التحقيق في تهديدات المخاطر الداخلية في مدخل Microsoft Defender
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بمنتج تم إصداره مسبقا، والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
تعد التنبيهات إدارة المخاطر الداخلية في Microsoft Purview في مدخل Microsoft Defender أمرا حيويا لحماية المعلومات الحساسة للمؤسسة والحفاظ على الأمان. تساعد هذه التنبيهات والرؤى من إدارة المخاطر الداخلية في Microsoft Purview في تحديد التهديدات الداخلية والتخفيف من حدتها مثل تسرب البيانات وسرقة الملكية الفكرية من قبل الموظفين أو المقاولين. تسمح مراقبة هذه التنبيهات للمؤسسات بمعالجة الحوادث الأمنية بشكل استباقي، وضمان بقاء البيانات الحساسة محمية واستيفاء متطلبات التوافق.
تتمثل إحدى الفوائد الرئيسية لمراقبة تنبيهات المخاطر الداخلية في العرض الموحد لجميع التنبيهات المتعلقة بالمستخدم، مما يسمح لمحللي مركز عمليات الأمان (SOC) بربط التنبيهات من إدارة المخاطر الداخلية في Microsoft Purview بحلول أمان Microsoft الأخرى. بالإضافة إلى ذلك، فإن وجود هذه التنبيهات في مدخل Microsoft Defender يتيح التكامل السلس مع قدرات التتبع المتقدمة، ما يعزز القدرة على التحقيق في الحوادث والاستجابة لها بفعالية.
ميزة أخرى هي المزامنة التلقائية لتحديثات التنبيه بين Microsoft Purview ومداخل Defender، ما يضمن الرؤية في الوقت الحقيقي ويقلل من فرص الرقابة. يعزز هذا التكامل قدرة المؤسسة على اكتشاف التهديدات الداخلية والتحقيق فيها والاستجابة لها، وبالتالي تعزيز الوضع الأمني العام.
يمكنك إدارة تنبيهات إدارة المخاطر الداخلية في مدخل Microsoft Defender بالانتقال إلى الحوادث & التنبيهات، حيث يمكنك:
- عرض جميع تنبيهات المخاطر الداخلية المجمعة ضمن الحوادث في قائمة انتظار حوادث مدخل Microsoft Defender.
- عرض تنبيهات المخاطر الداخلية المرتبطة بحلول Microsoft الأخرى، مثل تفادي فقدان البيانات في Microsoft PurviewMicrosoft Entra ID، في ظل حادث واحد.
- عرض تنبيهات المخاطر الداخلية الفردية في قائمة انتظار التنبيه.
- قم بالتصفية حسب مصدر الخدمة على قوائم انتظار الحدث والتنبيه.
- ابحث عن جميع الأنشطة وجميع التنبيهات المتعلقة بالمستخدم في تنبيه المخاطر الداخلية.
- عرض ملخص نشاط المخاطر الداخلية للمستخدم ومستوى المخاطر في صفحة كيان المستخدم.
المعرفة قبل البدء
إذا كنت مستخدما جديدا ل Microsoft Purview وإدارة المخاطر الداخلية، ففكر في قراءة المقالات التالية:
- تعرف على Microsoft Purview
- تعرف على إدارة المخاطر الداخلية في Microsoft Purview
- حلول أمان بيانات Microsoft Purview
المتطلبات الأساسية
للتحقيق في تنبيهات إدارة المخاطر الداخلية في مدخل Microsoft Defender، تحتاج إلى القيام بما يلي:
- تأكد من أن اشتراكك في Microsoft 365 يدعم الوصول إلى إدارة المخاطر الداخلية. تعرف على المزيد حول الاشتراك والترخيص.
- تأكد من وصولك إلى Microsoft Defender XDR. راجع متطلبات الترخيص Microsoft Defender XDR.
يجب تشغيل مشاركة البيانات مع حلول الأمان الأخرى في إعدادات مشاركة البيانات في إدارة المخاطر الداخلية في Microsoft Purview. يؤدي تشغيل مشاركة تفاصيل مخاطر المستخدم مع حلول الأمان الأخرى في مدخل Microsoft Purview إلى تمكين المستخدمين الذين لديهم الأذونات الصحيحة من مراجعة تفاصيل مخاطر المستخدم في صفحات كيان المستخدم في مدخل Microsoft Defender.
راجع مشاركة مستويات خطورة التنبيه مع حلول أمان Microsoft الأخرى لمزيد من المعلومات.
الأذونات والأدوار
أدوار Microsoft Defender XDR
الأذونات التالية ضرورية للوصول إلى تنبيهات إدارة المخاطر الداخلية في مدخل Microsoft Defender:
- عامل تشغيل الأمان
- قارئ الأمان
لمزيد من المعلومات حول أدوار Microsoft Defender XDR، راجع إدارة الوصول إلى Microsoft Defender XDR مع Microsoft Entra الأدوار العمومية.
أدوار إدارة المخاطر الداخلية في Microsoft Purview
يجب أن تكون أيضا عضوا في إحدى مجموعات أدوار إدارة المخاطر الداخلية التالية لعرض تنبيهات إدارة المخاطر الداخلية وإدارتها في مدخل Microsoft Defender:
- إدارة المخاطر الداخلية
- محللو إدارة المخاطر الداخلية
- محققو إدارة المخاطر الداخلية
لمزيد من المعلومات حول مجموعات الأدوار هذه، راجع تمكين الأذونات لإدارة المخاطر الداخلية.
أدوار واجهة برمجة تطبيقات Microsoft Graph
يجب أن يكون لدى العملاء الذين يدمجون تنبيهات إدارة المخاطر الداخلية مع أدوات إدارة معلومات الأمان والأحداث الأخرى (SIEM) باستخدام واجهة برمجة تطبيقات أمان Microsoft Graph الأذونات التالية للوصول بنجاح إلى بيانات Microsoft Defender ذات الصلة من خلال واجهات برمجة التطبيقات:
| أذونات التطبيق | الأحداث | التنبيهات | السلوكيات & الأحداث | الصيد المتقدم |
|---|---|---|---|---|
| SecurityIncident.Read.All | قرأ | قرأ | قرأ | |
| SecurityIncident.ReadWrite.All | القراءة/الكتابة | القراءة/الكتابة | قرأ | |
| SecurityIAlert.Read.All | قرأ | قرأ | ||
| SecurityAlert.ReadWrite.All | القراءة/الكتابة | قرأ | ||
| SecurityEvents.Read.All | قرأ | |||
| SecurityEvents.ReadWrite.All | قرأ | |||
| ThreatHunting.Read.All | قرأ |
مزيد من المعلومات حول دمج البيانات باستخدام واجهة برمجة تطبيقات أمان Microsoft Graph في دمج بيانات إدارة المخاطر الداخلية مع واجهة برمجة تطبيقات أمان Microsoft Graph.
تجربة التحقيق في مدخل Microsoft Defender
الأحداث
ترتبط تنبيهات إدارة المخاطر الداخلية المتعلقة بالمستخدم بحادث واحد لضمان نهج شامل للاستجابة للحوادث. يسمح هذا الارتباط لمحللي SOC أن يكون لديهم عرض موحد لجميع التنبيهات حول مستخدم قادم من إدارة المخاطر الداخلية في Microsoft Purview ومنتجات Defender المختلفة. يسمح توحيد جميع التنبيهات أيضا لمحللي SOC بعرض تفاصيل الأجهزة المشاركة في التنبيهات.
يمكنك تصفية الحوادث عن طريق اختيار إدارة المخاطر الداخلية في Microsoft Purview ضمن مصدر الخدمة.
التنبيهات
جميع تنبيهات إدارة المخاطر الداخلية مرئية أيضا في قائمة انتظار تنبيه مدخل Microsoft Defender. قم بتصفية هذه التنبيهات عن طريق اختيار إدارة المخاطر الداخلية في Microsoft Purview ضمن مصدر الخدمة.
فيما يلي مثال على تنبيه إدارة المخاطر الداخلية في مدخل Microsoft Defender:
تتبع Microsoft Defender XDR إدارة المخاطر الداخلية في Microsoft Purview حالة التنبيه المختلفة وأطر عمل التصنيف. يتم استخدام تعيين التنبيه التالي لمزامنة حالات التنبيه بين الحلين:
| Microsoft Defender حالة التنبيه | حالة التنبيه إدارة المخاطر الداخلية في Microsoft Purview |
|---|---|
| الجديد | يحتاج إلى مراجعة |
| قيد التقدم | يحتاج إلى مراجعة |
| حل | التصنيف التابع. إذا لم يكن التصنيف متوفرا، يتم تعيين حالة التنبيه إلى مرفوض بشكل افتراضي. |
يتم استخدام تعيين تصنيف التنبيه التالي لمزامنة تصنيف التنبيه بين الحلين:
| تصنيف التنبيه Microsoft Defender | تصنيف التنبيه إدارة المخاطر الداخلية في Microsoft Purview |
|---|---|
|
الإيجابي الحقيقي يشمل الهجوم متعدد المراحل والتصيد الاحتيالي وما إلى ذلك. |
اكد |
| تتضمن المعلومات والنشاط المتوقع (الإيجابي الحميد) اختبار الأمان والنشاط المؤكد وما إلى ذلك. |
رفضت |
| تتضمن الإيجابيات الخاطئة بيانات غير ضارة، وليست بيانات كافية للتحقق من صحتها، وما إلى ذلك. |
رفضت |
لمزيد من المعلومات حول حالات التنبيه والتصنيفات في Microsoft Defender XDR، راجع إدارة التنبيهات في Microsoft Defender.
تنعكس أي تحديثات يتم إجراؤها على تنبيه إدارة المخاطر الداخلية في Microsoft Purview أو مداخل Microsoft Defender تلقائيا في كلا المدخلين. قد تتضمن هذه التحديثات ما يلي:
- حالة التنبيه
- شده
- النشاط الذي أنشأ التنبيه
- معلومات المشغل
- التصنيف
تنعكس التحديثات في كلا المدخلين في غضون 30 دقيقة من إنشاء التنبيه أو التحديث.
ملاحظة
لا تتوفر التنبيهات التي تم إنشاؤها من عمليات الكشف المخصصة أو ربط نتائج الاستعلام بالحوادث في مدخل Microsoft Purview.
لا تتوفر بيانات إدارة المخاطر الداخلية التالية بعد في هذا التكامل:
- النقل غير المصرح به من خلال أحداث البريد الإلكتروني
- أحداث استخدام الذكاء الاصطناعي محفوفة بالمخاطر
- أحداث تطبيقات السحابة التابعة لجهة خارجية
- الأحداث التي حدثت قبل إنشاء تنبيه
- الاستثناءات للأحداث التي يحددها المسؤول
- لا تحتوي حوادث إدارة المخاطر الداخلية على تنبيهات حاليا، ما يؤثر على المستخدمين Microsoft Sentinel. لمزيد من المعلومات، راجع التأثير على المستخدمين Microsoft Sentinel.
الصيد المتقدم
استخدم التتبع المتقدم لمزيد من التحقيق في أحداث وسلوكيات المخاطر الداخلية. راجع الجدول أدناه للحصول على ملخص لبيانات إدارة المخاطر الداخلية المتوفرة في التتبع المتقدم.
| اسم الجدول | الوصف |
|---|---|
| AlertInfo | تتوفر تنبيهات إدارة المخاطر الداخلية كجزء من جدول AlertInfo، الذي يحتوي على معلومات حول التنبيهات من حلول أمان Microsoft المختلفة. |
| AlertEvidence | تتوفر تنبيهات إدارة المخاطر الداخلية كجزء من جدول AlertEvidence، الذي يحتوي على معلومات حول الكيانات المرتبطة بالتنبيهات من حلول أمان Microsoft المختلفة. |
| DataSecurityBehaviors | يحتوي هذا الجدول على رؤى حول سلوك المستخدم المشبوه المحتمل الذي ينتهك النهج الافتراضية أو المعرفة من قبل العميل في Microsoft Purview. |
| أحداث أمان البيانات | يحتوي هذا الجدول على أحداث تم إثراؤها حول أنشطة المستخدم التي تنتهك النهج الافتراضية أو المعرفة من قبل العميل في Microsoft Purview. |
في المثال أدناه، نستخدم جدول DataSecurityEvents للتحقيق في سلوك المستخدم المشبوه المحتمل. في هذه الحالة، قام المستخدم بتحميل ملف إلى Google Drive، والذي يمكن عرضه على أنه سلوك مشبوه إذا كانت الشركة لا تدعم تحميل الملفات إلى Google Drive.
للوصول إلى بيانات المخاطر الداخلية في التتبع المتقدم، يجب أن يكون للمستخدمين الأدوار إدارة المخاطر الداخلية في Microsoft Purview التالية:
- محلل إدارة المخاطر الداخلية
- محقق إدارة المخاطر الداخلية
دمج بيانات إدارة المخاطر الداخلية مع واجهة برمجة تطبيقات أمان Microsoft Graph
استخدم واجهة برمجة تطبيقات أمان Microsoft Graph لدمج تنبيهات إدارة المخاطر الداخلية والرؤى والمؤشرات مع أدوات SIEM الأخرى مثل Microsoft Sentinel أو ServiceNow أو Splunk. يمكنك أيضا استخدام واجهة برمجة تطبيقات الأمان لدمج بيانات إدارة المخاطر الداخلية في مستودعات البيانات وأنظمة إصدار التذاكر وما إلى ذلك.
لمعرفة كيفية إعداد واجهة برمجة تطبيقات Microsoft Graph، راجع استخدام واجهة برمجة تطبيقات Microsoft Graph.
راجع الجدول أدناه للعثور على بيانات إدارة المخاطر الداخلية في واجهات برمجة تطبيقات معينة.
| اسم الجدول | الوصف | الوضع |
|---|---|---|
| الأحداث | يتضمن جميع حوادث المخاطر الداخلية في قائمة انتظار الحوادث الموحدة Defender XDR | القراءة/الكتابة |
| التنبيهات | يتضمن جميع تنبيهات المخاطر الداخلية المشتركة مع قائمة انتظار التنبيه الموحدة Defender XDR | القراءة/الكتابة |
| الصيد المتقدم | يتضمن جميع بيانات إدارة المخاطر الداخلية في التتبع المتقدم بما في ذلك التنبيهات والسلوكيات والأحداث | قرأ |
تعد بيانات تعريف تنبيه المخاطر الداخلية جزءا من نوع مورد التنبيه في واجهة برمجة تطبيقات أمان Microsoft Graph. راجع المعلومات الكاملة في نوع مورد التنبيه.
ملاحظة
يمكن الوصول إلى معلومات تنبيه المخاطر الداخلية في كل من التنبيهات ومساحة اسم الرسم البياني المتقدم للتتبع. توفر مساحة اسم التنبيهات المزيد من بيانات التعريف.
يمكن الوصول إلى سلوكيات وأحداث المخاطر الداخلية في التتبع المتقدم في واجهة برمجة تطبيقات Graph عن طريق تمرير استعلامات KQL في واجهة برمجة التطبيقات. استخدم هذا الأسلوب لسحب البيانات الداعمة لتنبيهات أو تحقيقات محددة.
بالنسبة للعملاء الذين يستخدمون Office 365 Management Activity API، نوصي بالترحيل إلى Microsoft Security Graph API لضمان بيانات تعريف أكثر ثراء ودعم ثنائي الاتجاه لبيانات IRM.
التأثير على المستخدمين Microsoft Sentinel
نوصي Microsoft Sentinel العملاء باستخدام إدارة المخاطر الداخلية في Microsoft Purview - Microsoft Sentinel موصل البيانات للحصول على تنبيهات إدارة المخاطر الداخلية في Microsoft Sentinel.
إذا كنت تستخدم الأتمتة على Microsoft Sentinel الحوادث، فلاحظ أن الأتمتة تخاطر بالفشل بسبب حوادث إدارة المخاطر الداخلية التي لا تحتوي على محتوى تنبيه. للتخفيف من ذلك، أوقف تشغيل مشاركة البيانات في إعدادات إدارة المخاطر الداخلية.
الخطوات التالية
بعد التحقيق في حادث أو تنبيه مخاطر من الداخل، يمكنك القيام بأي مما يلي:
- تابع الاستجابة للتنبيه في مدخل Microsoft Purview.
- استخدم التتبع المتقدم للتحقيق في أحداث إدارة المخاطر الداخلية الأخرى في مدخل Microsoft Defender.