Совместное использование данных управления внутренними рисками с другими решениями
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Вы можете поделиться данными из управления внутренними рисками, используя один из следующих способов:
- Экспорт сведений об оповещениях в решения SIEM
- Совместное использование уровней серьезности риска пользователей с оповещениями Microsoft Defender и защиты от потери данных (DLP) Microsoft Purview
Экспорт сведений об оповещениях в решения SIEM
Управление внутренними рисками Microsoft Purview сведения об оповещении можно экспортировать в решения по управлению информационной безопасностью и событиями безопасности (SIEM) и автоматическому реагированию оркестрации безопасности (SOAR) с помощью схемы API действий управления Office 365. API-интерфейсы действий управления Office 365 можно использовать для экспорта сведений об оповещениях в другие приложения, которые ваша организация может использовать для управления или агрегирования информации о внутренних рисках. Сведения об оповещениях экспортируются и доступны каждые 60 минут через API-интерфейсы действий управления Office 365.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Если ваша организация использует Microsoft Sentinel, вы также можете использовать встроенный соединитель данных управления внутренними рисками для импорта сведений об оповещениях о внутренних рисках в Sentinel. Дополнительные сведения см. в статье Управление внутренними рисками в Microsoft Sentinel.
Важно!
Чтобы обеспечить целостность данных для пользователей, у которых есть оповещения о внутренних рисках или случаи в Microsoft 365 или других системах, анонимизация имен пользователей не сохраняется для экспортированных оповещений при использовании API экспорта или при экспорте в Microsoft Purview eDiscovery решения. В этом случае в экспортированных оповещениях будут отображаться имена пользователей для каждого оповещения. При экспорте в CSV-файлы из оповещений или случаев анонимизация сохраняется .
Использование API для просмотра сведений об оповещении о внутренних рисках
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
- Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
- Нажмите кнопку Параметры в правом верхнем углу страницы.
- Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
- Выберите Экспорт оповещений. По умолчанию этот параметр отключен для вашей организации Microsoft 365.
- Установите для параметра значение Включено.
- Отфильтруйте распространенные действия аудита Office 365 по SecurityComplianceAlerts.
- Фильтрация SecurityComplianceAlerts по категории InsiderRiskManagement .
Сведения об оповещении содержат сведения из схемы оповещений системы безопасности и соответствия требованиям и общей схемы API действий управления Office 365.
Следующие поля и значения экспортируются для оповещений управления внутренними рисками для схемы оповещений о безопасности и соответствии требованиям:
Параметр alert | Описание |
---|---|
AlertType | Тип оповещения — Custom. |
AlertId | Идентификатор GUID оповещения. Оповещения об управлении внутренними рисками изменяются. При изменении состояния оповещения создается новый журнал с тем же AlertID. Этот alertID можно использовать для корреляции обновлений для оповещения. |
Категория | Категория оповещения — InsiderRiskManagement. Эту категорию можно использовать для отличия этих оповещений от других оповещений системы безопасности и соответствия требованиям. |
Comments | Комментарии по умолчанию для оповещения. Значения: Новое оповещение (регистрируется при создании оповещения) и Оповещение обновлено (регистрируется при обновлении оповещения). Используйте AlertID для сопоставления обновлений для оповещения. |
Data | Данные для оповещения включают уникальный идентификатор пользователя, имя участника-пользователя, а также дату и время (UTC) при активации пользователя в политике. |
Имя | Имя политики для политики управления внутренними рисками, создающей оповещение. |
PolicyId | GUID политики управления внутренними рисками, которая активирует оповещение. |
Severity | Серьезность оповещения. Значения: Высокий, Средний или Низкий. |
Source | Источник оповещения. Значение — Office 365 соответствие требованиям безопасности &. |
Состояние | Состояние оповещения. Значения активны (проверка потребностей в инсайдерских рисках), исследование (подтверждено в инсайдерских рисках), Разрешено (разрешено в инсайдерских рисках), Отклонено (уволено в инсайдерских рисках). |
Версия | Версия схемы оповещений о безопасности и соответствии требованиям. |
Следующие поля и значения экспортируются для оповещений управления внутренними рисками для общей схемы API действий управления Office 365.
- UserId
- Id
- RecordType
- CreationTime
- Operation
- OrganizationId
- UserType
- UserKey
Предоставление общего доступа к уровням серьезности риска для пользователей с Microsoft Defender и оповещениями защиты от потери данных
Вы можете поделиться уровнями серьезности рисков пользователей из управления внутренними рисками, чтобы перенести уникальный контекст пользователя в оповещения Microsoft Defender и защиты от потери данных Microsoft Purview (DLP). Управление внутренними рисками анализирует действия пользователей за период от 90 до 120 дней и ищет аномальное поведение за этот период времени. Добавление этих данных в оповещения Microsoft Defender и DLP улучшает данные, доступные в этих решениях, чтобы помочь аналитикам определить приоритеты оповещений.
Что происходит при совместном использовании уровней серьезности риска для пользователей управления внутренними рисками?
В Microsoft Defender
Поле Серьезность внутренних рисков добавляется в раздел Затронутые ресурсы на странице Microsoft Defender инциденты защиты от потери данных для пользователей с высоким или средним уровнем инсайдерского риска в управлении внутренними рисками. Если у пользователя низкий уровень инсайдерского риска, на страницу Инциденты ничего не добавляется. Это позволяет свести к минимуму отвлекающие факторы для аналитиков, чтобы они могли сосредоточиться на самых рискованных действиях пользователей.
Вы можете выбрать уровень внутренних рисков в разделе Затронутые ресурсы, чтобы просмотреть сводку действий по внутренним рискам и временная шкала действий для этого пользователя. Анализ до 120 дней может помочь аналитику определить общую рискоспособность действий пользователя.
Если выбрать событие DLP на странице соответствия политике защиты от потери данных, в разделе Соответствие политике защиты от потери данных появится раздел Затронутые сущности , в котором отображаются все пользователи, которые соответствуют политике.
В оповещениях защиты от потери данных
Для политики управления внутренними рисками, связанной с оповещением о защите от потери данных, в очередь оповещений о защите от потери данных добавляется столбец уровня серьезности риска предварительной оценки со значениями Высокий, Средний, Низкий или Нет . Если есть несколько пользователей, у которых есть действия, соответствующие политике, отображается пользователь с самым высоким уровнем внутренних рисков.
Значение None может означать одно из следующих значений:
Пользователь не является частью какой-либо политики управления внутренними рисками.
Пользователь является частью политики управления внутренними рисками, но он не делал рискованных действий, чтобы привести себя в область политики (нет данных о краже).
Вы можете выбрать уровень внутренних рисков в очереди оповещений о защите от потери данных, чтобы открыть вкладку Сводка действий пользователя, на которой отображается временная шкала всех действий кражи для этого пользователя за последние 90–120 дней. Как и в очереди оповещений о защите от потери данных, на вкладке "Сводка действий пользователя " отображается пользователь с самым высоким уровнем внутренних рисков. Этот глубокий контекст в том, что пользователь сделал за последние 90–120 дней, дает более широкое представление о рисках, представленных этим пользователем.
В сводке действий пользователей отображаются только данные из индикаторов кражи. Данные из других конфиденциальных индикаторов, таких как hr, просмотр и т. д., не передаются оповещениям защиты от потери данных.
Раздел Сведения об субъекте добавляется на страницу сведений об оповещении о защите от потери данных. Эту страницу можно использовать для просмотра всех пользователей, участвующих в конкретном оповещении защиты от потери данных. Для каждого пользователя, участвующего в оповещении DLP, можно просмотреть все действия кражи за последние 90–120 дней.
Если нажать кнопку Получить сводку из Copilot для безопасности в оповещении защиты от потери данных, сводка оповещений, предоставляемая Microsoft Copilot для безопасности, включает уровень серьезности управления внутренними рисками в дополнение к сводным сведениям о защите от потери данных, если пользователь находится в область политики управления внутренними рисками.
Совет
Вы также можете использовать Copilot для безопасности для изучения оповещений защиты от потери данных. Если параметр общего доступа к данным для управления внутренними рисками включен, вы можете выполнить комбинированное исследование DLP и управления внутренними рисками. Например, вы можете начать с запроса Copilot для подведения итогов оповещений защиты от потери данных, а затем попросить Copilot показать уровень внутренних рисков, связанный с пользователем, помеченным в оповещении. Или вы можете спросить, почему пользователь считается пользователем с высоким риском. Сведения о рисках пользователя в этом случае поступают из управления внутренними рисками. Copilot для безопасности легко интегрирует управление внутренними рисками с DLP для помощи при проведении расследований. Дополнительные сведения об использовании автономной версии Copilot для комбинированных расследований защиты от потери данных и инсайдерских рисков
Предварительные условия
Чтобы предоставить общий доступ к уровням внутренних рисков управления внутренними рисками с Microsoft Defender и оповещениями защиты от потери данных, пользователь:
- Должен быть частью политики управления внутренними рисками.
- Должны выполняться действия кражи, которые приводят пользователя к область политики.
Примечание.
Если у вас есть доступ к оповещениям защиты от потери данных в Microsoft Purview и (или) Microsoft Defender, вы можете просмотреть контекст пользователя из управления внутренними рисками, совместно с этими решениями.
Обмен данными с Microsoft Defender и оповещениями защиты от потери данных
Вы можете предоставить общий доступ к уровням серьезности риска для пользователей управления внутренними рисками с оповещениями Microsoft Defender и DLP, включив один параметр.
- В параметрах управления внутренними рисками выберите параметр Общий доступ к данным .
- В разделе Общий доступ к данным с помощью Microsoft Defender XDR (предварительная версия) включите параметр .
Примечание.
Если этот параметр не включен, то значение, отображаемое в столбце DLP Alerts Insider risk серьезность: "Данные пользователя недоступны".
См. также
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по