Analizzare le minacce di rischio Insider nel portale di Microsoft Defender
Importante
Alcune informazioni in questo articolo si riferiscono a un prodotto pre-noleggiato, che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia espressa o implicita in relazione alle informazioni fornite qui.
Gestione dei rischi Insider Microsoft Purview gli avvisi nel portale di Microsoft Defender sono fondamentali per proteggere le informazioni sensibili di un'organizzazione e mantenere la sicurezza. Questi avvisi e informazioni dettagliate provenienti da Gestione dei rischi Insider Microsoft Purview consentono di identificare e attenuare le minacce interne, ad esempio perdite di dati e furti di proprietà intellettuale da parte di dipendenti o terzisti. Il monitoraggio di questi avvisi consente alle organizzazioni di gestire gli eventi imprevisti di sicurezza in modo proattivo, garantendo che i dati sensibili rimangano protetti e che vengano soddisfatti i requisiti di conformità.
Uno dei vantaggi principali del monitoraggio degli avvisi di rischio Insider è la visualizzazione unificata di tutti gli avvisi correlati a un utente, consentendo agli analisti del Centro operazioni di sicurezza (SOC) di correlare gli avvisi di Gestione dei rischi Insider Microsoft Purview con altre soluzioni di sicurezza Microsoft. Inoltre, la presenza di questi avvisi nel portale di Microsoft Defender consente un'integrazione senza problemi con funzionalità di ricerca avanzate, migliorando la capacità di analizzare e rispondere in modo efficace agli eventi imprevisti.
Un altro vantaggio è la sincronizzazione automatica degli aggiornamenti degli avvisi tra Microsoft Purview e i portali di Defender, garantendo visibilità in tempo reale e riducendo le possibilità di supervisione. Questa integrazione rafforza la capacità di un'organizzazione di rilevare, analizzare e rispondere alle minacce insider, migliorando così il comportamento di sicurezza complessivo.
È possibile gestire gli avvisi di gestione dei rischi Insider nel portale di Microsoft Defender passando a Eventi imprevisti & avvisi, dove è possibile:
- Visualizzare tutti gli avvisi di rischio Insider raggruppati in eventi imprevisti nella coda degli eventi imprevisti del portale di Microsoft Defender.
- Visualizzare gli avvisi di rischio Insider correlati ad altre soluzioni Microsoft, ad esempio Prevenzione della perdita dei dati Microsoft Purview e Microsoft Entra ID, in un singolo evento imprevisto.
- Visualizzare i singoli avvisi di rischio Insider nella coda di avvisi.
- Filtrare in base all'origine del servizio in base alle code degli eventi imprevisti e degli avvisi.
- Cercare tutte le attività e tutti gli avvisi correlati all'utente nell'avviso di rischio Insider.
- Visualizzare il riepilogo delle attività di rischio Insider di un utente e il livello di rischio nella pagina dell'entità utente.
Sapere prima di iniziare
Se non si ha familiarità con Microsoft Purview e la gestione dei rischi Insider, leggere gli articoli seguenti:
- Informazioni su Microsoft Purview
- Informazioni su Gestione dei rischi Insider Microsoft Purview
- Soluzioni per la sicurezza dei dati di Microsoft Purview
Prerequisiti
Per analizzare gli avvisi di gestione dei rischi Insider nel portale di Microsoft Defender, è necessario eseguire le operazioni seguenti:
- Verificare che la sottoscrizione di Microsoft 365 supporti l'accesso alla gestione dei rischi Insider. Altre informazioni sulla sottoscrizione e sulle licenze.
- Verificare l'accesso a Microsoft Defender XDR. Vedere Microsoft Defender XDR requisiti di licenza.
La condivisione dei dati con altre soluzioni di sicurezza deve essere attivata nelle impostazioni di condivisione dei dati in Gestione dei rischi Insider Microsoft Purview. L'attivazione di Condivisione dei dettagli dei rischi utente con altre soluzioni di sicurezza nel portale di Microsoft Purview consente agli utenti con le autorizzazioni corrette di esaminare i dettagli dei rischi utente nelle pagine delle entità utente nel portale di Microsoft Defender.
Per altre informazioni, vedere Condividere i livelli di gravità degli avvisi con altre soluzioni di sicurezza Microsoft .
Autorizzazioni e ruoli
ruoli Microsoft Defender XDR
Le autorizzazioni seguenti sono essenziali per accedere agli avvisi di gestione dei rischi Insider nel portale di Microsoft Defender:
- Operatore della sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
Per altre informazioni sui ruoli Microsoft Defender XDR, vedere Gestire l'accesso a Microsoft Defender XDR con Microsoft Entra ruoli globali.
ruoli Gestione dei rischi Insider Microsoft Purview
È anche necessario essere membri di uno dei seguenti gruppi di ruoli di gestione dei rischi Insider per visualizzare e gestire gli avvisi di gestione dei rischi Insider nel portale di Microsoft Defender:
- Gestione dei rischi Insider
- Analisti gestione dei rischi Insider
- Investigatori gestione dei rischi Insider
Per altre informazioni su questi gruppi di ruoli, vedere Abilitare le autorizzazioni per la gestione dei rischi Insider.
Ruoli di Microsoft API Graph
I clienti che integrano avvisi di gestione dei rischi Insider con altri strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM) che usano l'API di sicurezza di Microsoft Graph devono avere le autorizzazioni seguenti per accedere correttamente ai dati di Microsoft Defender pertinenti tramite le API:
| Autorizzazioni dell'app | Eventi imprevisti | Avvisi | Comportamenti & eventi | Rilevazione avanzata |
|---|---|---|---|---|
| SecurityIncident.Read.All | Lettura | Lettura | Lettura | |
| SecurityIncident.ReadWrite.All | Lettura/scrittura | Lettura/scrittura | Lettura | |
| SecurityIAlert.Read.All | Lettura | Lettura | ||
| SecurityAlert.ReadWrite.All | Lettura/scrittura | Lettura | ||
| SecurityEvents.Read.All | Lettura | |||
| SecurityEvents.ReadWrite.All | Lettura | |||
| ThreatHunting.Read.All | Lettura |
Altre informazioni sull'integrazione dei dati usando l'API di sicurezza di Microsoft Graph in Integrare i dati di gestione dei rischi Insider con l'API di sicurezza di Microsoft Graph.
Esperienza di indagine nel portale di Microsoft Defender
Eventi imprevisti
Gli avvisi di gestione dei rischi Insider correlati a un utente sono correlati a un singolo evento imprevisto per garantire un approccio olistico alla risposta agli eventi imprevisti. Questa correlazione consente agli analisti soc di avere una visualizzazione unificata di tutti gli avvisi relativi a un utente proveniente da Gestione dei rischi Insider Microsoft Purview e vari prodotti Defender. L'unificazione di tutti gli avvisi consente inoltre agli analisti soc di visualizzare i dettagli dei dispositivi coinvolti negli avvisi.
È possibile filtrare gli eventi imprevisti scegliendo Gestione dei rischi Insider Microsoft Purview in Origine servizio.
Avvisi
Tutti gli avvisi di gestione dei rischi Insider sono visibili anche nella coda di avvisi del portale di Microsoft Defender. Filtrare questi avvisi scegliendo Gestione dei rischi Insider Microsoft Purview in Origine servizio.
Ecco un esempio di avviso di gestione dei rischi Insider nel portale di Microsoft Defender:
Microsoft Defender XDR e Gestione dei rischi Insider Microsoft Purview seguire diversi framework di classificazione e stato degli avvisi. Il mapping degli avvisi seguente viene usato per sincronizzare gli stati degli avvisi tra le due soluzioni:
| stato avviso Microsoft Defender | stato avviso Gestione dei rischi Insider Microsoft Purview |
|---|---|
| New | Da rivedere |
| In corso | Da rivedere |
| Risolti | Classificazione dipendente. Se la classificazione non è disponibile, lo stato dell'avviso viene impostato su Ignorato per impostazione predefinita. |
Il mapping di classificazione degli avvisi seguente viene usato per sincronizzare la classificazione degli avvisi tra le due soluzioni:
| classificazione degli avvisi Microsoft Defender | Gestione dei rischi Insider Microsoft Purview classificazione degli avvisi |
|---|---|
| True positive Include attacchi a più fasi, phishing e così via. |
Confermato |
| Informazioni, attività prevista (positivo benigno) Include test di sicurezza, attività confermata e così via. |
Licenziato |
| Falso positivo Include dati non dannosi, non sufficienti per la convalida e così via. |
Licenziato |
Per altre informazioni sugli stati e le classificazioni degli avvisi in Microsoft Defender XDR, vedere Gestire gli avvisi in Microsoft Defender.
Tutti gli aggiornamenti apportati a un avviso di gestione dei rischi Insider in Microsoft Purview o nei portali di Microsoft Defender si riflettono automaticamente in entrambi i portali. Questi aggiornamenti possono includere:
- Stato degli avvisi
- Gravità
- Attività che ha generato l'avviso
- Informazioni sul trigger
- Classificazione
Gli aggiornamenti si riflettono in entrambi i portali entro 30 minuti dalla generazione o dall'aggiornamento degli avvisi.
Nota
Gli avvisi creati da rilevamenti personalizzati o dai risultati delle query di collegamento agli eventi imprevisti non sono disponibili nel portale di Microsoft Purview.
I seguenti dati di gestione dei rischi Insider non sono ancora disponibili in questa integrazione:
- Esfiltrazione tramite eventi di posta elettronica
- Eventi di utilizzo dell'intelligenza artificiale rischiosi
- Eventi di app cloud di terze parti
- Eventi che si sono verificati prima della generazione di un avviso
- Esclusioni di eventi definiti dall'amministratore
- Gli eventi imprevisti di gestione dei rischi Insider non contengono attualmente avvisi che influiscono sugli utenti Microsoft Sentinel. Per altre informazioni, vedere Impatto sugli utenti Microsoft Sentinel.
Rilevazione avanzata
Usare la ricerca avanzata per analizzare ulteriormente gli eventi e i comportamenti di rischio Insider. Per un riepilogo dei dati di gestione dei rischi Insider disponibili nella ricerca avanzata, vedere la tabella seguente.
| Nome della tabella | Descrizione |
|---|---|
| AlertInfo | Gli avvisi di gestione dei rischi Insider sono disponibili come parte della tabella AlertInfo, che contiene informazioni sugli avvisi di varie soluzioni di sicurezza Microsoft. |
| AlertEvidence | Gli avvisi di gestione dei rischi Insider sono disponibili come parte della tabella AlertEvidence, che contiene informazioni sulle entità associate agli avvisi di varie soluzioni di sicurezza Microsoft. |
| DataSecurityBehaviors | Questa tabella contiene informazioni dettagliate sul comportamento utente potenzialmente sospetto che viola i criteri predefiniti o definiti dal cliente in Microsoft Purview. |
| DataSecurityEvents | Questa tabella contiene eventi arricchiti sulle attività utente che violano i criteri predefiniti o definiti dal cliente in Microsoft Purview. |
Nell'esempio seguente viene usata la tabella DataSecurityEvents per analizzare il comportamento utente potenzialmente sospetto. In questo caso, l'utente ha caricato un file in Google Drive, che può essere visualizzato come comportamento sospetto se un'azienda non supporta il caricamento di file in Google Drive.
Per accedere ai dati sui rischi Insider nella ricerca avanzata, gli utenti devono avere i ruoli di Gestione dei rischi Insider Microsoft Purview seguenti:
- Insider Risk Management Analyst
- Insider Risk Management Investigator
Integrare i dati di gestione dei rischi Insider con l'API di sicurezza di Microsoft Graph
Usare l'API di sicurezza di Microsoft Graph per integrare avvisi, informazioni dettagliate e indicatori di gestione dei rischi Insider con altri strumenti SIEM, ad esempio Microsoft Sentinel, ServiceNow o Splunk. È anche possibile usare l'API di sicurezza per integrare i dati di gestione dei rischi Insider in data lake, sistemi di ticketing e così via.
Per informazioni su come configurare microsoft API Graph, vedere Usare microsoft API Graph.
Fare riferimento alla tabella seguente per trovare i dati di gestione dei rischi Insider in API specifiche.
| Nome della tabella | Descrizione | Modalità |
|---|---|---|
| Eventi imprevisti | Include tutti gli eventi imprevisti di rischio Insider nella coda di eventi imprevisti unificati Defender XDR | Lettura/scrittura |
| Avvisi | Include tutti gli avvisi di rischio Insider condivisi con Defender XDR coda di avvisi unificata | Lettura/scrittura |
| Rilevazione avanzata | Include tutti i dati di gestione dei rischi Insider nella ricerca avanzata, inclusi avvisi, comportamenti ed eventi | Lettura |
I metadati degli avvisi di rischio Insider fanno parte del tipo di risorsa avviso nell'API di sicurezza di Microsoft Graph. Vedere le informazioni complete nel tipo di risorsa di avviso.
Nota
È possibile accedere alle informazioni sugli avvisi di rischio Insider nello spazio dei nomi Alerts e Advanced Hunting Graph. Lo spazio dei nomi alerts fornisce altri metadati.
È possibile accedere a comportamenti ed eventi di rischio Insider nella ricerca avanzata nel API Graph passando query KQL nell'API. Usare questo metodo per eseguire il pull dei dati di supporto per avvisi o indagini specifici.
Per i clienti che usano Office 365'API attività di gestione, è consigliabile eseguire la migrazione a Microsoft Security API Graph per garantire metadati più completi e supporto bidirezionale per i dati IRM.
Impatto sugli utenti Microsoft Sentinel
È consigliabile Microsoft Sentinel ai clienti di usare il connettore dati Gestione dei rischi Insider Microsoft Purview - Microsoft Sentinel per ottenere avvisi di gestione dei rischi Insider in Microsoft Sentinel.
Se si usa l'automazione in caso di eventi imprevisti Microsoft Sentinel, si noti che l'automazione rischia errori a causa di eventi imprevisti di gestione dei rischi Insider che non hanno contenuto di avviso. Per attenuare questo problema, disattivare la condivisione dei dati nelle impostazioni di gestione dei rischi Insider.
Passaggi successivi
Dopo aver esaminato un evento imprevisto o un avviso di rischio Insider, è possibile eseguire una delle operazioni seguenti:
- Continuare a rispondere all'avviso nel portale di Microsoft Purview.
- Usare la ricerca avanzata per analizzare altri eventi di gestione dei rischi Insider nel portale di Microsoft Defender.