Zkoumání hrozeb insiderských rizik na portálu Microsoft Defender
Důležité
Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané s ohledem na zde uvedené informace.
Správa insiderských rizik Microsoft Purview výstrahy na portálu Microsoft Defender jsou důležité pro ochranu citlivých informací organizace a zabezpečení. Tato upozornění a přehledy z Správa insiderských rizik Microsoft Purview pomáhají identifikovat a zmírnit interní hrozby, jako jsou úniky dat a krádeže duševního vlastnictví ze strany zaměstnanců nebo smluvních partnerů. Monitorování těchto výstrah umožňuje organizacím aktivně řešit incidenty zabezpečení a zajistit tak ochranu citlivých dat a splnění požadavků na dodržování předpisů.
Jednou z klíčových výhod monitorování výstrah insiderských rizik je jednotné zobrazení všech výstrah souvisejících s uživatelem, které analytikům soc (Security Operations Center) umožňuje korelovat výstrahy z Správa insiderských rizik Microsoft Purview s dalšími řešeními zabezpečení od Microsoftu. Kromě toho díky těmto výstrahám na portálu Microsoft Defender umožňuje bezproblémovou integraci s pokročilými funkcemi proaktivního proaktivního vyhledávání, což zvyšuje schopnost efektivně vyšetřovat incidenty a reagovat na ně.
Další výhodou je automatická synchronizace aktualizací upozornění mezi Microsoft Purview a portály Defender, která zajišťuje viditelnost v reálném čase a snižuje riziko dohledu. Tato integrace posiluje schopnost organizace zjišťovat a prošetřovat vnitřní hrozby a reagovat na ně, čímž se zlepšuje celkový stav zabezpečení.
Výstrahy správy insiderských rizik můžete spravovat na portálu Microsoft Defender tak, že přejdete do části Incidenty & výstrahy, kde můžete:
- Podívejte se na všechna upozornění insiderských rizik seskupených v rámci incidentů ve frontě incidentů portálu Microsoft Defender.
- V rámci jednoho incidentu můžete zobrazit upozornění na rizika insiderů, která korelují s dalšími řešeními Microsoftu, jako jsou Ochrana před únikem informací Microsoft Purview a Microsoft Entra ID.
- Zobrazte jednotlivá upozornění na rizika insiderů ve frontě upozornění.
- Filtrujte podle zdroje služby ve frontách incidentů a výstrah.
- Proaktivní vyhledávání všech aktivit a všech výstrah souvisejících s uživatelem v upozornění insiderských rizik.
- Na stránce entity uživatele si můžete prohlédnout souhrn aktivit a úrovně rizika insiderských rizik uživatele.
Než začnete
Pokud s Microsoft Purview a správou insiderských rizik začínáte, zvažte přečtení následujících článků:
- Další informace o Microsoft Purview
- Další informace o Správa insiderských rizik Microsoft Purview
- Řešení zabezpečení dat Microsoft Purview
Požadavky
Pokud chcete prošetřit upozornění správy insiderských rizik na portálu Microsoft Defender, musíte udělat toto:
- Ověřte, že vaše předplatné Microsoft 365 podporuje přístup ke správě insiderských rizik. Přečtěte si další informace o předplatném a licencování.
- Potvrďte svůj přístup k Microsoft Defender XDR. Viz Microsoft Defender XDR licenční požadavky.
Sdílení dat s jinými řešeními zabezpečení musí být zapnuté v nastavení sdílení dat v Správa insiderských rizik Microsoft Purview. Zapnutí možnosti Sdílet podrobnosti o riziku uživatele s dalšími řešeními zabezpečení na portálu Microsoft Purview umožní uživatelům se správnými oprávněními kontrolovat podrobnosti o riziku uživatele na stránkách entity uživatele na portálu Microsoft Defender Portal.
Další informace najdete v tématu Sdílení úrovní závažnosti výstrah s dalšími řešeními zabezpečení od Microsoftu .
Oprávnění a role
Microsoft Defender XDR rolí
Následující oprávnění jsou nezbytná pro přístup k upozorněním správy insiderských rizik na portálu Microsoft Defender:
- Operátor zabezpečení
- Čtenář zabezpečení
Další informace o Microsoft Defender XDR rolích najdete v tématu Správa přístupu k Microsoft Defender XDR pomocí Microsoft Entra globálních rolí.
Správa insiderských rizik Microsoft Purview rolí
Abyste mohli zobrazovat a spravovat upozornění na správu insiderských rizik na portálu Microsoft Defender, musíte být také členem jedné z následujících skupin rolí pro správu insiderských rizik:
- Správa insiderských rizik
- Analytik správy insiderských rizik
- Vyšetřovatel správy insiderských rizik
Další informace o těchto skupinách rolí najdete v tématu Povolení oprávnění pro správu insiderských rizik.
Role Microsoftu Graph API
Zákazníci, kteří integrují výstrahy správy insiderských rizik s dalšími nástroji pro správu informací o zabezpečení a událostí (SIEM) pomocí rozhraní Microsoft Graph Security API, musí mít následující oprávnění pro úspěšný přístup k relevantním Microsoft Defender datům prostřednictvím rozhraní API:
| Oprávnění aplikací | Incidenty | Upozornění | Chování & událostí | Pokročilé rozšířené proaktivní vyhledávání |
|---|---|---|---|---|
| SecurityIncident.Read.All | Číst | Číst | Číst | |
| SecurityIncident.ReadWrite.All | Čtení a zápis | Čtení a zápis | Číst | |
| SecurityIAlert.Read.All | Číst | Číst | ||
| SecurityAlert.ReadWrite.All | Čtení a zápis | Číst | ||
| SecurityEvents.Read.All | Číst | |||
| SecurityEvents.ReadWrite.All | Číst | |||
| ThreatHunting.Read.All | Číst |
Další informace o integraci dat pomocí rozhraní Microsoft Graph Security API najdete v tématu Integrace dat správy insiderských rizik s rozhraním Microsoft Graph Security API.
Prostředí pro šetření na portálu Microsoft Defender
Incidenty
Upozornění na správu insiderských rizik související s uživatelem jsou korelována s jedním incidentem, aby se zajistil holistický přístup k reakci na incidenty. Tato korelace umožňuje analytikům SOC mít jednotné zobrazení všech upozornění na uživatele pocházejících z Správa insiderských rizik Microsoft Purview a různých produktů Defender. Sjednocení všech výstrah také umožňuje analytikům SOC zobrazit podrobnosti o zařízeních, která jsou součástí výstrah.
Incidenty můžete filtrovat tak, že v části Zdroj služby zvolíte Správa insiderských rizik Microsoft Purview.
Upozornění
Všechna upozornění správy insiderských rizik se také zobrazují ve frontě výstrah portálu Microsoft Defender. Filtrujte tato upozornění tak, že v části Zdroj služby zvolíte Správa insiderských rizik Microsoft Purview.
Tady je příklad upozornění na správu insiderských rizik na portálu Microsoft Defender:
Microsoft Defender XDR a Správa insiderských rizik Microsoft Purview dodržovat různé architektury stavu a klasifikace výstrah. Následující mapování výstrah slouží k synchronizaci stavů upozornění mezi těmito dvěma řešeními:
| Microsoft Defender stav upozornění | Správa insiderských rizik Microsoft Purview stav upozornění |
|---|---|
| Nový | Potřebuje zkontrolovat |
| Probíhá | Potřebuje zkontrolovat |
| Vyřešený | Závislé na klasifikaci. Pokud klasifikace není k dispozici, stav výstrahy je ve výchozím nastavení nastaven na Zamítnuto . |
Následující mapování klasifikace výstrah se používá k synchronizaci klasifikace upozornění mezi těmito dvěma řešeními:
| klasifikace výstrah Microsoft Defender | klasifikace výstrah Správa insiderských rizik Microsoft Purview |
|---|---|
| Pravdivě pozitivní : Zahrnuje vícefázový útok, phishing atd. |
Potvrzený |
| Informace, očekávaná aktivita (neškodně pozitivní) zahrnuje testování zabezpečení, potvrzenou aktivitu atd. |
Propuštěný |
| Falešně pozitivní Zahrnuje nepoškodivé, nedostatek dat k ověření atd. |
Propuštěný |
Další informace o stavech a klasifikacích výstrah v Microsoft Defender XDR najdete v tématu Správa výstrah v Microsoft Defender.
Všechny aktualizace upozornění na řízení insiderských rizik na portálech Microsoft Purview nebo portálech Microsoft Defender se automaticky projeví na obou portálech. Tyto aktualizace můžou zahrnovat:
- Stav upozornění
- Závažnost
- Aktivita, která vygenerovala výstrahu
- Informace o aktivační události
- Klasifikace
Aktualizace se na obou portálech projeví do 30 minut od generování nebo aktualizace upozornění.
Poznámka
Upozornění vytvořená z vlastních detekcí nebo propojení výsledků dotazů s incidenty nejsou na portálu Microsoft Purview k dispozici.
V této integraci ještě nejsou k dispozici následující data o správě insiderských rizik:
- Exfiltrace prostřednictvím e-mailových událostí
- Rizikové události využití AI
- Události cloudových aplikací třetích stran
- Události, ke kterým došlo před vygenerovaným upozorněním
- Vyloučení událostí definovaných správcem
- Incidenty řízení insiderských rizik v současné době neobsahují upozornění, která by ovlivnila Microsoft Sentinel uživatele. Další informace najdete v tématu Dopad na Microsoft Sentinel uživatele.
Pokročilé rozšířené proaktivní vyhledávání
Pomocí rozšířeného proaktivního vyhledávání můžete dále zkoumat události a chování insiderských rizik. V následující tabulce najdete souhrn dat správy insiderských rizik, která jsou k dispozici při rozšířeném proaktivním vyhledávání.
| Název tabulky | Popis |
|---|---|
| AlertInfo | Výstrahy řízení rizik programu Insider jsou k dispozici jako součást tabulky AlertInfo, která obsahuje informace o výstrahách z různých řešení zabezpečení microsoftu. |
| AlertEvidence | Výstrahy řízení rizik programu Insider jsou k dispozici jako součást tabulky AlertEvidence, která obsahuje informace o entitách přidružených k upozorněním z různých řešení zabezpečení Microsoftu. |
| DataSecurityBehaviors | Tato tabulka obsahuje přehledy o potenciálně podezřelém chování uživatelů, které porušuje výchozí nebo zákazníkem definované zásady v Microsoft Purview. |
| DataSecurityEvents | Tato tabulka obsahuje rozšířené události o aktivitách uživatelů, které porušují výchozí nebo zákazníkem definované zásady v Microsoft Purview. |
V následujícím příkladu používáme tabulku DataSecurityEvents k prozkoumání potenciálně podezřelého chování uživatelů. V tomto případě uživatel nahrál soubor na Disk Google, což může být považováno za podezřelé chování, pokud společnost nepodporuje nahrávání souborů na Disk Google.
Pokud uživatelé chtějí získat přístup k datům insiderských rizik v rámci rozšířeného proaktivního vyhledávání, musí mít následující Správa insiderských rizik Microsoft Purview role:
- Analytik řízení insiderských rizik
- Insider Risk Management Investigator
Integrace dat správy insiderských rizik s využitím rozhraní Microsoft Graph Security API
Pomocí rozhraní Microsoft Graph Security API můžete integrovat upozornění, přehledy a indikátory správy insiderských rizik s dalšími nástroji SIEM, jako je Microsoft Sentinel, ServiceNow nebo Splunk. Rozhraní API zabezpečení můžete také použít k integraci dat správy insiderských rizik do datových jezer, systémů lístků a podobně.
Informace o tom, jak nastavit Microsoft Graph API, najdete v tématu Použití Graph API Microsoftu.
V následující tabulce najdete data správy insiderských rizik v konkrétních rozhraních API.
| Název tabulky | Popis | Režim |
|---|---|---|
| Incidenty | Zahrnuje všechny incidenty insiderských rizik ve Defender XDR sjednocené frontě incidentů. | Čtení a zápis |
| Upozornění | Zahrnuje všechna upozornění insiderských rizik sdílená s Defender XDR sjednocenou frontou výstrah. | Čtení a zápis |
| Pokročilé rozšířené proaktivní vyhledávání | Zahrnuje všechna data správy insiderských rizik v pokročilém proaktivním vyhledávání, včetně výstrah, chování a událostí. | Číst |
Metadata upozornění na vnitřní riziko jsou součástí typu prostředku upozornění v rozhraní Microsoft Graph Security API. Projděte si úplné informace v části Typ prostředku výstrahy.
Poznámka
K informacím o upozorněních na rizika programu Insider je možné získat přístup jak v oboru názvů upozornění, tak v oboru názvů grafu rozšířeného proaktivního vyhledávání. Obor názvů upozornění poskytuje více metadat.
K chování insiderských rizik a událostem v rozšířeném proaktivním vyhledávání je možné přistupovat v Graph API předáváním dotazů KQL v rozhraní API. Tuto metodu použijte k získání podpůrných dat pro konkrétní výstrahy nebo šetření.
Zákazníkům, kteří používají rozhraní API pro aktivity Office 365 Management, doporučujeme migrovat na Microsoft Security Graph API, abyste zajistili bohatší metadata a obousměrnou podporu dat IRM.
Dopad na Microsoft Sentinel uživatele
Doporučujeme Microsoft Sentinel zákazníkům, aby k získání upozornění správy insiderských rizik v Microsoft Sentinel používali datový konektor Správa insiderských rizik Microsoft Purview – Microsoft Sentinel.
Pokud používáte automatizaci u Microsoft Sentinel incidentů, upozorňujeme, že automatizace riskuje selhání kvůli incidentům řízení insiderských rizik, které nemají obsah upozornění. Pokud chcete tento problém zmírnit, vypněte sdílení dat v nastavení správy insiderských rizik.
Další kroky
Po prošetření incidentu nebo výstrahy insiderského rizika můžete provést některou z těchto věcí:
- Pokračujte v odpovídání na upozornění na portálu Microsoft Purview.
- Pomocí rozšířeného proaktivního vyhledávání můžete prozkoumat další události správy insiderských rizik na portálu Microsoft Defender.