Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Das Überwachungsprotokoll des Insider-Risikomanagements hilft Ihnen dabei, über Aktionen zu bleiben, die für Insider-Risikomanagement-Features ausgeführt werden. Dieses Protokoll ermöglicht es, die Aktionen von Benutzern, die einer oder mehreren Rollengruppen des Insider-Risikomanagements zugewiesen sind, unabhängig zu überprüfen. Ihr organization aktiviert automatisch das Insider-Risikomanagement-Überwachungsprotokoll, und Sie können es nicht deaktivieren.
Das Überwachungsprotokoll wird automatisch und sofort aktualisiert, wenn es identifizierte Risikoaktivitäten erkennt. Das Überwachungsprotokoll speichert Informationen für 180 Tage (etwa sechs Monate). Nach 180 Tagen löscht das Protokoll die Daten endgültig.
Zu den Bereichen in der Erkennung von Risikoaktivitäten gehören:
- Richtlinien
- Etuis
- Warnungen
- Einstellungen
- Benutzer
- Benachrichtigungsvorlagen
Um Daten aus dem Überwachungsprotokoll anzuzeigen und zu exportieren, weisen Sie Benutzer den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagementprüfer zu. Weitere Informationen zu Insider-Risikomanagement-Rollengruppen finden Sie unter Zuweisen von Berechtigungen für das Insider-Risikomanagement.
Hinweis
Das Insider-Risikomanagement-Überwachungsprotokoll ist nicht mit dem Microsoft 365-Überwachungsprotokoll verknüpft, da es sich um unabhängige Überwachungssysteme handelt, die Informationen zu separaten Bereichen erfassen. Das Deaktivieren der Microsoft 365-Überwachung wirkt sich nicht auf die Aktivitätsüberwachung im Insider-Risikomanagement aus.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Anzeigen der Aktivität im Überwachungsprotokoll für Insider-Risiken
Um die für Insider-Risikomanagement erkannten Featureaktivitäten anzuzeigen, wechseln Sie zum Link Insider-Risikoüberwachungsprotokoll im oberen rechten Bereich einer beliebigen Registerkarte "Insider-Risikomanagement". Standardmäßig werden die folgenden Informationen für Insider-Risikomanagement-Aktivitäten angezeigt:
- Aktivität: Eine Beschreibung der identifizierten Risikoaktivität, die von einem Benutzer innerhalb der Insider-Risikomanagement-Lösung durchgeführt wird.
- Kategorie: Der Bereich oder das Element, in dem die identifizierte Risikoaktivität ausgeführt wurde. Beispielsweise wird Richtlinien als Kategorie angezeigt, wenn Richtlinienänderungsaktivitäten ausgeführt wurden.
- Aktivität durchgeführt von: Der Benutzername des Benutzers, der die identifizierte Risikoaktivität ausgeführt hat.
- Datum: Das Datum und die Uhrzeit der Ausführung der identifizierten Risikoaktivität. Datum und Uhrzeit sind das lokale Datum und die lokale Uhrzeit für Ihre organization.
Wenn Sie weitere Informationen zu einer protokollierten Aktivität erhalten möchten, wählen Sie die Aktivität aus, um den Bereich mit den Aktivitätsdetails anzuzeigen. Dieser Bereich enthält zusätzliche Informationen zur identifizierten Risikoaktivität.
Spalten und Filtern
Um Prüfern die Überprüfung von Überwachungsprotokollen zu erleichtern, wird das Filtern im Insider-Risikoüberwachungsprotokoll unterstützt. Für die grundlegende Filterung können Warteschlangenspalten der Ansicht hinzugefügt werden, um unterschiedliche Pivots für die Dateien und Nachrichten bereitzustellen. Sie können identifizierte Risikoaktivitäten nach den Feldern Kategorie, Datumsbereich und Aktivität nach Feldern filtern.
Um Spaltenüberschriften für die Warteschlange hinzuzufügen oder zu entfernen, verwenden Sie das Steuerelement Spalten anpassen , und wählen Sie aus den Spaltenoptionen aus. Diese Spalten entsprechen allgemeinen Bedingungen, die im Insider-Risikoüberwachungsprotokoll unterstützt werden, und werden weiter unten in diesem Artikel aufgeführt.
Export des Überwachungsprotokolls
Benutzer, die den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagementprüfer zugewiesen sind, können Überwachungsprotokollaktivitäten in eine .csv-Datei (durch Trennzeichen getrennte Werte) exportieren, indem sie auf der Seite Insider-Risikoüberwachungsprotokolldie Option Exportieren auswählen. Abhängig von der Überwachungsprotokollaktivität sind einige Felder möglicherweise nicht in der gefilterten Warteschlange enthalten, und diese Felder werden in der exportierten Datei als leer angezeigt.
Die Datei enthält Überwachungsprotokollaktivitätsinformationen für die folgenden Felder:
- Aktivität durchgeführt von: Der Name des Benutzers, der einen Elementwert ändert. Die hier aufgeführten Benutzer sind einer oder mehreren der folgenden Rollengruppen des Insider-Risikomanagements zugewiesen: Insider-Risikomanagement, Insider-Risikomanagement-Administratoren, Insider-Risikomanagement-Analysten, Insider-Risikomanagement-Ermittler. Jede Rollengruppe verfügt über unterschiedliche Berechtigungsstufen für die Verwaltung von Insider-Risikofeatures.
- Aktivität: Typ der Aktivität, die für ein Element ausgeführt wird. Die Werte sind "Angezeigt", "Gelöscht", "Hinzugefügt", "Richtlinie bearbeitet", "Groß-/Kleinschreibung", "Benutzer", "Warnung" und "Einstellungen".
- Hinzugefügt: Objekte, die Sie während der identifizierten Risikoaktivität hinzufügen, z. B. Benutzer, Dateitypen oder Domänen.
- Warnungsvolumen: In den Einstellungen für das Insider-Risikomanagement definierte Warnungsvolumen.
- Betrag: Aktuell ausgewählte benutzerdefinierte Indikatorbeträge für eine Richtlinie.
- Ressourcen-ID: Asset-ID der prioritätsbasierten physischen Ressource, für die die Aktivität ausgeführt wurde.
- Kategorie: Kategorie des geänderten Elements. Die Werte sind Richtlinien, Fälle, Benutzer, Warnungen, Einstellungen und Benachrichtigungsvorlagen.
- Datum: Datum und Uhrzeit, die im lokalen Datum und der lokalen Uhrzeit Ihres organization aufgeführt sind.
- Beschreibung: Beschreibungseingabe des Benutzers für das Objekt, auf das gehandelt wird (z. B. eine Richtlinie oder eine Prioritätsbenutzergruppe).
- DLP-Richtlinie: Die Microsoft Purview Data Loss Prevention (DLP)-Richtlinie, die ausgewählt ist, um die Aufnahme in eine Insider-Risikomanagement-Richtlinie auszulösen.
- Indikator: Indikator in den Insider-Risikoeinstellungen, für die die Aktivität ausgeführt wurde (z. B. Hinzufügen oder Entfernen eines Indikators).
- Hinweisvorlage: Beachten Sie die Vorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
- Anzahl der Tage: Fenster zur Richtlinienaktivierung, das in den Insider-Risikoeinstellungen definiert ist.
- Anzahl der Dateien: In den Einstellungen für das Insider-Risikomanagement definierte Dateivolumenlimit.
- Richtlinienvorlage: Die Richtlinienvorlage, auf die die Indikatoren reagiert haben, gehört.
- Vorheriger Betrag: Zuvor ausgewählte benutzerdefinierte Indikatorbeträge für eine Richtlinie.
- Prioritätsbenutzergruppe: Prioritätsbenutzergruppe, für die die identifizierte Risikoaktivität ausgeführt wurde.
- Entfernt: Objekte, die Sie während der identifizierten Risikoaktivität entfernen, z. B. Benutzer, Dateitypen oder Domänen.
- Absender: Absenderfeld der Benachrichtigungsvorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
- Zielrichtlinie: Die Richtlinie, für die die identifizierte Risikoaktivität ausgeführt wurde (z. B. Hinzufügen eines Benutzers zu oder Entfernen eines Benutzers aus).
- Vorlagennachrichtentext: Der Nachrichtentext der Benachrichtigungsvorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
- Vorlagenthema: Das Betrefffeld der Benachrichtigungsvorlage, für die die identifizierte Risikoaktivität ausgeführt wurde.
- Benutzer: Benutzer, für den die identifizierte Risikoaktivität ausgeführt wurde.