Изучение угроз внутренних рисков на портале Microsoft Defender
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенном продукту, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Управление внутренними рисками Microsoft Purview оповещения на портале Microsoft Defender имеют жизненно важное значение для защиты конфиденциальной информации организации и обеспечения безопасности. Эти оповещения и аналитические сведения от Управление внутренними рисками Microsoft Purview помогают выявлять и устранять внутренние угрозы, такие как утечка данных и кража интеллектуальной собственности сотрудниками или подрядчиками. Мониторинг этих оповещений позволяет организациям упреждающе устранять инциденты безопасности, обеспечивая защиту конфиденциальных данных и соблюдение требований к соответствию.
Одним из ключевых преимуществ мониторинга оповещений о внутренних рисках является единое представление всех оповещений, связанных с пользователем, что позволяет аналитикам центра управления безопасностью (SOC) сопоставлять оповещения от Управление внутренними рисками Microsoft Purview с другими решениями майкрософт по обеспечению безопасности. Кроме того, наличие этих оповещений на портале Microsoft Defender обеспечивает беспроблемную интеграцию с расширенными возможностями охоты, повышая способность эффективно исследовать инциденты и реагировать на них.
Еще одним преимуществом является автоматическая синхронизация обновлений оповещений между Microsoft Purview и порталами Defender, обеспечивающая видимость в режиме реального времени и снижающая вероятность контроля. Такая интеграция повышает способность организации обнаруживать, исследовать и реагировать на внутренние угрозы, тем самым повышая общую безопасность.
Вы можете управлять оповещениями об управлении внутренними рисками на портале Microsoft Defender, перейдя в папку Инциденты & оповещения, где можно:
- Просмотрите все оповещения о внутренних рисках, сгруппированные по инцидентам в очереди инцидентов портала Microsoft Defender.
- Просмотр оповещений о внутренних рисках, связанных с другими решениями Майкрософт, такими как Защита от потери данных Microsoft Purview и Microsoft Entra ID, в рамках одного инцидента.
- Просмотр отдельных оповещений о внутренних рисках в очереди оповещений.
- Фильтрация по источнику службы по очередям инцидентов и оповещений.
- Поиск всех действий и всех оповещений, связанных с пользователем, в оповещении о внутренних рисках.
- Просмотрите сводку действий по инсайдерской опасности и уровень риска пользователя на странице сущности пользователя.
Перед началом работы
Если вы не знакомы с Microsoft Purview и управлением внутренними рисками, рассмотрите возможность ознакомиться со следующими статьями:
- Подробнее о Microsoft Purview
- Сведения о Управление внутренними рисками Microsoft Purview
- Решения Microsoft Purview для защиты данных
Предварительные условия
Чтобы исследовать оповещения об управлении внутренними рисками на портале Microsoft Defender, необходимо выполнить следующие действия.
- Убедитесь, что ваша подписка На Microsoft 365 поддерживает доступ к управлению внутренними рисками. Узнайте больше о подписке и лицензировании.
- Подтвердите доступ к Microsoft Defender XDR. См. Microsoft Defender XDR требования к лицензированию.
Общий доступ к данным с другими решениями безопасности должен быть включен в параметрах общего доступа к данным в Управление внутренними рисками Microsoft Purview. Включение совместного использования сведений о рисках пользователей с другими решениями безопасности на портале Microsoft Purview позволяет пользователям с правильными разрешениями просматривать сведения о рисках пользователей на страницах сущностей пользователя на портале Microsoft Defender.
Дополнительные сведения см. в статье Предоставление общего доступа к уровням серьезности оповещений с другими решениями майкрософт по обеспечению безопасности .
Разрешения и роли
Microsoft Defender XDR роли
Для доступа к оповещениям управления внутренними рисками на портале Microsoft Defender необходимы следующие разрешения:
- Оператор безопасности
- Читатель сведений о безопасности
Дополнительные сведения о ролях Microsoft Defender XDR см. в статье Управление доступом к Microsoft Defender XDR с помощью Microsoft Entra глобальных ролей.
роли Управление внутренними рисками Microsoft Purview
Вы также должны быть членом одной из следующих групп ролей управления внутренними рисками для просмотра оповещений об управлении внутренними рисками и управления ими на портале Microsoft Defender:
- Управление внутренними рисками
- Аналитики по управлению внутренними рисками
- Исследователи управления внутренними рисками
Дополнительные сведения об этих группах ролей см. в статье Включение разрешений для управления внутренними рисками.
Роли Microsoft API Graph
Клиенты, интегрирующие оповещения управления внутренними рисками с другими средствами управления информационной безопасностью и событиями безопасности (SIEM) с помощью API безопасности Microsoft Graph, должны иметь следующие разрешения для успешного доступа к соответствующим Microsoft Defender данным через API:
| Разрешения приложения | Инциденты | Оповещения | События поведения & | Расширенная охота |
|---|---|---|---|---|
| SecurityIncident.Read.All | Чтение | Чтение | Чтение | |
| SecurityIncident.ReadWrite.All | Чтение и запись | Чтение и запись | Чтение | |
| SecurityIAlert.Read.All | Чтение | Чтение | ||
| SecurityAlert.ReadWrite.All | Чтение и запись | Чтение | ||
| SecurityEvents.Read.All | Чтение | |||
| SecurityEvents.ReadWrite.All | Чтение | |||
| ThreatHunting.Read.All | Чтение |
Дополнительные сведения об интеграции данных с помощью API безопасности Microsoft Graph см. в статье Интеграция данных управления внутренними рисками с API безопасности Microsoft Graph.
Опыт исследования на портале Microsoft Defender
Инциденты
Оповещения об управлении внутренними рисками, связанные с пользователем, сопоставляются с одним инцидентом, чтобы обеспечить целостный подход к реагированию на инциденты. Эта корреляция позволяет аналитикам SOC иметь единое представление всех оповещений о пользователе, поступающих из Управление внутренними рисками Microsoft Purview и различных продуктов Defender. Объединение всех оповещений также позволяет аналитикам SOC просматривать сведения об устройствах, участвующих в оповещениях.
Вы можете отфильтровать инциденты, выбрав Управление внутренними рисками Microsoft Purview в разделе Источник службы.
Оповещения
Все оповещения об управлении внутренними рисками также отображаются в очереди оповещений портала Microsoft Defender. Отфильтруйте эти оповещения, выбрав Управление внутренними рисками Microsoft Purview в разделе Источник службы.
Ниже приведен пример оповещения об управлении внутренними рисками на портале Microsoft Defender:
Microsoft Defender XDR и Управление внутренними рисками Microsoft Purview следуют разным платформам состояния оповещений и классификации. Для синхронизации состояний оповещений между двумя решениями используется следующее сопоставление оповещений:
| состояние оповещения Microsoft Defender | состояние оповещения Управление внутренними рисками Microsoft Purview |
|---|---|
| Создать | Требуется проверка |
| Выполняется | Требуется проверка |
| Устранено | Зависимая классификация. Если классификация недоступна, состояние оповещения по умолчанию задается на Отклонено . |
Для синхронизации классификации оповещений между двумя решениями используется следующее сопоставление классификации оповещений:
| классификация оповещений Microsoft Defender | классификация оповещений Управление внутренними рисками Microsoft Purview |
|---|---|
| Истинное положительное включает многоэтапную атаку, фишинг и т. д. |
Confirmed |
| Информация, ожидаемые действия (доброкачественные положительные) Включает тестирование безопасности, подтвержденное действие и т. д. |
Закрыто |
| Ложноположительный результат Включает не вредоносные, недостаточно данных для проверки и т. д. |
Закрыто |
Дополнительные сведения о состояниях оповещений и классификациях в Microsoft Defender XDR см. в разделе Управление оповещениями в Microsoft Defender.
Все обновления, внесенные в оповещение об управлении внутренними рисками в Microsoft Purview или на порталах Microsoft Defender, автоматически отражаются на обоих порталах. К таким обновлениям могут относиться:
- Состояние оповещений
- Severity
- Действие, создающее оповещение
- Сведения о триггере
- Классификация
Обновления отражаются на обоих порталах в течение 30 минут после создания или обновления оповещений.
Примечание.
Оповещения, созданные на основе пользовательских обнаружений, или результаты запроса связи с инцидентами недоступны на портале Microsoft Purview.
Следующие данные по управлению внутренними рисками пока недоступны в этой интеграции:
- События кражи по электронной почте
- Рискованные события использования ИИ
- События сторонних облачных приложений
- События, произошедшие до создания оповещения
- Исключения для событий, определенных администратором
- Инциденты управления внутренними рисками в настоящее время не содержат оповещений, влияющих на Microsoft Sentinel пользователей. Дополнительные сведения см. в статье Влияние Microsoft Sentinel пользователей.
Расширенная охота
Используйте расширенную охоту для дальнейшего изучения событий и поведения внутренних рисков. В таблице ниже приведена сводка данных по управлению внутренними рисками, доступных в расширенной охоте.
| Имя таблицы | Описание |
|---|---|
| AlertInfo | Оповещения об управлении внутренними рисками доступны в таблице AlertInfo, которая содержит сведения об оповещениях из различных решений майкрософт по обеспечению безопасности. |
| AlertEvidence | Оповещения об управлении внутренними рисками доступны как часть таблицы AlertEvidence, которая содержит сведения о сущностях, связанных с оповещениями из различных решений безопасности Майкрософт. |
| DataSecurityBehaviors | Эта таблица содержит аналитические сведения о потенциально подозрительном поведении пользователей, которое нарушает политики по умолчанию или определяемые клиентом в Microsoft Purview. |
| DataSecurityEvents | Эта таблица содержит расширенные события о действиях пользователей, которые нарушают политики по умолчанию или определенные клиентом в Microsoft Purview. |
В приведенном ниже примере мы используем таблицу DataSecurityEvents для изучения потенциально подозрительного поведения пользователей. В этом случае пользователь загрузил файл на Google Диск, который можно рассматривать как подозрительное поведение, если компания не поддерживает отправку файлов на Google Диск.
Чтобы получить доступ к данным о внутренних рисках в расширенной охоте, пользователи должны иметь следующие Управление внутренними рисками Microsoft Purview роли:
- Аналитик по управлению внутренними рисками
- Следователь по управлению внутренними рисками
Интеграция данных управления внутренними рисками с API безопасности Microsoft Graph
Используйте API безопасности Microsoft Graph для интеграции оповещений, аналитических сведений и индикаторов управления внутренними рисками с другими инструментами SIEM, такими как Microsoft Sentinel, ServiceNow или Splunk. Вы также можете использовать API безопасности для интеграции данных управления внутренними рисками в озера данных, системы билетов и тому подобное.
Сведения о настройке microsoft API Graph см. в статье Использование microsoft API Graph.
Сведения об управлении внутренними рисками в определенных API см. в таблице ниже.
| Имя таблицы | Описание | Режим |
|---|---|---|
| Инциденты | Включает все инциденты, связанные с внутренними рисками, в Defender XDR единой очереди инцидентов | Чтение и запись |
| Оповещения | Включает все оповещения о внутренних рисках, совместно используемые Defender XDR единой очереди оповещений. | Чтение и запись |
| Расширенная охота | Включает все данные управления внутренними рисками в расширенной охоте, включая оповещения, поведение и события. | Чтение |
Метаданные оповещений о внутренних рисках являются частью типа ресурса оповещения в API безопасности Microsoft Graph. Полные сведения см. в разделе Тип ресурса оповещения.
Примечание.
Сведения об оповещении о рисках для предварительной оценки можно получить как в пространстве имен оповещений оповещений, так и в пространстве имен графа расширенной охоты. Пространство имен оповещений предоставляет дополнительные метаданные.
Поведение и события, связанные с внутренними рисками в расширенной охоте, можно получить в API Graph путем передачи запросов KQL в API. Используйте этот метод для извлечения вспомогательных данных для конкретных оповещений или расследований.
Клиентам, использующим API действий управления Office 365, рекомендуется переходить на Microsoft Security API Graph, чтобы обеспечить более широкие метаданные и двунаправленную поддержку данных IRM.
Влияние на пользователей Microsoft Sentinel
Мы рекомендуем Microsoft Sentinel клиентам использовать соединитель данных Управление внутренними рисками Microsoft Purview — Microsoft Sentinel для получения оповещений об управлении внутренними рисками в Microsoft Sentinel.
Если вы используете автоматизацию для Microsoft Sentinel инцидентов, обратите внимание, что автоматизация рискует сбоем из-за инцидентов управления внутренними рисками, в которых нет содержимого оповещений. Чтобы устранить эту проблему, отключите общий доступ к данным в параметрах управления внутренними рисками.
Дальнейшие действия
Изучив инцидент или оповещение о внутренних рисках, можно выполнить любое из следующих действий:
- Продолжайте отвечать на оповещение на портале Microsoft Purview.
- Используйте расширенную охоту для изучения других событий управления внутренними рисками на портале Microsoft Defender.