Udostępnij za pośrednictwem


Badanie zagrożeń związanych z ryzykiem wewnętrznym w portalu Microsoft Defender

Ważna

Niektóre informacje w tym artykule odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji wyrażonych ani dorozumianych w odniesieniu do informacji podanych tutaj.

Zarządzanie ryzykiem wewnętrznym w Microsoft Purview alerty w portalu Microsoft Defender są niezbędne do ochrony poufnych informacji organizacji i utrzymania bezpieczeństwa. Te alerty i szczegółowe informacje z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview ułatwiają identyfikowanie i eliminowanie wewnętrznych zagrożeń, takich jak wycieki danych i kradzież własności intelektualnej przez pracowników lub wykonawców. Monitorowanie tych alertów umożliwia organizacjom proaktywne reagowanie na zdarzenia związane z zabezpieczeniami, zapewniając ochronę poufnych danych i spełnienie wymagań dotyczących zgodności.

Jedną z kluczowych zalet monitorowania alertów o ryzyku wewnętrznym jest ujednolicony widok wszystkich alertów związanych z użytkownikiem, dzięki czemu analitycy centrum operacji zabezpieczeń (SOC) mogą skorelować alerty z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview z innymi rozwiązaniami zabezpieczeń firmy Microsoft. Ponadto posiadanie tych alertów w portalu Microsoft Defender umożliwia bezproblemową integrację z zaawansowanymi możliwościami wyszukiwania zagrożeń, zwiększając możliwość skutecznego badania i reagowania na zdarzenia.

Kolejną zaletą jest automatyczna synchronizacja aktualizacji alertów między usługą Microsoft Purview i portalami usługi Defender, zapewniając widoczność w czasie rzeczywistym i zmniejszając szanse na nadzór. Ta integracja wzmacnia zdolność organizacji do wykrywania, badania i reagowania na zagrożenia wewnętrzne, zwiększając w ten sposób ogólną postawę bezpieczeństwa.

Alertami zarządzania ryzykiem wewnętrznym można zarządzać w portalu Microsoft Defender, przechodząc do obszaru Zdarzenia & alerty, gdzie można:

  • Wyświetl wszystkie alerty o ryzyku wewnętrznym pogrupowane w ramach zdarzeń w kolejce zdarzeń portalu Microsoft Defender.
  • Wyświetlanie alertów o ryzyku wewnętrznym skorelowanych z innymi rozwiązaniami firmy Microsoft, takimi jak Ochrona przed utratą danych w Microsoft Purview i Tożsamość Microsoft Entra, w ramach jednego zdarzenia.
  • Wyświetl pojedyncze alerty o ryzyku wewnętrznym w kolejce alertów.
  • Filtruj według źródła usługi w kolejkach zdarzeń i alertów.
  • Wyszukaj wszystkie działania i wszystkie alerty związane z użytkownikiem w alertie o ryzyku wewnętrznym.
  • Na stronie jednostki użytkownika można wyświetlić podsumowanie działań dotyczących ryzyka wewnętrznego użytkownika i poziom ryzyka.

Przed rozpoczęciem

Jeśli jesteś nowym użytkownikiem usługi Microsoft Purview i zarządzania ryzykiem wewnętrznym, rozważ przeczytanie następujących artykułów:

Wymagania wstępne

Aby zbadać alerty dotyczące zarządzania ryzykiem wewnętrznym w portalu Microsoft Defender, należy wykonać następujące czynności:

Udostępnianie danych innym rozwiązam zabezpieczeń musi być włączone w ustawieniach udostępniania danych w Zarządzanie ryzykiem wewnętrznym w Microsoft Purview. Włączenie opcji Udostępnij szczegóły ryzyka użytkownika innym rozwiązaom zabezpieczeń w portalu usługi Microsoft Purview umożliwia użytkownikom z odpowiednimi uprawnieniami przeglądanie szczegółów ryzyka użytkownika na stronach jednostek użytkownika w portalu Microsoft Defender.

Aby uzyskać więcej informacji, zobacz Udostępnianie poziomów ważności alertów innym rozwiązaniom zabezpieczeń firmy Microsoft .

Wyróżnianie ustawienia w portalu usługi Microsoft Purview wymaganego do wyświetlania alertów o ryzyku wewnętrznym w Defender XDR.

Uprawnienia i role

role Microsoft Defender XDR

Następujące uprawnienia są niezbędne do uzyskiwania dostępu do alertów zarządzania ryzykiem wewnętrznym w portalu Microsoft Defender:

  • Operator zabezpieczeń
  • Czytelnik zabezpieczeń

Aby uzyskać więcej informacji na temat ról Microsoft Defender XDR, zobacz Zarządzanie dostępem do Microsoft Defender XDR za pomocą Microsoft Entra ról globalnych.

role Zarządzanie ryzykiem wewnętrznym w Microsoft Purview

Musisz również być członkiem jednej z następujących grup ról zarządzania ryzykiem wewnętrznym, aby wyświetlać alerty dotyczące zarządzania ryzykiem wewnętrznym i zarządzać nimi w portalu Microsoft Defender:

  • Zarządzanie ryzykiem wewnętrznym
  • Analitycy zarządzania ryzykiem wewnętrznym
  • Badacze zarządzania ryzykiem wewnętrznym

Aby uzyskać więcej informacji na temat tych grup ról, zobacz Włączanie uprawnień do zarządzania ryzykiem wewnętrznym.

Role interfejs Graph API firmy Microsoft

Klienci integrujący alerty zarządzania ryzykiem wewnętrznym z innymi narzędziami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph muszą mieć następujące uprawnienia, aby pomyślnie uzyskać dostęp do odpowiednich danych Microsoft Defender za pośrednictwem interfejsów API:

Uprawnienia aplikacji Zdarzenia Alerty Zachowania & zdarzenia Zaawansowane wyszukiwanie zagrożeń
SecurityIncident.Read.All Odczyt Odczyt Odczyt
SecurityIncident.ReadWrite.All Odczyt/zapis Odczyt/zapis Odczyt
SecurityIAlert.Read.All Odczyt Odczyt
SecurityAlert.ReadWrite.All Odczyt/zapis Odczyt
SecurityEvents.Read.All Odczyt
SecurityEvents.ReadWrite.All Odczyt
ThreatHunting.Read.All Odczyt

Więcej informacji na temat integracji danych przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph w temacie Integrowanie danych zarządzania ryzykiem wewnętrznym z interfejsem API zabezpieczeń programu Microsoft Graph.

Środowisko badania w portalu Microsoft Defender

Zdarzenia

Alerty dotyczące zarządzania ryzykiem wewnętrznym związane z użytkownikiem są skorelowane z pojedynczym incydentem, aby zapewnić całościowe podejście do reagowania na zdarzenia. Ta korelacja umożliwia analitykom SOC ujednolicenie widoku wszystkich alertów dotyczących użytkownika pochodzącego z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview i różnych produktów usługi Defender. Ujednolicenie wszystkich alertów umożliwia również analitykom SOC wyświetlanie szczegółów urządzeń biorących udział w alertach.

Przykład zdarzenia z alertami o ryzyku wewnętrznym z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview.

Zdarzenia można filtrować, wybierając pozycję Zarządzanie ryzykiem wewnętrznym w Microsoft Purview w obszarze Źródło usługi.

Alerty

Wszystkie alerty dotyczące zarządzania ryzykiem wewnętrznym są również widoczne w kolejce alertów portalu Microsoft Defender. Przefiltruj te alerty, wybierając pozycję Zarządzanie ryzykiem wewnętrznym w Microsoft Purview w obszarze Źródło usługi.

Oto przykład alertu dotyczącego zarządzania ryzykiem wewnętrznym w portalu Microsoft Defender:

Przykład alertów o ryzyku wewnętrznym z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview.

Microsoft Defender XDR i Zarządzanie ryzykiem wewnętrznym w Microsoft Purview są zgodne z różnymi strukturami stanu alertów i klasyfikacji. Następujące mapowanie alertów służy do synchronizowania stanów alertów między tymi dwoma rozwiązaniami:

stan alertu Microsoft Defender stan alertu Zarządzanie ryzykiem wewnętrznym w Microsoft Purview
Nowy Przegląd potrzeb
W toku Przegląd potrzeb
Rozwiązane Klasyfikacja zależna. Jeśli klasyfikacja jest niedostępna, stan alertu jest domyślnie ustawiony na Odrzucony .

Następujące mapowanie klasyfikacji alertów służy do synchronizowania klasyfikacji alertów między dwoma rozwiązaniami:

klasyfikacja alertów Microsoft Defender klasyfikacja alertów Zarządzanie ryzykiem wewnętrznym w Microsoft Purview
Wynik prawdziwie dodatni
obejmuje wieloetapowy atak, wyłudzanie informacji itp.
Potwierdzone
Informacje, oczekiwana aktywność (niegroźna dodatnia)
obejmuje testowanie zabezpieczeń, potwierdzoną aktywność itp.
Oddalił
Wynik fałszywie dodatni
obejmuje brak złośliwych danych, za mało danych do zweryfikowania itp.
Oddalił

Aby uzyskać więcej informacji na temat stanów alertów i klasyfikacji w Microsoft Defender XDR, zobacz Zarządzanie alertami w Microsoft Defender.

Wszelkie aktualizacje alertu dotyczącego zarządzania ryzykiem wewnętrznym w usłudze Microsoft Purview lub portalach Microsoft Defender są automatycznie odzwierciedlane w obu portalach. Te aktualizacje mogą obejmować:

  • Stan alertu
  • Waga
  • Działanie, które wygenerowało alert
  • Informacje o wyzwalaczu
  • Klasyfikacja

Aktualizacje są odzwierciedlane w obu portalach w ciągu 30 minut od wygenerowania lub aktualizacji alertu.

Uwaga

Alerty utworzone na podstawie wykrywania niestandardowego lub wyników zapytania linku do zdarzeń nie są dostępne w portalu usługi Microsoft Purview.

Następujące dane dotyczące zarządzania ryzykiem wewnętrznym nie są jeszcze dostępne w tej integracji:

  • Eksfiltracja za pośrednictwem zdarzeń poczty e-mail
  • Ryzykowne zdarzenia użycia sztucznej inteligencji
  • Zdarzenia aplikacji w chmurze innych firm
  • Zdarzenia, które wystąpiły przed wygenerowaniem alertu
  • Wykluczenia z zdarzeń zdefiniowanych przez administratora
  • Zdarzenia związane z zarządzaniem ryzykiem wewnętrznym nie zawierają obecnie alertów mających wpływ na Microsoft Sentinel użytkowników. Aby uzyskać więcej informacji, zobacz Wpływ na Microsoft Sentinel użytkowników.

Zaawansowane wyszukiwanie zagrożeń

Użyj zaawansowanego wyszukiwania zagrożeń, aby dokładniej zbadać zdarzenia i zachowania związane z ryzykiem wewnętrznym. Zapoznaj się z poniższą tabelą, aby zapoznać się z podsumowaniem danych dotyczących zarządzania ryzykiem wewnętrznym dostępnych w ramach zaawansowanego wyszukiwania zagrożeń.

Nazwa tabeli Opis
AlertInfo Alerty dotyczące zarządzania ryzykiem wewnętrznym są dostępne w ramach tabeli AlertInfo, która zawiera informacje o alertach z różnych rozwiązań zabezpieczeń firmy Microsoft.
AlertEvidence Alerty dotyczące zarządzania ryzykiem wewnętrznym są dostępne w ramach tabeli AlertEvidence, która zawiera informacje o jednostkach skojarzonych z alertami z różnych rozwiązań zabezpieczeń firmy Microsoft.
DataSecurityBehaviors Ta tabela zawiera szczegółowe informacje na temat potencjalnie podejrzanego zachowania użytkownika, które narusza zasady domyślne lub zdefiniowane przez klienta w usłudze Microsoft Purview.
DataSecurityEvents Ta tabela zawiera wzbogacone zdarzenia dotyczące działań użytkowników, które naruszają zasady domyślne lub zdefiniowane przez klienta w usłudze Microsoft Purview.

W poniższym przykładzie użyjemy tabeli DataSecurityEvents , aby zbadać potencjalnie podejrzane zachowanie użytkowników. W takim przypadku użytkownik przekazał plik na dysk Google, który może być postrzegany jako podejrzane zachowanie, jeśli firma nie obsługuje przekazywania plików na dysk Google.

Zaawansowana strona wyszukiwania zagrożeń przedstawiająca zapytanie przy użyciu tabel związanych z zachowaniami i zdarzeniami dotyczącymi ryzyka wewnętrznego.

Aby uzyskać dostęp do danych o podwyższonym ryzyku wewnętrznym podczas zaawansowanego wyszukiwania zagrożeń, użytkownicy muszą mieć następujące role Zarządzanie ryzykiem wewnętrznym w Microsoft Purview:

  • Analityk zarządzania ryzykiem wewnętrznym
  • Badacz zarządzania ryzykiem wewnętrznym

Integrowanie danych zarządzania ryzykiem wewnętrznym z interfejsem API zabezpieczeń programu Microsoft Graph

Za pomocą interfejsu API zabezpieczeń programu Microsoft Graph można zintegrować alerty, szczegółowe informacje i wskaźniki dotyczące zarządzania ryzykiem wewnętrznym z innymi narzędziami SIEM, takimi jak Microsoft Sentinel, ServiceNow lub Splunk. Możesz również użyć interfejsu API zabezpieczeń, aby zintegrować dane zarządzania ryzykiem wewnętrznym z magazynami danych, systemami biletów i tym podobne.

Aby dowiedzieć się, jak skonfigurować interfejs Graph API firmy Microsoft, zobacz Korzystanie z interfejs Graph API firmy Microsoft.

Zapoznaj się z poniższą tabelą, aby znaleźć dane dotyczące zarządzania ryzykiem wewnętrznym w określonych interfejsach API.

Nazwa tabeli Opis Tryb
Zdarzenia Obejmuje wszystkie zdarzenia związane z ryzykiem wewnętrznym w Defender XDR ujednoliconej kolejce zdarzeń Odczyt/zapis
Alerty Zawiera wszystkie alerty o ryzyku wewnętrznym udostępnione Defender XDR ujednoliconej kolejce alertów Odczyt/zapis
Zaawansowane wyszukiwanie zagrożeń Obejmuje wszystkie dane zarządzania ryzykiem wewnętrznym w zaawansowanym polowaniu, w tym alerty, zachowania i zdarzenia Odczyt

Metadane alertu o ryzyku wewnętrznym są częścią typu zasobu alertu w interfejsie API zabezpieczeń programu Microsoft Graph. Zobacz pełne informacje w typie zasobu alertu.

Uwaga

Informacje o alertach o ryzyku wewnętrznym można uzyskać zarówno w przestrzeni nazw alertów, jak i wykresu zaawansowanego wyszukiwania zagrożeń. Przestrzeń nazw alertów zawiera więcej metadanych.

W interfejs Graph API można uzyskać dostęp do zachowań i zdarzeń związanych z ryzykiem wewnętrznym w zaawansowanym wyszukiwaniu zagrożeń, przekazując zapytania KQL w interfejsie API. Ta metoda służy do ściągania danych pomocniczych dla określonych alertów lub badań.

W przypadku klientów korzystających z interfejsu API działania zarządzania Office 365 zalecamy migrację do usługi Microsoft Security interfejs Graph API w celu zapewnienia bogatszej obsługi metadanych i dwukierunkowej obsługi danych usługi IRM.

Wpływ na Microsoft Sentinel użytkowników

Zalecamy Microsoft Sentinel klientom korzystanie z łącznika Zarządzanie ryzykiem wewnętrznym w Microsoft Purview — Microsoft Sentinel danych w celu uzyskania alertów dotyczących zarządzania ryzykiem wewnętrznym Microsoft Sentinel.

Jeśli używasz automatyzacji w przypadku zdarzeń Microsoft Sentinel, pamiętaj, że automatyzacja grozi niepowodzeniem z powodu zdarzeń zarządzania ryzykiem wewnętrznym, które nie mają zawartości alertów. Aby rozwiązać ten problem, wyłącz udostępnianie danych w ustawieniach zarządzania ryzykiem wewnętrznym.

Następne kroki

Po zbadaniu zdarzenia lub alertu związanego z ryzykiem wewnętrznym można wykonać dowolną z następujących czynności:

  • Kontynuuj odpowiadanie na alert w portalu Usługi Microsoft Purview.
  • Użyj zaawansowanego wyszukiwania zagrożeń, aby zbadać inne zdarzenia związane z zarządzaniem ryzykiem wewnętrznym w portalu Microsoft Defender.