Verwenden Sie das Dashboard Benutzerrisiko, um die für Benutzer erfassten Daten anzuzeigen und das Risiko anhand von Punkten zu ermitteln. Diese Risikoanalysefunktion verfolgt die Aktionen und Verhaltensweisen von Benutzern und Geräten und berechnet dann das potenzielle Risiko. Sie zeigt dieses Potenzial mit Risikostufen und anderen Metadaten an, sodass Sie die Schwachstelle in Ihrer Workspace ONE UEM-Bereitstellung schnell einschätzen können.

Was ist die Risikobewertung?

Die Risikobewertung in Workspace ONE Intelligence ist eine Risikoanalysefunktion, mit der Aktionen und Verhaltensweisen von Benutzern und Geräten verfolgt werden. Sie zeigt die Werte als Stufe an, um den Vertrauensvorgang zu beschleunigen. Bestimmte Stufen lassen darauf schließen, dass Sie einem Benutzer oder Gerät vertrauen können, während andere eine sofortige Risikominderung vorschlagen. Die Risikobewertung beginnt mit einer grundlegenden oder „normalen“ Risikostufe. Wenn das Verhalten eines Benutzers oder Geräts vom normalen Verhalten abweicht, werden diese Abweichungen mit der Stufe Hoch, Mittel und Niedrig bewertet.
  • Hoch: Diese Punktzahl weist auf ein hohes Potenzial für Bedrohungen und Schwachstellen im Netzwerk und den internen Ressourcen hin. Diese Stufe gilt als am wenigsten vertrauenswürdig.
  • Mittel: Diese Punktzahl weist auf ein mäßiges Potenzial für Bedrohungen und Schwachstellen im Netzwerk und den internen Ressourcen hin.
  • Niedrig: Diese Punktzahl weist auf ein geringes Potenzial für Bedrohungen und Schwachstellen im Netzwerk und den internen Ressourcen hin. Diese Stufe gilt als am stärksten vertrauenswürdig.
Sie können mit verschiedenen Aktionen basierend auf der Punktzahl und den Sicherheitsrichtlinien Ihrer Organisation reagieren. Beispielsweise kann eine Organisation mit permissiven Sicherheitsrichtlinien Benutzer bei einer hohen Risikobewertung warnen. Organisationen mit restriktiven Sicherheitsrichtlinien können jedoch möglicherweise Berechtigungen bei einer mittleren Risikobewertung entziehen. Andere Methoden, mit denen Organisationen auf Risikobewertungen reagieren können, finden Sie in der folgenden Liste:
  • Gerät oder Benutzer überwachen.
  • Gerät oder Benutzer mithilfe von Benachrichtigungen warnen.
  • Dem Gerät oder Benutzer die Berechtigungen entziehen.
  • Dem Benutzer bzw. Gerät mit der Workspace ONE Access-Integration Authentifizierungsmethoden hinzufügen.

Welche Verhaltensweisen beeinflussen die Risikobewertung?

Die Risikobewertung ändert sich je nach den Verhaltensweisen, die das System für ein Gerät oder einen Benutzer identifiziert. Diese Verhaltensweisen werden auch als Risikoindikatoren bezeichnet. Positive Verhaltensweisen senken die Punktzahl bzw. machen das Gerät/den Benutzer vertrauenswürdiger. Negative Verhaltensweisen erhöhen die Punktzahl bzw. machen das Gerät/den Benutzer weniger vertrauenswürdig. Das System erkennt verschiedene Risikoindikatoren und fasst diese zusammen, um Abweichungen in der Risikobewertung zu berechnen.

Tabelle 1. Identifizierte Verhaltensweisen
Risikoindikatoren Beschreibung Risiko
App-Sammler Eine Person, die eine ungewöhnlich hohe Anzahl von Anwendungen installiert. Jede App kann bekannte oder nicht gepatchte Schwachstellen enthalten, die zu Angriffsvektoren werden können. Die Angriffsfläche für Cyberangriffe nimmt mit der Anzahl der Apps auf dem Gerät zu.
Zwanghafter App-Download

Eine Person, die eine atypische Anzahl von Apps in einem kurzen Zeitraum installiert.

Benutzer, die frenetisch ungewöhnliche Anwendungen auf ihren Geräten installieren, haben ein größeres Risiko, Opfer von böswilligen Aktivitäten zu werden.

Einige Apps tarnen sich als nützlich, freundlich oder unterhaltsam, obwohl sie eigentlich dem Benutzer Schaden zufügen möchten.

Marketplace-Ansätze zum Ausfiltern von unsicheren Inhalten (Malware) variieren von Anbieter zu Anbieter. Ein unvorsichtiger Benutzer kann Opfer von Tracking, Hacking oder Betrug werden.
Update-Nachzügler

Eine Person, die das Gerätebetriebssystem nicht zeitnah oder gar nicht aktualisiert.

Das Ignorieren von Software-Updates kann ein Gerät anfällig für Angriffe machen und stellt ein höheres Gefährdungsrisiko dar.
Seltene-App-Sammler Eine Person, die eine ungewöhnlich hohe Anzahl seltener Apps installiert. Im Gegensatz zu weit verbreiteten Apps stammen seltene Apps oft aus zweifelhaften Quellen und haben eine höhere Wahrscheinlichkeit, Malware oder Sicherheitslücken zu enthalten.
Riskante Sicherheitseinstellung

Eine Person, die ein oder mehrere Geräte besitzt und die Sicherheitsfunktionen explizit deaktiviert oder die Geräte explizit als verloren gemeldet hat.

Das Deaktivieren von Sicherheitsmaßnahmen auf einem Gerät erhöht das Gefährdungsrisiko.
Ungewöhnlicher App-Download

Eine Person, die kürzlich ungewöhnliche Apps installiert hat.

Apps können sich als nützlich, freundlich oder unterhaltsam tarnen, obwohl sie eigentlich dem Benutzer Schaden zufügen möchten.

Marketplace-Ansätze zum Ausfiltern von unsicheren Inhalten (Malware) variieren von Anbieter zu Anbieter. Ein unvorsichtiger Benutzer kann Opfer von Tracking, Hacking oder Betrug werden.

Für welche Gerätetypen ist die Risikobewertung verfügbar?

Die Risikobewertung kann für Android-, iOS-, macOS- und Windows 10-Plattformen durchgeführt werden. Sie funktioniert auch für Geräte, die als „Unternehmen – Dediziert“, „Unternehmen – Gemeinschaftsgerät“, „Mitarbeitereigen (BYOD)“ und „Nicht definiert“ kategorisiert sind.
Tabelle 2. Unterstützte Risikoindikatoren nach Plattform
Geräteplattform App-Sammler (nicht verwaltete und öffentliche Apps) Zwanghafter App-Download (nicht verwaltete und öffentliche Apps) Update-Nachzügler Seltene-App-Sammler (nicht verwaltete und öffentliche Apps) Riskante Sicherheitseinstellung Ungewöhnlicher App-Download (nicht verwaltete und öffentliche Apps)
Mobilgeräte (iOS und Android)
Desktop (Windows 10 und macOS) ✕* ✕* ✕* ✕*

*Die Funktion erfasst keine App-Daten.

Tabelle 3. Unterstützte Risikoindikatoren nach Gerätebesitzertyp
Gerätebesitztyp App-Sammler (nicht verwaltete und öffentliche Apps) Zwanghafter App-Download (nicht verwaltete und öffentliche Apps) Update-Nachzügler Seltene-App-Sammler (nicht verwaltete und öffentliche Apps) Riskante Sicherheitseinstellung Ungewöhnlicher App-Download (nicht verwaltete und öffentliche Apps)
Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Nicht definiert
Mitarbeitereigen (BYOD) ✕** ✕** ✕** ✕**

**Obwohl die standardmäßigen Workspace ONE UEM-Datenschutzeinstellungen die Erfassung von App-Daten auf BYOD-Geräten verhindern, können Administratoren die Datenschutzeinstellungen ändern, sodass Workspace ONE Intelligence App-Daten erfassen kann. Überprüfen Sie die Datenschutzstrategie Ihrer Organisation, bevor Sie Datenschutzkonfigurationen in Workspace ONE UEM ändern.

Welche Voraussetzungen gelten für die Anzeige von Risikobewertungen?

Um Risikoanalysen zu verwenden, integrieren Sie die folgenden Systeme und beachten Sie die aufgeführten Einschränkungen.
  • Registrieren von Workspace ONE UEM.
  • Um Risikobewertungen in Workspace ONE Intelligence anzuzeigen, muss jedes von Workspace ONE UEM verwaltete Gerät ein eindeutiges Konto in der Workspace ONE UEM Console aufweisen. Verwenden Sie keine generischen Konten, die mehreren Geräten zugewiesen sind.
  • Stellen Sie 100 Geräte oder mehr derselben Plattform bereit, damit das Bewertungssystem Ergebnisse erzielen kann.

    Der Risikoindikator vergleicht die Geräteindikatoren mit dem gesamten Gerätebestand innerhalb der Organisation. Um statistisch signifikante Bewertungen zu erhalten, benötigt das System einen Datensatz mit mindestens 100 Geräten derselben Plattform.

  • Für Benutzer dürfen maximal sechs Geräte im selben Konto registriert sein.

    Das System betrachtet Benutzer mit mehr als sechs Geräten als Teil einer gemeinsam genutzten Geräteumgebung. Das System hat Schwierigkeiten damit, Benutzer- und Geräterisiken in einer gemeinsam genutzten Umgebung genau zu messen.

  • Gehen Sie optional wie unter Registrieren von Workspace ONE Access beschrieben vor, um Zugriffsrichtlinien in Workspace ONE Access mit Risikobewertungen für Benutzer zu konfigurieren.

Wo befinden sich Risikobewertungen in der Konsole?

Workspace ONE Intelligence meldet Risikobewertungen und andere Risikodaten in verschiedenen Dashboards.
  • Die Benutzerrisikodaten befinden sich im Dashboard Benutzerrisiko.
  • Geräterisikodaten befinden sich unter Dashboard „Sicherheitsrisiko“ auf der Registerkarte Geräte.

Die Risikobewertung umfasst Module, die Sie zu Mein Dashboard oder zu Ihren benutzerdefinierten Dashboards hinzufügen können. Verwenden Sie die Kategorie Workspace ONE UEM > Risikobewertung für Gerät oder Risikobewertung für Benutzer, um auf die Module zuzugreifen.

Sie können auch vorkonfigurierte Module anzeigen.
  • Trend für riskante Geräte in der letzten Woche
    • Kategorie „Riskantes Verhalten“
    • Kategorie „Geräteplattform“
  • Riskantes Verhalten nach Plattform in der letzten Woche

Welche Möglichkeiten bieten Risikobewertungen?

  • Reagieren Sie mit Automatisierungen in Workspace ONE Intelligence.
    • Wählen Sie Automatisieren direkt über das Dashboard Benutzerrisiko oder die Registerkarte Sicherheitsrisiko > Geräte aus, um Risiken abzuwehren und darauf zu reagieren. Erstellen Sie Workflows für die Automatisierung und wählen Sie aus Workspace ONE UEM-Aktionen aus.
      1. Wählen Sie im Dashboard die Option Automatisieren aus, um einen Workflow zu konfigurieren.
      2. Für den Abschnitt Filter (Wenn) wählt das System standardmäßig Risikobewertung entspricht „Hoch“ aus. Sie können diesen Abschnitt jedoch anpassen.
      3. Wählen Sie für den Abschnitt Aktion (Dann) das Pluszeichen (+) und die Workspace ONE UEM-Verbindung aus.
      4. Wählen Sie aus verschiedenen Workspace ONE UEM-Aktionen aus.
    • Sie können eine benutzerdefinierte Automatisierung in der Kategorie Workspace ONE UEM erstellen, entweder mit Risikobewertung für Gerät oder mit Risikobewertung für Benutzer.
    • Sie können vorkonfigurierte Automatisierungsvorlagen verwenden.
      • Riskantes Gerät erkannt

        Für diese Vorlage ist eine Verbindung mit Slack erforderlich.

      • App-Bereitstellungspriorisierung MTD
      • Nachzüglergeräte aktualisieren

        Diese Vorlage kann nur unter iOS verwendet werden.

  • Verwalten Sie den Zugriff auf Ressourcen mit Zugriffsrichtlinien in Workspace ONE Access.

    Registrieren Sie Ihre Workspace ONE Access-Umgebung in Workspace ONE Intelligence, um in der Workspace ONE Access-Verwaltungskonsole auf die Risikobewertungen zuzugreifen.

    Zugriffsrichtlinien in Workspace ONE Access erstellen und Authentifizierungsprotokolle für Benutzer mit dem Konstrukt Wenn-Dann erzwingen. Sie können im Abschnitt Wenn eine Benutzerrisikobewertung angeben, die die im Abschnitt Dann zulässige Authentifizierungsmethode vorgibt. Wenn ein Benutzer eine hohe, mittlere oder niedrige Risikostufe aufweist, kann sich der Benutzer mit einer von den Sicherheitsrichtlinien Ihres Unternehmens genehmigten Methode bei Ressourcen authentifizieren.

    Je nach Risikostufe des Benutzers kann das System für Benutzer mit hohem Risiko eine Richtlinie mit eingeschränktem Zugriff erzwingen, um die Sicherheit für interne Ressourcen zu erhöhen. Umgekehrt kann das System eine Richtlinie mit permissivem Zugriff für Benutzer mit geringem oder mittlerem Risiko erzwingen.

Welche Systeme liefern Daten für Risikobewertungen?

Workspace ONE UEM ist in Workspace ONE Intelligence integriert, um Daten für Geräte abzurufen, die in Ihrer Workspace ONE-Bereitstellung verwaltet werden, und bei der Risikobewertung zu berücksichtigen. Die Aktivität von Benutzern auf verwalteten Geräten wird mithilfe des in Workspace ONE UEM gespeicherten Registrierungskontos des Benutzers erkannt.

Wie oft werden Bewertungen berechnet?

Risikobewertungen werden täglich ausgeführt und bieten eine umsetzbare Metrik zur Identifizierung und potenziellen Isolierung von Benutzern, die ein schlechtes Sicherheitsverhalten aufweisen und ein Risiko für die Organisation darstellen.

Die Risikobewertung ähnelt der Bonitätsbewertung von Verbrauchern. Das Bonitätsbewertungssystem überprüft nicht das Kreditkartenkonto eines Benutzers, um zu sehen, wie der Saldo am heutigen Tag lautet. Ebenso funktioniert die Risikobewertung asynchron und kennt den aktuellen Gerätezustand nicht unbedingt. Sie wird einmal pro Tag ausgeführt und analysiert die bis zum Ausführen des Bewertungsvorgangs gemeldeten Daten zum Gerät. Bewertungsmodelle verwenden Verlaufsdaten (z. B. der letzten 14 Tage), um das Risiko des Benutzerverhaltens zu ermitteln.