Vikten av kontinuerlig övervakning av Microsoft Purview

Publicerat den 25 augusti, 2025 av Anders

Under de senaste åren när jag besökt nya kunder har jag sett samma mönster: man har börjat införa delar av Microsoft Purview, ofta i form av några Sensitivity Labels och/eller ett fåtal DLP-regler. Initialt kan detta ha varit ett bra steg mot ökad dataskyddsnivå – men tyvärr ser jag nästan alltid att lösningarna inte har följts upp sedan införandet. I de flesta fall har det gått flera år utan att någon har granskat larm, loggar eller incidenter.

Detta är ett problem, för utan uppföljning riskerar skyddet att vara mer av en pappersprodukt än ett aktivt säkerhetsverktyg. Här blir trendanalys avgörande – både för att förstå hur information används i praktiken, men också för att upptäcka om organisationen riskerar att bryta mot sina egna riktlinjer eller mot regelverk som GDPR.

Samma situation gäller även Insider Risk Management. Hos de flesta organisationer är det inte ens konfigurerat trots att licens finns. I de fall det faktiskt är igång är det ofta ingen som fått ett tydligt ansvar för att ta emot och följa upp incidenterna. Resultatet blir att potentiellt kritiska händelser aldrig hanteras.

Ett fungerande dataskydd kräver mer än bara teknisk konfiguration – det kräver kontinuerlig övervakning, analys och åtgärd. Här spelar trendanalyser en central roll.

Varför trendanalyser är viktiga

Enstaka incidenter kan ibland avfärdas som undantag, men trender avslöjar mönster och beteenden som kan utgöra större risker. Genom att samla och jämföra data över tid kan man:

  • Identifiera avvikelser från det normala.
  • Upptäcka potentiell dataexfiltration.
  • Få tidiga varningar om risker att bryta mot både interna riktlinjer och lagstadgade krav (t.ex. GDPR).
  • Se hur nya arbetssätt, teknologier och hot påverkar organisationen.

Ett av de äldsta och mest användbara verktygen här är Activity Explorer, som funnits i Purview i många år. Så snart organisationen aktiverar en MIP-komponent börjar den visualisera trender, och ju fler funktioner (t.ex. DLP-regler) man lägger till desto rikare bild får man av informationsflödena.

Samtidigt utvecklas Purview kontinuerligt. Utöver Activity Explorer finns idag även Data Security Posture Management (DSPM), DSPM for AI och det nya Data Security Investigations (under utveckling). Dessa är mer inriktade på att identifiera avvikelser, riskmönster och att stötta själva incidentutredningen – men de kompletterar snarare än ersätter trendanalysen.

Exempel: Från trendanalys till åtgärd

Låt oss ta ett konkret exempel baserat på Activity Explorer (här enbart som metodillustration – samma arbetssätt kan appliceras på andra Purview-funktioner).

Steg 1 – Identifiera trender

Genom att jämföra fyra veckors data framträder följande mönster:

  • Information som flyttas till sanktionerade och icke sanktionerade molntjänster.
  • Tillväxt i mängden data som hanteras av AI-tjänster.
  • Större användning av otillåtna appar.
  • Data som flyttas via Remote Desktop, Terminal servrar
  • Händelser som label-ändringar och dekryptering.

image
image

Steg 2 – Djupanalys

När vi bryter ner informationen ser vi inte bara hur mycket data som går till molntjänster, utan även:

  • Vilken typ av data: exempelvis R&D-data och känsliga personuppgifter enligt GDPR.
  • Vilken extern molntjänst: t.ex. specifika filöverföringslösningar, icke-sanktionerade samarbetsplattformar eller AI-verktyg.

I det sista steget upptäcker vi att känsliga personuppgifter enligt GDPR har klistrats in direkt på ChatGPT.com – en tjänst som inte är godkänd för denna typ av data.

image
image

Steg 3 – Riskbedömning

Analysen visar på flera risker:

  • Möjlig GDPR-incident om personuppgifterna hanteras utanför godkända system.
  • Risk för informationsläckage av känslig R&D/verksamhetsinformation.
  • Indikationer på bristande användarkännedom kring dataskyddspolicy.

Steg 4 – Åtgärdsförslag

Baserat på insikterna kan vi föreslå:

  1. Utökad användarutbildning i hantering av känsliga personuppgifter och GDPR generellt.
  2. Stramare DLP-regler för att blockera Sensitive GDPR-klassad data mot AI-tjänster och andra icke-sanktionerade molntjänster.
  3. Regelbunden måluppföljning varje månad för att analysera specifika datakategorier (t.ex. R&D och GDPR-data) separat.

Slutsats

Traditionellt har IT-avdelningar byggts upp kring tydliga områden som nätverk och brandväggar, identiteter och access, eller enhetshantering. Däremot finns det sällan en motsvarande funktion med ansvar för informationen i sig – hur den hanteras, skyddas och övervakas. Med dagens hotbild och regulatoriska krav är det just detta fokus som blir avgörande.

Att införa Purview-komponenter är ett viktigt första steg, men det är bara början. Utan kontinuerlig trendanalys, strukturerad uppföljning och tydliga åtgärder riskerar organisationen att missa kritisk information och därmed inte agera i tid för att förebygga informationsläckage eller felaktig hantering av känsliga data.

Detta inlägg publicerades i Informationssäkerhet, Microsoft Purview Information Protection. Bokmärk permalänken.

Lämna en kommentar