Freigeben von Insider-Risikomanagementdaten mit anderen Lösungen

Wichtig

Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Sie können Daten aus dem Insider-Risikomanagement auf eine der folgenden Arten freigeben:

• Exportieren von Warnungsinformationen in SIEM-Lösungen
• Freigeben von Benutzerrisikoschweregraden mit Microsoft Defender- und Microsoft Purview-DLP-Warnungen (Data Loss Prevention, Verhinderung von Datenverlust)

Exportieren von Warnungsinformationen in SIEM-Lösungen

Microsoft Purview Insider Risk Management Warnungsinformationen können mithilfe des OFFICE 365 Management-API-Schemas in SIEM-Lösungen (Security Information and Event Management, Sicherheitsorchestrierung automatisierte Antwort) exportiert werden. Sie können die Office 365 Management-Aktivitäts-APIs verwenden, um Warnungsinformationen in andere Anwendungen zu exportieren, die Ihr organization möglicherweise zum Verwalten oder Aggregieren von Insider-Risikoinformationen verwenden. Warnungsinformationen werden exportiert und sind alle 60 Minuten über die Office 365-Verwaltungsaktivitäts-APIs verfügbar.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Wenn Ihr organization Microsoft Sentinel verwendet, können Sie auch den standardmäßigen Datenconnector für das Insider-Risikomanagement verwenden, um Insider-Risikowarnungsinformationen in Sentinel zu importieren. Weitere Informationen finden Sie unter Insider-Risikomanagement (IRM) (Vorschau) im Microsoft Sentinel-Artikel.

Wichtig

Um die referenzielle Integrität für Benutzer aufrechtzuerhalten, die Insider-Risikowarnungen oder -fälle in Microsoft 365 oder anderen Systemen haben, wird die Anonymisierung von Benutzernamen bei exportierten Warnungen bei Verwendung der Export-API oder beim Exportieren in Microsoft Purview-eDiscovery Lösungen nicht beibehalten. Exportierte Warnungen zeigen in diesem Fall Benutzernamen für jede Warnung an. Wenn Sie in CSV-Dateien aus Warnungen oder Fällen exportieren, bleibt die Anonymisierung erhalten.

Verwenden der APIs zum Überprüfen von Insider-Risikowarnungsinformationen

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
2. Wählen Sie in der oberen rechten Ecke der Seite die Schaltfläche Einstellungen aus.
3. Wählen Sie Insider-Risikomanagement aus, um zu den Einstellungen für insider-Risikomanagement zu wechseln.
4. Wählen Sie Warnungen exportieren aus. Standardmäßig ist diese Einstellung für Ihre Microsoft 365-organization deaktiviert.
5. Legen Sie die Einstellung auf Ein fest.
6. Filtern Sie die allgemeinen Office 365 Überwachungsaktivitäten nach SecurityComplianceAlerts.
7. Filtern Sie SecurityComplianceAlerts nach der Kategorie InsiderRiskManagement .

Compliance-Portal

1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization beim Complianceportal an.

2. Wählen Sie die Schaltfläche Einstellungen aus.

3. Wählen Sie Warnungen exportieren aus. Standardmäßig ist diese Einstellung für Ihre Microsoft 365-organization deaktiviert.

4. Legen Sie die Einstellung auf Ein fest.

5. Filtern Sie die allgemeinen Office 365 Überwachungsaktivitäten nach SecurityComplianceAlerts.

6. Filtern Sie SecurityComplianceAlerts nach der Kategorie InsiderRiskManagement .

   

Warnungsinformationen enthalten Informationen aus dem Schema für Sicherheits- und Konformitätswarnungen und dem allgemeinen Schema der Office 365 Management Activity API.

Die folgenden Felder und Werte werden für Insider-Risikomanagementwarnungen für das Sicherheits- und Compliancewarnungsschema exportiert:

Warnungsparameter	Beschreibung
AlertType	Der Typ der Warnung ist Benutzerdefiniert.
AlertId	Die GUID der Warnung. Insider-Risikomanagementwarnungen sind änderbar. Wenn sich Warnungen status ändern, wird ein neues Protokoll mit der gleichen AlertID generiert. Diese AlertID kann verwendet werden, um Updates für eine Warnung zu korrelieren.
Kategorie	Die Kategorie der Warnung ist InsiderRiskManagement. Diese Kategorie kann verwendet werden, um von diesen Warnungen von anderen Sicherheits- und Konformitätswarnungen zu unterscheiden.
Kommentare	Standardkommentare für die Warnung. Die Werte sind Neue Warnung (protokolliert, wenn eine Warnung erstellt wird) und Warnung aktualisiert (protokolliert, wenn eine Warnung aktualisiert wird). Verwenden Sie alertID, um Updates für eine Warnung zu korrelieren.
Daten	Die Daten für die Warnung umfassen die eindeutige Benutzer-ID, den Benutzerprinzipalnamen sowie Datum und Uhrzeit (UTC), wann der Benutzer in eine Richtlinie ausgelöst wurde.
Name	Richtlinienname für die Insider-Risikomanagementrichtlinie, die die Warnung generiert hat.
PolicyId	Die GUID der Insider-Risikomanagementrichtlinie, die die Warnung ausgelöst hat.
Severity	Der Schweregrad der Warnung. Die Werte sind "Hoch", "Mittel" oder "Niedrig".
Quelle	Die Quelle der Warnung. Der Wert ist Office 365 Security & Compliance.
Status	Die status der Warnung. Die Werte sind Aktiv (Bedarfsüberprüfung im Insiderrisiko), Untersuchung (im Insiderrisiko bestätigt), Gelöst (Im Insiderrisiko gelöst), Verworfen (Im Insiderrisiko verworfen ).
Version	Die Version des Schemas für Sicherheits- und Konformitätswarnungen.

Die folgenden Felder und Werte werden für Insider-Risikomanagementwarnungen für das allgemeine Schema der Office 365 Management Activity API exportiert.

• UserId
• Id
• RecordType
• CreationTime
• Vorgang
• OrganizationId
• UserType
• UserKey

Freigeben von Schweregraden des Benutzerrisikos mit Microsoft Defender- und DLP-Warnungen

Sie können Die Schweregrade des Benutzerrisikos aus dem Insider-Risikomanagement freigeben, um Microsoft Defender- und Microsoft Purview-Dlp-Warnungen (Data Loss Prevention, Verhinderung von Datenverlust) eindeutigen Benutzerkontext zu bieten. Insider-Risikomanagement analysiert Benutzeraktivitäten über einen Zeitraum von 90 bis 120 Tagen und sucht nach anomalem Verhalten in diesem Zeitraum. Durch das Hinzufügen dieser Daten zu Microsoft Defender- und DLP-Warnungen werden die in diesen Lösungen verfügbaren Daten verbessert, damit Analysten Warnungen priorisieren können.

Was geschieht, wenn Sie den Risikoschweregrad des Insider-Risikomanagements für Benutzer freigeben?

In Microsoft Defender

• Für Benutzer mit einem hohen oder mittleren Risiko im Insider-Risikomanagement wird dem Abschnitt Betroffener Ressourcen auf der Seite Microsoft Defender DLP-Incidents ein Feld Für Insider-Risikoschwere hinzugefügt. Wenn der Benutzer über eine niedrige Risikostufe verfügt, wird der Seite Incidents nichts hinzugefügt. Dadurch werden Ablenkungen für Analysten auf ein Minimum reduziert, damit sie sich auf die riskantesten Benutzeraktivitäten konzentrieren können.

• Sie können die Risikostufe im Abschnitt Betroffener Ressourcen auswählen, um eine Zusammenfassung der Insider-Risikoaktivitäten und aktivitäten Zeitleiste für diesen Benutzer anzuzeigen. Eine Analyse von bis zu 120 Tagen kann dem Analysten dabei helfen, die Allgemeine Risikobereitschaft der Aktivitäten des Benutzers zu bestimmen.

• Wenn Sie das DLP-Ereignis auf der Seite zur Übereinstimmung der DLP-Richtlinie auswählen, wird im Abschnitt DLP-Richtlinienabgleich ein Abschnitt Betroffener Entitäten angezeigt, in dem alle Benutzer angezeigt werden, die der Richtlinie entsprechen.

In DLP-Warnungen

• Für die Insider-Risikomanagementrichtlinie, die der DLP-Warnung zugeordnet ist, wird der DLP-Warnungswarteschlange eine Spalte mit dem Schweregrad des Insider-Risikos mit den Werten "Hoch", " Mittel", " Niedrig" oder "Keine " hinzugefügt. Wenn mehrere Benutzer über Aktivitäten verfügen, die mit der Richtlinie übereinstimmen, wird der Benutzer mit der höchsten Risikostufe angezeigt.

  Der Wert None kann eine der folgenden Werte bedeuten:

  • Der Benutzer ist nicht Teil einer Insider-Risikomanagementrichtlinie.

  • Der Benutzer ist Teil einer Insider-Risikomanagementrichtlinie, aber er hat keine riskanten Aktivitäten ausgeführt, um sich in den Geltungsbereich der Richtlinie zu bringen (es gibt keine Exfiltration von Daten).

• Sie können die Risikostufe in der DLP-Warnungswarteschlange auswählen, um auf die Registerkarte Benutzeraktivitätszusammenfassung zuzugreifen, die eine Zeitleiste aller Exfiltrationsaktivitäten für diesen Benutzer in den letzten 90 bis 120 Tagen anzeigt. Wie bei der DLP-Warnungswarteschlange wird auf der Registerkarte Benutzeraktivitätszusammenfassung der Benutzer mit der höchsten Risikostufe angezeigt. Dieser tiefe Kontext in dem, was ein Benutzer in den letzten 90 bis 120 Tagen getan hat, bietet einen breiteren Überblick über die Risiken, die dieser Benutzer darstellt.

  Nur Daten aus Exfiltrationsindikatoren werden in der Zusammenfassung der Benutzeraktivität angezeigt. Daten aus anderen vertraulichen Indikatoren wie Personalwesen, Browsen usw. werden nicht für DLP-Warnungen freigegeben.

• Der Detailseite der DLP-Warnung wird ein Abschnitt mit Details zum Akteur hinzugefügt. Sie können diese Seite verwenden, um alle Benutzer anzuzeigen, die an der jeweiligen DLP-Warnung beteiligt sind. Für jeden Benutzer, der an der DLP-Warnung beteiligt ist, können Sie alle Exfiltrationsaktivitäten der letzten 90 bis 120 Tage anzeigen.

• Wenn Sie in einer DLP-Warnung die Schaltfläche Zusammenfassung aus Copilot für Security abrufen auswählen, enthält die von Microsoft Copilot für Security bereitgestellte Warnungszusammenfassung zusätzlich zu den DLP-Zusammenfassungsinformationen den Schweregrad des Insider-Risikomanagements, wenn sich der Benutzer im Bereich einer Insider-Risikomanagementrichtlinie befindet.

  Tipp

  Sie können auch Copilot für Security verwenden, um DLP-Warnungen zu untersuchen. Wenn die Einstellung Datenfreigabe für insider-Risikomanagement aktiviert ist, können Sie eine kombinierte DLP-/Insider-Risikomanagement-Untersuchung durchführen. Sie können z. B. zunächst Copilot bitten, eine DLP-Warnung zusammenzufassen, und dann Copilot auffordern, die Benutzerrisikostufe anzuzeigen, die dem in der Warnung gekennzeichneten Benutzer zugeordnet ist. Oder Sie möchten fragen, warum der Benutzer als Benutzer mit hohem Risiko gilt. Die Risikoinformationen des Benutzers stammen in diesem Fall aus dem Insider-Risikomanagement. Copilot für Security integriert das Insider-Risikomanagement nahtlos in DLP, um Untersuchungen zu unterstützen. Erfahren Sie mehr über die Verwendung der eigenständigen Version von Copilot für kombinierte DLP-/Insider-Risikomanagement-Untersuchungen.

Voraussetzungen

Um die Risikostufen des Insider-Risikomanagements mit Microsoft Defender- und DLP-Warnungen zu teilen, muss der Benutzer:

• Muss Teil einer Insider-Risikomanagementrichtlinie sein.
• Muss Exfiltrationsaktivitäten ausgeführt haben, die den Benutzer in den Geltungsbereich der Richtlinie bringen.

Hinweis

Wenn Sie Zugriff auf DLP-Warnungen in Microsoft Purview und/oder Microsoft Defender haben, können Sie den Benutzerkontext über das Insider-Risikomanagement anzeigen, das für diese Lösungen freigegeben ist.

Freigeben von Daten mit Microsoft Defender- und DLP-Warnungen

Sie können die Risikoschweregrade des Insider-Risikomanagements sowohl mit Microsoft Defender- als auch mit DLP-Warnungen teilen, indem Sie eine einzelne Einstellung aktivieren.

1. Wählen Sie in den Einstellungen für das Insider-Risikomanagement die Einstellung Datenfreigabe aus.
2. Aktivieren Sie im Abschnitt Freigeben von Daten mit Microsoft Defender XDR (Vorschau) die Einstellung.

Hinweis

Wenn Sie diese Einstellung nicht aktivieren, wird in der Spalte DLP-Warnungen der Insider-Risikoschweregrad der Wert "Benutzerdaten sind nicht verfügbar" angezeigt.

Siehe auch

• Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft 365 Defender XDR
• Informationen zur Untersuchung von Warnungen zur Verhinderung von Datenverlust
• Erste Schritte mit dem Dashboard