Изучение угроз внутренних рисков на портале Microsoft Defender
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенном продукту, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Управление внутренними рисками Microsoft Purview оповещения на портале Microsoft Defender имеют жизненно важное значение для защиты конфиденциальной информации организации и обеспечения безопасности. Эти оповещения и аналитические сведения от Управление внутренними рисками Microsoft Purview помогают выявлять и устранять внутренние угрозы, такие как утечка данных и кража интеллектуальной собственности сотрудниками или подрядчиками. Мониторинг этих оповещений позволяет организациям упреждающе устранять инциденты безопасности, обеспечивая защиту конфиденциальных данных и соблюдение требований к соответствию.
Одним из ключевых преимуществ мониторинга оповещений о внутренних рисках является единое представление всех оповещений, связанных с пользователем, что позволяет аналитикам центра управления безопасностью (SOC) сопоставлять оповещения от Управление внутренними рисками Microsoft Purview с другими решениями майкрософт по обеспечению безопасности. Кроме того, наличие этих оповещений на портале Microsoft Defender обеспечивает беспроблемную интеграцию с расширенными возможностями охоты, повышая способность эффективно исследовать инциденты и реагировать на них.
Еще одним преимуществом является автоматическая синхронизация обновлений оповещений между Microsoft Purview и порталами Defender, обеспечивающая видимость в режиме реального времени и снижающая вероятность контроля. Такая интеграция повышает способность организации обнаруживать, исследовать и реагировать на внутренние угрозы, тем самым повышая общую безопасность.
Вы можете управлять оповещениями об управлении внутренними рисками на портале Microsoft Defender, перейдя в папку Инциденты & оповещения, где можно:
- Просмотрите все оповещения о внутренних рисках, сгруппированные по инцидентам в очереди инцидентов портала Microsoft Defender.
- Просмотр оповещений о внутренних рисках, связанных с другими решениями Майкрософт, такими как Защита от потери данных Microsoft Purview и Microsoft Entra ID, в рамках одного инцидента.
- Просмотр отдельных оповещений о внутренних рисках в очереди оповещений.
- Фильтрация по источнику службы по очередям инцидентов и оповещений.
- Поиск всех действий и всех оповещений, связанных с пользователем, в оповещении о внутренних рисках.
- Просмотрите сводку действий по инсайдерской опасности и уровень риска пользователя на странице сущности пользователя.
Перед началом работы
Если вы не знакомы с Microsoft Purview и управлением внутренними рисками, рассмотрите возможность ознакомиться со следующими статьями:
- Подробнее о Microsoft Purview
- Сведения о Управление внутренними рисками Microsoft Purview
- Решения Microsoft Purview для защиты данных
Предварительные условия
Чтобы исследовать оповещения об управлении внутренними рисками на портале Microsoft Defender, необходимо выполнить следующие действия.
- Убедитесь, что ваша подписка На Microsoft 365 поддерживает доступ к управлению внутренними рисками. Узнайте больше о подписке и лицензировании.
- Подтвердите доступ к Microsoft Defender XDR. См. Microsoft Defender XDR требования к лицензированию.
Общий доступ к данным с другими решениями безопасности должен быть включен в параметрах общего доступа к данным в Управление внутренними рисками Microsoft Purview. Включение совместного использования сведений о рисках пользователей с другими решениями безопасности на портале Microsoft Purview позволяет пользователям с правильными разрешениями просматривать сведения о рисках пользователей на страницах сущностей пользователя на портале Microsoft Defender. Дополнительные сведения см. в статье Предоставление общего доступа к уровням серьезности оповещений с другими решениями майкрософт по обеспечению безопасности .
Разрешения и роли
Microsoft Defender XDR роли
Для доступа к оповещениям управления внутренними рисками на портале Microsoft Defender необходимы следующие разрешения:
- Оператор безопасности
- Читатель сведений о безопасности
Дополнительные сведения о ролях Microsoft Defender XDR см. в статье Управление доступом к Microsoft Defender XDR с помощью Microsoft Entra глобальных ролей.
роли Управление внутренними рисками Microsoft Purview
Вы также должны быть членом одной из следующих групп ролей управления внутренними рисками для просмотра оповещений об управлении внутренними рисками и управления ими на портале Microsoft Defender:
- Управление внутренними рисками
- Аналитики по управлению внутренними рисками
- Исследователи управления внутренними рисками
Дополнительные сведения об этих группах ролей см. в статье Включение разрешений для управления внутренними рисками.
Опыт исследования на портале Microsoft Defender
Инциденты
Оповещения об управлении внутренними рисками, связанные с пользователем, сопоставляются с одним инцидентом, чтобы обеспечить целостный подход к реагированию на инциденты. Эта корреляция позволяет аналитикам SOC иметь единое представление всех оповещений о пользователе, поступающих из Управление внутренними рисками Microsoft Purview и различных продуктов Defender. Объединение всех оповещений также позволяет аналитикам SOC просматривать сведения об устройствах, участвующих в оповещениях.
Вы можете отфильтровать инциденты, выбрав Управление внутренними рисками Microsoft Purview в разделе Источник службы.
Оповещения
Все оповещения об управлении внутренними рисками также отображаются в очереди оповещений портала Microsoft Defender. Отфильтруйте эти оповещения, выбрав Управление внутренними рисками Microsoft Purview в разделе Источник службы.
Ниже приведен пример оповещения об управлении внутренними рисками на портале Microsoft Defender:
Все обновления, внесенные в оповещение об управлении внутренними рисками в Microsoft Purview или на порталах Microsoft Defender, автоматически отражаются на обоих порталах. К таким обновлениям могут относиться:
- Состояние оповещений
- Severity
- Действие, создающее оповещение
- Сведения о триггере
- Классификация
Обновления отражаются на обоих порталах в течение 30 минут после создания или обновления оповещений.
Расширенная охота
Используйте расширенную охоту для дальнейшего изучения событий и поведения внутренних рисков. В таблице ниже приведена сводка данных по управлению внутренними рисками, доступных в расширенной охоте.
| Имя таблицы | Описание |
|---|---|
| AlertInfo | Оповещения об управлении внутренними рисками доступны в таблице AlertInfo, которая содержит сведения об оповещениях из различных решений майкрософт по обеспечению безопасности. |
| AlertEvidence | Оповещения об управлении внутренними рисками доступны как часть таблицы AlertEvidence, которая содержит сведения о сущностях, связанных с оповещениями из различных решений безопасности Майкрософт. |
| DataSecurityBehaviors | Эта таблица содержит аналитические сведения о потенциально подозрительном поведении пользователей, которое нарушает политики по умолчанию или определяемые клиентом в Microsoft Purview. |
| DataSecurityEvents | Эта таблица содержит расширенные события о действиях пользователей, которые нарушают политики по умолчанию или определенные клиентом в Microsoft Purview. |
В приведенном ниже примере мы используем таблицу DataSecurityEvents для изучения потенциально подозрительного поведения пользователей. В этом случае пользователь загрузил файл на Google Диск, который можно рассматривать как подозрительное поведение, если компания не поддерживает отправку файлов на Google Диск.
Интеграция данных управления внутренними рисками с помощью API Graph
Вы можете использовать API Graph безопасности Майкрософт для интеграции оповещений, аналитических сведений и индикаторов управления внутренними рисками с другими инструментами SIEM, озерами данных, системами обработки билетов и т. е.
Сведения об управлении внутренними рисками в определенных API см. в таблице ниже.
| Имя таблицы | Описание | Режим |
|---|---|---|
| Инциденты | Включает все инциденты, связанные с внутренними рисками, в Defender XDR единой очереди инцидентов | Чтение и запись |
| Оповещения | Включает все оповещения о внутренних рисках, совместно используемые Defender XDR единой очереди оповещений. | Чтение и запись |
| Расширенная охота | Включает все данные управления внутренними рисками в расширенной охоте, включая оповещения, поведение и события. | Чтение |
Примечание.
Сведения об оповещении о рисках для предварительной оценки можно получить как в пространстве имен оповещений оповещений, так и в пространстве имен графа расширенной охоты. Поведение и события, связанные с внутренними рисками в расширенной охоте, можно получить в API Graph путем передачи запросов KQL в API.
Клиентам, использующим API действий управления Office 365, рекомендуется переходить на Microsoft Security API Graph, чтобы обеспечить более широкие метаданные и двунаправленную поддержку данных IRM.
Влияние на пользователей Microsoft Sentinel
Microsoft Sentinel клиентам, экспортивющим сведения об оповещениях Управление внутренними рисками Microsoft Purview для интеграции данных оповещений о внутренних рисках, рекомендуется перейти на Microsoft Defender XDR-Microsoft Sentinel соединитель.
Если соединитель XDR-Microsoft Sentinel Defender включен, оповещения об управлении внутренними рисками автоматически интегрируются в Microsoft Sentinel. Схема оповещений — это та же схема, что и в API Graph. Схема оповещений, доступная через соединитель Defender XDR-Microsoft Sentinel, охватывает все экспортированные поля и предоставляет дополнительные метаданные для оповещений об управлении внутренними рисками.
Примечание.
Когда соединитель XDR-Microsoft Sentinel Defender включен, Управление внутренними рисками Microsoft Purview данные становятся доступными в Microsoft Sentinel независимо от параметров управления доступом на основе ролей.
Чтобы интегрировать в Microsoft Sentinel дополнительные данные управления внутренними рисками, такие как поведение и события, рекомендуется подключить Microsoft Sentinel, чтобы Microsoft Defender получить унифицированное представление всего центра управления безопасностью. Подключение помогает переносить оповещения управления внутренними рисками и другие данные из Microsoft Sentinel в Microsoft Defender, обеспечивая поиск между таблицами и другие мощные рабочие процессы. Сведения о подключении см. в статье Подключение Microsoft Sentinel к Microsoft Defender.
Дальнейшие действия
Изучив инцидент или оповещение о внутренних рисках, можно выполнить любое из следующих действий:
- Продолжайте отвечать на оповещение на портале Microsoft Purview.
- Используйте расширенную охоту для изучения других событий управления внутренними рисками на портале Microsoft Defender.