Microsoft Defender portalında insider risk tehditlerini araştırma
Önemli
Bu makaledeki bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen, önceden yayımlanmış bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Microsoft Defender portalındaki Microsoft Purview İçeriden Risk Yönetimi uyarıları, kuruluşun hassas bilgilerini korumak ve güvenliği korumak için çok önemlidir. Microsoft Purview İçeriden Risk Yönetimi bu uyarılar ve içgörüler, çalışanlar veya yükleniciler tarafından veri sızıntıları ve fikri mülkiyet hırsızlığı gibi iç tehditleri belirlemeye ve azaltmaya yardımcı olur. Bu uyarıların izlenmesi, kuruluşların güvenlik olaylarını proaktif olarak ele alıp hassas verilerin korunmasını ve uyumluluk gereksinimlerini karşılamasını sağlar.
İç risk uyarılarını izlemenin önemli avantajlarından biri, bir kullanıcıyla ilgili tüm uyarıların birleşik görünümüdür ve güvenlik operasyonları merkezi (SOC) analistlerinin Microsoft Purview İçeriden Risk Yönetimi gelen uyarıları diğer Microsoft güvenlik çözümleriyle ilişkilendirmesine olanak tanır. Ayrıca, bu uyarıların Microsoft Defender portalında olması gelişmiş tehdit avcılığı özellikleriyle sorunsuz tümleştirme sağlayarak olayları etkili bir şekilde araştırma ve yanıtlama yeteneğini geliştirir.
Bir diğer avantajı, uyarı güncelleştirmelerinin Microsoft Purview ile Defender portalları arasında otomatik olarak eşitlenmesidir ve gerçek zamanlı görünürlük sağlar ve gözetim olasılığını azaltır. Bu tümleştirme, kuruluşun içeriden gelen tehditleri algılama, araştırma ve yanıtlama becerisini güçlendirerek genel güvenlik duruşunu geliştirir.
Insider risk yönetimi uyarılarını Microsoft Defender portalında Olaylar & uyarıları'na giderek yönetebilirsiniz. Burada şunları yapabilirsiniz:
- Microsoft Defender portalı olay kuyruğundaki olaylar altında gruplandırılmış tüm insider risk uyarılarını görüntüleyin.
- Tek bir olay altında Microsoft Purview Veri Kaybı Önleme ve Microsoft Entra ID gibi diğer Microsoft çözümleriyle ilişkili iç risk uyarılarını görüntüleyin.
- Uyarı kuyruğunda tek tek insider risk uyarılarını görüntüleyin.
- Olay ve uyarı kuyruklarında hizmet kaynağına göre filtreleyin.
- Insider risk uyarısında kullanıcıyla ilgili tüm etkinlikleri ve tüm uyarıları arayın.
- Kullanıcı varlığı sayfasında kullanıcının iç risk etkinliği özetini ve risk düzeyini görüntüleyin.
Başlamadan önce bilmeniz gerekenler
Microsoft Purview ve insider risk yönetimi hakkında yeniyseniz aşağıdaki makaleleri okumayı göz önünde bulundurun:
- Microsoft Purview hakkında bilgi edinin
- Microsoft Purview İçeriden Risk Yönetimi hakkında bilgi edinin
- Microsoft Purview veri güvenliği çözümleri
Önkoşullar
Microsoft Defender portalında insider risk yönetimi uyarılarını araştırmak için aşağıdakileri yapmanız gerekir:
- Microsoft 365 aboneliğinizin insider risk yönetimi erişimini desteklediğini onaylayın. Abonelik ve lisanslama hakkında daha fazla bilgi edinin.
- Microsoft Defender XDR erişiminizi onaylayın. Bkz. lisanslama gereksinimlerini Microsoft Defender XDR.
Microsoft Purview İçeriden Risk Yönetimi'daki Veri paylaşımı ayarlarında diğer güvenlik çözümleriyle veri paylaşımı açık olmalıdır. Microsoft Purview portalında Kullanıcı riski ayrıntılarını diğer güvenlik çözümleriyle paylaş seçeneğinin etkinleştirilmesi, doğru izinlere sahip kullanıcıların Microsoft Defender portalındaki kullanıcı varlığı sayfalarında kullanıcı riski ayrıntılarını gözden geçirmesine olanak tanır.
Daha fazla bilgi için bkz. Uyarı önem düzeylerini diğer Microsoft güvenlik çözümleriyle paylaşma .
İzinler ve roller
rolleri Microsoft Defender XDR
Microsoft Defender portalında insider risk yönetimi uyarılarına erişmek için aşağıdaki izinler gereklidir:
- Güvenlik İşleci
- Güvenlik Okuyucusu
Microsoft Defender XDR rolleri hakkında daha fazla bilgi için bkz. Microsoft Defender XDR erişimini genel rollerle Microsoft Entra yönetme.
rolleri Microsoft Purview İçeriden Risk Yönetimi
ayrıca, Microsoft Defender portalında insider risk yönetimi uyarılarını görüntülemek ve yönetmek için aşağıdaki insider risk yönetimi rol gruplarından birinin üyesi olmanız gerekir:
- Insider Risk Management
- İçeriden Risk Yönetimi Analistleri
- İçeriden Risk Yönetimi Araştırmacıları
Bu rol grupları hakkında daha fazla bilgi için bkz . Insider risk yönetimi için izinleri etkinleştirme.
Microsoft Graph API rolleri
Microsoft Graph güvenlik API'sini kullanarak insider risk yönetimi uyarılarını diğer güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştiren müşterilerin API'ler aracılığıyla ilgili Microsoft Defender verilerine başarıyla erişmek için aşağıdaki izinlere sahip olması gerekir:
| Uygulama izinleri | Olaylar | Uyarılar | Olaylar & davranışlar | Gelişmiş avcılık örneği |
|---|---|---|---|---|
| SecurityIncident.Read.All | Okuma | Okuma | Okuma | |
| SecurityIncident.ReadWrite.All | Okuma/Yazma | Okuma/Yazma | Okuma | |
| SecurityIAlert.Read.All | Okuma | Okuma | ||
| SecurityAlert.ReadWrite.All | Okuma/Yazma | Okuma | ||
| SecurityEvents.Read.All | Okuma | |||
| SecurityEvents.ReadWrite.All | Okuma | |||
| ThreatHunting.Read.All | Okuma |
Insider risk yönetimi verilerini Microsoft Graph güvenlik API'siyle tümleştirme bölümünde Microsoft Graph güvenlik API'sini kullanarak verileri tümleştirme hakkında daha fazla bilgi.
Microsoft Defender portalında araştırma deneyimi
Olaylar
Bir kullanıcıyla ilgili Insider risk yönetimi uyarıları, olay yanıtına bütünsel bir yaklaşım sağlamak için tek bir olayla ilişkilendirilir. Bu bağıntı, SOC analistlerinin Microsoft Purview İçeriden Risk Yönetimi ve çeşitli Defender ürünlerinden gelen bir kullanıcı hakkındaki tüm uyarıların birleşik bir görünümüne sahip olmasını sağlar. Tüm uyarıların birleştirilmesi, SOC analistlerinin uyarılara dahil olan cihazların ayrıntılarını görüntülemesine de olanak tanır.
Hizmet kaynağı altında Microsoft Purview İçeriden Risk Yönetimi'i seçerek olayları filtreleyebilirsiniz.
Uyarılar
Tüm insider risk yönetimi uyarıları Microsoft Defender portalın uyarı kuyruğunda da görünür. Hizmet kaynağı altında Microsoft Purview İçeriden Risk Yönetimi'i seçerek bu uyarıları filtreleyin.
Microsoft Defender portalında insider risk yönetimi uyarısı örneği aşağıda verilmişti:
Microsoft Defender XDR ve Microsoft Purview İçeriden Risk Yönetimi farklı uyarı durumu ve sınıflandırma çerçevelerini izleyin. Uyarı durumlarını iki çözüm arasında eşitlemek için aşağıdaki uyarı eşlemesi kullanılır:
| Uyarı durumunu Microsoft Defender | Uyarı durumunu Microsoft Purview İçeriden Risk Yönetimi |
|---|---|
| Yeni | Gözden geçirilmesi gerekiyor |
| Devam ediyor | Gözden geçirilmesi gerekiyor |
| Çözülmüş | Sınıflandırmaya bağımlı. Sınıflandırma kullanılamıyorsa uyarı durumu varsayılan olarak Kapatıldı olarak ayarlanır. |
Uyarı sınıflandırmasını iki çözüm arasında eşitlemek için aşağıdaki uyarı sınıflandırma eşlemesi kullanılır:
| Uyarı sınıflandırması Microsoft Defender | Uyarı sınıflandırması Microsoft Purview İçeriden Risk Yönetimi |
|---|---|
| Doğru pozitif Çok aşamalı saldırı, kimlik avı vb. içerir. |
Doğruladı |
| Bilgiler, beklenen etkinlik (zararsız pozitif) Güvenlik testi, onaylanmış etkinlik vb. içerir. |
Kapatıldı |
| Yanlış pozitif Kötü amaçlı değil, doğrulamak için yeterli veri yok vb. içerir. |
Kapatıldı |
Microsoft Defender XDR uyarı durumları ve sınıflandırmaları hakkında daha fazla bilgi için bkz. Microsoft Defender'de uyarıları yönetme.
Microsoft Purview'da veya Microsoft Defender portallarında insider risk yönetimi uyarısında yapılan tüm güncelleştirmeler otomatik olarak her iki portala da yansıtılır. Bu güncelleştirmeler şunları içerebilir:
- Uyarı durumu
- Önem derecesi
- Uyarıyı oluşturan etkinlik
- Tetikleyici bilgileri
- Sınıflandırma
Güncelleştirmeler, uyarı oluşturma veya güncelleştirme işleminden sonraki 30 dakika içinde her iki portala da yansıtılır.
Not
Özel algılamalardan oluşturulan uyarılar veya sorgu sonuçlarını olaylara bağlama Microsoft Purview portalında kullanılamaz.
Bu tümleştirmede aşağıdaki insider risk yönetimi verileri henüz mevcut değildir:
- E-posta olaylarını sızdırma
- Riskli yapay zeka kullanım olayları
- Üçüncü taraf bulut uygulamaları olayları
- Uyarı oluşturulmadan önce gerçekleşen olaylar
- Yönetici tarafından tanımlanan olaylara yönelik dışlamalar
- Insider risk yönetimi olayları şu anda Microsoft Sentinel kullanıcıları etkileyen uyarılar içermez. Daha fazla bilgi için bkz. Microsoft Sentinel kullanıcıları etkileme.
Gelişmiş avcılık örneği
Insider risk olaylarını ve davranışlarını daha fazla araştırmak için gelişmiş avcılığı kullanın. Gelişmiş tehdit avcılığında kullanılabilen insider risk yönetimi verilerinin özeti için aşağıdaki tabloya bakın.
| Tablo adı | Açıklama |
|---|---|
| AlertInfo | Insider risk yönetimi uyarıları, çeşitli Microsoft güvenlik çözümlerinden gelen uyarılar hakkında bilgi içeren AlertInfo tablosunun bir parçası olarak sağlanır. |
| AlertEvidence | Insider risk yönetimi uyarıları, çeşitli Microsoft güvenlik çözümlerinden gelen uyarılarla ilişkili varlıklar hakkında bilgi içeren AlertEvidence tablosunun bir parçası olarak kullanılabilir. |
| DataSecurityBehaviors | Bu tablo, Microsoft Purview'da varsayılan veya müşteri tanımlı ilkeleri ihlal eden şüpheli olabilecek kullanıcı davranışlarıyla ilgili içgörüler içerir. |
| DataSecurityEvents | Bu tablo, Microsoft Purview'da varsayılan veya müşteri tanımlı ilkeleri ihlal eden kullanıcı etkinlikleri hakkında zenginleştirilmiş olaylar içerir. |
Aşağıdaki örnekte, şüpheli olabilecek kullanıcı davranışlarını araştırmak için DataSecurityEvents tablosunu kullanıyoruz. Bu durumda, kullanıcı Google Drive'a bir dosya yüklemiştir. Bu, bir şirket Google Drive'a dosya yüklemelerini desteklemiyorsa şüpheli davranış olarak görüntülenebilir.
Gelişmiş tehdit avcılığında insider risk verilerine erişmek için kullanıcıların aşağıdaki Microsoft Purview İçeriden Risk Yönetimi rollerine sahip olması gerekir:
- Insider Risk Yönetimi Analisti
- Insider Risk Yönetimi Araştırmacısı
Insider risk yönetimi verilerini Microsoft Graph güvenlik API'siyle tümleştirme
Insider risk yönetimi uyarılarını, içgörülerini ve göstergelerini Microsoft Sentinel, ServiceNow veya Splunk gibi diğer SIEM araçlarıyla tümleştirmek için Microsoft Graph güvenlik API'sini kullanın. Şirket içi risk yönetimi verilerini veri gölleriyle, bilet sistemleriyle ve benzerleriyle tümleştirmek için güvenlik API'sini de kullanabilirsiniz.
Microsoft Graph API ayarlamayı öğrenmek için bkz. Microsoft Graph API kullanma.
Belirli API'lerde insider risk yönetimi verilerini bulmak için aşağıdaki tabloya bakın.
| Tablo adı | Açıklama | Mod |
|---|---|---|
| Olaylar | Birleşik Defender XDR olay kuyruğundaki tüm insider risk olaylarını içerir | Okuma/Yazma |
| Uyarılar | Birleşik Defender XDR uyarı kuyruğuyla paylaşılan tüm insider risk uyarılarını içerir | Okuma/Yazma |
| Gelişmiş avcılık örneği | Uyarılar, Davranışlar ve Olaylar dahil olmak üzere gelişmiş tehdit avcılığında tüm insider risk yönetimi verilerini içerir | Okuma |
Insider risk uyarısı meta verileri, Microsoft Graph güvenlik API'sindeki uyarı kaynak türünün bir parçasıdır. Uyarı kaynak türündeki bilgilerin tamamına bakın.
Not
Insider risk uyarısı bilgilerine hem Uyarılar hem de Gelişmiş tehdit avcılığı grafı ad alanında erişilebilir. Uyarılar ad alanı daha fazla meta veri sağlar.
Gelişmiş tehdit avcılığındaki Insider risk davranışlarına ve olaylarına API'de KQL sorguları geçirilerek Graph API erişilebilir. Belirli uyarılar veya araştırmalara yönelik destekleyici verileri çekmek için bu yöntemi kullanın.
Office 365 Yönetim Etkinliği API'sini kullanan müşteriler için, IRM verileri için daha zengin meta veriler ve çift yönlü destek sağlamak için Microsoft Güvenlik Graph API'ne geçiş öneririz.
Microsoft Sentinel kullanıcıları etkiler
Microsoft Sentinel müşterilerin Microsoft Sentinel'da iç risk yönetimi uyarılarını almak için Microsoft Purview İçeriden Risk Yönetimi Microsoft Sentinel veri bağlayıcısını kullanmalarını öneririz.
Microsoft Sentinel olaylarında otomasyon kullanıyorsanız, uyarı içeriği olmayan şirket içi risk yönetimi olaylarından dolayı otomasyon risklerinin başarısız olduğunu unutmayın. Bunu azaltmak için şirket içi risk yönetimi ayarlarında veri paylaşımını kapatın.
Sonraki adımlar
Insider risk olayını veya uyarısını araştırdıktan sonra aşağıdakilerden herhangi birini yapabilirsiniz:
- Microsoft Purview portalında uyarıya yanıt vermeye devam edin.
- Microsoft Defender portalındaki diğer insider risk yönetimi olaylarını araştırmak için gelişmiş avcılığı kullanın.