Planera för hantering av insiderrisker
Innan du börjar med insider-riskhantering i din organisation finns det viktiga planeringsaktiviteter och överväganden som bör granskas av dina team för informationsteknik och efterlevnadshantering. Genom att noggrant förstå och planera för distribution inom följande områden kan du säkerställa att din implementering och användning av insider-riskhanteringsfunktioner går smidigt och överensstämmer med metodtipsen för lösningen.
Titta på videon nedan för att lära dig hur insider-arbetsflödet för riskhantering kan hjälpa din organisation att förhindra, upptäcka och hantera risker samtidigt som organisationens värden, kultur och användarupplevelse prioriteras:
Arbeta med intressenter i organisationen
Identifiera rätt intressenter i organisationen för att samarbeta för att vidta åtgärder för varningar och ärenden inom insider-riskhantering. Några rekommenderade intressenter att överväga att ta med i den inledande planeringen och arbetsflödet för insider-riskhantering är personer från följande områden i organisationen:
- Informationsteknik
- Efterlevnad
- Sekretess
- Säkerhet
- Personalavdelningen
- Villkor
Fastställa eventuella regionala efterlevnadskrav
Olika geografiska områden och organisationsområden kan ha efterlevnads- och sekretesskrav som skiljer sig från andra områden i organisationen. Arbeta med intressenterna i dessa områden för att säkerställa att de förstår efterlevnads- och sekretesskontroller i Insider-riskhantering och hur de ska användas i olika områden i organisationen. I vissa fall kan efterlevnads- och sekretesskrav kräva principer som utser eller begränsar vissa intressenter från undersökningar och ärenden utifrån ett ärende för en användare eller ett regelverk eller policykrav för området.
Om du har krav för att vissa intressenter ska vara inblandade i ärendeundersökningar som involverar användare i vissa regioner, roller eller avdelningar, kanske du vill implementera separata (även om identiska) insider-riskhanteringsprinciper som är riktade till olika regioner och populationer. Den här konfigurationen gör det enklare för rätt intressenter att administrera och hantera ärenden som är relevanta för deras roller och regioner. Du kan även överväga att skapa processer och principer för regioner där slutanvändare och granskare talar samma språk som användarna för att effektivisera eskaleringsprocessen för varningar och ärenden inom insiderriskhantering.
Planera arbetsflödet för granskning och undersökning
Välj dedikerade intressenter för att övervaka och granska aviseringar och ärenden regelbundet i Microsoft 365 Efterlevnadscenter. Se till att du förstår hur du tilldelar olika intressenter till de olika rollgrupperna som är tillgängliga i Insider-riskhantering.
Viktigt
När du har konfigurerat rollgrupperna kan det ta upp till 30 minuter för rollgruppsbehörigheterna att gälla för tilldelade användare i organisationen.
Det finns sex rollgrupper som används för att konfigurera inledande behörigheter för att hantera insider-riskhanteringsfunktioner. Om du vill göra Insider-riskhantering tillgängligt som menyalternativ i Microsoft 365 Efterlevnadscenter och för att fortsätta med de här konfigurationsstegen måste du vara tilldelad till en av följande roller eller rollgrupper:
- Azure Active Directory global administratörsroll
- Azure Active Directory efterlevnadsadministratörsroll
- Microsoft 365 Efterlevnadscenter rollgruppen Organisationshantering
- Microsoft 365 Efterlevnadscenter för efterlevnadsadministratör
- Rollgrupp för Insider-riskhantering
- Rollgrupp för Insider-riskhanteringsadministratör
Medlemmar med följande roller har samma lösningsbehörigheter som ingår i rollgruppen för Insider-riskhanteringsadministratör:
- Azure Active Directory global administratör
- Azure Active Directory efterlevnadsadministratör
- Microsoft 365 Efterlevnadscenter organisationshantering
- Microsoft 365 Efterlevnadscenter efterlevnadsadministratör
Viktigt
Se till att du alltid har minst en användare i rollgrupperna för Insider- och Insider-riskhanteringsadministratörer (beroende på vilket alternativ du väljer), så att konfigurationen för Insider-riskhantering inte får något scenario med "noll administratör" om vissa användare lämnar organisationen.
Beroende på hur du vill hantera principer och aviseringar för Insider-riskhantering måste du tilldela användare till specifika rollgrupper för att hantera olika uppsättningar med funktioner för Insider-riskhantering. Du har möjlighet att tilldela användare med olika efterlevnadsansvar till specifika rollgrupper för att hantera olika områden med funktioner för Insider-riskhantering. Eller så kanske du bestämmer dig för att tilldela alla användarkonton till administratörer, analytiker, administratörer och läsare till rollgruppen Insider Risk Management. Använd en rollgrupp eller flera rollgrupper som bäst passar kraven på efterlevnadshantering.
Välj bland de här rollgruppsalternativen för lösningar när du konfigurerar och hanterar Insider-riskhantering:
| Rollgrupp | Rollbehörigheter |
|---|---|
| Hantering av interna risker | Använd den här rollgruppen för att hantera insider-riskhantering för organisationen i en enda grupp. Genom att lägga till alla användarkonton för angivna administratörer, analytiker, ekonomi och granskare kan du konfigurera behörigheter för Insider-riskhantering i en enda grupp. Den här rollgruppen innehåller alla behörighetsroller för Insider-riskhantering och associerade behörigheter. Den här konfigurationen är det enklaste sättet att snabbt komma igång med insider-riskhantering och är en god passform för organisationer som inte behöver separata behörigheter som definierats för separata användargrupper. När du använder den här konfigurationen bör du se till att alltid ha minst en användare tilldelad till den här rollgruppen för att säkerställa att dina principer fungerar som förväntat och så att användaren kan skapa och redigera principer, konfigurera lösningsinställningar och granska hälsovarningar för principer. |
| Insider-riskhanteringsadministratör | Använd den här rollgruppen till att först konfigurera Insider-riskhantering och senare för att dela upp Insider-riskadministratörer i en definierad grupp. Användare i den här rollgruppen kan aktivera och visa analysinsikter och skapa, läsa, uppdatera och ta bort principer för insider-riskhantering, globala inställningar och tilldelningar av rollgrupper. När du använder den här konfigurationen bör du se till att alltid ha minst en användare tilldelad till den här rollgruppen för att säkerställa att dina principer fungerar som förväntat och så att användaren kan skapa och redigera principer, konfigurera lösningsinställningar och granska hälsovarningar för principer. |
| Analytiker för hantering av interna risker | Använd den här gruppen för att tilldela behörigheter till användare som fungerar som insider-riskfallsanalytiker. Användare i den här rollgruppen kan komma åt och visa alla varningar för Insider-riskhantering, fall, analysinsikter och meddelandemallar. De kan inte komma åt Insider-risken i Innehållsutforskaren. |
| Utredare för hantering av interna risker | Använd den här gruppen för att tilldela behörigheter till användare som ska agera som insider-riskgruppsbehörigheter. Användare i den här rollgruppen kan komma åt alla varningar för insider-riskhantering, ärenden, meddelandemallar och Innehållsutforskaren för alla fall. |
| Insider-riskhanteringsgranskningar | Använd den här gruppen för att tilldela behörigheter till användare som ska granska aktiviteter inom insider-riskhantering. Användare i den här rollgruppen kan komma åt granskningsloggen för Insider-risker. |
Förstå krav och beroenden
Beroende på hur du planerar att implementera principer för Insider-riskhantering måste du ha rätt Microsoft 365 för licensieringsprenumerationer och förstå och planera för vissa lösningsförutsättningarna.
Licensiering: Insider-riskhantering finns tillgängligt som en del av ett brett urval av Microsoft 365 licensprenumerationer. Mer information finns i artikeln Komma igång med insider-riskhantering.
Viktigt
Insider-riskhantering är för närvarande tillgängligt i klientorganisation i geografiska regioner och länder som stöds av Azure-tjänstberoenden. Du kan kontrollera att insider-riskhantering stöds för organisationen genom att gå till Azure-beroendetillgängligheten efter land/region.
Om du inte har ett befintligt Microsoft 365 Enterprise E5-abonnemang och vill prova insider-riskhantering kan du lägga till Microsoft 365 i din befintliga prenumeration eller registrera dig för en utvärderingsversion av Microsoft 365 Enterprise E5.
Krav på principmall: Beroende på vilken principmall du väljer finns det krav som du måste förstå och planera för innan du konfigurerar insiderriskhantering i organisationen:
- När du använder mallen Datastöld genom avgående användare måste du konfigurera en hr-Microsoft 365 att regelbundet importera information om slutdatum för användare i organisationen. Se artikeln Importera data med HR-anslutning för steg-för-steg-vägledning för att konfigurera Microsoft 365 HR-anslutning för din organisation.
- När du använder mallar för dataläckor måste du konfigurera minst en DLP-princip (Data Loss Prevention) för att definiera känslig information i organisationen och få varningar om insiderrisker för varningar om hög allvarlighetsgrad (DLP-princip). Se artikeln Skapa, testa och ställa in en DLP-princip för en steg-för-steg-vägledning för att konfigurera DLP-principer för din organisation.
- När du använder mallar för brott mot säkerhetsprinciper måste du aktivera Microsoft Defender för Slutpunkt för integrering av insiderriskhantering i Defender Säkerhetscenter för att importera aviseringar om säkerhetsöverträdelser. Stegvisa anvisningar för hur du aktiverar Defender för Slutpunktsintegrering med Insider-riskhantering finns i Konfigurera avancerade funktioner i Microsoft Defender för Slutpunkt.
- När du använder missnöjda användarmallar måste du konfigurera en Microsoft 365 HR-koppling för att med jämna mellanrum importera prestanda- eller nedgraderingsstatusinformation för användare i organisationen. Se artikeln Importera data med HR-anslutning för steg-för-steg-vägledning för att konfigurera Microsoft 365 HR-anslutning för din organisation.
Testa med en liten grupp användare i en produktionsmiljö
Innan du aktiverar lösningen i produktionsmiljön allmänt kan du överväga att testa principerna med ett litet antal produktionsanvändare samtidigt som du genomför nödvändiga ändringar för efterlevnad, sekretess och juridisk granskning i organisationen. Utvärdering av insider-riskhantering i en testmiljö skulle kräva att du skapar simulerade användaråtgärder och andra signaler för att skapa varningar för triage och fall för bearbetning. Den här metoden är inte praktisk för de flesta organisationer, så det är bättre att testa insider-riskhantering med en liten grupp användare i en produktionsmiljö.
Låt anonymiseringsfunktionen i principinställningarna vara aktiverad för att anonymisera användarnamn i insider-riskhanteringskonsolen under denna testning för att upprätthålla integriteten i verktyget. Den här inställningen skyddar integriteten för användare som har principmatchningar och kan öka objektivityen vid dataundersökning och analysgranskningar för insiderriskvarningar.
Om du inte ser några aviseringar direkt efter att du konfigurerat en princip för insider-riskhantering kan det innebära att tröskelvärdet för minsta risk inte har uppfyllts ännu. Ett bra sätt att kontrollera om principen utlöses och fungerar som förväntat är att se om användaren finns inom omfattningen för principen på sidan Användare.
Resurser för intressenter
Dela dokumentation om insider-riskhantering med intressenter i organisationen som ingår i ditt arbetsflöde för hantering och åtgärder:
- Skapa och hantera principer för hantering av insiderrisker
- Undersöka aktiviteter för interna risker
- Vidta åtgärder för insiderriskärenden
- Granska ärendedata med Innehållsutforskaren för Insider-risk
- Skapa mallar för insiderriskaviseringar
Är du redo att börja?
Är du redo att konfigurera Insider-riskhantering för din organisation? Läs följande artiklar:
- Kom igång med inställningar för Insider-riskhantering för att konfigurera globala principinställningar.
- Kom igång med Insider-riskhantering för att konfigurera förutsättningar, skapa principer och börja ta emot aviseringar.