Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Datenrisikodiagramme im Insider-Risikomanagement bieten eine visuelle Untersuchungserfahrung, die Ressourcen- und Aktivitätsdaten in einer einzigen Ansicht kombiniert. Unterstützt durch Microsoft Sentinel Integration fasst es warnungsbezogene Aktivitäten eines potenziellen Insiders in den letzten 30 Tagen zusammen und hilft Analysten dabei, Warnungen zu selektieren, indem sie ausgeblendete kontextbezogene Verbindungen aufdecken.
Weitere Informationen zur integration von Microsoft Sentinel finden Sie unter Informationen zu Microsoft Sentinel in Microsoft Purview.
Wichtig
Sie können dieses Feature nicht verwenden, wenn die Datenschutzeinstellung für anonymisierte Benutzernamen aktiviert ist. Wenn Sie anonymisierte Benutzernamen haben, wird das Diagramm nicht geladen.
Hinweis
Admin Einheiten werden im Datenrisikodiagramm nicht unterstützt. Wenn Sie auf eine Administratoreinheit festgelegt sind, werden daten nicht in Datenrisikodiagrammen angezeigt.
Unterstützte Aktivitäten im Datenrisikodiagramm
Das Datenrisikodiagramm unterstützt derzeit die folgenden Exfiltrationsaktivitäten:
- In SharePoint oder OneDrive erstellte anonyme Links
- Anonyme Links, die über SharePoint oder OneDrive verwendet werden
- In SharePoint oder OneDrive erstellte Unternehmenslinks
- Dateidownloads von SharePoint und OneDrive
- Dateien in SharePoint und OneDrive umbenannt
Weitere Informationen zu Erkennungsindikatoren für exfiltration finden Sie unter Konfigurieren von Richtlinienindikatoren im Insider-Risikomanagement.
Bevor Sie beginnen
Bevor Sie Datenrisikodiagramme im Insider-Risikomanagement verwenden können, führen Sie die folgenden Schritte aus:
- Erfahren Sie mehr über die nutzungsbasierte Abrechnung in Microsoft Sentinel für Ihre organization.
- Konfigurieren der Voraussetzungen für Microsoft Sentinel Data Lake und Microsoft Sentinel Graph
- Überprüfen der Änderungen, die beim Onboarding in Microsoft Sentinel Data Lake und Microsoft Sentinel Graph vorgenommen wurden
- Konfigurieren Sie mindestens eine Insider-Risikomanagement-Richtlinie für unterstützte Datenexfiltrationsaktivitäten.
Konfigurieren des Datenrisikodiagramms
Wichtig
Sie verfügen immer über einen Data Lake. Wenn Sie bereits ein Onboarding für den Data Lake mit einem anderen Microsoft-Dienst ausgeführt haben, wird Ihr vorhandener Data Lake verwendet. Wenn Sie das Onboarding für den Data Lake nie ausgeführt haben, ermöglicht das Onboarding in Insider-Risikomanagement Microsoft Sentinel Data Lake und Graph im Defender-Portal.
Nachdem Sie die Voraussetzungen erfüllt und sich mit den Änderungen vertraut machen, die Microsoft Sentinel Data Lake und Graph an Ihrem organization vornehmen, führen Sie die folgenden Schritte aus, um das Datenrisikodiagramm im Insider-Risikomanagement zu konfigurieren:
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Wechseln Sie zum Microsoft Purview-Portal mit einem Konto, dem die Rolle "Globaler Administrator " oder "Sicherheitsadministrator " zugewiesen ist.
Wählen Sie die Insider-Risikomanagement-Lösung Karte und dann im linken Navigationsbereich Empfohlene Aktionen aus.
Wählen Sie im Abschnitt Umfassender Schutz die Option Data Lake und Datenrisikodiagramm einrichten aus.
Wenn Sie nicht über die richtigen Berechtigungen zum Einrichten des Data Lake verfügen, wird eine Benachrichtigung angezeigt, um sich an einen globalen Oder Abrechnungsadministrator in Ihrem organization zu wenden.
Konfigurieren Sie auf der Registerkarte Setup unter Data Lake & Risikodiagramm einrichten die folgenden Einstellungen:
- Abonnement: Geben Sie das Azure Abonnement ein, das Sie verwenden möchten. Ihr ausgewähltes Abonnement muss gültig und zugänglich sein, und Sie müssen der Abonnementbesitzer sein.
- Ressourcengruppe: Geben Sie die Ressourcengruppe ein, die Sie verwenden möchten. Ihre ausgewählte Ressourcengruppe muss gültig und zugänglich sein.
Wichtig
Nachdem der Data Lake für ein bestimmtes Azure Abonnement und ressourcengruppe bereitgestellt wurde, können Sie ihn nicht zu einem anderen Abonnement oder einer anderen Ressourcengruppe migrieren.
Wählen Sie Setupaus.
Der Einrichtungsprozess beginnt, und das Onboarding kann bis zu 60 Minuten dauern. Sie können den Setupbereich schließen, während der Prozess ausgeführt wird. Nach Abschluss des Onboardingprozesses wird unter Einrichten von Data Lake & Risikodiagramm abgeschlossen angezeigt. Das Datenrisikodiagramm zeigt Ereignisse an, die auftreten, nachdem Ihr Microsoft Sentinel Data Lake erstellt oder integriert wurde.
Die Erstverarbeitung der Daten und die Verfügbarkeit des Datenrisikodiagramms für eine Untersuchung kann 24 bis 48 Stunden dauern.
Wichtig
Wenn das Datenrisikodiagramm zum ersten Mal erstellt wird, enthält es die daten der letzten sieben Tage. Wenn das Datenrisikodiagramm im Laufe der Zeit aktualisiert wird, wird das Look-Back-Fenster auf maximal 30 Tage erweitert. Es kann einige Zeit dauern, bis das Datenrisikodiagramm das gesamte 30-Tage-Zeitfenster erreicht hat. Erwarten Sie daher nach der ersten Einrichtung ein allmähliches Wachstum.
Verwenden eines Datenrisikodiagramms
Das Datenrisikodiagramm im Insider-Risikomanagement visualisiert die Korrelationen zwischen betroffenen Daten, Benutzern und ihren Aktivitäten eindeutig. Es bietet kritischen Kontext, um die Entschärfung und die nächsten Schritte zu steuern. Wenn Sie z. B. eine Warnung im Zusammenhang mit einem hochsensiblen Dokument aufdecken, erhalten Sie mithilfe von Datenrisikodiagrammen Einen Überblick darüber, welche Benutzer es heruntergeladen haben oder ob sie von einer riskanten IP-Adresse darauf zugegriffen haben. Durch diese Sichtbarkeit können Sie neue Knoten für einen Datensicherheitsvorfall aufdecken, z. B. zusätzliche Benutzer oder neue Inhalte im Zusammenhang mit einer Warnung.
Um das Datenrisikodiagramm für eine Warnung anzuzeigen, muss Ihnen die Rolle Insider Risk Management Graph Reader zugewiesen werden. Diese Rolle ist standardmäßig in mehreren integrierten Rollengruppen des Insider-Risikomanagements enthalten. Weitere Informationen finden Sie unter Zuweisen von Berechtigungen im Insider-Risikomanagement.
Wichtig
Alle Benutzernamen sind im Datenrisikodiagramm sichtbar, auch wenn die Pseudonymisierung in den Datenschutzeinstellungen des Insider-Risikomanagements aktiviert ist.
Führen Sie die folgenden Schritte aus, um das Datenrisikodiagramm im Insider-Risikomanagement zu verwenden:
- Wechseln Sie zum Microsoft Purview-Portal mit einem Konto, dem die Rolle Insider Risk Management Graph Reader zugewiesen ist.
- Wählen Sie die Lösung Insider-Risikomanagement Karte und dann im linken Navigationsbereich Warnungen aus.
- Wählen Sie eine Warnung aus, die überprüft werden soll, und wählen Sie dann die Registerkarte Datenrisikodiagramm aus.
- Filtern Sie die Uhrzeit nach Bedarf, und wählen Sie einzelne Diagrammknoten für Das Datenrisiko aus, um weitere Informationen zu den einzelnen Verbindungen während der Selektierung zu finden.
- Erweitern Sie beziehungen im Diagramm, indem Sie das Symbol + für Benutzer oder Ressourcen auswählen.
Das Datenrisikodiagramm enthält mehrere Knoten. Wenn Sie einen Knoten auswählen, werden Details zum Knoten angezeigt:
- Benutzerdetails: Zeigt Informationen zu Benutzern an, die der Warnung zugeordnet sind. Diese Informationen umfassen organization Informationen für jeden Benutzer, einschließlich Benutzerprinzipalname (USER Principal Name, UPN), Bezeichnungen, Standort, Position und mehr.
- Datendetails: Zeigt Informationen zu Dateien und Websites an. Diese Informationen umfassen die Objektposition, den Typ, die Bezeichnungen und vieles mehr.
Sie können Datenrisikodiagramminformationen für Benutzer basierend auf den Aktivitäten der letzten 30 Tage anzeigen. Diese feste Dauer kann nicht verlängert werden.