Bedreigingen voor intern risico onderzoeken in de Microsoft Defender-portal
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product, dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen expliciete of impliciete garanties met betrekking tot de informatie die hier wordt verstrekt.
Microsoft Purview Beheer van insider-risico's waarschuwingen in de Microsoft Defender portal zijn essentieel voor het beveiligen van gevoelige informatie van een organisatie en het handhaven van de beveiliging. Deze waarschuwingen en inzichten van Microsoft Purview Beheer van insider-risico's helpen bij het identificeren en beperken van interne bedreigingen, zoals gegevenslekken en diefstal van intellectueel eigendom door werknemers of contractanten. Door deze waarschuwingen te bewaken, kunnen organisaties beveiligingsincidenten proactief aanpakken, zodat gevoelige gegevens beschermd blijven en wordt voldaan aan de nalevingsvereisten.
Een belangrijk voordeel van het bewaken van interne risicowaarschuwingen is de uniforme weergave van alle waarschuwingen met betrekking tot een gebruiker, waardoor SOC-analisten (Security Operations Center) waarschuwingen van Microsoft Purview Beheer van insider-risico's kunnen correleren met andere Microsoft-beveiligingsoplossingen. Bovendien maakt het gebruik van deze waarschuwingen in de Microsoft Defender-portal een naadloze integratie met geavanceerde opsporingsmogelijkheden mogelijk, waardoor incidenten effectiever kunnen worden onderzocht en erop kan worden gereageerd.
Een ander voordeel is de automatische synchronisatie van waarschuwingsupdates tussen Microsoft Purview en de Defender-portals, waardoor realtime zichtbaarheid wordt gegarandeerd en de kans op toezicht wordt verkleind. Deze integratie versterkt het vermogen van een organisatie om interne bedreigingen te detecteren, te onderzoeken en erop te reageren, waardoor de algehele beveiligingspostuur wordt verbeterd.
U kunt waarschuwingen voor intern risicobeheer beheren in de Microsoft Defender-portal door te navigeren naar Incidenten & waarschuwingen, waar u het volgende kunt doen:
- Bekijk alle waarschuwingen voor interne risico's die zijn gegroepeerd onder incidenten in de Microsoft Defender portal.
- Bekijk interne risicowaarschuwingen die zijn gecorreleerd met andere Microsoft-oplossingen, zoals Microsoft Purview-preventie van gegevensverlies en Microsoft Entra ID, onder één incident.
- Afzonderlijke waarschuwingen voor intern risico weergeven in de waarschuwingswachtrij.
- Filter op servicebron op de incident- en waarschuwingswachtrijen.
- Zoek naar alle activiteiten en alle waarschuwingen met betrekking tot de gebruiker in de waarschuwing voor intern risico.
- Bekijk het overzicht van de interne risicoactiviteiten en het risiconiveau van een gebruiker op de pagina van de gebruikersentiteit.
Weet voordat u begint
Als u nog geen kennis hebt met Microsoft Purview en intern risicobeheer, kunt u de volgende artikelen lezen:
- Meer informatie over Microsoft Purview
- Meer informatie over Microsoft Purview Beheer van insider-risico's
- Microsoft Purview-oplossingen voor gegevensbeveiliging
Vereisten
Als u waarschuwingen voor intern risicobeheer in de Microsoft Defender-portal wilt onderzoeken, moet u het volgende doen:
- Controleer of uw Microsoft 365-abonnement toegang tot intern risicobeheer ondersteunt. Meer informatie over abonnementen en licenties.
- Bevestig uw toegang tot Microsoft Defender XDR. Zie Microsoft Defender XDR licentievereisten.
Het delen van gegevens met andere beveiligingsoplossingen moet zijn ingeschakeld in de instellingen voor het delen van gegevens in Microsoft Purview Beheer van insider-risico's. Als u gegevens over gebruikersrisico's delen met andere beveiligingsoplossingen inschakelt in de Microsoft Purview-portal, kunnen gebruikers met de juiste machtigingen details van gebruikersrisico's bekijken op de pagina's van de gebruikersentiteit in de Microsoft Defender-portal. Zie Ernstniveaus van waarschuwingen delen met andere Microsoft-beveiligingsoplossingen voor meer informatie.
Machtigingen en rollen
Microsoft Defender XDR rollen
De volgende machtigingen zijn essentieel voor toegang tot waarschuwingen voor intern risicobeheer in de Microsoft Defender portal:
- Beveiligingsoperator
- Beveiligingslezer
Zie Toegang tot Microsoft Defender XDR beheren met Microsoft Entra globale rollen voor meer informatie over Microsoft Defender XDR rollen.
Microsoft Purview Beheer van insider-risico's rollen
U moet ook lid zijn van een van de volgende rollengroepen voor intern risicobeheer om waarschuwingen voor intern risicobeheer in de Microsoft Defender portal weer te geven en te beheren:
- Intern risicobeheer
- Analisten van Risicobeheer voor Insiders
- Onderzoekers van Risicobeheer voor Insiders
Zie Machtigingen inschakelen voor intern risicobeheer voor meer informatie over deze rolgroepen.
Onderzoekservaring in de Microsoft Defender-portal
Incidenten
Waarschuwingen voor intern risicobeheer met betrekking tot een gebruiker worden gecorreleerd aan één incident om een holistische benadering van incidentrespons te garanderen. Dankzij deze correlatie kunnen SOC-analisten een uniforme weergave hebben van alle waarschuwingen over een gebruiker die afkomstig is van Microsoft Purview Beheer van insider-risico's en verschillende Defender-producten. Door alle waarschuwingen samen te stellen, kunnen SOC-analisten ook de details bekijken van apparaten die bij de waarschuwingen betrokken zijn.
U kunt incidenten filteren door Microsoft Purview Beheer van insider-risico's te kiezen onder Servicebron.
Waarschuwingen
Alle waarschuwingen voor intern risicobeheer zijn ook zichtbaar in de waarschuwingswachtrij van de Microsoft Defender portal. Filter deze waarschuwingen door Microsoft Purview Beheer van insider-risico's te kiezen onder Servicebron.
Hier volgt een voorbeeld van een waarschuwing voor intern risicobeheer in de Microsoft Defender-portal:
Updates van een waarschuwing voor intern risicobeheer in Microsoft Purview of de Microsoft Defender-portals worden automatisch weergegeven in beide portals. Deze updates kunnen het volgende omvatten:
- Waarschuwingsstatus
- Ernst
- Activiteit die de waarschuwing heeft gegenereerd
- Triggergegevens
- Classificatie
De updates worden binnen 30 minuten na het genereren of bijwerken van waarschuwingen weergegeven in beide portals.
Geavanceerd opsporen
Gebruik geavanceerde opsporing om risico-gebeurtenissen en gedrag van binnenuit verder te onderzoeken. Raadpleeg de onderstaande tabel voor een samenvatting van interne risicobeheergegevens die beschikbaar zijn in geavanceerde opsporing.
| Tabelnaam | Beschrijving |
|---|---|
| AlertInfo | Waarschuwingen voor intern risicobeheer zijn beschikbaar als onderdeel van de tabel AlertInfo, die informatie bevat over waarschuwingen van verschillende Microsoft-beveiligingsoplossingen. |
| AlertEvidence | Waarschuwingen voor intern risicobeheer zijn beschikbaar als onderdeel van de tabel AlertEvidence, die informatie bevat over entiteiten die zijn gekoppeld aan waarschuwingen van verschillende Microsoft-beveiligingsoplossingen. |
| DataSecurityBehaviors | Deze tabel bevat inzichten in mogelijk verdacht gebruikersgedrag dat het standaardbeleid of door de klant gedefinieerde beleidsregels in Microsoft Purview schendt. |
| DataSecurityEvents | Deze tabel bevat verrijkte gebeurtenissen over gebruikersactiviteiten die het standaard- of door de klant gedefinieerde beleid in Microsoft Purview schenden. |
In het onderstaande voorbeeld gebruiken we de tabel DataSecurityEvents om mogelijk verdacht gebruikersgedrag te onderzoeken. In dit geval heeft de gebruiker een bestand geüpload naar Google Drive, wat kan worden gezien als verdacht gedrag als een bedrijf geen ondersteuning biedt voor bestandsuploads naar Google Drive.
Interne risicobeheergegevens integreren via Graph API
U kunt Microsoft Security Graph API gebruiken om waarschuwingen, inzichten en indicatoren voor intern risicobeheer te integreren met andere SIEM-hulpprogramma's, data lakes, ticketingsystemen en dergelijke.
Raadpleeg de onderstaande tabel voor informatie over intern risicobeheer in specifieke API's.
| Tabelnaam | Beschrijving | Modus |
|---|---|---|
| Incidenten | Omvat alle interne risico-incidenten in de Defender XDR uniforme incidentwachtrij | Lezen/schrijven |
| Waarschuwingen | Omvat alle interne risicowaarschuwingen die worden gedeeld met Defender XDR geïntegreerde waarschuwingswachtrij | Lezen/schrijven |
| Geavanceerd opsporen | Bevat alle interne risicobeheergegevens in geavanceerde opsporing, waaronder waarschuwingen, gedrag en gebeurtenissen | Lezen |
Opmerking
Informatie over interne risicowaarschuwingen kan worden geopend in zowel de naamruimte Waarschuwingen als Geavanceerde opsporingsgrafiek. Intern risicogedrag en gebeurtenissen bij geavanceerde opsporing kunnen worden geopend in de Graph API door KQL-query's door te geven in de API.
Voor klanten die Office 365 Management Activity API gebruiken, raden we aan te migreren naar Microsoft Security Graph API om uitgebreidere metagegevens en bidirectionele ondersteuning voor IRM-gegevens te garanderen.
Gevolgen voor Microsoft Sentinel gebruikers
Microsoft Sentinel klanten die Microsoft Purview Beheer van insider-risico's waarschuwingsinformatie exporteren om interne risicowaarschuwingsgegevens te integreren, wordt aangeraden te migreren naar de Microsoft Defender XDR-Microsoft Sentinel-connector.
Als de Defender XDR-Microsoft Sentinel-connector is ingeschakeld, worden waarschuwingen voor intern risicobeheer automatisch geïntegreerd in Microsoft Sentinel. Het schema voor waarschuwingen is hetzelfde schema dat wordt weergegeven in Graph API. Het waarschuwingsschema dat wordt weergegeven via de Defender XDR-Microsoft Sentinel-connector omvat alle bestaande velden die zijn geëxporteerd en biedt aanvullende metagegevens voor waarschuwingen voor intern risicobeheer.
Opmerking
Wanneer de Defender XDR-Microsoft Sentinel-connector is ingeschakeld, worden Microsoft Purview Beheer van insider-risico's gegevens toegankelijk in Microsoft Sentinel ongeacht de instellingen voor op rollen gebaseerd toegangsbeheer.
Voor het integreren van aanvullende interne risicobeheergegevens, zoals gedrag en gebeurtenissen in Microsoft Sentinel, raden we u aan Microsoft Sentinel te onboarden voor Microsoft Defender om een uniforme weergave van uw hele beveiligingscentrum te krijgen. Met onboarding kunt u waarschuwingen voor intern risicobeheer en andere gegevens uit Microsoft Sentinel naar Microsoft Defender brengen, zodat u tabeloverschrijdende opsporing en andere krachtige werkstromen mogelijk maakt. Zie Connect Microsoft Sentinel to Microsoft Defender (Verbinding maken met Microsoft Defender) voor onboarding.
Volgende stappen
Nadat u een intern risicoincident of waarschuwing hebt onderzocht, kunt u het volgende doen:
- Blijf reageren op de waarschuwing in de Microsoft Purview-portal.
- Gebruik geavanceerde opsporing om andere gebeurtenissen voor intern risicobeheer in de Microsoft Defender-portal te onderzoeken.