Undersöka aktiviteter för hantering av insiderrisk

Anteckning

Microsoft 365 efterlevnad kallas nu Microsoft Purview och lösningarna inom efterlevnadsområdet har bytt namn. Mer information om Microsoft Purview finns i blogginlägget och artikeln Vad är Microsoft Purview?

Att undersöka riskfyllda användaraktiviteter är ett viktigt första steg för att minimera insiderrisker för din organisation. Dessa risker kan vara aktiviteter som genererar aviseringar från principer för hantering av insiderrisk eller risker från aktiviteter som identifieras av principer, men som inte omedelbart skapar en avisering om hantering av insiderrisk för användare. Du kan undersöka de här typerna av aktiviteter med hjälp av användaraktivitetsrapporter (förhandsversion) eller med aviseringsinstrumentpanelen.

Användaraktivitetsrapporter (förhandsversion)

Med användaraktivitetsrapporter kan du undersöka aktiviteter för specifika användare under en definierad tidsperiod utan att behöva tilldela dem tillfälligt eller uttryckligen till en princip för hantering av insiderrisk. I de flesta scenarier för hantering av insiderrisk definieras användarna uttryckligen i principer, och de kan ha principaviseringar (beroende på utlösande händelser) och riskpoäng som är associerade med aktiviteterna. Men i vissa scenarier kanske du vill undersöka aktiviteterna för användare som inte uttryckligen definieras i en princip. Dessa aktiviteter kan vara för användare som du har fått ett tips om användaren och potentiellt riskfyllda aktiviteter, eller användare som vanligtvis inte behöver tilldelas till en princip för hantering av insiderrisk.

När du har konfigurerat indikatorer på sidan för hantering av insiderrisk Inställningar identifieras användaraktivitet för riskfylld aktivitet som är associerad med de valda indikatorerna. Du behöver inte konfigurera en princip för användaraktivitetsrapporter för att identifiera och rapportera riskfyllda aktiviteter av användare i din organisation. Aktiviteter som ingår i användaraktivitetsrapporterna kräver inte utlösande händelser för att aktiviteterna ska visas. Den här konfigurationen innebär att all identifierad aktivitet för användaren är tillgänglig för granskning, oavsett om den har en utlösande händelse eller om den skapar en avisering. Rapporter skapas per användare och kan innehålla alla aktiviteter under en anpassad 90-dagarsperiod. Flera rapporter för samma användare stöds inte.

Efter att ha undersökt aktiviteter för en användare kan utredare avfärda enskilda aktiviteter som godartade, dela eller skicka en länk till rapporten till andra utredare eller välja att tilldela användaren tillfälligt eller uttryckligen till en princip för hantering av insiderrisk. Användarna måste tilldelas rollgruppen Insider Risk Management Investigators för att kunna visa sidan Användaraktivitetsrapporter .

Översikt över användaraktivitetsrapport för hantering av insiderrisk.

Du kan komma igång genom att välja Hantera rapporter i avsnittet Undersök användaraktivitet på sidan Översikt över hantering av insiderrisk. Om du vill visa aktiviteter för en användare väljer du först Skapa rapport för användaraktivitet och slutför följande fält i rapportfönstret Ny användaraktivitet :

  • Användare: Sök efter en användare efter namn eller e-postadress
  • Startdatum: Använd kalenderkontrollen för att välja startdatum för användaraktiviteter.
  • Slutdatum: Använd kalenderkontrollen för att välja slutdatum för användaraktiviteter. Det valda slutdatumet måste vara större än två dagar efter det valda startdatumet och högst 90 dagar från det valda startdatumet. Nya rapporter tar vanligtvis upp till 10 timmar innan de är redo för granskning. När rapporten är klar visas Rapporten klar i kolumnen Status på rapportsidan Användaraktivitet. Välj användaren för att visa den detaljerade rapporten:

Användaraktivitetsrapport för hantering av insiderrisk.

Rapporten Användaraktivitet för den valda användaren innehåller flikarna Användaraktivitet och Aktivitetsutforskaren :

  • Användaraktivitet: Använd den här diagramvyn för att undersöka aktiviteter och visa potentiella aktiviteter som inträffar i sekvenser. Den här fliken är strukturerad för att möjliggöra snabb granskning av ett ärende, inklusive en historisk tidslinje för alla aktiviteter, aktivitetsinformation, aktuell riskpoäng för användaren i fallet, sekvensen av riskhändelser och filtreringskontroller för att hjälpa till med undersökande arbete.
  • Aktivitetsutforskaren: Fliken Aktivitetsutforskaren ger riskutforskare ett omfattande analysverktyg som innehåller detaljerad information om aktiviteter. Med aktivitetsutforskaren kan granskare snabbt granska en tidslinje för identifierad riskfylld aktivitet och identifiera och filtrera alla riskaktiviteter som är associerade med aviseringar. Mer information om hur du använder aktivitetsutforskaren finns i avsnittet Aktivitetsutforskaren senare i den här artikeln.

Aviseringsinstrumentpanel

Aviseringar om hantering av insiderrisk genereras automatiskt av riskindikatorer som definieras i principer för hantering av insiderrisk. Dessa aviseringar ger efterlevnadsanalytiker och utredare en översikt över den aktuella riskstatusen och gör det möjligt för din organisation att prioritera och vidta åtgärder för identifierade risker. Som standard genererar principer en viss mängd aviseringar med låg, medelhög och hög allvarlighetsgrad, men du kan öka eller minska aviseringsvolymen så att den passar dina behov. Dessutom kan du konfigurera tröskelvärdet för aviseringar för principindikatorer när du skapar en ny princip med verktyget för att skapa principer.

Se videon Triage Experience för insiderriskhanteringsaviseringar för en översikt över hur aviseringar ger information, kontext och relaterat innehåll för riskfylld aktivitet och hur du gör undersökningsprocessen effektivare.

Med instrumentpanelen för insiderriskavisering kan du visa och agera på aviseringar som genereras av principer för insiderrisk. Varje rapportwidget visar information för de senaste 30 dagarna.

  • Totalt antal aviseringar som behöver granskas: Det totala antalet aviseringar som behöver granskas och sorteras visas, inklusive en uppdelning efter allvarlighetsgrad för aviseringar.
  • Öppna aviseringar under de senaste 30 dagarna: Det totala antalet aviseringar som skapats av principmatchningar under de senaste 30 dagarna, sorterade efter hög, medel och låg allvarlighetsgrad för aviseringar.
  • Genomsnittlig tid för att lösa aviseringar: En sammanfattning av användbar aviseringsstatistik:
    • Genomsnittlig tid för att lösa varningar med hög allvarlighetsgrad som anges i timmar, dagar eller månader.
    • Genomsnittlig tid för att lösa varningar med medelhög allvarlighetsgrad som anges i timmar, dagar eller månader.
    • Genomsnittlig tid för att lösa varningar med låg allvarlighetsgrad som anges i timmar, dagar eller månader.

Instrumentpanel för aviseringar för hantering av insiderrisk.

Anteckning

Hantering av insiderrisk använder inbyggd aviseringsbegränsning för att skydda och optimera din riskundersökning och granskningsupplevelse. Den här begränsningen skyddar mot problem som kan leda till överbelastning av principaviseringar, till exempel felkonfigurerade dataanslutningar eller DLP-principer. Därför kan det uppstå en fördröjning i att visa nya aviseringar för en användare.

Aviseringsstatus och allvarlighetsgrad

Du kan sortera aviseringar i någon av följande statusar:

  • Bekräftad: En avisering bekräftad och tilldelad till ett nytt eller befintligt ärende.
  • Avvisad: En avisering som avvisas som godartad i prioriteringsprocessen. Du kan ange en orsak till aviseringens uppsägning och inkludera anteckningar som är tillgängliga i användarens aviseringshistorik för att tillhandahålla ytterligare kontext för framtida referens eller för andra granskare. Dessa orsaker kan vara förväntade aktiviteter, icke-effektfulla händelser, helt enkelt minska antalet aviseringsaktiviteter för användaren eller en orsak som är relaterad till aviseringsanteckningarna. Alternativ för orsaksklassificering inkluderar Aktivitet förväntas för den här användaren, Aktiviteten är tillräckligt påverkad för att jag ska kunna undersöka vidare och Aviseringar för den här användaren innehåller för mycket aktivitet.
  • Behöver granskas: En ny avisering där trepartsåtgärder ännu inte har vidtagits.
  • Löst: En avisering som ingår i ett stängt och löst ärende.

Aviseringsriskpoäng beräknas automatiskt från flera riskaktivitetsindikatorer. Dessa indikatorer omfattar typen av riskaktivitet, antalet och frekvensen för aktivitetshändelsen, historiken för användarriskaktivitet och tillägg av aktivitetsrisker som kan öka aktivitetens allvar. Aviseringsriskpoängen styr den programmatiska tilldelningen av en allvarlighetsgrad för risk för varje avisering och kan inte anpassas. Om aviseringarna förblir oprövade och riskaktiviteter fortsätter att ackumuleras till aviseringen kan riskens allvarlighetsgrad öka. Riskanalytiker och utredare kan använda allvarlighetsgrad för aviseringsrisker för att hjälpa till att sortera aviseringar i enlighet med organisationens riskprinciper och standarder.

Allvarlighetsgraderna för aviseringsrisker är:

  • Hög allvarlighetsgrad: Aktiviteterna och indikatorerna för aviseringen utgör en betydande risk. De associerade riskaktiviteterna är allvarliga, repetitiva och corelate starkt till andra betydande riskfaktorer.
  • Medelhög allvarlighetsgrad: Aktiviteterna och indikatorerna för aviseringen utgör en måttlig risk. De associerade riskaktiviteterna är måttliga, frekventa och har viss korrelation till andra riskfaktorer.
  • Låg allvarlighetsgrad: Aktiviteterna och indikatorerna för aviseringen utgör en mindre risk. De associerade riskaktiviteterna är mindre, mer ovanliga och kärnar inte samman med andra betydande riskfaktorer.

Filtrera aviseringar på aviseringsinstrumentpanelen

Beroende på antalet och typen av aktiva principer för hantering av insiderrisk i din organisation kan det vara svårt att granska en stor kö av aviseringar. Med hjälp av aviseringsfilter kan analytiker och utredare sortera aviseringar efter flera attribut. Om du vill filtrera aviseringar på instrumentpanelen Aviseringar väljer du filterkontrollen . Du kan filtrera aviseringar efter ett eller flera attribut:

  • Status: Välj ett eller flera statusvärden för att filtrera aviseringslistan. Alternativen är Bekräftad, Avvisad, Behovsgranskning och Löst.
  • Allvarlighetsgrad: Välj en eller flera allvarlighetsnivåer för aviseringsrisker för att filtrera aviseringslistan. Alternativen är Hög, Medel och Låg.
  • Identifierad tid: Välj start- och slutdatum för när aviseringen skapades. Det här filtret söker efter aviseringar mellan UTC 00:00 på startdatumet och UTC 00:00 på slutdatumet. Om du vill filtrera aviseringar för en viss dag anger du datumet för dagen i fältet Startdatum och datumet för följande dag i fältet Slutdatum .
  • Princip: Välj en eller flera principer för att filtrera aviseringarna som genereras av de valda principerna.
  • Riskfaktorer: Välj en av fler riskfaktorer för att filtrera aviseringslistan. Alternativen är kumulativa exfiltreringsaktiviteter, Aktiviteter inkluderar prioritetsinnehåll, Sekvensaktiviteter och Aktiviteter inkluderar otillåtna domäner.

Sök efter aviseringar på aviseringsinstrumentpanelen

Om du vill söka efter ett visst ord i aviseringsnamnet väljer du sökkontrollen och skriver ordet som ska sökas. Sökresultaten visar alla principaviseringar som innehåller ordet som definierats i sökningen.

Stäng flera aviseringar (förhandsversion)

Det kan hjälpa till att spara tid för analytiker och utredare att omedelbart avvisa flera aviseringar samtidigt. Med kommandofältet Stäng aviseringar kan du välja en eller flera aviseringar med statusen Behovsgranskning på instrumentpanelen och snabbt avfärda aviseringarna som ogynnsamma efter behov i din sorteringsprocess. Du kan välja upp till 400 aviseringar att stänga samtidigt.

Slutför följande steg för att avvisa en insiderriskavisering:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Aviseringar.
  2. instrumentpanelen Aviseringar väljer du aviseringen (eller aviseringarna) med statusen Behöver granskning som du vill stänga.
  3. I kommandofältet Aviseringar väljer du Stäng aviseringar.
  4. I fönstret Stäng aviseringar kan du granska användar- och principinformationen som är associerad med de valda aviseringarna.
  5. Välj Stäng aviseringar för att lösa aviseringarna som godartade eller välj Avbryt för att stänga informationsfönstret utan att stänga aviseringarna.

Sorteringsaviseringar

Utför följande steg för att sortera en insiderriskavisering:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Aviseringar.
  2. instrumentpanelen Aviseringar väljer du den avisering som du vill prioritera.
  3. På sidan Aviseringsinformation kan du granska information om aviseringen. Du kan bekräfta aviseringen och skapa ett nytt ärende, bekräfta aviseringen och lägga till i ett befintligt ärende eller avvisa aviseringen. Den här sidan innehåller även aktuell status för aviseringen och allvarlighetsgraden för aviseringsrisk, som anges som Hög, Medel eller Låg. Allvarlighetsgraden kan öka eller minska med tiden om aviseringen inte sorteras.

Använd följande avsnitt och flikar på sidan Aviseringsinformation för mer information om aviseringen:

Rubrik-/sammanfattningsavsnitt

Det här avsnittet innehåller allmän information om användaren och aviseringen. Den här informationen är tillgänglig för kontext när du granskar detaljerad information om den identifierade aktiviteten som ingår i aviseringen för användaren:

  • Aktivitet som genererade den här aviseringen: Visar den främsta riskaktiviteten och principmatchningen under aktivitetsutvärderingsperioden som ledde till att aviseringen genererades.
  • Utlösande händelse: Visar den senaste utlösande händelsen som uppmanar principen att börja tilldela riskpoäng till användarens aktivitet.
  • Användarprofil: Visar allmän information om den användare som tilldelats aviseringen. Om anonymisering är aktiverat anonymiseras fälten användarnamn, e-postadress, alias och organisation.
  • Användarvarningshistorik: Visar en lista över aviseringar för användaren under de senaste 30 dagarna. Innehåller en länk för att visa användarens fullständiga aviseringshistorik.

Alla riskfaktorer

På den här fliken öppnas en sammanfattning av riskfaktorer för användarens aviseringsaktivitet. Riskfaktorer kan hjälpa dig att avgöra hur riskabel den här användarens aktivitet är under din granskning. Riskfaktorerna omfattar sammanfattningar för:

  • De främsta exfiltreringsaktiviteterna: Visar exfiltreringsaktiviteter med det högsta antalet eller händelserna för aviseringen.
  • Kumulativa exfiltreringsaktiviteter: Visar händelser som är associerade med kumulativa exfiltreringsaktiviteter.
  • Aktivitetssekvenser: Visar de identifierade aktiviteterna som är associerade med risksekvenser.
  • Ovanlig aktivitet för den här användaren: Visar aktiviteter för användaren som anses vara ovanliga och en avvikelse från deras vanliga aktiviteter.
  • Prioritetsinnehåll: Visar aktiviteter som är associerade med prioritetsinnehåll.
  • Otillåtna domäner: Visar aktiviteter för händelser som är associerade med otillåtna domäner.
  • Åtkomst till hälsopost: Visar aktiviteter för händelser som är associerade med åtkomst till hälsoposter.

Med de här filtren ser du bara aviseringar med dessa riskfaktorer, men aktiviteten som genererade en avisering kanske inte hör till någon av dessa kategorier. En avisering som innehåller sekvensaktiviteter kan till exempel ha genererats bara för att användaren kopierade en fil till en USB-enhet.

Innehåll har identifierats

Avsnittet på fliken Alla riskfaktorer innehåller innehåll som är associerat med riskaktiviteterna för aviseringen och sammanfattar aktivitetshändelser efter nyckelområden. Om du väljer en aktivitetslänk öppnas aktivitetsutforskaren och mer information om aktiviteten visas.

Aktivitetsutforskare

På den här fliken öppnas aktivitetsutforskaren. Mer information finns i avsnittet Aktivitetsutforskaren i den här artikeln.

Användaraktivitet

Diagrammet Användaraktivitet är ett av de mest kraftfulla verktygen för intern riskanalys och undersökning av aviseringar och fall i lösningen för hantering av insiderrisk. Den här fliken är strukturerad för att möjliggöra snabb granskning av alla aktiviteter för en användare, inklusive en historisk tidslinje för alla aviseringar, aviseringsinformation, aktuell riskpoäng för användaren och sekvensen för riskhändelser.

Användaraktivitet för hantering av insiderrisk.

  1. Tidsfilter: Som standard visas de senaste tre månadernas aktiviteter i diagrammet Användaraktivitet. Du kan enkelt filtrera diagramvyn genom att välja flikarna 6 månader, 3 månader eller 1 månad i bubbeldiagrammet.

  2. Riskvarningsaktivitet och information: Riskaktiviteter visas visuellt som färgade bubblor i diagrammet Användaraktivitet. Bubblor skapas för olika riskkategorier och . Välj en bubbla för att visa information för varje riskaktivitet. Information omfattar:

    • Datum för riskaktiviteten.
    • Riskaktivitetskategorin. Till exempel e-post(er) med bifogade filer som skickats utanför organisationen eller filer som laddats ned från SharePoint Online.
    • Riskpoäng för aviseringen. Den här poängen är den numeriska poängen för allvarlighetsgraden för aviseringsrisken.
    • Antal händelser som är associerade med aviseringen. Länkar till varje fil eller e-post som är associerad med riskaktiviteten är också tillgängliga.
  3. Filter och sortering (förhandsversion):

    • Riskkategori: Filtrera aktiviteter efter följande riskkategorier: Aktiviteter med riskpoäng > 15 (om inte i en sekvens) och Sekvensaktiviteter.
    • Aktivitetstyp: Filtrera aktiviteter efter följande typer: Åtkomst, borttagning, samling, exfiltrering, infiltration, fördunkling och säkerhet.
    • Sortera efter: Visa en lista över tidslinjeaktiviteter efter datum som inträffat eller riskpoäng.
  4. Risksekvens: Den kronologiska ordningen för riskfyllda aktiviteter är en viktig aspekt av riskundersökning och att identifiera dessa relaterade aktiviteter är en viktig del av utvärderingen av den övergripande risken för din organisation. Aviseringsaktiviteter som är relaterade visas med anslutningslinjer för att markera att dessa aktiviteter är associerade med ett större riskområde. Den här vyn av aktiviteter kan hjälpa utredare att bokstavligen "ansluta punkterna" för riskaktiviteter som kan ha betraktats som isolerade eller engångshändelser. Välj en bubbla i sekvensen för att visa information om alla associerade riskaktiviteter. Information omfattar:

    • Namnet på sekvensen.
    • Datum - eller datumintervall för sekvensen.
    • Riskpoäng för sekvensen. Den här poängen är den numeriska poängen för sekvensen för de kombinerade allvarlighetsgraderna för aviseringsrisker för varje relaterad aktivitet i sekvensen.
    • Antal händelser som är associerade med varje avisering i sekvensen. Länkar till varje fil eller e-post som är associerad med varje riskaktivitet är också tillgängliga.
    • Visa aktiviteter i följd. Visar sekvensen som en markeringslinje i bubbeldiagrammet och expanderar aviseringsinformationen för att visa alla relaterade aviseringar i sekvensen.
  5. Förklaring av riskaktivitet: Längst ned i användaraktivitetsdiagrammet hjälper en färgkodad förklaring dig att snabbt fastställa riskkategorin för varje avisering.

  6. Kronologi för riskaktivitet: Den fullständiga kronologin för alla riskaviseringar som är associerade med ärendet visas, inklusive all information som är tillgänglig i motsvarande aviseringsbubbla.

  7. Ärendeåtgärder: Alternativ för att lösa ärendet finns i verktygsfältet för ärendeåtgärder. När du visar i ett ärende kan du lösa ett ärende, skicka ett e-postmeddelande till användaren eller eskalera ärendet för en data- eller användarundersökning.

Aktivitetsutforskare

Anteckning

Aktivitetsutforskaren är tillgänglig i området för aviseringshantering för användare med utlösande händelser när den här funktionen är tillgänglig i din organisation.

Aktivitetsutforskaren ger riskutforskare och analytiker ett omfattande analysverktyg som ger detaljerad information om aviseringar. Med aktivitetsutforskaren kan granskare snabbt granska en tidslinje för identifierad riskfylld aktivitet och identifiera och filtrera alla riskaktiviteter som är associerade med aviseringar.

Om du vill filtrera aviseringar i aktivitetsutforskaren för kolumninformation väljer du filterkontrollen. Du kan filtrera aviseringar efter ett eller flera attribut som anges i informationsfönstret för aviseringen. Aktivitetsutforskaren stöder också anpassningsbara kolumner som hjälper utredare och analytiker att fokusera instrumentpanelen på den information som är viktigast för dem.

Använd filteren Aktivitetsomfång och Riskinsikt för att visa och sortera aktiviteter och insikter för följande områden.

  • Filter för aktivitetsomfång: Filtrerar alla poängsatta aktiviteter för användaren.

    • All poängsatt aktivitet för den här användaren
    • Endast poängsatt aktivitet i den här aviseringen
  • Riskfaktorfilter: Filter för riskfaktoraktivitet som gäller för alla principer som tilldelar riskpoäng Detta inkluderar all aktivitet för alla principer för användare inom omfånget.

    • Ovanlig aktivitet
    • Innehåller händelser med prioritetsinnehåll
    • Innehåller händelser med otillåten domän
    • Sekvensaktiviteter
    • Kumulativa exfiltreringsaktiviteter
    • Åtkomstaktiviteter för hälsopost

Översikt över aktivitetsutforskaren för hantering av insiderrisk.

Utför följande steg för att använda aktivitetsutforskaren:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Aviseringar.
  2. instrumentpanelen Aviseringar väljer du den avisering som du vill prioritera.
  3. I informationsfönstret Aviseringar väljer du Öppna expanderad vy.
  4. På sidan för den valda aviseringen väljer du fliken Aktivitetsutforskaren .

När du granskar aktiviteter i aktivitetsutforskaren kan utredare och analytiker välja en specifik aktivitet och öppna fönstret aktivitetsinformation. Fönstret visar detaljerad information om den aktivitet som utredare och analytiker kan använda under aviseringstriageprocessen. Detaljerad information kan ge kontext för aviseringen och hjälpa till med att identifiera hela omfattningen av den riskaktivitet som utlöste aviseringen.

När du väljer en aktivitets händelser från aktivitetstidslinjen kanske antalet aktiviteter som visas i utforskaren inte matchar antalet aktivitetshändelser som anges i tidslinjen. Exempel på varför den här skillnaden kan uppstå:

  • Identifiering av kumulativ exfiltrering: Kumulativ exfiltreringsidentifiering analyserar händelseloggar, men tillämpar en modell som inkluderar deduplicering av liknande aktiviteter för beräkning av kumulativ exfiltreringsrisk. Dessutom kan det också finnas en skillnad i antalet aktiviteter som visas i aktivitetsutforskaren om du har gjort ändringar i din befintliga princip eller dina befintliga inställningar. Om du till exempel ändrar tillåtna/otillåtna domäner eller lägger till nya filtypsundantag när en princip har skapats och aktivitetsmatchningar har inträffat, skiljer sig de kumulativa exfiltreringsidentifieringsaktiviteterna från resultaten innan principen eller inställningarna ändras. Summor för kumulativ exfiltreringsidentifieringsaktivitet baseras på konfigurationen av principer och inställningar vid tidpunkten för beräkningen och inkluderar inte aktiviteter före princip- och inställningsändringarna
  • E-postmeddelanden till externa mottagare: Aktiviteten för e-postmeddelanden som skickas till externa mottagare tilldelas en riskpoäng baserat på antalet e-postmeddelanden som skickas, vilket kanske inte matchar aktivitetshändelseloggarna.

Information om aktivitetsutforskaren för hantering av insiderrisk.

Skapa ett ärende för en avisering

När aviseringen granskas och sorteras kan du skapa ett nytt ärende för att undersöka riskaktiviteten ytterligare. Följ dessa steg för att skapa ett ärende för en avisering:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Aviseringar.
  2. instrumentpanelen Aviseringar väljer du den avisering som du vill bekräfta och skapar ett nytt ärende för.
  3. I fönstret Information om aviseringar väljer du Åtgärder > Bekräfta aviseringar & skapa ärende.
  4. I dialogrutan Bekräfta avisering och skapa insiderriskfall anger du ett namn för ärendet, väljer användare att lägga till som deltagare och lägger till kommentarer efter behov. Kommentarer läggs automatiskt till i ärendet som en ärendeanteckning.
  5. Välj Skapa ärende för att skapa ett nytt ärende eller välj Avbryt för att stänga dialogrutan utan att skapa ett ärende.

När ärendet har skapats kan utredare och analytiker hantera och agera i ärendet. Mer information finns i artikeln Om hantering av insiderrisk .

Begränsningar för kvarhållning och objekt

När aviseringar om hantering av insiderrisk åldras minskar deras värde för att minimera riskfyllda aktiviteter för de flesta organisationer. Omvänt är aktiva fall och associerade artefakter (aviseringar, insikter, aktiviteter) alltid värdefulla för organisationer och bör inte ha ett automatiskt förfallodatum. Detta inkluderar alla framtida aviseringar och artefakter i aktiv status för alla användare som är associerade med ett aktivt ärende.

För att minimera antalet äldre objekt som ger ett begränsat aktuellt värde gäller följande kvarhållning och begränsningar för aviseringar, fall och användaraktivitetsrapporter för insiderriskhantering:

Objekt Kvarhållning/gräns
Aviseringar med granskningsstatus för behov 120 dagar från att aviseringen skapades och togs sedan bort automatiskt
Aktiva fall (och associerade artefakter) Obegränsad kvarhållning, upphör aldrig att gälla
Lösta fall (och associerade artefakter) 120 dagar från ärendelösningen och tas sedan bort automatiskt
Maximalt antal aktiva ärenden 100
Rapporter om användaraktiviteter 120 dagar från aktivitetsidentifiering och sedan automatiskt borttaget

Få hjälp med att hantera din aviseringskö för insiderrisk

Att granska, undersöka och agera på insiderriskaviseringar är viktiga delar av att minimera insiderrisker i din organisation. Att snabbt vidta åtgärder för att minimera effekterna av dessa risker kan potentiellt spara tid, pengar och rättsliga konsekvenser för din organisation. I den här reparationsprocessen kan det första steget med att granska aviseringar verka som den svåraste uppgiften för många analytiker och utredare. Beroende på dina omständigheter kan du ha några mindre hinder när du agerar på insiderriskaviseringar. Granska följande rekommendationer och lär dig hur du optimerar aviseringsgranskningsprocessen.

För många aviseringar att granska

Det kan vara frustrerande att bli överväldigad av antalet aviseringar som genereras av dina principer för hantering av insiderrisk. Antalet aviseringar kan snabbt åtgärdas med enkla steg, beroende på vilka typer av aviseringsvolymer du får. Du kanske får för många giltiga aviseringar eller har för många inaktuella lågriska aviseringar. Överväg att vidta följande åtgärder:

  • Justera dina principer för insiderrisk: Att välja och konfigurera rätt princip för insiderrisk är den mest grundläggande metoden för att hantera typen och volymen av aviseringar. Från och med lämplig principmall kan du fokusera de typer av riskaktiviteter och aviseringar som visas. Andra faktorer som kan påverka aviseringsvolymen är storleken på användare och grupper inom omfånget samt det innehåll och de kanaler som prioriteras. Överväg att justera principer för att förfina dessa områden till det som är viktigast för din organisation.
  • Ändra dina inställningar för insiderrisk: Inställningar för insiderrisk innehåller en mängd olika konfigurationsalternativ som kan påverka volymen och typerna av aviseringar som du får. Dessa inkluderar inställningar för principindikatorer, indikatortrösklar och tidsramar för principer. Överväg att konfigurera intelligenta identifieringsalternativ för att exkludera specifika filtyper, definiera minsta tröskelvärden innan aktivitetsaviseringar rapporteras av dina principer och ändra konfigurationen av aviseringsvolymen till en lägre inställning.
  • Massborttagning av aviseringar där det är tillämpligt: Det kan bidra till att spara tid för prioritering för dina analytiker och utredare att omedelbart avvisa flera aviseringar samtidigt. Du kan välja upp till 400 aviseringar att stänga samtidigt.

Inte bekant med aviseringstriageprocessen

Det är enkelt att undersöka och agera på aviseringar i hantering av insiderrisk:

  1. Granska aviseringsinstrumentpanelen för aviseringar med statusen Behovsgranskning. Filtrera efter aviseringsstatus om det behövs för att hitta de här typerna av aviseringar.
  2. Börja med aviseringarna med högsta allvarlighetsgrad. Filtrera efter avisering allvarlighetsgrad om det behövs för att hitta de här typerna av aviseringar.
  3. Välj en avisering för att identifiera mer information och granska aviseringsinformationen. Om det behövs använder du Aktivitetsutforskaren för att granska en tidslinje för det associerade riskfyllda beteendet och för att identifiera alla riskaktiviteter för aviseringen.
  4. Agera på aviseringen. Du kan antingen bekräfta och skapa ett ärende för aviseringen eller avvisa och lösa aviseringen.

Resursbegränsningar i min organisation

Moderna arbetsplatsanvändare har ofta en mängd olika ansvarsområden och krav på sin tid. Det finns flera åtgärder som du kan vidta för att åtgärda resursbegränsningar:

  • Fokusera analytiker och utredare på de högsta riskaviseringarna först. Beroende på dina principer kan du samla in aktiviteter och generera aviseringar med varierande grad av potentiell påverkan på riskreduceringsarbetet. Filtrera aviseringar efter allvarlighetsgrad och prioritera aviseringar med hög allvarlighetsgrad .
  • Tilldela användare som analytiker och utredare. Att ha rätt användare tilldelad till rätt roller är en viktig del av granskningsprocessen för insiderriskvarning. Se till att du har tilldelat lämpliga användare till rollgrupperna Insider Risk Management Analysts och Insider Risk Management Investigators .
  • Använd funktioner för automatiserad insiderrisk för att identifiera aktiviteter med högst risk. Sekvensidentifiering av insiderriskhantering och funktioner för identifiering av kumulativ exfiltrering kan hjälpa dig att snabbt upptäcka svårare att hitta risker i din organisation. Överväg att finjustera riskpoängsboosters, filtypsundantag, domäner och tröskelinställningarna för minsta indikator för dina principer.