Untersuchen von Insider-Risikobedrohungen im Microsoft Defender-Portal
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Ausdrücklichen oder Stillschweigenden Garantien.
Microsoft Purview Insider Risk Management Warnungen im Microsoft Defender-Portal sind wichtig, um die vertraulichen Informationen eines organization zu schützen und die Sicherheit aufrechtzuerhalten. Diese Warnungen und Erkenntnisse aus Microsoft Purview Insider Risk Management helfen dabei, interne Bedrohungen wie Datenlecks und Diebstahl von geistigem Eigentum durch Mitarbeiter oder Auftragnehmer zu identifizieren und zu mindern. Die Überwachung dieser Warnungen ermöglicht Es Organisationen, Sicherheitsvorfälle proaktiv zu behandeln, um sicherzustellen, dass vertrauliche Daten geschützt bleiben und Complianceanforderungen erfüllt werden.
Ein hauptvorteil der Überwachung von Insider-Risikowarnungen ist die einheitliche Ansicht aller Warnungen im Zusammenhang mit einem Benutzer, sodass SoC-Analysten (Security Operations Center) Warnungen von Microsoft Purview Insider Risk Management mit anderen Microsoft-Sicherheitslösungen korrelieren können. Darüber hinaus ermöglicht die Verwendung dieser Warnungen im Microsoft Defender-Portal eine nahtlose Integration mit erweiterten Huntingfunktionen, wodurch die Möglichkeit verbessert wird, Incidents effektiv zu untersuchen und darauf zu reagieren.
Ein weiterer Vorteil ist die automatische Synchronisierung von Warnungsupdates zwischen Microsoft Purview und den Defender-Portalen, um die Sichtbarkeit in Echtzeit sicherzustellen und die Wahrscheinlichkeit einer Aufsicht zu verringern. Diese Integration stärkt die Fähigkeit eines organization, Insider-Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, wodurch der allgemeine Sicherheitsstatus verbessert wird.
Sie können Insider-Risikomanagementwarnungen im Microsoft Defender-Portal verwalten, indem Sie zu Incidents & Warnungen navigieren. Dort haben Sie folgende Möglichkeiten:
- Zeigen Sie alle Insider-Risikowarnungen in der Incidentwarteschlange des Microsoft Defender Portals an, die unter Incidents gruppiert sind.
- Anzeigen von Insider-Risikowarnungen, die mit anderen Microsoft-Lösungen wie Microsoft Purview Data Loss Prevention und Microsoft Entra ID korreliert sind, unter einem einzelnen Incident.
- Zeigen Sie einzelne Insider-Risikowarnungen in der Warnungswarteschlange an.
- Filtern Sie nach Dienstquelle für die Incident- und Warnungswarteschlangen.
- Suchen Sie nach allen Aktivitäten und warnungen, die sich auf den Benutzer in der Insider-Risikowarnung beziehen.
- Zeigen Sie die Zusammenfassung der Insider-Risikoaktivität eines Benutzers und die Risikostufe auf der Seite mit der Benutzerentität an.
Klare Ideen vor dem Loslegen
Wenn Sie noch nicht mit Microsoft Purview und Insider-Risikomanagement vertraut sind, sollten Sie die folgenden Artikel lesen:
- Informationen zu Microsoft Purview
- Weitere Informationen zu Microsoft Purview Insider Risk Management
- Microsoft Purview-Datensicherheitslösungen
Voraussetzungen
Um Insider-Risikomanagementwarnungen im Microsoft Defender-Portal zu untersuchen, müssen Sie wie folgt vorgehen:
- Vergewissern Sie sich, dass Ihr Microsoft 365-Abonnement den Zugriff auf das Insider-Risikomanagement unterstützt. Erfahren Sie mehr über Abonnement und Lizenzierung.
- Bestätigen Sie Ihren Zugriff auf Microsoft Defender XDR. Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen.
Die Datenfreigabe mit anderen Sicherheitslösungen muss in den Einstellungen für die Datenfreigabe in Microsoft Purview Insider Risk Management aktiviert werden. Wenn Sie im Microsoft Purview-Portal Benutzerrisikodetails für andere Sicherheitslösungen freigeben aktivieren, können Benutzer mit den richtigen Berechtigungen Details zum Benutzerrisiko auf den Benutzerentitätsseiten im Microsoft Defender-Portal überprüfen.
Weitere Informationen finden Sie unter Freigeben von Warnungsschweregraden für andere Microsoft-Sicherheitslösungen .
Berechtigungen und Rollen
Microsoft Defender XDR Rollen
Die folgenden Berechtigungen sind für den Zugriff auf Insider-Risikomanagementwarnungen im Microsoft Defender-Portal wichtig:
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Weitere Informationen zu Microsoft Defender XDR Rollen finden Sie unter Verwalten des Zugriffs auf Microsoft Defender XDR mit Microsoft Entra globalen Rollen.
Microsoft Purview Insider Risk Management Rollen
Sie müssen auch Mitglied einer der folgenden Rollengruppen für das Insider-Risikomanagement sein, um Insider-Risikomanagementwarnungen im Microsoft Defender-Portal anzeigen und verwalten zu können:
- Insider-Risikomanagement
- Insider-Risikomanagement-Analysten.
- Insider-Risikomanagement-Prüfer
Weitere Informationen zu diesen Rollengruppen finden Sie unter Aktivieren von Berechtigungen für das Insider-Risikomanagement.
Microsoft Graph-API-Rollen
Kunden, die Insider-Risikomanagementwarnungen mit anderen SIEM-Tools (Security Information and Event Management) mithilfe der Microsoft Graph-Sicherheits-API integrieren, müssen über die folgenden Berechtigungen verfügen, um über APIs erfolgreich auf die relevanten Microsoft Defender Daten zugreifen zu können:
| App-Berechtigungen | Vorfälle | Warnungen | Verhalten & Ereignissen | Erweiterte Bedrohungssuche |
|---|---|---|---|---|
| SecurityIncident.Read.All | Lesen | Lesen | Lesen | |
| SecurityIncident.ReadWrite.All | Lesen/Schreiben | Lesen/Schreiben | Lesen | |
| SecurityIAlert.Read.All | Lesen | Lesen | ||
| SecurityAlert.ReadWrite.All | Lesen/Schreiben | Lesen | ||
| SecurityEvents.Read.All | Lesen | |||
| SecurityEvents.ReadWrite.All | Lesen | |||
| ThreatHunting.Read.All | Lesen |
Weitere Informationen zum Integrieren von Daten mithilfe der Microsoft Graph-Sicherheits-API finden Sie unter Integrieren von Insider-Risikomanagementdaten in die Microsoft Graph-Sicherheits-API.
Untersuchungserfahrung im Microsoft Defender-Portal
Vorfälle
Insider-Risikomanagement-Warnungen im Zusammenhang mit einem Benutzer werden mit einem einzelnen Incident korreliert, um einen ganzheitlichen Ansatz für die Reaktion auf Vorfälle zu gewährleisten. Diese Korrelation ermöglicht ES SOC-Analysten, eine einheitliche Ansicht aller Warnungen zu einem Benutzer zu erhalten, die von Microsoft Purview Insider Risk Management und verschiedenen Defender-Produkten stammen. Durch die Vereinheitlichung aller Warnungen können SOC-Analysten auch die Details der an den Warnungen beteiligten Geräte anzeigen.
Sie können Incidents filtern, indem Sie unter Dienstquelle Microsoft Purview Insider Risk Management auswählen.
Warnungen
Alle Insider-Risikomanagementwarnungen sind auch in der Warnungswarteschlange des Microsoft Defender Portals sichtbar. Filtern Sie diese Warnungen, indem Sie unter Dienstquelle Microsoft Purview Insider Risk Management auswählen.
Hier sehen Sie ein Beispiel für eine Insider-Risikomanagementwarnung im Microsoft Defender-Portal:
Microsoft Defender XDR und Microsoft Purview Insider Risk Management verschiedenen Warnungs- status und Klassifizierungsframeworks folgen. Die folgende Warnungszuordnung wird verwendet, um Warnungsstatus zwischen den beiden Lösungen zu synchronisieren:
| status Microsoft Defender Warnungen | status Microsoft Purview Insider Risk Management Warnungen |
|---|---|
| Neu | Überprüfung erforderlich |
| In Arbeit | Überprüfung erforderlich |
| Gelöst | Klassifizierung abhängig. Wenn die Klassifizierung nicht verfügbar ist, wird die Warnung status standardmäßig auf Verworfen festgelegt. |
Die folgende Warnungsklassifizierungszuordnung wird verwendet, um die Warnungsklassifizierung zwischen den beiden Lösungen zu synchronisieren:
| Microsoft Defender Warnungsklassifizierung | Microsoft Purview Insider Risk Management Warnungsklassifizierung |
|---|---|
| True positive Umfasst mehrstufige Angriffe, Phishing usw. |
Confirmed |
| Informationen, erwartete Aktivität (gutartig positiv) umfasst Sicherheitstests, bestätigte Aktivität usw. |
Geschlossen |
| Falsch positiv Enthält nicht böswillige Daten, nicht genügend Daten zum Überprüfen usw. |
Geschlossen |
Weitere Informationen zu Warnungsstatus und Klassifizierungen in Microsoft Defender XDR finden Sie unter Verwalten von Warnungen in Microsoft Defender.
Alle Aktualisierungen, die an einer Insider-Risikomanagementwarnung im Microsoft Purview- oder Microsoft Defender-Portal vorgenommen werden, werden automatisch in beiden Portalen widergespiegelt. Diese Updates können Folgendes umfassen:
- Warnungsstatus
- Severity
- Aktivität, die die Warnung generiert hat
- Triggerinformationen
- Klassifizierung
Die Updates werden innerhalb von 30 Minuten nach der Warnungsgenerierung oder -aktualisierung in beiden Portalen widerspiegelt.
Hinweis
Warnungen, die aus benutzerdefinierten Erkennungen erstellt wurden oder Abfrageergebnisse mit Incidents verknüpfen, sind im Microsoft Purview-Portal nicht verfügbar.
Die folgenden Insider-Risikomanagementdaten sind in dieser Integration noch nicht verfügbar:
- Exfiltration durch E-Mail-Ereignisse
- Riskante KI-Nutzungsereignisse
- Ereignisse von Cloud-Apps von Drittanbietern
- Ereignisse, die vor dem Generieren einer Warnung aufgetreten sind
- Ausschlüsse für ereignisse, die vom Administrator definiert wurden
- Insider-Risikomanagement-Vorfälle enthalten derzeit keine Warnungen, die sich auf Microsoft Sentinel Benutzer auswirken. Weitere Informationen finden Sie unter Auswirkungen auf Microsoft Sentinel Benutzer.
Erweiterte Bedrohungssuche
Verwenden Sie die erweiterte Suche, um Insider-Risikoereignisse und -verhalten weiter zu untersuchen. In der folgenden Tabelle finden Sie eine Zusammenfassung der Insider-Risikomanagementdaten, die in der erweiterten Suche verfügbar sind.
| Tabellenname | Beschreibung |
|---|---|
| AlertInfo | Insider-Risikomanagementwarnungen sind als Teil der Tabelle AlertInfo verfügbar, die Informationen zu Warnungen aus verschiedenen Microsoft-Sicherheitslösungen enthält. |
| AlertEvidence | Insider-Risikomanagementwarnungen sind als Teil der Tabelle AlertEvidence verfügbar, die Informationen zu Entitäten enthält, die Warnungen aus verschiedenen Microsoft-Sicherheitslösungen zugeordnet sind. |
| DataSecurityBehaviors | Diese Tabelle enthält Einblicke in potenziell verdächtiges Benutzerverhalten, das gegen die Standardrichtlinien oder kundendefinierte Richtlinien in Microsoft Purview verstößt. |
| DataSecurityEvents | Diese Tabelle enthält angereicherte Ereignisse zu Benutzeraktivitäten, die gegen die Standard- oder kundendefinierten Richtlinien in Microsoft Purview verstoßen. |
Im folgenden Beispiel verwenden wir die Tabelle DataSecurityEvents , um potenziell verdächtiges Benutzerverhalten zu untersuchen. In diesem Fall hat der Benutzer eine Datei auf Google Drive hochgeladen, die als verdächtiges Verhalten angesehen werden kann, wenn ein Unternehmen Dateiuploads auf Google Drive nicht unterstützt.
Um bei der erweiterten Suche auf Insiderrisikodaten zuzugreifen, müssen Benutzer über die folgenden Microsoft Purview Insider Risk Management Rollen verfügen:
- Insider-Risikomanagementanalyst
- Insider-Risikomanagement-Prüfer
Integrieren von Insider-Risikomanagementdaten in die Microsoft Graph-Sicherheits-API
Verwenden Sie die Microsoft Graph-Sicherheits-API, um Insider-Risikomanagementwarnungen, Erkenntnisse und Indikatoren in andere SIEM-Tools wie Microsoft Sentinel, ServiceNow oder Splunk zu integrieren. Sie können die Sicherheits-API auch verwenden, um Insider-Risikomanagementdaten in Data Lakes, Ticketingsysteme usw. zu integrieren.
Informationen zum Einrichten des Microsoft-Graph-API finden Sie unter Verwenden des Microsoft-Graph-API.
In der folgenden Tabelle finden Sie Insider-Risikomanagementdaten in bestimmten APIs.
| Tabellenname | Beschreibung | Modus |
|---|---|---|
| Vorfälle | Schließt alle Insider-Risikovorfälle in die Defender XDR einheitliche Incidentwarteschlange ein. | Lesen/Schreiben |
| Benachrichtigungen | Umfasst alle Insider-Risikowarnungen, die mit Defender XDR einheitlichen Warnungswarteschlange geteilt werden. | Lesen/Schreiben |
| Erweiterte Suche | Umfasst alle Insider-Risikomanagementdaten in der erweiterten Suche, einschließlich Warnungen, Verhalten und Ereignisse. | Lesen |
Die Metadaten von Insider-Risikowarnungen sind Teil des Warnungsressourcentyps in der Microsoft Graph-Sicherheits-API. Die vollständigen Informationen finden Sie unter Warnungsressourcentyp.
Hinweis
Auf Insider-Risikowarnungsinformationen kann sowohl im Namespace Warnungen als auch im Erweiterten Hunting-Graph-Namespace zugegriffen werden. Der Warnungsnamespace stellt weitere Metadaten bereit.
Auf Insider-Risikoverhalten und -Ereignisse bei der erweiterten Suche kann im Graph-API zugegriffen werden, indem KQL-Abfragen in der API übergeben werden. Verwenden Sie diese Methode, um unterstützende Daten für bestimmte Warnungen oder Untersuchungen zu pullen.
Kunden, die Office 365 Verwaltungsaktivitäts-API verwenden, empfehlen wir die Migration zu Microsoft Security Graph-API, um umfangreichere Metadaten und bidirektionale Unterstützung für IRM-Daten sicherzustellen.
Auswirkungen auf Microsoft Sentinel Benutzer
Wir empfehlen Microsoft Sentinel Kunden, den Microsoft Purview Insider Risk Management - Microsoft Sentinel-Datenconnector zu verwenden, um Insider-Risikomanagementwarnungen in Microsoft Sentinel zu erhalten.
Wenn Sie die Automatisierung für Microsoft Sentinel Incidents verwenden, beachten Sie, dass die Automatisierung aufgrund von Insider-Risikomanagement-Vorfällen ohne Warnungsinhalte fehlschlagen kann. Deaktivieren Sie die Datenfreigabe in den Insider-Risikomanagementeinstellungen, um dies zu vermeiden.
Nächste Schritte
Nachdem Sie einen Insider-Risikovorfall oder eine Warnung untersucht haben, können Sie eine der folgenden Aktionen ausführen:
- Reagieren Sie weiterhin auf die Warnung im Microsoft Purview-Portal.
- Verwenden Sie die erweiterte Suche, um andere Insider-Risikomanagementereignisse im Microsoft Defender-Portal zu untersuchen.