Investigación de amenazas de riesgo internos en el portal de Microsoft Defender
Importante
Parte de la información de este artículo se refiere a un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no ofrece ninguna garantía expresa o implícita con respecto a la información proporcionada aquí.
Administración de riesgos internos de Microsoft Purview alertas en el portal de Microsoft Defender son vitales para proteger la información confidencial de una organización y mantener la seguridad. Estas alertas e información de Administración de riesgos internos de Microsoft Purview ayudan a identificar y mitigar amenazas internas, como fugas de datos y robo de propiedad intelectual por parte de empleados o contratistas. La supervisión de estas alertas permite a las organizaciones abordar los incidentes de seguridad de forma proactiva, lo que garantiza que los datos confidenciales permanezcan protegidos y se cumplan los requisitos de cumplimiento.
Una ventaja clave de la supervisión de alertas de riesgo internos es la vista unificada de todas las alertas relacionadas con un usuario, lo que permite a los analistas del Centro de operaciones de seguridad (SOC) correlacionar alertas de Administración de riesgos internos de Microsoft Purview con otras soluciones de seguridad de Microsoft. Además, tener estas alertas en el portal de Microsoft Defender permite una integración perfecta con funcionalidades avanzadas de búsqueda, lo que mejora la capacidad de investigar y responder a incidentes de forma eficaz.
Otra ventaja es la sincronización automática de las actualizaciones de alertas entre Microsoft Purview y los portales de Defender, lo que garantiza visibilidad en tiempo real y reduce las posibilidades de supervisión. Esta integración fortalece la capacidad de una organización para detectar, investigar y responder a amenazas internas, lo que mejora la posición de seguridad general.
Para administrar alertas de administración de riesgos internos en el portal de Microsoft Defender, vaya a Incidentes & alertas, donde puede:
- Vea todas las alertas de riesgo internos agrupadas en incidentes en la cola de incidentes del portal de Microsoft Defender.
- Vea las alertas de riesgo internos correlacionadas con otras soluciones de Microsoft, como Prevención de pérdida de datos de Microsoft Purview y Microsoft Entra ID, en un único incidente.
- Visualización de alertas de riesgo internos individuales en la cola de alertas.
- Filtre por origen de servicio en las colas de incidentes y alertas.
- Busque todas las actividades y todas las alertas relacionadas con el usuario en la alerta de riesgo interno.
- Vea el resumen de la actividad de riesgo interno y el nivel de riesgo de un usuario en la página de entidad de usuario.
Saber antes de empezar
Si no está familiarizado con Microsoft Purview y la administración de riesgos internos, considere la posibilidad de leer los artículos siguientes:
- Aprenda acerca de Microsoft Purview
- Más información sobre Administración de riesgos internos de Microsoft Purview
- Soluciones de seguridad de datos de Microsoft Purview
Requisitos previos
Para investigar las alertas de administración de riesgos internos en el portal de Microsoft Defender, debe hacer lo siguiente:
- Confirme que la suscripción de Microsoft 365 admite el acceso de administración de riesgos internos. Más información sobre la suscripción y las licencias.
- Confirme el acceso a Microsoft Defender XDR. Consulte Microsoft Defender XDR requisitos de licencia.
El uso compartido de datos con otras soluciones de seguridad debe estar activado en la configuración de uso compartido de datos en Administración de riesgos internos de Microsoft Purview. Al activar Compartir detalles de riesgo de usuario con otras soluciones de seguridad en el portal de Microsoft Purview, los usuarios con los permisos correctos pueden revisar los detalles de riesgo del usuario en las páginas de entidades de usuario del portal de Microsoft Defender.
Consulte Compartir niveles de gravedad de alerta con otras soluciones de seguridad de Microsoft para obtener más información.
Permisos y roles
roles de Microsoft Defender XDR
Los permisos siguientes son esenciales para acceder a las alertas de administración de riesgos internos en el portal de Microsoft Defender:
- Operador de seguridad
- Lector de seguridad
Para obtener más información sobre los roles de Microsoft Defender XDR, consulte Administración del acceso a Microsoft Defender XDR con roles globales de Microsoft Entra.
roles de Administración de riesgos internos de Microsoft Purview
También debe ser miembro de uno de los siguientes grupos de roles de administración de riesgos internos para ver y administrar alertas de administración de riesgos internos en el portal de Microsoft Defender:
- Administración de riesgos de Insider
- Analistas de administración de riesgos internos
- Investigadores de administración de riesgos internos
Para obtener más información sobre estos grupos de roles, consulte Habilitación de permisos para la administración de riesgos internos.
Roles de Microsoft Graph API
Los clientes que integran alertas de administración de riesgos internos con otras herramientas de administración de eventos e información de seguridad (SIEM) mediante la API de seguridad de Microsoft Graph deben tener los siguientes permisos para acceder correctamente a los datos de Microsoft Defender pertinentes a través de las API:
| Permisos de aplicación | Incidentes | Alertas | Comportamientos & eventos | Búsqueda avanzada de amenazas |
|---|---|---|---|---|
| SecurityIncident.Read.All | Lectura | Lectura | Lectura | |
| SecurityIncident.ReadWrite.All | Lectura y escritura | Lectura y escritura | Lectura | |
| SecurityIAlert.Read.All | Lectura | Lectura | ||
| SecurityAlert.ReadWrite.All | Lectura y escritura | Lectura | ||
| SecurityEvents.Read.All | Lectura | |||
| SecurityEvents.ReadWrite.All | Lectura | |||
| ThreatHunting.Read.All | Lectura |
Más información sobre la integración de datos mediante la API de seguridad de Microsoft Graph en Integración de datos de administración de riesgos internos con la API de seguridad de Microsoft Graph.
Experiencia de investigación en el portal de Microsoft Defender
Incidentes
Las alertas de administración de riesgos internos relacionadas con un usuario se correlacionan con un único incidente para garantizar un enfoque holístico de la respuesta a incidentes. Esta correlación permite a los analistas de SOC tener una vista unificada de todas las alertas sobre un usuario procedente de Administración de riesgos internos de Microsoft Purview y varios productos de Defender. La unificación de todas las alertas también permite a los analistas de SOC ver los detalles de los dispositivos implicados en las alertas.
Para filtrar los incidentes, elija Administración de riesgos internos de Microsoft Purview en Origen del servicio.
Alertas
Todas las alertas de administración de riesgos internos también están visibles en la cola de alertas del portal de Microsoft Defender. Filtre estas alertas eligiendo Administración de riesgos internos de Microsoft Purview en Origen del servicio.
Este es un ejemplo de una alerta de administración de riesgos internos en el portal de Microsoft Defender:
Microsoft Defender XDR y Administración de riesgos internos de Microsoft Purview siguen diferentes marcos de clasificación y estado de alerta. La siguiente asignación de alertas se usa para sincronizar los estados de alerta entre las dos soluciones:
| estado de alerta de Microsoft Defender | estado de alerta de Administración de riesgos internos de Microsoft Purview |
|---|---|
| Nuevo | Falta por revisar |
| En curso | Falta por revisar |
| Resuelto | Dependiente de la clasificación. Si la clasificación no está disponible, el estado de la alerta se establece en Descartado de forma predeterminada. |
La siguiente asignación de clasificación de alertas se usa para sincronizar la clasificación de alertas entre las dos soluciones:
| clasificación de alertas de Microsoft Defender | clasificación de alertas de Administración de riesgos internos de Microsoft Purview |
|---|---|
| Verdadero positivo Incluye ataque multiescenado, phishing, etc. |
Confirmado |
| Información, actividad esperada (positivo benigno) Incluye pruebas de seguridad, actividad confirmada, etc. |
Descartada |
| Falso positivo Incluye no malintencionada, no hay suficientes datos para validar, etc. |
Descartada |
Para obtener más información sobre los estados de alerta y las clasificaciones en Microsoft Defender XDR, consulte Administración de alertas en Microsoft Defender.
Las actualizaciones realizadas en una alerta de administración de riesgos internos en Microsoft Purview o en los portales de Microsoft Defender se reflejan automáticamente en ambos portales. Estas actualizaciones pueden incluir:
- Estado de alerta
- Severity
- Actividad que generó la alerta
- Información del desencadenador
- Clasificación
Las actualizaciones se reflejan en ambos portales en un plazo de 30 minutos después de la generación o actualización de alertas.
Nota:
Las alertas creadas a partir de detecciones personalizadas o resultados de consultas de vínculos a incidentes no están disponibles en el portal de Microsoft Purview.
Los siguientes datos de administración de riesgos internos aún no están disponibles en esta integración:
- Filtración a través de eventos de correo electrónico
- Eventos de uso de inteligencia artificial de riesgo
- Eventos de aplicaciones en la nube de terceros
- Eventos que se produjeron antes de que se generara una alerta
- Exclusiones de eventos definidos por el administrador
- Los incidentes de administración de riesgos internos no contienen alertas actualmente, lo que afecta a Microsoft Sentinel usuarios. Para obtener más información, consulte Impacto para Microsoft Sentinel usuarios.
Búsqueda avanzada de amenazas
Use la búsqueda avanzada para investigar aún más los comportamientos y eventos de riesgo internos. Consulte la tabla siguiente para obtener un resumen de los datos de administración de riesgos internos disponibles en la búsqueda avanzada.
| Nombre de tabla | Descripción |
|---|---|
| AlertInfo | Las alertas de administración de riesgos internos están disponibles como parte de la tabla AlertInfo, que contiene información sobre las alertas de varias soluciones de seguridad de Microsoft. |
| AlertEvidence | Las alertas de administración de riesgos internos están disponibles como parte de la tabla AlertEvidence, que contiene información sobre las entidades asociadas a las alertas de varias soluciones de seguridad de Microsoft. |
| DataSecurityBehaviors | Esta tabla contiene información sobre un comportamiento de usuario potencialmente sospechoso que infringe las directivas predeterminadas o definidas por el cliente en Microsoft Purview. |
| DataSecurityEvents | Esta tabla contiene eventos enriquecidos sobre las actividades del usuario que infringen las directivas predeterminadas o definidas por el cliente en Microsoft Purview. |
En el ejemplo siguiente, usamos la tabla DataSecurityEvents para investigar el comportamiento potencialmente sospechoso del usuario. En este caso, el usuario cargó un archivo en Google Drive, que se puede ver como un comportamiento sospechoso si una empresa no admite cargas de archivos en Google Drive.
Para acceder a los datos de riesgo internos en la búsqueda avanzada, los usuarios deben tener los siguientes roles de Administración de riesgos internos de Microsoft Purview:
- Analista de administración de riesgos internos
- Investigador de administración de riesgos internos
Integración de datos de administración de riesgos internos con la API de seguridad de Microsoft Graph
Use la API de seguridad de Microsoft Graph para integrar alertas, conclusiones e indicadores de administración de riesgos internos con otras herramientas SIEM, como Microsoft Sentinel, ServiceNow o Splunk. También puede usar la API de seguridad para integrar datos de administración de riesgos internos en lagos de datos, sistemas de vales y similares.
Para obtener información sobre cómo configurar microsoft Graph API, consulte Uso de Microsoft Graph API.
Consulte la tabla siguiente para encontrar datos de administración de riesgos internos en API específicas.
| Nombre de tabla | Descripción | Moda |
|---|---|---|
| Incidentes | Incluye todos los incidentes de riesgo internos en la cola de incidentes unificada Defender XDR | Lectura y escritura |
| Alertas | Incluye todas las alertas de riesgo internos compartidas con Defender XDR cola de alertas unificada | Lectura y escritura |
| Búsqueda avanzada de amenazas | Incluye todos los datos de administración de riesgos internos en la búsqueda avanzada, incluidas alertas, comportamientos y eventos. | Lectura |
Los metadatos de alertas de riesgo internos forman parte del tipo de recurso de alerta en la API de seguridad de Microsoft Graph. Consulte la información completa en el tipo de recurso de alerta.
Nota:
Se puede acceder a la información de alertas de riesgo interno en el espacio de nombres Alertas y Gráfico de búsqueda avanzada. El espacio de nombres de alertas proporciona más metadatos.
Se puede acceder a los comportamientos y eventos de riesgo internos en la búsqueda avanzada en el Graph API pasando consultas KQL en la API. Use este método para extraer datos auxiliares para alertas o investigaciones específicas.
Para los clientes que usan Office 365 Management Activity API, se recomienda migrar a Microsoft Security Graph API para garantizar metadatos más completos y compatibilidad bidireccional con los datos de IRM.
Impacto en los usuarios Microsoft Sentinel
Se recomienda Microsoft Sentinel a los clientes que usen el conector de datos Administración de riesgos internos de Microsoft Purview Microsoft Sentinel para obtener alertas de administración de riesgos internos en Microsoft Sentinel.
Si usa la automatización en incidentes Microsoft Sentinel, tenga en cuenta que la automatización corre el riesgo de error debido a que los incidentes de administración de riesgos internos no tienen contenido de alerta. Para mitigar esto, desactive el uso compartido de datos en la configuración de administración de riesgos internos.
Pasos siguientes
Después de investigar un incidente o una alerta de riesgo interno, puede hacer lo siguiente:
- Siga respondiendo a la alerta en el portal de Microsoft Purview.
- Use la búsqueda avanzada para investigar otros eventos de administración de riesgos internos en el portal de Microsoft Defender.