Aan de slag met intern risicobeheer

  • Artikel
  • 12 minuten om te lezen

Gebruik beleid voor insiderrisicobeheer om risicovolle activiteiten en beheerhulpmiddelen te identificeren om risicowaarschuwingen in uw organisatie op te nemen. Volg de volgende stappen om vereisten in te stellen en een beleid voor insiderrisicobeheer te configureren.

Belangrijk

De Microsoft 365 insider risk management-oplossing biedt een optie op tenantniveau om klanten te helpen interne governance op gebruikersniveau te vergemakkelijken. Beheerders op tenantniveau kunnen machtigingen instellen voor toegang tot deze oplossing voor leden van uw organisatie en gegevensconnectoren instellen in de Microsoft 365-compliancecentrum om relevante gegevens te importeren ter ondersteuning van de identificatie op gebruikersniveau van potentieel riskante activiteiten. Klanten erkennen inzichten met betrekking tot het gedrag, het karakter of de prestaties van de afzonderlijke gebruiker die materiaal gerelateerd zijn aan werk, kunnen door de beheerder worden berekend en beschikbaar worden gesteld aan anderen in de organisatie. Daarnaast erkennen klanten dat ze hun eigen volledige onderzoek moeten uitvoeren met betrekking tot het gedrag, karakter of prestaties van de afzonderlijke gebruiker die materiaal gerelateerd is aan werk en niet alleen moeten vertrouwen op inzichten van de insider-service voor risicobeheer. Klanten zijn uitsluitend verantwoordelijk voor het gebruik van de Microsoft 365 insider risk management-service en alle bijbehorende functies of service in overeenstemming met alle toepasselijke wetten, met inbegrip van wetten met betrekking tot individuele gebruikersidentificatie en eventuele herstelacties.

Zie Insider risk management in Microsoft 365 voor meer informatie over hoe insiderrisicobeleid u kan helpen bij het beheren van risico's in uw organisatie.

Abonnementen en licenties

Voordat u aan de slag gaat met insider risk management, moet u uw Microsoft 365 en eventuele invoegtoepassingen bevestigen. Als u insider risk management wilt openen en gebruiken, moet uw organisatie een van de volgende abonnementen of invoegtoepassingen hebben:

  • Microsoft 365 E5/A5/G5-abonnement (betaalde of proefversie)
  • Microsoft 365 E3/A3/G3-abonnement + de Microsoft 365 E5/A5/G5 Compliance-add-on
  • Microsoft 365 E3/A3/G3-abonnement + de Microsoft 365 E5/A5/G5 Insider Risk Management add-on
  • Office 365 E3-abonnement + Enterprise Mobility and Security E3 + de Microsoft 365 E5 Compliance-invoegtoepassing

Gebruikers die zijn opgenomen in beleid voor insiderrisicobeheer, moeten een van de bovenstaande licenties krijgen toegewezen.

Als u geen bestaand Microsoft 365 Enterprise E5-abonnement hebt en insider risk management wilt proberen, kunt u Microsoft 365 toevoegen aan uw bestaande abonnement of u registreren voor een proefabonnement op Microsoft 365 Enterprise E5.

Aanbevolen acties kunnen uw organisatie helpen snel aan de slag te gaan en het beste uit mogelijkheden voor insiderrisicobeheer te halen. Aanbevolen acties op de pagina Overzicht helpen u bij de stappen voor het configureren en implementeren van beleid en het uitvoeren van onderzoekacties voor gebruikersacties die waarschuwingen genereren op basis van beleidsregels.

Aanbevolen acties voor intern risicobeheer.

De volgende aanbevelingen zijn beschikbaar om u te helpen aan de slag te gaan met of uw configuratie voor insiderrisicobeheer te maximaliseren:

  • Auditing in- of uit: wanneer deze is ingeschakeld, worden gebruikers- en beheerdersactiviteiten in uw organisatie opgenomen in het Microsoft 365 auditlogboek. Insider-risicobeleid en analysescans gebruiken dit logboek om risicoactiviteiten te detecteren.
  • Machtigingen krijgen voor gebruikersrisicobeheer: het toegangsniveau dat u hebt voor functies voor insiderrisicobeheer, is afhankelijk van de rolgroep waaraan u bent toegewezen. Als u aanbevolen acties wilt openen en configureren, moeten gebruikers zijn toegewezen aan de rollengroepen Insider Risk Management of Insider Risk Management Admins.
  • Kies beleidsindicatoren: indicatoren zijn in feite de gebruikersactiviteiten die u wilt detecteren en onderzoeken. U kunt indicatoren kiezen om activiteiten bij te houden op verschillende Microsoft 365 locaties en services.
  • Scannen op potentiële insiderrisico's: Voer een analysescan uit om mogelijke insiderrisico's in uw organisatie te ontdekken. Na het evalueren van de resultaten, bekijkt u aanbevolen beleidsregels die u wilt instellen.
  • Machtigingen toewijzen aan anderen: als er extra teamleden zijn die verantwoordelijk zijn voor het beheren van functies voor insiderrisico's, moet u deze toewijzen aan de juiste rollengroepen.
  • Uw eerste beleid maken: als u waarschuwingen wilt ontvangen over potentieel risicovolle activiteiten, moet u beleidsregels instellen op basis van vooraf gedefinieerde sjablonen die de gebruikersactiviteiten definiëren die u wilt detecteren en onderzoeken.
  • Controleer de gebruiker van wie de activiteit wordt beoordeeld: met het dashboard Gebruikers kunt u gebruikers bekijken aan wie momenteel risicoscores worden toegewezen, ongeacht of deze activiteit aan de drempelwaarde heeft voldaan om een waarschuwing te genereren.
  • Waarschuwingen controleren: nadat een triggering-gebeurtenis voor een gebruiker heeft plaats gevonden, wordt met beleid risicoscores toegewezen aan gedetecteerde activiteit. Als een risicoscore voldoet aan de drempelwaarden van een beleid, ziet u een waarschuwing met een gedetailleerde uitsplitsing van alle activiteiten die voor die gebruiker worden gescored.
  • Een zaak onderzoeken: gevallen worden handmatig gemaakt op basis van waarschuwingen wanneer nader onderzoek nodig is om mogelijke insiderrisico's te identificeren. Elk geval is beperkt tot één gebruiker en meerdere waarschuwingen voor de gebruiker kunnen worden toegevoegd aan een bestaand geval of aan een nieuw geval.

Elke aanbevolen actie in deze ervaring heeft vier kenmerken:

  • Actie: De naam en beschrijving van de aanbevolen actie.
  • Status: De status van de aanbevolen actie. Waarden worden niet gestart, In uitvoering, Opgeslagen voor later of Voltooid.
  • Vereist of optioneel: of de aanbevolen actie vereist is of optioneel is om insider-functies voor risicobeheer te laten werken zoals verwacht.
  • Geschatte tijd om te voltooien: Geschatte tijd om de aanbevolen actie in minuten te voltooien.

Selecteer een aanbeveling in de lijst om aan de slag te gaan met het configureren van intern risicobeheer. Elke aanbevolen actie leidt u door de vereiste activiteiten voor de aanbeveling, inclusief eventuele vereisten, wat u kunt verwachten en de impact van het configureren van de functie in uw organisatie. Elke aanbevolen actie wordt automatisch gemarkeerd als voltooid wanneer deze is geconfigureerd of u moet de actie handmatig selecteren als voltooid wanneer deze is geconfigureerd.

Stap 1 (vereist): Machtigingen inschakelen voor intern risicobeheer

Belangrijk

Nadat u de rollengroepen hebt geconfigureerd, kan het 30 minuten duren voordat de machtigingen voor rollengroepen van toepassing zijn op toegewezen gebruikers in uw organisatie.

Er zijn zes rollengroepen die worden gebruikt om initiële machtigingen te configureren voor het beheren van functies voor insiderrisicobeheer. Als u Insider-risicobeheer beschikbaar wilt maken als menuoptie in Microsoft 365-compliancecentrum en wilt doorgaan met deze configuratiestappen, moet u zijn toegewezen aan een van de volgende rollen of rollengroepen:

Leden van de volgende rollen hebben dezelfde oplossingsmachtigingen die zijn opgenomen in de rollengroep Insider Risk Management Admin:

  • Azure Active Directory globale beheerder
  • Azure Active Directory compliancebeheerder
  • Microsoft 365-compliancecentrum Organisatiebeheer
  • Microsoft 365-compliancecentrum compliancebeheerder

Belangrijk

Zorg ervoor dat u altijd ten minste één gebruiker hebt in de rollengroepen Insider Risk Management of Insider Risk Management Admin (afhankelijk van de optie die u kiest), zodat uw insider-configuratie voor risicobeheer geen 'zero administrator'-scenario heeft als specifieke gebruikers uw organisatie verlaten.

Afhankelijk van hoe u beleidsregels en waarschuwingen voor insiderrisicobeheer wilt beheren, moet u gebruikers toewijzen aan specifieke rollengroepen om verschillende sets functies voor insiderrisicobeheer te beheren. U hebt de optie om gebruikers met verschillende complianceverantwoordelijkheden toe te wijzen aan specifieke rollengroepen om verschillende gebieden van insider-functies voor risicobeheer te beheren. Of u kunt besluiten om alle gebruikersaccounts voor aangewezen beheerders, analisten, onderzoeker en kijkers toe te wijzen aan de rollengroep Insider Risk Management. Gebruik één rollengroep of meerdere rollengroepen om het beste aan uw vereisten voor compliancebeheer te voldoen.

Kies uit deze opties voor rollengroep voor oplossingen bij het configureren en beheren van insiderrisicobeheer:

Rollengroep Rolmachtigingen
Intern risicobeheer Gebruik deze rollengroep om insiderrisicobeheer voor uw organisatie in één groep te beheren. Door alle gebruikersaccounts toe te voegen voor aangewezen beheerders, analisten, onderzoekers en auditors, kunt u machtigingen voor insiderrisicobeheer configureren in één groep. Deze rollengroep bevat alle machtigingen voor insiderrisicobeheer en bijbehorende machtigingen. Deze configuratie is de eenvoudigste manier om snel aan de slag te gaan met insider risk management en is geschikt voor organisaties die geen afzonderlijke machtigingen nodig hebben die zijn gedefinieerd voor afzonderlijke groepen gebruikers. Wanneer u deze configuratie gebruikt, moet u ervoor zorgen dat er altijd ten minste één gebruiker aan deze rollengroep is toegewezen om ervoor te zorgen dat uw beleid werkt zoals verwacht, zodat de gebruiker beleidsregels kan maken en bewerken, oplossingsinstellingen kan configureren en waarschuwingen voor beleidstoestanden kan controleren.
Insider Risk Management Admin Gebruik deze rollengroep om in eerste instantie insiderrisicobeheer te configureren en later om beheerders van insiderrisico's te scheiden in een gedefinieerde groep. Gebruikers in deze rollengroep kunnen analyseinzichten in- en weergeven en insiderrisicobeheerbeleid, globale instellingen en rollengroeptoewijzingen maken, lezen, bijwerken en verwijderen. Wanneer u deze configuratie gebruikt, moet u ervoor zorgen dat er altijd ten minste één gebruiker aan deze rollengroep is toegewezen om ervoor te zorgen dat uw beleid werkt zoals verwacht, zodat de gebruiker beleidsregels kan maken en bewerken, oplossingsinstellingen kan configureren en waarschuwingen voor beleidstoestanden kan controleren.
Analist intern risicobeheer Gebruik deze groep om machtigingen toe te wijzen aan gebruikers die fungeren als insiderrisicocaseanalisten. Gebruikers in deze rollengroep hebben toegang tot alle insiderrisicobeheerwaarschuwingen, cases, analyseinzichten en kennisgevingssjablonen. Ze hebben geen toegang tot het insiderrisico Inhoudsverkenner.
Onderzoeker intern risicobeheer Gebruik deze groep om machtigingen toe te wijzen aan gebruikers die fungeren als insider-risicogegevensonderzoekers. Gebruikers in deze rollengroep hebben toegang tot alle waarschuwingen voor insiderrisicobeheer, cases, kennisgevingssjablonen en de Inhoudsverkenner voor alle gevallen.
Insider Risk Management Auditors Gebruik deze groep om machtigingen toe te wijzen aan gebruikers die activiteiten voor insiderrisicobeheer controleren. Gebruikers in deze rollengroep hebben toegang tot het auditlogboek voor insiderrisico's. Gebruikers in deze rollengroep hebben geen toegang tot de functie aanbevolen acties (preview).

Notitie

Deze rollengroepen worden momenteel niet ondersteund op Privileged Identity Management (PIM). Zie Azure AD-rollen toewijzen in Privileged Identity Management voor meer informatie over PIM.

Gebruikers toevoegen aan een rollengroep voor insiderrisicobeheer

Volg de volgende stappen om gebruikers toe te voegen aan een rollengroep voor insiderrisicobeheer:

  1. Meld u aan Microsoft 365-compliancecentrum referenties voor een beheerdersaccount in uw Microsoft 365 organisatie.

  2. Ga in het & Beveiligings compliancecentrum naar Machtigingen. Selecteer de koppeling voor het weergeven en beheren van rollen in Office 365.

  3. Selecteer de rollengroep voor insiderrisicobeheer aan wie u gebruikers wilt toevoegen en selecteer vervolgens Rollengroep bewerken.

  4. Selecteer Leden kiezen in het linkernavigatiedeelvenster en selecteer vervolgens Bewerken.

  5. Selecteer Toevoegen en schakel het selectievakje in voor alle gebruikers die u wilt toevoegen aan de rollengroep.

  6. Selecteer Toevoegen en selecteer vervolgens Klaar.

  7. Selecteer Opslaan om de gebruikers toe te voegen aan de rollengroep. Selecteer Sluiten om de stappen uit te voeren.

Stap 2 (vereist): Het Microsoft 365 auditlogboek inschakelen

Insider risk management gebruikt Microsoft 365 auditlogboeken voor gebruikersinzichten en activiteiten die zijn geïdentificeerd in beleidsregels en analyseinzichten. De Microsoft 365 auditlogboeken zijn een overzicht van alle activiteiten binnen uw organisatie en insiderrisicobeheerbeleid kan deze activiteiten gebruiken om beleidsinzichten te genereren.

Controle is standaard ingeschakeld voor Microsoft 365-organisaties. Sommige organisaties hebben controle mogelijk uitgeschakeld om specifieke redenen. Als controle is uitgeschakeld voor uw organisatie, kan dit komen doordat een andere beheerder het heeft uitgeschakeld. We raden u aan te bevestigen dat het in orde is om de controle weer in te schakelen wanneer u deze stap voltooit.

Zie Zoeken in auditlogboeken in- of uitschakelen voor stapsgewijze instructies voor het inschakelen van controle. Nadat u controle hebt ingeschakeld, wordt er een bericht weergegeven waarin staat dat het auditlogboek wordt voorbereid en dat u een zoekopdracht kunt uitvoeren binnen een paar uur nadat de voorbereiding is voltooid. U hoeft deze actie slechts één keer uit te voeren. Zie Zoeken in het auditlogboek voor meer informatie over het gebruik van het Microsoft 365-auditlogboek.

Stap 3 (optioneel): Inzichten in insider risk analytics in- en weergeven

Met de analyse van intern risicobeheer kunt u potentiële insider-risico's in uw organisatie evalueren zonder beleid voor insider-risico's te configureren. Aan de hand van deze evaluatie kan uw organisatie potentiële gebieden met een hoger gebruikersrisico identificeren en bepalen welk type en bereik van het beleid voor intern risicobeheer u wilt configureren. Deze evaluatie kan u ook helpen bij het bepalen van de behoeften voor aanvullende licenties of toekomstige optimalisatie van bestaande beleidsregels. Het kan tot 48 uur duren voordat de resultaten van de analysescan beschikbaar zijn als rapporten ter beoordeling. Zie Insider-instellingen voor risicobeheer voor meer informatie over analyseinzichten: Analytics (preview) en bekijk de video Insider Risk Management Analytics om te begrijpen hoe analyse kan helpen bij het sneller identificeren van potentiële insiderrisico's en om snel actie te ondernemen.

Als u insider risk Analytics wilt inschakelen, moet u lid zijn van de rollengroep Insider Risk Management, Insider Risk Management of Microsoft 365 Global Admin.

Volg de volgende stappen om insider risk analytics in teschakelen:

  1. Ga in Microsoft 365-compliancecentrumnaar Insider-risicobeheer.
  2. Selecteer Scan uitvoeren op de scan voor insiderrisico's in uw organisatiekaart op het tabblad Overzicht van insiderrisicobeheer. Met deze actie schakelt u het scannen van analyses voor uw organisatie in. U kunt scannen in uw organisatie ook inschakelen door te navigeren naar Insider-risico-instellingen Analytics (preview) en de gebruikersactiviteit van uw tenant scannen in te stellen om mogelijke > insiderrisico's te identificeren.
  3. Selecteer in het deelvenster Details van Analyse de optie Scan uitvoeren om de scan voor uw organisatie te starten. Het kan tot 24 uur duren voordat inzichten beschikbaar zijn als rapporten om te worden beoordeeld.

Nadat u de analyseinzichten hebt beoordeeld, kiest u het beleid voor insiderrisico's en configureert u de bijbehorende vereisten die het best voldoen aan de risicobeperkingsstrategie voor insiders van uw organisatie.

Stap 4 (vereist): Vereisten voor beleid configureren

De meeste beleidsregels voor insiderrisicobeheer hebben vereisten die moeten worden geconfigureerd voor beleidsindicatoren om relevante activiteitswaarschuwingen te genereren. Configureer de juiste vereisten, afhankelijk van het beleid dat u wilt configureren voor uw organisatie.

Een MICROSOFT 365-connector configureren

Insider-risicobeheer ondersteunt het importeren van gebruikers- en logboekgegevens die zijn geïmporteerd uit platformen voor risicobeheer en personeelszaken van derden. Met Microsoft 365 hr-gegevensconnector (Human Resources) kunt u hr-gegevens uit CSV-bestanden halen, zoals beëindigingsdatums van gebruikers, laatste dienstverbanddatums, meldingen over prestatieverbeteringsplan, acties voor prestatiebeoordeling en status van functieniveau wijzigen. Deze gegevens helpen waarschuwingsindicatoren in beleidsregels voor insiderrisicobeheer te verbeteren en vormen een belangrijk onderdeel van het configureren van volledige risicobeheerdekking in uw organisatie. Als u meer dan één HR-connector configureert voor uw organisatie, haalt insider risk management automatisch indicatoren uit alle HR-connectors.

De Microsoft 365 HR-connector is vereist wanneer u de volgende beleidssjablonen gebruikt:

  • Gegevenslekken door ontevreden gebruikers
  • Gegevensdiefstal van vertrekkende gebruikers
  • Algemeen misbruik van patiëntengegevens
  • Schendingen van beveiligingsbeleid door vertrekkende gebruikers
  • Schendingen van het beveiligingsbeleid door een ontevreden gebruiker

Zie het artikel Een verbindingslijn instellen voor het importeren van HR-gegevens voor stapsgewijs richtlijnen voor het configureren van de Microsoft 365 HR-connector voor uw organisatie. Nadat u de HR-connector hebt geconfigureerd, gaat u terug naar deze configuratiestappen.

Een gezondheidsspecifieke gegevensconnector configureren

Insider risk management ondersteunt het importeren van gebruikers- en logboekgegevens die afkomstig zijn van derden in bestaande emr-systemen (Electronic Medical Record). Met de gegevensconnectors van Microsoft Healthcare en Epic kunt u activiteitsgegevens uit uw EMR-systeem halen met CSV-bestanden, waaronder onjuiste toegang tot patiëntenrecords, verdachte volumeactiviteiten en bewerkings- en exportactiviteiten. Deze gegevens helpen waarschuwingsindicatoren in beleidsregels voor insiderrisicobeheer te verbeteren en vormen een belangrijk onderdeel van het configureren van volledige risicobeheerdekking in uw organisatie.

Als u meer dan één Connector voor gezondheidszorg of Epos configureert voor uw organisatie, ondersteunt insider risk management automatisch signalen van gebeurtenissen en activiteiten van alle connectors Healthcare en Epic. De Microsoft 365 Healthcare- of Epic-connector is vereist wanneer u de volgende beleidssjablonen gebruikt:

  • Algemeen misbruik van patiëntengegevens

Zie een connector instellen voor het importeren van gezondheidsgegevens of Een verbindingslijn instellen om Episch EPD-gegevensartikel te importeren voor stapsgewijs richtlijnen voor het configureren van een specifieke verbindingslijn voor de gezondheidszorg voor uw organisatie. Nadat u een verbindingslijn hebt geconfigureerd, gaat u terug naar deze configuratiestappen.

DLP-beleid (Data Loss Prevention) configureren

Insider risk management ondersteunt het gebruik van DLP-beleid om de opzettelijke of onbedoelde blootstelling van gevoelige informatie aan ongewenste partijen te identificeren voor DLP-waarschuwingen met hoge ernst. Wanneer u een beleid voor insider-risicobeheer configureert met een van de gegevenslekkensjablonen, kunt u een specifiek DLP-beleid toewijzen aan het beleid voor dit type waarschuwingen.

DLP-beleid helpt gebruikers bij het activeren van risicoscores in insider risk management voor DLP-waarschuwingen met hoge ernst voor gevoelige informatie en vormen een belangrijk onderdeel van het configureren van volledige risicobeheerdekking in uw organisatie. Zie Insider-beleid voor risicobeheer voor meer informatie over insiderrisicobeheeren DLP-beleidsintegratie en -planning.

Belangrijk

Zorg ervoor dat u het volgende hebt voltooid:

  • U begrijpt en configureert de gebruikers binnen het bereik in zowel het DLP- als insiderrisicobeheerbeleid om de beleidsdekking te leveren die u verwacht.
  • Zorg ervoor dat de instelling incidentrapporten in het DLP-beleid voor insiderrisicobeheer dat met deze sjablonen wordt gebruikt, is geconfigureerd voor waarschuwingen op hoog ernstniveau. Waarschuwingen voor insiderrisicobeheer worden niet gegenereerd op basis van DLP-beleid met het veld Incidentrapporten ingesteld op Laag of Gemiddeld.

Een DLP-beleid is optioneel wanneer u de volgende beleidssjablonen gebruikt:

  • Algemene gegevenslekken
  • Gegevenslekken per gebruiker met prioriteit

Zie het artikel DLP-beleid maken, testen en afstemmen voor stapsgewijs richtlijnen voor het configureren van DLP-beleid voor uw organisatie. Nadat u een DLP-beleid hebt geconfigureerd, gaat u terug naar deze configuratiestappen.

Gebruikersgroepen met prioriteit configureren

Insider-risicobeheer omvat ondersteuning voor het toewijzen van prioriteitsgebruikersgroepen aan beleidsregels om unieke risicoactiviteiten voor gebruikers met kritieke posities, hoge niveaus van gegevens en netwerktoegang of een geschiedenis van risicogedrag te helpen. Het maken van een gebruikersgroep met prioriteit en het toewijzen van gebruikers aan het groepshulpbereikbeleid aan de unieke omstandigheden die door deze gebruikers worden gepresenteerd.

Een gebruikersgroep met prioriteit is vereist wanneer u de volgende beleidssjablonen gebruikt:

  • Schendingen van beveiligingsbeleid door gebruikers met een prioriteit
  • Gegevenslekken per gebruiker met prioriteit

Zie het artikel Aan de slag met insider-instellingen voor risicobeheer voor stapsgewijs richtlijnen om een gebruikersgroep met prioriteit te maken. Nadat u een gebruikersgroep met prioriteit hebt geconfigureerd, gaat u terug naar deze configuratiestappen.

Fysieke verbindingslijn configureren (optioneel)

Insider risk management ondersteunt het importeren van gebruikers- en logboekgegevens van fysieke besturings- en toegangsplatforms. Met de verbindingslijn Fysiek slechten kunt u toegangsgegevens uit JSON-bestanden binnen halen, zoals gebruikers-ID's, toegangspunt-ID's, toegangstijd en -datums en toegangsstatus. Deze gegevens helpen waarschuwingsindicatoren in beleidsregels voor insiderrisicobeheer te verbeteren en vormen een belangrijk onderdeel van het configureren van volledige risicobeheerdekking in uw organisatie. Als u meer dan één fysieke verbindingslijn configureert voor uw organisatie, haalt insider risk management automatisch indicatoren uit alle connectors voor fysieke fout. Informatie van de physical badging connector vormt een aanvulling op andere insiderrisicosignalen bij het gebruik van alle sjablonen voor insiderrisicobeleid.

Belangrijk

Voor beleidsregels voor insiderrisicobeheer voor het gebruik en de correlatie van signaalgegevens met betrekking tot vertrekkende en beëindigde gebruikers met gebeurtenisgegevens van uw fysieke beheer- en toegangsplatformen, moet u ook de Microsoft 365 HR-connector configureren. Als u de connector Voor fysieke problemen inschakelen zonder de Microsoft 365 HR-connector in te stellen, worden gebeurtenissen in het beleid voor insiderrisicobeheer alleen verwerkt voor onbevoegde fysieke toegang voor gebruikers in uw organisatie.

Zie het artikel Een verbindingslijn instellen voor het importeren van fysieke foutgegevens voor stapsgewijs richtlijnen voor het configureren van de connector Voor fysieke problemen voor uw organisatie. Nadat u de verbindingslijn hebt geconfigureerd, gaat u terug naar deze configuratiestappen.

Microsoft Defender voor eindpunt configureren (optioneel)

Microsoft Defender for Endpoint is een beveiligingsplatform voor zakelijke eindpunten dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Voor een betere zichtbaarheid van beveiligingsovertredingen in uw organisatie, kunt u Defender voor eindpuntwaarschuwingen importeren en filteren voor activiteiten die worden gebruikt in beleidsregels die zijn gemaakt op basis van beleidsregels voor beveiligingsovertredingssjablonen voor insiderrisicobeheer.

Als u beleidsregels voor beveiligingsovertreding maakt, moet Microsoft Defender voor Eindpunt zijn geconfigureerd in uw organisatie en Defender voor Eindpunt inschakelen voor integratie van insiderrisicobeheer in het Defender-beveiligingscentrum om waarschuwingen voor beveiligingsovertreding te importeren. Zie het artikel Minimumvereisten voor Microsoft Defender voor eindpunt voor meer informatie over vereisten.

Zie het artikel Geavanceerde functies configureren in Het artikel Van Defender voor Eindpunt voor stapsgewijs richtlijnen voor het configureren van Defender voor Eindpunt voor integratie van insiderrisicobeheer. Nadat u het Microsoft Defender voor eindpunt hebt geconfigureerd, gaat u terug naar deze configuratiestappen.

Stap 5 (vereist): Instellingen voor insiderrisico's configureren

Insider-risico-instellingen zijn van toepassing op alle beleidsregels voor insiderrisicobeheer, ongeacht de sjabloon die u hebt gekozen bij het maken van een beleid. Instellingen zijn geconfigureerd met behulp van het insiderrisico-instellingenbesturingselement boven aan alle tabbladen voor insiderrisicobeheer. Deze instellingen bepalen de privacy, indicatoren, vensters bewaken en intelligente detecties.

Voordat u een beleid configureert, definieert u de volgende instellingen voor insiderrisico's:

  1. Ga in Microsoft 365-compliancecentrumnaar Insider-risicobeheer en selecteer Insider-risico-instellingen in de rechterbovenhoek van een pagina.

  2. Selecteer op de pagina Privacy een privacyinstelling voor het weergeven van gebruikersnamen voor beleidswaarschuwingen.

  3. Selecteer op de pagina Indicatoren de waarschuwingsindicatoren die u wilt toepassen op alle beleidsregels voor insiderrisico's.

    Belangrijk

    Als u waarschuwingen wilt ontvangen voor risicovolle activiteiten die zijn gedefinieerd in uw beleid, moet u een of meer indicatoren selecteren. Als indicatoren niet zijn geconfigureerd in Instellingen, kunnen de indicatoren niet worden geselecteerd in beleidsregels voor insiderrisico's.

  4. Selecteer op de pagina Beleidstijdframes de beleidstermijnen die van kracht moeten worden voor een gebruiker wanneer deze een overeenkomst voor een insiderrisicobeleid activeert.

  5. Configureer op de pagina Intelligente detecties de volgende instellingen voor insiderrisicobeleid:

  6. Schakel op de pagina Waarschuwingen exporteren de export van informatie over insiderrisicowaarschuwingen in met de Office 365 management-API's indien nodig.

  7. Maak op de pagina Prioriteit gebruikersgroepen een gebruikersgroep met prioriteit en voeg gebruikers toe als deze niet zijn gemaakt in stap 3.

  8. Configureer op Power Automate pagina met stroomstromen een stroom van insider-risicostroomsjablonen of maak een nieuwe stroom. Zie het artikel Aan de slag met insider-instellingen voor risicobeheer voor stapsgewijs richtlijnen.

  9. Configureer op de pagina Prioriteitactiva de prioriteitsactiva om gegevens te gebruiken van uw fysieke beheer- en toegangsplatform die zijn geïmporteerd door de connector Fysieke fout. Zie het artikel Aan de slag met insider-instellingen voor risicobeheer voor stapsgewijs richtlijnen.

  10. Schakel op Microsoft Teams pagina de integratie Microsoft Teams insiderrisicobeheer in om automatisch een team te maken voor case- of gebruikerssamenwerking. Zie het artikel Aan de slag met insider-instellingen voor risicobeheer voor stapsgewijs richtlijnen.

  11. Selecteer Opslaan om deze instellingen in te stellen voor uw insiderrisicobeleid.

Stap 6 (vereist): Een beleid voor insider-risicobeheer maken

Insider-beleid voor risicobeheer omvat toegewezen gebruikers en definieer welke typen risico-indicatoren zijn geconfigureerd voor waarschuwingen. Voordat activiteiten waarschuwingen kunnen activeren, moet een beleid zijn geconfigureerd. Gebruik de beleidswizard om nieuw beleid voor insiderrisicobeheer te maken.

  1. Ga in het Compliancecentrum van Microsoft 365naar Intern risicobeheer en selecteer het tabblad Beleid.

  2. Selecteer Beleid maken om de wizard Beleid te openen.

  3. Kies op de pagina Beleidssjabloon een beleidscategorie en selecteer vervolgens de sjabloon voor het nieuwe beleid. Deze sjablonen bestaan uit voorwaarden en indicatoren waarmee de risicoactiviteiten worden gedefinieerd die u wilt detecteren en onderzoeken. Bekijk de vereisten voor de sjabloon, triggering van gebeurtenissen en gedetecteerde activiteiten om te controleren of deze beleidssjabloon aan uw wensen voldoet.

    Belangrijk

    Sommige beleidssjablonen hebben vereisten die moeten worden geconfigureerd voor het genereren van relevante waarschuwingen voor het beleid. Zie stap 4 hierboven als u de toepasselijke beleidsvereisten niet hebt geconfigureerd.

  4. Selecteer Volgende om door te gaan.

  5. Vul op de pagina Naam en beschrijving de volgende velden in:

    • Naam (vereist): geef een gebruiksvriendelijke naam voor het beleid op. Deze naam kan niet worden gewijzigd nadat het beleid is gemaakt.
    • Beschrijving (optioneel): voer een optionele beschrijving in voor het beleid.

  6. Selecteer Volgende om door te gaan.

  7. Selecteer op de pagina Gebruikers en groepen de optie Alle gebruikers en groepen opnemen of Neem specifieke gebruikers en groepen op om te bepalen welke gebruikers of groepen in het beleid zijn opgenomen, of als u een sjabloon op basis van prioriteit voor gebruikers hebt gekozen; selecteer Gebruikersgroepen met prioriteit toevoegen of bewerken. Als u Alle gebruikers en groepen opnemen selecteert, wordt gezocht naar activeringsgebeurtenissen voor alle gebruikers en groepen in uw organisatie om te beginnen met het toewijzen van risicoscores voor het beleid. Als u Specifieke gebruikers en groepen opnemen selecteert, kunt u definiëren welke gebruikers en groepen moeten worden toegewezen aan het beleid. Gastgebruikersaccounts worden niet ondersteund.

  8. Selecteer Volgende om door te gaan.

  9. Op de pagina Te prioriteren inhoud kunt u (indien nodig) de bronnen toewijzen die prioriteit moeten krijgen, waardoor de kans op het genereren van een waarschuwing met een hoge ernst voor deze bronnen toeneemt. Selecteer een van de volgende opties:

    • Ja, ik wil SharePoint-sites, gevoeligheidslabels en/of gevoelige gegevenstypen als prioriteitsinhoud aanwijzen. Als u deze optie selecteert, kunnen deze kanalen worden geconfigureerd op detailpagina's in de wizard.
    • Ik wil nu geen prioriteitsinhoud opgeven (u kunt dit doen nadat het beleid is gemaakt). Als u deze optie selecteert, worden de pagina's met kanaaldetails in de wizard overgeslagen.

  10. Selecteer Volgende om door te gaan.

  11. Als u in de vorige stap de optie Ik wil SharePoint sites, gevoeligheidslabels en/of gevoelige informatietypen als prioriteitsinhoud hebt geselecteerd, ziet u de detailpagina's voor SharePoint-sites, gevoelige infotypen en Gevoeligheidslabels. Gebruik deze detailpagina's om de SharePoint, typen gevoelige informatie en gevoeligheidslabels te definiëren die in het beleid prioriteit moeten krijgen.

    • SharePoint-sites: selecteer SharePoint-site toevoegen en selecteer de SharePoint-sites waartoe u toegang hebt en die u prioriteit wilt geven. Bijvoorbeeld 'group1@contoso.sharepoint.com/sites/group1'.
    • Type gevoelige informatie: selecteer Type gevoelige informatie toevoegen en selecteer de gevoeligheidstypen die u prioriteit wilt geven. Bijvoorbeeld 'Amerikaans bankrekeningnummer' 'Creditcardnummer'.
    • Gevoeligheidslabels: selecteer Een gevoeligheidslabel toevoegen en selecteer de labels aan wie u een prioriteit wilt toevoegen. Bijvoorbeeld 'Vertrouwelijk' en 'Geheim'.

    Notitie

    Gebruikers die het beleid configureren en prioriteitssites van Share Point selecteren, kunnen SharePoint sites selecteren die ze mogen openen. Als SharePoint sites niet beschikbaar zijn voor selectie in het beleid door de huidige gebruiker, kan een andere gebruiker met de vereiste machtigingen de sites voor het beleid later selecteren of moet de huidige gebruiker toegang krijgen tot de vereiste sites.

  12. Selecteer Volgende om door te gaan.

  13. Als u de sjablonen Algemene gegevenslekken of Gegevenslekken door sjablonen met prioriteitsgebruikers hebt geselecteerd, ziet u opties op de pagina Triggers voor deze beleidspagina voor gebeurtenissen en beleidsindicatoren die op maat worden triggeren. U hebt de keuze om een DLP-beleid of -indicatoren te selecteren voor het activeren van gebeurtenissen die gebruikers die zijn toegewezen aan het beleidsbereik voor activiteitsscores, selecteren. Als u de optie Gebruiker selecteert die overeenkomt met een optie voor preventie van gegevensverlies (DLP), moet u een DLP-beleid selecteren in de vervolgkeuzelijst DLP-beleid om triggeringindicatoren voor het DLP-beleid in te stellen voor dit insiderrisicobeheerbeleid. Als u de optie Gebruiker selecteert die een gebeurtenis activeert voor exfiltrationactiviteit, moet u een of meer van de vermelde indicatoren selecteren voor de gebeurtenis voor het activeren van het beleid.

    Belangrijk

    Als u een weergegeven indicator niet kunt selecteren, is dit omdat deze niet zijn ingeschakeld voor uw organisatie. Als u ze beschikbaar wilt maken om het beleid te selecteren en toe te wijzen, kunt u de indicatoren in insiderrisicobeheer Instellingen > > Beleidsindicatoren.

    Als u andere beleidssjablonen hebt geselecteerd, worden aangepaste triggering-gebeurtenissen niet ondersteund. De ingebouwde beleidsin triggeringsgebeurtenissen zijn van toepassing en u gaat verder met stap 23 zonder beleidskenmerken te definiëren.

  14. Selecteer Volgende om door te gaan.

  15. Als u de sjablonen Algemene gegevenslekken of Gegevenslekken door prioriteitsgebruikers hebt geselecteerd en de gebruiker een exfiltratieactiviteit en bijbehorende indicatoren hebt geselecteerd, kunt u aangepaste of standaarddrempels kiezen voor de indicator die gebeurtenissen activeert die u hebt geselecteerd. Kies de standaarddrempels gebruiken (Aanbevolen) of Aangepaste drempelwaarden gebruiken voor de triggeringgebeurtenissen.

  16. Selecteer Volgende om door te gaan.

  17. Als u Aangepaste drempelwaarden gebruiken voor de triggeringgebeurtenissen hebt geselecteerd voor elke indicator voor triggeringgebeurtenissen die u hebt geselecteerd in stap 13, kiest u het juiste niveau om het gewenste niveau van activiteitswaarschuwingen te genereren.

  18. Selecteer Volgende om door te gaan.

  19. Op de pagina Beleidsindicatoren ziet u de indicatoren die u hebt gedefinieerd als beschikbaar op de pagina Indicatoren voor Insider-risico-instellingen. > Selecteer de indicatoren die u wilt toepassen op het beleid.

    Belangrijk

    Als indicatoren op deze pagina niet kunnen worden geselecteerd, selecteert u de indicatoren die u voor alle beleidsregels wilt inschakelen. U kunt de knop Indicatoren inschakelen in de wizard gebruiken of indicatoren selecteren op de pagina Intern risicobeheer > Instellingen > Beleidsindicatoren.

    Als u ten minste één Office- of apparaat-indicator hebt geselecteerd, selecteert u de risicoscore-boosters die van toepassing zijn. Risicoscore-boosters zijn alleen van toepassing op geselecteerde indicatoren. Als u een beleidssjabloon voor gegevensdiefstal of gegevenslekken hebt geselecteerd, selecteert u een of meer sequentiedetectie-methoden en een cumulatieve exfiltratiedetectie-methode om op het beleid toe te passen.

  20. Selecteer Volgende om door te gaan.

  21. Kies op de pagina Bepalen of u standaard- of aangepaste indicatordrempels wilt gebruiken aangepaste of standaarddrempels voor de beleidsindicatoren die u hebt geselecteerd. Kies de standaarddrempels voor alle indicatoren gebruiken of Aangepaste drempelwaarden opgeven voor de geselecteerde beleidsindicatoren. Als u Aangepaste drempelwaarden opgeven hebt geselecteerd, kiest u het juiste niveau om het gewenste niveau van activiteitswaarschuwingen voor elke beleidsindicator te genereren.

  22. Selecteer Volgende om door te gaan.

  23. Bekijk op de pagina Controleren de instellingen die u voor het beleid heeft gekozen en eventuele suggesties of waarschuwingen voor uw selecties. Selecteer Bewerken om een van de beleidswaarden te wijzigen of selecteer Verzenden om het beleid te maken en te activeren.

Volgende stappen

Nadat u deze stappen hebt voltooid om uw eerste beleid voor insiderrisicobeheer te maken, ontvangt u na ongeveer 24 uur waarschuwingen van activiteitsindicatoren. Configureer zo nodig extra beleid met behulp van de richtlijnen in stap 4 van dit artikel of de stappen in Een nieuw insiderrisicobeleid maken.

Zie Insider-activiteitenvoor risicobeheer voor meer informatie over het onderzoeken van insiderrisicowaarschuwingen en het dashboard Waarschuwingen.