Kom igång med hantering av insiderrisker

Använd insider-principer för riskhantering för att identifiera riskfyllda aktiviteter och hanteringsverktyg för att agera på riskvarningar i organisationen. Utför följande steg för att konfigurera förutsättningar och konfigurera en princip för insider-riskhantering.

Viktigt

The Microsoft 365 insider risk management solution provides a tenant level option to help customers facilitate internal governance at the user level. Administratörer på innehavarnivå kan konfigurera behörigheter för att ge åtkomst till den här lösningen för medlemmar i organisationen och konfigurera datakopplingar i Microsoft 365 Efterlevnadscenter för att importera relevanta data för att stödja identifiering av potentiellt riskabel aktivitet på användarnivå. Kunder bekräftar insikter som relaterar till den enskilda användarens beteende, karaktär eller prestanda material som är relaterad till anställning kan beräknas av administratören och göras tillgänglig för andra i organisationen. Dessutom bekräftar kunder att de måste genomföra en egen fullständig undersökning relaterad till den enskilda användarens beteende, karaktär eller prestanda i material som är relaterad till anställning, och inte bara förlita sig på insikter från insider-riskhanteringstjänsten. Kunder är ensamt ansvariga för att använda Microsoft 365 insider-riskhanteringstjänsten och alla associerade funktioner eller tjänster i enlighet med alla tillämpliga lagar, inklusive lagar som relaterar till personidentifiering och åtgärder för åtgärder.

Mer information om hur insiderriskprinciper kan hjälpa dig att hantera risker i organisationen finns i Insider-riskhantering i Microsoft 365.

Prenumerationer och licensiering

Innan du börjar med insiderriskhantering bör du bekräfta Microsoft 365-prenumerationen och eventuella tillägg. För att komma åt och använda Insider-riskhantering måste din organisation ha någon av följande prenumerationer eller tillägg:

  • Microsoft 365 E5-/A5/G5-prenumeration (betald eller utvärderingsversion)
  • Microsoft 365 E3-/A3/G3-prenumeration + tillägget Microsoft 365 E5/A5/G5 för efterlevnad
  • Microsoft 365 E3/A3/G3-prenumeration + tillägget Microsoft 365 E5/A5/G5 Insider Risk Management
  • Office 365 E3 prenumeration + Enterprise Mobility and Security E3 + Microsoft 365 E5 Compliance-tillägget

Användare som ingår i insider-riskhanteringsprinciper måste tilldelas en av licenserna ovan.

Om du inte har ett befintligt Microsoft 365 Enterprise E5-abonnemang och vill prova insider-riskhantering kan du lägga till Microsoft 365 i din befintliga prenumeration eller registrera dig för en utvärderingsversion av Microsoft 365 Enterprise E5.

Rekommenderade åtgärder kan hjälpa din organisation att snabbt komma igång och få ut mesta mesta av insider riskhanteringsfunktioner. Rekommenderade åtgärder på sidan Översikt hjälper dig genom stegen för att konfigurera och distribuera principer och vidta undersökningsåtgärder för användaråtgärder som genererar aviseringar från principmatchningar.

Rekommenderade åtgärder för hantering av interna risker.

Följande rekommendationer finns tillgängliga för att hjälpa dig att komma igång med eller maximera din konfiguration av insider-riskhantering:

  • Aktivera granskning: När användar- och administratörsaktiviteten i organisationen är aktiverad registreras den i Microsoft 365 granskningsloggen. Insider-riskprinciper och analyser använder den här loggen för att upptäcka riskaktiviteter.
  • Få behörighet till användarriskhantering: Vilken åtkomstnivå du har till insider-riskhanteringsfunktioner beror på vilken rollgrupp du har tilldelats. För att komma åt och konfigurera rekommenderade åtgärder måste användarna tilldelas rollgrupperna Insider-riskhantering eller Insider-riskhanteringsadministratörer.
  • Välj principindikatorer: Indikatorer är i princip de användaraktiviteter som du vill identifiera och undersöka. Du kan välja indikatorer för att spåra aktiviteten på Microsoft 365 platser och tjänster.
  • Sök efter potentiella Insider-risker: Kör en analyssökning för att upptäcka potentiella Insider-risker som uppstår i din organisation. När du har utvärderat resultaten bör du granska rekommenderade principer för detta.
  • Tilldela behörigheter till andra: Om det finns ytterligare gruppmedlemmar som ansvarar för att hantera insiderriskfunktioner måste du tilldela dem lämpliga rollgrupper.
  • Skapa din första princip: Om du vill få aviseringar om potentiellt riskfyllda aktiviteter måste du konfigurera principer baserat på fördefinierade mallar som definierar de användaraktiviteter du vill identifiera och undersöka.
  • Granska användare vars aktivitet poängas : Med instrumentpanelen Användare kan du visa användare vars aktivitet för närvarande tilldelas riskpoäng, oavsett om aktiviteten har uppfyllt tröskelvärdet för att generera en avisering.
  • Granska aviseringar: När en utlösande händelse inträffar för en användare börjar principer tilldela riskresultat för identifierade aktiviteter. Om en risk poäng uppfyller tröskelvärdena för en princip visas en varning som innehåller en detaljerad uppdelning av all aktivitet som poängs för den användaren.
  • Undersöka ett ärende: Ärenden skapas manuellt utifrån aviseringar när ytterligare undersökning krävs för att identifiera potentiella insiderrisker. Varje ärende är inderat i en enda användare och flera aviseringar för användaren kan läggas till i ett befintligt ärende eller i ett nytt ärende.

Varje rekommenderad åtgärd som ingår i den här upplevelsen har fyra attribut:

  • Åtgärd: Namn och beskrivning för den rekommenderade åtgärden.
  • Status: Status för den rekommenderade åtgärden. Värdena är Ej startad, Pågår, Sparad för senare eller Slutförd.
  • Obligatorisk eller valfri: Oavsett om den rekommenderade åtgärden krävs eller är valfri för att insider-riskhanteringsfunktioner ska fungera som förväntat.
  • Beräknad tid för slutförande: Beräknad tid för att slutföra den rekommenderade åtgärden i minuter.

Välj en rekommendation från listan för att komma igång med att konfigurera Insider-riskhantering. Varje rekommenderad åtgärd vägleder dig genom de aktiviteter som krävs för rekommendationen, inklusive eventuella krav, vad du kan förvänta dig och effekten av att konfigurera funktionen i din organisation. Varje rekommenderad åtgärd markeras automatiskt som slutförd när den har konfigurerats, eller så måste du manuellt välja åtgärden som slutförd när den konfigureras.

Steg 1 (obligatoriskt): Aktivera behörigheter för Insider-riskhantering

Viktigt

När du har konfigurerat rollgrupperna kan det ta upp till 30 minuter för rollgruppsbehörigheterna att gälla för tilldelade användare i organisationen.

Det finns sex rollgrupper som används för att konfigurera inledande behörigheter för att hantera insider-riskhanteringsfunktioner. Om du vill göra Insider-riskhantering tillgängligt som menyalternativ i Microsoft 365 Efterlevnadscenter och för att fortsätta med de här konfigurationsstegen måste du vara tilldelad till en av följande roller eller rollgrupper:

Medlemmar med följande roller har samma lösningsbehörigheter som ingår i rollgruppen för Insider-riskhanteringsadministratör:

  • Azure Active Directory global administratör
  • Azure Active Directory efterlevnadsadministratör
  • Microsoft 365 Efterlevnadscenter Organisationshantering
  • Microsoft 365 Efterlevnadscenter efterlevnadsadministratör

Viktigt

Se till att du alltid har minst en användare i rollgrupperna för Insider- och Insider-riskhanteringsadministratörer (beroende på vilket alternativ du väljer), så att konfigurationen för Insider-riskhantering inte får något scenario med "noll administratör" om vissa användare lämnar organisationen.

Beroende på hur du vill hantera principer och aviseringar för Insider-riskhantering måste du tilldela användare till specifika rollgrupper för att hantera olika uppsättningar med funktioner för Insider-riskhantering. Du har möjlighet att tilldela användare med olika efterlevnadsansvar till specifika rollgrupper för att hantera olika områden med funktioner för Insider-riskhantering. Eller så kanske du bestämmer dig för att tilldela alla användarkonton till administratörer, analytiker, administratörer och läsare till rollgruppen Insider Risk Management. Använd en rollgrupp eller flera rollgrupper som bäst passar kraven på efterlevnadshantering.

Välj bland de här rollgruppsalternativen för lösningar när du konfigurerar och hanterar Insider-riskhantering:

Rollgrupp Rollbehörigheter
Hantering av interna risker Använd den här rollgruppen för att hantera insider-riskhantering för organisationen i en enda grupp. Genom att lägga till alla användarkonton för angivna administratörer, analytiker, ekonomi och granskare kan du konfigurera behörigheter för Insider-riskhantering i en enda grupp. Den här rollgruppen innehåller alla behörighetsroller för Insider-riskhantering och associerade behörigheter. Den här konfigurationen är det enklaste sättet att snabbt komma igång med insider-riskhantering och är en god passform för organisationer som inte behöver separata behörigheter som definierats för separata användargrupper. När du använder den här konfigurationen bör du se till att alltid ha minst en användare tilldelad till den här rollgruppen för att säkerställa att dina principer fungerar som förväntat och så att användaren kan skapa och redigera principer, konfigurera lösningsinställningar och granska hälsovarningar för principer.
Insider-riskhanteringsadministratör Använd den här rollgruppen till att först konfigurera Insider-riskhantering och senare för att dela upp Insider-riskadministratörer i en definierad grupp. Användare i den här rollgruppen kan aktivera och visa analysinsikter och skapa, läsa, uppdatera och ta bort principer för insider-riskhantering, globala inställningar och tilldelningar av rollgrupper. När du använder den här konfigurationen bör du se till att alltid ha minst en användare tilldelad till den här rollgruppen för att säkerställa att dina principer fungerar som förväntat och så att användaren kan skapa och redigera principer, konfigurera lösningsinställningar och granska hälsovarningar för principer.
Analytiker för hantering av interna risker Använd den här gruppen för att tilldela behörigheter till användare som fungerar som insider-riskfallsanalytiker. Användare i den här rollgruppen kan komma åt och visa alla varningar för Insider-riskhantering, fall, analysinsikter och meddelandemallar. De kan inte komma åt Insider-risken i Innehållsutforskaren.
Utredare för hantering av interna risker Använd den här gruppen för att tilldela behörigheter till användare som ska agera som insider-riskgruppsbehörigheter. Användare i den här rollgruppen kan komma åt alla varningar för insider-riskhantering, ärenden, meddelandemallar och Innehållsutforskaren för alla fall.
Insider-riskhanteringsgranskningar Använd den här gruppen för att tilldela behörigheter till användare som ska granska aktiviteter inom insider-riskhantering. Användare i den här rollgruppen kan komma åt granskningsloggen för Insider-risker. Användare i den här rollgruppen kan inte komma åt och använda funktionen rekommenderade åtgärder (förhandsgranskning).

Anteckning

De här rollgrupperna stöds för närvarande inte på Privileged Identity Management (PIM). Mer information om PIM finns i Tilldela Azure AD-roller i Privileged Identity Management.

Lägga till användare i en rollgrupp för Insider-riskhantering

Utför följande steg för att lägga till användare i en rollgrupp för Insider-riskhantering:

  1. Logga in Microsoft 365 Efterlevnadscenter autentiseringsuppgifter för ett administratörskonto i Microsoft 365 organisation.

  2. I & Säkerhetsefterlevnadscenter går du till Behörigheter. Välj länken för att visa och hantera roller i Office 365.

  3. Välj den rollgrupp för Insider-riskhantering som du vill lägga till användare i och välj sedan Redigera rollgrupp.

  4. Välj Välj medlemmar i det vänstra navigeringsfönstret och välj sedan Redigera.

  5. Välj Lägg till och markera sedan kryssrutan för alla användare som du vill lägga till i rollgruppen.

  6. Välj Lägg till och välj sedan Klar.

  7. Välj Spara för att lägga till användare i rollgruppen. Välj Stäng för att slutföra stegen.

Steg 2 (obligatoriskt): Aktivera Microsoft 365 granskningsloggen

Insider-riskhantering använder Microsoft 365 granskningsloggar för användarinsikter och aktiviteter som identifieras i principer och analysinsikter. I Microsoft 365 är en sammanfattning av alla aktiviteter inom organisationen och principer för insider-riskhantering kan använda dessa aktiviteter för att generera principinsikter.

Granskning är aktiverat för Microsoft 365 organisationer som standard. Vissa organisationer kan ha inaktiverat granskning av vissa orsaker. Om granskning är inaktiverat för din organisation kan det bero på att en annan administratör har inaktiverat det. Vi rekommenderar att du bekräftar att det är OK att aktivera granskning igen när du slutför det här steget.

Stegvisa instruktioner för att aktivera granskning finns i Aktivera eller inaktivera granskningsloggsökning. När du har aktiverat granskning visas ett meddelande om att granskningsloggen förbereds och att du kan köra en sökning om några timmar när förberedelserna har slutförts. Du behöver bara utföra den här åtgärden en gång. Mer information om hur du använder Microsoft 365 granskningsloggen finns i Söka i granskningsloggen.

Steg 3 (valfritt): Aktivera och visa insikter om insiderriskanalyser

Analys av hantering av interna risker gör att du kan göra en utvärdering av potentiella insiderrisker i din organisation utan att konfigurera några principer för insiderrisk. Denna utvärdering kan hjälpa din organisation att identifiera potentiella områden med högre användarrisk och hjälpa till att bestämma typen och omfattningen av principer för hantering av insiderrisk som du kan överväga att konfigurera. Den här utvärderingen kan också hjälpa dig att fastställa behov av ytterligare licensiering eller framtida optimering av befintliga principer. Analysgenomsökningsresultat kan ta upp till 48 timmar innan insikter är tillgängliga som rapporter för granskning. Mer information om analysinsikter finns i Inställningar för Insider-riskhantering: Analys (förhandsversion) och titta på videon om Insider Risk Management Analytics för att bättre förstå hur analyser kan hjälpa dig att identifiera potentiella Insider-risker och hjälpa dig att snabbt vidta åtgärder.

För att aktivera Insider risk Analytics måste du vara medlem i rollgruppen för Insider-riskhantering, Insider-riskhanteringsadministratör eller Microsoft 365 global administratör.

Utför följande steg för att aktivera Insider Risk Analytics:

  1. I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering.
  2. Välj Kör genomsökningfliken Översikt över Insider-risker i din organisation. Den här åtgärden aktiverar analyssökning för organisationen. Du kan också aktivera genomsökning i organisationen genom att gå till Insider-riskinställningar Analys (förhandsversion) och aktivera Genomsökning av klientorganisationens användaraktivitet för att > identifiera potentiella Insider-risker.
  3. I informationsfönstret Analys väljer du Kör genomsökning för att starta sökningen för din organisation. Analyssökningsresultaten kan ta upp till 24 timmar innan insikterna är tillgängliga som rapporter för granskning.

När du har granskat analysinsikterna väljer du insiderriskprinciper och konfigurerar de associerade förutsättningarna för att bäst uppfylla organisationens strategi för insiderrisker.

Steg 4 (obligatoriskt): Konfigurera krav för principer

De flesta insider-riskhanteringsprinciper har krav som måste konfigureras för policyindikatorer för att generera relevanta aktivitetsaviseringar. Konfigurera nödvändiga krav beroende på vilka principer du planerar att konfigurera för din organisation.

Konfigurera Microsoft 365 HR-koppling

Insider-riskhantering har stöd för import av användar- och loggdata som importerats från tredjepartsplattformar för riskhantering och personalavdelningen. Med datakopplingen Microsoft 365 Human Resources (HR) kan du hämta personaldata från CSV-filer, inklusive slutdatum för användare, datum för senaste anställning, meddelanden om planen för prestandaförbättringar, åtgärder för prestationsgranskning och status för arbetsnivåändring. Dessa data hjälper till att skapa varningsindikatorer i insider-riskhanteringsprinciper och är en viktig del av konfigurationen av fullständig riskhanteringstäckning i organisationen. Om du konfigurerar fler än en HR-koppling för organisationen hämtar Insider-riskhantering automatiskt indikatorer från alla HR-kopplingar.

Den Microsoft 365 HR-kopplingen krävs när du använder följande principmallar:

  • Dataläckage av missnöjda användare
  • Avgående användardatastöld
  • Missbruk av allmänna patientdata
  • Överträdelser av säkerhetsprincip av användare som slutar
  • Överträdelse av säkerhetsprincip av en missnöjd användare

Stegvisa anvisningar för hur du konfigurerar en hr-koppling för din organisation finns i Microsoft 365 artikeln Konfigurera en koppling för hr-data. När du har konfigurerat HR-kopplingen återgår du till de här konfigurationsstegen.

Konfigurera en sjukvårdsspecifik datakoppling

Insider-riskhantering har stöd för import av användar- och loggdata som importerats från tredje part på befintliga system för elektronisk journal (EMR). Med microsoft sjukvårds- och photoshopsdatakopplingar kan du hämta aktivitetsdata från ditt EMR-system med CSV-filer, inklusive felaktig åtkomst till patientjournaler, misstänkta volymaktiviteter samt redigerings- och exportaktiviteter. Dessa data hjälper till att skapa varningsindikatorer i insider-riskhanteringsprinciper och är en viktig del av konfigurationen av fullständig riskhanteringstäckning i organisationen.

Om du konfigurerar fler än en sjukvård eller Ett äldre kopplingskontakt för din organisation, stöder Insider-riskhantering automatiskt händelse- och aktivitetssignaler från all sjukvård och alla connectors för denna. För Microsoft 365 Sjukvård eller Mallkoppling krävs följande principmallar:

  • Missbruk av allmänna patientdata

Stegvisa anvisningar för hur du konfigurerar en sjukvårdsspecifik koppling för din organisation finns i artikeln Konfigurera en anslutare för att importera Mikael EHR-data. När du har konfigurerat en koppling återgår du till de här konfigurationsstegen.

Konfigurera DLP-principer (Data Loss Prevention)

Insider-riskhantering kan användas med DLP-principer för att identifiera avsiktlig eller oavsiktlig exponering av känslig information för oönskade parter för DLP-varningar med hög allvarlighetsnivå. När du konfigurerar en Insider-riskhanteringsprincip med någon av mallarna för Dataläckor kan du tilldela en viss DLP-princip till principen för dessa typer av aviseringar.

DLP-principer hjälper till att identifiera användare för att aktivera riskbedömning i insider-riskhantering för hög allvarlighetsgrad DLP-varningar för känslig information och är en viktig del av konfigurationen av fullständig riskhanteringstäckning i organisationen. Mer information om Insider-riskhantering och integrering med DLP-principer och överväganden vid planering finns i Insider-principer för riskhantering.

Viktigt

Kontrollera att du har slutfört följande:

  • Du förstår och konfigurerar användarnas omfattning i både DLP- och Insider-riskhanteringsprinciperna så att de ger den täckning du förväntar dig.
  • Kontrollera att inställningen för incidentrapporter i DLP-principen för Insider-riskhantering som används med dessa mallar är konfigurerad för varningar hög allvarlighetsnivå. Varningar för Insider-riskhantering genereras inte från DLP-principer med fältet Incidentrapporter inställt på Låg eller Medel.

En DLP-princip är valfri när du använder följande principmallar:

  • Allmänna dataläckor
  • Dataläckor av prioritetsanvändare

Stegvisa anvisningar för hur du konfigurerar DLP-principer för organisationen finns i artikeln Skapa, testa och finjustera en DLP-princip. När du har konfigurerat en DLP-princip återgår du till de här konfigurationsstegen.

Konfigurera prioritetsanvändargrupper

Insider-riskhantering innehåller stöd för att tilldela prioriterade användargrupper till principer för att hjälpa användare med unika riskaktiviteter med kritiska positioner, hög datanivå och nätverksåtkomst eller en tidigare historik över riskbeteendet. Att skapa en prioritetsgrupp och tilldela användare till gruppen hjälpomfattningsprinciper för de unika omständigheter som presenteras av dessa användare.

En prioritetsgrupp krävs när följande principmallar används:

  • Överträdelser av säkerhetsprincip av prioritetsanvändare
  • Dataläckor av prioritetsanvändare

I artikeln Komma igång med inställningar för insider-riskhantering finns stegvisa instruktioner om hur du skapar en prioriterad användargrupp. När du har konfigurerat en prioritetsgrupp går du tillbaka till konfigurationsstegen.

Konfigurera fysisk badging-koppling (valfritt)

Insider-riskhantering har stöd för import av användar- och loggdata från fysiska kontroll- och åtkomstplattformar. Med den fysiska badgingkopplingen kan du hämta åtkomstdata från JSON-filer, inklusive användar-ID, åtkomstpunkts-ID, åtkomsttid och datum samt åtkomststatus. Dessa data hjälper till att skapa varningsindikatorer i insider-riskhanteringsprinciper och är en viktig del av konfigurationen av fullständig riskhanteringstäckning i organisationen. Om du konfigurerar fler än en fysisk badging-koppling för din organisation hämtar Insider-riskhantering automatiskt indikatorer från alla fysiska badging-kopplingar. Information från Fysiska tillägg till andra Insider-risker-signaler när du använder alla mallar för Insider-risker.

Viktigt

För att insider-riskhanteringsprinciper ska använda och korrelera signaldata relaterade till avgående och uppsagda användare med händelsedata från din fysiska kontroll och åtkomstplattformar måste du också konfigurera Microsoft 365 HR-anslutningen. Om du aktiverar anslutningen för fysisk aktivitet utan att Microsoft 365 HR-anslutningen bearbetas bara händelser för obehörig fysisk åtkomst för användare i organisationen.

Stegvisa anvisningar för hur du konfigurerar kopplingen Fysiskt dåligt för din organisation finns i artikeln Konfigurera en koppling för fysisk aktivitet för din organisation. När du har konfigurerat kopplingen återgår du till de här konfigurationsstegen.

Konfigurera Microsoft Defender för slutpunkt (valfritt)

Microsoft Defender för Endpoint är en säkerhetsplattform för företag som utformats för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och hantera avancerade hot. Om du vill se säkerhetsöverträdelser bättre i organisationen kan du importera och filtrera Defender för slutpunktsaviseringar för aktiviteter som används i principer som skapats från mallar för säkerhetsöverträdelser för Insider-riskhantering.

Om du skapar principer för säkerhetsbrott måste du ha Microsoft Defender för Slutpunkt konfigurerad i organisationen och aktivera Defender för Slutpunkt för insider-riskhanteringsintegrering i Defender Säkerhetscenter för att importera säkerhetsöverträdelser. Mer information om krav finns i artikeln Minimikrav för Microsoft Defender för Endpoint.

I artikeln Konfigurera avancerade funktioner i Defender för slutpunkt finns stegvisa anvisningar för hur du konfigurerar Defender för Slutpunkt för insider-riskhanteringsintegrering. När du har konfigurerat Microsoft Defender för slutpunkten återgår du till de här konfigurationsstegen.

Steg 5 (obligatoriskt): Konfigurera inställningar för Insider-risker

Insider-riskinställningar gäller för alla principer för Insider-riskhantering, oavsett vilken mall du valde när du skapar en princip. Inställningar konfigureras med hjälp av kontrollen för Insider-riskinställningar högst upp på alla flikar för insiderriskhantering. De här inställningarna styr sekretess, indikatorer, övervakning av fönster och intelligenta identifieringar.

Innan du konfigurerar en princip definierar du följande inställningar för Insider-risker:

  1. I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering och väljer Inställningar för Insider-risker i det övre högra hörnet på valfri sida.

  2. På sidan Sekretess väljer du en sekretessinställning för att visa användarnamn för principaviseringar.

  3. På sidan Indikatorer markerar du de aviseringsindikatorer som du vill tillämpa på alla insiderriskprinciper.

    Viktigt

    Om du vill få aviseringar om riskabel aktivitet som definieras i principerna måste du välja en eller flera indikatorer. Om indikatorerna inte är konfigurerade i Inställningar kan inte indikatorerna markeras i Insider-riskprinciper.

  4. På sidan Policy timeframes väljer du de tidsramar för principen som ska gälla för en användare när de utlöser en matchning för en Insider-riskprincip.

  5. På sidan Intelligenta identifieringar konfigurerar du följande inställningar för Insider-riskprinciper:

  6. På sidan Export-aviseringar aktiverar du export av information om Insider-riskvarningar med hjälp Office 365 Api:er för hantering om det behövs.

  7. På sidan Prioritet för användargrupper skapar du en prioritetsgrupp för användare och lägger till användare om de inte har skapats i steg 3.

  8. På sidan Power Automate flöden konfigurerar du ett flöde från mallar för Insider-riskflöden eller skapar ett nytt flöde. Stegvisa anvisningar finns i artikeln Komma igång med inställningar för insider-riskhantering.

  9. På sidan Prioritetstillgångar konfigurerar du prioritetstillgångar för att använda data från din fysiska kontroll och åtkomstplattform som importerats av kopplingen Fysiskt dåligt. Stegvisa anvisningar finns i artikeln Komma igång med inställningar för insider-riskhantering.

  10. På sidan Microsoft Teams du aktivera Microsoft Teams-integrering med Insider-riskhantering för att automatiskt skapa ett team för samarbeten i olika fall eller användare. Stegvisa anvisningar finns i artikeln Komma igång med inställningar för insider-riskhantering.

  11. Välj Spara för att aktivera de här inställningarna för dina Insider-riskprinciper.

Steg 6 (obligatoriskt): Skapa en princip för insider-riskhantering

Insider-riskhanteringsprinciper omfattar tilldelade användare och definierar vilka typer av riskindikatorer som ska konfigureras för varningar. Innan aktiviteter kan utlösa aviseringar måste en princip konfigureras. Använd principguiden för att skapa nya principer för insider-riskhantering.

  1. I Microsoft 365 Efterlevnadscenter går du till Hantering av insiderrisk och väljer fliken Princip.

  2. Välj Skapa princip för att öppna principguiden.

  3. På sidan Principmall väljer du en principkategori och väljer sedan mallen för den nya principen. De här mallarna består av villkor och indikatorer som definierar den riskaktivitet du vill identifiera och undersöka. Granska förutsättningarna, utlösande händelser och upptäckta aktiviteter flr mallen för att bekräfta att denna principmall passar dina behov.

    Viktigt

    Vissa principmallar har förutsättningar som måste konfigureras för att principen ska generera relevanta varningar. Om du inte har konfigurerat tillämpliga principförutsättningar, se Steg 4 ovan.

  4. Gå vidare genom att klicka på Nästa.

  5. På sidan Namn och beskrivning färdigställer du följande fält:

    • Namn (obligatoriskt): Ange ett eget namn på principen. Namnet kan inte ändras när principen har skapats.
    • Beskrivning (valfritt): Ange en valfri beskrivning av principen.
  6. Gå vidare genom att klicka på Nästa.

  7. På sidan Användare och grupper väljer du Inkludera alla användare och grupper eller Inkludera specifika användare och grupper för att definiera vilka användare eller grupper som är inkluderade i principen, eller välj Lägg till eller redigera prioriterade användargrupper om du har valt en mall som är baserad på prioriterade användare. Genom att välja Inkludera alla användare och grupper kommer den att leta efter utlösande händelser för alla användare och grupper i din organisation för att börja tilldela riskpoäng för principen. Genom att välja Inkludera specifika användare och grupper kan du definiera vilka användare och grupper som ska tilldelas till principen. Gästanvändarkonton stöds inte.

  8. Gå vidare genom att klicka på Nästa.

  9. På sidan Innehåll som ska prioriteras kan du tilldela (vid behov) källorna som ska prioriteras, vilket ökar möjligheten till att generera en varning om hög allvarlighet för dessa källor. Välj ett av följande alternativ:

    • Jag vill ange SharePoint-webbplatser, känslighetsetiketter och/eller känslig information som prioriterade innehåll. Om du väljer det här alternativet aktiveras informationssidor i guiden för att konfigurera dessa kanaler.
    • Jag vill inte ange prioriterat innehåll just nu (du kan göra det när principen har skapats). Om du väljer detta alternativ hoppar du över sidorna med kanalinformation i guiden.
  10. Gå vidare genom att klicka på Nästa.

  11. Om du har valt Jag vill ange SharePoint-webbplatser, känslighetsetiketter och/eller typer av känslig information som prioritetsinnehåll i föregående steg visas informationssidorna för SharePoint-webbplatser, typer av känslig information och känslighetsetiketter. Använd dessa informationssidor för att definiera SharePoint, typer av känslig information och känslighetsetiketter som ska prioriteras i principen.

    • SharePoint-webbplatser: Välj Lägg till SharePoint-webbplats och välj SharePoint-webbplatserna som du har tillgång till och som du vill prioritera. Till exempel "group1@contoso.sharepoint.com/sites/group1".
    • Typ av känslig information: Välj Lägg till typ av känslig information och välj känslighetstyperna som du vill prioritera. Till exempel “Amerikanskt bankkontonummer” och “Kreditkortsnummer”
    • Känslighetsetiketter: Välj Lägg till känslighetsetikett och välj etiketterna som du vill prioritera. Till exempel “Konfidentiell” och “Hemlighet”.

    Anteckning

    Användare som konfigurerar principen och väljer prioritetswebbplatser i Share Point kan SharePoint webbplatser som de har behörighet att komma åt. Om SharePoint-webbplatser inte är tillgängliga för den aktuella användarens val i principen kan en annan användare med behörighet välja webbplatser för principen senare, eller också bör den aktuella användaren få åtkomst till de nödvändiga webbplatserna.

  12. Gå vidare genom att klicka på Nästa.

  13. Om du har valt mallarna För allmän dataläckor eller Dataläsar efter prioritetsanvändare visas alternativ på sidan Utlösare för den här principsidan för anpassade utlösande händelser och principindikatorer. Du kan välja att välja en DLP-princip eller indikatorer för att utlösa händelser som tar användare som tilldelats principens omfattning för poängsättning. Om du väljer användaren matchar en DLP-princip (Data Loss Prevention) som utlöser händelsealternativet måste du välja en DLP-princip i listrutan DLP-princip för att aktivera utlösande indikatorer för DLP-principen för denna Insider-riskhanteringsprincip. Om du väljer alternativet Användare utför en exfiltrationsaktivitet som utlöser händelse, måste du välja en eller flera av de angivna indikatorerna för principen som utlöser händelsen.

    Viktigt

    Om det inte går att välja en indikator i listan beror det på att de inte är aktiverade för din organisation. Om du vill göra dem tillgängliga för val och tilldelning av principen aktiverar du indikatorerna i Insider-Inställningar > > principindikatorer.

    Om du har valt andra principmallar stöds inte anpassade utlösande händelser. Den inbyggda principen som utlöser händelser gäller och du fortsätter till steg 23 utan att definiera principattribut.

  14. Gå vidare genom att klicka på Nästa.

  15. Om du har valt mallarna för Allmän dataläckor eller Dataläcka efter prioritet användarmallar och har valt användaren som utför en exfiltrationsaktivitet och tillhörande indikatorer kan du välja anpassade tröskelvärden eller standardtröskelvärden för de indikatorutlösande händelser som du har valt. Välj antingen Använd standardtröskelvärden (rekommenderas) eller Använd anpassade tröskelvärden för utlösande händelser.

  16. Gå vidare genom att klicka på Nästa.

  17. Om du har valt Använd anpassade tröskelvärden för utlösarhändelserna väljer du lämplig nivå för önskad nivå av aktivitetsaviseringar för varje utlösande händelseindikator som du valde i steg 13.

  18. Gå vidare genom att klicka på Nästa.

  19. sidan Principindikatorer visas de indikatorer som du har definierat som tillgängliga på sidan Indikatorer för > Insider-risker. Välj de indikatorer som du vill tillämpa på principen.

    Viktigt

    Om indikatorer på den här sidan inte kan väljas måste du välja de indikatorer som du vill aktivera för alla principer. Du kan använda knappen Aktivera indikatorer i guiden eller välja indikatorerna på sidan Hantering av insiderrisk > Inställningar > Principindikatorer.

    Om du har valt minst en Office- eller Enhetsindikator, väljer du Förstärkare av riskpoäng efter behov. Förstärkare av riskpoäng kan endast användas på valda indikatorer. Om du har valt en av principmallarna Datastöld eller Dataläckor, väljer du en eller flera metoder för Sekvensidentifiering och en metod för Identifiering av kumulativ dataexfiltrering för principen.

  20. Gå vidare genom att klicka på Nästa.

  21. Välj anpassade tröskelvärden eller standardtröskelvärden för de principindikatorer som du har valt på sidan Bestämma om standardindikeringarna eller de anpassade indikatortröskelvärdena ska användas. Välj antingen Använd standardtröskelvärden för alla indikatorer eller Ange anpassade tröskelvärden för de valda principindikatorerna. Om du har valt Ange anpassade tröskelvärden väljer du lämplig nivå för att generera önskad nivå av aktivitetsaviseringar för varje principindikator.

  22. Gå vidare genom att klicka på Nästa.

  23. På sidan Granskning granskar du inställningarna du har valt för principen och eventuella förslag eller varningar för dina val. Välj Redigera för att ändra något av principvärdena eller välj Skicka för att skapa och aktivera policyn.

Nästa steg

När du har slutfört de här stegen för att skapa din första insider-riskhanteringspolicy börjar du få aviseringar från aktivitetsindikatorer efter ungefär 24 timmar. Konfigurera ytterligare principer efter behov med hjälp av anvisningarna i steg 4 i den här artikeln eller stegen i Skapa en ny Insider-riskprincip.

Mer information om hur du undersöker insiderriskvarningar och instrumentpanelen för aviseringar finns i Aktiviteter för Insider-riskhantering.