# Übersicht

> **SCU-Kostenschätzung**\
> Dieser Agent verbraucht typischerweise **0,2 – 1,5 SCUs pro Analyselauf**je nach Anzahl der Insider Risk Management (IRM)-Warnungen und der Tiefe der Anreicherung (Quick-, Standard- oder Deep-Modus). Größere Umgebungen mit hohem Warnaufkommen oder erweiterten Rückblickfenstern können mehr SCUs verbrauchen.

### Einführung

**Insider Risk Profiler** hilft Sicherheitsteams, sich auf das zu konzentrieren, was wirklich zählt, indem lautstarke Insider-Risiko-Warnungen in verwertbare Erkenntnisse umgewandelt werden. Statt Signale in Purview, Defender und Entra manuell zu korrelieren, erstellt der Agent ein einheitliches Risikoprofil, das hervorhebt, welche Warnungen echte Insider-Bedrohungen darstellen und warum.

Es reichert IRM-Warnungen automatisch mit Signalen zu Identitätsrisiken, Geräte-Compliance und Datenschutz an und erstellt eine priorisierte Warteschlange mit klarer Bewertung und kontextbezogenen Erläuterungen. Das Ergebnis: schnellere Triage, weniger Fehlalarme und sichere Entscheidungen zur Behebung.

<figure><img src="/files/e6330b07bba80bf6d1bf22f6d267539caa9a74f0" alt=""><figcaption></figcaption></figure>

<div><figure><img src="/files/e6330b07bba80bf6d1bf22f6d267539caa9a74f0" alt=""><figcaption></figcaption></figure> <figure><img src="/files/2468e547431ee0ca42bd68adf2e70c9701c73723" alt=""><figcaption></figcaption></figure> <figure><img src="/files/df77f694f4db883f1869753c82e3823047080e86" alt=""><figcaption></figcaption></figure> <figure><img src="/files/68d1f9c5ec9f3edc5a9c129524f41860b1603f33" alt=""><figcaption></figcaption></figure></div>

***

### Was er tut

* Ergänzt Purview Insider Risk-Warnungen um Identitäts-, Geräte- und Aktivitätstelemetrie aus Defender
* Priorisiert Warnungen anhand einer zusammengesetzten Bewertung (Identität, Aktivität und Datenrisiko)
* Reduziert Warnmüdigkeit, indem erklärbare Risikofaktoren und Hinweise zur Richtlinienanpassung hervorgehoben werden
* Korreliert Verhaltensweisen über E-Mail-, Datei- und Cloud-Aktivitäten hinweg, um Exfiltrationsmuster offenzulegen
* Kennzeichnet Lücken bei der Anreicherung und schlägt Verbesserungen der Telemetrieabdeckung vor
* Stellt vorgefertigte Vorlagen für Untersuchungen und Benachrichtigungen für eine schnelle Reaktion bereit

***

### Anwendungsfälle

#### 1. **Den Fokus auf die richtigen Warnungen legen**

Täglich können Hunderte von IRM-Warnungen auftreten, aber nicht alle verdienen die gleiche Aufmerksamkeit. Insider Risk Profiler wendet transparente Bewertungslogik an und hebt Warnungen mit hoher Priorität hervor, die risikobehaftete Benutzer, kompromittierte Konten oder die Offenlegung sensibler Daten betreffen. Analysten erkennen sofort, was zuerst untersucht werden muss.

#### 2. **Untersuchungen beschleunigen**

Die herkömmliche IRM-Triage erfordert das Hin- und Herwechseln zwischen mehreren Portalen und Datenquellen. Dieser Agent führt Identitäts-, Aktivitäts- und DLP-Daten in einer einheitlichen Verhaltenszeitleiste zusammen. Analysten sehen, was passiert ist, wann es passiert ist und warum es wichtig ist, wodurch Stunden manueller Korrelation eingespart werden.

#### 3. **Rauschen und Warnmüdigkeit reduzieren**

Zu breit gefasste Richtlinien lösen oft Fehlalarme aus. Insider Risk Profiler erkennt harmlose oder wenig relevante Muster, empfiehlt Anpassungen der Richtlinien und hebt redundante Warnquellen hervor, sodass sich Ihr Team auf echte Insider-Bedrohungen konzentrieren kann.

#### 4. **Vertrauen und Transparenz erhöhen**

Sicherheitsverantwortliche fragen oft: *Warum hat diese Warnung hohe Priorität?* Der Agent erklärt die Bewertung, indem er beitragende Faktoren wie aktuelle Anmeldungen außerhalb der Arbeitszeiten, DLP-Verstöße oder fehlgeschlagene Authentifizierungsversuche auflistet. Dies stärkt das Vertrauen in Automatisierung und Bewertungsmodelle.

#### 5. **Reaktion und Kommunikation standardisieren**

Von Analystennotizen bis hin zu Benachrichtigungen an Benutzer oder Vorgesetzte erstellt der Agent strukturierte Antwortvorlagen mit einheitlichem Ton und rechtssicheren Formulierungen und stellt sicher, dass jeder Vorfall schnell und regelkonform bearbeitet wird.

***

### Warum Insider Risk Profiler?

#### Probleme, die er löst

* Ein hohes Warnaufkommen erschwert es, das tatsächliche Risiko zu erkennen
* Der Warn-Score ist nicht transparent und nicht nachvollziehbar
* Redundante oder laute Regeln verschwenden Zeit der Analysten
* Der Kontext aus Verhaltenssequenzen (Sammlung → Exfiltration) ist fragmentiert
* Die Reaktionskommunikation ist langsam und inkonsistent

#### Ihre Vorteile

* Erklärbare, priorisierte Warnwarteschlange mit klaren Bewertungsfaktoren
* Empfehlungen zur Richtlinienoptimierung, um harmlose Warnungen zu reduzieren
* Verkürzte Verhaltenszeitleiste, die Risikosignale aus verschiedenen Quellen verbindet
* Standardisierte, sofort einsetzbare Kommunikationsvorlagen
* Klare Analyse von Anreicherungsdefiziten zur Verbesserung der Telemetrieabdeckung

***

### So funktioniert es

#### Was eingeht

* Purview Insider Risk-Warnungen und Metadaten
* Identitäts- und Geräterisikosignale aus Microsoft Defender
* Telemetrie zu Cloud-App-, E-Mail- und Dateiaktivitäten
* Ereignisse zu DLP-Verstößen und Verhaltensanomalien
* Kontext zu Benutzern und Gruppenverzeichnis (Entra ID)

#### Was er tut

* Korreliert Warnungen mit Identitäts-, Geräte- und Datensignalen
* Reichert Benutzeraktivitäten über mehrere Telemetriequellen hinweg an
* Berechnet mehrdimensionale Risikowerte (Identität 40 %, Aktivität 30 %, Daten 30 %)
* Ordnet Warnungen Prioritätsstufen zu (Kritisch, Hoch, Mittel, Niedrig)
* Erstellt eine strukturierte Triage-Erzählung und empfohlene Schritte zur Behebung

#### Was Sie erhalten

* Executive Summary mit priorisierten Warnungen und Score-Verteilung
* Top-10-Warteschlange priorisierter Warnungen mit den wichtigsten Treibern
* Empfehlungen zur Anpassung von Richtlinien und zur Verbesserung der Anreicherung
* Strukturierte Anleitungen zur Behebung und Antwortvorlagen
* Exportierbarer Triage-Bericht für Dokumentations- oder Audit-Zwecke


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/insider-risk-profiler/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.