Examiner les menaces à risque interne dans le portail Microsoft Defender
Importante
Certaines informations contenues dans cet article concernent un produit pré-publié, qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie expresse ou implicite en ce qui concerne les informations fournies ici.
Gestion des risques internes Microsoft Purview alertes dans le portail Microsoft Defender sont essentielles pour protéger les informations sensibles d’un organization et maintenir la sécurité. Ces alertes et insights de Gestion des risques internes Microsoft Purview aident à identifier et à atténuer les menaces internes telles que les fuites de données et le vol de propriété intellectuelle par des employés ou des sous-traitants. La surveillance de ces alertes permet aux organisations de traiter les incidents de sécurité de manière proactive, ce qui garantit que les données sensibles restent protégées et que les exigences de conformité sont respectées.
L’un des principaux avantages de la surveillance des alertes à risque interne est la vue unifiée de toutes les alertes liées à un utilisateur, ce qui permet aux analystes du centre des opérations de sécurité (SOC) de mettre en corrélation les alertes de Gestion des risques internes Microsoft Purview avec d’autres solutions de sécurité Microsoft. En outre, le fait d’avoir ces alertes dans le portail Microsoft Defender permet une intégration transparente avec des fonctionnalités de repérage avancées, ce qui améliore la capacité d’examiner et de répondre efficacement aux incidents.
Un autre avantage est la synchronisation automatique des mises à jour d’alerte entre Microsoft Purview et les portails Defender, ce qui garantit une visibilité en temps réel et réduit les risques de supervision. Cette intégration renforce la capacité d’un organization à détecter, examiner et répondre aux menaces internes, améliorant ainsi la posture de sécurité globale.
Vous pouvez gérer les alertes de gestion des risques internes dans le portail Microsoft Defender en accédant à Incidents & alertes, où vous pouvez :
- Affichez toutes les alertes de risque interne regroupées sous incidents dans la file d’attente des incidents du portail Microsoft Defender.
- Affichez les alertes de risque interne corrélées avec d’autres solutions Microsoft, telles que Protection contre la perte de données Microsoft Purview et Microsoft Entra ID, sous un seul incident.
- Affichez les alertes de risque interne individuelles dans la file d’attente des alertes.
- Filtrez par source de service sur les files d’attente d’incidents et d’alertes.
- Recherchez toutes les activités et toutes les alertes liées à l’utilisateur dans l’alerte de risque interne.
- Affichez le résumé de l’activité des risques internes d’un utilisateur et le niveau de risque dans la page de l’entité utilisateur.
Bon à savoir avant de commencer
Si vous débutez avec Microsoft Purview et la gestion des risques internes, lisez les articles suivants :
- En savoir plus sur Microsoft Purview
- En savoir plus sur Gestion des risques internes Microsoft Purview
- Solutions de sécurité des données Microsoft Purview
Configuration requise
Pour examiner les alertes de gestion des risques internes dans le portail Microsoft Defender, vous devez effectuer les opérations suivantes :
- Vérifiez que votre abonnement Microsoft 365 prend en charge l’accès à la gestion des risques internes. En savoir plus sur l’abonnement et les licences.
- Confirmez votre accès à Microsoft Defender XDR. Consultez Microsoft Defender XDR conditions de licence.
Le partage de données avec d’autres solutions de sécurité doit être activé dans les paramètres de partage de données de Gestion des risques internes Microsoft Purview. L’activation de l’option Partager les détails des risques utilisateur avec d’autres solutions de sécurité dans le portail Microsoft Purview permet aux utilisateurs disposant des autorisations appropriées de consulter les détails des risques utilisateur dans les pages d’entité utilisateur du portail Microsoft Defender.
Pour plus d’informations, consultez Partager des niveaux de gravité d’alerte avec d’autres solutions de sécurité Microsoft .
Autorisations et rôles
Microsoft Defender XDR rôles
Les autorisations suivantes sont essentielles pour accéder aux alertes de gestion des risques internes dans le portail Microsoft Defender :
- Opérateur de sécurité
- Lecteur de sécurité
Pour plus d’informations sur les rôles Microsoft Defender XDR, consultez Gérer l’accès aux Microsoft Defender XDR avec Microsoft Entra rôles globaux.
Gestion des risques internes Microsoft Purview rôles
Vous devez également être membre de l’un des groupes de rôles de gestion des risques internes suivants pour afficher et gérer les alertes de gestion des risques internes dans le portail Microsoft Defender :
- Gestion des risques internes
- Analystes de la gestion des risque internes.
- Enquêteurs de la gestion des risque internes.
Pour plus d’informations sur ces groupes de rôles, consultez Activer les autorisations pour la gestion des risques internes.
Rôles API Graph Microsoft
Les clients qui intègrent des alertes de gestion des risques internes à d’autres outils SIEM (Security Information and Events Management) à l’aide de l’API de sécurité Microsoft Graph doivent disposer des autorisations suivantes pour accéder correctement aux données Microsoft Defender pertinentes via les API :
| Autorisations d’application | Incidents | Alertes | Comportements & événements | Recherche avancée de menaces |
|---|---|---|---|---|
| SecurityIncident.Read.All | Lire | Lire | Lire | |
| SecurityIncident.ReadWrite.All | Lecture/Écriture | Lecture/Écriture | Lire | |
| SecurityIAlert.Read.All | Lire | Lire | ||
| SecurityAlert.ReadWrite.All | Lecture/Écriture | Lire | ||
| SecurityEvents.Read.All | Lire | |||
| SecurityEvents.ReadWrite.All | Lire | |||
| ThreatHouting.Read.All | Lire |
Pour plus d’informations sur l’intégration des données à l’aide de l’API de sécurité Microsoft Graph, consultez Intégrer des données de gestion des risques internes à l’API de sécurité Microsoft Graph.
Expérience d’investigation dans le portail Microsoft Defender
Incidents
Les alertes de gestion des risques internes liées à un utilisateur sont corrélées à un seul incident pour garantir une approche holistique de la réponse aux incidents. Cette corrélation permet aux analystes SOC d’avoir une vue unifiée de toutes les alertes concernant un utilisateur provenant de Gestion des risques internes Microsoft Purview et de différents produits Defender. L’unification de toutes les alertes permet également aux analystes SOC d’afficher les détails des appareils impliqués dans les alertes.
Vous pouvez filtrer les incidents en choisissant Gestion des risques internes Microsoft Purview sous Source de service.
Alertes
Toutes les alertes de gestion des risques internes sont également visibles dans la file d’attente d’alertes du portail Microsoft Defender. Filtrez ces alertes en choisissant Gestion des risques internes Microsoft Purview sous Source du service.
Voici un exemple d’alerte de gestion des risques internes dans le portail Microsoft Defender :
Microsoft Defender XDR et Gestion des risques internes Microsoft Purview suivent des status d’alerte et des frameworks de classification différents. Le mappage d’alerte suivant est utilisé pour synchroniser les états d’alerte entre les deux solutions :
| status d’alerte Microsoft Defender | status d’alerte Gestion des risques internes Microsoft Purview |
|---|---|
| Nouveau | Révision nécessaire |
| En cours | Révision nécessaire |
| Résolu | En fonction de la classification. Si la classification n’est pas disponible, le status d’alerte est défini sur Ignoré par défaut. |
Le mappage de classification d’alerte suivant est utilisé pour synchroniser la classification des alertes entre les deux solutions :
| classification des alertes Microsoft Defender | classification des alertes Gestion des risques internes Microsoft Purview |
|---|---|
| Vrai positif Inclut l’attaque multiphase, l’hameçonnage, etc. |
Confirmed |
| Informations, activité attendue (positive sans gravité) Inclut les tests de sécurité, l’activité confirmée, etc. |
Fermé |
| Faux positif Inclut pas de données malveillantes, pas assez de données à valider, etc. |
Fermé |
Pour plus d’informations sur les états et les classifications des alertes dans Microsoft Defender XDR, consultez Gérer les alertes dans Microsoft Defender.
Toutes les mises à jour apportées à une alerte de gestion des risques internes dans les portails Microsoft Purview ou Microsoft Defender sont automatiquement répercutées dans les deux portails. Ces mises à jour peuvent inclure :
- État de l’alerte
- Severity
- Activité qui a généré l’alerte
- Informations sur le déclencheur
- Classification
Les mises à jour sont reflétées dans les deux portails dans les 30 minutes suivant la génération ou la mise à jour de l’alerte.
Remarque
Les alertes créées à partir de détections personnalisées ou d’un lien entre les résultats des requêtes et les incidents ne sont pas disponibles dans le portail Microsoft Purview.
Les données de gestion des risques internes suivantes ne sont pas encore disponibles dans cette intégration :
- Exfiltration par le biais d’événements de messagerie
- Événements d’utilisation de l’IA à risque
- Événements d’applications cloud tierces
- Événements qui se sont produits avant la génération d’une alerte
- Exclusions aux événements définis par l’administrateur
- Les incidents de gestion des risques internes ne contiennent pas d’alertes actuellement, ce qui a un impact sur Microsoft Sentinel utilisateurs. Pour plus d’informations, consultez Impact sur les utilisateurs Microsoft Sentinel.
Recherche avancée de menaces
Utilisez la chasse avancée pour examiner plus en détail les événements et les comportements à risque internes. Reportez-vous au tableau ci-dessous pour obtenir un résumé des données de gestion des risques internes disponibles dans la chasse avancée.
| Nom du tableau | Description |
|---|---|
| AlertInfo | Les alertes de gestion des risques internes sont disponibles dans le cadre de la table AlertInfo, qui contient des informations sur les alertes de différentes solutions de sécurité Microsoft. |
| AlertEvidence | Les alertes de gestion des risques internes sont disponibles dans le cadre de la table AlertEvidence, qui contient des informations sur les entités associées aux alertes de différentes solutions de sécurité Microsoft. |
| DataSecurityBehaviors | Ce tableau contient des informations sur le comportement potentiellement suspect de l’utilisateur qui enfreint les stratégies par défaut ou définies par le client dans Microsoft Purview. |
| DataSecurityEvents | Ce tableau contient des événements enrichis concernant les activités des utilisateurs qui violent les stratégies par défaut ou définies par le client dans Microsoft Purview. |
Dans l’exemple ci-dessous, nous utilisons la table DataSecurityEvents pour examiner le comportement potentiellement suspect de l’utilisateur. Dans ce cas, l’utilisateur a chargé un fichier sur Google Drive, qui peut être considéré comme un comportement suspect si une entreprise ne prend pas en charge les chargements de fichiers sur Google Drive.
Pour accéder aux données de risque interne dans la chasse avancée, les utilisateurs doivent disposer des rôles Gestion des risques internes Microsoft Purview suivants :
- Analyste de gestion des risques internes
- Enquêteur sur la gestion des risques internes
Intégrer des données de gestion des risques internes à l’API de sécurité Microsoft Graph
Utilisez l’API de sécurité Microsoft Graph pour intégrer des alertes, des insights et des indicateurs de gestion des risques internes à d’autres outils SIEM comme Microsoft Sentinel, ServiceNow ou Splunk. Vous pouvez également utiliser l’API de sécurité pour intégrer des données de gestion des risques internes aux lacs de données, aux systèmes de tickets, etc.
Pour savoir comment configurer microsoft API Graph, consultez Utiliser le API Graph Microsoft.
Reportez-vous au tableau ci-dessous pour trouver des données de gestion des risques internes dans des API spécifiques.
| Nom du tableau | Description | Mode |
|---|---|---|
| Incidents | Inclut tous les incidents à risque interne dans la file d’attente d’incidents Defender XDR unifiée | Lecture/Écriture |
| Alertes | Inclut toutes les alertes de risque interne partagées avec Defender XDR file d’attente d’alertes unifiée | Lecture/Écriture |
| Repérage avancé | Inclut toutes les données de gestion des risques internes dans la chasse avancée, y compris les alertes, les comportements et les événements | Lire |
Les métadonnées d’alerte de risque interne font partie du type de ressource d’alerte dans l’API de sécurité Microsoft Graph. Consultez les informations complètes dans type de ressource d’alerte.
Remarque
Les informations d’alerte de risque interne sont accessibles à la fois dans l’espace de noms Alertes et Graphe de chasse avancé. L’espace de noms alertes fournit davantage de métadonnées.
Les comportements et événements à risque internes dans la chasse avancée sont accessibles dans le API Graph en transmettant des requêtes KQL dans l’API. Utilisez cette méthode pour extraire des données de prise en charge pour des alertes ou des investigations spécifiques.
Pour les clients qui utilisent l’API d’activité de gestion des Office 365, nous vous recommandons de migrer vers Microsoft Security API Graph pour garantir des métadonnées plus riches et une prise en charge bidirectionnelle des données IRM.
Impact sur les utilisateurs Microsoft Sentinel
Nous recommandons Microsoft Sentinel clients d’utiliser le connecteur de données Gestion des risques internes Microsoft Purview - Microsoft Sentinel pour obtenir des alertes de gestion des risques internes dans Microsoft Sentinel.
Si vous utilisez l’automatisation sur Microsoft Sentinel incidents, notez que l’automatisation risque d’échouer en raison d’incidents de gestion des risques internes sans contenu d’alerte. Pour atténuer ce problème, désactivez le partage de données dans les paramètres de gestion des risques internes.
Étapes suivantes
Après avoir examiné un incident ou une alerte à risque interne, vous pouvez effectuer l’une des opérations suivantes :
- Continuez à répondre à l’alerte dans le portail Microsoft Purview.
- Utilisez la chasse avancée pour examiner d’autres événements de gestion des risques internes dans le portail Microsoft Defender.