Hanteringsfall för insiderrisk

Anteckning

Microsoft 365 efterlevnad kallas nu Microsoft Purview och lösningarna inom efterlevnadsområdet har bytt namn. Mer information om Microsoft Purview finns i blogginlägget och artikeln Vad är Microsoft Purview?

Fall är kärnan i hantering av insiderrisk och gör att du kan undersöka och agera på problem som genereras av riskindikatorer som definieras i dina policyer. Ärenden skapas manuellt från aviseringar i situationer där ytterligare åtgärder krävs för att åtgärda ett efterlevnadsrelaterat problem för en användare. Varje ärende är begränsat till en enskild användare och flera aviseringar för användaren kan läggas till i ett befintligt ärende eller i ett nytt ärende.

När du har undersökt detaljerna i ett ärende kan du vidta åtgärder genom att:

  • skicka ett meddelande till användaren
  • lösa ärendet som godartat
  • dela ärendet med din ServiceNow-instans eller med en e-postmottagare
  • eskalera ärendet för en undersökning av eDiscovery (Premium)

Se videon om undersökning och eskalering av insiderriskhantering för en översikt över hur ärenden undersöks och hanteras i hantering av insiderrisk.

Instrumentpanel för ärenden

Med instrumentpanelen för hantering av insiderrisk kan du visa och agera på ärenden. Varje rapportwidget på instrumentpanelen visar information för de senaste 30 dagarna.

  • Aktiva ärenden: Det totala antalet aktiva ärenden som utreds.
  • Ärenden under de senaste 30 dagarna: Det totala antalet ärenden som skapats, sorterade efter statusen Aktiv och Stängd .
  • Statistik: Genomsnittlig tid för aktiva ärenden som anges i timmar, dagar eller månader.

Ärendekön visar en lista över alla aktiva och stängda ärenden för din organisation, utöver den aktuella statusen för följande ärendeattribut:

  • Ärendenamn: Namnet på ärendet, definierat när en avisering bekräftas och ärendet skapas.
  • Status: Ärendets status, antingen Aktiv eller Stängd.
  • Användare: Användaren för ärendet. Om anonymisering för användarnamn är aktiverat visas anonymiserad information.
  • Tidsfall öppnat: Den tid som har gått sedan ärendet öppnades.
  • Totalt antal principaviseringar: Antalet principmatchningar som ingår i ärendet. Det här antalet kan öka om nya aviseringar läggs till i ärendet.
  • Ärendet uppdaterades senast: Tiden som har passerat sedan det har lagts till en ärendeanteckning eller ändring i ärendetillståndet.
  • Senast uppdaterad av: Namnet på den insiderriskhanteringsanalytiker eller utredare som senast uppdaterade fallet.

Instrumentpanel för hantering av insiderriskfall.

Använd sökkontrollen för att söka efter skiftlägesnamn för specifik text och använd skiftlägesfiltret för att sortera ärenden efter följande attribut:

  • Status
  • Öppnade tidsfall, startdatum och slutdatum
  • Senast uppdaterad, startdatum och slutdatum

Filterfall

Beroende på antalet och typen av aktiva principer för hantering av insiderrisk i din organisation kan det vara svårt att granska en stor kö med ärenden. Med hjälp av skiftlägesfilter kan analytiker och utredare sortera ärenden efter flera attribut. Om du vill filtrera aviseringar på instrumentpanelen Ärenden väljer du filterkontrollen . Du kan filtrera ärenden efter ett eller flera attribut:

  • Status: Välj ett eller flera statusvärden för att filtrera ärendelistan. Alternativen är Aktiv och Stängd.
  • Tidsfall öppnat: Välj start- och slutdatum för när ärendet öppnades.
  • Senast uppdaterad: Välj start- och slutdatum för när ärendet uppdaterades.

Undersöka ett ärende

En djupare undersökning av aviseringar om hantering av insiderrisk är avgörande för att vidta lämpliga korrigerande åtgärder. Hanteringsfall för insiderrisk är det centrala hanteringsverktyget för att fördjupa sig i användarriskaktivitetshistorik, aviseringsinformation, sekvensen av riskhändelser och utforska innehåll och meddelanden som exponeras för risker. Riskanalytiker och utredare använder också fall för att centralisera granskningsfeedback och anteckningar och för att bearbeta ärendelösning.

Om du väljer ett ärende öppnas verktygen för ärendehantering och analytiker och utredare kan gå in på detaljer om ärenden.

Ärendeöversikt

Fliken Ärendeöversikt sammanfattar ärendeinformationen för riskanalytiker och utredare. Den innehåller följande information i området Om det här fallet

  • Status: Aktuell status för ärendet, antingen Aktiv eller Stängd.
  • Ärende som skapats den: Datum och tid då ärendet skapades.
  • Användarens riskpoäng: Användarens aktuella beräknade risknivå för ärendet. Den här poängen beräknas var 24:e timme och använder aviseringsriskpoäng från alla aktiva aviseringar som är associerade med användaren.
  • E-post: Användarens e-postalias för ärendet.
  • Organisation eller avdelning: Den organisation eller avdelning som användaren är tilldelad till.
  • Chefsnamn: Namnet på användarens chef.
  • E-post för chef: E-postalias för användarens chef.

Ärendeinformation om hantering av insiderrisk.

Fliken Ärendeöversikt innehåller också ett aviseringsavsnitt som innehåller följande information om principmatchningsaviseringar som är associerade med ärendet:

  • Principmatchningar: Namnet på principen för hantering av insiderrisk som är associerad med matchningsaviseringar för användaraktivitet.
  • Status: Status för aviseringen.
  • Allvarlighetsgrad: Aviseringens allvarlighetsgrad.
  • Identifierad tid: Den tid som har passerat sedan aviseringen genererades.

Varningar

Fliken Aviseringar sammanfattar de aktuella aviseringar som ingår i ärendet. Nya aviseringar kan läggas till i ett befintligt ärende och de läggs till i aviseringskö när de tilldelas. Följande aviseringsattribut visas i kön:

  • Status
  • Allvarlighetsgrad
  • Identifierad tid

Välj en avisering från kön för att visa sidan Aviseringsinformation .

Använd sökkontrollen för att söka efter aviseringsnamn efter specifik text och använd aviseringsfiltret för att sortera ärenden efter följande attribut:

  • Status
  • Allvarlighetsgrad
  • Identifierad tid, startdatum och slutdatum

Använd filterkontrollen för att filtrera aviseringar efter flera attribut, inklusive:

  • Status: Välj ett eller flera statusvärden för att filtrera aviseringslistan. Alternativen är Bekräftad, Avvisad, Behovsgranskning och Löst.
  • Allvarlighetsgrad: Välj en eller flera allvarlighetsnivåer för aviseringsrisker för att filtrera aviseringslistan. Alternativen är Hög, Medel och Låg.
  • Identifierad tid: Välj start- och slutdatum för när aviseringen skapades.
  • Princip: Välj en eller flera principer för att filtrera aviseringarna som genereras av de valda principerna.

Användaraktivitet

På fliken Användaraktivitet kan riskanalytiker och utredare granska aktivitetsinformation och använda en visuell representation av alla aktiviteter som är associerade med riskaviseringar och fall. Som en del av aviseringstriageprocessen kan analytiker till exempel behöva granska alla riskaktiviteter som är associerade med ärendet för mer information. I fall kan riskutredare granska information om användaraktivitet och bubbeldiagrammet för att förstå det övergripande omfånget för de aktiviteter som är associerade med ärendet. Mer information om aktivitetsdiagrammet Användare finns i artikeln Aktiviteter för hantering av insiderrisk .

Aktivitetsutforskaren (förhandsversion)

På fliken Aktivitetsutforskaren kan riskanalytiker och utredare granska aktivitetsinformation som är associerad med riskaviseringar. Som en del av ärendehanteringsåtgärderna kan utredare och analytiker till exempel behöva granska alla riskaktiviteter som är associerade med ärendet för mer information. Med aktivitetsutforskaren kan granskare snabbt granska en tidslinje för identifierad riskfylld aktivitet och identifiera och filtrera alla riskaktiviteter som är associerade med aviseringar.

Mer information om aktivitetsutforskaren finns i artikeln Aktiviteter för hantering av insiderrisk .

Innehållsutforskaren

På fliken Innehållsutforskaren kan riskutforskare granska kopior av alla enskilda filer och e-postmeddelanden som är associerade med riskaviseringar. Om en avisering till exempel skapas när en användare laddar ned hundratals filer från SharePoint Online och aktiviteten utlöser en principavisering, registreras alla nedladdade filer för aviseringen och kopieras till ärendet för hantering av insiderrisk från ursprungliga lagringskällor.

Innehållsutforskaren är ett kraftfullt verktyg med grundläggande och avancerade sök- och filtreringsfunktioner. Mer information om hur du använder Innehållsutforskaren finns i Innehållsutforskaren för hantering av insiderrisk.

Innehållsutforskaren för hantering av insiderrisk.

Ärendeanteckningar

Fliken Ärendeanteckningar i fallet är där riskanalytiker och utredare delar kommentarer, feedback och insikter om sitt arbete för ärendet. Anteckningar är permanenta tillägg i ett ärende och kan inte redigeras eller tas bort när anteckningen har sparats. När ett ärende skapas från en avisering läggs kommentarerna som anges i dialogrutan Bekräfta avisering och skapa insiderriskfall automatiskt till som en ärendeanteckning.

Instrumentpanelen för ärendeanteckningar visar anteckningar från användaren som skapade anteckningen och den tid som har passerat sedan anteckningen sparades. Om du vill söka efter ett specifikt nyckelord i textfältet för ärendeanteckningen använder du knappen Sök på ärendeinstrumentpanelen och anger ett specifikt nyckelord.

Så här lägger du till en anteckning i ett ärende:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Ärenden.
  2. Välj ett ärende och välj sedan fliken Ärendeanteckningar .
  3. Välj Lägg till ärendeanteckning.
  4. I dialogrutan Lägg till ärendeanteckning skriver du din anteckning för ärendet. Välj Spara för att lägga till anteckningen i ärendet eller välj Avbryt stäng utan att spara anteckningen i ärendet.

Bidragsgivare

Fliken Deltagare i fallet är där riskanalytiker och utredare kan lägga till andra granskare i ärendet. Som standard listas alla användare som tilldelats rollerna Insider Risk Management-analytiker och Utredare av insiderriskhantering som deltagare för varje aktivt och stängt ärende. Endast användare som tilldelats rollen Utredare av insiderriskhantering har behörighet att visa filer och meddelanden i innehållsutforskaren.

Tillfällig åtkomst till ett ärende kan beviljas genom att lägga till en användare som deltagare. Deltagare har all ärendehanteringskontroll för det specifika fallet förutom:

  • Behörighet att bekräfta eller avvisa aviseringar
  • Behörighet att redigera deltagare för ärenden
  • Behörighet att visa filer och meddelanden i innehållsutforskaren

Så här lägger du till en deltagare i ett ärende:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Ärenden.
  2. Välj ett ärende och välj sedan fliken Deltagare .
  3. Välj Lägg till deltagare.
  4. I dialogrutan Lägg till deltagare börjar du skriva namnet på den användare som du vill lägga till och väljer sedan användaren i listan över föreslagna användare. Den här listan genereras från Azure Active Directory för din klientprenumeration.
  5. Välj Lägg till för att lägga till användaren som deltagare eller välj Avbryt stäng dialogrutan utan att lägga till användaren som deltagare.

Ärendeåtgärder

Riskutredare kan vidta åtgärder i ett ärende på någon av flera metoder, beroende på ärendets allvarlighetsgrad, användarens riskhistorik och organisationens riskriktlinjer. I vissa situationer kan du behöva eskalera ett ärende till en användare eller dataundersökning för att samarbeta med andra delar av organisationen och fördjupa dig i riskaktiviteter. Hantering av insiderrisk är nära integrerad med andra Microsoft Purview lösningar som hjälper dig med lösningshantering från slutpunkt till slutpunkt.

Skicka e-postmeddelande

I de flesta fall är användaråtgärder som skapar insiderriskaviseringar oavsiktliga eller oavsiktliga. Att skicka ett påminnelsemeddelande till användaren via e-post är en effektiv metod för att dokumentera ärendegranskning och åtgärder, och är en metod för att påminna användarna om företagets principer eller peka dem på uppdateringsutbildning. Meddelanden genereras från meddelandemallar som du skapar för infrastrukturen för hantering av insiderrisk.

Det är viktigt att komma ihåg att skicka ett e-postmeddelande till en användare inte _ lösa ärendet som _Closed. I vissa fall kanske du vill lämna ett ärende öppet när du har skickat ett meddelande till en användare för att söka efter fler riskaktiviteter utan att öppna ett nytt ärende. Om du vill lösa ett ärende när du har skickat ett meddelande måste du välja Lös ärende som ett uppföljningssteg när du har skickat ett meddelande.

Så här skickar du ett meddelande till den användare som tilldelats ett ärende:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Ärenden.
  2. Välj ett ärende och välj sedan knappen Skicka e-postmeddelande i verktygsfältet för ärendeåtgärd.
  3. I dialogrutan Skicka e-postmeddelande väljer du listrutan Välj en meddelandemall för att välja meddelandemallen för meddelandet. Den här markeringen fyller i de andra fälten i meddelandet i förväg.
  4. Granska meddelandefälten och uppdatera efter behov. Värdena som anges här åsidosätter värdena i mallen.
  5. Välj Skicka för att skicka meddelandet till användaren eller välj Avbryt stäng dialogrutan utan att skicka meddelandet till användaren. Alla skickade meddelanden läggs till i ärendeanteckningarnas kö på instrumentpanelen Ärendeanteckningar .

Eskalera för undersökning

Eskalera ärendet för användarundersökning i situationer där ytterligare juridisk granskning krävs för användarens riskaktivitet. Den här eskalering öppnar ett nytt Microsoft Purview eDiscovery-ärende (Premium) i din Microsoft 365 organisation. eDiscovery (Premium) tillhandahåller ett arbetsflöde från slutpunkt till slutpunkt för att bevara, samla in, granska, analysera och exportera innehåll som svarar mot organisationens interna och externa juridiska undersökningar. Det gör också att ditt juridiska team kan hantera hela arbetsflödet för meddelanden om bevarande av juridiska skäl för att kommunicera med vårdnadshavare som är inblandade i ett ärende. Att eskalera till ett eDiscovery-ärende (Premium) från ett ärende för hantering av insiderrisk hjälper ditt juridiska team att vidta lämpliga åtgärder och hantera bevarande av innehåll. Mer information om eDiscovery-fall (Premium) finns i Översikt över Microsoft Purview eDiscovery (Premium).

Så här eskalerar du ett ärende till en användarundersökning:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Ärenden.
  2. Välj ett ärende och välj sedan knappen Eskalera för undersökning i verktygsfältet för ärendeåtgärd.
  3. I dialogrutan Eskalera för undersökning anger du ett namn för den nya användarundersökningen. Om det behövs anger du anteckningar om ärendet och väljer Eskalera.
  4. Granska meddelandefälten och uppdatera efter behov. Värdena som anges här åsidosätter värdena i mallen.
  5. Välj Bekräfta för att skapa användarundersökningsfallet eller välj Avbryt för att stänga dialogrutan utan att skapa ett nytt användarundersökningsärende.

När ärendet för hantering av insiderrisk har eskalerats till ett nytt användarundersökningsärende kan du granska det nya ärendet i området eDiscoveryAdvanced > i efterlevnadsportal i Microsoft Purview.

Köra automatiserade uppgifter med Power Automate flöden för ärendet

Med hjälp av rekommenderade Power Automate flöden kan riskutredare och analytiker snabbt vidta åtgärder för att:

  • Begära information från HR eller företag om en användare i ett insiderriskärende
  • Meddela chefen när en användare har en insiderriskavisering
  • Skapa en post för ett insiderriskhanteringsärende i ServiceNow
  • Meddela användare när de läggs till i en princip för insiderrisk

Så här kör, hanterar eller skapar du Power Automate flöden för ett insiderriskhanteringsärende:

  1. Välj Automatisera i verktygsfältet för ärendeåtgärd.
  2. Välj det Power Automate flöde som ska köras och välj sedan Kör flöde.
  3. När flödet har slutförts väljer du Klar.

Mer information om Power Automate flöden för hantering av insiderrisk finns i Komma igång med inställningar för hantering av insiderrisk.

Visa eller skapa ett Microsoft Teams team för ärendet

När Microsoft Teams integrering för hantering av insiderrisk aktiveras i inställningarna skapas ett Microsoft Teams-team automatiskt varje gång en avisering bekräftas och ett ärende skapas. Riskutredare och analytiker kan snabbt öppna Microsoft Teams och gå direkt till teamet för ett ärende genom att välja Visa Microsoft Teams team i verktygsfältet för ärendeåtgärder.

För ärenden som har öppnats innan Microsoft Team-integrering aktiveras kan riskutredare och analytiker skapa ett nytt Microsoft Teams team för ett ärende genom att välja Skapa Microsoft Teams team i verktygsfältet för ärendeåtgärder.

När ett ärende har lösts arkiveras det associerade Microsoft-teamet automatiskt (dolt och skrivskyddat).

Mer information om Microsoft Teams för hantering av insiderrisk finns i Komma igång med inställningar för hantering av insiderrisk.

Lösa ärendet

När riskanalytiker och utredare har slutfört sin granskning och undersökning kan ett ärende lösas för att agera på alla aviseringar som för närvarande ingår i fallet. När du löser ett ärende läggs en lösningsklassificering till, ärendestatusen ändras till Stängd och lösningsåtgärdens orsaker läggs automatiskt till i ärendeanteckningarnas kö på instrumentpanelen ärendeanteckningar . Ärenden löses som antingen:

  • Godartad: Klassificeringen för fall där principmatchningsaviseringar utvärderas som låg risk, icke-allvarlig eller falsk positiv.
  • Bekräftad principöverträdelse: Klassificeringen för fall där principmatchningsaviseringar utvärderas som riskfyllda, allvarliga eller resultatet av skadlig avsikt.

Så här löser du ett ärende:

  1. I efterlevnadsportal i Microsoft Purview går du till Hantering av insiderrisk och väljer fliken Ärenden.
  2. Välj ett ärende och välj sedan knappen Lös ärende i verktygsfältet för ärendeåtgärd.
  3. I dialogrutan Lös ärende väljer du listrutan Lös som för att välja lösningsklassificering för ärendet. Alternativen är överträdelse av principen Godartad eller Bekräftad.
  4. I dialogrutan Lös ärende anger du orsakerna till lösningsklassificeringen i textfältet Åtgärd som vidtagits .
  5. Välj Lös för att stänga ärendet eller välj Avbryt stäng dialogrutan utan att lösa ärendet.