Insider-riskiuhkien tutkiminen Microsoft Defender portaalissa
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta hälytykset Microsoft Defender portaalissa ovat elintärkeitä organisaation luottamuksellisten tietojen suojaamiseksi ja suojauksen ylläpitämiseksi. Nämä Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta hälytykset ja merkitykselliset tiedot auttavat tunnistamaan ja lieventämään sisäisiä uhkia, kuten tietovuotoja ja työntekijöiden tai urakoitsijoiden teollis- ja tekijänoikeuksien varkauksia. Näiden hälytysten valvonnan avulla organisaatiot voivat käsitellä tietoturvahäiriöitä ennakoivasti varmistaen, että luottamukselliset tiedot pysyvät suojattuina ja että yhteensopivuusvaatimukset täyttyvät.
Insider-riski-hälytysten valvonnan keskeinen etu on kaikkien käyttäjään liittyvien ilmoitusten yhtenäinen näkymä, jonka avulla tietoturvakeskusanalyytikot voivat korreloida Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta hälytyksiä muiden Microsoftin suojausratkaisujen kanssa. Lisäksi näiden hälytysten käyttö Microsoft Defender portaalissa mahdollistaa saumattoman integroinnin kehittyneiden metsästysominaisuuksien kanssa, mikä parantaa tapausten tehokasta tutkimista ja niihin vastaamista.
Toinen etu on Ilmoituspäivitysten automaattinen synkronointi Microsoft Purview - ja Defender-portaaleihin, mikä varmistaa reaaliaikaisen näkyvyyden ja vähentää valvontamahdollisuuksia. Tämä integrointi vahvistaa organisaation kykyä havaita insider-uhkia, tutkia niihin ja vastata niihin, mikä parantaa yleistä suojausasentoa.
Voit hallita insider-riskinhallintahälytyksiä Microsoft Defender portaalissa siirtymällä kohtaan Tapaukset & hälytykset, jossa voit:
- Tarkastele kaikkia insider-riskin ilmoituksia, jotka on ryhmitelty tapauksiin Microsoft Defender portaalin tapausjonossa.
- Näytä insider-riskiilmoitukset, jotka korreloivat muiden Microsoft-ratkaisujen, kuten Microsoft Purview -tuotteen tietojen menetyksen esto ja Microsoft Entra ID, kanssa yksittäisessä tapauksessa.
- Tarkastele yksittäisten insider-riskin ilmoituksia ilmoitusjonossa.
- Suodata palvelulähteen mukaan tapahtuma- ja ilmoitusjonoissa.
- Etsi kaikki toiminnot ja kaikki hälytykset, jotka liittyvät käyttäjään insider-riski-hälytyksessä.
- Tarkastele käyttäjän Insider-riskin toiminnan yhteenvetoa ja riskitasoa käyttäjän entiteettisivulla.
Tiedä ennen kuin aloitat
Jos olet uusi Microsoft Purview'n ja Insider Risk Managementin käyttäjä, lue seuraavat artikkelit:
- Lisätietoja Microsoft Purview'sta
- Lisätietoja Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta
- Microsoft Purview -tietoturvaratkaisut
Ennakkovaatimukset
Jos haluat tutkia insider-riskinhallintahälytyksiä Microsoft Defender portaalissa, sinun on tehtävä seuraavat toimet:
- Vahvista, että Microsoft 365 -tilauksesi tukee insider-riskinhallinnan käyttöoikeutta. Lisätietoja tilauksesta ja käyttöoikeuksista.
- Vahvista Microsoft Defender XDR käyttöoikeus. Katso Microsoft Defender XDR käyttöoikeusvaatimukset.
Tietojen jakaminen muiden suojausratkaisujen kanssa on otettava käyttöön Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta tietojen jakamisen asetuksissa. Kun otat Jaa käyttäjäriskitiedot muiden suojausratkaisujen kanssa käyttöön Microsoft Purview -portaalissa, käyttäjät, joilla on oikeat käyttöoikeudet, voivat tarkastella käyttäjän riskitietoja käyttäjäentiteettisivuilla Microsoft Defender portaalissa. Lisätietoja on artikkelissa Ilmoitusten vakavuustasojen jakaminen muiden Microsoftin suojausratkaisujen kanssa .
Käyttöoikeudet ja roolit
Microsoft Defender XDR roolit
Seuraavat käyttöoikeudet ovat välttämättömiä Insider-riskinhallintahälytysten käyttämiseksi Microsoft Defender portaalissa:
- Suojausoperaattori
- Suojauksen lukija
Lisätietoja Microsoft Defender XDR rooleista on artikkelissa Microsoft Defender XDR käyttöoikeuksien hallinta Microsoft Entra yleisillä rooleilla.
Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta rooleja
Sinun on myös oltava jonkin seuraavan Insider-riskinhallinnan rooliryhmän jäsen, jotta voit tarkastella ja hallita insider-riskinhallinnan ilmoituksia Microsoft Defender portaalissa:
- Insider Risk Management
- Insider Risk Management -analyytikot
- Insider Risk Management -tutkijat
Lisätietoja näistä rooliryhmistä on artikkelissa Insider-riskinhallinnan käyttöoikeuksien ottaminen käyttöön.
tutkimuskokemus Microsoft Defender portaalissa
Tapaukset
Insider-riskinhallintailmoitukset, jotka liittyvät käyttäjään, korreloivat yksittäiseen tapaukseen, jotta voidaan varmistaa kokonaisvaltainen lähestymistapa tapausten käsittelyyn. Tämän korrelaation avulla SOC-analyytikot voivat nähdä kaikki ilmoitukset käyttäjästä, joka tulee Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ja erilaisista Defender-tuotteista. Kaikkien hälytysten yhtenäistämisen avulla SOC-analyytikot voivat myös tarkastella hälytyksiin liittyvien laitteiden tietoja.
Voit suodattaa tapauksia valitsemalla palvelulähteestä Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta.
Ilmoitukset
Kaikki insider-riskinhallintahälytykset näkyvät myös Microsoft Defender portaalin ilmoitusjonossa. Suodata nämä ilmoitukset valitsemalla palvelulähteestä Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta.
Tässä on esimerkki insider-riskinhallintahälytyksestä Microsoft Defender-portaalissa:
Kaikki Insider-riskinhallintahälytykseen Microsoft Purview'ssa tai Microsoft Defender -portaaleihin tehdyt päivitykset näkyvät automaattisesti molemmissa portaaleissa. Näitä päivityksiä voivat olla esimerkiksi seuraavat:
- Ilmoituksen tila
- Vakavuus
- Ilmoituksen luonut aktiviteetti
- Käynnistintiedot
- Luokitus
Päivitykset näkyvät molemmissa portaaleissa 30 minuutin kuluessa ilmoituksen luomisesta tai päivittämisestä.
Tarkennettu etsintä
Tarkennetun metsästyksen avulla voit tutkia tarkemmin insider-riskitapahtumia ja -toimintaa. Katso alla olevasta taulukosta yhteenveto insider-riskinhallintatiedoista, jotka ovat saatavilla kehittyneessä metsästyksessä.
| Taulukon nimi | Kuvaus |
|---|---|
| AlertInfo | Insider-riskinhallintailmoitukset ovat käytettävissä osana AlertInfo-taulukkoa, joka sisältää tietoja eri Microsoftin suojausratkaisujen hälytyksistä. |
| AlertEvidence | Insider-riskinhallintailmoitukset ovat saatavilla osana AlertEvidence-taulukkoa, joka sisältää tietoja eri Microsoftin suojausratkaisujen hälytyksiin liittyvistä entiteeteistä. |
| DataSecurityBehaviors | Tämä taulukko sisältää tietoja mahdollisesti epäilyttävästä käyttäjän toiminnasta, joka rikkoo Microsoft Purview'n oletusarvoisia tai asiakkaan määrittämiä käytäntöjä. |
| DataSecurityEvents | Tämä taulukko sisältää täydennettyjä tapahtumia käyttäjän toiminnoista, jotka rikkovat Microsoft Purview'n oletusarvoisia tai asiakkaan määrittämiä käytäntöjä. |
Alla olevassa esimerkissä käytämme DataSecurityEvents-taulukkoa mahdollisesti epäilyttävän käyttäjän toiminnan selvittämiseen. Tässä tapauksessa käyttäjä latasi Tiedoston Google Driveen, jota voidaan pitää epäilyttävänä käyttäytymisenä, jos yritys ei tue tiedostojen lataamista Google Driveen.
Insider-riskinhallintatietojen integrointi Graph-ohjelmointirajapinnan kautta
Microsoft Security Graph -ohjelmointirajapinnan avulla voit integroida insider-riskinhallintailmoitukset, merkitykselliset tiedot ja ilmaisimet muihin SIEM-työkaluihin, Data Lake -tallennusjärjestelmiin, lippujärjestelmiin ja niiden kaltaisiin.
Katso alla olevasta taulukosta insider-riskinhallintatietoja tietyistä ohjelmointirajapinnoista.
| Taulukon nimi | Kuvaus | Tila |
|---|---|---|
| Tapaukset | Sisältää kaikki insider-riskitapaukset Defender XDR yhdistetyssä tapausjonossa | Luku ja kirjoitus |
| Ilmoitukset | Sisältää kaikki insider-riski-ilmoitukset, jotka on jaettu Defender XDR yhtenäisen ilmoitusjonon kanssa | Luku ja kirjoitus |
| Tarkennettu etsintä | Sisältää kaikki insider-riskinhallintatiedot kehittyneessä metsästyksessä, mukaan lukien hälytykset, toiminnot ja tapahtumat | Lukea |
Huomautus
Insider-riskin hälytystietoja voi käyttää sekä Ilmoitusten että Kehittyneen metsästyksen kaavion nimitilassa. Insider-riskin toimintamalleja ja tapahtumia kehittyneessä metsästyksessä voi käyttää Graph-ohjelmointirajapinnassa välittämällä KQL-kyselyjä ohjelmointirajapinnassa.
Asiakkaille, jotka käyttävät Office 365 Management Activity -ohjelmointirajapintaa, suosittelemme siirtymistä Microsoft Security Graph -ohjelmointirajapintaan, jotta voidaan varmistaa monipuolisemmat metatiedot ja kaksisuuntainen tuki IRM-tiedoille.
Vaikutus Microsoft Sentinel käyttäjiin
Microsoft Sentinel asiakkaita, jotka vievät Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta-ilmoitustietoja insider-riskin hälytystietojen integroimiseksi, kehotetaan siirtymään Microsoft Defender XDR-Microsoft Sentinel yhdistimen kautta.
Jos Defender XDR-Microsoft Sentinel -liitin on käytössä, insider-riskinhallintailmoitukset integroidaan automaattisesti Microsoft Sentinel. Ilmoitusten rakenne on sama rakenne, joka näytetään Graph-ohjelmointirajapinnassa. Defender XDR-Microsoft Sentinel -liittimen kautta näytetty ilmoitusrakenne kattaa kaikki aiemmin viedyt kentät ja tarjoaa lisää metatietoja Insider-riskinhallintahälytyksiä varten.
Huomautus
Kun Defender XDR-Microsoft Sentinel -liitin on käytössä, Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta tiedot ovat käytettävissä Microsoft Sentinel roolipohjaisesta käytönvalvonta-asetuksista riippumatta.
Jos haluat integroida muita insider-riskinhallintatietoja, kuten toimintoja ja tapahtumia, Microsoft Sentinel, suosittelemme perehdyttämistä Microsoft Sentinel Microsoft Defender, jotta saat yhtenäisen näkymän koko tietoturvakeskustasi varten. Perehdyttämisen avulla voit tuoda insider-riskinhallintahälytyksiä ja muita tietoja Microsoft Sentinel Microsoft Defender, mikä mahdollistaa taulukoiden välisen metsästyksen ja muut tehokkaat työnkulut. Lisätietoja on artikkelissa Microsoft Sentinel yhdistäminen Microsoft Defender.
Seuraavat vaiheet
Kun olet tutkinut Insider-riskin tapauksen tai hälytyksen, voit tehdä minkä tahansa seuraavista:
- Vastaa hälytykseen edelleen Microsoft Purview -portaalissa.
- Kehittyneen metsästyksen avulla voit tutkia muita insider-riskinhallintatapahtumia Microsoft Defender portaalissa.