Untersuchen von Insider-Risikobedrohungen im Microsoft Defender-Portal
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Ausdrücklichen oder Stillschweigenden Garantien.
Microsoft Purview Insider Risk Management Warnungen im Microsoft Defender-Portal sind wichtig, um die vertraulichen Informationen eines organization zu schützen und die Sicherheit aufrechtzuerhalten. Diese Warnungen und Erkenntnisse aus Microsoft Purview Insider Risk Management helfen dabei, interne Bedrohungen wie Datenlecks und Diebstahl von geistigem Eigentum durch Mitarbeiter oder Auftragnehmer zu identifizieren und zu mindern. Die Überwachung dieser Warnungen ermöglicht Es Organisationen, Sicherheitsvorfälle proaktiv zu behandeln, um sicherzustellen, dass vertrauliche Daten geschützt bleiben und Complianceanforderungen erfüllt werden.
Ein hauptvorteil der Überwachung von Insider-Risikowarnungen ist die einheitliche Ansicht aller Warnungen im Zusammenhang mit einem Benutzer, sodass SoC-Analysten (Security Operations Center) Warnungen von Microsoft Purview Insider Risk Management mit anderen Microsoft-Sicherheitslösungen korrelieren können. Darüber hinaus ermöglicht die Verwendung dieser Warnungen im Microsoft Defender-Portal eine nahtlose Integration mit erweiterten Huntingfunktionen, wodurch die Möglichkeit verbessert wird, Incidents effektiv zu untersuchen und darauf zu reagieren.
Ein weiterer Vorteil ist die automatische Synchronisierung von Warnungsupdates zwischen Microsoft Purview und den Defender-Portalen, um die Sichtbarkeit in Echtzeit sicherzustellen und die Wahrscheinlichkeit einer Aufsicht zu verringern. Diese Integration stärkt die Fähigkeit eines organization, Insider-Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, wodurch der allgemeine Sicherheitsstatus verbessert wird.
Sie können Insider-Risikomanagementwarnungen im Microsoft Defender-Portal verwalten, indem Sie zu Incidents & Warnungen navigieren. Dort haben Sie folgende Möglichkeiten:
- Zeigen Sie alle Insider-Risikowarnungen in der Incidentwarteschlange des Microsoft Defender Portals an, die unter Incidents gruppiert sind.
- Anzeigen von Insider-Risikowarnungen, die mit anderen Microsoft-Lösungen wie Microsoft Purview Data Loss Prevention und Microsoft Entra ID korreliert sind, unter einem einzelnen Incident.
- Zeigen Sie einzelne Insider-Risikowarnungen in der Warnungswarteschlange an.
- Filtern Sie nach Dienstquelle für die Incident- und Warnungswarteschlangen.
- Suchen Sie nach allen Aktivitäten und warnungen, die sich auf den Benutzer in der Insider-Risikowarnung beziehen.
- Zeigen Sie die Zusammenfassung der Insider-Risikoaktivität eines Benutzers und die Risikostufe auf der Seite mit der Benutzerentität an.
Klare Ideen vor dem Loslegen
Wenn Sie noch nicht mit Microsoft Purview und Insider-Risikomanagement vertraut sind, sollten Sie die folgenden Artikel lesen:
- Informationen zu Microsoft Purview
- Weitere Informationen zu Microsoft Purview Insider Risk Management
- Microsoft Purview-Datensicherheitslösungen
Voraussetzungen
Um Insider-Risikomanagementwarnungen im Microsoft Defender-Portal zu untersuchen, müssen Sie wie folgt vorgehen:
- Vergewissern Sie sich, dass Ihr Microsoft 365-Abonnement den Zugriff auf das Insider-Risikomanagement unterstützt. Erfahren Sie mehr über Abonnement und Lizenzierung.
- Bestätigen Sie Ihren Zugriff auf Microsoft Defender XDR. Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen.
Die Datenfreigabe mit anderen Sicherheitslösungen muss in den Einstellungen für die Datenfreigabe in Microsoft Purview Insider Risk Management aktiviert werden. Wenn Sie im Microsoft Purview-Portal Benutzerrisikodetails für andere Sicherheitslösungen freigeben aktivieren, können Benutzer mit den richtigen Berechtigungen Details zum Benutzerrisiko auf den Benutzerentitätsseiten im Microsoft Defender-Portal überprüfen. Weitere Informationen finden Sie unter Freigeben von Warnungsschweregraden für andere Microsoft-Sicherheitslösungen .
Berechtigungen und Rollen
Microsoft Defender XDR Rollen
Die folgenden Berechtigungen sind für den Zugriff auf Insider-Risikomanagementwarnungen im Microsoft Defender-Portal wichtig:
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Weitere Informationen zu Microsoft Defender XDR Rollen finden Sie unter Verwalten des Zugriffs auf Microsoft Defender XDR mit Microsoft Entra globalen Rollen.
Microsoft Purview Insider Risk Management Rollen
Sie müssen auch Mitglied einer der folgenden Rollengruppen für das Insider-Risikomanagement sein, um Insider-Risikomanagementwarnungen im Microsoft Defender-Portal anzeigen und verwalten zu können:
- Insider-Risikomanagement
- Insider-Risikomanagement-Analysten.
- Insider-Risikomanagement-Prüfer
Weitere Informationen zu diesen Rollengruppen finden Sie unter Aktivieren von Berechtigungen für das Insider-Risikomanagement.
Untersuchungserfahrung im Microsoft Defender-Portal
Vorfälle
Insider-Risikomanagement-Warnungen im Zusammenhang mit einem Benutzer werden mit einem einzelnen Incident korreliert, um einen ganzheitlichen Ansatz für die Reaktion auf Vorfälle zu gewährleisten. Diese Korrelation ermöglicht ES SOC-Analysten, eine einheitliche Ansicht aller Warnungen zu einem Benutzer zu erhalten, die von Microsoft Purview Insider Risk Management und verschiedenen Defender-Produkten stammen. Durch die Vereinheitlichung aller Warnungen können SOC-Analysten auch die Details der an den Warnungen beteiligten Geräte anzeigen.
Sie können Incidents filtern, indem Sie unter Dienstquelle Microsoft Purview Insider Risk Management auswählen.
Warnungen
Alle Insider-Risikomanagementwarnungen sind auch in der Warnungswarteschlange des Microsoft Defender Portals sichtbar. Filtern Sie diese Warnungen, indem Sie unter Dienstquelle Microsoft Purview Insider Risk Management auswählen.
Hier sehen Sie ein Beispiel für eine Insider-Risikomanagementwarnung im Microsoft Defender-Portal:
Alle Aktualisierungen, die an einer Insider-Risikomanagementwarnung im Microsoft Purview- oder Microsoft Defender-Portal vorgenommen werden, werden automatisch in beiden Portalen widergespiegelt. Diese Updates können Folgendes umfassen:
- Warnungsstatus
- Severity
- Aktivität, die die Warnung generiert hat
- Triggerinformationen
- Klassifizierung
Die Updates werden innerhalb von 30 Minuten nach der Warnungsgenerierung oder -aktualisierung in beiden Portalen widerspiegelt.
Erweiterte Bedrohungssuche
Verwenden Sie die erweiterte Suche, um Insider-Risikoereignisse und -verhalten weiter zu untersuchen. In der folgenden Tabelle finden Sie eine Zusammenfassung der Insider-Risikomanagementdaten, die in der erweiterten Suche verfügbar sind.
| Tabellenname | Beschreibung |
|---|---|
| AlertInfo | Insider-Risikomanagementwarnungen sind als Teil der Tabelle AlertInfo verfügbar, die Informationen zu Warnungen aus verschiedenen Microsoft-Sicherheitslösungen enthält. |
| AlertEvidence | Insider-Risikomanagementwarnungen sind als Teil der Tabelle AlertEvidence verfügbar, die Informationen zu Entitäten enthält, die Warnungen aus verschiedenen Microsoft-Sicherheitslösungen zugeordnet sind. |
| DataSecurityBehaviors | Diese Tabelle enthält Einblicke in potenziell verdächtiges Benutzerverhalten, das gegen die Standardrichtlinien oder kundendefinierte Richtlinien in Microsoft Purview verstößt. |
| DataSecurityEvents | Diese Tabelle enthält angereicherte Ereignisse zu Benutzeraktivitäten, die gegen die Standard- oder kundendefinierten Richtlinien in Microsoft Purview verstoßen. |
Im folgenden Beispiel verwenden wir die Tabelle DataSecurityEvents , um potenziell verdächtiges Benutzerverhalten zu untersuchen. In diesem Fall hat der Benutzer eine Datei auf Google Drive hochgeladen, die als verdächtiges Verhalten angesehen werden kann, wenn ein Unternehmen Dateiuploads auf Google Drive nicht unterstützt.
Integrieren von Insider-Risikomanagementdaten über Graph-API
Sie können Microsoft Security Graph-API verwenden, um Insider-Risikomanagementwarnungen, Erkenntnisse und Indikatoren in andere SIEM-Tools, Data Lakes, Ticketingsysteme usw. zu integrieren.
In der folgenden Tabelle finden Sie Insider-Risikomanagementdaten in bestimmten APIs.
| Tabellenname | Beschreibung | Modus |
|---|---|---|
| Vorfälle | Schließt alle Insider-Risikovorfälle in die Defender XDR einheitliche Incidentwarteschlange ein. | Lesen/Schreiben |
| Benachrichtigungen | Umfasst alle Insider-Risikowarnungen, die mit Defender XDR einheitlichen Warnungswarteschlange geteilt werden. | Lesen/Schreiben |
| Erweiterte Suche | Umfasst alle Insider-Risikomanagementdaten in der erweiterten Suche, einschließlich Warnungen, Verhalten und Ereignisse. | Lesen |
Hinweis
Auf Insider-Risikowarnungsinformationen kann sowohl im Namespace Warnungen als auch im Erweiterten Hunting-Graph-Namespace zugegriffen werden. Auf Insider-Risikoverhalten und -Ereignisse bei der erweiterten Suche kann im Graph-API zugegriffen werden, indem KQL-Abfragen in der API übergeben werden.
Kunden, die Office 365 Verwaltungsaktivitäts-API verwenden, empfehlen wir die Migration zu Microsoft Security Graph-API, um umfangreichere Metadaten und bidirektionale Unterstützung für IRM-Daten sicherzustellen.
Auswirkungen auf Microsoft Sentinel Benutzer
Microsoft Sentinel Kunden, die Microsoft Purview Insider Risk Management Warnungsinformationen exportieren, um Insider-Risikowarnungsdaten zu integrieren, wird empfohlen, zum Microsoft Defender XDR-Microsoft Sentinel Connector zu migrieren.
Wenn der Defender XDR-Microsoft Sentinel-Connector aktiviert ist, werden Insider-Risikomanagementwarnungen automatisch in Microsoft Sentinel integriert. Das Schema für Warnungen ist dasselbe Schema, das in Graph-API verfügbar gemacht wird. Das Warnungsschema, das über den Defender XDR-Microsoft Sentinel-Connector verfügbar gemacht wird, deckt alle vorhandenen exportierten Felder ab und stellt zusätzliche Metadaten für Insider-Risikomanagementwarnungen bereit.
Hinweis
Wenn der Defender XDR-Microsoft Sentinel-Connector aktiviert ist, kann unabhängig von den Einstellungen für die rollenbasierte Zugriffssteuerung in Microsoft Sentinel auf Microsoft Purview Insider Risk Management Daten zugegriffen werden.
Um zusätzliche Insider-Risikomanagementdaten wie Verhalten und Ereignisse in Microsoft Sentinel zu integrieren, empfehlen wir das Onboarding Microsoft Sentinel in Microsoft Defender, um eine einheitliche Übersicht über Ihr gesamtes Security Operations Center zu erhalten. Das Onboarding hilft Ihnen, Insider-Risikomanagementwarnungen und andere Daten aus Microsoft Sentinel in Microsoft Defender zu integrieren, sodass Sie tabellenübergreifende Suchfunktionen und andere leistungsstarke Workflows ermöglichen. Informationen zum Onboarding finden Sie unter Verbinden von Microsoft Sentinel mit Microsoft Defender.
Nächste Schritte
Nachdem Sie einen Insider-Risikovorfall oder eine Warnung untersucht haben, können Sie eine der folgenden Aktionen ausführen:
- Reagieren Sie weiterhin auf die Warnung im Microsoft Purview-Portal.
- Verwenden Sie die erweiterte Suche, um andere Insider-Risikomanagementereignisse im Microsoft Defender-Portal zu untersuchen.