Badanie zagrożeń związanych z ryzykiem wewnętrznym w portalu Microsoft Defender
Ważna
Niektóre informacje w tym artykule odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji wyrażonych ani dorozumianych w odniesieniu do informacji podanych tutaj.
Zarządzanie ryzykiem wewnętrznym w Microsoft Purview alerty w portalu Microsoft Defender są niezbędne do ochrony poufnych informacji organizacji i utrzymania bezpieczeństwa. Te alerty i szczegółowe informacje z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview ułatwiają identyfikowanie i eliminowanie wewnętrznych zagrożeń, takich jak wycieki danych i kradzież własności intelektualnej przez pracowników lub wykonawców. Monitorowanie tych alertów umożliwia organizacjom proaktywne reagowanie na zdarzenia związane z zabezpieczeniami, zapewniając ochronę poufnych danych i spełnienie wymagań dotyczących zgodności.
Jedną z kluczowych zalet monitorowania alertów o ryzyku wewnętrznym jest ujednolicony widok wszystkich alertów związanych z użytkownikiem, dzięki czemu analitycy centrum operacji zabezpieczeń (SOC) mogą skorelować alerty z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview z innymi rozwiązaniami zabezpieczeń firmy Microsoft. Ponadto posiadanie tych alertów w portalu Microsoft Defender umożliwia bezproblemową integrację z zaawansowanymi możliwościami wyszukiwania zagrożeń, zwiększając możliwość skutecznego badania i reagowania na zdarzenia.
Kolejną zaletą jest automatyczna synchronizacja aktualizacji alertów między usługą Microsoft Purview i portalami usługi Defender, zapewniając widoczność w czasie rzeczywistym i zmniejszając szanse na nadzór. Ta integracja wzmacnia zdolność organizacji do wykrywania, badania i reagowania na zagrożenia wewnętrzne, zwiększając w ten sposób ogólną postawę bezpieczeństwa.
Alertami zarządzania ryzykiem wewnętrznym można zarządzać w portalu Microsoft Defender, przechodząc do obszaru Zdarzenia & alerty, gdzie można:
- Wyświetl wszystkie alerty o ryzyku wewnętrznym pogrupowane w ramach zdarzeń w kolejce zdarzeń portalu Microsoft Defender.
- Wyświetlanie alertów o ryzyku wewnętrznym skorelowanych z innymi rozwiązaniami firmy Microsoft, takimi jak Ochrona przed utratą danych w Microsoft Purview i Tożsamość Microsoft Entra, w ramach jednego zdarzenia.
- Wyświetl pojedyncze alerty o ryzyku wewnętrznym w kolejce alertów.
- Filtruj według źródła usługi w kolejkach zdarzeń i alertów.
- Wyszukaj wszystkie działania i wszystkie alerty związane z użytkownikiem w alertie o ryzyku wewnętrznym.
- Na stronie jednostki użytkownika można wyświetlić podsumowanie działań dotyczących ryzyka wewnętrznego użytkownika i poziom ryzyka.
Przed rozpoczęciem
Jeśli jesteś nowym użytkownikiem usługi Microsoft Purview i zarządzania ryzykiem wewnętrznym, rozważ przeczytanie następujących artykułów:
- Dowiedz się więcej o usłudze Microsoft Purview
- Dowiedz się więcej o Zarządzanie ryzykiem wewnętrznym w Microsoft Purview
- Rozwiązania zabezpieczeń danych usługi Microsoft Purview
Wymagania wstępne
Aby zbadać alerty dotyczące zarządzania ryzykiem wewnętrznym w portalu Microsoft Defender, należy wykonać następujące czynności:
- Upewnij się, że subskrypcja platformy Microsoft 365 obsługuje dostęp do zarządzania ryzykiem wewnętrznym. Dowiedz się więcej o subskrypcji i licencjonowaniu.
- Potwierdź dostęp do Microsoft Defender XDR. Zobacz wymagania dotyczące licencjonowania Microsoft Defender XDR.
Udostępnianie danych innym rozwiązam zabezpieczeń musi być włączone w ustawieniach udostępniania danych w Zarządzanie ryzykiem wewnętrznym w Microsoft Purview. Włączenie opcji Udostępnij szczegóły ryzyka użytkownika innym rozwiązaom zabezpieczeń w portalu usługi Microsoft Purview umożliwia użytkownikom z odpowiednimi uprawnieniami przeglądanie szczegółów ryzyka użytkownika na stronach jednostek użytkownika w portalu Microsoft Defender.
Aby uzyskać więcej informacji, zobacz Udostępnianie poziomów ważności alertów innym rozwiązaniom zabezpieczeń firmy Microsoft .
Uprawnienia i role
role Microsoft Defender XDR
Następujące uprawnienia są niezbędne do uzyskiwania dostępu do alertów zarządzania ryzykiem wewnętrznym w portalu Microsoft Defender:
- Operator zabezpieczeń
- Czytelnik zabezpieczeń
Aby uzyskać więcej informacji na temat ról Microsoft Defender XDR, zobacz Zarządzanie dostępem do Microsoft Defender XDR za pomocą Microsoft Entra ról globalnych.
role Zarządzanie ryzykiem wewnętrznym w Microsoft Purview
Musisz również być członkiem jednej z następujących grup ról zarządzania ryzykiem wewnętrznym, aby wyświetlać alerty dotyczące zarządzania ryzykiem wewnętrznym i zarządzać nimi w portalu Microsoft Defender:
- Zarządzanie ryzykiem wewnętrznym
- Analitycy zarządzania ryzykiem wewnętrznym
- Badacze zarządzania ryzykiem wewnętrznym
Aby uzyskać więcej informacji na temat tych grup ról, zobacz Włączanie uprawnień do zarządzania ryzykiem wewnętrznym.
Role interfejs Graph API firmy Microsoft
Klienci integrujący alerty zarządzania ryzykiem wewnętrznym z innymi narzędziami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph muszą mieć następujące uprawnienia, aby pomyślnie uzyskać dostęp do odpowiednich danych Microsoft Defender za pośrednictwem interfejsów API:
| Uprawnienia aplikacji | Zdarzenia | Alerty | Zachowania & zdarzenia | Zaawansowane wyszukiwanie zagrożeń |
|---|---|---|---|---|
| SecurityIncident.Read.All | Odczyt | Odczyt | Odczyt | |
| SecurityIncident.ReadWrite.All | Odczyt/zapis | Odczyt/zapis | Odczyt | |
| SecurityIAlert.Read.All | Odczyt | Odczyt | ||
| SecurityAlert.ReadWrite.All | Odczyt/zapis | Odczyt | ||
| SecurityEvents.Read.All | Odczyt | |||
| SecurityEvents.ReadWrite.All | Odczyt | |||
| ThreatHunting.Read.All | Odczyt |
Więcej informacji na temat integracji danych przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph w temacie Integrowanie danych zarządzania ryzykiem wewnętrznym z interfejsem API zabezpieczeń programu Microsoft Graph.
Środowisko badania w portalu Microsoft Defender
Zdarzenia
Alerty dotyczące zarządzania ryzykiem wewnętrznym związane z użytkownikiem są skorelowane z pojedynczym incydentem, aby zapewnić całościowe podejście do reagowania na zdarzenia. Ta korelacja umożliwia analitykom SOC ujednolicenie widoku wszystkich alertów dotyczących użytkownika pochodzącego z Zarządzanie ryzykiem wewnętrznym w Microsoft Purview i różnych produktów usługi Defender. Ujednolicenie wszystkich alertów umożliwia również analitykom SOC wyświetlanie szczegółów urządzeń biorących udział w alertach.
Zdarzenia można filtrować, wybierając pozycję Zarządzanie ryzykiem wewnętrznym w Microsoft Purview w obszarze Źródło usługi.
Alerty
Wszystkie alerty dotyczące zarządzania ryzykiem wewnętrznym są również widoczne w kolejce alertów portalu Microsoft Defender. Przefiltruj te alerty, wybierając pozycję Zarządzanie ryzykiem wewnętrznym w Microsoft Purview w obszarze Źródło usługi.
Oto przykład alertu dotyczącego zarządzania ryzykiem wewnętrznym w portalu Microsoft Defender:
Microsoft Defender XDR i Zarządzanie ryzykiem wewnętrznym w Microsoft Purview są zgodne z różnymi strukturami stanu alertów i klasyfikacji. Następujące mapowanie alertów służy do synchronizowania stanów alertów między tymi dwoma rozwiązaniami:
| stan alertu Microsoft Defender | stan alertu Zarządzanie ryzykiem wewnętrznym w Microsoft Purview |
|---|---|
| Nowy | Przegląd potrzeb |
| W toku | Przegląd potrzeb |
| Rozwiązane | Klasyfikacja zależna. Jeśli klasyfikacja jest niedostępna, stan alertu jest domyślnie ustawiony na Odrzucony . |
Następujące mapowanie klasyfikacji alertów służy do synchronizowania klasyfikacji alertów między dwoma rozwiązaniami:
| klasyfikacja alertów Microsoft Defender | klasyfikacja alertów Zarządzanie ryzykiem wewnętrznym w Microsoft Purview |
|---|---|
| Wynik prawdziwie dodatni obejmuje wieloetapowy atak, wyłudzanie informacji itp. |
Potwierdzone |
| Informacje, oczekiwana aktywność (niegroźna dodatnia) obejmuje testowanie zabezpieczeń, potwierdzoną aktywność itp. |
Oddalił |
| Wynik fałszywie dodatni obejmuje brak złośliwych danych, za mało danych do zweryfikowania itp. |
Oddalił |
Aby uzyskać więcej informacji na temat stanów alertów i klasyfikacji w Microsoft Defender XDR, zobacz Zarządzanie alertami w Microsoft Defender.
Wszelkie aktualizacje alertu dotyczącego zarządzania ryzykiem wewnętrznym w usłudze Microsoft Purview lub portalach Microsoft Defender są automatycznie odzwierciedlane w obu portalach. Te aktualizacje mogą obejmować:
- Stan alertu
- Waga
- Działanie, które wygenerowało alert
- Informacje o wyzwalaczu
- Klasyfikacja
Aktualizacje są odzwierciedlane w obu portalach w ciągu 30 minut od wygenerowania lub aktualizacji alertu.
Uwaga
Alerty utworzone na podstawie wykrywania niestandardowego lub wyników zapytania linku do zdarzeń nie są dostępne w portalu usługi Microsoft Purview.
Następujące dane dotyczące zarządzania ryzykiem wewnętrznym nie są jeszcze dostępne w tej integracji:
- Eksfiltracja za pośrednictwem zdarzeń poczty e-mail
- Ryzykowne zdarzenia użycia sztucznej inteligencji
- Zdarzenia aplikacji w chmurze innych firm
- Zdarzenia, które wystąpiły przed wygenerowaniem alertu
- Wykluczenia z zdarzeń zdefiniowanych przez administratora
- Zdarzenia związane z zarządzaniem ryzykiem wewnętrznym nie zawierają obecnie alertów mających wpływ na Microsoft Sentinel użytkowników. Aby uzyskać więcej informacji, zobacz Wpływ na Microsoft Sentinel użytkowników.
Zaawansowane wyszukiwanie zagrożeń
Użyj zaawansowanego wyszukiwania zagrożeń, aby dokładniej zbadać zdarzenia i zachowania związane z ryzykiem wewnętrznym. Zapoznaj się z poniższą tabelą, aby zapoznać się z podsumowaniem danych dotyczących zarządzania ryzykiem wewnętrznym dostępnych w ramach zaawansowanego wyszukiwania zagrożeń.
| Nazwa tabeli | Opis |
|---|---|
| AlertInfo | Alerty dotyczące zarządzania ryzykiem wewnętrznym są dostępne w ramach tabeli AlertInfo, która zawiera informacje o alertach z różnych rozwiązań zabezpieczeń firmy Microsoft. |
| AlertEvidence | Alerty dotyczące zarządzania ryzykiem wewnętrznym są dostępne w ramach tabeli AlertEvidence, która zawiera informacje o jednostkach skojarzonych z alertami z różnych rozwiązań zabezpieczeń firmy Microsoft. |
| DataSecurityBehaviors | Ta tabela zawiera szczegółowe informacje na temat potencjalnie podejrzanego zachowania użytkownika, które narusza zasady domyślne lub zdefiniowane przez klienta w usłudze Microsoft Purview. |
| DataSecurityEvents | Ta tabela zawiera wzbogacone zdarzenia dotyczące działań użytkowników, które naruszają zasady domyślne lub zdefiniowane przez klienta w usłudze Microsoft Purview. |
W poniższym przykładzie użyjemy tabeli DataSecurityEvents , aby zbadać potencjalnie podejrzane zachowanie użytkowników. W takim przypadku użytkownik przekazał plik na dysk Google, który może być postrzegany jako podejrzane zachowanie, jeśli firma nie obsługuje przekazywania plików na dysk Google.
Aby uzyskać dostęp do danych o podwyższonym ryzyku wewnętrznym podczas zaawansowanego wyszukiwania zagrożeń, użytkownicy muszą mieć następujące role Zarządzanie ryzykiem wewnętrznym w Microsoft Purview:
- Analityk zarządzania ryzykiem wewnętrznym
- Badacz zarządzania ryzykiem wewnętrznym
Integrowanie danych zarządzania ryzykiem wewnętrznym z interfejsem API zabezpieczeń programu Microsoft Graph
Za pomocą interfejsu API zabezpieczeń programu Microsoft Graph można zintegrować alerty, szczegółowe informacje i wskaźniki dotyczące zarządzania ryzykiem wewnętrznym z innymi narzędziami SIEM, takimi jak Microsoft Sentinel, ServiceNow lub Splunk. Możesz również użyć interfejsu API zabezpieczeń, aby zintegrować dane zarządzania ryzykiem wewnętrznym z magazynami danych, systemami biletów i tym podobne.
Aby dowiedzieć się, jak skonfigurować interfejs Graph API firmy Microsoft, zobacz Korzystanie z interfejs Graph API firmy Microsoft.
Zapoznaj się z poniższą tabelą, aby znaleźć dane dotyczące zarządzania ryzykiem wewnętrznym w określonych interfejsach API.
| Nazwa tabeli | Opis | Tryb |
|---|---|---|
| Zdarzenia | Obejmuje wszystkie zdarzenia związane z ryzykiem wewnętrznym w Defender XDR ujednoliconej kolejce zdarzeń | Odczyt/zapis |
| Alerty | Zawiera wszystkie alerty o ryzyku wewnętrznym udostępnione Defender XDR ujednoliconej kolejce alertów | Odczyt/zapis |
| Zaawansowane wyszukiwanie zagrożeń | Obejmuje wszystkie dane zarządzania ryzykiem wewnętrznym w zaawansowanym polowaniu, w tym alerty, zachowania i zdarzenia | Odczyt |
Metadane alertu o ryzyku wewnętrznym są częścią typu zasobu alertu w interfejsie API zabezpieczeń programu Microsoft Graph. Zobacz pełne informacje w typie zasobu alertu.
Uwaga
Informacje o alertach o ryzyku wewnętrznym można uzyskać zarówno w przestrzeni nazw alertów, jak i wykresu zaawansowanego wyszukiwania zagrożeń. Przestrzeń nazw alertów zawiera więcej metadanych.
W interfejs Graph API można uzyskać dostęp do zachowań i zdarzeń związanych z ryzykiem wewnętrznym w zaawansowanym wyszukiwaniu zagrożeń, przekazując zapytania KQL w interfejsie API. Ta metoda służy do ściągania danych pomocniczych dla określonych alertów lub badań.
W przypadku klientów korzystających z interfejsu API działania zarządzania Office 365 zalecamy migrację do usługi Microsoft Security interfejs Graph API w celu zapewnienia bogatszej obsługi metadanych i dwukierunkowej obsługi danych usługi IRM.
Wpływ na Microsoft Sentinel użytkowników
Zalecamy Microsoft Sentinel klientom korzystanie z łącznika Zarządzanie ryzykiem wewnętrznym w Microsoft Purview — Microsoft Sentinel danych w celu uzyskania alertów dotyczących zarządzania ryzykiem wewnętrznym Microsoft Sentinel.
Jeśli używasz automatyzacji w przypadku zdarzeń Microsoft Sentinel, pamiętaj, że automatyzacja grozi niepowodzeniem z powodu zdarzeń zarządzania ryzykiem wewnętrznym, które nie mają zawartości alertów. Aby rozwiązać ten problem, wyłącz udostępnianie danych w ustawieniach zarządzania ryzykiem wewnętrznym.
Następne kroki
Po zbadaniu zdarzenia lub alertu związanego z ryzykiem wewnętrznym można wykonać dowolną z następujących czynności:
- Kontynuuj odpowiadanie na alert w portalu Usługi Microsoft Purview.
- Użyj zaawansowanego wyszukiwania zagrożeń, aby zbadać inne zdarzenia związane z zarządzaniem ryzykiem wewnętrznym w portalu Microsoft Defender.