Freigeben über

Grenzwerte im Insider-Risikomanagement

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

In diesem Artikel werden die Grenzwerte in Microsoft Purview Insider Risk Management beschrieben.

Globale Einstellungen

Element Grenze
Einschränkungen für Den Lookbackzeitraum (Exchange Online). 10 Tage
Lookbackzeitraumslimits für alle anderen Signale. 90 Tage
Maximale Anzahl benutzerdefinierter Indikatoren. 10
Maximale Anzahl von Feldern pro benutzerdefiniertem Indikator. 20
Maximale Anzahl von Elementen in einer Erkennungsgruppe 200
Maximale Anzahl von Elementen in jeder globalen Ausschlussliste (Domänen, SharePoint-Websites, Dateipfade, Schlüsselwörter und Dateitypen). 500 für jede Liste
Maximale Anzahl von Benutzern, die Sie einer Prioritätsbenutzergruppe hinzufügen können. 10,000
Maximale Anzahl von Varianten pro Indikator. 3

Trigger (pro UTC-Kalendertag)

Element Grenze
Benutzerdefinierte Indikatoren 15.000
Alle anderen Trigger 5,000
Alle über den HR-Connector erfassten Signale 15.000
Maximale Triggerlautstärke für eine organization 50.000
Benutzerkonto aus Microsoft Entra ID gelöscht 15.000

Hinweis

Für jeden einzelnen Triggertyp gelten Einschränkungen.

Maximale Anzahl von Benutzern im Bereich einer Richtlinienvorlage

Vorlagenname Grenze
Datenlecks durch prioritäre Benutzer 1,000
Datenlecks durch riskante Benutzer 7.500
Datenlecks 15.000
Datendiebstahl durch ausscheidende Benutzer 20,000
Forensische Beweise Unbegrenzt
Missbrauch von Patientendaten (Vorschau) 5,000
Riskante KI-Nutzung 10,000
Riskante Browsernutzung (Vorschau) 7,000
Verstöße gegen Sicherheitsrichtlinien durch ausscheidende Benutzer 15.000
Verstöße gegen Sicherheitsrichtlinien durch prioritäre Benutzer 1,000
Verstöße gegen Sicherheitsrichtlinien durch riskante Benutzer 7.500
Verstöße gegen Sicherheitsrichtlinien 1,000

Hinweis

Sie können einer Richtlinie eine beliebige Anzahl von Benutzern hinzufügen. Der Grenzwert gilt für Benutzer im Bereich einer Richtlinienvorlage (Benutzer, die nach einem auslösenden Ereignis in den Bereich gebracht werden).

Andere Richtliniengrenzwerte

Element Grenze
Maximale Anzahl von Richtlinien, die Sie pro Vorlagentyp erstellen können. 100
Maximale Anzahl von Prioritätsdateierweiterungen. 50
Maximale Anzahl vertraulicher Informationstypen mit Priorität. 50
Maximale Anzahl von Vertraulichkeitsbezeichnungen für Priorität. 50
Maximale Anzahl von Websites mit Priorität. 50
Maximale Anzahl trainierbarer Klassifizierer mit Priorität. 5

Hinweis

In der Spalte Benutzer im Bereich auf der Registerkarte Richtlinien wird die Anzahl der eingeschlossenen Benutzer für eine Richtlinie angezeigt.

Adaptiver Schutz

Element Grenze
Maximale Anzahl von Benutzern, die Sie in eine DLP-Richtlinie (Data Loss Prevention, Verhinderung von Datenverlust) für jede Risikostufe einschließen können. 10,000

Manuelle Benutzerbewertung

Element Grenze
Maximale Anzahl von Benutzern, die Manuell bewertet werden können. 4.000

Fällen

Element Grenze
Maximale Anzahl aktiver Fälle. 100

Exportieren

Element Grenze
Maximale Anzahl von Warnungen, die Sie über die Seite Warnungen exportieren können. 1,000
Maximale Anzahl von Protokollen, die Sie aus dem Aktivitäts-Explorer in eine CSV-Datei exportieren können. 100.000
Maximale Anzahl von Benutzern, die Sie von der Seite Benutzer exportieren können. 1,000

Aufbewahrungsgrenzwerte für Warnungen, Fälle und zugehörige Artefakte

Mit zunehmendem Alter von Warnungen des Insider-Risikomanagements nimmt ihr Wert zur Minimierung potenziell riskanter Aktivitäten für die meisten Organisationen ab. Umgekehrt sind aktive Fälle und zugehörige Artefakte (Warnungen, Erkenntnisse, Aktivitäten) für Organisationen immer wertvoll und sollten kein automatisches Ablaufdatum aufweisen. Dieser Wert enthält alle zukünftigen Warnungen und Artefakte in einer aktiven status für jeden Benutzer, der einem aktiven Fall zugeordnet ist.

Um die Anzahl älterer Elemente zu minimieren, die einen begrenzten aktuellen Wert bieten, gelten die folgenden Aufbewahrungsgrenzwerte für Insider-Risikomanagement-Warnungen, -Fälle und -Benutzerberichte:

Element Aufbewahrungszeitraum
Aktive Fälle (und zugehörige Artefakte) Unbegrenzte Aufbewahrung, läuft nie ab.
Warnungen mit "Bedarfsüberprüfung" oder "Verworfen" status 120 Tage nach der Erstellung der Warnung und dann automatisch gelöscht.
Behobene Fälle (und zugehörige Artefakte) 120 Tage nach der Fallbehebung und dann automatisch gelöscht.
Berichte zu Benutzeraktivitäten 120 Tage nach erstellung des Berichts und dann automatisch gelöscht.

Connectors

Element Grenze
Maximale Anzahl von Datensätzen in der JSON-Datei, die die API verarbeitet 50.000
  • Last updated on