与其他解决方案共享内部风险管理数据
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
可以通过以下任一方式共享来自内部风险管理的数据:
- 将警报信息导出到 SIEM 解决方案
- 与 Microsoft Defender XDR 共享用户风险严重级别,Microsoft Purview 数据丢失防护 (DLP) 警报
将警报信息导出到 SIEM 解决方案
Microsoft Purview 内部风险管理警报信息可导出到安全信息和事件管理 (SIEM) 和安全业务流程自动响应, (SOAR) 解决方案使用 Office 365 管理活动 API 架构。 可以使用Office 365管理活动 API 将警报信息导出到组织可能用于管理或聚合内部风险信息的其他应用程序。 警报信息通过Office 365管理活动 API 导出并每 60 分钟提供一次。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
如果组织使用Microsoft Sentinel,则还可以使用现装的内部风险管理数据连接器将内部风险警报信息导入到Sentinel。 有关详细信息,请参阅Microsoft Sentinel文章中的 Insider Risk Management。
重要
为了维护在 Microsoft 365 或其他系统中具有内部风险警报或案例的用户的引用完整性,在使用导出 API 或导出到Microsoft Purview 电子数据展示解决方案时,不会为导出的警报保留用户名的匿名化。 在这种情况下,导出的警报将显示每个警报的用户名。 如果要从警报或案例导出到 CSV 文件, 则会 保留匿名。
使用 API 查看内部风险警报信息
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 选择页面右上角的“设置”。
- 选择“ 预览体验成员风险管理 ”,转到内部风险管理设置。
- 选择“ 导出警报”。 默认情况下,Microsoft 365 组织禁用此设置。
- 将设置设置为 “打开”。
- 按 SecurityComplianceAlerts 筛选常见的Office 365审核活动。
- 按 InsiderRiskManagement 类别筛选 SecurityComplianceAlerts。
警报信息包含安全与合规性警报架构以及Office 365管理活动 API 通用架构中的信息。
为安全和合规性警报架构的内部风险管理警报导出以下字段和值:
Alert 参数 | 说明 |
---|---|
AlertType | 警报的类型为 “自定义”。 |
AlertId | 警报的 GUID。 内部风险管理警报是可变的。 警报状态更改时,将生成具有相同 AlertID 的新日志。 此 AlertID 可用于关联警报的更新。 |
类别 | 警报的类别为 InsiderRiskManagement。 此类别可用于将这些警报与其他安全性和合规性警报区分开来。 |
Comments | 警报的默认注释。 值是创建) 警报时记录 的新 警报 (, ( 在警报) 更新时记录警报更新。 使用 AlertID 关联警报的更新。 |
数据 | 警报的数据包括唯一的用户 ID、用户主体名称以及 (UTC) 触发到策略中的日期和时间。 |
名称 | 生成警报的内部风险管理策略的策略名称。 |
PolicyId | 触发警报的内部风险管理策略的 GUID。 |
Severity | 警报的严重性。 值为 “高”、“ 中”或 “低”。 |
Source | 警报的源。 值为“Office 365安全性 & 符合性”。 |
状态 | 警报的状态。 值为“内部风险) 中的活动 (需求评审”、“在内部风险) 中调查 (确认”、“在内部风险) 中解决 (解决”、“在内部风险) 中消除 (消除”。 |
版本 | 安全性和符合性警报架构的版本。 |
为Office 365管理活动 API 通用架构的内部风险管理警报导出以下字段和值。
- UserID
- Id
- RecordType
- CreationTime
- 操作
- OrganizationId
- UserType
- UserKey
与其他Microsoft安全解决方案共享警报严重性级别
可以在以下Microsoft安全解决方案中共享内部风险管理中的警报严重性级别,为警报调查体验带来独特的用户上下文:
Microsoft Defender XDR Microsoft Purview 通信合规性 Microsoft Purview 数据丢失防护 (DLP)
内部风险管理会分析 90-120 天内的用户活动,并查找该时间段的异常行为。 将此数据添加到其他安全解决方案可增强这些解决方案中可用的数据,以帮助分析师确定警报的优先级。
提示
内部风险管理中的警报严重性级别不同于自适应保护中定义的内部风险级别。
- 警报严重性级别 (低、中或高) 根据内部风险管理策略中检测到的活动分配给用户。 这些级别是根据分配给与用户关联的所有活动警报的警报风险分数计算的。 这些级别可帮助内部风险分析师和调查人员相应地确定用户活动的优先级并做出响应。
- 自适应保护中的预览体验成员风险级别 (提升、中等或次要) 是一种风险度量标准,由管理员定义的条件确定,例如用户一天内执行的外泄活动数,或者其活动是否生成了高严重性内部风险警报。
共享内部风险管理警报严重性级别时会发生什么情况?
在 Microsoft Defender XDR
DLP 事件页:将“预览体验成员风险严重性”字段添加到“Microsoft Defender DLP 事件”页的“受影响的资产”部分,供在内部风险管理中具有较高或中等风险级别的用户使用。 如果用户具有 低 风险级别,则不会向“事件”页添加任何内容。 这可以尽量减少分析师的干扰,以便他们可以专注于风险最高的用户活动。
可以在“受影响的资产”部分选择风险级别,以查看该用户的内部风险活动摘要和活动时间线。 长达 120 天的分析可帮助分析师确定用户活动的总体风险。
如果在 DLP 策略匹配页中选择 DLP 事件,“DLP 策略匹配”部分中将显示“ 受影响的实体 ”部分,其中显示与策略匹配的所有用户。
“用户”页:将 “预览体验成员风险严重性 ”字段添加到“用户”页,用于在内部风险管理中具有 高、 中或 低 风险级别的用户。 此数据适用于具有活动内部风险管理警报的任何用户。
“用户”页面右侧会显示该用户的预览体验成员风险活动摘要和活动时间线。
在通信合规性警报中
对于每个 通信合规性 策略匹配项,可以查看与发件人关联的用户风险严重性。 在警报通信中的“ 用户活动 ”选项卡上查看此信息。 此视图提供 内部风险管理 和通信合规性捕获的风险配置文件、策略匹配和用户活动。
严重性级别分为 “高”、“ 中”、“ 低”或 “无”。
对于“ 无”的风险严重性级别,原因可能是以下任一方案:
- 用户未包含在内部风险策略中。
- 不会为用户的活动分配风险评分,这意味着该用户不在策略的活动范围内。
- 用户包含在内部风险管理策略中,但未参与任何风险活动。
- 组织没有有效的内部风险管理策略。
如果用户风险严重性不可用,则不会从内部风险管理启用数据共享。
可以在内部风险管理的“用户历史记录”选项卡上的“查看详细信息”部分查看最多 120 天的预览体验成员风险活动。 目前,通信合规性的用户活动摘要中仅显示 来自外泄指标 的数据。
在 DLP 警报中
对于与 DLP 警报关联的内部风险管理策略,会将值为“高”、“中”、“低”或“无”的“预览体验成员风险严重性”列添加到 DLP 警报队列。 如果有多个用户具有与策略匹配的活动,则会显示内部风险级别最高的用户。
值为 None 可能表示以下任一情况:
用户不属于任何内部风险管理策略。
用户是内部风险管理策略的一部分,但他们尚未执行风险活动,以将自己纳入策略范围, (没有外泄数据) 。
可以在 DLP 警报队列中选择内部风险级别以访问“用户活动摘要”选项卡,其中显示了该用户过去 90-120 天的所有外泄活动时间线。 与 DLP 警报队列一样, “用户活动摘要 ”选项卡会显示内部风险级别最高的用户。 这种深入了解用户在过去 90 到 120 天内执行的操作的上下文提供了该用户所呈现的风险的更广泛视图。
用户活动摘要中仅显示外泄指示器中的数据。 来自其他敏感指标(如 HR、浏览等)的数据不会与 DLP 警报共享。
参与者详细信息部分将添加到 DLP 警报详细信息页。 可以使用此页面查看特定 DLP 警报中涉及的 所有用户 。 对于 DLP 警报中涉及的每个用户,可以查看过去 90 到 120 天的所有外泄活动。
如果选择“从 DLP 警报中的Security Copilot获取摘要”,Microsoft Security Copilot提供的警报摘要将包括内部风险管理严重性级别以及 DLP 摘要信息(如果用户在内部风险管理策略范围内)。
提示
还可以使用 Security Copilot 调查 DLP 警报。 如果启用了内部风险管理 数据共享 设置,则可以执行 DLP/内部风险管理联合调查。 例如,你可能希望首先要求 Copilot 汇总 DLP 警报,然后让 Copilot 显示与警报中标记的用户关联的内部风险级别。 或者,你可能想要询问为什么该用户被视为高风险用户。 本例中的用户风险信息来自内部风险管理。 Security Copilot将内部风险管理与 DLP 无缝集成,以协助调查。 详细了解如何使用独立版本的 Copilot 进行 DLP/内部风险管理联合调查。
先决条件
若要与其他Microsoft安全解决方案共享内部风险管理用户风险级别,用户:
- 必须是内部风险管理策略的一部分。
- 必须执行将用户引入策略范围的外泄活动。
- (若要与 DLP) 共享 :必须具有 DLP 警报权限。 启用“数据共享”设置后,具有 DLP 警报权限的用户可以访问 DLP 警报调查和Microsoft Defender XDR用户页的预览体验成员风险管理上下文。 具有内部风险管理权限的用户还可以访问此数据。
- (用于与通信合规性) 共享 :必须为用户分配 通信合规性分析员 或 通信合规性调查员 角色,才能查看通信合规性中的用户风险严重性级别和活动历史记录。
提示
如果有权访问 Microsoft Purview 和/或 Microsoft Defender 中的 DLP 警报,则可以从与这些解决方案共享的内部风险管理中查看用户上下文。
与其他Microsoft安全解决方案共享数据
可以通过打开单个设置与其他Microsoft安全解决方案共享内部风险管理警报严重性级别。
- 在内部风险管理设置中,选择 “数据共享 ”设置。
- 在“ 与其他Microsoft安全解决方案共享数据 ”部分下,打开设置。
注意
如果不启用此设置,则 DLP 警报 “预览体验成员风险严重性 ”列中显示的值是“用户数据不可用”,在通信合规性中显示为“预览体验成员风险活动不可用”。