Insider-riskiuhkien tutkiminen Microsoft Defender portaalissa
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta hälytykset Microsoft Defender portaalissa ovat elintärkeitä organisaation luottamuksellisten tietojen suojaamiseksi ja suojauksen ylläpitämiseksi. Nämä Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta hälytykset ja merkitykselliset tiedot auttavat tunnistamaan ja lieventämään sisäisiä uhkia, kuten tietovuotoja ja työntekijöiden tai urakoitsijoiden teollis- ja tekijänoikeuksien varkauksia. Näiden hälytysten valvonnan avulla organisaatiot voivat käsitellä tietoturvahäiriöitä ennakoivasti varmistaen, että luottamukselliset tiedot pysyvät suojattuina ja että yhteensopivuusvaatimukset täyttyvät.
Insider-riski-hälytysten valvonnan keskeinen etu on kaikkien käyttäjään liittyvien ilmoitusten yhtenäinen näkymä, jonka avulla tietoturvakeskusanalyytikot voivat korreloida Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta hälytyksiä muiden Microsoftin suojausratkaisujen kanssa. Lisäksi näiden hälytysten käyttö Microsoft Defender portaalissa mahdollistaa saumattoman integroinnin kehittyneiden metsästysominaisuuksien kanssa, mikä parantaa tapausten tehokasta tutkimista ja niihin vastaamista.
Toinen etu on Ilmoituspäivitysten automaattinen synkronointi Microsoft Purview - ja Defender-portaaleihin, mikä varmistaa reaaliaikaisen näkyvyyden ja vähentää valvontamahdollisuuksia. Tämä integrointi vahvistaa organisaation kykyä havaita insider-uhkia, tutkia niihin ja vastata niihin, mikä parantaa yleistä suojausasentoa.
Voit hallita insider-riskinhallintahälytyksiä Microsoft Defender portaalissa siirtymällä kohtaan Tapaukset & hälytykset, jossa voit:
- Tarkastele kaikkia insider-riskin ilmoituksia, jotka on ryhmitelty tapauksiin Microsoft Defender portaalin tapausjonossa.
- Näytä insider-riskiilmoitukset, jotka korreloivat muiden Microsoft-ratkaisujen, kuten Microsoft Purview -tuotteen tietojen menetyksen esto ja Microsoft Entra ID, kanssa yksittäisessä tapauksessa.
- Tarkastele yksittäisten insider-riskin ilmoituksia ilmoitusjonossa.
- Suodata palvelulähteen mukaan tapahtuma- ja ilmoitusjonoissa.
- Etsi kaikki toiminnot ja kaikki hälytykset, jotka liittyvät käyttäjään insider-riski-hälytyksessä.
- Tarkastele käyttäjän Insider-riskin toiminnan yhteenvetoa ja riskitasoa käyttäjän entiteettisivulla.
Tiedä ennen kuin aloitat
Jos olet uusi Microsoft Purview'n ja Insider Risk Managementin käyttäjä, lue seuraavat artikkelit:
- Lisätietoja Microsoft Purview'sta
- Lisätietoja Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta
- Microsoft Purview -tietoturvaratkaisut
Ennakkovaatimukset
Jos haluat tutkia insider-riskinhallintahälytyksiä Microsoft Defender portaalissa, sinun on tehtävä seuraavat toimet:
- Vahvista, että Microsoft 365 -tilauksesi tukee insider-riskinhallinnan käyttöoikeutta. Lisätietoja tilauksesta ja käyttöoikeuksista.
- Vahvista Microsoft Defender XDR käyttöoikeus. Katso Microsoft Defender XDR käyttöoikeusvaatimukset.
Tietojen jakaminen muiden suojausratkaisujen kanssa on otettava käyttöön Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta tietojen jakamisen asetuksissa. Kun otat Jaa käyttäjäriskitiedot muiden suojausratkaisujen kanssa käyttöön Microsoft Purview -portaalissa, käyttäjät, joilla on oikeat käyttöoikeudet, voivat tarkastella käyttäjän riskitietoja käyttäjäentiteettisivuilla Microsoft Defender portaalissa.
Lisätietoja on artikkelissa Ilmoitusten vakavuustasojen jakaminen muiden Microsoftin suojausratkaisujen kanssa .
Käyttöoikeudet ja roolit
Microsoft Defender XDR roolit
Seuraavat käyttöoikeudet ovat välttämättömiä Insider-riskinhallintahälytysten käyttämiseksi Microsoft Defender portaalissa:
- Suojausoperaattori
- Suojauksen lukija
Lisätietoja Microsoft Defender XDR rooleista on artikkelissa Microsoft Defender XDR käyttöoikeuksien hallinta Microsoft Entra yleisillä rooleilla.
Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta rooleja
Sinun on myös oltava jonkin seuraavan Insider-riskinhallinnan rooliryhmän jäsen, jotta voit tarkastella ja hallita insider-riskinhallinnan ilmoituksia Microsoft Defender portaalissa:
- Insider Risk Management
- Insider Risk Management -analyytikot
- Insider Risk Management -tutkijat
Lisätietoja näistä rooliryhmistä on artikkelissa Insider-riskinhallinnan käyttöoikeuksien ottaminen käyttöön.
Microsoft Graph -ohjelmointirajapintaroolit
Asiakkailla, jotka integroivat insider-riskinhallintailmoituksia muihin suojaustietojen ja tapahtumien hallinnan (SIEM) työkaluihin Microsoft Graph -suojauksen ohjelmointirajapinnan avulla, on oltava seuraavat oikeudet, jotta he voivat onnistuneesti käyttää olennaisia Microsoft Defender tietoja ohjelmointirajapintoja käyttämällä:
| Sovelluksen käyttöoikeudet | Tapaukset | Ilmoitukset | Toiminnot & tapahtumat | Tarkennettu etsintä |
|---|---|---|---|---|
| SecurityIncident.Read.All | Lukea | Lukea | Lukea | |
| SecurityIncident.ReadWrite.All | Luku ja kirjoitus | Luku ja kirjoitus | Lukea | |
| SecurityIAlert.Read.All | Lukea | Lukea | ||
| SecurityAlert.ReadWrite.All | Luku ja kirjoitus | Lukea | ||
| SecurityEvents.Read.All | Lukea | |||
| SecurityEvents.ReadWrite.All | Lukea | |||
| ThreatHunting.Read.All | Lukea |
Lisätietoja tietojen integroinnista Microsoft Graph -suojauksen ohjelmointirajapinnan avulla artikkelissa Insider-riskinhallintatietojen integrointi Microsoft Graphin suojauksen ohjelmointirajapinnan kanssa.
tutkimuskokemus Microsoft Defender portaalissa
Tapaukset
Insider-riskinhallintailmoitukset, jotka liittyvät käyttäjään, korreloivat yksittäiseen tapaukseen, jotta voidaan varmistaa kokonaisvaltainen lähestymistapa tapausten käsittelyyn. Tämän korrelaation avulla SOC-analyytikot voivat nähdä kaikki ilmoitukset käyttäjästä, joka tulee Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ja erilaisista Defender-tuotteista. Kaikkien hälytysten yhtenäistämisen avulla SOC-analyytikot voivat myös tarkastella hälytyksiin liittyvien laitteiden tietoja.
Voit suodattaa tapauksia valitsemalla palvelulähteestä Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta.
Ilmoitukset
Kaikki insider-riskinhallintahälytykset näkyvät myös Microsoft Defender portaalin ilmoitusjonossa. Suodata nämä ilmoitukset valitsemalla palvelulähteestä Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta.
Tässä on esimerkki insider-riskinhallintahälytyksestä Microsoft Defender-portaalissa:
Microsoft Defender XDR ja Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta noudattaa erilaisia ilmoitusten tilan ja luokittelun kehyksiä. Seuraavaa ilmoitusten yhdistämismääritystä käytetään ilmoitusten tilan synkronointiin kahden ratkaisun välillä:
| Microsoft Defender ilmoituksen tila | Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ilmoituksen tila |
|---|---|
| Uusi | Tarvitsee tarkistusta |
| Liikkeellä | Tarvitsee tarkistusta |
| Ratkaistu | Luokitus on riippuvainen. Jos luokitus ei ole käytettävissä, ilmoituksen tilaksi määritetään oletusarvoisesti Hylkää . |
Seuraavaa hälytysluokituksen yhdistämismääritystä käytetään hälytysluokituksen synkronoimiseen kahden ratkaisun välillä:
| Microsoft Defender ilmoituksen luokitus | Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ilmoituksen luokitus |
|---|---|
| True-positiivinen Sisältää monivaiheisen hyökkäyksen, tietojenkalastelun jne. |
Vahvistettu |
| Tiedot, odotettu toiminta (hyvänlaatuinen positiivinen) Sisältää suojaustestauksen, vahvistetun toiminnan jne. |
Hylkäsi |
| False-positiivinen Sisältää ei haitallista, ei tarpeeksi tietoja vahvistettavaksi jne. |
Hylkäsi |
Lisätietoja Microsoft Defender XDR ilmoitusten tilasta ja luokituksista on kohdassa Ilmoitusten hallinta Microsoft Defender.
Kaikki Insider-riskinhallintahälytykseen Microsoft Purview'ssa tai Microsoft Defender -portaaleihin tehdyt päivitykset näkyvät automaattisesti molemmissa portaaleissa. Näitä päivityksiä voivat olla esimerkiksi seuraavat:
- Ilmoituksen tila
- Vakavuus
- Ilmoituksen luonut aktiviteetti
- Käynnistintiedot
- Luokitus
Päivitykset näkyvät molemmissa portaaleissa 30 minuutin kuluessa ilmoituksen luomisesta tai päivittämisestä.
Huomautus
Mukautetuista tunnistuksista tai linkkikyselyn tuloksista tapauksiin luodut hälytykset eivät ole käytettävissä Microsoft Purview -portaalissa.
Seuraavat insider-riskinhallintatiedot eivät ole vielä käytettävissä tässä integroinnissa:
- Suodatus sähköpostitapahtumien kautta
- Riskialttiit tekoälyn käyttötapahtumat
- Kolmannen osapuolen pilvisovellusten tapahtumat
- Tapahtumat, jotka tapahtuivat ennen ilmoituksen luomista
- Poikkeukset järjestelmänvalvojan määrittämiin tapahtumiin
- Insider-riskinhallintatapaukset eivät tällä hetkellä sisällä hälytyksiä, jotka vaikuttavat Microsoft Sentinel käyttäjiin. Lisätietoja on artikkelissa Vaikutus Microsoft Sentinel käyttäjiin.
Tarkennettu etsintä
Tarkennetun metsästyksen avulla voit tutkia tarkemmin insider-riskitapahtumia ja -toimintaa. Katso alla olevasta taulukosta yhteenveto insider-riskinhallintatiedoista, jotka ovat saatavilla kehittyneessä metsästyksessä.
| Taulukon nimi | Kuvaus |
|---|---|
| AlertInfo | Insider-riskinhallintailmoitukset ovat käytettävissä osana AlertInfo-taulukkoa, joka sisältää tietoja eri Microsoftin suojausratkaisujen hälytyksistä. |
| AlertEvidence | Insider-riskinhallintailmoitukset ovat saatavilla osana AlertEvidence-taulukkoa, joka sisältää tietoja eri Microsoftin suojausratkaisujen hälytyksiin liittyvistä entiteeteistä. |
| DataSecurityBehaviors | Tämä taulukko sisältää tietoja mahdollisesti epäilyttävästä käyttäjän toiminnasta, joka rikkoo Microsoft Purview'n oletusarvoisia tai asiakkaan määrittämiä käytäntöjä. |
| DataSecurityEvents | Tämä taulukko sisältää täydennettyjä tapahtumia käyttäjän toiminnoista, jotka rikkovat Microsoft Purview'n oletusarvoisia tai asiakkaan määrittämiä käytäntöjä. |
Alla olevassa esimerkissä käytämme DataSecurityEvents-taulukkoa mahdollisesti epäilyttävän käyttäjän toiminnan selvittämiseen. Tässä tapauksessa käyttäjä latasi Tiedoston Google Driveen, jota voidaan pitää epäilyttävänä käyttäytymisenä, jos yritys ei tue tiedostojen lataamista Google Driveen.
Insider-riskitietojen käyttämiseksi kehittyneessä metsästyksessä käyttäjillä on oltava seuraavat Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta roolit:
- Insider Risk Management -analyytikko
- Insider Risk Management -tutkija
Insider-riskinhallintatietojen integrointi Microsoft Graph -suojauksen ohjelmointirajapinnan avulla
Microsoft Graphin suojauksen ohjelmointirajapinnan avulla voit integroida insider-riskinhallintailmoitukset, merkitykselliset tiedot ja ilmaisimet muihin SIEM-työkaluihin, kuten Microsoft Sentinel, ServiceNow tai Splunk. Suojauksen ohjelmointirajapinnan avulla voit myös integroida Insider-riskinhallintatietoja Data Lake -tallennustilaan, lippujärjestelmiin ja niiden kaltaisiin toimintoihin.
Lisätietoja Microsoft Graph -ohjelmointirajapinnan määrittämisestä on artikkelissa Microsoft Graph -ohjelmointirajapinnan käyttäminen.
Katso alla olevasta taulukosta insider-riskinhallintatietoja tietyistä ohjelmointirajapinnoista.
| Taulukon nimi | Kuvaus | Tila |
|---|---|---|
| Tapaukset | Sisältää kaikki insider-riskitapaukset Defender XDR yhdistetyssä tapausjonossa | Luku ja kirjoitus |
| Ilmoitukset | Sisältää kaikki insider-riski-ilmoitukset, jotka on jaettu Defender XDR yhtenäisen ilmoitusjonon kanssa | Luku ja kirjoitus |
| Tarkennettu etsintä | Sisältää kaikki insider-riskinhallintatiedot kehittyneessä metsästyksessä, mukaan lukien hälytykset, toiminnot ja tapahtumat | Lukea |
Insider-riskiilmoituksen metatiedot ovat osa Microsoft Graphin tietoturva-ohjelmointirajapinnan hälytysresurssityyppiä. Katso kaikki tiedot ilmoituksen resurssityypistä.
Huomautus
Insider-riskin hälytystietoja voi käyttää sekä Ilmoitusten että Kehittyneen metsästyksen kaavion nimitilassa. Ilmoitusten nimitila tarjoaa lisää metatietoja.
Insider-riskin toimintamalleja ja tapahtumia kehittyneessä metsästyksessä voi käyttää Graph-ohjelmointirajapinnassa välittämällä KQL-kyselyjä ohjelmointirajapinnassa. Tämän menetelmän avulla voit hakea tukitietoja tiettyjä ilmoituksia tai tutkimuksia varten.
Asiakkaille, jotka käyttävät Office 365 Management Activity -ohjelmointirajapintaa, suosittelemme siirtymistä Microsoft Security Graph -ohjelmointirajapintaan, jotta voidaan varmistaa monipuolisemmat metatiedot ja kaksisuuntainen tuki IRM-tiedoille.
Vaikutus Microsoft Sentinel käyttäjiin
Suosittelemme Microsoft Sentinel asiakkaita käyttämään Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta – Microsoft Sentinel -tietoyhdistintä insider-riskinhallintailmoitusten saamiseksi Microsoft Sentinel.
Jos käytät automaatiota Microsoft Sentinel tapauksiin, ota huomioon, että automaatioriskit epäonnistuvat, koska insider-riskinhallintatapauksissa ei ole hälytyssisältöä. Voit lieventää tätä poistamällä käytöstä tietojen jakamisen Insider-riskinhallinta-asetuksissa.
Seuraavat vaiheet
Kun olet tutkinut Insider-riskin tapauksen tai hälytyksen, voit tehdä minkä tahansa seuraavista:
- Vastaa hälytykseen edelleen Microsoft Purview -portaalissa.
- Kehittyneen metsästyksen avulla voit tutkia muita insider-riskinhallintatapahtumia Microsoft Defender portaalissa.