Freigeben über

Erste Schritte mit dem Microsoft Purview-Selektierungs-Agent im Insider-Risikomanagement

Verwenden Sie diese Verfahren, um den Microsoft Purview-Selektierungs-Agent in Microsoft Purview Insider Risk Management bereitzustellen.

Bevor Sie beginnen

Wenn Sie noch nicht mit dem Microsoft Purview-Selektierungs-Agent im Insider-Risikomanagement sind, sollten Sie diesen Artikel lesen.

SKU/Abonnement-Lizenzierung

Der Triage-Agent im Insider-Risikomanagement erfordert sowohl das Standardlizenzmodell pro Arbeitsplatz als auch das Abrechnungsmodell mit nutzungsbasierter Bezahlung. Ihre organization muss für Folgendes lizenziert sein:

  • Microsoft Purview Insider Risk Management, um den Insider-Risikomanagement-Selektierungs-Agent zu verwenden.

Die Microsoft Purview-Selektierungs-Agents nutzen Sicherheitscomputeeinheiten (SCUs), während sie ihre Aufgaben ausführen. Sie müssen SCUs bereitgestellt haben, damit die Selektierungs-Agents funktionieren. Die Anzahl der genutzten SCUs hängt von der Anzahl und dem Typ der verarbeiteten Warnungen ab. Weitere Informationen zu SCUs finden Sie unter Security Compute Units (SCUs). Sie können Ihren SCU-Verbrauch im Tool zur Nutzungsüberwachung nachverfolgen. Weitere Informationen zum Onboarding in Microsoft Security Copilot finden Sie unter Erste Schritte mit Microsoft Security Copilot.

Informationen zur Security Copilot Lizenzierung in E5 finden Sie unter Informationen zu Security Copilot in Microsoft 365 E5

Informationen zur Lizenzierung finden Sie unter

Berechtigungen und Rollen

Es gibt unterschiedliche Berechtigungen und Rollen, die zum Ausführen verschiedener Funktionen erforderlich sind. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal und Rollen und Rollengruppen in den Microsoft Purview-Portalen.

Wichtig

Agents werden im Sicherheitskontext des letzten Benutzers ausgeführt, der die Agent-Konfiguration gespeichert hat. Diese Authentifizierung ist 90 Tage lang gültig. Nach 90 Tagen wird der Agent nicht mehr ausgeführt, bis die Konfiguration manuell erneut gespeichert wird.

Berechtigungen zum Aktivieren des Selektierungs-Agents im Insider-Risikomanagement

Das Konto, das Sie zum Aktivieren und Verwalten des Selektierungs-Agents im Insider-Risikomanagement-Agent verwenden, muss über alle folgenden Rollen verfügen:

  • Insider-Risikomanagementanalyse ODER Untersuchung des Insider-Risikomanagements (Rollengruppe: Datensicherheitsverwaltung ODER Insider-Risikomanagement ODER Insider-Risikomanagement-Analysten ODER Insider-Risikomanagement-Ermittler)

  • Purview Content Analyst (Rollengruppe: Purview Agent Management)

  • Security Copilot Mitwirkender (verwaltet in Security Copilot)

Berechtigungen zum Anpassen und Konfigurieren des Selektierungs-Agents im Insider-Risikomanagement

Das Konto, das Sie zum Anpassen und Konfigurieren des Insider-Risikomanagement-Agents verwenden, muss über alle folgenden Rollen verfügen:

  • Purview-Agent-Analyse (Rollengruppe: Data Security Management OR Insider Risk Management OR Insider Risk Management Analyst OR Insider Risk Management Investigator)

  • Security Copilot Mitwirkender (verwaltet in Security Copilot)

Berechtigungen zum Anzeigen von selektierten Insider-Risikomanagement-Warnungen

Das Konto, das Sie zum Anzeigen der Warnungsaktivität des Insider-Risikomanagement-Selektierungs-Agents verwenden, muss sich in folgendem Konto befinden:

  • Purview-Agent-Analyse (Rollengruppe: Data Security Management OR Insider Risk Management OR Insider Risk Management Analyst OR Insider Risk Management Investigator)

  • Optional: Security Copilot Mitwirkender (verwaltet in Security Copilot)

Roadmap für Bereitstellung und Konfiguration

Die Implementierung der Microsoft Purview-Agents umfasst mehrere Phasen:

  1. Infrastrukturvoraussetzungen
  2. Aktivieren von Agents
  3. Setup-Agents
  4. Anhalten von Agents
  5. Entfernen von Agents

Infrastrukturvoraussetzungen

Microsoft Purview-Selektierungs-Agents werden auf Microsoft Security Copilot ausgeführt.

  1. Ihr Mandant muss in Microsoft Security Copilot integriert werden. Weitere Informationen zum Onboarding finden Sie unter Erste Schritte mit Microsoft Security Copilot.
  2. Sie müssen die Microsoft 365-Datenfreigabe in Security Copilot aktivieren. Weitere Informationen finden Sie unter Zugreifen auf Daten aus Microsoft 365-Diensten .
  3. Sie müssen das Microsoft Purview-Plug-In in Microsoft Security Copilot aktivieren. Weitere Informationen finden Sie unter Aktivieren der Microsoft Purview-Quelle in Microsoft Security Copilot.

Aktivieren von Agents

Dieses Verfahren gilt für Organisationen, die keine der Microsoft Purview-Agents aktiviert oder Agents entfernt haben und Sie sie erneut aktivieren möchten. Nachdem Sie die Agents aktiviert haben, sind sie für die Verwendung in Microsoft Purview verfügbar. Es kann nur eine instance jedes Agents in einem Mandanten geben. Dieses Verfahren funktioniert sowohl für den Purview-DLP-Selektierungs-Agent als auch für den Insider-Risikomanagement-Selektierungs-Agent.

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  2. Wählen Sie im linken Navigationsbereich Agents aus.
  3. Wählen Sie Agents erkunden aus.
  4. Wählen Sie den Agent aus, den Sie aktivieren möchten, und wählen Sie Hinzufügen aus. Daraufhin wird eine Seite geöffnet, auf der die Anforderungen zum Aktivieren des Agents angezeigt werden.
  5. Wählen Sie Setup aus. Daraufhin wird die Seite Globale Agent-Konfiguration bereitstellen geöffnet. Sie haben folgende Möglichkeiten:
    1. Wählen Sie die automatische Ausführung basierend auf einem festgelegten Zeitplan aus. Wenn Sie diese Option nicht auswählen, müssen Sie den Agent nacheinander manuell ausführen. Die geplante wird von Microsoft festgelegt und kann von Organisationen nicht konfiguriert werden. Sie können diese Einstellung später ändern, wenn Sie den Agent bearbeiten.
    2. Wählen Sie den Warnungszeitrahmen aus, d. h. wie weit der Agent nach Warnungen sucht, die selektiert werden sollen. Analysten können den Zeitrahmen verkürzen, wenn sie den Agent bearbeiten, aber nicht verlängern. Weitere Informationen finden Sie unter Auswählen des Zeitrahmens für Warnungen.
  6. Wählen Sie Bereitstellen. Wenn der Agent erfolgreich bereitgestellt wurde, wird die Meldung Alert Triage Agent in <solution> is deployed angezeigt.

Setup-Agents

Sobald ein Agent aktiviert ist, müssen Sie bestimmte Trigger für den Agent festlegen. Die Trigger werden verwendet, um zu bestimmen, welche Warnungen der Agent selektierungen angibt. Sie können dies entweder auf der Seite Agents oder für die erste Ausführung auf der Seite Warnungen für die Lösung tun. Für dieses Verfahren verwenden wir die Erste-Ausführungs-Methode der Seite "Warnungen ". Bei diesem Verfahren wird davon ausgegangen, dass Das Microsoft Purview-Portal weiterhin für die Seite Agents erkunden aus dem vorherigen Verfahren geöffnet ist.

Wichtig

Die neueste Agent-Konfiguration wird immer verwendet.

  1. Wählen Sie Zu Projektmappe wechseln <>aus. Daraufhin wird die Seite Warnungen für die Lösung geöffnet.
  2. Da Sie sich in der ersten Ausführungsumgebung befinden, sehen Sie das Dialogfeld mit einer Schaltfläche Anpassen , die bei Auswahl das Flyout Zum Anpassen des Warnungstriage-Agents öffnet.
  3. Wählen Sie hier entweder die globale Standardeinstellung für Warnungszeitrahmen auswählen aus , oder ändern Sie sie so, dass sie kürzer ist als das, was während der Agent-Bereitstellung konfiguriert wurde.
  4. Geben Sie benutzerdefinierte Anweisungen für den Agent ein. Der Agent interpretiert Ihre Eingaben in natürlicher Sprache und verwendet sie, um besser zu identifizieren, welche Arten von Warnungen für Sie am wichtigsten sind. Dies hilft Ihnen, die relevantesten Warnungen zu identifizieren und schneller darauf zu reagieren.
  5. Wählen Sie Richtlinien auswählen aus, um die Richtlinien auszuwählen, deren Warnungen vom Agent selektiert werden. In der Vorschau sind alle Richtlinien standardmäßig ausgewählt. Sie können dies hier ändern.
  6. Wählen Sie Überprüfen aus.
  7. Wählen Sie Agent starten aus. Warten Sie bis zu 2 Stunden, bis der Agent die Selektierung der in bereichsbezogenen Warnungen und aktivierten manuellen Ausführungen aus dieser ersteinrichtung abgeschlossen hat.

Anhalten von Agents

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  2. Wählen Sie im linken Navigationsbereich Agents aus.
  3. Wählen Sie Agents erkunden aus.
  4. Wählen Sie Agent anzeigen für den Agent aus, den Sie anhalten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
  5. Wählen Sie rechts oben auf der Agent-Übersichtsseite die Auslassungspunkte (drei Punkte) aus, die sich neben der Schaltfläche Agent bearbeiten befinden.
  6. Wählen Sie Agent deaktivieren aus. Das Anhalten des Agents verhindert, dass der Agent Warnungen selektieren kann. Der Agent wird nicht entfernt, und der Referenzpunkt für den Zeitrahmen warnungsauswahl wird nicht zurückgesetzt.

Entfernen von Agents

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  2. Wählen Sie im linken Navigationsbereich Agents aus.
  3. Wählen Sie Agents erkunden aus.
  4. Wählen Sie Agent anzeigen für den Agent aus, den Sie anhalten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
  5. Wählen Sie rechts oben auf der Agent-Übersichtsseite die Auslassungspunkte (drei Punkte) aus, die sich neben der Schaltfläche Agent bearbeiten befinden.
  6. Wählen Sie Agent entfernen aus. Wenn Sie den Agent entfernen, wird er aus Microsoft Purview gelöscht. Wenn Sie es erneut verwenden möchten, müssen Sie die Prozeduren Agents aktivieren und Agents einrichten erneut durchlaufen. Entfernen der Agent-Zurücksetzungen Wählen Sie Den Warnungszeitrahmen referenz point in time aus.

Bearbeiten von Agents

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  2. Wählen Sie im linken Navigationsbereich Agents aus.
  3. Wählen Sie Agents erkunden aus.
  4. Wählen Sie Agent für den Agent anzeigen aus, den Sie bearbeiten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
  5. Wählen Sie Agent bearbeiten aus. Dadurch wird die Seite Agent bearbeiten geöffnet.
  6. Wählen Sie Trigger aus.
  7. Hier können Sie ändern, wann der Agent ausgeführt wird. Entweder wird der Agent bei einer Warnung manuell ausgeführt , oder der Agent wird automatisch basierend auf einem festgelegten Zeitplan ausgeführt.
  8. Wählen Sie Bearbeiten aus, um den Wert warnungszeitrahmen auswählen und die Richtlinien zu ändern, aus denen der Agent Warnungen selektieren wird.
  9. Wenn Sie Agent wird für eine Warnung manuell ausgeführt auswählen, können Sie auf der Seite Warnungen für die Lösung eine einzelne Warnung auswählen. Legen Sie den Umschalter auf Warnungstriage-Agent fest, und wählen Sie Agent ausführen aus.
  10. Sie können die Absicht auch ändern, wenn Sie möchten.

Überwachen der SCU-Nutzung

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  2. Wählen Sie im linken Navigationsbereich Agents aus.
  3. Wählen Sie Agents erkunden aus.
  4. Wählen Sie Agent für den Agent anzeigen aus, den Sie bearbeiten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
  5. Wählen Sie Agent bearbeiten aus. Dadurch wird die Seite Agent bearbeiten geöffnet.
  6. Wählen Sie "Nutzungsüberwachung" aus.
  7. Sie können Ihren SCU-Verbrauch im Tool zur Nutzungsüberwachung nachverfolgen.

Übersicht über die Seite "Warnungen"

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  2. Öffnen Sie die Projektmappe, für die Sie die selektierten Warnungen anzeigen möchten.
  3. Öffnen Sie die Seite Warnungen für die Projektmappe.
  4. Im oberen rechten Bereich der Seite gibt es eine neue Umschaltfläche, mit der Sie zwischen der Standard Ansicht der Warnungsseite und einer Ansicht des Selektierungs-Agents der Warnungsseite wählen können. Legen Sie den Umschalter auf die Ansicht Selektierungs-Agent fest. In dieser Ansicht werden die Warnungen angezeigt, die vom Agent selektiert wurden. Die Warnungen werden vom Agent in vier Kategorien gruppiert:
    • All
    • Erfordert Maßnahmen
    • Weniger dringend
    • Nicht kategorisiert

Nächste Schritte

Informationen zum Überprüfen der selektierten Warnungen finden Sie in lösungsspezifischen Artikeln.

  • Last updated on