Läs mer om hantering av insiderrisk i Microsoft 365
Insider-riskhantering är en efterlevnadslösning i Microsoft 365 som bidrar till att minimera interna risker genom att du kan upptäcka, undersöka och agera på skadliga och oavsiktliga aktiviteter i organisationen. Med principer för Insider-risker kan du definiera vilka typer av risker som du kan identifiera och identifiera i organisationen, inklusive att agera i ärenden och eskalera ärenden till Microsoft Advanced eDiscovery om det behövs. Riskanalytiker i organisationen kan snabbt vidta lämpliga åtgärder för att se till att användarna följer organisationens efterlevnadsstandarder.
Titta på videoklippen nedan för att lära dig hur insider-riskhantering kan hjälpa din organisation att förhindra, upptäcka och begränsa risker när du prioriterar organisationens värden, kultur och användarupplevelse:
Insider-& utveckling:
Arbetsflöde för Insider-riskhantering:
Viktigt
Insider-riskhantering är för närvarande tillgängligt i klientorganisation i geografiska regioner och länder som stöds av Azure-tjänstberoenden. Du kan kontrollera att insider-riskhantering stöds för organisationen genom att gå till Azure-beroendetillgängligheten efter land/region.
Moderna riskpunkter
Hantering och minimering av risker i organisationen börjar med att förstå vilka typer av risker som finns på den moderna arbetsplatsen. Vissa risker styrs av externa händelser och faktorer som inte har direkt kontroll. Andra risker styrs av interna händelser och användaraktiviteter som kan minimeras och undvikas. Vissa exempel är risker från olagligt, olämpligt, obehörigt eller oetiskt beteende och åtgärder av användare i organisationen. Dessa beteenden omfattar många interna risker från användare:
- Läckage av känsliga data och data som spiller
- Brott mot konfidentialitet
- IP-stöld (immateriell egendom)
- Bedrägeri
- Insider-handel
- Regelefterlevnadsfel
Användare på den moderna arbetsplatsen har tillgång till att skapa, hantera och dela data över en mängd olika plattformar och tjänster. I de flesta fall har organisationer begränsade resurser och verktyg för att identifiera och minimera risker för hela organisationen och samtidigt uppfylla användarnas sekretessstandarder.
Insider-riskhantering använder den fullständiga bredden på tjänsten och indikatorer från tredje part för att snabbt identifiera, hantera och agera på riskaktivitet. Genom att använda loggar från Microsoft 365 och Microsoft Graph kan du med insider-riskhantering definiera specifika principer för att identifiera riskindikatorer. Med de här principerna kan du identifiera riskfyllda aktiviteter och agera för att minimera dessa risker.
Insider-riskhantering är centrerat kring följande principer:
- Transparens: Balansera användarsekretessen och organisationens risker med arkitekturen sekretess för design.
- Konfigurerbara: Konfigurerbara principer baserade på bransch-, geografiskt och företagsgrupper.
- Integrerad: Integrerat arbetsflöde i Microsoft 365 efterlevnadslösningar.
- Handlingsbar: Ger insikter för att möjliggöra aviseringar för granskare, dataundersökningar och användarundersökningar.
Identifiera potentiella risker med analyser
Insiderriskanalys gör att du kan göra en utvärdering av potentiella insiderrisker i din organisation utan att konfigurera några principer för insiderrisk. Denna utvärdering kan hjälpa din organisation att identifiera potentiella områden med högre användarrisk och hjälpa till att bestämma typen och omfattningen av principer för hantering av insiderrisk som du kan överväga att konfigurera. Den här utvärderingen kan också hjälpa dig att fastställa behov för ytterligare licensiering eller framtida optimering av befintliga Insider Risk-principer.
Mer information om Insider-riskanalyser finns i Insider-inställningar för riskhantering: Analyser.
Komma igång med rekommenderade åtgärder (förhandsversion)
Oavsett om det gäller att konfigurera insider-riskhantering för första gången eller om du vill komma igång med att skapa nya principer, kan den nya rekommenderade upplevelsen för åtgärder hjälpa dig att få ut så mycket som helst av funktionerna för Insider-riskhantering. Rekommenderade åtgärder omfattar att konfigurera behörigheter, välja principindikatorer, skapa en princip och mycket mer.
Arbetsflöde
Med insider-riskhanteringsarbetsflödet kan du identifiera, undersöka och vidta åtgärder för att hantera interna risker i organisationen. Med fokuserade principmallar, omfattande aktivitetssignalering i Microsoft 365-tjänsten och verktyg för aviseringar och ärendehantering kan du använda handlingsbara insikter för att snabbt identifiera och agera på riskabelt beteende.
Genom att identifiera och lösa interna riskaktiviteter och efterlevnadsproblem med insiderriskhantering i Microsoft 365 följande arbetsflöde:

Policyer
Insider-riskhanteringsprinciper skapas med fördefinierade mallar och policyvillkor som definierar vilka utlösta händelser och riskindikatorer som utlösts i organisationen. Dessa villkor omfattar hur riskindikatorer används för varningar, vilka användare som ingår i principen, vilka tjänster som prioriteras och övervakningstidsperioden.
Du kan välja bland följande principmallar för att snabbt komma igång med Insider-riskhantering:
- Datastöld från slutande användare
- Allmänna dataläckor
- Dataläckor av prioritetsanvändare (förhandsversion)
- Dataläckor av missnöjd användare (förhandsversion)
- Överträdelse av allmän säkerhetsprincip (förhandsversion)
- Missbruk av allmänna patientdata (förhandsversion)
- Överträdelser av säkerhetsprinciper av användare som slutar (förhandsversion)
- Överträdelser av säkerhetsprincip efter prioritetsanvändare (förhandsversion)
- Överträdelse av säkerhetsprincip av en missnöjd användare (förhandsversion)

Varningar
Varningar genereras automatiskt av riskindikatorer som matchar principvillkor och visas i instrumentpanelen för aviseringar. Med den här instrumentpanelen kan du snabbt se alla aviseringar som behöver granskas, öppna aviseringar med tiden och aviseringsstatistik för organisationen. Alla principaviseringar visas med följande information som hjälper dig att snabbt identifiera status för befintliga aviseringar och nya aviseringar som behöver åtgärd:
- Status
- Allvarlighetsgrad
- Upptäckt tid
- Ärende
- Ärendestatus

Triage
Nya användaraktiviteter som behöver undersökas genererar automatiskt aviseringar som tilldelas statusen Behöver granskas. Granskare kan snabbt identifiera och granska, utvärdera och kontrollera dessa aviseringar.
Aviseringar löses genom att öppna ett nytt ärende, tilldela aviseringen till ett befintligt ärende eller stänga aviseringen. Med hjälp av aviseringsfilter är det enkelt att snabbt identifiera aviseringar efter status, allvarlighetsgrad eller upptäckt tid. Som en del av processen kan granskare visa varningsinformation för aktiviteter som identifieras av principen, visa användaraktivitet som är kopplad till principmatchningen, se allvarlighetsgraden för aviseringen och granska information i användarprofilen.

Undersöka
Undersök snabbt alla aktiviteter för en vald användare med användaraktivitetsrapporter (förhandsversion). Med de här rapporterna kan företag i organisationen undersöka aktiviteter för specifika användare under en viss tidsperiod utan att behöva tilldela dem tillfälligt eller uttryckligen en princip för insiderriskhantering. När du granskat aktiviteter för en användare kan undantag från enskilda aktiviteter avvisas som enstaka aktiviteter som en enstaka aktivitet, dela eller skicka en länk till rapporten via e-post med andra affärsverksamheter, eller välja att tilldela användaren tillfälligt eller uttryckligen en princip för insider-riskhantering.
Ärenden skapas för aviseringar som kräver en djupare granskning och undersökning av aktivitetsinformation och omständigheter kring principmatchning. På instrumentpanelen Ärende finns en översikt över alla aktiva ärenden, öppna ärenden med tiden och ärendestatistik för organisationen. Granskare kan snabbt filtrera ärenden efter status, datumet då ärendet öppnades och datumet då ärendet uppdaterades senast.
Om du väljer ett ärende på ärendepanelen öppnas ärendet för undersökning och granskning. Det här steget är kärnan i arbetsflödet för Insider-riskhantering. I det här området visas riskaktiviteter, policyvillkor, information om varningar och användarinformation i en integrerad vy för granskare. De huvudsakliga undersökningsverktygen i det här området är:
- Användaraktivitet: Användaraktivitet visas automatiskt i ett interaktivt diagram som ritar aktiviteter över tid och efter risknivå för aktuella eller tidigare riskaktiviteter. Granskare kan snabbt filtrera och visa hela riskhistoriken för användaren och granska specifika aktiviteter för mer information.
- Innehållsutforskaren: Alla datafiler och e-postmeddelanden som är kopplade till aviseringsaktiviteter samlas automatiskt in och visas i Innehållsutforskaren. Granskare kan filtrera och visa filer och meddelanden efter datakälla, filtyp, taggar, konversationer och många fler attribut.
- Anteckning om ärende : Granskare kan göra anteckningar för ett ärende i avsnittet Ärendeanteckningar. Den här listan konsoliderar alla anteckningar i en central vy och innehåller information som granskare och datum för inskickning.

Med den nya granskningsloggen (förhandsversion) kan du dessutom hålla dig uppdaterad om de åtgärder som har vidtagits för funktioner för insider-riskhantering. Den här resursen tillåter en oberoende granskning av de åtgärder som vidtas av användare som tilldelats en eller flera rollgrupper inom insider-riskhantering.
Åtgärd
När ärendena har undersökts kan granskare snabbt agera för att lösa ärendet eller samarbeta med andra risk intressenter i organisationen. Om användare av misstag eller av misstag bryter mot principvillkoren kan ett enkelt påminnelsemeddelande skickas till användaren från meddelandemallar som du kan anpassa för din organisation. De här meddelandena kan fungera som enkla påminnelser eller leda användaren till uppdateringsutbildning eller vägledning för att förhindra framtida riskabelt beteende. Mer information finns i Mallar för information om Insider-riskhanteringsvarningar.
I mer allvarliga situationer kan du behöva dela information om insider-riskhanteringsfall med andra granskare eller tjänster i organisationen. Insider-riskhantering är nära integrerat med Microsoft 365 och efterlevnadslösningar som hjälper dig med end-to-end-risklösning.
- Advanced eDiscovery: Om du eskalerar ett ärende för undersökning kan du överföra data och hanteringen av ärendet till ett Advanced eDiscovery i Microsoft 365. Advanced eDiscovery ett end-to-end-arbetsflöde för att bevara, samla in, granska, analysera och exportera innehåll som svarar på organisationens interna och externa undersökningar. Det gör att juridiska grupper kan hantera hela arbetsflödet för aviseringar om juridiska frågor. Mer information om hur Advanced eDiscovery fall finns i Översikt över Advanced eDiscovery i Microsoft 365.
- Office 365 Management API-integrering (förhandsversion): Insider-riskhantering har stöd för export av aviseringsinformation till säkerhetsinformation och händelsehanteringstjänster (SIEM) via Office 365 Management API:er. Att ha åtkomst till aviseringsinformation på plattformen passar bäst för organisationens riskprocesser ger dig mer flexibilitet i hur du agerar på riskaktiviteter. Mer information om hur du exporterar aviseringsinformation Office 365 API:er för hantering finns i Exportera aviseringar.
Anteckning
Tack för din feedback och support under förhandsgranskningen av ServiceNow-anslutningen. Vi har beslutat att avsluta förhandsversionen av ServiceNow Connector och upphöra med supporten för Insider-riskhantering den 30 november 2020. Vi utvärderar aktivt alternativa metoder för att ge kunderna ServiceNow-integrering med insiderriskhantering.
Scenarier
Insider-riskhantering kan hjälpa dig att upptäcka, undersöka och vidta åtgärder för att minska interna risker i organisationen i flera vanliga scenarier:
Datastöld från slutande användare
När användare lämnar en organisation, antingen avsiktligt eller som ett resultat av uppsägning, finns det ofta legitima problem som företaget, kunden och användarinformationen är i riskabelt. Användarna kan vara se fram mot att projektdata inte är företagsdata, eller att de frestas att ta företagsdata för personlig vinst och i brott mot företagets policy och juridiska standarder. Principer för Insider-riskhantering som använder Datastöld genom avgående användarprincipmall identifierar automatiskt aktiviteter som vanligtvis associeras med den här typen av stöld. Med den här principen får du automatiskt aviseringar om misstänkta aktiviteter som är associerade med datastöld av avgående användare så att du kan vidta lämpliga åtgärder. Du måste Microsoft 365 en hr-koppling för din organisation för den här principmallen.
Avsiktlig eller oavsiktlig läckage av känslig eller konfidentiell information
I de flesta fall försöker användarna att hantera känslig eller konfidentiell information på bästa sätt. Men ibland kan användare göra misstag och information delas av misstag utanför organisationen eller i brott mot dina informationsskyddsprinciper. I andra fall kan användare avsiktligt läcka eller dela känslig och konfidentiell information med skadliga avsikter och för potentiell personlig vinst. Principer för Insider-riskhantering som skapats med hjälp av följande principmallar för Dataläckor identifierar automatiskt aktiviteter som vanligtvis associeras med delning av känslig eller konfidentiell information:
- Allmänna dataläckor
- Dataläckor av prioritetsanvändare (förhandsversion)
- Dataläckor av missnöjd användare (förhandsversion)
Avsiktliga eller oavsiktliga brott mot säkerhetsprinciper (förhandsversion)
Användare har vanligtvis stor kontroll när de hanterar sina enheter på den moderna arbetsplatsen. Den här kontrollen kan innehålla behörigheter för att installera eller avinstallera program som behövs i prestandan av deras uppgifter eller möjlighet att tillfälligt inaktivera säkerhetsfunktioner för enheter. Oavsett om den här aktiviteten är oavsiktlig, oavsiktlig eller skadlig kan det här uppförandet utgöra en risk för organisationen och det är viktigt att identifiera och agera för att minimera. För att identiteten ska kunna identiteten för dessa riskfyllda säkerhetsaktiviteter betygsöker följande mallar för säkerhetspolicyn för Insider-riskhantering säkerhetsindikatorer och använder Microsoft Defender för slutpunktsaviseringar för att ge insikter om säkerhetsrelaterade aktiviteter:
- Överträdelse av allmän säkerhetsprincip (förhandsversion)
- Överträdelser av säkerhetsprinciper av användare som slutar (förhandsversion)
- Överträdelser av säkerhetsprincip efter prioritetsanvändare (förhandsversion)
- Överträdelse av säkerhetsprincip av en missnöjd användare (förhandsversion)
Principer för användare baserat på position, åtkomstnivå eller riskhistorik (förhandsversion)
Användare i organisationen kan ha olika nivåer av risker beroende på deras position, åtkomstnivå till känslig information eller riskhistorik. Strukturen kan omfatta medlemmar i organisationens ledningsteam, IT-administratörer som har omfattande data- och nätverksåtkomstbehörigheter eller användare med en tidigare historik över riskfyllda aktiviteter. Under dessa omständigheter är det viktigt med närmare kontroll och mer aggressiva riskbedömningar för att underlätta surface-varningar för undersökning och snabb åtgärd. För att identifiera riskfyllda aktiviteter för dessa typer av användare kan du skapa prioriterade användargrupper och skapa principer från följande principmallar:
- Överträdelser av säkerhetsprincip efter prioritetsanvändare (förhandsversion)
- Dataläckor av prioritetsanvändare (förhandsversion)
Sjukvård (förhandsversion)
För organisationer inom sjukvårdsbranschen har de senaste studierna hittat ett mycket högt betyg på insiderrelaterade databrott. Upptäcka missbruk av patientdata och information om hälsojournaler är en viktig komponent i att skydda patientsekretessen och att följa efterlevnadsförordningen, t.ex. HEALTH Insurance Portability and Accountability Act (HIPAA) och HEALTH Information Technology for Economic and Clinical Health (HITECH) Act. Missbruk av patientdata kan variera från åtkomst till behöriga patientjournaler till åtkomst till patientinformation om patienter från familj eller släktingar med skadliga avsikter. För att hjälpa till att identiteten för dessa typer av riskfyllda aktiviteter använder följande mallar för Insider-riskhanteringspolicyn Microsoft 365 HR-anslutning och en sjukvårdsspecifik dataanslutning för att starta poängriskindikatorer i samband med beteenden som kan uppstå i dina system för elektronisk hedjournal (EHR):
Åtgärder och beteenden av missnöjda användare (förhandsversion)
Anställningshändelser kan påverka användarbeteendet på flera olika sätt som är relaterade till Insider-risker. Sådana stressfaktorer kan vara en dålig prestandagranskning, en position nedgradering eller användaren som placerar sig på en plan för prestandagranskning. Även om de flesta användare inte svarar på skadliga händelser kan stressen hos dessa åtgärder resultera i att vissa användare inte tänker på åtgärder som de normalt sett inte överväger under normala omständigheter. För att hjälpa till att identiteten för dessa typer av riskfyllda aktiviteter använder följande mallar för insider-riskhanteringspolicyn Microsoft 365 HR-kopplingen och börjar poänga riskindikatorer som relaterar till beteenden som kan uppstå nära anställningsstresshändelser:
- Dataläckor av missnöjd användare (förhandsversion)
- Överträdelse av säkerhetsprincip av en missnöjd användare (förhandsversion)
Är du redo att börja?
- I Planera för Insider-riskhantering finns information om hur du förbereder för att aktivera insider-riskhanteringsprinciper i din organisation.
- Se Komma igång med inställningar för Insider-riskhantering för att konfigurera globala inställningar för Insider-riskprinciper.
- Se Komma igång med Insider-riskhantering för att konfigurera förutsättningar, skapa principer och börja ta emot aviseringar.