与其他解决方案共享内部风险管理数据

重要

Microsoft Purview 内部风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

可以通过以下任一方式共享来自内部风险管理的数据：

• 将警报信息导出到 SIEM 解决方案
• 使用 Microsoft Defender XDR 和 Microsoft Purview 数据丢失防护 (DLP) 警报共享用户风险严重性级别

将警报信息导出到 SIEM 解决方案

Microsoft Purview 内部风险管理警报信息可导出到安全信息和事件管理 (SIEM) 和安全业务流程自动响应， (SOAR) 解决方案使用 Office 365 管理活动 API 架构。 可以使用Office 365管理活动 API 将警报信息导出到组织可能用于管理或聚合内部风险信息的其他应用程序。 警报信息通过Office 365管理活动 API 导出并每 60 分钟提供一次。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

如果你的组织使用 Microsoft Sentinel，你还可以使用现装的内部风险管理数据连接器将内部风险警报信息导入 Sentinel。 有关详细信息，请参阅 Microsoft Sentinel 文章中的 Insider Risk Management 。

重要

若要为在 Microsoft 365 或其他系统中具有内部风险警报或案例的用户保持引用完整性，在使用导出 API 或导出到Microsoft Purview 电子数据展示解决方案时，不会为导出的警报保留用户名的匿名化。 在这种情况下，导出的警报将显示每个警报的用户名。 如果要从警报或案例导出到 CSV 文件， 则会 保留匿名。

使用 API 查看内部风险警报信息

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
2. 选择页面右上角的 “设置” 按钮。
3. 选择“ 预览体验成员风险管理 ”，转到内部风险管理设置。
4. 选择“ 导出警报”。 默认情况下，Microsoft 365 组织禁用此设置。
5. 将设置设置为 “打开”。
6. 按 SecurityComplianceAlerts 筛选常见的Office 365审核活动。
7. 按 InsiderRiskManagement 类别筛选 SecurityComplianceAlerts。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。

2. 选择 “设置” 按钮。

3. 选择“ 导出警报”。 默认情况下，Microsoft 365 组织禁用此设置。

4. 将设置设置为 “打开”。

5. 按 SecurityComplianceAlerts 筛选常见的Office 365审核活动。

6. 按 InsiderRiskManagement 类别筛选 SecurityComplianceAlerts。

   

警报信息包含安全与合规性警报架构以及Office 365管理活动 API 通用架构中的信息。

为安全和合规性警报架构的内部风险管理警报导出以下字段和值：

Alert 参数	说明
AlertType	警报的类型为 “自定义”。
AlertId	警报的 GUID。 内部风险管理警报是可变的。 警报状态更改时，将生成具有相同 AlertID 的新日志。 此 AlertID 可用于关联警报的更新。
类别	警报的类别为 InsiderRiskManagement。 此类别可用于将这些警报与其他安全性和合规性警报区分开来。
Comments	警报的默认注释。 值是创建) 警报时记录 的新 警报 (， ( 在警报) 更新时记录警报更新。 使用 AlertID 关联警报的更新。
数据	警报的数据包括唯一的用户 ID、用户主体名称以及 (UTC) 触发到策略中的日期和时间。
名称	生成警报的内部风险管理策略的策略名称。
PolicyId	触发警报的内部风险管理策略的 GUID。
Severity	警报的严重性。 值为 “高”、“ 中”或 “低”。
Source	警报的源。 值为“Office 365安全性 & 符合性”。
状态	警报的状态。 值为“内部风险) 中的活动 (需求评审”、“在内部风险) 中调查 (确认”、“在内部风险) 中解决 (解决”、“在内部风险) 中消除 (消除”。
版本	安全性和符合性警报架构的版本。

为Office 365管理活动 API 通用架构的内部风险管理警报导出以下字段和值。

• UserID
• Id
• RecordType
• CreationTime
• 操作
• OrganizationId
• UserType
• UserKey

使用Microsoft Defender XDR和 DLP 警报共享用户风险严重性级别

你可以共享内部风险管理中的用户风险严重性级别，以将独特的用户上下文引入Microsoft Defender XDR和 Microsoft Purview 数据丢失防护 (DLP) 警报。 内部风险管理会分析 90-120 天内的用户活动，并查找该时间段的异常行为。 将此数据添加到Microsoft Defender XDR和 DLP 警报可增强这些解决方案中可用的数据，以帮助分析师确定警报的优先级。

共享内部风险管理用户风险严重性级别时会发生什么情况？

在 Microsoft Defender XDR

• DLP 事件页：将“预览体验成员风险严重性”字段添加到“Microsoft Defender DLP 事件”页的“受影响的资产”部分，供在内部风险管理中具有较高或中等风险级别的用户使用。 如果用户具有 低 风险级别，则不会向“事件”页添加任何内容。 这可以尽量减少分析师的干扰，以便他们可以专注于风险最高的用户活动。

  可以在“受影响的资产”部分选择风险级别，以查看该用户的内部风险活动摘要和活动时间线。 长达 120 天的分析可帮助分析师确定用户活动的总体风险。

  如果在 DLP 策略匹配页中选择 DLP 事件，“DLP 策略匹配”部分中将显示“ 受影响的实体 ”部分，其中显示与策略匹配的所有用户。

• “用户”页：将 “预览体验成员风险严重性 ”字段添加到“用户”页，用于在内部风险管理中具有 高、 中或 低 风险级别的用户。 此数据适用于具有活动内部风险管理警报的任何用户。

  “用户”页面右侧会显示该用户的预览体验成员风险活动摘要和活动时间线。

在 DLP 警报中

• 对于与 DLP 警报关联的内部风险管理策略，会将值为“高”、“中”、“低”或“无”的“预览体验成员风险严重性”列添加到 DLP 警报队列。 如果有多个用户具有与策略匹配的活动，则会显示内部风险级别最高的用户。

  值为 None 可能表示以下任一情况：

  • 用户不属于任何内部风险管理策略。

  • 用户是内部风险管理策略的一部分，但他们尚未执行风险活动，以将自己纳入策略范围， (没有外泄数据) 。

• 可以在 DLP 警报队列中选择内部风险级别以访问“用户活动摘要”选项卡，其中显示了该用户过去 90-120 天的所有外泄活动时间线。 与 DLP 警报队列一样， “用户活动摘要 ”选项卡会显示内部风险级别最高的用户。 这种深入了解用户在过去 90 到 120 天内执行的操作的上下文提供了该用户所呈现的风险的更广泛视图。

  用户活动摘要中仅显示外泄指示器中的数据。 来自其他敏感指标（如 HR、浏览等）的数据不会与 DLP 警报共享。

• 参与者详细信息部分将添加到 DLP 警报详细信息页。 可以使用此页面查看特定 DLP 警报中涉及的 所有用户 。 对于 DLP 警报中涉及的每个用户，可以查看过去 90 到 120 天的所有外泄活动。

• 如果选择 DLP 警报中的“从安全 Copilot获取摘要”按钮，则如果用户处于内部风险管理策略范围内，Microsoft 安全 Copilot提供的警报摘要还包括内部风险管理严重性级别以及 DLP 摘要信息。

  提示

  还可以使用安全 Copilot调查 DLP 警报。 如果启用了内部风险管理 数据共享 设置，则可以执行 DLP/内部风险管理联合调查。 例如，你可能希望首先要求 Copilot 汇总 DLP 警报，然后让 Copilot 显示与警报中标记的用户关联的内部风险级别。 或者，你可能想要询问为什么该用户被视为高风险用户。 本例中的用户风险信息来自内部风险管理。 安全 Copilot将内部风险管理与 DLP 无缝集成，以协助调查。 详细了解如何使用独立版本的 Copilot 进行 DLP/内部风险管理联合调查

先决条件

若要与Microsoft Defender XDR和 DLP 警报共享内部风险管理用户风险级别，用户：

• 必须是内部风险管理策略的一部分。
• 必须执行将用户引入策略范围的外泄活动。
• 必须具有 DLP 警报权限。 启用“数据共享”设置后，具有 DLP 警报权限的用户可以访问 DLP 警报调查和Microsoft Defender XDR用户页的预览体验成员风险管理上下文。 具有内部风险管理权限的用户还可以访问此数据。

提示

如果有权访问 Microsoft Purview 中的 DLP 警报和/或Microsoft Defender，则可以从与这些解决方案共享的内部风险管理中查看用户上下文。

使用Microsoft Defender XDR和 DLP 警报共享数据

可以通过打开单个设置来与Microsoft Defender XDR和 DLP 警报共享内部风险管理用户风险严重性级别。

1. 在内部风险管理设置中，选择 “数据共享 ”设置。
2. 在“使用Microsoft Defender XDR (预览) 共享数据”部分下，打开设置。

注意

如果不启用此设置，DLP 警报 “预览体验成员风险严重性 ”列中显示的值是“用户数据不可用”。

另请参阅

• 使用 Microsoft 365 Defender XDR调查数据丢失防护警报
• 了解如何调查数据丢失防护警报
• 数据丢失防护警报入门仪表板