Planen des Insider-Risikomanagements

Bevor Sie mit Insider Risk Management in Ihrem organization beginnen, sollten Sie wichtige Planungsaktivitäten und Überlegungen mit Ihren It- und Compliance-Managementteams überprüfen. Ein gründliches Verständnis und eine gründliche Planung der Bereitstellung in den folgenden Bereichen tragen dazu bei, dass Ihre Implementierung und Verwendung von Insider-Risikomanagement-Features reibungslos verläuft und den bewährten Methoden entspricht.

Weitere Informationen und eine Übersicht über den Planungsprozess zur Bewältigung riskanter Aktivitäten in Ihrem organization finden Sie unter Starten eines Insider-Risikomanagementprogramms.

Sehen Sie sich das folgende Video an, um zu erfahren, wie der Insider-Risikomanagement-Workflow Ihrem organization dabei helfen kann, Risiken zu verhindern, zu erkennen und einzudämmen und gleichzeitig Ihre organization Werte, Kultur und Benutzererfahrung zu priorisieren:

Sehen Sie sich das Microsoft Mechanics-Video zur Zusammenarbeit von Insider-Risikomanagement und Kommunikationscompliance an, um Datenrisiken von Benutzern in Ihrem organization zu minimieren.

Zusammenarbeit mit Projektbeteiligten in Ihrem organization

Identifizieren Sie die geeigneten Projektbeteiligten in Ihrem organization zusammenarbeiten, um Maßnahmen an Warnungen und Fällen des Insider-Risikomanagements zu ergreifen. Erwägen Sie, die folgenden Bereiche Ihrer organization in die anfängliche Planung und den End-to-End-Workflow für Insider-Risikomanagement einzubeziehen:

• Informationstechnologie
• Compliance
• Datenschutz
• Sicherheit
• Personalwesen
• Rechtliche Hinweise

Bestimmen regionaler Complianceanforderungen

In verschiedenen geografischen und organisatorischen Bereichen gelten möglicherweise Compliance- und Datenschutzanforderungen, die sich von anderen Bereichen Ihrer organization unterscheiden. Arbeiten Sie mit den Beteiligten in diesen Bereichen zusammen, um sicherzustellen, dass sie die Compliance- und Datenschutzkontrollen im Insider-Risikomanagement verstehen und wie sie in verschiedenen Bereichen Ihrer organization verwendet werden können. In einigen Szenarien erfordern Compliance- und Datenschutzanforderungen möglicherweise Richtlinien, die bestimmte Projektbeteiligte auf der Grundlage des Falls für einen Benutzer oder gesetzliche oder Richtlinienanforderungen für den Bereich festlegen oder daran hindern, Untersuchungen und Fälle durchzuführen.

Wenn Sie anforderungen haben, dass bestimmte Projektbeteiligte an Falluntersuchungen beteiligt werden müssen, die Benutzer in bestimmten Regionen, Rollen oder Abteilungen einbeziehen, sollten Sie die Implementierung separater (auch wenn identischer) Insider-Risikomanagement-Richtlinien in Betracht ziehen, die auf die verschiedenen Regionen und Bevölkerungsgruppen ausgerichtet sind. Diese Konfiguration erleichtert es den richtigen Projektbeteiligten, Fälle zu selektieren und zu verwalten, die für ihre Rollen und Regionen relevant sind. Erwägen Sie das Erstellen von Prozessen und Richtlinien für Regionen, in denen Ermittler und Prüfer die gleiche Sprache wie die Benutzer sprechen. Dieser Ansatz kann dazu beitragen, den Eskalationsprozess für Insider-Risikomanagement-Warnungen und -Fälle zu optimieren.

Planen von Berechtigungen zur Unterstützung des Überprüfungs- und Untersuchungsworkflows

Je nachdem, wie Sie Richtlinien und Warnungen für das Insider-Risikomanagement verwalten möchten, weisen Sie Benutzer bestimmten Rollengruppen zu, um verschiedene Sätze von Insider-Risikomanagement-Features zu verwalten. Sie können Benutzer mit unterschiedlichen Compliance-Zuständigkeiten bestimmten Rollengruppen zuweisen, um verschiedene Bereiche der Insider-Risikomanagement-Features zu verwalten. Oder weisen Sie der Rollengruppe Insider-Risikomanagement alle Benutzerkonten für designierte Administratoren, Analysten, Ermittler und Zuschauer zu. Weitere Informationen finden Sie unter Zuweisen von Insider-Risikomanagement-Berechtigungen.

Grundlegendes zu Anforderungen und Abhängigkeiten

Je nachdem, wie Sie Insider-Risikomanagementrichtlinien implementieren möchten, benötigen Sie die richtigen Microsoft 365-Lizenzierungsabonnements. Außerdem müssen Sie einige Lösungsvoraussetzungen verstehen und planen.

Zulassung: Microsoft bietet Insider-Risikomanagement als Teil einer großen Auswahl von Microsoft 365-Lizenzierungsabonnements an. Weitere Informationen finden Sie im Artikel Erste Schritte mit dem Insider-Risikomanagement .

Wenn Sie noch nicht über einen Microsoft 365 Enterprise E5-Plan verfügen und das Insider-Risikomanagement ausprobieren möchten, können Sie Ihrem vorhandenen Abonnement Microsoft 365 hinzufügen oder sich für eine Testversion von Microsoft 365 Enterprise E5 registrieren.

Richtlinienvorlagenanforderungen: Je nach ausgewählter Richtlinienvorlage sollten Sie sich mit den folgenden Anforderungen vertraut machen und entsprechend planen, bevor Sie das Insider-Risikomanagement in Ihrem organization konfigurieren:

• Konfigurieren Sie für die Vorlage Datendiebstahl durch ausscheidende Benutzer einen Microsoft 365 HR-Connector, um regelmäßig Rücktritts- und Kündigungsdatumsinformationen für Benutzer in Ihrem organization zu importieren. Eine schrittweise Anleitung zum Konfigurieren des Microsoft 365 HR-Connectors finden Sie im Artikel Importieren von Daten mit dem HR-Connector .
• Konfigurieren Sie für die Vorlage Datenlecks mindestens eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP), um vertrauliche Informationen in Ihrem organization zu definieren und Insider-Risikowarnungen für DLP-Richtlinienwarnungen mit hohem Schweregrad zu erhalten. Eine schrittweise Anleitung zum Konfigurieren von DLP-Richtlinien finden Sie im Artikel Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust .
• Aktivieren Sie für die Vorlage Sicherheitsrichtlinienverletzung Microsoft Defender for Endpoint für die Integration des Insider-Risikomanagements in Defender Security Center, um Warnungen zu Sicherheitsverletzungen zu importieren. Eine schritt-für-Schritt-Anleitung zum Aktivieren der Integration von Defender für Endpunkt mit Insider-Risikomanagement finden Sie unter Konfigurieren erweiterter Features in Microsoft Defender for Endpoint.
• Konfigurieren Sie für die Vorlage Risky-Benutzer einen Microsoft 365 HR-Connector, um in regelmäßigen Abständen Die Leistung oder Herabstufung status Informationen für Benutzer in Ihrem organization zu importieren. Eine schrittweise Anleitung zum Konfigurieren des Microsoft 365 HR-Connectors finden Sie im Artikel Importieren von Daten mit dem HR-Connector .

Testen mit einer kleinen Gruppe von Benutzern in einer Produktionsumgebung

Bevor Sie diese Lösung in Ihrer Produktionsumgebung umfassend aktivieren, sollten Sie die Richtlinien mit einer kleinen Gruppe von Produktionsbenutzern testen, damit Sie die erforderlichen Compliance-, Datenschutz- und rechtlichen Überprüfungen in Ihrem organization durchführen können. Die Auswertung des Insider-Risikomanagements in einer Testumgebung erfordert, dass Sie simulierte Benutzeraktionen und andere Signale generieren, um Warnungen für die Selektierung und Fälle für die Verarbeitung zu erstellen. Dieser Ansatz ist für viele Organisationen möglicherweise nicht praktikabel. Daher empfehlen wir, das Insider-Risikomanagement mit einer kleinen Gruppe von Benutzern in einer Produktionsumgebung zu testen.

Lassen Sie die Anonymisierungsfunktion in den Richtlinieneinstellungen aktiviert, um Die Anzeigenamen von Benutzern in der Insider-Risikomanagement-Konsole während dieser Tests zu anonymisieren, um den Datenschutz innerhalb des Tools zu gewährleisten. Diese Einstellung trägt dazu bei, die Privatsphäre von Benutzern zu schützen, die richtlinienkonsentiert sind, und kann die Objektivität bei Der Untersuchung und Analyse von Daten für Insider-Risikowarnungen fördern.

Wenn unmittelbar nach dem Konfigurieren einer Richtlinie für das Insider-Risikomanagement keine Warnungen angezeigt werden, kann dies bedeuten, dass der Mindestrisikoschwellenwert noch nicht erreicht ist. Überprüfen Sie auf der Seite Benutzer , ob die Richtlinie ausgelöst wird und wie erwartet funktioniert, und um zu überprüfen, ob sich Benutzer im Gültigkeitsbereich der Richtlinie befinden.

Migrieren zwischen Microsoft 365 US Government Cloud und der kommerziellen Cloud

Wenn Sie Ihre organization von der Microsoft 365 US Government Cloud zur weltweiten kommerziellen Cloud oder von der weltweiten kommerziellen Cloud zur Government Cloud migrieren, werden aktive Fälle und Warnungen nicht migriert. Schließen Sie alle Warnungen und Fälle, bevor Sie mit der Migration beginnen.

Ressourcen für Beteiligte

Teilen Sie die Insider-Risikomanagement-Dokumentation mit den Projektbeteiligten in Ihrem organization, die in Ihrem Verwaltungs- und Wartungsworkflow enthalten sind:

• Erstellen und Verwalten von Insider-Risikorichtlinien
• Untersuchen von Insider-Risikoaktivitäten
• Maßnahmen bei Insider-Risikofällen ergreifen
• Überprüfen von Falldaten mit dem Insider-Risiko-Inhalts-Explorer
• Erstellen von Vorlagen für Benachrichtigungen zu Insider-Risiken

Sind Sie bereit loszulegen?

Sind Sie bereit, das Insider-Risikomanagement für Ihre organization zu konfigurieren? Wir empfehlen Ihnen, die folgenden Artikel zu lesen:

• Erste Schritte mit Insider-Risikomanagementeinstellungen zum Konfigurieren globaler Richtlinieneinstellungen.
• Erste Schritte mit Insider-Risikomanagement zum Konfigurieren von Voraussetzungen, Erstellen von Richtlinien und Empfangen von Warnungen.
• Erste Schritte mit forensischen Erkenntnissen für Insider-Risikomanagement für eine schrittweise Anleitung zum Konfigurieren der erfassung forensischer Beweise in Ihrem organization.