在入口網站中調查內部風險威脅 Microsoft Defender
重要事項
本文中的某些資訊與發行前版本產品有關,可能會在正式發行前進行大幅修改。 Microsoft對於此處提供的資訊,不提供任何明示或隱含的擔保。
Microsoft Defender 入口網站中的 Microsoft Purview 內部風險管理 警示對於保護組織的敏感性資訊和維護安全性至關重要。 這些來自 Microsoft Purview 內部風險管理的警示和深入解析可協助識別並減輕內部威脅,例如員工或約聘人員的數據外泄和知識產權竊取。 監視這些警示可讓組織主動處理安全性事件,確保敏感數據受到保護並符合合規性需求。
監視內部風險警示的主要優點之一,是統一檢視與使用者相關的所有警示,讓安全性作業中心 (SOC) 分析師將來自 Microsoft Purview 內部風險管理 的警示與其他Microsoft安全性解決方案相互關聯。 此外,在 Microsoft Defender 入口網站中設定這些警示,可讓您與進階搜捕功能緊密整合,進而增強有效調查和回應事件的能力。
另一個優點是自動同步處理 Microsoft Purview 與 Defender 入口網站之間的警示更新,確保即時可見度並降低監督的機會。 此整合可強化組織偵測、調查及響應內部威脅的能力,進而增強整體安全性狀態。
您可以在 Microsoft Defender 入口網站中流覽至事件 & 警示來管理測試人員風險管理警示,您可以在其中:
- 檢視在入口網站事件佇列中根據事件分組的所有內部風險警示 Microsoft Defender。
- 在單一事件中檢視與其他Microsoft解決方案相互關聯的內部風險警示,例如 Microsoft Purview 資料外洩防護 和 Microsoft Entra ID。
- 檢視 警示佇列中的個別測試人員風險警示。
- 依事件和警示佇列的服務來源進行篩選。
- 在測試人員風險警示中搜捕與用戶相關的所有活動和所有警示。
- 在用戶實體頁面中檢視用戶的測試人員風險活動摘要和風險層級。
開始之前的須知事項
如果您不熟悉 Purview 和內部風險管理Microsoft,請考慮閱讀下列文章:
必要條件
若要在 Microsoft Defender 入口網站中調查測試人員風險管理警示,您需要執行下列動作:
- 確認您的 Microsoft 365 訂閱支持內部風險管理存取權。 深入瞭解 訂用帳戶和授權。
- 確認您對 Microsoft Defender 全面偵測回應 的存取權。 請參閱 Microsoft Defender 全面偵測回應 授權需求。
在 Microsoft Purview 內部風險管理 中的數據共享設定中,必須開啟與其他安全性解決方案的數據共用。 在 Microsoft Purview 入口網站中開啟與其他安全性解決方案共用用戶風險詳細數據,可讓具有正確許可權的使用者在 Microsoft Defender 入口網站的使用者實體頁面中檢閱用戶風險詳細數據。 如需詳細資訊,請參閱 與其他Microsoft安全性解決方案共用警示嚴重性層級 。
權限與角色
Microsoft Defender 全面偵測回應 角色
在 Microsoft Defender 入口網站中存取測試人員風險管理警示時,下列許可權是不可或缺的:
- 安全性操作員
- 安全性讀取者
如需 Microsoft Defender 全面偵測回應 角色的詳細資訊,請參閱使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權。
Microsoft Purview 內部風險管理 角色
您也必須是下列其中一個內部風險管理角色群組的成員,才能在 Microsoft Defender 入口網站中檢視和管理內部風險管理警示:
- 測試人員風險管理
- 測試人員風險管理分析員
- 測試人員風險管理調查員
如需這些角色群組的詳細資訊,請參閱 啟用內部風險管理的許可權。
Microsoft Defender 入口網站中的調查體驗
事件
與使用者相關的內部風險管理警示會與單一事件相互關聯,以確保事件回應的整體方法。 此相互關聯可讓SOC分析師統一檢視來自 Microsoft Purview 內部風險管理和各種Defender產品之使用者的所有警示。 統一所有警示也可讓SOC分析師檢視涉及警示的裝置詳細數據。
您可以選擇 [服務來源] 底下的 [Microsoft Purview 內部風險管理 來篩選事件。
警示
所有內部風險管理警示也會顯示在 Microsoft Defender 入口網站的警示佇列中。 選擇 [服務來源] 底下的 [Microsoft Purview 內部風險管理 來篩選這些警示。
以下是 Microsoft Defender 入口網站中測試人員風險管理警示的範例:
在 Microsoft Purview 或 Microsoft Defender 入口網站中對測試人員風險管理警示所做的任何更新,都會自動反映在這兩個入口網站中。 這些更新可能包括:
- 警示狀態
- 嚴重性
- 產生警示的活動
- 觸發程序資訊
- 分類
更新會在警示產生或更新后的30分鐘內反映在這兩個入口網站中。
進階搜捕
使用進階搜捕來進一步調查內部風險事件和行為。 如需進階搜捕中可用的內部風險管理數據摘要,請參閱下表。
| 表格名稱 | 描述 |
|---|---|
| AlertInfo | 測試人員風險管理警示是 AlertInfo 資料表的一部分,其中包含各種Microsoft安全性解決方案的警示相關信息。 |
| AlertEvidence | 測試人員風險管理警示可作為 AlertEvidence 數據表的一部分,其中包含與各種Microsoft安全性解決方案警示相關聯之實體的相關信息。 |
| DataSecurityBehaviors | 下表包含可能可疑用戶行為的深入解析,這些使用者行為違反 Microsoft Purview 中的預設或客戶定義原則。 |
| DataSecurityEvents | 下表包含有關違反 Microsoft Purview 中預設或客戶定義原則之用戶活動的擴充事件。 |
在下列範例中,我們會使用 DataSecurityEvents數據 表來調查潛在的可疑用戶行為。 在此情況下,使用者已將檔案上傳至Google雲端硬碟,如果公司不支援將檔案上傳至Google雲端硬碟,則可將其視為可疑行為。
透過 圖形 API整合內部風險管理數據
您可以使用 Microsoft 安全性 圖形 API,將內部風險管理警示、深入解析和指標與其他 SIEM 工具、數據湖、票證系統等整合。
請參閱下表,以在特定 API 中尋找內部風險管理數據。
| 表格名稱 | 描述 | Mode |
|---|---|---|
| 事件 | 在 Defender 全面偵測回應整合事件佇列中包含所有內部風險事件 | 可讀寫的 |
| 提醒 | 包含與 Defender 全面偵測回應 統一警示佇列共用的所有內部風險警示 | 可讀寫的 |
| 進階搜捕 | 在進階搜捕中包含所有內部風險管理數據,包括警示、行為和事件 | 讀取 |
注意事項
您可以在警示和進階搜捕圖形命名空間中存取測試人員風險警示資訊。 在 API 中傳遞 KQL 查詢,即可在 圖形 API 中存取進階搜捕中的內部風險行為和事件。
對於使用 Office 365 管理活動 API 的客戶,建議您移轉至 Microsoft 安全性 圖形 API,以確保 IRM 數據的元數據和雙向支援更豐富。
對 Microsoft Sentinel 用戶的影響
Microsoft Sentinel 匯出 Microsoft Purview 內部風險管理 警示資訊以整合內部風險警示數據的客戶,建議移轉至 Microsoft Defender XDR-Microsoft Sentinel 連接器。
如果已開啟 Defender XDR-Microsoft Sentinel 連接器,內部風險管理警示會自動整合到 Microsoft Sentinel。 警示的架構與在 圖形 API 中公開的架構相同。 透過 Defender XDR-Microsoft Sentinel 連接器公開的警示架構涵蓋所有已導出的現有欄位,並提供內部風險管理警示的其他元數據。
注意事項
當 Defender XDR-Microsoft Sentinel 連接器開啟時,不論角色型訪問控制設定為何,Microsoft Purview 內部風險管理 數據都能在 Microsoft Sentinel 中存取。
若要將行為和事件等其他內部風險管理數據整合到 Microsoft Sentinel 中,建議您將 Microsoft Sentinel 上線以 Microsoft Defender,以取得整個安全性作業中心的統一檢視。 上線可協助您將內部風險管理警示和其他數據從 Microsoft Sentinel 帶入 Microsoft Defender,允許跨數據表搜捕和其他功能強大的工作流程。 若要上線,請參閱將 Microsoft Sentinel 連線至 Microsoft Defender。
後續步驟
調查內部風險事件或警示之後,您可以執行下列任何動作:
- 繼續在 Microsoft Purview 入口網站中回應警示。
- 使用進階搜捕來調查 Microsoft Defender 入口網站中的其他內部風險管理事件。