Dela via


Undersöka insiderriskhot i Microsoft Defender-portalen

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt, som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier uttryckta eller underförstådda med avseende på den information som tillhandahålls här.

Hantering av interna risker i Microsoft Purview aviseringar i Microsoft Defender portalen är viktiga för att skydda en organisations känsliga information och upprätthålla säkerheten. Dessa aviseringar och insikter från Hantering av interna risker i Microsoft Purview hjälpa till att identifiera och minimera interna hot som dataläckor och stöld av immateriella rättigheter av anställda eller entreprenörer. Genom att övervaka dessa aviseringar kan organisationer hantera säkerhetsincidenter proaktivt, se till att känsliga data förblir skyddade och att efterlevnadskraven uppfylls.

En viktig fördel med att övervaka insiderriskaviseringar är en enhetlig vy över alla aviseringar som är relaterade till en användare, så att SOC-analytiker (Security Operations Center) kan korrelera aviseringar från Hantering av interna risker i Microsoft Purview med andra Microsoft-säkerhetslösningar. Dessutom möjliggör dessa aviseringar i Microsoft Defender-portalen sömlös integrering med avancerade jaktfunktioner, vilket förbättrar möjligheten att undersöka och reagera effektivt på incidenter.

En annan fördel är den automatiska synkroniseringen av aviseringsuppdateringar mellan Microsoft Purview och Defender-portalerna, vilket säkerställer synlighet i realtid och minskar risken för tillsyn. Den här integreringen stärker en organisations förmåga att identifiera, undersöka och reagera på insiderhot, vilket förbättrar den övergripande säkerhetspositionen.

Du kan hantera aviseringar om hantering av insiderrisk i Microsoft Defender-portalen genom att gå till Incidenter & aviseringar, där du kan:

  • Visa alla insiderriskaviseringar grupperade under incidenter i Microsoft Defender portalens incidentkö.
  • Visa insiderriskaviseringar som är korrelerade med andra Microsoft-lösningar, till exempel Dataförlustskydd i Microsoft Purview och Microsoft Entra ID, under en enda incident.
  • Visa enskilda insiderriskaviseringar i aviseringskön.
  • Filtrera efter tjänstkälla på incident- och aviseringsköerna.
  • Jaga efter alla aktiviteter och alla aviseringar som är relaterade till användaren i aviseringen om insiderrisk.
  • Visa en användares sammanfattning av insiderriskaktivitet och risknivå på användarentitetssidan.

Ha kunskap innan du börjar

Om du inte har använt Microsoft Purview och hantering av insiderrisk kan du läsa följande artiklar:

Förhandskrav

Om du vill undersöka aviseringar för hantering av insiderrisk i Microsoft Defender-portalen måste du göra följande:

Datadelning med andra säkerhetslösningar måste aktiveras i inställningarna för datadelning i Hantering av interna risker i Microsoft Purview. Om du aktiverar Dela information om användarrisker med andra säkerhetslösningar i Microsoft Purview-portalen kan användare med rätt behörigheter granska information om användarrisk på användarentitetssidorna i Microsoft Defender-portalen.

Mer information finns i Dela allvarlighetsgradsnivåer för aviseringar med andra Microsoft-säkerhetslösningar .

Markera inställningen i Microsoft Purview-portalen som krävs för att insiderriskaviseringar ska visas i Defender XDR.

Behörigheter och roller

Microsoft Defender XDR roller

Följande behörigheter är viktiga för åtkomst till aviseringar om hantering av insiderrisk i Microsoft Defender-portalen:

  • Säkerhetsoperatör
  • Säkerhetsläsare

Mer information om Microsoft Defender XDR roller finns i Hantera åtkomst till Microsoft Defender XDR med Microsoft Entra globala roller.

Hantering av interna risker i Microsoft Purview roller

Du måste också vara medlem i någon av följande rollgrupper för hantering av insiderrisk för att visa och hantera aviseringar om hantering av insiderrisk i Microsoft Defender-portalen:

  • Hantering av insiderrisk
  • Analytiker för hantering av interna risker
  • Utredare för hantering av interna risker

Mer information om dessa rollgrupper finns i Aktivera behörigheter för hantering av insiderrisk.

Microsoft Graph API-roller

Kunder som integrerar aviseringar för hantering av insiderrisk med andra SIEM-verktyg (säkerhetsinformation och händelsehantering) med hjälp av Säkerhets-API:et för Microsoft Graph måste ha följande behörigheter för att få åtkomst till relevanta Microsoft Defender data via API:er:

Programbehörigheter Incidenter Varningar Beteenden & händelser Avancerad jakt
SecurityIncident.Read.All Läsa Läsa Läsa
SecurityIncident.ReadWrite.All Läsa/skriva Läsa/skriva Läsa
SecurityIAlert.Read.All Läsa Läsa
SecurityAlert.ReadWrite.All Läsa/skriva Läsa
SecurityEvents.Read.All Läsa
SecurityEvents.ReadWrite.All Läsa
ThreatHunting.Read.All Läsa

Mer information om hur du integrerar data med hjälp av Microsoft Graph-säkerhets-API:et i Integrera data för hantering av insiderrisk med Säkerhets-API för Microsoft Graph.

Undersökningsupplevelse i Microsoft Defender-portalen

Incidenter

Aviseringar om hantering av insiderrisk som är relaterade till en användare korreleras med en enda incident för att säkerställa en helhetssyn på incidenthantering. Den här korrelationen gör att SOC-analytiker kan ha en enhetlig vy över alla aviseringar om en användare som kommer från Hantering av interna risker i Microsoft Purview och olika Defender-produkter. Genom att förena alla aviseringar kan SOC-analytiker också visa information om enheter som ingår i aviseringarna.

Exempel på en incident med insiderriskaviseringar från Hantering av interna risker i Microsoft Purview.

Du kan filtrera incidenter genom att välja Hantering av interna risker i Microsoft Purview under Tjänstkälla.

Varningar

Alla aviseringar om hantering av insiderrisk visas också i Microsoft Defender portalens aviseringskö. Filtrera aviseringarna genom att välja Hantering av interna risker i Microsoft Purview under Tjänstkälla.

Här är ett exempel på en avisering om hantering av insiderrisk i Microsoft Defender-portalen:

Exempel på aviseringar om insiderrisk från Hantering av interna risker i Microsoft Purview.

Microsoft Defender XDR och Hantering av interna risker i Microsoft Purview följa olika ramverk för aviseringsstatus och klassificering. Följande aviseringsmappning används för att synkronisera aviseringsstatusar mellan de två lösningarna:

Microsoft Defender aviseringsstatus Hantering av interna risker i Microsoft Purview aviseringsstatus
Ny Behöver granskas
Pågår Behöver granskas
Löst Klassificeringsberoende. Om klassificeringen inte är tillgänglig anges aviseringsstatusen till Avvisad som standard.

Följande aviseringsklassificeringsmappning används för att synkronisera aviseringsklassificeringen mellan de två lösningarna:

Microsoft Defender aviseringsklassificering Hantering av interna risker i Microsoft Purview aviseringsklassificering
Sant positivt
Omfattar attacker i flera steg, nätfiske osv.
Bekräftad
Information, förväntad aktivitet (godartad positiv)
Omfattar Ssecurity-testning, bekräftad aktivitet osv.
Ogillas
Falskt positivt
Innehåller inte skadliga, inte tillräckligt med data för att verifiera osv.
Ogillas

Mer information om aviseringsstatusar och klassificeringar i Microsoft Defender XDR finns i Hantera aviseringar i Microsoft Defender.

Alla uppdateringar som görs av en avisering om hantering av insiderrisk i Microsoft Purview eller Microsoft Defender-portalerna återspeglas automatiskt i båda portalerna. Dessa uppdateringar kan omfatta:

  • Aviseringsstatus
  • Allvarlighetsgrad
  • Aktivitet som genererade aviseringen
  • Information om utlösare
  • Klassificering

Uppdateringarna återspeglas i båda portalerna inom 30 minuter efter aviseringsgenereringen eller uppdateringen.

Obs!

Aviseringar som skapats från anpassade identifieringar eller länkar frågeresultat till incidenter är inte tillgängliga i Microsoft Purview-portalen.

Följande data för hantering av insiderrisk är ännu inte tillgängliga i den här integreringen:

  • Exfiltrering via e-posthändelser
  • Riskfyllda AI-användningshändelser
  • Händelser för molnappar från tredje part
  • Händelser som inträffade innan en avisering genererades
  • Undantag till händelser som definierats av administratören
  • Incidenter för hantering av insiderrisk innehåller för närvarande inte aviseringar, vilket påverkar Microsoft Sentinel användare. Mer information finns i Påverkan på Microsoft Sentinel användare.

Avancerad jakt

Använd avancerad jakt för att undersöka händelser och beteenden för insiderrisk ytterligare. Se tabellen nedan för en sammanfattning av data för hantering av insiderrisk som är tillgängliga vid avancerad jakt.

Tabellnamn Beskrivning
AlertInfo Aviseringar för hantering av insiderrisk är tillgängliga som en del av tabellen AlertInfo, som innehåller information om aviseringar från olika Microsoft-säkerhetslösningar.
AlertEvidence Aviseringar för hantering av insiderrisk är tillgängliga som en del av tabellen AlertEvidence, som innehåller information om entiteter som är associerade med aviseringar från olika Microsoft-säkerhetslösningar.
DataSecurityBehaviors Den här tabellen innehåller insikter om potentiellt misstänkt användarbeteende som bryter mot standard- eller kunddefinierade principer i Microsoft Purview.
DataSecurityEvents Den här tabellen innehåller berikade händelser om användaraktiviteter som strider mot standard- eller kunddefinierade principer i Microsoft Purview.

I exemplet nedan använder vi tabellen DataSecurityEvents för att undersöka potentiellt misstänkt användarbeteende. I det här fallet laddade användaren upp en fil till Google Drive, som kan ses som misstänkt beteende om ett företag inte stöder filuppladdningar till Google Drive.

Avancerad jaktsida som visar en fråga med hjälp av tabellerna relaterade till beteende och händelser för insiderrisk.

För att få åtkomst till insiderriskdata i avancerad jakt måste användarna ha följande Hantering av interna risker i Microsoft Purview roller:

  • Analytiker för hantering av insiderrisk
  • Utredare av hantering av insiderrisk

Integrera data för hantering av insiderrisk med Säkerhets-API för Microsoft Graph

Använd Microsoft Graph-säkerhets-API:et för att integrera aviseringar, insikter och indikatorer för hantering av insiderrisk med andra SIEM-verktyg som Microsoft Sentinel, ServiceNow eller Splunk. Du kan också använda säkerhets-API:et för att integrera data för hantering av insiderrisk till datasjöar, biljettsystem och liknande.

Mer information om hur du konfigurerar Microsoft Graph API finns i Använda Microsoft Graph API.

Se tabellen nedan för att hitta data för hantering av insiderrisk i specifika API:er.

Tabellnamn Beskrivning Mode
Incidenter Innehåller alla insiderriskincidenter i Defender XDR enhetlig incidentkö Läsa/skriva
Varningar Innehåller alla insiderriskaviseringar som delas med Defender XDR enhetlig aviseringskö Läsa/skriva
Avancerad jakt Innehåller alla data för hantering av insiderrisk i avancerad jakt, inklusive aviseringar, beteenden och händelser Läsa

Metadata för insiderriskaviseringar är en del av aviseringsresurstypen i Säkerhets-API:et för Microsoft Graph. Se den fullständiga informationen i aviseringsresurstypen.

Obs!

Information om insiderriskaviseringar kan nås i både namnområdet Aviseringar och Avancerad jaktgraf. Namnområdet för aviseringar ger mer metadata.

Beteende och händelser för insiderrisk i avancerad jakt kan nås i Graph API genom att skicka KQL-frågor i API:et. Använd den här metoden för att hämta stöddata för specifika aviseringar eller undersökningar.

För kunder som använder Office 365 Management Activity API rekommenderar vi att du migrerar till Microsoft Security Graph API för att säkerställa bättre metadata och dubbelriktad support för IRM-data.

Påverkan på Microsoft Sentinel användare

Vi rekommenderar Microsoft Sentinel kunder att använda Hantering av interna risker i Microsoft Purview – Microsoft Sentinel dataanslutning för att få aviseringar om hantering av insiderrisk i Microsoft Sentinel.

Om du använder automatisering för Microsoft Sentinel incidenter bör du tänka på att automatiseringen riskerar att misslyckas på grund av incidenter med hantering av insiderrisk utan aviseringsinnehåll. Du kan undvika detta genom att inaktivera datadelning i inställningar för hantering av insiderrisk.

Nästa steg

När du har undersökt en insiderriskincident eller avisering kan du göra något av följande:

  • Fortsätt att svara på aviseringen i Microsoft Purview-portalen.
  • Använd avancerad jakt för att undersöka andra händelser för hantering av insiderrisk i Microsoft Defender-portalen.