Совместное использование данных управления внутренними рисками с другими решениями

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Вы можете поделиться данными из управления внутренними рисками, используя один из следующих способов:

• Экспорт сведений об оповещениях в решения SIEM
• Совместное использование уровней серьезности риска пользователей с оповещениями Microsoft Defender и защиты от потери данных (DLP) Microsoft Purview

Экспорт сведений об оповещениях в решения SIEM

Управление внутренними рисками Microsoft Purview сведения об оповещении можно экспортировать в решения по управлению информационной безопасностью и событиями безопасности (SIEM) и автоматическому реагированию оркестрации безопасности (SOAR) с помощью схемы API действий управления Office 365. API-интерфейсы действий управления Office 365 можно использовать для экспорта сведений об оповещениях в другие приложения, которые ваша организация может использовать для управления или агрегирования информации о внутренних рисках. Сведения об оповещениях экспортируются и доступны каждые 60 минут через API-интерфейсы действий управления Office 365.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Если ваша организация использует Microsoft Sentinel, вы также можете использовать встроенный соединитель данных управления внутренними рисками для импорта сведений об оповещениях о внутренних рисках в Sentinel. Дополнительные сведения см. в статье Управление внутренними рисками в Microsoft Sentinel.

Важно!

Чтобы обеспечить целостность данных для пользователей, у которых есть оповещения о внутренних рисках или случаи в Microsoft 365 или других системах, анонимизация имен пользователей не сохраняется для экспортированных оповещений при использовании API экспорта или при экспорте в Microsoft Purview eDiscovery решения. В этом случае в экспортированных оповещениях будут отображаться имена пользователей для каждого оповещения. При экспорте в CSV-файлы из оповещений или случаев анонимизация сохраняется .

Использование API для просмотра сведений об оповещении о внутренних рисках

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. Выберите Экспорт оповещений. По умолчанию этот параметр отключен для вашей организации Microsoft 365.
5. Установите для параметра значение Включено.
6. Отфильтруйте распространенные действия аудита Office 365 по SecurityComplianceAlerts.
7. Фильтрация SecurityComplianceAlerts по категории InsiderRiskManagement .

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.

2. Нажмите кнопку Параметры .

3. Выберите Экспорт оповещений. По умолчанию этот параметр отключен для вашей организации Microsoft 365.

4. Установите для параметра значение Включено.

5. Отфильтруйте распространенные действия аудита Office 365 по SecurityComplianceAlerts.

6. Фильтрация SecurityComplianceAlerts по категории InsiderRiskManagement .

   

Сведения об оповещении содержат сведения из схемы оповещений системы безопасности и соответствия требованиям и общей схемы API действий управления Office 365.

Следующие поля и значения экспортируются для оповещений управления внутренними рисками для схемы оповещений о безопасности и соответствии требованиям:

Параметр alert	Описание
AlertType	Тип оповещения — Custom.
AlertId	Идентификатор GUID оповещения. Оповещения об управлении внутренними рисками изменяются. При изменении состояния оповещения создается новый журнал с тем же AlertID. Этот alertID можно использовать для корреляции обновлений для оповещения.
Категория	Категория оповещения — InsiderRiskManagement. Эту категорию можно использовать для отличия этих оповещений от других оповещений системы безопасности и соответствия требованиям.
Comments	Комментарии по умолчанию для оповещения. Значения: Новое оповещение (регистрируется при создании оповещения) и Оповещение обновлено (регистрируется при обновлении оповещения). Используйте AlertID для сопоставления обновлений для оповещения.
Data	Данные для оповещения включают уникальный идентификатор пользователя, имя участника-пользователя, а также дату и время (UTC) при активации пользователя в политике.
Имя	Имя политики для политики управления внутренними рисками, создающей оповещение.
PolicyId	GUID политики управления внутренними рисками, которая активирует оповещение.
Severity	Серьезность оповещения. Значения: Высокий, Средний или Низкий.
Source	Источник оповещения. Значение — Office 365 соответствие требованиям безопасности &.
Состояние	Состояние оповещения. Значения активны (проверка потребностей в инсайдерских рисках), исследование (подтверждено в инсайдерских рисках), Разрешено (разрешено в инсайдерских рисках), Отклонено (уволено в инсайдерских рисках).
Версия	Версия схемы оповещений о безопасности и соответствии требованиям.

Следующие поля и значения экспортируются для оповещений управления внутренними рисками для общей схемы API действий управления Office 365.

• UserId
• Id
• RecordType
• CreationTime
• Operation
• OrganizationId
• UserType
• UserKey

Предоставление общего доступа к уровням серьезности риска для пользователей с Microsoft Defender и оповещениями защиты от потери данных

Вы можете поделиться уровнями серьезности рисков пользователей из управления внутренними рисками, чтобы перенести уникальный контекст пользователя в оповещения Microsoft Defender и защиты от потери данных Microsoft Purview (DLP). Управление внутренними рисками анализирует действия пользователей за период от 90 до 120 дней и ищет аномальное поведение за этот период времени. Добавление этих данных в оповещения Microsoft Defender и DLP улучшает данные, доступные в этих решениях, чтобы помочь аналитикам определить приоритеты оповещений.

Что происходит при совместном использовании уровней серьезности риска для пользователей управления внутренними рисками?

В Microsoft Defender

• Поле Серьезность внутренних рисков добавляется в раздел Затронутые ресурсы на странице Microsoft Defender инциденты защиты от потери данных для пользователей с высоким или средним уровнем инсайдерского риска в управлении внутренними рисками. Если у пользователя низкий уровень инсайдерского риска, на страницу Инциденты ничего не добавляется. Это позволяет свести к минимуму отвлекающие факторы для аналитиков, чтобы они могли сосредоточиться на самых рискованных действиях пользователей.

• Вы можете выбрать уровень внутренних рисков в разделе Затронутые ресурсы, чтобы просмотреть сводку действий по внутренним рискам и временная шкала действий для этого пользователя. Анализ до 120 дней может помочь аналитику определить общую рискоспособность действий пользователя.

• Если выбрать событие DLP на странице соответствия политике защиты от потери данных, в разделе Соответствие политике защиты от потери данных появится раздел Затронутые сущности , в котором отображаются все пользователи, которые соответствуют политике.

В оповещениях защиты от потери данных

• Для политики управления внутренними рисками, связанной с оповещением о защите от потери данных, в очередь оповещений о защите от потери данных добавляется столбец уровня серьезности риска предварительной оценки со значениями Высокий, Средний, Низкий или Нет . Если есть несколько пользователей, у которых есть действия, соответствующие политике, отображается пользователь с самым высоким уровнем внутренних рисков.

  Значение None может означать одно из следующих значений:

  • Пользователь не является частью какой-либо политики управления внутренними рисками.

  • Пользователь является частью политики управления внутренними рисками, но он не делал рискованных действий, чтобы привести себя в область политики (нет данных о краже).

• Вы можете выбрать уровень внутренних рисков в очереди оповещений о защите от потери данных, чтобы открыть вкладку Сводка действий пользователя, на которой отображается временная шкала всех действий кражи для этого пользователя за последние 90–120 дней. Как и в очереди оповещений о защите от потери данных, на вкладке "Сводка действий пользователя " отображается пользователь с самым высоким уровнем внутренних рисков. Этот глубокий контекст в том, что пользователь сделал за последние 90–120 дней, дает более широкое представление о рисках, представленных этим пользователем.

  В сводке действий пользователей отображаются только данные из индикаторов кражи. Данные из других конфиденциальных индикаторов, таких как hr, просмотр и т. д., не передаются оповещениям защиты от потери данных.

• Раздел Сведения об субъекте добавляется на страницу сведений об оповещении о защите от потери данных. Эту страницу можно использовать для просмотра всех пользователей, участвующих в конкретном оповещении защиты от потери данных. Для каждого пользователя, участвующего в оповещении DLP, можно просмотреть все действия кражи за последние 90–120 дней.

• Если нажать кнопку Получить сводку из Copilot для безопасности в оповещении защиты от потери данных, сводка оповещений, предоставляемая Microsoft Copilot для безопасности, включает уровень серьезности управления внутренними рисками в дополнение к сводным сведениям о защите от потери данных, если пользователь находится в область политики управления внутренними рисками.

  Совет

  Вы также можете использовать Copilot для безопасности для изучения оповещений защиты от потери данных. Если параметр общего доступа к данным для управления внутренними рисками включен, вы можете выполнить комбинированное исследование DLP и управления внутренними рисками. Например, вы можете начать с запроса Copilot для подведения итогов оповещений защиты от потери данных, а затем попросить Copilot показать уровень внутренних рисков, связанный с пользователем, помеченным в оповещении. Или вы можете спросить, почему пользователь считается пользователем с высоким риском. Сведения о рисках пользователя в этом случае поступают из управления внутренними рисками. Copilot для безопасности легко интегрирует управление внутренними рисками с DLP для помощи при проведении расследований. Дополнительные сведения об использовании автономной версии Copilot для комбинированных расследований защиты от потери данных и инсайдерских рисков

Предварительные условия

Чтобы предоставить общий доступ к уровням внутренних рисков управления внутренними рисками с Microsoft Defender и оповещениями защиты от потери данных, пользователь:

• Должен быть частью политики управления внутренними рисками.
• Должны выполняться действия кражи, которые приводят пользователя к область политики.

Примечание.

Если у вас есть доступ к оповещениям защиты от потери данных в Microsoft Purview и (или) Microsoft Defender, вы можете просмотреть контекст пользователя из управления внутренними рисками, совместно с этими решениями.

Обмен данными с Microsoft Defender и оповещениями защиты от потери данных

Вы можете предоставить общий доступ к уровням серьезности риска для пользователей управления внутренними рисками с оповещениями Microsoft Defender и DLP, включив один параметр.

1. В параметрах управления внутренними рисками выберите параметр Общий доступ к данным .
2. В разделе Общий доступ к данным с помощью Microsoft Defender XDR (предварительная версия) включите параметр .

Примечание.

Если этот параметр не включен, то значение, отображаемое в столбце DLP Alerts Insider risk серьезность: "Данные пользователя недоступны".

См. также

• Изучение оповещений защиты от потери данных с помощью Microsoft 365 Defender XDR
• Сведения об исследовании предупреждений для защиты от потери данных
• Начало работы с панелью мониторинга оповещений о защите от потери данных