Undersøk trusler om insider-risiko i Microsoft Defender-portalen
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Microsoft Purview administrasjon av intern risiko varsler i Microsoft Defender-portalen er avgjørende for å beskytte organisasjonens sensitive informasjon og opprettholde sikkerheten. Disse varslene og innsiktene fra Microsoft Purview administrasjon av intern risiko bidra til å identifisere og redusere interne trusler som datalekkasjer og tyveri av immaterielle rettigheter av ansatte eller entreprenører. Overvåking av disse varslene gjør det mulig for organisasjoner å håndtere sikkerhetshendelser proaktivt, slik at sensitive data forblir beskyttet og samsvarskrav oppfylles.
En viktig fordel med å overvåke varsler om insider-risiko er den enhetlige visningen av alle varsler knyttet til en bruker, slik at soc-analytikere (Security Operations Center) kan koordinere varsler fra Microsoft Purview administrasjon av intern risiko med andre Microsoft-sikkerhetsløsninger. I tillegg kan det å ha disse varslene i Microsoft Defender portalen muliggjør sømløs integrering med avanserte jaktfunksjoner, noe som forbedrer muligheten til å undersøke og reagere på hendelser effektivt.
En annen fordel er automatisk synkronisering av varseloppdateringer mellom Microsoft Purview og Defender-portalene, noe som sikrer synlighet i sanntid og reduserer sjansene for tilsyn. Denne integreringen styrker en organisasjons evne til å oppdage, undersøke og reagere på innsidetrusler, og dermed styrke den generelle sikkerhetsstillingen.
Du kan administrere varsler om insider-risikostyring i Microsoft Defender-portalen ved å navigere til Hendelser & varsler, der du kan:
- Vis alle insider-risikovarsler gruppert under hendelser i hendelseskøen Microsoft Defender portalen.
- Vis insider-risikovarsler som er korrelert med andre Microsoft-løsninger, for eksempel Microsoft Purview hindring av datatap og Microsoft Entra ID, under én enkelt hendelse.
- Vis individuelle insider-risikovarsler i varselkøen.
- Filtrer etter tjenestekilde i hendelses- og varselkøene.
- Jakt på alle aktiviteter og alle varsler relatert til brukeren i insider-risikovarselet.
- Vis en brukers sammendrag og risikonivå for innsiderisiko på brukerenhetssiden.
Vit om før du begynner
Hvis du ikke har brukt Microsoft Purview og insider risk management før, kan du vurdere å lese følgende artikler:
- Finn ut mer om Microsoft Purview
- Finn ut mer om Microsoft Purview administrasjon av intern risiko
- Microsoft Purview-løsninger for datasikkerhet
Forutsetninger
Hvis du vil undersøke varsler om insider-risikostyring i Microsoft Defender-portalen, må du gjøre følgende:
- Bekreft at Microsoft 365-abonnementet støtter insider risk management-tilgang. Vit mer om abonnement og lisensiering.
- Bekreft tilgangen til Microsoft Defender XDR. Se Microsoft Defender XDR lisensieringskrav.
Datadeling med andre sikkerhetsløsninger må være aktivert i innstillingene for datadeling i Microsoft Purview administrasjon av intern risiko. Hvis du slår på detaljer om deling av brukerrisiko med andre sikkerhetsløsninger i Microsoft Purview-portalen, kan brukere med riktige tillatelser se gjennom brukerrisikodetaljer på brukerenhetssidene i Microsoft Defender-portalen. Se Dele alvorsgradnivåer for varsel med andre Microsoft-sikkerhetsløsninger for mer informasjon.
Tillatelser og roller
Microsoft Defender XDR roller
Følgende tillatelser er avgjørende for å få tilgang til varsler om insider-risikostyring i Microsoft Defender-portalen:
- Sikkerhetsoperator
- Sikkerhetsleser
Hvis du vil ha mer informasjon om Microsoft Defender XDR roller, kan du se Administrere tilgang til Microsoft Defender XDR med Microsoft Entra globale roller.
Microsoft Purview administrasjon av intern risiko roller
Du må også være medlem av én av følgende rollegrupper for insider-risikostyring for å vise og administrere varsler om insider-risikostyring i Microsoft Defender-portalen:
- Insider Risk Management
- Insider Risk Management Analysts
- Insider Risk Management Investigators
Hvis du vil ha mer informasjon om disse rollegruppene, kan du se Aktivere tillatelser for insider-risikostyring.
Undersøkelsesopplevelse i Microsoft Defender-portalen
Hendelser
Insider risk management varsler knyttet til en bruker er korrelert til en enkelt hendelse for å sikre en helhetlig tilnærming til hendelsesrespons. Denne korrelasjonen gjør det mulig for SOC-analytikere å ha en enhetlig visning av alle varsler om en bruker som kommer fra Microsoft Purview administrasjon av intern risiko og ulike Defender-produkter. Samle alle varsler gjør det også mulig for SOC-analytikere å vise detaljene for enheter som er involvert i varslene.
Du kan filtrere hendelser ved å velge Microsoft Purview administrasjon av intern risiko under Tjenestekilde.
Varsler
Alle varsler om insider-risikostyring er også synlige i varslingskøen for Microsoft Defender-portalen. Filtrer disse varslene ved å velge Microsoft Purview administrasjon av intern risiko under Tjenestekilde.
Her er et eksempel på et insider risk management-varsel i Microsoft Defender portalen:
Eventuelle oppdateringer som gjøres i et insider risk management-varsel i Microsoft Purview eller Microsoft Defender-portalene, gjenspeiles automatisk i begge portalene. Disse oppdateringene kan omfatte:
- Varselstatus
- Alvorlighetsgraden
- Aktivitet som genererte varselet
- Utløserinformasjon
- Klassifisering
Oppdateringene gjenspeiles i begge portalene innen 30 minutter etter generering eller oppdatering av varsel.
Avansert jakt
Bruk avansert jakt til ytterligere å undersøke insider risikohendelser og atferd. Se tabellen nedenfor for et sammendrag av insider risk management data som er tilgjengelige i avansert jakt.
| Tabellnavn | Beskrivelse |
|---|---|
| AlertInfo | Varsler om insider-risikostyring er tilgjengelige som en del av AlertInfo-tabellen, som inneholder informasjon om varsler fra ulike Microsoft-sikkerhetsløsninger. |
| AlertEvidence | Varsler om insider-risikostyring er tilgjengelige som en del av AlertEvidence-tabellen, som inneholder informasjon om enheter som er knyttet til varsler fra ulike Microsoft-sikkerhetsløsninger. |
| DataSecurityBehaviors | Denne tabellen inneholder innsikt i potensielt mistenkelig brukervirkemåte som bryter med standardpolicyer eller kundedefinerte policyer i Microsoft Purview. |
| DataSecurityEvents | Denne tabellen inneholder berikede hendelser om brukeraktiviteter som bryter med standardpolicyer eller kundedefinerte policyer i Microsoft Purview. |
I eksemplet nedenfor bruker vi DataSecurityEvents-tabellen til å undersøke potensielt mistenkelig brukeratferd. I dette tilfellet lastet brukeren opp en fil til Google Drive, som kan vises som mistenkelig oppførsel hvis et selskap ikke støtter filopplastinger til Google Drive.
Integrer insider risk management-data gjennom Graph API
Du kan bruke Microsoft Security Graph API til å integrere insider risk management-varsler, innsikter og indikatorer med andre SIEM-verktøy, datasjøer, billettsystemer og lignende.
Se tabellen nedenfor for å finne insider risk management-data i bestemte API-er.
| Tabellnavn | Beskrivelse | Modus |
|---|---|---|
| Hendelser | Inkluderer alle insider-risikohendelser i den Defender XDR enhetlige hendelseskøen | Lese/skrive |
| Varsler | Inkluderer alle insider-risikovarsler som deles med Defender XDR enhetlig varselkø | Lese/skrive |
| Avansert jakt | Inkluderer alle insider risk management-data i avansert jakt, inkludert varsler, virkemåter og hendelser | Lese |
Obs!
Varslingsinformasjon om Insider-risiko kan åpnes både i navneområdet Varsler og Avansert jaktgraf. Insider risk behaviors and events in advanced hunting can be accessed in the Graph API by passing KQL queries in the API.
For kunder som bruker Office 365 Management Activity API, anbefaler vi at du overfører til Microsoft Security Graph API for å sikre rikere metadata og toveis støtte for IRM-data.
Innvirkning på Microsoft Sentinel brukere
Microsoft Sentinel kunder som eksporterer Microsoft Purview administrasjon av intern risiko varslingsinformasjon for å integrere varslingsdata for innsiderisiko, rådes til å overføre til Microsoft Defender XDR-Microsoft Sentinel kobling.
Hvis Defender XDR-Microsoft Sentinel-koblingen er slått på, integreres varsler om insider-risikostyring automatisk i Microsoft Sentinel. Skjemaet for varsler er det samme skjemaet som vises i Graph API. Varselskjemaet som vises via Defender XDR-Microsoft Sentinel-koblingen, dekker alle eksisterende felt som eksporteres, og gir ytterligere metadata for varsler om insider-risikostyring.
Obs!
Når Defender XDR-Microsoft Sentinel-koblingen er aktivert, blir Microsoft Purview administrasjon av intern risiko data tilgjengelige i Microsoft Sentinel uavhengig av rollebaserte tilgangskontrollinnstillinger.
Hvis du vil integrere flere insider risk management-data som atferd og hendelser i Microsoft Sentinel, anbefaler vi at du tar Microsoft Sentinel for å Microsoft Defender for å få en enhetlig visning av hele sikkerhetsoperasjonssenteret. Pålasting hjelper deg med å få varsler om insider-risikostyring og andre data fra Microsoft Sentinel til Microsoft Defender, slik at du kan jakte over flere tabeller og andre kraftige arbeidsflyter. Hvis du vil ha informasjon om bord, kan du se Koble Microsoft Sentinel til Microsoft Defender.
Neste trinn
Når du har undersøkt en insider-risikohendelse eller et varsel, kan du gjøre ett av følgende:
- Fortsett å svare på varselet i Microsoft Purview-portalen.
- Bruk avansert jakt til å undersøke andre insider risk management-hendelser i Microsoft Defender portalen.