Aktivitätsdetails überprüfen. Außerdem wird eine visuelle Darstellung aller Aktivitäten im Zusammenhang mit Risikowarnungen und -fällen angezeigt. Beispielsweise müssen Analysten im Rahmen des Warnungs selektierungsprozesses möglicherweise alle risikobehafteten Aktivitäten im Zusammenhang mit dem Fall überprüfen, um weitere Details zu erhalten. In Fällen können Risikoermittler Details zur Benutzeraktivität und das Blasendiagramm überprüfen, um den Gesamtumfang der aktivitäten im Zusammenhang mit dem Fall zu verstehen.

Aktivitäten-Explorer

Auf der Registerkarte Aktivitäts-Explorer können Risikoanalysten und Prüfer Aktivitätsdetails im Zusammenhang mit Risikowarnungen überprüfen. Beispielsweise müssen Ermittler und Analysten im Rahmen der Fallmanagementaktionen möglicherweise alle risikobehafteten Aktivitäten im Zusammenhang mit dem Fall überprüfen, um weitere Details zu erhalten. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter riskanter Aktivitäten überprüfen und alle Risikoaktivitäten im Zusammenhang mit Warnungen identifizieren und filtern. In der vorherigen Trainingseinheit wurde der Aktivitäts-Explorer ausführlicher untersucht.

Inhalts-Explorer

Auf der Registerkarte Inhalts-Explorer können Risikoermittler Kopien aller einzelnen Dateien und E-Mail-Nachrichten überprüfen, die Risikowarnungen zugeordnet sind. Betrachten Sie beispielsweise das Szenario, in dem das System eine Warnung erstellt hat, wenn ein Benutzer Hunderte von Dateien aus SharePoint Online heruntergeladen hat. Dies ist der Tat, weil die Aktivität eine Richtlinienwarnung ausgelöst hat. In diesem Fall hat das System alle heruntergeladenen Dateien für die Warnung erfasst und aus den ursprünglichen Speicherquellen in den Insider-Risikomanagementfall kopiert.

Der Inhaltsexplorer ist ein leistungsfähiges Tool mit einfachen und erweiterten Such-und Filterfeatures. Weitere Informationen zur Verwendung des Inhalts-Explorers finden Sie unter Inhalts-Explorer für das Insider-Risikomanagement.

Screenshot des Insider-Risikomanagement-Dashboard mit der Registerkarte

Fallnotizen

Auf der Registerkarte "Fallhinweise " geben Risikoanalysten und Ermittler Kommentare, Feedback und Erkenntnisse zu ihrer Arbeit für den Fall ab. Notizen sind permanente Ergänzungen zu einem Fall. Sie können eine Notiz nach dem Speichern nicht mehr bearbeiten oder löschen. Wenn Sie einen Fall aus einer Warnung erstellen, fügt das System automatisch die Kommentare hinzu, die Sie im Dialogfeld Warnung bestätigen und Insider-Risikofall erstellen als Fallhinweis eingegeben haben.

Unter Fallnotizen Dashboard werden Notizen des Benutzers angezeigt, der die Notiz erstellt hat, sowie die Seit dem Speichern der Notiz durch den Benutzer verstrichene Zeit. Um das Textfeld für die Fallnotiz nach einem bestimmten Schlüsselwort (keyword) zu durchsuchen, verwenden Sie die Schaltfläche Suchen für den Fall Dashboard, und geben Sie einen bestimmten Schlüsselwort (keyword) ein.

Mitwirkende

Auf der Registerkarte Mitwirkendekönnen Risikoanalysten und Ermittler weitere Mitwirkende zu dem Fall hinzufügen. Standardmäßig zeigt das System alle Benutzer an, die den Rollen Insider-Risikomanagementanalysten oder Insider-Risikomanagement-Ermittlern als Mitwirkende für jeden aktiven und geschlossenen Fall zugewiesen sind. Nur Benutzer, denen die Rolle Insider-Risikomanagement-Ermittler zugewiesen ist, verfügen über die Berechtigung zum Anzeigen von Dateien und Nachrichten im Inhalts-Explorer.

Sie können einem Fall temporären Zugriff gewähren, wenn Sie einen Benutzer als Mitwirkender hinzufügen. Mitwirkende haben die gesamte Fallverwaltungssteuerung für den jeweiligen Fall, außer:

  • Berechtigung zum Bestätigen oder Schließen von Warnungen.
  • Berechtigung zum Bearbeiten der Mitwirkenden für Fälle.
  • Berechtigung zum Anzeigen von Dateien und Nachrichten im Inhalts-Explorer.

Fallmaßnahmen

Risikoermittler können auf einen Fall in einer von mehreren Methoden maßnahmen ergreifen, abhängig von:

  • Der Schweregrad des Falls.
  • Der Verlauf des Risikos des Benutzers.
  • Die Risikorichtlinien der organization.

In einigen Situationen muss ein organization einen Fall an einen Benutzer oder eine Datenuntersuchung eskalieren. Auf diese Weise kann die organization mit anderen Geschäftsbereichen zusammenarbeiten und sich tiefer in Risikoaktivitäten vertiefen. Microsoft 365 integriert das Insider-Risikomanagement eng mit anderen Microsoft Purview-Lösungen, um Organisationen bei der End-to-End-Lösungsverwaltung zu unterstützen.

E-Mail-Benachrichtigung senden

In den meisten Fällen sind Benutzeraktionen, die Insider-Risikowarnungen erstellen, versehentlich oder versehentlich. Das Senden einer Erinnerungsbenachrichtigung an den Benutzer per E-Mail ist eine effektive Methode zum Dokumentieren der Fallüberprüfung und -aktion. Es ist auch eine Möglichkeit, Benutzer an Unternehmensrichtlinien zu erinnern oder sie auf das Auffrischen von Schulungen zu verweisen. Beachten Sie, dass Vorlagen, die Sie erstellen, Benachrichtigungen für Ihre Insider-Risikomanagement-Infrastruktur generieren.

Das System löst einen Fall nicht als Geschlossen auf, wenn Sie eine E-Mail-Benachrichtigung an einen Benutzer senden. In einigen Fällen möchte ein organization einen Fall offen lassen, nachdem er eine Benachrichtigung an einen Benutzer gesendet hat. Auf diese Weise kann der organization nach weiteren Risikoaktivitäten suchen, ohne einen neuen Fall zu eröffnen. Wenn ein organization einen Fall nach dem Senden einer Benachrichtigung lösen möchte, muss er nach dem Senden einer Benachrichtigung den Schritt Fall auflösen als Folgeschritt auswählen.

Führen Sie die folgenden Schritte aus, um eine Benachrichtigung an den Benutzer zu senden, der einem Fall zugewiesen ist:

  1. Wählen Sie im Microsoft Purview-Complianceportal im Navigationsbereich Insider-Risikomanagement aus.
  2. Wählen Sie auf der Seite Insider-Risikomanagement die Registerkarte Fälle aus.
  3. Wählen Sie auf der Registerkarte Fälle einen Fall aus. Wählen Sie dann in der Menüleiste die Schaltfläche E-Mail-Benachrichtigung senden aus.
  4. Wählen Sie im Dialogfeld E-Mail-Benachrichtigung senden das Dropdown-Steuerelement Benachrichtigungsvorlage auswählen aus, um die Benachrichtigungsvorlage für die Benachrichtigung auszuwählen. Diese Auswahl füllt die anderen Felder im Hinweis vorab aus.
  5. Überprüfen Sie die Benachrichtigungsfelder, und aktualisieren Sie sie nach Bedarf. Die hier eingegebenen Werte überschreiben die Werte in der Vorlage.
  6. Wählen Sie Senden aus, um die Benachrichtigung an den Benutzer zu senden. Oder wählen Sie Abbrechen aus, um das Dialogfeld zu schließen, ohne die Benachrichtigung an den Benutzer zu senden. Das System fügt alle gesendeten Benachrichtigungen der Warteschlange für Fallnotizen im Dashboard hinzu.

Eskalieren zur Untersuchung

Eskalieren Sie den Fall für die Benutzeruntersuchung in Situationen, in denen ein organization einer weiteren rechtlichen Überprüfung oder der Risikoaktivität des Benutzers bedarf. Diese Eskalation öffnet einen neuen Microsoft Purview-eDiscovery (Premium)-Fall im Microsoft 365-Mandanten des organization. eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Überprüfen, Analysieren und Exportieren von Inhalten, die auf die internen und externen rechtlichen Untersuchungen eines organization reagieren. Außerdem kann das Rechtsteam des Unternehmens den gesamten Workflow für Benachrichtigungen zur aufbewahrungsrechtlichen Aufbewahrung verwalten, um mit den an einem Fall beteiligten Verwahrern zu kommunizieren. Die Eskalation zu einem eDiscovery (Premium)-Fall aus einem Insider-Risikomanagementfall hilft dem Rechtsteam des organization, geeignete Maßnahmen zu ergreifen und die Aufbewahrung von Inhalten zu verwalten. Weitere Informationen zu eDiscovery (Premium)-Fällen finden Sie unter Übersicht über Microsoft Purview-eDiscovery (Premium).

So eskalieren Sie einen Fall an eine Benutzeruntersuchung:

  1. Wählen Sie im Microsoft Purview-Complianceportal im Navigationsbereich Insider-Risikomanagement aus.
  2. Wählen Sie auf der Seite Insider-Risikomanagement die Registerkarte Fälle aus.
  3. Wählen Sie auf der Registerkarte Fälle einen Fall aus. Wählen Sie dann auf der Menüleiste die Schaltfläche Zur Untersuchung eskalieren aus.
  4. Geben Sie im Dialogfeld Zur Untersuchung eskalieren einen Namen für die neue Benutzeruntersuchung ein. Geben Sie bei Bedarf Notizen zu dem Fall ein, und wählen Sie Eskalieren aus.
  5. Überprüfen Sie die Benachrichtigungsfelder, und aktualisieren Sie sie nach Bedarf. Die hier eingegebenen Werte überschreiben die Werte in der Vorlage.
  6. Wählen Sie Bestätigen aus, um den Fall der Benutzeruntersuchung zu erstellen. Oder wählen Sie Abbrechen aus, um das Dialogfeld zu schließen, ohne einen neuen Untersuchungsfall für Benutzer zu erstellen.

Nachdem Sie den Insider-Risikomanagementfall an einen neuen Untersuchungsfall für Benutzer eskaliert haben, können Ermittler und Risikoanalysen den neuen Fall überprüfen, indem sie zu eDiscovery und dann zum Bereich Erweitert im Microsoft Purview-Complianceportal navigieren.

Auflösen des Falls

Nachdem Risikoanalysten und Ermittler ihre Überprüfung und Untersuchung abgeschlossen haben, können Sie einen Fall lösen, um auf alle warnungen zu reagieren, die derzeit in dem Fall enthalten sind. Beheben eines Falls:

  • Fügt eine Auflösungsklassifizierung hinzu.
  • Ändert die Groß-/Kleinschreibung status in Geschlossen.
  • Fügt die Gründe für die Lösungsaktion der Warteschlange für Fallnotizen im Dashboard hinzu.

Sie können einen Fall folgendermaßen beheben:

  • Gutartig. Die Klassifizierung für Fälle, in denen Sie Warnungen mit Richtlinieneinstimmungen als risikoarm, unerkennlich oder falsch positiv bewerten.
  • Bestätigter Richtlinienverstoß. Die Klassifizierung für Fälle, in denen Sie Warnungen für Richtlinienabgleiche als riskant, schwerwiegend oder als Ergebnis einer böswilligen Absicht bewerten.

Führen Sie die folgenden Schritte aus, um einen Fall zu beheben:

  1. Wählen Sie im Microsoft Purview-Complianceportal im Navigationsbereich Insider-Risikomanagement aus.
  2. Wählen Sie auf der Seite Insider-Risikomanagement die Registerkarte Fälle aus.
  3. Wählen Sie auf der Registerkarte Fälle einen Fall aus. Wählen Sie dann auf der Menüleiste die Schaltfläche Groß-/Kleinschreibung auflösen aus.
  4. Wählen Sie im Dialogfeld Fall auflösen das Dropdown-Steuerelement Auflösen aus, um die Auflösungsklassifizierung für den Fall auszuwählen. Die Optionen sind "Gutartig" oder " Bestätigt".
  5. Geben Sie im Dialogfeld Groß-/Kleinschreibung auflösen die Gründe für die Auflösungsklassifizierung in das Textfeld Aktion ausgeführt ein .
  6. Wählen Sie Auflösen aus, um den Fall zu schließen. Oder wählen Sie Abbrechen aus, um das Dialogfeld zu schließen, ohne den Fall aufzulösen.