Undersöka Insider-riskhanteringsaktiviteter
Att undersöka riskfyllda användaraktiviteter är ett viktigt första steg för att minimera Insider-risker för organisationen. Dessa risker kan vara aktiviteter som genererar varningar från principer för Insider-riskhantering, eller risker från aktiviteter som identifieras av principer men inte omedelbart skapar en varning för insiderriskhantering för användarna. Du kan undersöka dessa typer av aktiviteter med hjälp av användaraktivitetsrapporterna (förhandsversionen) eller med instrumentpanelen Avisering.
Användaraktivitetsrapporter (förhandsversion)
Med användaraktivitetsrapporter kan du undersöka aktiviteter för specifika användare under en viss tidsperiod utan att behöva tilldela dem tillfälligt eller uttryckligen till en princip för Insider-riskhantering. I de flesta insider-riskhanteringsscenarier definieras användarna uttryckligen i principer och de kan ha principaviseringar (beroende på utlösande händelser) och riskpoäng som associeras med aktiviteterna. Men i vissa fall kanske du vill undersöka aktiviteterna för användare som inte uttryckligen definierats i en princip. De här aktiviteterna kan vara till för användare som du har fått tips om användaren och potentiellt riskfyllda aktiviteter, eller användare som normalt inte behöver tilldelas till en princip för insider-riskhantering.
När du har konfigurerat indikatorer på sidan för Insider-riskhantering Inställningar identifieras användaraktivitet för riskabel aktivitet kopplad till de valda indikatorerna. Du behöver inte konfigurera en princip för användaraktivitetsrapporter för att upptäcka och rapportera riskfyllda aktiviteter för användare i organisationen. Aktiviteter som ingår i användaraktivitetsrapporter kräver inte utlösande händelser för att aktiviteterna ska visas. Den här konfigurationen innebär att all upptäckt aktivitet för användaren är tillgänglig för granskning, oavsett om den har en utlösande händelse eller om den skapar en avisering. Rapporter skapas per användare och kan innehålla alla aktiviteter under en anpassad 90-dagarsperiod. Flera rapporter för samma användare stöds inte.
När du granskat aktiviteter för en användare kan undantag från enskilda aktiviteter avvisas som enstaka aktiviteter som en enstaka aktivitet, dela eller skicka en länk till rapporten via e-post med andra affärsverksamheter, eller välja att tilldela användaren tillfälligt eller uttryckligen en princip för insider-riskhantering. Användarna måste ha tilldelats rollen Rollgrupp för insiderriskhanteringsroller för att kunna visa sidan Användaraktivitetsrapporter .

Du kan komma igång genom att välja Hantera rapporter i avsnittet Undersök användaraktivitet på sidan Översikt över Insider-riskhantering . Om du vill visa aktiviteter för en användare väljer du först Skapa användaraktivitetsrapport och fyller i följande fält i rapportfönstret Ny användaraktivitet :
- Användare: Sök efter en användare efter namn eller e-postadress
- Startdatum: Använd kalenderkontrollen till att välja startdatum för användaraktiviteter.
- Slutdatum: Använd kalenderkontrollen till att välja slutdatum för användaraktiviteter. Det valda slutdatumet måste vara längre än två dagar efter det valda startdatumet och högst 90 dagar från det valda startdatumet. Det brukar ta upp till 10 timmar innan nya rapporter är klara för granskning. När rapporten är klar ser du Rapport klar i kolumnen Status på sidan Användaraktivitetsrapport. Välj användaren för att visa den detaljerade rapporten:

Användaraktivitetsrapporten för den valda användaren innehåller flikarna Användaraktivitet och Aktivitetsutforskaren:
- Användaraktivitet: Använd den här diagramvyn för att undersöka aktiviteter och visa potentiella aktiviteter som inträffar i sekvenser. Den här fliken är strukturerad för att göra det möjligt att snabbt granska ett ärende, inklusive en historisk tidslinje för alla aktiviteter, aktivitetsinformation, aktuell riskinformation för användaren i ärendet, sekvensen av riskhändelser och filtreringskontroller som hjälper till med det pågående arbetet.
- Aktivitetsutforskaren: Fliken Aktivitetsutforskaren ger risk att utforska med ett omfattande analysverktyg som innehåller detaljerad information om aktiviteter. Med Aktivitetsutforskaren kan granskare snabbt granska en tidslinje med identifierade riskfyllda aktiviteter och identifiera och filtrera alla riskaktiviteter som associeras med aviseringar. Mer information om hur du använder Aktivitetsutforskaren finns i avsnittet Aktivitetsutforskaren längre fram i den här artikeln.
Avisering instrumentpanelen
Varningar för Insider-riskhantering genereras automatiskt med riskindikatorer som definierats i insider-riskhanteringsprinciper. Dessa varningar ger efterlevnadsanalytiker och -analytiker en uppsyn över den aktuella riskstatusen och gör det möjligt för organisationen att hantera och vidta åtgärder för identifierade risker. Som standard genererar principer en viss mängd aviseringar med låg, medel och hög allvarlighetsgrad, men du kan öka eller minska aviseringsvolymen så att den passar dina behov. Du kan dessutom konfigurera tröskelvärdet för avisering för principindikatorer när du skapar en ny princip med verktyget för att skapa en princip.
Titta på videon om trekantiga insiderriskvarningar för en översikt över hur aviseringar ger information, sammanhang och relaterat innehåll för riskabel aktivitet och hur du kan göra din undersökningsprocess mer effektiv.
På instrumentpanelen för insiderriskvarningar kan du visa och agera på varningar som genereras av insiderriskprinciper. Varje rapportwidget visar information för de senaste 30 dagarna.
- Totalt antal aviseringar som behöver granskas: Det totala antalet aviseringar som behöver granskas och triangel visas, inklusive en uppdelning efter allvarlighetsgrad för aviseringar.
- Öppna aviseringar under de senaste 30 dagarna: Det totala antalet aviseringar som skapats med principmatchningar under de senaste 30 dagarna, sorterade efter hög, medium och låg allvarlighetsnivå för aviseringar.
- Genomsnittlig tid för att lösa aviseringar: En sammanfattning av användbar aviseringsstatistik:
- Genomsnittlig tid för att lösa aviseringar med hög allvarlighetsgrad, som anges i timmar, dagar eller månader.
- Genomsnittlig tid för att lösa aviseringar om medelstor allvarlighetsgrad i timmar, dagar eller månader.
- Genomsnittlig tid för att lösa aviseringar med låg allvarlighetsgrad i timmar, dagar eller månader.

Anteckning
Insider-riskhantering använder inbyggd aviseringsbegränsning för att skydda och optimera din riskundersökning och granskningsupplevelse. Den här begränsningen gentemot problem som kan leda till att principvarningar överbelastas, till exempel felkonfigurerade datakopplingar eller DLP-principer. På grund av detta kan det uppstå en fördröjning i visningen av nya aviseringar för en användare.
Aviseringsstatus och allvarlighetsgrad
Du kan ändra säkerhetsvarningar till någon av följande statusar:
- Bekräftad: En avisering har bekräftats och tilldelats ett nytt eller befintligt ärende.
- Avvisad: Ett meddelande som har avvisats som en varning i triageprocessen.
- Behöver granskas: En ny avisering där åtgärder inte har genomförts ännu.
- Löst: En avisering som är en del av ett stängt och löst ärende.
Aviseringsriskpoäng beräknas automatiskt utifrån flera riskaktivitetsindikatorer. Indikatorerna omfattar typ av riskaktivitet, antalet och frekvensen för aktivitetshändelsen, historik över användarriskaktivitet och tillägg av aktivitet risker som kan öka aktivitetens allvarlighetsnivå. Aviseringsriskresultatet driver programmässiga tilldelningar av en risk allvarlighetsnivå för varje avisering och kan inte anpassas. Om aviseringarna är opåverkade och riskaktiviteterna fortsätter att påföras i aviseringen kan allvarlighetsnivån öka. Riskanalytiker och överensstämmelser kan använda varningarnas allvarlighetsgrad för att hjälpa till med trediga varningar i enlighet med organisationens riskpolicyer och standarder.
Aviseringsnivåer med allvarlighetsgrad är:
- Hög allvarlighetsgrad: Aktiviteterna och indikatorerna för aviseringen utgör en betydande risk. De associerade riskaktiviteterna är allvarliga, repetitiva och viktiga i hög även andra viktiga riskfaktorer.
- Medelstor allvarlighetsgrad: Aktiviteterna och indikatorerna för aviseringen kan utgöra en måttlig risk. De associerade riskaktiviteterna är måttliga, vanliga och har ett samband till andra riskfaktorer.
- Låg allvarlighetsgrad: Aktiviteterna och indikatorerna för aviseringen utgör en mindre risk. De associerade riskaktiviteterna är mindre, mer oregelbundna och tar inte endast upp andra viktiga riskfaktorer.
Filtrera aviseringar på instrumentpanelen för aviseringar
Det kan vara svårt att granska en stor kö med aviseringar beroende på antalet och typen av aktiva riskhanteringsprinciper för Insider. Med hjälp av aviseringsfilter kan analytiker och prognoser sortera aviseringar efter flera attribut. Om du vill filtrera aviseringar på instrumentpanelen Aviseringar väljer du filterkontrollen . Du kan filtrera aviseringar efter ett eller flera attribut:
- Status: Välj ett eller flera statusvärden om du vill filtrera aviseringslistan. Alternativen är Bekräftad, Avvisad, Behöver granskas och Löst.
- Allvarlighetsgrad: Välj en eller flera varningsnivåer med allvarlighetsgrad om du vill filtrera aviseringslistan. Alternativen är Hög, Medel och Låg.
- Upptäckt tid: Välj start- och slutdatum för när aviseringen skapades. Filtret söker efter aviseringar mellan UTC 00:00 på startdatumet och UTC 00:00 på slutdatumet. Om du vill filtrera aviseringar för en viss dag anger du datumet för dagen i fältet Startdatum och datumet för följande dag i fältet Slutdatum.
- Princip: Välj en eller flera principer för att filtrera aviseringarna som genereras av de valda principerna.
Sökaviseringar på instrumentpanelen Avisering
Om du vill söka efter aviseringsnamnet för ett visst ord väljer du sökkontrollen och skriver ordet för att söka. Sökresultatet visar alla principvarningar som innehåller ordet som definierats i sökningen.
Stänga flera aviseringar (förhandsgranskning)
Det kan spara tid för analytiker och analytiker att omedelbart stänga flera aviseringar på en gång. Med kommandofältet Stäng aviseringar kan du markera en eller flera aviseringar med statusen Behöver granskas på instrumentpanelen och snabbt stänga aviseringarna som lämpliga i din triageprocess. Du kan välja upp till 400 aviseringar som ska stängas samtidigt.
Så här stänger du en insider-riskvarning:
- I Microsoft 365 Efterlevnadscenter går du till Insider-riskhantering och väljer fliken Aviseringar.
- På instrumentpanelen Aviseringar väljer du den avisering (eller de aviseringar) som har statusen Behöver granskas som du vill stänga.
- I kommandofältet Aviseringar väljer du Stäng aviseringar.
- I informationsfönstret Stäng aviseringar kan du granska användar- och principinformationen som är kopplad till de markerade aviseringarna.
- Välj Stäng aviseringar om du vill lösa aviseringarna som en varning eller välj Avbryt om du vill stänga informationsfönstret utan att stänga dem.
Triageaviseringar
Så här gör du om du vill skapa en insider-riskvarning:
I dialogrutan Microsoft 365 Efterlevnadscenter du till Insider-riskhantering och väljer fliken Aviseringar.
På instrumentpanelen Aviseringar väljer du den avisering du vill triangel.
På sidan Aviseringsinformation kan du granska information om aviseringen och du kan bekräfta aviseringen och skapa ett nytt ärende, bekräfta aviseringen och lägga till i ett befintligt ärende eller stänga aviseringen. Den här sidan innehåller även aktuell status för aviseringen och allvarlighetsnivån för aviseringen, som anges som Hög, Medium eller Låg. Allvarlighetsnivån kan öka eller minska med tiden om aviseringen inte är triangeld.
Flikarna på sidan Aviseringsinformation innehåller mer information om aviseringen:
- Sammanfattning: Den här fliken innehåller allmän information om aviseringen.
- Vad var den utlösande händelsen?: Visar den senaste utlösande händelsen som uppmanat principen att börja tilldela riskpoäng till användarens aktivitet.
- Aktivitet som genererade den här aviseringen: Visar den viktigaste riskaktiviteten och policymatchningen under aktivitetutvärderingsperioden som ledde till att aviseringen skapades.
- Riskinsikter för aktivitet i den här aviseringen: Visar antalet riskinsikter för aviseringen. Några exempel är om aviseringen innehåller sekvensaktiviteter, kumulativ exfiltreringsaktivitetsrisk, aktivitet som omfattar händelser med ej tillåtna domäner, aktivitet som omfattar händelser med prioritetsinnehåll eller aktiviteter som är ovanliga för användaren.
- Användarinformation: Visar allmän information om användaren som tilldelats aviseringen. Om anonymisering har aktiverats anonymiseras användarnamn, e-postadress, alias och organisationsfält.
- Aviseringsinformation: Innehåller tiden sedan aviseringen skapades, de principer som genererade aviseringen visas och det ärende som genererades från aviseringen visas. För nya aviseringar visas Ingen i fältet Case.
- Upptäckt innehåll: Innehåller innehåll som associerats med riskaktiviteterna för aviseringen och sammanfattar aktivitetshändelser efter viktiga områden. Om du väljer en aktivitetslänk öppnas Aktivitetsutforskaren och mer information om aktiviteten visas.
- Aktivitetsutforskaren: Den här fliken öppnar Aktivitetsutforskaren. Mer information finns i nästa avsnitt i den här artikeln.
- Sammanfattning: Den här fliken innehåller allmän information om aviseringen.
Bevarande- och objektbegränsningar
I och med att varningar för insiderriskhantering blir ålder minskar deras värde för att minimera riskfyllda aktiviteter för de flesta organisationer. På samma sätt är aktiva ärenden och associerade artefakter (aviseringar, insikter, aktiviteter) alltid värdefulla för organisationer och bör inte ha ett automatiskt utgångsdatum. Detta inkluderar alla framtida aviseringar och artefakter i en aktiv status för alla användare som är kopplade till ett aktivt ärende.
För att minimera antalet äldre objekt med ett begränsat aktuellt värde gäller följande bevarande och begränsningar för varningar för insiderriskhantering, ärenden och användaraktivitetsrapporter:
| Objekt | Lagring/begränsning |
|---|---|
| Aviseringar med statusen Behöver granskas | 120 dagar från att aviseringen skapades, sedan togs den bort automatiskt |
| Aktiva ärenden (och tillhörande artefakter) | Obegränsat bevarande, upphör aldrig att gälla |
| Lösta ärenden (och associerade artefakter) | 120 dagar från upplösningen vid ärende, sedan tas den bort automatiskt |
| Maximalt antal aktiva ärenden | 100 |
| Användaraktivitetsrapporter | 120 dagar från identifiering av aktivitet, sedan tas den bort automatiskt |
Aktivitetsutforskare
Anteckning
Aktivitetsutforskaren är tillgänglig i aviseringshanteringsområdet för användare som utlöser händelser efter att den här funktionen är tillgänglig i din organisation.
Aktivitetsutforskaren tillhandahåller riskprognoser och analytiker med ett omfattande analysverktyg som ger detaljerad information om aviseringar. Med Aktivitetsutforskaren kan granskare snabbt granska en tidslinje med identifierade riskfyllda aktiviteter och identifiera och filtrera alla riskaktiviteter som associeras med aviseringar.
Om du vill filtrera aviseringar i Aktivitetsutforskaren för kolumninformation väljer du filterkontrollen. Du kan filtrera aviseringar efter ett eller flera attribut som visas i informationsfönstret för aviseringen. Aktivitetsutforskaren har också stöd för anpassningsbara kolumner så att vi och analytiker kan fokusera på instrumentpanelen på den information som är viktigast för dem.
Använd filtren Aktivitetomfattning och Riskinsikter för att visa och sortera aktiviteter och insikter för följande områden.
Filter för aktivitetsomfattning: Filtrerar alla poängade aktiviteter för användaren.
- Alla poängade aktiviteter för den här användaren
- Endast poängad aktivitet i den här aviseringen
Filter för riskinsikter: Filter för aktivitet som är tillämpliga för alla principer som tilldelar riskpoäng.
- Ackumulerad exfiltreringsaktivitet
- Innehåller händelse med prioritetsinnehåll
- Innehåller händelse med domän som inte är till ofördröjd
- Sekvensaktiviteter
- Ovanlig aktivitet

Så här använder du Aktivitetsutforskaren:
- I dialogrutan Microsoft 365 Efterlevnadscenter du till Insider-riskhantering och väljer fliken Aviseringar.
- På instrumentpanelen Aviseringar väljer du den avisering du vill triangel.
- I informationsfönstret Aviseringar väljer du Öppna expanderad vy.
- På sidan för den valda aviseringen väljer du fliken Aktivitetsutforskaren .
När du granskar aktiviteter i Aktivitetsutforskaren kan analytiker välja en viss aktivitet och öppna fönstret med aktivitetsinformation. Fönstret visar detaljerad information om aktiviteten som vi och analytiker kan använda under aviseringstriageprocessen. Den detaljerade informationen kan ge kontext för aviseringen och hjälpa till att identifiera den fullständiga omfattningen av den riskaktivitet som utlöste aviseringen.
När du väljer en aktivitets händelser från aktivitetstidslinjen kanske antalet aktiviteter som visas i utforskaren inte stämmer överens med antalet aktivitetshändelser som visas på tidslinjen. Exempel på varför den här skillnaden kan uppstå:
- Kumulativ exfiltrationsidentifiering: Kumulativ exfiltrationsidentifiering analyserar händelseloggar, men tillämpar en modell som innehåller av duplicera liknande aktiviteter för att beräkna kumulativ exfiltreringsrisk. Dessutom kan det också finnas en skillnad i antalet aktiviteter som visas i Aktivitetsutforskaren om du har gjort ändringar i din befintliga princip eller dina befintliga inställningar. Om du till exempel ändrar tillåtna/ej tillåtna domäner eller lägger till nya undantag för filtyper när en princip har skapats och aktivitetsmatchningar har inträffat, skiljer sig aktiviteterna för kumulativ exfiltrationsidentifiering från resultatet innan principen eller inställningarna ändras. Totalsumman för kumulativ exfiltrationsidentifiering baseras på konfigurationen av principen och inställningarna vid beräkningen och inkluderar inte aktiviteter som före princip- och inställningsändringarna har gjorts
- E-postmeddelanden till externa mottagare: Aktivitet för e-postmeddelanden som skickas till externa mottagare tilldelas en risknivå baserat på antalet e-postmeddelanden som skickas, som kanske inte matchar aktivitetshändelseloggarna.

Skapa ett ärende för en avisering
När aviseringen granskas och triangelts kan du skapa ett nytt ärende för att ytterligare undersöka riskaktiviteten. Skapa ett ärende för en avisering genom att följa de här stegen:
- I dialogrutan Microsoft 365 Efterlevnadscenter du till Insider-riskhantering och väljer fliken Aviseringar.
- På instrumentpanelen Aviseringar väljer du den avisering du vill bekräfta och skapar ett nytt ärende för.
- I informationsfönstret Aviseringar väljer du ActionsConfirm-aviseringar > & skapa ärende.
- I dialogrutan Bekräfta avisering och skapa insider-riskfall anger du ett namn för ärendet, väljer användare att lägga till som deltagare och lägger till kommentarer som tillämpliga. Kommentarer läggs automatiskt till i ärendet som en ärendeanteckning.
- Välj Skapa ärende om du vill skapa ett nytt ärende eller välj Avbryt för att stänga dialogrutan utan att skapa ett ärende.
När ärendet har skapats kan finansanalytiker och analytiker hantera och agera på ärendet. Mer information finns i artikeln om Insider-riskhanteringsfall .
Få hjälp med att hantera din insider-riskvarningskö
Att granska, undersöka och agera på varningar om insiderrisker är viktiga delar av att minimera insiderrisker i organisationen. Om du snabbt vidtar åtgärder för att minimera effekterna av dessa risker kan du spara tid, pengar, regelverk och juridiska konsekvenser för organisationen. I den här åtgärdsprocessen kan det första steget i granskning av aviseringar verka vara den svårare uppgiften för många analytiker och analytiker och analytiker. Beroende på omständigheterna kan det uppstå mindre hinder för dig när du agerar på varningar för insiderrisker. Läs följande rekommendationer och lär dig hur du optimerar granskningsprocessen för aviseringar.
För många aviseringar att granska
Det kan vara frustrerande att bli överhopad av antalet aviseringar som skapas av insider-riskhanteringsprinciper. Antalet aviseringar kan snabbt åtgärdas med enkla steg, beroende på vilken typ av aviseringsvolym du får. Du kanske får för många giltiga aviseringar eller har för många inaktuella aviseringar med låg risk. Överväg att vidta följande åtgärder:
- Justera dina Insider-riskprinciper: Att välja och konfigurera rätt Insider-riskprincip är den mest grundläggande metoden för att hantera typ och volym av aviseringar. Genom att börja med rätt principmall kan du fokusera på de typer av riskaktiviteter och varningar som visas. Andra faktorer som kan påverka aviseringsvolymen är storleken på användare och grupper och det innehåll och de kanaler som prioriteras. Överväg att justera principer för att förfina dessa områden till det som är viktigast för din organisation.
- Ändra dina inställningar för Insider-risker: Inställningarna för Insider-risker omfattar en mängd olika konfigurationsalternativ som kan påverka volymen och typer av aviseringar som du får. De omfattar inställningar för principindikatorer, indikatortrösklar och policyramar. Överväg att konfigurera alternativ för intelligent identifiering för att utesluta vissa filtyper, definiera minimitröskelvärde innan aktivitetsaviseringar rapporteras av dina principer och ändra konfigurationen av aviseringsvolymen till en lägre inställning.
- Massborttagning av aviseringar där det är tillämpligt: Det kan spara tid för dina analytiker och information om att omedelbart stänga flera aviseringar på en gång. Du kan välja upp till 400 aviseringar som ska stängas samtidigt.
Inte bekant med processen med aviseringsdetriering
Att undersöka och agera på aviseringar i insider-riskhantering är enkelt:
- Granska instrumentpanelen avisering för aviseringar med statusen Behöver granskas. Filtrera efter aviseringsstatus om det behövs för att hitta dessa typer av aviseringar.
- Börja med aviseringar med störst allvarlighetsgrad. Filtrera efter aviseringS allvarlighetsgrad om det behövs för att hitta dessa typer av aviseringar.
- Välj en avisering om du vill hitta mer information eller granska aviseringsinformationen. Om det behövs använder du Aktivitetsutforskaren för att granska en tidslinje med tillhörande riskabelt beteende och för att identifiera alla riskaktiviteter för aviseringen.
- Agera på aviseringen. Du kan antingen bekräfta och skapa ett ärende för aviseringen eller stänga och lösa aviseringen.
Resursbegränsningar i min organisation
Användare på den moderna arbetsplatsen har ofta en mängd olika ansvarsområden och krav på sin tid. Det finns flera åtgärder du kan vidta för att åtgärda resursbegränsningar:
- Fokusera först på analys och arbete med högriskaviseringar. Beroende på dina principer kan du samla in aktiviteter och generera aviseringar med olika grader av potentiellt påverkan på risken att minska risken. Filtrera aviseringar efter allvarlighetsgrad och prioritera hög allvarlighetsvarningar .
- Tilldela användare som analytiker och på så sätt bli analytiker. Att rätt användare har tilldelats rätt roller är en viktig del av granskningsprocessen för insiderrisker. Kontrollera att du har tilldelat lämpliga användare till rollgrupperna Insider-riskhanteringsanalytiker och insiderriskhanteringsrollgrupper .
- Använd automatiska Insider-riskfunktioner för att upptäcka de högsta riskaktiviteterna. Funktioner för identifiering av Insider-riskhanteringssekvens och kumulativ exfiltrationsidentifiering kan hjälpa dig att snabbt upptäcka svårare att hitta risker i din organisation. Överväg att finjustera dina riskpoäng, undantag för filtyper, domäner och tröskelvärdesinställningarna för minsta indikator för dina principer.