在入口網站中調查內部風險威脅 Microsoft Defender
重要事項
本文中的某些資訊與發行前版本產品有關,可能會在正式發行前進行大幅修改。 Microsoft對於此處提供的資訊,不提供任何明示或隱含的擔保。
Microsoft Purview 內部風險管理 入口網站中的 Microsoft Defender Microsoft Purview 內部風險管理 警示對於保護組織的敏感性資訊及維護安全性至關重要。 這些來自 Microsoft Purview 內部風險管理的警示和見解可協助識別並減輕內部威脅,例如員工或承包商的數據外泄和智慧財產權竊取。 監視這些警示可讓組織主動處理安全性事件,確保敏感數據受到保護並符合合規性需求。
監視內部風險警示的主要優點之一,是統一檢視與使用者相關的所有警示,讓安全性作業中心 (SOC) 分析師將來自 Microsoft Purview 內部風險管理 的警示與其他Microsoft安全性解決方案相互關聯。 此外,在 Microsoft Defender 入口網站中擁有這些警示可讓您與進階搜捕功能緊密整合,進而增強有效調查和回應事件的能力。
另一個優點是自動同步處理 Microsoft Purview 與 Defender 入口網站之間的警示更新,確保即時可見度並降低監督的機會。 此整合可強化組織偵測、調查及響應內部威脅的能力,進而增強整體安全性狀態。
您可以在 Microsoft Defender 入口網站中流覽至事件 & 警示來管理測試人員風險管理警示,您可以在其中:
- 檢視在入口網站事件佇列中根據事件分組的所有內部風險警示 Microsoft Defender。
- 在單一事件中檢視與其他Microsoft解決方案相互關聯的內部風險警示,例如 Microsoft Purview 資料外洩防護 和 Microsoft Entra ID。
- 檢視 警示佇列中的個別測試人員風險警示。
- 依事件和警示佇列的服務來源進行篩選。
- 在測試人員風險警示中搜捕與用戶相關的所有活動和所有警示。
- 在用戶實體頁面中檢視用戶的測試人員風險活動摘要和風險層級。
開始之前的須知事項
如果您不熟悉 Purview 和內部風險管理Microsoft,請考慮閱讀下列文章:
必要條件
若要在 Microsoft Defender 入口網站中調查測試人員風險管理警示,您需要執行下列動作:
- 確認您的 Microsoft 365 訂閱支持內部風險管理存取權。 深入瞭解 訂用帳戶和授權。
- 確認您存取 Microsoft Defender 全面偵測回應。 請參閱 Microsoft Defender 全面偵測回應 授權需求。
在 Microsoft Purview 內部風險管理 的數據共享設定中,必須開啟與其他安全性解決方案的數據共用。 在 Microsoft Purview 入口網站中開啟與其他安全性解決方案共用用戶風險詳細數據,可讓具有正確許可權的使用者在 Microsoft Defender 入口網站的使用者實體頁面中檢閱用戶風險詳細數據。
如需詳細資訊,請參閱 與其他Microsoft安全性解決方案共用警示嚴重性層級 。
權限與角色
Microsoft Defender 全面偵測回應 角色
下列許可權對於存取 Microsoft Defender 入口網站中的測試人員風險管理警示而言至關重要:
- 安全性操作員
- 安全性讀取者
如需 Microsoft Defender 全面偵測回應 角色的詳細資訊,請參閱使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權。
Microsoft Purview 內部風險管理 角色
您也必須是下列其中一個內部風險管理角色群組的成員,才能在 Microsoft Defender 入口網站中檢視和管理內部風險管理警示:
- 測試人員風險管理
- 測試人員風險管理分析員
- 測試人員風險管理調查員
如需這些角色群組的詳細資訊,請參閱 啟用內部風險管理的許可權。
Microsoft 圖形 API 角色
使用 Microsoft Graph 安全性 API 將測試人員風險管理警示與其他安全性資訊和事件管理 (SIEM) 工具整合的客戶,必須具有下列許可權,才能透過 API 成功存取相關的 Microsoft Defender 數據:
| 應用程式權限 | 事件 | 警示 | 事件 & 行為 | 進階搜捕 |
|---|---|---|---|---|
| SecurityIncident.Read.All | 讀取 | 讀取 | 讀取 | |
| SecurityIncident.ReadWrite.All | 可讀寫的 | 可讀寫的 | 讀取 | |
| SecurityIAlert.Read.All | 讀取 | 讀取 | ||
| SecurityAlert.ReadWrite.All | 可讀寫的 | 讀取 | ||
| SecurityEvents.Read.All | 讀取 | |||
| SecurityEvents.ReadWrite.All | 讀取 | |||
| ThreatHunting.Read.All | 讀取 |
在整合內部風險管理數據與 Microsoft Graph 安全性 API 中使用 Microsoft Graph 安全性 API 整合數據的詳細資訊。
Microsoft Defender 入口網站中的調查體驗
事件
與使用者相關的內部風險管理警示會與單一事件相互關聯,以確保事件回應的整體方法。 此相互關聯可讓SOC分析師統一檢視來自 Microsoft Purview 內部風險管理和各種Defender產品之使用者的所有警示。 統一所有警示也可讓SOC分析師檢視涉及警示的裝置詳細數據。
您可以選擇 [服務來源] 底下的 [Microsoft Purview 內部風險管理 來篩選事件。
警示
所有內部風險管理警示也會顯示在 Microsoft Defender 入口網站的警示佇列中。 選擇 [服務來源] 底下的 [Microsoft Purview 內部風險管理],以篩選這些警示。
以下是 Microsoft Defender 入口網站中測試人員風險管理警示的範例:
Microsoft Defender 全面偵測回應和 Microsoft Purview 內部風險管理 遵循不同的警示狀態和分類架構。 下列警示對應可用來同步兩個解決方案之間的警示狀態:
| Microsoft Defender 警示狀態 | Microsoft Purview 內部風險管理 警示狀態 |
|---|---|
| 新增 | 需要檢閱 |
| 進行中。 | 需要檢閱 |
| Resolved | 分類相依。 如果無法使用分類,警示狀態預設會設定為 [ 已關閉 ]。 |
下列警示分類對應可用來同步處理兩個解決方案之間的警示分類:
| Microsoft Defender 警示分類 | Microsoft Purview 內部風險管理 警示分類 |
|---|---|
| 確判為真 包括多階段攻擊、網路釣魚等。 |
Confirmed |
| 信息、預期的活動 (良性正) 包括安全性測試、已確認的活動等。 |
解僱 |
| 誤判 包括非惡意、數據不足以驗證等。 |
解僱 |
如需有關 Microsoft Defender 全面偵測回應 中警示狀態和分類的詳細資訊,請參閱管理 Microsoft Defender 中的警示。
在 Microsoft Purview 或 Microsoft Defender 入口網站中對測試人員風險管理警示所做的任何更新,都會自動反映在這兩個入口網站中。 這些更新可能包括:
- 警示狀態
- 嚴重性
- 產生警示的活動
- 觸發程序資訊
- 分類
更新會在警示產生或更新后的30分鐘內反映在這兩個入口網站中。
注意事項
Microsoft Purview 入口網站中無法使用從自定義偵測建立的警示,或將查詢結果連結至事件。
下列內部風險管理資料尚未在此整合中提供:
- 透過電子郵件事件外流
- 具風險的 AI 使用事件
- 第三方雲端應用程式事件
- 產生警示之前所發生的事件
- 系統管理員定義的事件排除範圍
- 測試人員風險管理事件目前不包含警示,這會影響 Microsoft Sentinel 使用者。 如需詳細資訊,請參閱影響 Microsoft Sentinel 使用者。
進階搜捕
使用進階搜捕來進一步調查內部風險事件和行為。 如需進階搜捕中可用的內部風險管理數據摘要,請參閱下表。
| 表格名稱 | 描述 |
|---|---|
| AlertInfo | 測試人員風險管理警示是 AlertInfo 資料表的一部分,其中包含各種Microsoft安全性解決方案的警示相關信息。 |
| AlertEvidence | 測試人員風險管理警示可作為 AlertEvidence 數據表的一部分,其中包含與各種Microsoft安全性解決方案警示相關聯之實體的相關信息。 |
| DataSecurityBehaviors | 下表包含可能可疑用戶行為的深入解析,這些使用者行為違反 Microsoft Purview 中的預設或客戶定義原則。 |
| DataSecurityEvents | 下表包含有關違反 Microsoft Purview 中預設或客戶定義原則之用戶活動的擴充事件。 |
在下列範例中,我們會使用 DataSecurityEvents數據 表來調查潛在的可疑用戶行為。 在此情況下,使用者已將檔案上傳至Google雲端硬碟,如果公司不支援將檔案上傳至Google雲端硬碟,則可將其視為可疑行為。
若要在進階搜捕中存取測試人員風險數據,用戶必須具有下列 Microsoft Purview 內部風險管理 角色:
- 測試人員風險管理分析師
- 測試人員風險管理調查
整合內部風險管理數據與 Microsoft Graph 安全性 API
使用 Microsoft Graph 安全性 API,將內部風險管理警示、深入解析和指標與其他 SIEM 工具整合,例如 Microsoft Sentinel、ServiceNow 或 Splunk。 您也可以使用安全性 API,將內部風險管理數據整合到 Data Lake、票證系統等等。
若要瞭解如何設定Microsoft 圖形 API,請參閱使用Microsoft 圖形 API。
請參閱下表,以在特定 API 中尋找內部風險管理數據。
| 表格名稱 | 描述 | Mode |
|---|---|---|
| 事件 | 在 Defender 全面偵測回應整合事件佇列中包含所有內部風險事件 | 可讀寫的 |
| 提醒 | 包含與 Defender 全面偵測回應 統一警示佇列共用的所有內部風險警示 | 可讀寫的 |
| 進階搜捕 | 在進階搜捕中包含所有內部風險管理數據,包括警示、行為和事件 | 讀取 |
內部風險警示元數據是 Microsoft Graph 安全性 API 中警示資源類型的一部分。 請參閱 警示資源類型的完整資訊。
注意事項
您可以在警示和進階搜捕圖形命名空間中存取測試人員風險警示資訊。 警示命名空間提供更多元數據。
在 API 中傳遞 KQL 查詢,即可在 圖形 API 中存取進階搜捕中的內部風險行為和事件。 使用此方法來提取特定警示或調查的支持數據。
對於使用 Office 365 管理活動 API 的客戶,建議您移轉至 Microsoft 安全性 圖形 API,以確保 IRM 數據的元數據和雙向支援更豐富。
對 Microsoft Sentinel 用戶的影響
我們建議 Microsoft Sentinel 客戶使用 Microsoft Purview 內部風險管理 – Microsoft Sentinel 數據連接器,以在 Microsoft Sentinel 中取得內部風險管理警示。
如果您在 Microsoft Sentinel 事件上使用自動化,請注意自動化風險失敗,因為內部風險管理事件沒有警示內容。 若要減輕此問題, 請關閉內部風險管理設定中的數據共用。
後續步驟
調查內部風險事件或警示之後,您可以執行下列任何動作:
- 繼續在 Microsoft Purview 入口網站中回應警示。
- 使用進階搜捕來調查 Microsoft Defender 入口網站中的其他內部風險管理事件。