Belső kockázati fenyegetések vizsgálata a Microsoft Defender portálon
Fontos
A cikkben található információk egy előre kiadott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy vélelmezett garanciát az itt megadott információkra vonatkozóan.
Microsoft Purview belső kockázatkezelés riasztások a Microsoft Defender portálon létfontosságúak a szervezet bizalmas adatainak védelméhez és a biztonság fenntartásához. Ezek a riasztások és megállapítások Microsoft Purview belső kockázatkezelés segítenek azonosítani és enyhíteni az olyan belső fenyegetéseket, mint az adatszivárgások és a szellemi tulajdon alkalmazottak vagy alvállalkozók általi ellopása. Ezeknek a riasztásoknak a figyelése lehetővé teszi a szervezetek számára a biztonsági incidensek proaktív kezelését, biztosítva a bizalmas adatok védelmét és a megfelelőségi követelmények teljesülését.
A belső kockázati riasztások figyelésének egyik fő előnye a felhasználóval kapcsolatos összes riasztás egységes nézete, amely lehetővé teszi, hogy a Security Operations Center (SOC) elemzői korrelálják a Microsoft Purview belső kockázatkezelés riasztásait más Microsoft biztonsági megoldásokkal. Ezen kívül, ha ezeket a riasztásokat a Microsoft Defender portálon használja, zökkenőmentes integrációt tesz lehetővé a speciális veszélyforrás-keresési képességekkel, így hatékonyabbá válik az incidensek kivizsgálása és megválaszolása.
Egy másik előny a riasztásfrissítések automatikus szinkronizálása a Microsoft Purview és a Defender portálok között, amely valós idejű láthatóságot biztosít, és csökkenti a felügyelet esélyét. Ez az integráció megerősíti a szervezet azon képességét, hogy észlelje, kivizsgálja és reagáljon a belső fenyegetésekre, ezáltal javítva az általános biztonsági helyzetet.
A belső kockázatkezelési riasztásokat az Microsoft Defender portálon kezelheti az Incidensek & riasztások között, ahol az alábbiakra van lehetőség:
- Tekintse meg az összes belső kockázati riasztást az incidensek alatt csoportosítva a Microsoft Defender portál incidenssorában.
- Tekintse meg a többi Microsoft-megoldással, például Microsoft Purview adatveszteség-megelőzés és Microsoft Entra ID egyetlen incidens alatt kapcsolódó belső kockázati riasztásokat.
- Az egyes belső kockázati riasztások megtekintése a riasztási üzenetsorban.
- Szűrjön szolgáltatásforrás alapján az incidensekre és a riasztási várólistákra.
- Keresse meg a felhasználóval kapcsolatos összes tevékenységet és riasztást a belső kockázati riasztásban.
- A felhasználó belső kockázati tevékenységének összegzését és kockázati szintjét a felhasználói entitás oldalán tekintheti meg.
Tudnivalók a kezdés előtt
Ha még nem ismerkedik a Microsoft Purview-val és az Insider-kockázatkezeléssel, olvassa el az alábbi cikkeket:
- További információ a Microsoft Purview-ról
- Tudnivalók a Microsoft Purview belső kockázatkezelés
- Microsoft Purview adatbiztonsági megoldások
Előfeltételek
A Microsoft Defender portál belső kockázatkezelési riasztásainak vizsgálatához a következőket kell tennie:
- Győződjön meg arról, hogy Microsoft 365-előfizetése támogatja a belső kockázatkezeléshez való hozzáférést. További információ az előfizetésről és a licencelésről.
- Erősítse meg a Microsoft Defender XDR való hozzáférését. Lásd: Microsoft Defender XDR licencelési követelmények.
Az adatok más biztonsági megoldásokkal való megosztását be kell kapcsolni a Microsoft Purview belső kockázatkezelés adatmegosztási beállításai között. Ha bekapcsolja a Felhasználói kockázat részleteinek megosztása más biztonsági megoldásokkal a Microsoft Purview portálon, a megfelelő engedélyekkel rendelkező felhasználók áttekinthetik a felhasználói kockázat részleteit a Microsoft Defender portál felhasználói entitáslapjain.
További információt a Riasztás súlyossági szintjeinek megosztása más Microsoft biztonsági megoldásokkal című témakörben talál.
Engedélyek és szerepkörök
Microsoft Defender XDR szerepkörök
Az alábbi engedélyek elengedhetetlenek a belső kockázatkezelési riasztásokhoz való hozzáféréshez a Microsoft Defender portálon:
- Biztonsági operátor
- Biztonsági olvasó
A Microsoft Defender XDR szerepkörökkel kapcsolatos további információkért lásd: Microsoft Defender XDR hozzáférésének kezelése Microsoft Entra globális szerepkörökkel.
Microsoft Purview belső kockázatkezelés szerepkörök
A belső kockázatkezelési riasztások Microsoft Defender portálon való megtekintéséhez és kezeléséhez az alábbi belső kockázatkezelési szerepkörcsoportok egyikének is tagja kell lennie:
- Insider Risk Management
- Belső kockázatkezelési elemzők
- Belső kockázatkezelési vizsgálók
További információ ezekről a szerepkörcsoportokról: Engedélyek engedélyezése belső kockázatkezeléshez.
Microsoft Graph API szerepkörök
Az insider kockázatkezelési riasztásokat a Microsoft Graph biztonsági API-t használó egyéb biztonsági információ- és eseménykezelési (SIEM) eszközökkel integráló ügyfeleknek a következő engedélyekkel kell rendelkezniük ahhoz, hogy az API-k segítségével sikeresen elérhessék a vonatkozó Microsoft Defender adatokat:
| Alkalmazásengedélyek | Incidensek | Riasztások | Viselkedések & események | Speciális veszélyforrás-keresés |
|---|---|---|---|---|
| SecurityIncident.Read.All | Olvas | Olvas | Olvas | |
| SecurityIncident.ReadWrite.All | Olvasás/írás | Olvasás/írás | Olvas | |
| SecurityIAlert.Read.All | Olvas | Olvas | ||
| SecurityAlert.ReadWrite.All | Olvasás/írás | Olvas | ||
| SecurityEvents.Read.All | Olvas | |||
| SecurityEvents.ReadWrite.All | Olvas | |||
| ThreatHunting.Read.All | Olvas |
További információ az adatok Microsoft Graph security API-val való integrálásáról: Belső kockázatkezelési adatok integrálása a Microsoft Graph security API-val.
Vizsgálati élmény a Microsoft Defender portálon
Incidensek
A felhasználókkal kapcsolatos belső kockázatkezelési riasztások egyetlen incidenssel vannak korrelálva az incidensmegoldás holisztikus megközelítésének biztosítása érdekében. Ezzel a korrelációval az SOC-elemzők egységes nézetet láthatnak a Microsoft Purview belső kockázatkezelés és a különböző Defender-termékekből érkező felhasználókra vonatkozó riasztásokról. Az összes riasztás egységesítése azt is lehetővé teszi, hogy az SOC-elemzők megtekintsék a riasztásokban érintett eszközök részleteit.
Az incidensek szűréshez válassza a Microsoft Purview belső kockázatkezelés lehetőséget a Szolgáltatásforrás területen.
Riasztások
A belső kockázatkezelési riasztások is láthatók a Microsoft Defender portál riasztási üzenetsorában. Szűrje ezeket a riasztásokat a szolgáltatásforrás területen Microsoft Purview belső kockázatkezelés kiválasztásával.
Íme egy példa egy belső kockázatkezelési riasztásra a Microsoft Defender portálon:
Microsoft Defender XDR és Microsoft Purview belső kockázatkezelés különböző riasztási állapot- és besorolási keretrendszereket követnek. Az alábbi riasztásleképezés a riasztási állapotok szinkronizálására szolgál a két megoldás között:
| riasztás állapotának Microsoft Defender | riasztás állapotának Microsoft Purview belső kockázatkezelés |
|---|---|
| Új | Felülvizsgálatra van szükség |
| Folyamatban | Felülvizsgálatra van szükség |
| Megoldani | Besorolás függő. Ha a besorolás nem érhető el, a riasztás állapota alapértelmezés szerint Elvetve értékre van állítva. |
A következő riasztásbesorolási leképezés segítségével szinkronizálhatók a riasztások besorolása a két megoldás között:
| Microsoft Defender riasztások besorolása | Microsoft Purview belső kockázatkezelés riasztások besorolása |
|---|---|
| Valódi pozitív Magában foglalja a többszakaszos támadást, az adathalászatot stb. |
Megrögzött |
| Információ, várt tevékenység (jóindulatú pozitív) Magában foglalja a biztonsági tesztelést, a megerősített tevékenységet stb. |
Elutasította |
| Hamis pozitív : Nem rosszindulatú, nincs elég adat az ellenőrzéshez stb. |
Elutasította |
A Microsoft Defender XDR riasztási állapotaival és besorolásaival kapcsolatos további információkért lásd: Riasztások kezelése Microsoft Defender.
A Microsoft Purview-ban vagy a Microsoft Defender portálon a belső kockázatkezelési riasztások frissítései automatikusan megjelennek mindkét portálon. Ezek a frissítések a következők lehetnek:
- Riasztás állapota
- Súlyosság
- A riasztást létrehozó tevékenység
- Eseményindító adatai
- Osztályozás
A frissítések a riasztás létrehozását vagy frissítését követő 30 percen belül mindkét portálon megjelennek.
Megjegyzés:
Az egyéni észlelésekből létrehozott riasztások vagy a lekérdezési eredmények incidensekhez való csatolása nem érhető el a Microsoft Purview portálon.
A következő belső kockázatkezelési adatok még nem érhetők el ebben az integrációban:
- Kiszivárgás e-mail-eseményeken keresztül
- Kockázatos AI-használati események
- Külső felhőalkalmazások eseményei
- A riasztás létrehozása előtt történt események
- A rendszergazda által meghatározott események kizárása
- Az Insider kockázatkezelési incidensek jelenleg nem tartalmaznak riasztásokat, ami hatással van Microsoft Sentinel felhasználókra. További információ: Hatás Microsoft Sentinel felhasználókra.
Speciális veszélyforrás-keresés
Speciális veszélyforrás-kereséssel tovább vizsgálhatja a belső kockázati eseményeket és viselkedéseket. A speciális veszélyforrás-keresésben elérhető belső kockázatkezelési adatok összegzését az alábbi táblázatban találja.
| Táblanév | Leírás |
|---|---|
| AlertInfo | Az Insider kockázatkezelési riasztások az AlertInfo táblázat részeként érhetők el, amely a Microsoft különböző biztonsági megoldásainak riasztásaival kapcsolatos információkat tartalmaz. |
| AlertEvidence | Az Insider kockázatkezelési riasztások az AlertEvidence tábla részeként érhetők el, amely a Microsoft különböző biztonsági megoldásainak riasztásaival kapcsolatos entitásokról tartalmaz információkat. |
| DataSecurityBehaviors | Ez a táblázat olyan potenciálisan gyanús felhasználói viselkedésre vonatkozó megállapításokat tartalmaz, amelyek sértik a Microsoft Purview alapértelmezett vagy ügyfél által meghatározott szabályzatait. |
| DataSecurityEvents | Ez a táblázat olyan bővített eseményeket tartalmaz a felhasználói tevékenységekről, amelyek megsértik a Microsoft Purview alapértelmezett vagy ügyfél által meghatározott szabályzatát. |
Az alábbi példában a DataSecurityEvents táblát használjuk a potenciálisan gyanús felhasználói viselkedés kivizsgálására. Ebben az esetben a felhasználó feltöltött egy fájlt a Google Drive-ra, amely gyanús viselkedésnek tekinthető, ha egy vállalat nem támogatja a Google Drive-ra való fájlfeltöltést.
A speciális veszélyforrás-keresés belső kockázati adatainak eléréséhez a felhasználóknak a következő Microsoft Purview belső kockázatkezelés szerepköröknek kell rendelkezniük:
- Insider Risk Management Analyst
- Insider Risk Management-vizsgáló
Belső kockázatkezelési adatok integrálása a Microsoft Graph security API-val
A Microsoft Graph biztonsági API-val integrálhat belső kockázatkezelési riasztásokat, megállapításokat és mutatókat más SIEM-eszközökkel, például a Microsoft Sentinel, a ServiceNow vagy a Splunk eszközökkel. A biztonsági API-val integrálhatja a belső kockázatkezelési adatokat a data lake-ekkel, jegykezelő rendszerekkel és hasonlókkal.
A Microsoft Graph API beállításáról A Microsoft Graph API használata című témakörben olvashat.
Az alábbi táblázatból megtudhatja, hogy milyen belső kockázatkezelési adatok érhetők el adott API-kban.
| Táblanév | Leírás | Mód |
|---|---|---|
| Incidensek | Tartalmazza az Defender XDR egyesített incidenssorba tartozó összes belső kockázati incidenst | Olvasás/írás |
| Riasztások | A Defender XDR egyesített riasztási üzenetsorral megosztott összes belső kockázati riasztást tartalmazza | Olvasás/írás |
| Speciális veszélyforrás-keresés | Tartalmazza a speciális veszélyforrás-keresések összes belső kockázatkezelési adatát, beleértve a riasztásokat, a viselkedéseket és az eseményeket | Olvas |
Az insider kockázati riasztás metaadatai a Microsoft Graph biztonsági API riasztási erőforrástípusának részét képezik. Tekintse meg a teljes információt a riasztás erőforrástípusában.
Megjegyzés:
Az insider kockázati riasztások információi a Riasztások és a Speciális veszélyforrás-keresési gráf névterében is elérhetők. A riasztások névtere további metaadatokat biztosít.
A speciális veszélyforrás-keresés belső kockázati viselkedései és eseményei a Graph API KQL-lekérdezések API-beli átadásával érhetők el. Ezzel a módszerrel lekérhet támogatási adatokat adott riasztásokhoz vagy vizsgálatokhoz.
A Office 365 Management Activity API-t használó ügyfelek számára azt javasoljuk, hogy migráljon a Microsoft Security Graph API szolgáltatásba, hogy gazdagabb metaadatokat és kétirányú támogatást biztosítson az IRM-adatokhoz.
Microsoft Sentinel felhasználókra gyakorolt hatás
Azt javasoljuk Microsoft Sentinel ügyfeleknek, hogy az Microsoft Purview belső kockázatkezelés – Microsoft Sentinel adatösszekötő használatával kérjenek belső kockázatkezelési riasztásokat Microsoft Sentinel.
Ha automatizálást használ Microsoft Sentinel incidenseken, vegye figyelembe, hogy az automatizálási kockázatokat az okozza, hogy a belső kockázatkezelési incidensek nem rendelkeznek riasztási tartalommal. A probléma elhárításához kapcsolja ki az adatmegosztást a belső kockázatkezelési beállításokban.
Következő lépések
Egy belső kockázati incidens vagy riasztás kivizsgálása után az alábbi lehetőségek közül választhat:
- Továbbra is válaszoljon a riasztásra a Microsoft Purview portálon.
- Speciális veszélyforrás-kereséssel megvizsgálhat más belső kockázatkezelési eseményeket a Microsoft Defender portálon.