Zkoumání hrozeb insiderských rizik na portálu Microsoft Defender
Důležité
Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané s ohledem na zde uvedené informace.
Správa insiderských rizik Microsoft Purview výstrahy na portálu Microsoft Defender jsou důležité pro ochranu citlivých informací organizace a zabezpečení. Tato upozornění a přehledy z Správa insiderských rizik Microsoft Purview pomáhají identifikovat a zmírnit interní hrozby, jako jsou úniky dat a krádeže duševního vlastnictví ze strany zaměstnanců nebo smluvních partnerů. Monitorování těchto výstrah umožňuje organizacím aktivně řešit incidenty zabezpečení a zajistit tak ochranu citlivých dat a splnění požadavků na dodržování předpisů.
Jednou z klíčových výhod monitorování výstrah insiderských rizik je jednotné zobrazení všech výstrah souvisejících s uživatelem, které analytikům soc (Security Operations Center) umožňuje korelovat výstrahy z Správa insiderských rizik Microsoft Purview s dalšími řešeními zabezpečení od Microsoftu. Kromě toho díky těmto výstrahám na portálu Microsoft Defender umožňuje bezproblémovou integraci s pokročilými funkcemi proaktivního proaktivního vyhledávání, což zvyšuje schopnost efektivně vyšetřovat incidenty a reagovat na ně.
Další výhodou je automatická synchronizace aktualizací upozornění mezi Microsoft Purview a portály Defender, která zajišťuje viditelnost v reálném čase a snižuje riziko dohledu. Tato integrace posiluje schopnost organizace zjišťovat a prošetřovat vnitřní hrozby a reagovat na ně, čímž se zlepšuje celkový stav zabezpečení.
Výstrahy správy insiderských rizik můžete spravovat na portálu Microsoft Defender tak, že přejdete do části Incidenty & výstrahy, kde můžete:
- Podívejte se na všechna upozornění insiderských rizik seskupených v rámci incidentů ve frontě incidentů portálu Microsoft Defender.
- V rámci jednoho incidentu můžete zobrazit upozornění na rizika insiderů, která korelují s dalšími řešeními Microsoftu, jako jsou Ochrana před únikem informací Microsoft Purview a Microsoft Entra ID.
- Zobrazte jednotlivá upozornění na rizika insiderů ve frontě upozornění.
- Filtrujte podle zdroje služby ve frontách incidentů a výstrah.
- Proaktivní vyhledávání všech aktivit a všech výstrah souvisejících s uživatelem v upozornění insiderských rizik.
- Na stránce entity uživatele si můžete prohlédnout souhrn aktivit a úrovně rizika insiderských rizik uživatele.
Než začnete
Pokud s Microsoft Purview a správou insiderských rizik začínáte, zvažte přečtení následujících článků:
- Další informace o Microsoft Purview
- Další informace o Správa insiderských rizik Microsoft Purview
- Řešení zabezpečení dat Microsoft Purview
Požadavky
Pokud chcete prošetřit upozornění správy insiderských rizik na portálu Microsoft Defender, musíte udělat toto:
- Ověřte, že vaše předplatné Microsoft 365 podporuje přístup ke správě insiderských rizik. Přečtěte si další informace o předplatném a licencování.
- Potvrďte svůj přístup k Microsoft Defender XDR. Viz Microsoft Defender XDR licenční požadavky.
Sdílení dat s jinými řešeními zabezpečení musí být zapnuté v nastavení sdílení dat v Správa insiderských rizik Microsoft Purview. Zapnutí možnosti Sdílet podrobnosti o riziku uživatele s dalšími řešeními zabezpečení na portálu Microsoft Purview umožní uživatelům se správnými oprávněními kontrolovat podrobnosti o riziku uživatele na stránkách entity uživatele na portálu Microsoft Defender Portal. Další informace najdete v tématu Sdílení úrovní závažnosti výstrah s dalšími řešeními zabezpečení od Microsoftu .
Oprávnění a role
Microsoft Defender XDR rolí
Následující oprávnění jsou nezbytná pro přístup k upozorněním správy insiderských rizik na portálu Microsoft Defender:
- Operátor zabezpečení
- Čtenář zabezpečení
Další informace o Microsoft Defender XDR rolích najdete v tématu Správa přístupu k Microsoft Defender XDR pomocí Microsoft Entra globálních rolí.
Správa insiderských rizik Microsoft Purview rolí
Abyste mohli zobrazovat a spravovat upozornění na správu insiderských rizik na portálu Microsoft Defender, musíte být také členem jedné z následujících skupin rolí pro správu insiderských rizik:
- Správa insiderských rizik
- Analytik správy insiderských rizik
- Vyšetřovatel správy insiderských rizik
Další informace o těchto skupinách rolí najdete v tématu Povolení oprávnění pro správu insiderských rizik.
Prostředí pro šetření na portálu Microsoft Defender
Incidenty
Upozornění na správu insiderských rizik související s uživatelem jsou korelována s jedním incidentem, aby se zajistil holistický přístup k reakci na incidenty. Tato korelace umožňuje analytikům SOC mít jednotné zobrazení všech upozornění na uživatele pocházejících z Správa insiderských rizik Microsoft Purview a různých produktů Defender. Sjednocení všech výstrah také umožňuje analytikům SOC zobrazit podrobnosti o zařízeních, která jsou součástí výstrah.
Incidenty můžete filtrovat tak, že v části Zdroj služby zvolíte Správa insiderských rizik Microsoft Purview.
Upozornění
Všechna upozornění správy insiderských rizik se také zobrazují ve frontě výstrah portálu Microsoft Defender. Filtrujte tato upozornění tak, že v části Zdroj služby zvolíte Správa insiderských rizik Microsoft Purview.
Tady je příklad upozornění na správu insiderských rizik na portálu Microsoft Defender:
Všechny aktualizace upozornění na řízení insiderských rizik na portálech Microsoft Purview nebo portálech Microsoft Defender se automaticky projeví na obou portálech. Tyto aktualizace můžou zahrnovat:
- Stav upozornění
- Závažnost
- Aktivita, která vygenerovala výstrahu
- Informace o aktivační události
- Klasifikace
Aktualizace se na obou portálech projeví do 30 minut od generování nebo aktualizace upozornění.
Pokročilé rozšířené proaktivní vyhledávání
Pomocí rozšířeného proaktivního vyhledávání můžete dále zkoumat události a chování insiderských rizik. V následující tabulce najdete souhrn dat správy insiderských rizik, která jsou k dispozici při rozšířeném proaktivním vyhledávání.
| Název tabulky | Popis |
|---|---|
| AlertInfo | Výstrahy řízení rizik programu Insider jsou k dispozici jako součást tabulky AlertInfo, která obsahuje informace o výstrahách z různých řešení zabezpečení microsoftu. |
| AlertEvidence | Výstrahy řízení rizik programu Insider jsou k dispozici jako součást tabulky AlertEvidence, která obsahuje informace o entitách přidružených k upozorněním z různých řešení zabezpečení Microsoftu. |
| DataSecurityBehaviors | Tato tabulka obsahuje přehledy o potenciálně podezřelém chování uživatelů, které porušuje výchozí nebo zákazníkem definované zásady v Microsoft Purview. |
| DataSecurityEvents | Tato tabulka obsahuje rozšířené události o aktivitách uživatelů, které porušují výchozí nebo zákazníkem definované zásady v Microsoft Purview. |
V následujícím příkladu používáme tabulku DataSecurityEvents k prozkoumání potenciálně podezřelého chování uživatelů. V tomto případě uživatel nahrál soubor na Disk Google, což může být považováno za podezřelé chování, pokud společnost nepodporuje nahrávání souborů na Disk Google.
Integrace dat správy insiderských rizik prostřednictvím Graph API
Microsoft Security Graph API můžete použít k integraci výstrah, přehledů a indikátorů řízení insiderských rizik s dalšími nástroji SIEM, datovými jezery, systémy pro vytváření lístků a podobně.
V následující tabulce najdete data správy insiderských rizik v konkrétních rozhraních API.
| Název tabulky | Popis | Režim |
|---|---|---|
| Incidenty | Zahrnuje všechny incidenty insiderských rizik ve Defender XDR sjednocené frontě incidentů. | Čtení a zápis |
| Upozornění | Zahrnuje všechna upozornění insiderských rizik sdílená s Defender XDR sjednocenou frontou výstrah. | Čtení a zápis |
| Pokročilé rozšířené proaktivní vyhledávání | Zahrnuje všechna data správy insiderských rizik v pokročilém proaktivním vyhledávání, včetně výstrah, chování a událostí. | Číst |
Poznámka
K informacím o upozorněních na rizika programu Insider je možné získat přístup jak v oboru názvů upozornění, tak v oboru názvů grafu rozšířeného proaktivního vyhledávání. K chování insiderských rizik a událostem v rozšířeném proaktivním vyhledávání je možné přistupovat v Graph API předáváním dotazů KQL v rozhraní API.
Zákazníkům, kteří používají rozhraní API pro aktivity Office 365 Management, doporučujeme migrovat na Microsoft Security Graph API, abyste zajistili bohatší metadata a obousměrnou podporu dat IRM.
Dopad na Microsoft Sentinel uživatele
Microsoft Sentinel zákazníkům, kteří exportují informace o Správa insiderských rizik Microsoft Purview výstrahách za účelem integrace dat výstrah insiderských rizik, doporučujeme migrovat na konektor Microsoft Defender XDR-Microsoft Sentinel.
Pokud je konektor Defenderu XDR-Microsoft Sentinel zapnutý, automaticky se do Microsoft Sentinel integrují upozornění na správu insiderských rizik. Schéma pro výstrahy je stejné schéma vystavené v Graph API. Schéma upozornění vystavené prostřednictvím konektoru XDR-Microsoft Sentinel Defenderu pokrývá všechna existující pole exportovaná a poskytuje další metadata pro upozornění na správu insiderských rizik.
Poznámka
Když je konektor XDR-Microsoft Sentinel Defenderu zapnutý, Správa insiderských rizik Microsoft Purview data budou přístupná v Microsoft Sentinel bez ohledu na nastavení řízení přístupu na základě role.
Pokud chcete do Microsoft Sentinel integrovat další data správy insiderských rizik, jako jsou chování a události, doporučujeme Microsoft Sentinel onboardingu, abyste Microsoft Defender získali jednotný přehled o celém centru operací zabezpečení. Onboarding pomáhá přenést upozornění na správu interních rizik a další data z Microsoft Sentinel do Microsoft Defender, což umožňuje proaktivní vyhledávání napříč tabulkami a další výkonné pracovní postupy. Informace o onboardingu najdete v tématu Připojení Microsoft Sentinel k Microsoft Defender.
Další kroky
Po prošetření incidentu nebo výstrahy insiderského rizika můžete provést některou z těchto věcí:
- Pokračujte v odpovídání na upozornění na portálu Microsoft Purview.
- Pomocí rozšířeného proaktivního vyhledávání můžete prozkoumat další události správy insiderských rizik na portálu Microsoft Defender.