Investigar ameaças de risco interno no portal do Microsoft Defender
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias expressas ou implícitas relativamente às informações aqui fornecidas.
Gerenciamento de Risco Interno do Microsoft Purview alertas no portal do Microsoft Defender são vitais para proteger as informações confidenciais de uma organização e manter a segurança. Estes alertas e informações de Gerenciamento de Risco Interno do Microsoft Purview ajudar a identificar e mitigar ameaças internas, como fugas de dados e roubo de propriedade intelectual por funcionários ou empreiteiros. A monitorização destes alertas permite que as organizações resolvam incidentes de segurança proativamente, garantindo que os dados confidenciais permanecem protegidos e que os requisitos de conformidade são cumpridos.
Uma das principais vantagens da monitorização de alertas de risco interno é a vista unificada de todos os alertas relacionados com um utilizador, permitindo que os analistas do Centro de Operações de Segurança (SOC) correlacionem alertas de Gerenciamento de Risco Interno do Microsoft Purview com outras soluções de segurança da Microsoft. Além disso, ter estes alertas no portal do Microsoft Defender permite uma integração totalmente integrada com capacidades avançadas de investigação, melhorando a capacidade de investigar e responder a incidentes de forma eficaz.
Outra vantagem é a sincronização automática de atualizações de alertas entre o Microsoft Purview e os portais do Defender, garantindo visibilidade em tempo real e reduzindo as hipóteses de supervisão. Esta integração reforça a capacidade de uma organização de detetar, investigar e responder a ameaças internas, melhorando assim a postura de segurança geral.
Pode gerir alertas de gestão de riscos internos no portal do Microsoft Defender ao navegar para Os incidentes & alertas, onde pode:
- Veja todos os alertas de risco interno agrupados em incidentes na fila de incidentes do portal Microsoft Defender.
- Veja alertas de risco interno correlacionados com outras soluções da Microsoft, como Prevenção Contra Perda de Dados do Microsoft Purview e Microsoft Entra ID, num único incidente.
- Ver alertas individuais de risco interno na fila de alertas.
- Filtre por origem de serviço nas filas de incidentes e alertas.
- Procure todas as atividades e todos os alertas relacionados com o utilizador no alerta de risco interno.
- Veja o resumo da atividade de risco interno e o nível de risco de um utilizador na página da entidade do utilizador.
Antes de começar
Se não estiver familiarizado com o Microsoft Purview e com a gestão de riscos internos, considere ler os seguintes artigos:
- Saiba mais sobre o Microsoft Purview
- Saiba mais sobre Gerenciamento de Risco Interno do Microsoft Purview
- Soluções de segurança de dados do Microsoft Purview
Pré-requisitos
Para investigar alertas de gestão de riscos internos no portal do Microsoft Defender, tem de fazer o seguinte:
- Confirme que a sua subscrição do Microsoft 365 suporta o acesso de gestão de riscos internos. Saiba mais sobre a subscrição e o licenciamento.
- Confirme o acesso ao Microsoft Defender XDR. Veja Microsoft Defender XDR requisitos de licenciamento.
A partilha de dados com outras soluções de segurança tem de ser ativada nas definições de Partilha de dados no Gerenciamento de Risco Interno do Microsoft Purview. Ativar Partilhar detalhes de risco do utilizador com outras soluções de segurança no portal do Microsoft Purview permite que os utilizadores com as permissões corretas revejam os detalhes de risco do utilizador nas páginas da entidade de utilizador no portal do Microsoft Defender. Veja Partilhar níveis de gravidade de alertas com outras soluções de segurança da Microsoft para obter mais informações.
Funções e permissões
funções de Microsoft Defender XDR
As seguintes permissões são essenciais para aceder a alertas de gestão de riscos internos no portal do Microsoft Defender:
- Operador de Segurança
- Leitor de Segurança
Para obter mais informações sobre Microsoft Defender XDR funções, veja Manage access to Microsoft Defender XDR with Microsoft Entra global roles (Gerir o acesso a Microsoft Defender XDR com Microsoft Entra funções globais).
funções de Gerenciamento de Risco Interno do Microsoft Purview
Também tem de ser membro de um dos seguintes grupos de funções de gestão de riscos internos para ver e gerir alertas de gestão de riscos internos no portal do Microsoft Defender:
- Gerenciamento de riscos internos
- Analistas do Gerenciamento de Risco Interno
- Investigadores do Gerenciamento de Risco Interno
Para obter mais informações sobre estes grupos de funções, veja Ativar permissões para a gestão de riscos internos.
Experiência de investigação no portal do Microsoft Defender
Incidentes
Os alertas de gestão de riscos internos relacionados com um utilizador estão correlacionados com um único incidente para garantir uma abordagem holística à resposta a incidentes. Esta correlação permite que os analistas do SOC tenham uma vista unificada de todos os alertas sobre um utilizador provenientes de Gerenciamento de Risco Interno do Microsoft Purview e de vários produtos defender. Unificar todos os alertas também permite que os analistas do SOC vejam os detalhes dos dispositivos envolvidos nos alertas.
Pode filtrar incidentes ao selecionar Gerenciamento de Risco Interno do Microsoft Purview em Origem do serviço.
Alertas
Todos os alertas de gestão de riscos internos também são visíveis na fila de alertas do portal do Microsoft Defender. Filtre estes alertas ao selecionar Gerenciamento de Risco Interno do Microsoft Purview em Origem do serviço.
Eis um exemplo de um alerta de gestão de riscos internos no portal do Microsoft Defender:
Todas as atualizações efetuadas a um alerta de gestão de riscos internos no Microsoft Purview ou nos portais Microsoft Defender são refletidas automaticamente em ambos os portais. Estas atualizações podem incluir:
- Status do alerta
- Severity
- Atividade que gerou o alerta
- Informações do acionador
- Classificação
As atualizações são refletidas em ambos os portais no prazo de 30 minutos após a geração ou atualização do alerta.
Busca avançada
Utilize a investigação avançada para investigar melhor os comportamentos e eventos de risco interno. Veja a tabela abaixo para obter um resumo dos dados de gestão de riscos internos disponíveis na investigação avançada.
| Nome da tabela | Descrição |
|---|---|
| AlertInfo | Os alertas de gestão de riscos internos estão disponíveis como parte da tabela AlertInfo, que contém informações sobre alertas de várias soluções de segurança da Microsoft. |
| AlertEvidence | Os alertas de gestão de riscos internos estão disponíveis como parte da tabela AlertEvidence, que contém informações sobre entidades associadas a alertas de várias soluções de segurança da Microsoft. |
| DataSecurityBehaviors | Esta tabela contém informações sobre o comportamento potencialmente suspeito do utilizador que viola as políticas predefinidas ou definidas pelo cliente no Microsoft Purview. |
| DataSecurityEvents | Esta tabela contém eventos melhorados sobre atividades de utilizador que violam as políticas predefinidas ou definidas pelo cliente no Microsoft Purview. |
No exemplo abaixo, utilizamos a tabela DataSecurityEvents para investigar comportamentos de utilizador potencialmente suspeitos. Neste caso, o utilizador carregou um ficheiro para o Google Drive, que pode ser visto como um comportamento suspeito se uma empresa não suportar carregamentos de ficheiros para o Google Drive.
Integrar dados de gestão de riscos internos através de API do Graph
Pode utilizar o Microsoft Security API do Graph para integrar alertas, informações e indicadores de gestão de riscos internos com outras ferramentas SIEM, data lakes, sistemas de pedidos de suporte e similares.
Veja a tabela abaixo para encontrar dados de gestão de riscos internos em APIs específicas.
| Nome da tabela | Descrição | Modo |
|---|---|---|
| Incidentes | Inclui todos os incidentes de risco interno na fila de incidentes unificada Defender XDR | Leitura/gravação |
| Alertas | Inclui todos os alertas de risco interno partilhados com Defender XDR fila de alertas unificada | Leitura/gravação |
| Busca avançada | Inclui todos os dados de gestão de riscos internos na investigação avançada, incluindo Alertas, Comportamentos e Eventos | Leitura |
Observação
As informações de alertas de risco interno podem ser acedidas no espaço de nomes alertas e Investigação avançada. Os comportamentos de risco interno e os eventos na investigação avançada podem ser acedidos no API do Graph ao transmitir consultas KQL na API.
Para os clientes que utilizam a API de Atividade de Gestão de Office 365, recomendamos migrar para o Microsoft Security API do Graph para garantir metadados mais avançados e suporte bidirecional para dados de IRM.
Impacto para Microsoft Sentinel utilizadores
Microsoft Sentinel clientes que exportam Gerenciamento de Risco Interno do Microsoft Purview informações de alerta para integrar dados de alertas de risco interno são aconselhados a migrar para o Microsoft Defender XDR-Microsoft Sentinel conector.
Se o conector do Defender XDR-Microsoft Sentinel estiver ativado, os alertas de gestão de riscos internos são automaticamente integrados no Microsoft Sentinel. O esquema para alertas é o mesmo esquema exposto no API do Graph. O esquema de alerta exposto através do conector do Defender XDR-Microsoft Sentinel abrange todos os campos existentes exportados e fornece metadados adicionais para alertas de gestão de riscos internos.
Observação
Quando o conector do Defender XDR-Microsoft Sentinel está ativado, Gerenciamento de Risco Interno do Microsoft Purview dados ficam acessíveis no Microsoft Sentinel, independentemente das definições de controlo de acesso baseado em funções.
Para integrar dados adicionais de gestão de riscos internos, como comportamentos e eventos no Microsoft Sentinel, recomendamos a inclusão de Microsoft Sentinel para Microsoft Defender para obter uma vista unificada de todo o seu centro de operações de segurança. A inclusão ajuda-o a colocar alertas de gestão de riscos internos e outros dados de Microsoft Sentinel em Microsoft Defender, permitindo a investigação entre tabelas e outros fluxos de trabalho poderosos. Para integrar, consulte Ligar Microsoft Sentinel ao Microsoft Defender.
Próximas etapas
Depois de investigar um incidente ou alerta de risco interno, pode efetuar um dos seguintes procedimentos:
- Continue a responder ao alerta no portal do Microsoft Purview.
- Utilize a investigação avançada para investigar outros eventos de gestão de riscos internos no portal do Microsoft Defender.