Freigeben über

Ergreifen von Maßnahmen bei Insider-Risikomanagement-Fällen

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Fälle sind der Kern des Insider-Risikomanagements. Sie ermöglichen es Ihnen, Probleme zu untersuchen und darauf zu reagieren, die Risikoindikatoren in Ihren Richtlinien generieren. Erstellen Sie Fälle manuell aus Warnungen, wenn Sie zusätzliche Schritte ausführen müssen, um ein Complianceproblem für einen Benutzer zu beheben. Jeder Fall konzentriert sich auf einen Benutzer, und Sie können mehrere Warnungen für diesen Benutzer zu einem vorhandenen Fall hinzufügen oder einen neuen Fall starten.

Nachdem Sie die Details eines Falls untersucht haben, können Sie folgende Maßnahmen ergreifen:

  • Senden einer Benachrichtigung an den Benutzer
  • Beheben des Falls als harmlos
  • Teilen des Falls mit Ihrem ServiceNow-instance oder einem E-Mail-Empfänger
  • Eskalieren des Falls für eine eDiscovery (Premium)-Untersuchung

Eine Übersicht darüber, wie Sie Fälle im Insider-Risikomanagement untersuchen und verwalten, finden Sie im Video Zur Untersuchung und Eskalation des Insider-Risikomanagements.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Fälle Dashboard

Tipp

Um Berichte für Fälle anzuzeigen, wechseln Sie zur Seite Berichte . Jedes Berichtswidget auf der Seite Berichte zeigt Informationen für die letzten 30 Tage an:

  • Aktive Fälle: Die Gesamtzahl der aktiven Fälle, die untersucht werden.
  • Fälle in den letzten 30 Tagen: Die Gesamtzahl der erstellten Fälle, sortiert nach aktivem und geschlossenem status.
  • Statistiken: Durchschnittliche Zeit der aktiven Fälle, aufgelistet in Stunden, Tagen oder Monaten.

Mit der Dashboard Insider-Risikomanagementfälle können Sie Fälle anzeigen und darauf reagieren. Die Fallwarteschlange listet alle aktiven und geschlossenen Fälle für Ihre organization zusammen mit den aktuellen status der folgenden Fallattribute auf:

  • Fall-ID: Die ID des Falls.
  • Fallname: Der Name des Falls, der definiert wird, wenn Sie eine Warnung bestätigen und den Fall erstellen.
  • Status: Die status des Falls, entweder Aktiv oder Geschlossen.
  • Benutzer: Der Benutzer für den Fall. Wenn Sie die Anonymisierung für Benutzernamen aktivieren, werden im Portal anonymisierte Informationen angezeigt.
  • Zeitfall geöffnet: Die Zeit, die verstreicht, seit der Fall geöffnet wird.
  • Gesamtanzahl von Richtlinienwarnungen: Die Anzahl der im Fall enthaltenen Richtlinieneinstimmungen. Diese Anzahl kann sich erhöhen, wenn Sie dem Fall neue Warnungen hinzufügen.
  • Zuletzt aktualisierter Fall: Die Zeit, die verstreicht, seit Sie eine Fallnotiz hinzufügen oder den Fallstatus ändern.
  • Zuletzt aktualisiert von: Der Name des Insider-Risikomanagement-Analysten oder -Ermittlers, der den Fall zuletzt aktualisiert hat.

Hinweis

Wenn Sie Ihre Richtlinien auf eine oder mehrere Verwaltungseinheiten beschränken, können Sie den Besitz an einem Fall nur Benutzern des Insider-Risikomanagements mit den entsprechenden Rollengruppenberechtigungen zuweisen. Der in der Warnung hervorgehobene Benutzer muss sich im Bereich der Verwaltungseinheit befinden. Wenn beispielsweise ein Verwaltungsbereich nur für Benutzer in Deutschland gilt, kann der Insider-Risikomanagement-Benutzer nur Warnungen für Benutzer in Deutschland sehen. Uneingeschränkte Administratoren können alle Fälle für alle Benutzer im organization anzeigen.

Verwenden Sie das Steuerelement Suchen , um nach einer Fall-ID zu suchen oder nach einem bestimmten Text in Fallnamen zu suchen. Verwenden Sie den Fallfilter, um Fälle nach den folgenden Attributen zu sortieren:

  • Status
  • Öffnung des Falls, Startdatum und Enddatum
  • Letzte Aktualisierung, Startdatum und Enddatum

Zuweisen eines Falls

Wenn Sie ein Administrator mit den entsprechenden Berechtigungen sind, können Sie sich selbst oder einem Insider-Risikomanagementbenutzer mit der Rolle Insider-Risikomanagement, Insider-Risikomanagementanalyst oder Insider-Risikomanagement-Prüfer den Besitz an einem Fall zuweisen. Nachdem Sie einen Fall zugewiesen haben, können Sie ihn einem Benutzer mit derselben Rolle erneut zuweisen. Sie können einen Fall jeweils nur einem Administrator zuweisen.

Wenn Sie einem Fall einen Administrator zuweisen, können Sie nach Administrator filtern.

Zuweisen eines Falls aus dem Dashboard

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie im Dashboard Fälle die Fälle aus, die Sie zuweisen möchten.
  5. Wählen Sie in der Befehlsleiste über der Warteschlange für Fälle die Option Zuweisen aus.
  6. Suchen Sie im Bereich Besitzer zuweisen auf der rechten Seite des Bildschirms nach einem Administrator mit den entsprechenden Berechtigungen, und aktivieren Sie dann das Kontrollkästchen für diesen Administrator.
  7. Wählen Sie Zuweisen aus.

Zuweisen eines Falls über die Detailseite "Fälle"

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus.
  5. Wählen Sie im Detailbereich für den Fall Zuweisen aus.
  6. Wählen Sie in der Liste Vorgeschlagene Kontakte den entsprechenden Administrator aus.

Filterfälle

Je nach Anzahl und Typ der aktiven Insider-Risikomanagement-Richtlinien in Ihrem organization kann die Überprüfung einer großen Warteschlange von Fällen eine Herausforderung darstellen. Mithilfe von Fallfiltern können Analysten und Ermittler Fälle nach mehreren Attributen sortieren. Um Warnungen für die Dashboard Fälle zu filtern, wählen Sie das Steuerelement Filter aus. Sie können Fälle nach einem oder mehreren Attributen filtern:

  • Status: Wählen Sie einen oder mehrere status Werte aus, um die Fallliste zu filtern. Die Optionen sind Aktiv und Geschlossen.
  • Zeitpunkt des Öffnens des Falls: Wählen Sie das Start- und Enddatum für den Zeitpunkt aus, an dem der Fall geöffnet wurde.
  • Letzte Aktualisierung: Wählen Sie das Start- und Enddatum für die Aktualisierung des Falls aus.

Filtern von Fällen, Speichern einer Ansicht eines Filtersatzes, Anpassen von Spalten oder Suchen nach Warnungen

Je nach Anzahl und Typ der aktiven Insider-Risikomanagement-Richtlinien in Ihrem organization kann die Überprüfung einer großen Warteschlange von Fällen eine Herausforderung darstellen. Damit Sie fälle besser nachverfolgen können, haben Sie folgende Möglichkeiten:

  • Filtern Sie Fälle nach verschiedenen Attributen.
  • Speichern Sie eine Ansicht eines Filtersatzes, um sie später wiederzuverwenden.
  • Spalten anzeigen oder ausblenden.
  • Suchen Sie nach einer Warnung.

Filterfälle

  1. Wählen Sie Filter hinzufügen aus.

  2. Wählen Sie eines oder mehrere der folgenden Attribute aus:

    Attribut Beschreibung
    Zugewiesen an Der Administrator, dem die Warnung für die Selektierung zugewiesen ist (sofern zugewiesen).
    Fall zuletzt aktualisiert Das Start- und Enddatum für den Zeitpunkt, an dem der Fall zuletzt aktualisiert wurde.
    Status Aktuelle status des Falls. Die Optionen sind Aktiv und Geschlossen.
    Zeitpunkt des Öffnens des Falls Das Start- und Enddatum für den Zeitpunkt, an dem der Fall geöffnet wurde.

    Auf der Filterleiste werden die attribute angezeigt, die Sie auswählen.

  3. Wählen Sie ein Attribut in der Filterleiste aus, und wählen Sie dann einen Wert aus, nach dem gefiltert werden soll. Wählen Sie beispielsweise das Attribut Datum der letzten Aktivität aus, geben Sie die Datumsangaben in die Felder Startdatum und Enddatum ein, oder wählen Sie sie aus, und wählen Sie dann Übernehmen aus.

    Tipp

    Um jederzeit von vorn zu beginnen, wählen Sie auf der Filterleiste alle zurücksetzen aus.

Speichern einer Ansicht eines Filtersatzes zur späteren Wiederverwendung

  1. Nachdem Sie die im vorherigen Verfahren beschriebenen Filter angewendet haben, wählen Sie auf der Filterleiste Speichern aus, geben Sie einen Namen für den Filtersatz ein, und wählen Sie dann Speichern aus.

    Der Filtersatz wird als Karte über der Filterleiste angezeigt. Sie enthält eine Zahl, die die Anzahl der Fälle angibt, die die Kriterien im Filtersatz erfüllen.

    Hinweis

    Sie können bis zu fünf Filtersätze speichern. Um einen Filtersatz zu löschen, wählen Sie die Auslassungspunkte (drei Punkte) in der oberen rechten Ecke des Karte und dann Löschen aus.

  2. Wenn Sie einen gespeicherten Filtersatz erneut anwenden möchten, wählen Sie die Karte für den Filtersatz aus.

Anzeigen oder Ausblenden von Spalten

  1. Wählen Sie auf der rechten Seite die Option Spalten anpassen aus.

  2. Aktivieren oder deaktivieren Sie die Kontrollkästchen für die Spalten, die Sie anzeigen oder ausblenden möchten.

Die Spalteneinstellungen werden sitzungs- und browserübergreifend gespeichert.

Suchen nach Warnungen

Verwenden Sie das Suchsteuerelement , um nach einem Benutzerprinzipalnamen (UPN), einem zugewiesenen Administratornamen oder einer Warnungs-ID zu suchen.

Untersuchen eines Falls

Eine eingehendere Untersuchung von Insider-Risikomanagement-Warnungen ist wichtig, um geeignete Korrekturmaßnahmen zu ergreifen. Insider-Risikomanagementfälle sind das zentrale Verwaltungstool, um den Verlauf von Benutzerrisikoaktivitäten, Warnungsdetails, die Abfolge von Risikoereignissen und die Inhalte und Nachrichten, die risiken ausgesetzt sind, genauer zu untersuchen. Risikoanalysten und Ermittler verwenden Fälle auch, um Rezensionsfeedback und -notizen zu zentralisieren und die Lösung von Fällen zu verarbeiten.

Wenn Sie einen Fall auswählen, werden die Fall-Verwaltungstool geöffnet. Diese ermöglichen es Analysten und Ermittlern, sich den Fall bis ins kleinste Detail anzeigen zu lassen.

Fallübersicht

Auf der Registerkarte Fallübersicht werden die Falldetails für Risikoanalysten und Ermittler zusammengefasst. Sie enthält die folgenden Informationen im Bereich Informationen zu diesem Fall :

  • Fall-ID: Die ID des Falls.
  • Status: Die aktuelle status des Falls, entweder Aktiv oder Geschlossen.
  • Fall erstellt am: Das Datum und die Uhrzeit der Erstellung des Falls.
  • Risikobewertung des Benutzers: Die aktuelle berechnete Risikostufe des Benutzers für den Fall. Das System berechnet diese Bewertung alle 24 Stunden und verwendet Warnungsrisikobewertungen aus allen aktiven Warnungen, die dem Benutzer zugeordnet sind. Wenn der Benutzer als potenzieller Benutzer mit hoher Auswirkung erkannt wird oder der Benutzer Mitglied einer prioritätsbasierten Benutzergruppe ist , ist der Risiko-Booster im Abschnitt"Richtlinienindikatoren " der Seite "Einstellungen für das Insider-Risikomanagement " aktiviert, enthält die Seite "Benutzerdetails " ausführliche Informationen zum berechneten Risikolevel des Benutzers.
  • Email: Der E-Mail-Alias des Benutzers für den Fall.
  • Organisation oder Abteilung: Die organization oder Abteilung, der der Benutzer zugewiesen ist.
  • Managername: Der Name des Vorgesetzten des Benutzers.
  • Manager-E-Mail: Der E-Mail-Alias des Vorgesetzten des Benutzers.

Details zum Insider-Risikomanagement

Die Registerkarte Fallübersicht enthält auch einen Abschnitt Warnungen , der die folgenden Informationen zu Richtlinienüberstimmungswarnungen enthält, die dem Fall zugeordnet sind:

  • Richtlinien-Übereinstimmungen: Der Name der Insider-Risikomanagement-Richtlinie, die den Übereinstimmungswarnungen für potenziell riskante Benutzeraktivitäten zugeordnet ist, die zu einem Sicherheitsvorfall führen können.
  • Status: Status der Warnung.
  • Schweregrad: Schweregrad der Warnung.
  • Erkannte Zeit: Die Zeit, die seit dem Generieren der Warnung vergangen ist.

Warnungen

Auf der Registerkarte Warnungen werden die aktuellen Warnungen zusammengefasst, die in dem Fall enthalten sind. Sie können einem vorhandenen Fall neue Warnungen hinzufügen. Wenn Sie neue Warnungen zuweisen, enthält die Warnungswarteschlange diese. Die Warteschlange listet die folgenden Warnungsattribute auf:

  • Warnung
  • Warnungs-ID
  • Status
  • Severity
  • Erkannte Zeit

Wählen Sie eine Warnung aus der Warteschlange aus, um die Seite Warnungsdetails anzuzeigen.

Verwenden Sie das Suchsteuerelement, um nach einer Warnungs-ID oder einem bestimmten Text in Warnungsnamen zu suchen. Verwenden Sie den Warnungsfilter, um Fälle nach den folgenden Attributen zu sortieren:

  • Status
  • Severity
  • Zeitpunkt der Erkennung, Startdatum und Enddatum

Verwenden Sie das Filtersteuerelement, um Warnungen nach verschiedenen Attributen zu filtern, einschließlich:

  • Status: Wählen Sie einen oder mehrere status Werte aus, um die Warnungsliste zu filtern. Die Optionen sind Bestätigt, Abgelehnt, Überprüfung erforderlich und Behoben.
  • Schweregrad: Wählen Sie einen oder mehrere Schweregrade des Warnungsrisikos aus, um die Warnungsliste zu filtern. Die Optionen sind Hoch, Moderat und Niedrig.
  • Uhrzeit erkannt: Wählen Sie das Start- und Enddatum für die Erstellung der Warnung aus.
  • Richtlinie: Wählen Sie eine oder mehrere Richtlinien aus, um die von den ausgewählten Richtlinien generierten Warnungen zu filtern.

Benutzeraktivität

Auf der Registerkarte Benutzeraktivität können Risikoanalysten und Ermittler Details zur Benutzeraktivität überprüfen. Es bietet eine visuelle Darstellung aller potenziell riskanten Aktivitäten im Zusammenhang mit Risikowarnungen und -fällen. Verwenden Sie diese Informationen, um zu ermitteln, ob diese riskanten Aktivitäten zu einem Sicherheitsvorfall führen können. Beispielsweise müssen Analysten im Rahmen des Warnungs selektierungsprozesses möglicherweise alle risikobehafteten Aktivitäten im Zusammenhang mit dem Fall überprüfen, um weitere Details zu erhalten. In Fällen können Risikoermittler Details zur Benutzeraktivität und das Blasendiagramm überprüfen, um den Gesamtumfang der risikobezogenen Aktivitäten im Zusammenhang mit dem Fall zu verstehen. Weitere Informationen zum Diagramm "Benutzeraktivität" finden Sie im Artikel Aktivitäten des Insider-Risikomanagements .

Aktivitäts-Explorer (Vorschau)

Auf der Registerkarte Aktivitäts-Explorer können Risikoanalysten und Ermittler Details zur Fallaktivität im Zusammenhang mit Risikowarnungen überprüfen. Beispielsweise müssen Ermittler und Analysten im Rahmen der Fallmanagementaktionen möglicherweise alle risikobehafteten Aktivitäten im Zusammenhang mit dem Fall überprüfen, um weitere Details zu erhalten. Mit dem Aktivitäts-Explorer können Prüfer schnell eine Zeitleiste erkannter potenziell riskanter Aktivitäten untersuchen und alle Risikoaktivitäten im Zusammenhang mit Warnungen identifizieren und filtern.

Weitere Informationen zum Aktivitäts-Explorer finden Sie im Artikel Aktivitäten des Insider-Risikomanagements .

Forensische Beweise

Auf der Registerkarte Forensische Beweise können Risikoermittler visuelle Erfassungen im Zusammenhang mit Risikoaktivitäten überprüfen, die in Fällen enthalten sind. Beispielsweise müssen Ermittler im Rahmen der Fallverwaltungsaktionen möglicherweise dazu beitragen, den Kontext der zu überprüfenden Benutzeraktivität zu klären. Das Anzeigen der tatsächlichen Clips der Aktivität kann dem Prüfer dabei helfen, festzustellen, ob die Benutzeraktivität potenziell riskant ist und zu einem Sicherheitsvorfall führen kann.

Weitere Informationen zu forensischen Beweisen finden Sie im Artikel Informationen zu forensischen Beweisen für insider-Risikomanagement .

Inhalts-Explorer

Auf der Registerkarte Inhalts-Explorer können Risikoermittler Kopien aller einzelnen Dateien und E-Mail-Nachrichten überprüfen, die Risikowarnungen zugeordnet sind. Wenn beispielsweise eine Warnung erstellt wird, wenn ein Benutzer Hunderte von Dateien aus SharePoint Online herunterlädt und die Aktivität eine Richtlinienwarnung auslöst, erfasst der Fall alle heruntergeladenen Dateien für die Warnung und kopiert sie aus den ursprünglichen Speicherquellen in den Fall Insider-Risikomanagement.

Der Inhalts-Explorer ist ein leistungsstarkes Tool mit einfachen und erweiterten Such- und Filterfunktionen. Weitere Informationen zur Verwendung des Inhalts-Explorers finden Sie unter Insider Risk Management Content Explorer.

Inhalts-Explorer für Insider-Risikomanagement.

Fallnotizen

Risikoanalysten und Ermittler verwenden die Registerkarte "Fallnotizen " in einem Fall, um Kommentare, Feedback und Erkenntnisse über ihre Arbeit für den Fall zu teilen. Notizen sind permanente Ergänzungen zu einem Fall. Nachdem Sie eine Notiz gespeichert haben, können Sie sie nicht mehr bearbeiten oder löschen. Wenn Sie einen Fall aus einer Warnung erstellen, werden die Kommentare, die Sie im Dialogfeld Warnung bestätigen und Insider-Risikofall erstellen eingeben, automatisch zu einer Fallnotiz.

Die Fallnotizen Dashboard zeigen Notizen des Benutzers, der die Notiz erstellt hat, sowie die Zeit, die seit dem Speichern der Notiz verstreicht. Um das Textfeld für die Fallnotiz nach einem bestimmten Schlüsselwort (keyword) zu durchsuchen, verwenden Sie Die Suche für den Fall Dashboard, und geben Sie einen bestimmten Schlüsselwort (keyword) ein.

Hinzufügen einer Fallnotiz

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall und dann die Registerkarte Fallnotizen aus.
  5. Wählen Sie Fallnotiz hinzufügen aus.
  6. Geben Sie im Dialogfeld Fallnotiz hinzufügen die Notiz ein.
  7. Wählen Sie Speichern aus, um die Notiz zum Fall hinzuzufügen.

Mitwirkende

Auf der Registerkarte Mitwirkendekönnen Risikoanalysten und Ermittler weitere Mitwirkende zu dem Fall hinzufügen. Standardmäßig werden alle Benutzer, denen die Rollen Insider-Risikomanagementermittler und Insider-Risikomanagement zugewiesen sind, als Mitwirkende für jeden aktiven und geschlossenen Fall aufgeführt.

Sie können temporären Zugriff auf einen Fall gewähren, indem Sie einen Benutzer als Mitwirkender hinzufügen, jedoch mit den folgenden Einschränkungen:

  • Analysten und Ermittler können Mitwirkende hinzufügen.
  • Sie können keine Analysten als Mitwirkende hinzufügen.
  • Mitwirkende können keine Mitwirkenden hinzufügen.

Mitwirkende haben die gesamte Fallverwaltungssteuerung für den jeweiligen Fall mit Ausnahme von:

  • Berechtigung zum Bestätigen oder Schließen von Warnungen.
  • Berechtigung zum Bearbeiten der Mitwirkenden für Fälle.

Hinzufügen einer Mitwirkender zu einem Fall

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall und dann die Registerkarte Mitwirkende aus.
  5. Wählen Sie Mitwirkender hinzufügen aus.
  6. Beginnen Sie im Dialogfeld Mitwirkender hinzufügen mit der Eingabe des Namens des Benutzers, den Sie hinzufügen möchten, und wählen Sie dann den Benutzer aus der Liste der vorgeschlagenen Benutzer aus. Diese Liste stammt aus der Microsoft Entra-ID Ihres Mandantenabonnements.
  7. Wählen Sie Hinzufügen aus, um den Benutzer als Mitwirkender hinzuzufügen.

Fallmaßnahmen

Risikoermittler können in einer von mehreren Methoden maßnahmen ergreifen, abhängig von der Schwere des Falls, dem Verlauf des Risikos des Benutzers und den Risikorichtlinien Ihrer organization. In einigen Situationen müssen Sie einen Fall möglicherweise an einen Benutzer oder eine Datenuntersuchung eskalieren, um mit anderen Bereichen Ihrer organization zusammenzuarbeiten und tiefer in Risikoaktivitäten einzutauchen. Insider-Risikomanagement ist eng in andere Microsoft Purview-Lösungen integriert, um Sie bei der End-to-End-Lösungsverwaltung zu unterstützen.

E-Mail-Benachrichtigung senden

In den meisten Fällen sind Benutzeraktionen, die Insider-Risikowarnungen erstellen, versehentlich oder versehentlich. Das Senden einer Erinnerungsbenachrichtigung an den Benutzer per E-Mail ist eine effektive Methode zum Dokumentieren der Fallüberprüfung und -aktion. Diese Methode erinnert Benutzer an Unternehmensrichtlinien oder weist sie auf ein Auffrischungstraining hin. Sie generieren Benachrichtigungen aus Hinweisvorlagen, die Sie für Ihre Insider-Risikomanagement-Infrastruktur erstellen.

Denken Sie daran, dass das Senden einer E-Mail-Benachrichtigung an einen Benutzer den Fall nicht als Geschlossen löst. In einigen Fällen möchten Sie einen Fall nach dem Senden einer Benachrichtigung an einen Benutzer offen lassen, um nach weiteren Risikoaktivitäten zu suchen, ohne einen neuen Fall zu öffnen. Wenn Sie einen Fall nach dem Senden einer Benachrichtigung lösen möchten, wählen Sie Fall auflösen als Folgeschritt nach dem Senden einer Benachrichtigung aus.

Senden einer Benachrichtigung an den Benutzer, der einem Fall zugewiesen ist

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall und dann auf der Symbolleiste der Fallaktion die Option E-Mail-Benachrichtigung senden aus.
  5. Wählen Sie im Dialogfeld E-Mail-Benachrichtigung senden das Dropdown-Steuerelement Benachrichtigungsvorlage auswählen aus, um die Benachrichtigungsvorlage für die Benachrichtigung auszuwählen. Diese Auswahl füllt die anderen Felder im Hinweis vorab aus.
  6. Überprüfen Sie die Benachrichtigungsfelder, und aktualisieren Sie sie nach Bedarf. Die von Ihnen eingegebenen Werte setzen die Werte in der Vorlage außer Kraft.
  7. Wählen Sie Senden aus, um die Benachrichtigung an den Benutzer zu senden. Alle gesendeten Benachrichtigungen werden der Warteschlange für Fallnotizen im Dashboard "Fallnotizen" hinzugefügt.

Eskalieren zur Untersuchung

Eskalieren Sie den Fall für eine Benutzeruntersuchung, wenn Sie eine zusätzliche rechtliche Überprüfung für die Risikoaktivität des Benutzers benötigen. Diese Eskalation öffnet einen neuen Microsoft Purview-eDiscovery (Premium)-Fall in Ihrem Microsoft 365-organization. eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Überprüfen, Analysieren und Exportieren von Inhalten, die auf die internen und externen rechtlichen Untersuchungen Ihres Unternehmens reagieren. Außerdem kann Ihr Rechtsteam den gesamten Benachrichtigungs-Workflow einsehen, der für juristische Zwecke aufbewahrt wurde, und so mit den an einem Fall beteiligten Verwahrern kommunizieren. Die Eskalation zu einem eDiscovery (Premium)-Fall aus einem Insider-Risikomanagement-Fall hilft Ihrem Rechtsteam, geeignete Maßnahmen zu ergreifen und die Aufbewahrung von Inhalten zu verwalten. Weitere Informationen zu eDiscovery (Premium)-Fällen finden Sie unter Übersicht über Microsoft Purview-eDiscovery (Premium).

Eskalieren eines Falls an eine Benutzeruntersuchung

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus, und wählen Sie dann auf der Symbolleiste der Fallaktion die Option Zur Untersuchung eskalieren aus.
  5. Geben Sie im Dialogfeld Zur Untersuchung eskalieren einen Namen für die neue Benutzeruntersuchung ein. Geben Sie bei Bedarf Notizen zum Fall ein, und wählen Sie dann Eskalieren aus.
  6. Überprüfen Sie die Benachrichtigungsfelder, und aktualisieren Sie sie nach Bedarf. Die von Ihnen eingegebenen Werte setzen die Werte in der Vorlage außer Kraft.
  7. Wählen Sie Bestätigen aus, um den Fall der Benutzeruntersuchung zu erstellen.

Nachdem Sie den Insider-Risikomanagement-Fall an einen neuen Untersuchungsfall für Benutzer eskaliert haben, können Sie den neuen Fall im Bereich eDiscovery>Advanced im Microsoft Purview-Portal überprüfen.

Ausführen automatisierter Aufgaben mit Power Automate-Flows für den Fall

Mithilfe empfohlener Power Automate-Flows können Risikoermittler und Analysten schnell Maßnahmen ergreifen, um Folgendes zu tun:

  • Fordern Sie Informationen von hr oder business zu einem Benutzer in einem Insider-Risikofall an.
  • Benachrichtigen Sie den Manager, wenn ein Benutzer über eine Insider-Risikowarnung verfügt.
  • Erstellen Sie einen Datensatz für einen Insider-Risikomanagement-Fall in ServiceNow.
  • Benachrichtigen Sie Benutzer, wenn sie einer Insider-Risikorichtlinie hinzugefügt werden.

So führen Sie Power Automate-Flows für einen Insider-Risikomanagementfall aus, verwalten oder erstellen sie:

  1. Wählen Sie auf der Symbolleiste der Fallaktion die Option Automatisieren aus.
  2. Wählen Sie den auszuführenden Power Automate-Flow und dann Flow ausführen aus.
  3. Wählen Sie nach Abschluss des Flows Fertig aus.

Weitere Informationen zu Power Automate-Flows für das Insider-Risikomanagement finden Sie unter Erste Schritte mit Insider-Risikomanagementeinstellungen.

Anzeigen oder Erstellen eines Microsoft Teams-Teams für den Fall

Wenn Sie die Microsoft Teams-Integration für das Insider-Risikomanagement in den Einstellungen aktivieren, erstellt die Lösung jedes Mal automatisch ein Microsoft Teams-Team, wenn Sie eine Warnung bestätigen und einen Fall erstellen. Risikoermittler und Analysten können Microsoft Teams schnell öffnen und direkt zum Team für einen Fall navigieren, indem sie auf der Symbolleiste für die Fallaktion die Option Microsoft Teams-Team anzeigen auswählen.

Für Fälle, die Sie vor dem Aktivieren der Microsoft Team-Integration öffnen, können Risikoermittler und Analysten ein neues Microsoft Teams-Team für einen Fall erstellen, indem Sie auf der Symbolleiste für Fallaktionen die Option Microsoft Teams-Team erstellen auswählen.

Wenn Sie einen Fall lösen, archiviert die Lösung automatisch das zugeordnete Microsoft-Team (blendet es aus und schaltet es in schreibgeschützt um).

Weitere Informationen zu Microsoft Teams für Insider-Risikomanagement finden Sie unter Erste Schritte mit den Einstellungen für das Insider-Risikomanagement.

Auflösen des Falls

Nachdem Risikoanalysten und Ermittler ihre Überprüfung und Untersuchung abgeschlossen haben, lösen Sie einen Fall, um auf alle warnungen zu reagieren, die derzeit in dem Fall enthalten sind. Durch das Auflösen eines Falls wird eine Lösungsklassifizierung hinzugefügt, der Fall status in Geschlossen geändert, und die Gründe für die Lösungsaktion werden automatisch der Warteschlange für Fallnotizen im Dashboard "Fallnotizen" hinzugefügt. Lösen Sie Fälle wie die folgenden:

  • Gutartig: Die Klassifizierung für Fälle, in denen Warnungen zur Richtlinieneinstimmung als risikoarm, nicht schwerwiegend oder falsch positiv bewertet werden.
  • Bestätigter Richtlinienverstoß: Die Klassifizierung für Fälle, in denen Warnungen für Richtlinienabgleiche als riskant, schwerwiegend oder als Ergebnis böswilliger Absichten bewertet werden.

Beheben eines Falls

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
  2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
  3. Wählen Sie im linken Navigationsbereich Fälle aus.
  4. Wählen Sie einen Fall aus, und wählen Sie dann auf der Symbolleiste für die Fallaktion die Option Groß-/ Kleinschreibung auflösen aus.
  5. Wählen Sie im Dialogfeld Fall auflösen das Dropdown-Steuerelement Als Auflösen aus, um die Auflösungsklassifizierung für den Fall auszuwählen. Die Optionen sind "Gutartig" oder " Bestätigt".
  6. Geben Sie im Dialogfeld Fall auflösen die Gründe für die Auflösungsklassifizierung in das Textfeld Aktion ausgeführt ein .
  7. Wählen Sie Auflösen aus, um den Fall zu schließen.
  • Last updated on