Verwalten von forensischen Beweisen für das Insider-Risikomanagement

Wichtig

Forensische Beweise sind ein opt-in-Add-On-Feature im Insider-Risikomanagement, das Sicherheitsteams visuelle Einblicke in potenzielle Insider-Datensicherheitsvorfälle mit integriertem Datenschutz bietet. Forensische Beweise umfassen anpassbare Ereignistrigger und integrierte Datenschutzkontrollen für Benutzer, die es Sicherheitsteams ermöglichen, potenzielle Insiderdatenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser zu untersuchen, zu verstehen und darauf zu reagieren.

Organisationen legen die richtigen Richtlinien für sich selbst fest, einschließlich der risikobehafteten Ereignisse, die höchste Priorität für die Erfassung forensischer Beweise haben und welche Daten am sensibelsten sind. Forensische Beweise sind standardmäßig deaktiviert, die Richtlinienerstellung erfordert eine doppelte Autorisierung, und Benutzernamen können mit Pseudonymisierung maskiert werden (die standardmäßig für Insider-Risikomanagement aktiviert ist). Das Einrichten von Richtlinien und die Überprüfung von Sicherheitswarnungen innerhalb des Insider-Risikomanagements nutzt starke rollenbasierte Zugriffssteuerungen (Role-Based Access Controls, RBAC), um sicherzustellen, dass die angegebenen Personen im organization mit zusätzlichen Überwachungsfunktionen die richtigen Maßnahmen ergreifen.

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Nachdem Sie die Konfigurationsschritte abgeschlossen und Ihre Richtlinie für forensische Beweise erstellt haben, werden Warnungen für potenziell sicherheitsrelevante Benutzeraktivitäten angezeigt, die die Bedingungen für indikatoren erfüllen, die in der Richtlinie definiert sind.

Tipp

Beginnen Sie mit Microsoft Copilot für Security, um neue Möglichkeiten zum intelligenteren und schnelleren Arbeiten mit der Leistungsfähigkeit von KI zu erkunden. Erfahren Sie mehr über Microsoft Copilot für Security in Microsoft Purview.

Dashboard

Der forensische Beweis Dashboard ist die Zusammenfassung der wichtigsten Bereiche der Konfiguration forensischer Beweise in Ihrem organization. Für die Vorschau enthält die Dashboard nur einen Abschnitt "Forensische Nachweise geräteintegrität". Wählen Sie Geräteintegritätsbericht anzeigen aus, um die Registerkarte Geräteintegrität und den Bericht zu öffnen. Weitere Abschnitte werden in zukünftigen Versionen enthalten sein.

Verwalten von Benutzern

Sie müssen bestimmte Benutzer anfordern und genehmigen, bevor sie für die Erfassung forensischer Beweise berechtigt sind. Das einfache Hinzufügen von Benutzern zu einer forensischen Beweisrichtlinie macht diese Benutzer nicht automatisch für die Erfassung berechtigt. Sie können Benutzer anfordern und genehmigen, bevor oder nachdem Richtlinien für forensische Beweise erstellt wurden, aber die clip captures, die Richtlinienindikatoren zugeordnet sind, werden erst erstellt und können überprüft werden, nachdem die Benutzer genehmigt wurden.

Benutzer, die den Rollengruppen Insider-Risikomanagement oder Insider-Risikomanagement-Administratoren zugewiesen sind, können Genehmigungsanforderungen an Benutzer übermitteln, die der Rollengruppe Insider-Risikomanagement genehmigende Personen zugewiesen sind.

Anfordern der Erfassung von Genehmigungen

Sie müssen anfordern, dass die Erfassung forensischer Beweise für bestimmte Benutzer aktiviert wird. Wenn eine Anforderung gesendet wird, werden genehmigende Personen in Ihrem organization per E-Mail benachrichtigt und können die Anforderung genehmigen oder ablehnen. Wenn dies genehmigt ist, wird der Benutzer oder auf der Registerkarte Genehmigte Benutzer angezeigt und kann erfasst werden. Wenn die Anforderung nicht adressiert wird, läuft sie 6 Monate ab dem Tag ab, an dem sie übermittelt wurde.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.

2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Benutzerverwaltung aus.

4. Wählen Sie die Registerkarte Forensische Beweisanforderungen verwalten aus.

5. Wählen Sie Create Anforderung aus.

6. Wählen Sie auf der Seite Benutzer die Option Benutzer hinzufügen aus.

7. Verwenden Sie Die Suche , um einen bestimmten Benutzer zu suchen, oder wählen Sie einen oder mehrere Benutzer aus der Liste aus. Wählen Sie Hinzufügen aus, und klicken Sie dann auf Weiter.

8. Wählen Sie auf der Seite Forensische Beweisrichtlinie eine Richtlinie für forensische Beweise für die hinzugefügten Benutzer aus. Die von Ihnen ausgewählte Richtlinie bestimmt den Umfang der Aktivität, die für Benutzer erfasst werden soll.

9. Wählen Sie Weiter aus.

10. Teilen Sie dem Prüfer auf der Seite Begründung mit, warum Sie die Aktivierung der Erfassung für die Benutzer anfordern, die Sie im Textfeld Begründung für die Aktivierung der erfassung forensischer Beweise hinzugefügt haben. Dies ist ein Pflichtfeld. Wenn Sie fertig sind, wählen SieWeiteraus.

11. Auf der Seite Email Benachrichtigungen können Sie eine Benachrichtigungsvorlage verwenden, um eine E-Mail an Benutzer zu senden, die sie darüber informieren, dass die Erfassung forensischer Beweise für ihr Gerät gemäß den Richtlinien Ihres organization aktiviert wird. Die E-Mail wird nur dann an Benutzer gesendet, wenn deren Anforderung genehmigt wurde.

    Aktivieren Sie das Kontrollkästchen E-Mail-Benachrichtigung an genehmigte Benutzer senden . Wählen Sie eine vorhandene Vorlage aus, oder erstellen Sie eine neue Vorlage. Wählen Sie zum Erstellen einer neuen Vorlage Create einer Benachrichtigungsvorlage aus, und füllen Sie im Bereich Neue E-Mail-Benachrichtigungsvorlage die folgenden Pflichtfelder aus.

12. Wählen Sie Weiter aus.

13. Überprüfen Sie auf der Seite Fertig stellen Ihre Einstellungen, bevor Sie die Anforderung übermitteln. Wählen Sie Benutzer bearbeiten oder Begründung bearbeiten aus, um einen der Anforderungswerte zu ändern, oder wählen Sie Senden aus, um die Anforderung zu erstellen und an Prüfer zu senden.

Compliance-Portal

1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization beim Complianceportal an.

2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

3. Wechseln Sie zu Forensische Beweise>Benutzerverwaltung.

4. Wählen Sie die Registerkarte Forensische Beweisanforderungen verwalten aus.

5. Wählen Sie Create Anforderung aus.

6. Wählen Sie auf der Seite Benutzer die Option Benutzer hinzufügen aus.

7. Verwenden Sie Die Suche , um einen bestimmten Benutzer zu suchen, oder wählen Sie einen oder mehrere Benutzer aus der Liste aus. Wählen Sie Hinzufügen aus, und klicken Sie dann auf Weiter.

8. Wählen Sie auf der Seite Forensische Beweisrichtlinie eine Richtlinie für forensische Beweise für die hinzugefügten Benutzer aus. Die von Ihnen ausgewählte Richtlinie bestimmt den Umfang der Aktivität, die für Benutzer erfasst werden soll.

9. Wählen Sie Weiter aus.

10. Teilen Sie dem Prüfer auf der Seite Begründung mit, warum Sie die Aktivierung der Erfassung für die Benutzer anfordern, die Sie im Textfeld Begründung für die Aktivierung der erfassung forensischer Beweise hinzugefügt haben. Dies ist ein Pflichtfeld. Wenn Sie fertig sind, wählen SieWeiteraus.

11. Auf der Seite Email Benachrichtigungen können Sie eine Benachrichtigungsvorlage verwenden, um eine E-Mail an Benutzer zu senden, die sie darüber informieren, dass die Erfassung forensischer Beweise für ihr Gerät gemäß den Richtlinien Ihres organization aktiviert wird. Die E-Mail wird nur dann an Benutzer gesendet, wenn deren Anforderung genehmigt wurde.

    Aktivieren Sie das Kontrollkästchen E-Mail-Benachrichtigung an genehmigte Benutzer senden . Wählen Sie eine vorhandene Vorlage aus, oder erstellen Sie eine neue Vorlage. Wählen Sie zum Erstellen einer neuen Vorlage Create einer Benachrichtigungsvorlage aus, und füllen Sie im Bereich Neue E-Mail-Benachrichtigungsvorlage die folgenden Pflichtfelder aus.

12. Wählen Sie Weiter aus.

13. Überprüfen Sie auf der Seite Fertig stellen Ihre Einstellungen, bevor Sie die Anforderung übermitteln. Wählen Sie Benutzer bearbeiten oder Begründung bearbeiten aus, um einen der Anforderungswerte zu ändern, oder wählen Sie Senden aus, um die Anforderung zu erstellen und an Prüfer zu senden.

Um ausstehende Genehmigungsanforderungen anzuzeigen, wechseln Sie zu Insider-Risikomanagement>Forensische Beweise>Ausstehende Anforderungen. Hier sehen Sie die Benutzer mit ausstehenden Anforderungen, ihre E-Mail-Adresse, das Datum der Anforderungsübermittlung und wer die Genehmigungsanforderung übermittelt hat. Wenn keine Benutzer angezeigt werden, gibt es keine ausstehenden Genehmigungsanforderungen für Benutzer.

Benutzer, die der Rollengruppe Insider-Risikomanagement genehmigende Personen zugewiesen sind, können auf der Registerkarte Forensische Beweisanforderung einen Benutzer auswählen und die Anforderung überprüfen. Nach der Überprüfung der Anforderung können diese Benutzer die Anforderung zur Erfassung von forensischen Beweisen genehmigen oder ablehnen. Durch das Genehmigen oder Ablehnen der Erfassungsanforderung wird die ausstehende Anforderung für Benutzer aus dieser Ansicht entfernt.

Genehmigen oder Ablehnen von Erfassungsanforderungen

Nach Abschluss der Anforderungen erhalten Benutzer, die der Rollengruppe Insider-Risikomanagement genehmigende Personen zugewiesen sind, eine E-Mail-Benachrichtigung für die Genehmigungsanforderung.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Ausstehende Anforderungen aus.
4. Wählen Sie einen Benutzer aus, der überprüft werden soll.
5. Überprüfen Sie im Bereich Forensische Beweisanforderung überprüfen (Vorschau) die vom Anforderer übermittelte Begründung. Wählen Sie Genehmigen oder Ablehnen als zutreffend aus.
6. Wählen Sie auf der Seite Genehmigte Anforderung oder Abgelehnte Anforderung die Option Schließen aus.

Compliance-Portal

1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization beim Complianceportal an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wechseln Sie zu Forensische Beweise>Ausstehende Anforderungen.
4. Wählen Sie einen Benutzer aus, der überprüft werden soll.
5. Überprüfen Sie im Bereich Forensische Beweisanforderung überprüfen (Vorschau) die vom Anforderer übermittelte Begründung. Wählen Sie Genehmigen oder Ablehnen als zutreffend aus.
6. Wählen Sie auf der Seite Genehmigte Anforderung oder Abgelehnte Anforderung die Option Schließen aus.

Widerrufen von Genehmigungen für die Erfassung

Bei Bedarf können Sie die Genehmigung für bestimmte Benutzer widerrufen und von der Erfassung forensischer Beweise ausschließen. Durch das Widerrufen der Genehmigung werden keine vorhandenen Erfassungen für diese Benutzer gelöscht oder entfernt, nur die zukünftige Erfassung von Aktivitäten für diese Benutzer ist deaktiviert.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal als Mitglied der Rollengruppe Insider-Risikomanagement genehmigende Personen an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Benutzerverwaltung aus.
4. Wählen Sie die Registerkarte Genehmigte Benutzer aus.
5. Wählen Sie einen Benutzer und dann Entfernen aus.
6. Wählen Sie auf der Seite zur Bestätigung des Entfernens entfernen die Option Entfernen aus, um die Erfassungsgenehmigung zu widerrufen.

Compliance-Portal

1. Melden Sie sich beim Complianceportal als Mitglied der Rollengruppe Insider-Risikomanagement genehmigende Personen an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wechseln Sie zu Forensische Beweise>Benutzerverwaltung.
4. Wählen Sie die Registerkarte Genehmigte Benutzer aus.
5. Wählen Sie einen Benutzer und dann Entfernen aus.
6. Wählen Sie auf der Seite zur Bestätigung des Entfernens entfernen die Option Entfernen aus, um die Erfassungsgenehmigung zu widerrufen, oder wählen Sie Abbrechen aus, um die Bestätigungsseite zu schließen.

Erstellen und Verwalten von Benachrichtigungsvorlagen

Sie können eine Benachrichtigungsvorlage erstellen und verwenden, um eine E-Mail an Benutzer zu senden, die sie darüber informieren, dass die erfassung forensischer Beweise für ihr Gerät gemäß den Richtlinien Ihrer organization aktiviert wird. Die E-Mail wird nur dann an Benutzer gesendet, wenn deren Anforderung genehmigt wurde.

Create einer neuen Benachrichtigungsvorlage

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Benachrichtigungsvorlagen aus.
4. Wählen Sie Create Benachrichtigungsvorlage aus.
5. Füllen Sie im Bereich Neue E-Mail-Benachrichtigungsvorlage die folgenden erforderlichen Felder aus:
   • Vorlagenname
   • Senden von
   • Betreff
   • Nachrichtentext
6. Klicken Sie auf Speichern.

Compliance-Portal

1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization beim Complianceportal an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wechseln Sie zuBenachrichtigungsvorlagenfür forensische Beweise>.
4. Wählen Sie Create Benachrichtigungsvorlage aus.
5. Füllen Sie im Bereich Neue E-Mail-Benachrichtigungsvorlage die folgenden erforderlichen Felder aus:
   • Vorlagenname
   • Senden von
   • Betreff
   • Nachrichtentext
6. Klicken Sie auf Speichern.

Hinweis

Um eine vorhandene Benachrichtigungsvorlage zu löschen, wählen Sie die Vorlage und dann Löschen aus.

Anzeigen von aufgenommenen Clips

Sie können aufgenommene Clips anzeigen und untersuchen, indem Sie beim Öffnen von Microsoft Purview Insider Risk Management die Registerkarte Forensische Beweise auswählen. Sie können auch die Registerkarte Forensische Beweise aus anderen Bereichen der Lösung auswählen, um eine Liste der erfassten Clips im Kontext anzuzeigen:

• Warnungen Dashboard. Clips, auf die über die warnungsbezogene Dashboard zugegriffen werden kann, entsprechen der Option zum Erfassen bestimmter Benutzeraktivitäten, wenn die Richtlinie für forensische Beweise erstellt wird. Die erfassten Clips werden durch Indikatoren definiert, die in der Richtlinie für forensische Beweise ausgewählt sind.
• Benutzeraktivitätsberichte. Clips, auf die über Benutzeraktivitätsberichte zugegriffen werden kann, entsprechen der Option zum Erfassen sicherheitsrelevanter Aktivitäten , die von Benutzern ausgeführt werden, die in forensischen Beweisrichtlinien enthalten sind.
• Fälle Dashboard. Clips, auf die über die Dashboard zugegriffen werden kann, sind Warnungen, die an Fälle eskaliert wurden.

Hinweis

Wenn Sie sowohl Mitglied der Rollengruppe Insider-Risikomanagementermittler als auch der Rollengruppe Insider-Risikomanagement-Administratoren sind, wird beim Öffnen von Microsoft Purview Insider Risk Management die Schaltfläche Erfasste Clips überprüfen angezeigt. Wenn Sie die Schaltfläche Erfasste Clips überprüfen auswählen, wird die Schaltfläche Einstellungen für forensische Beweise öffnen geändert. Der Zweck dieser Schaltfläche besteht darin, zwischen der Liste der erfassten Clips und Einstellungen hin und her zu wechseln, wenn Sie über beide Rollen verfügen. Weitere Informationen zu Rollengruppen

Wenn Sie die Registerkarte Forensikbeweis auswählen, werden erfasste Clips und zugehörige Informationen in einer Liste angezeigt. Wenn Sie einen aufgenommenen Clip in der Liste auswählen, wird in der Mitte des Bildschirms ein Videoplayer angezeigt, und rechts neben dem Videoplayer wird ein Transkript der Aktivitäten und Ereignisse aus dem Clip angezeigt.

Jeder aufgenommene Clip enthält die folgenden Informationen:

• Datum/Uhrzeit (UTC): Datum, Uhrzeit (UTC) und Dauer der Erfassung. Die Dauer der Erfassung ist die Gesamtzeit, die von der Erfassung überspannt wird. Die tatsächliche Länge der Erfassung kann kürzer sein, da das Insider-Risikomanagement automatisch identische Frames auslöscht.
• Gerät: Der Name des Geräts in Windows 10/11.
• Aktivitäten: Der Aktivitätstyp des Insider-Risikomanagements, der in der Erfassung enthalten ist. Diese Aktivitäten basieren auf globalen und Richtlinienindikatoren, die der zugeordneten Richtlinie zugewiesen sind.
• Benutzer: Der Name des Benutzers.
• URL (falls zutreffend): Die URL, auf die der Benutzer zugegriffen hat, als die Aktivität stattfand.
• Anwendung (falls zutreffend): Die Anwendung, auf die der Benutzer zugegriffen hat, als die Aktivität stattfand.
• Titel des aktiven Fensters: Der Titel des Fensters, auf das der Benutzer zugegriffen hat, als die Aktivität stattfand.

So zeigen Sie einen aufgezeichneten Clip an:

1. Konfigurieren Sie bei Bedarf die Filter am Anfang der Liste.

2. Wählen Sie einen Clip aus der Liste aus.

3. Wählen Sie mithilfe der Videoplayer-Steuerelemente das Wiedergabesteuerelement aus, um den gesamten Clip von Anfang bis Ende zu überprüfen.

4. Wenn Sie die Überprüfung auf eine bestimmte Aktivität oder ein bestimmtes Ereignis im Clip festlegen möchten, wählen Sie die Aktivität oder das Ereignis im Transkript aus. Sie können auch das Suchfeld oberhalb des Transkripts verwenden, um nach bestimmten Aktivitäten oder Ereignissen zu suchen.

   Hinweis

   Ein rotes Dreieck im Transkript kennzeichnet eine Aktivität.

Filtern der Liste der erfassten Clips

Sie können die Filter über der Liste der erfassten Clips verwenden, um nach bestimmten Aktivitäten und Informationen zu filtern. Jeder Filter unterstützt bis zu 10 eindeutige IDs, sodass Sie beispielsweise nach bis zu 10 Benutzern gleichzeitig filtern können. In der folgenden Tabelle werden die verschiedenen Filter beschrieben.

Filtername	Beschreibung
Benutzername	Filtern Sie nach einem beliebigen Benutzernamen.
Aktivität	Wählen Sie eine bestimmte Aktivität aus, nach der gefiltert werden soll, z. B. Das Drucken von Dateien oder das Kennwort, das für die Anmeldung beim Gerät verwendet wird, wurde wiederverwendet.
Gerätename	Filtern Sie nach einem beliebigen Gerätenamen.
URL	Filtern Sie nach einem Domänennamen, oder suchen Sie nach einem beliebigen Schlüsselwort (keyword), nachdem Sie nach einem Domänennamen gefiltert wurden. Beispiel: Die Eingabe von "SharePoint" als Schlüsselwort (keyword) gibt eine beliebige URL zurück, die "SharePoint" an einer beliebigen Stelle in der URL enthält.
App	Filtern Sie nach App-Name. Sie können Enthält ein beliebiges von oder Enthält alle von mit diesem Filter auswählen. Beispiel: Wenn Sie Enthält eines von auswählen und "Contoso.com,Contoso2.com" eingeben, können Sie einen Clip haben, der Contoso.com und einen anderen, der Contoso2.com erfasst. Wenn Sie Alle enthält auswählen und "Contoso.com,Contoso2.com" eingeben, müssten alle Erfassungen beide Domänen enthalten.
Titel des aktiven Fensters	Filtern Sie nach dem Titel des aktiven Fensters. Sie können Contains any of oder Contains all of auswählen, um auf die gleiche Weise wie der App-Filter zu filtern.

Clips werden gelöscht.

Benutzer, die der Rollengruppe Insider-Risikomanagement-Ermittler zugewiesen sind, können einzelne Clips aus der Liste der erfassten Clips löschen. Gehen Sie dazu wie folgt vor:

1. Aktivieren Sie das Kontrollkästchen neben der Aufnahme.
2. Wählen Sie die Schaltfläche Löschen (Papierkorb) aus.

Benutzer, die der Rollengruppe Insider-Risikomanagement-Administratoren zugewiesen sind, können Massenlöschungen über Einstellungen durchführen.

Durchführen einer Massenlöschung

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal als Mitglied der Rollengruppe Insider-Risikomanagement-Administratoren an .
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Einstellungen für forensische Beweise aus.
4. Stellen Sie sicher, dass die Option Löschen forensischer Benutzerdaten durch einen Administrator oder Prüfer zulassen auf Ein festgelegt ist.
5. Wählen Sie unter Daten eines Benutzers löschen die Option Benutzer auswählen und dann den Benutzer aus, für den Sie Clips löschen möchten.

Compliance-Portal

1. Melden Sie sich beim Microsoft Purview-Complianceportal als Mitglied der Rollengruppe Insider-Risikomanagement-Administratoren an.
2. Wechseln Sie zur Insider-Risikomanagement-Lösung .
3. Wechseln Sie zu Forensische Beweise>Einstellungen für forensische Beweise.
4. Stellen Sie sicher, dass die Option Löschen forensischer Benutzerdaten durch einen Administrator oder Prüfer zulassen auf Ein festgelegt ist.
5. Wählen Sie unter Daten eines Benutzers löschen die Option Benutzer auswählen und dann den Benutzer aus, für den Sie Clips löschen möchten.

Wichtig

Forensische Beweisclips werden 120 Tage nach ihrer Erfassung gelöscht. Sie können forensische Beweisclips exportieren oder übertragen, bevor sie gelöscht werden.

Warnungen Dashboard

Für Warnungen, die von Richtlinien generiert werden, können Sie forensische Beweiserfassungen auf der Registerkarte Forensische Beweise im Dashboard Warnungen überprüfen. Wenn mindestens eine Erfassung für die Warnung verfügbar ist, sehen Sie auch den Link Benachrichtigungen zu forensischen Beweisen anzeigen im Abschnitt aktivität, der einen Warnungsheader generiert. Sie können den Benachrichtigungslink oder die Registerkarte Forensische Beweise auswählen, um eine Liste der Aktivitätserfassungen zu überprüfen.

Das Überprüfen einer Warnung auf potenziell riskante Aktivitäten, die forensische Beweiserfassungen enthalten können, ist im Wesentlichen identisch mit der Überprüfung einer Warnung ohne forensische Beweiserfassungen. Der wesentliche Unterschied besteht darin, dass alle anwendbaren Erfassungen aufgenommen werden. Die Registerkarte Forensische Beweise bietet Zugriff auf alle verfügbaren Erfassungen, die der Warnung zugeordnet sind.

Fälle Dashboard

Wenn Warnungen auf Fälle eskaliert werden, werden alle zugehörigen forensischen Beweiserfassungen als Teil des Falls einbezogen. Die Überprüfung von forensischen Beweiserfassungen für Fälle folgt demselben Prozess wie das Überprüfen von Erfassungen für Warnungen.

Benutzeraktivitätsberichte

Benutzeraktivitätsberichte ermöglichen es Ihnen, Aktivitäten für bestimmte Benutzer für einen definierten Zeitraum zu untersuchen, ohne sie vorübergehend oder explizit einer Insider-Risikomanagementrichtlinie zuweisen zu müssen. Wenn diese Benutzeraktivitäten Aktivitäten enthalten, die von der Erfassung forensischer Beweise unterstützt werden, werden Clips in die Benutzeraktivität eingeschlossen.

Wenn Sie forensische Beweise so konfiguriert haben, dass alle sicherheitsbezogenen Benutzeraktivitäten erfasst werden, unabhängig davon, ob sie in eine Forensik-Beweisrichtlinie eingeschlossen sind, können Sie diese Erfassungen überprüfen:

1. Wählen Sie Insider-Risikomanagement>Übersicht aus.
2. Wählen Sie unten auf dem Bildschirm Übersicht unter Benutzeraktivität untersuchen die Option Berichte verwalten aus.
3. Wählen Sie einen bestimmten Benutzer und dann die Registerkarte Forensische Beweise aus.
4. Weitere Informationen finden Sie in den obigen Anweisungen.

Bericht zur Geräteintegrität (Vorschau)

Nachdem Geräte so konfiguriert wurden, dass forensische Beweise unterstützt werden, können Sie die Integritäts-status des Microsoft Purview-Clients für alle Geräte in Ihrem organization überprüfen, indem Sie zu Insider-Risikomanagement>Forensische Nachweise>Geräteintegrität navigieren.

Eine Liste der Mindestanforderungen für Geräte und Konfigurationen finden Sie unter Informationen zu forensischen Beweisen. Führen Sie zum Onboarding unterstützter Geräte die Schritte aus, die im Übersichtsartikel Onboarding von Windows 10 und Windows 11 Geräten in Microsoft 365 beschrieben sind.

Mit dem Bericht zur Geräteintegrität können Sie die status und die Integrität aller Geräte anzeigen, auf denen der Forensik-Beweis-Agent installiert ist. Jedes Berichtswidget im Bericht zeigt Informationen für die letzten 24 Stunden an.

• Onlinegeräte: Die Gesamtzahl der derzeit online geschalteten Geräte.
• Offlinegeräte: Die Gesamtzahl der Geräte, die derzeit offline sind.
• Geräte mit Warnungen: Die Gesamtzahl der Geräte mit einer Warnung.
• Geräte mit Fehlern: Die Gesamtzahl der Geräte mit einem Fehler.

Die Geräteintegritätswarteschlange listet alle Geräte in auf, die für forensische Beweise in Ihrem organization konfiguriert sind. Darüber hinaus listet der Bericht die status der folgenden Geräteattribute auf:

• Gerätename: Der Name des Geräts, der durch das ComputerName-Attribut des Geräts definiert wird.
• Device status: Die status des Microsoft Purview-Clients auf dem Gerät. Die Statuswerte sind wie folgt:
  • Fehlerfrei: Der Client auf dem Gerät funktioniert ordnungsgemäß, und forensische Beweiserfassungsfeatures werden vollständig unterstützt.
  • Warnung: Der Client auf dem Gerät verfügt über eine Warnung, und forensische Beweiserfassungsfeatures werden möglicherweise nicht vollständig unterstützt.
  • Fehler: Der Client auf dem Gerät weist einen Fehler auf, und forensische Beweiserfassungsfeatures sind deaktiviert oder nicht vollständig unterstützt.
• Statusdetails: Weitere Informationen zum gerät status.
• Letzte Synchronisierung (UTC):Datum und Uhrzeit der letzten status Synchronisierung für das Gerät.
• Benutzername: Der Benutzername für den Benutzer, der sich beim Gerät angemeldet hat, als die status Synchronisierung durchgeführt wurde.
• Windows-Version: Die version von Microsoft Windows, die auf dem Gerät installiert ist.
• Clientversion: Die Auf dem Gerät installierte Version des Microsoft Purview-Clients.

Die geräteintegritäts-status gibt Ihnen Einblicke in potenzielle Probleme mit Ihren Geräten und dem Microsoft Purview-Client. Die Spalte Device status auf der Seite Geräteintegrität kann Sie auf Geräteprobleme aufmerksam machen, die verhindern können, dass Benutzeraktivitäten erfasst werden, oder warum die Menge der forensischen Beweisaufnahme ungewöhnlich ist. Die geräteintegritäts-status kann auch bestätigen, dass die Inforensik-Beweiserfassung enthaltenen Geräte fehlerfrei sind und keine Aufmerksamkeit oder Konfigurationsänderungen erfordern. In der folgenden Tabelle sind mögliche status Detailmeldungen und empfohlene Aktionen aufgeführt, die Sie ergreifen können, um Warnungen und Fehler zu beheben:

Statusdetails	Status	Vorgeschlagene Aktion
Interner Serverfehler. Daher fehlen möglicherweise Erfassungsdaten.	Error	Create eines Supporttickets bei Microsoft zur weiteren Untersuchung
Die Uploadbandbreite hat 90 % des konfigurierten Grenzwerts auf diesem Gerät erreicht. Erfassungen werden möglicherweise bald überschrieben.	Warnung	Erhöhen Sie den Grenzwert für die Uploadbandbreite auf der Einstellungsseite für forensische Beweise .
Die konfigurierte Uploadbandbreitengrenze wurde auf diesem Gerät erreicht. Für den Tag werden keine weiteren Aufzeichnungen hochgeladen.	Error	Erhöhen Sie den Grenzwert für die Uploadbandbreite auf der Einstellungsseite für forensische Beweise .
Der Offlinespeicher hat 90 % des konfigurierten Grenzwerts auf diesem Gerät erreicht. Erfassungen werden möglicherweise bald überschrieben.	Warnung	Erhöhen Sie den Grenzwert für den Cache für die Offlineerfassung auf der Einstellungsseite für forensische Beweise .
Das konfigurierte Offlinespeicherlimit wurde auf diesem Gerät erreicht. Infolgedessen werden Offlineerfassungen überschrieben.	Error	Erhöhen Sie den Grenzwert für den Cache für die Offlineerfassung auf der Einstellungsseite für forensische Beweise .
Die CPU-Auslastung auf dem Gerät hat den maximalen Schwellenwert überschritten.	Error	Der Erfassungsprozess wurde beendet und wird in wenigen Minuten neu gestartet.
Die Speicherauslastung auf dem Gerät hat den maximalen Schwellenwert überschritten.	Error	Der Erfassungsprozess wurde beendet und wird in wenigen Minuten neu gestartet.
Die GPU-Nutzung auf dem Gerät hat den maximalen Schwellenwert überschritten.	Error	Der Erfassungsprozess wurde beendet und wird in wenigen Minuten neu gestartet.
Der auf dem Gerät installierte Microsoft Purview-Client kann nicht mit der Forensik-Beweisrichtlinie synchronisiert werden.	Warnung	Herstellen einer Verbindung mit dem Netzwerk & erneutes Installieren des Clients
Der auf dem Gerät installierte Microsoft Purview-Client wurde seit mehr als 24 Stunden nicht mit der Forensik-Beweisrichtlinie synchronisiert.	Error	Herstellen einer Verbindung mit dem Netzwerk & erneutes Installieren des Clients
Der Microsoft Purview-Client kann keine Aktivität erfassen, da auf diesem Gerät keine Grafik Karte erkannt wird.	Error	Fügen Sie eine Grafik Karte hinzu, oder ersetzen Sie das Gerät durch ein Gerät, das über eine Grafik Karte
Der Microsoft Purview-Client kann keine Aktivität erfassen, da auf diesem Gerät keine Anzeigemonitore erkannt werden.	Error	Hinzufügen von Anzeigemonitoren für dieses Gerät
Der Microsoft Purview-Client kann keine Aktivität erfassen, da die Anzeigemonitore auf diesem Gerät ausgeschaltet oder getrennt wurden.	Error	Anschließen/Einschalten von Bildschirmmonitoren für das Gerät
Das Gerät kann nicht auf das Verzeichnis zugreifen, in dem forensische Beweisaufnahmen gespeichert sind.	Error	Erneutes Installieren des Clients auf diesem Gerät
Fehler bei der Encoderinitialisierung.	Error	Installieren Sie den Client auf diesem Gerät neu.

Wenden Sie sich an Microsoft-Support, wenn die empfohlenen Aktionen Probleme mit dem Client nicht beheben.

Kapazität und Abrechnung

Wenn forensische Beweise konfiguriert sind, können Sie das Forensik-Beweis-Add-On für Insider-Risikomanagement für Ihre erfassten Clips erwerben. Das Add-On ist für Organisationen mit einer der folgenden Lizenzen verfügbar: Microsoft 365 E5, Microsoft 365 E5 Compliance oder Microsoft 365 E5 Insider-Risikomanagement.

Organisationen können das Add-On in Einheiten von 100 GB pro Monat erwerben. Erworbene Kapazität gilt für die Erfassung von forensischen Beweisen, die am Kaufdatum beginnen und am ersten des Monats zurückgesetzt werden. Nicht verwendete Kapazität wird nicht übertragen. Es wird empfohlen, die Lizenz zu Beginn des Monats zu erwerben, um den Wert der Lizenz zu maximieren. 100 GB entspricht ungefähr 1.100 Stunden forensischer Beweisaufnahme pro Mandant bei einer Videoauflösung von 1080p. Sie können den Kapazitätsrechner herunterladen , um die Anzahl der pro Monat benötigten GB zu schätzen.

Nachdem die forensischen Beweise erfasst wurden, werden sie 120 Tage lang aufbewahrt. Sie können forensische Beweise bei Bedarf nach dem Aufbewahrungszeitraum von 120 Tagen exportieren.

Zahlungspläne

Beim Kauf des Add-Ons über das Microsoft 365 Admin Center sind zwei Zahlungspläne verfügbar:

• Jährliche Bezahlung (verfügbar in allen Kanälen). Mit der Option "Jährliche Verpflichtung" können Sie die Anzahl von Lizenzen, die Sie jeden Monat für 12 Monate angeben, erwerben. Es eignet sich für Kunden, die sicherstellen möchten, dass sie jeden Monat über Kapazität verfügen, um forensische Beweise ohne Unterbrechung zu erfassen. Mit diesem Zahlungsplan wird die Anzahl der monatlich erworbenen Lizenzen automatisch aufgefüllt. Erworbene Kapazität gilt für die Erfassung von forensischen Beweisen, die am Kaufdatum beginnen und am ersten des Monats zurückgesetzt werden. Nicht verwendete Kapazität wird nicht übertragen. Kunden können wählen, ob sie einmal in Rechnung gestellt werden oder die Rechnung in 12 monatliche Zahlungen aufteilen möchten.
• Monatliche Bezahlung (nur im Web direkt verfügbar). Wenn Sie keine jährliche Verpflichtung eingehen möchten, können Sie die Anzahl der pro Monat benötigten Lizenzen erwerben. Erworbene Kapazität gilt für die Erfassung von forensischen Beweisen, die am Kaufdatum beginnen und am ersten des Monats zurückgesetzt werden. Nicht verwendete Kapazität wird nicht übertragen.

Kann ich die forensische Funktion vor dem Kauf ausprobieren?

Jeder Mandant, der über eine Microsoft 365 E5, Microsoft 365 E5 Compliance oder Microsoft 365 E5 Insider-Risikomanagement-Lizenz verfügt, kann sich für eine 20-GB-Testlizenz registrieren, um die Forensik-Beweisfunktionen auszuprobieren.

Hinweis

Die 20-GB-Testlizenz ist nur für Kunden auf der Legacy-E-Commerce-Plattform verfügbar.

Die über die Testlizenz verfügbare Kapazität von 20 GB hat kein Zeitlimit und ist verfügbar, bis Sie die vollständigen 20 GB verbrauchen. Wenn Sie nicht die vollen 20 GB in einem Jahr verbrauchen, können Sie sie reaktivieren. Wenn Sie vor der Nutzung der Testkapazität eine Add-On-Lizenz für forensische Beweise erwerben, können Sie die verbleibende Testkapazität verwenden, bis sie aufgebraucht ist, bevor das System mit der Messung der erworbenen Kapazität beginnt.

Wenn Sie die 20 GB Testkapazität verbrauchen und anschließend nicht das forensische Add-On für Insider-Risikomanagement erwerben, können Sie alle Clips anzeigen, die Sie bereits erfasst haben, aber keine neuen Clips erfassen können.

Registrieren für die 20-GB-Testlizenz

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.

2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

3. Wählen Sie im linken Navigationsbereich Forensische Beweise und dann Kapazität und Abrechnung aus.

   Hinweis

   Sie können sich auch aufder Registerkarte Dashboard fürforensische Beweise> für insider-Risikomanagement> für die Testversion registrieren.

4. Wählen Sie 20 GB Kapazität beanspruchen aus.

5. Befolgen Sie die Anweisungen im Microsoft 365 Admin Center.

Compliance-Portal

1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization beim Complianceportal an.

2. Wechseln Sie zur Insider-Risikomanagement-Lösung .

3. Wechseln Sie zu Forensische Beweise>Kapazität und Abrechnung.

   Hinweis

   Sie können sich auch aufder Registerkarte Dashboard fürforensische Beweise> für insider-Risikomanagement> für die Testversion registrieren.

4. Wählen Sie 20 GB Kapazität beanspruchen aus.

5. Befolgen Sie die Anweisungen im Microsoft 365 Admin Center.

Erwerben des forensischen Add-Ons für Insider-Risikomanagement

1. Wechseln Sie zu Microsoft 365 Admin Center>Marktplatz>Alle Produkte.
2. Suchen Sie nach "forensischen Beweis".

Analysieren Ihrer Kapazität

Nachdem Sie Kapazität erworben haben (oder sich für die 20-GB-Testlizenz angemeldet haben), können Sie auf der Seite Kapazität analysieren, wie viel Kapazität Sie verbraucht haben und wie viel Kapazität noch vorhanden ist. Sie können auch die Menge der Kapazität analysieren, die Sie jeden Monat verwenden, indem Sie in der Liste Kapazitätsauslastung in GB auswählen oder alle Kapazitätsauslastung anzeigen auswählen.

Hinweis

Die E-Commerce-Plattform verfügt über eine Legacyabrechnungsplattform und eine moderne Abrechnungsplattform. Die Abrechnung des Insider-Risikomanagements ist für die Verwendung mit der modernen Abrechnungsplattform konzipiert. Die erworbene Kapazität wird bei der monatlichen Erfassung von forensischen Beweisen erzwungen, beginnend mit dem Kaufdatum und dem Zurücksetzen des ersten jeden Monats. Jede erworbene Kapazität kann in diesem Monat vollständig genutzt werden und wird am ersten des nächsten Monats zurückgesetzt. Sie können die Kapazität bis zum Ablaufdatum der Lizenz weiter nutzen.