Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Sie können Daten aus dem Insider-Risikomanagement auf folgende Weise freigeben:
- Exportieren von Warnungsinformationen in SIEM-Lösungen.
- Geben Sie Warnungen und Benutzerrisikoschweregrade für Microsoft Defender XDR.
- Geben Sie den Schweregrad des Benutzerrisikos mit DLP-Warnungen (Data Loss Prevention, Verhinderung von Datenverlust) an.
Exportieren von Warnungsinformationen in SIEM-Lösungen
Microsoft Purview Insider Risk Management Warnungsinformationen können mithilfe des OFFICE 365 Management-API-Schemas in SIEM-Lösungen (Security Information and Event Management, Sicherheitsorchestrierung automatisierte Antwort) exportiert werden. Sie können die Office 365 Management Activity-APIs verwenden, um Warnungsinformationen in andere Anwendungen zu exportieren, die Ihre organization möglicherweise zum Verwalten oder Aggregieren von Insider-Risikoinformationen verwenden. Warnungsinformationen werden exportiert und sind alle 60 Minuten über die Office 365-Verwaltungsaktivitäts-APIs verfügbar.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Wenn Ihr organization Microsoft Sentinel verwendet, können Sie auch den standardmäßigen Insider Risk Management-Datenconnector verwenden, um Insider-Risikowarnungsinformationen in Microsoft Sentinel zu importieren. Weitere Informationen finden Sie unter Insider-Risikomanagement im artikel Microsoft Sentinel.
Wichtig
Um die referenzielle Integrität für Benutzer aufrechtzuerhalten, die Insider-Risikowarnungen oder -fälle in Microsoft 365 oder anderen Systemen haben, wird die Anonymisierung von Benutzernamen bei exportierten Warnungen bei Verwendung der Export-API oder beim Exportieren in Microsoft Purview-eDiscovery Lösungen nicht beibehalten. Exportierte Warnungen zeigen in diesem Fall Benutzernamen für jede Warnung an. Wenn Sie in CSV-Dateien aus Warnungen oder Fällen exportieren, bleibt die Anonymisierung erhalten.
Verwenden der APIs zum Überprüfen von Insider-Risikowarnungsinformationen
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wählen Sie in der oberen rechten Ecke der Seite Einstellungen aus.
- Wählen Sie Insider-Risikomanagement aus, um zu den Einstellungen des Insider-Risikomanagements zu wechseln.
- Wählen Sie Warnungen exportieren aus. Standardmäßig ist diese Einstellung für Ihre Microsoft 365-organization deaktiviert.
- Legen Sie die Einstellung auf Ein fest.
- Filtern Sie die allgemeinen Office 365 Überwachungsaktivitäten nach SecurityComplianceAlerts.
- Filtern Sie SecurityComplianceAlerts nach der Kategorie InsiderRiskManagement .
Warnungsinformationen enthalten Informationen aus dem Office 365 Schema für Sicherheits- und Compliancewarnungen der Verwaltungsaktivitäts-API) und aus dem allgemeinen Schema. Die folgenden Felder und Werte werden für Insider-Risikomanagement-Warnungen für das allgemeine Schema exportiert:
- UserId
- ID
- RecordType
- CreationTime
- Vorgang
- OrganizationId
- UserType
- UserKey
Freigeben von Warnungsschweregraden für andere Microsoft-Sicherheitslösungen
Sie können Warnungsschweregrade aus dem Insider-Risikomanagement freigeben, um in den folgenden Microsoft-Sicherheitslösungen einen eindeutigen Benutzerkontext für die Untersuchung von Warnungen bereitzustellen:
- Microsoft Defender XDR
- Microsoft Purview-Kommunikationscompliance
- Microsoft Purview Data Loss Prevention (DLP)
Insider-Risikomanagement analysiert Benutzeraktivitäten über einen Zeitraum von 90 bis 120 Tagen und sucht nach anomalem Verhalten in diesem Zeitraum. Durch das Hinzufügen dieser Daten zu anderen Sicherheitslösungen werden die in diesen Lösungen verfügbaren Daten verbessert, damit Analysten Warnungen priorisieren können.
Tipp
Warnungsschweregrade im Insider-Risikomanagement unterscheiden sich von insider-Risikostufen , die in Adaptiver Schutz definiert sind.
- Warnungsschweregrade (Niedrig, Mittel oder Hoch) werden Benutzern basierend auf Aktivitäten zugewiesen, die in Insider-Risikomanagement-Richtlinien erkannt wurden. Diese Ebenen werden basierend auf Warnungsrisikobewertungen berechnet, die allen aktiven Warnungen zugeordnet sind, die dem Benutzer zugeordnet sind. Diese Ebenen helfen Insider-Risikoanalysten und Ermittlern dabei, Benutzeraktivitäten entsprechend zu priorisieren und darauf zu reagieren.
- Insider-Risikostufen (erhöht, mäßig oder geringfügig) im adaptiven Schutz sind ein Maß für das Risiko, das durch vom Administrator definierte Bedingungen bestimmt wird, z. B. die Anzahl der Exfiltrationsaktivitäten, die Benutzer an einem Tag ausführen, oder ob ihre Aktivität eine Warnung zu einem insider-Risiko mit hohem Schweregrad generiert hat.
Voraussetzungen
Um die Risikostufen des Insider-Risikomanagements mit anderen Microsoft-Sicherheitslösungen zu teilen, muss der Benutzer:
- Muss Teil einer Insider-Risikomanagement-Richtlinie sein.
- Muss Exfiltrationsaktivitäten ausgeführt haben, die den Benutzer in den Geltungsbereich der Richtlinie bringen.
- (Für die Freigabe mit DLP): Muss über DLP-Warnungsberechtigungen verfügen. Nachdem die Einstellung Datenfreigabe aktiviert wurde, können Benutzer mit DLP-Warnungsberechtigungen auf den Insider-Risikomanagement-Kontext für die Untersuchung von DLP-Warnungen und für die Seite Microsoft Defender XDR Benutzer zugreifen. Benutzer mit Insider-Risikomanagement-Berechtigungen können ebenfalls auf diese Daten zugreifen.
- (Für die Freigabe mit Kommunikationscompliance): Benutzern muss entweder die Rolle Communication Compliance Analyst oder Communication Compliance Investigator zugewiesen werden, um die Schweregrade und den Aktivitätsverlauf des Benutzerrisikos in Communication Compliance anzuzeigen.
Tipp
Wenn Sie Zugriff auf DLP-Warnungen in Microsoft Purview und/oder Microsoft Defender haben, können Sie den Benutzerkontext von Insider Risk Management anzeigen, der für diese Lösungen freigegeben ist.
Freigeben von Daten mit anderen Microsoft-Sicherheitslösungen
Sie können den Schweregrad des Insider-Risikomanagements für andere Microsoft-Sicherheitslösungen freigeben, indem Sie eine einzelne Einstellung aktivieren.
- Wählen Sie in den Einstellungen für das Insider-Risikomanagement die Einstellung Datenfreigabe aus.
- Aktivieren Sie im Abschnitt Freigeben von Daten mit anderen Microsoft-Sicherheitslösungen die Einstellung.
Hinweis
Wenn Sie diese Einstellung nicht aktivieren, lautet der Wert in der Spalte DLP-Warnungen des Insider-Risikoschweregrads "Benutzerdaten sind nicht verfügbar" und wird unter Kommunikationscompliance als "Insider-Risikoaktivität nicht verfügbar" angezeigt.
Was geschieht, wenn Sie den Schweregrad der Insider-Risikomanagement-Warnung freigeben?
In Microsoft Defender XDR
Die Freigabe von Warnungsdaten im Microsoft Defender-Portal ist wichtig, um die vertraulichen Informationen Ihrer organization zu schützen und die Sicherheit aufrechtzuerhalten. SoC-Analysten (Security Operations Center) können:
- Untersuchen Sie Insider-Risikomanagement-Warnungen in der Microsoft Defender Warnungswarteschlange.
- Untersuchen Sie Insider-Risikomanagement-Warnungen, die mit Warnungen aus anderen Erkennungsquellen korreliert sind, z. B. verhinderung von Datenverlust, Microsoft Defender for Identity, Microsoft Defender für Office usw. in der Microsoft Defender XDR-Incidentwarteschlange.
- Führen Sie Erweiterte Hunting-Abfragen für zwei neue Tabellen aus, die Insider-Risikomanagement-Warnungsdaten enthalten.
- Exportieren Sie umfangreiche Insider-Risikomanagement-Warnungsdaten über Microsoft Graph-API.
- Zeigen Sie den Schweregrad des Insider-Risikomanagements für einen Benutzer während der Warnungs selektierung an. Für Benutzer, die im Insider-Risikomanagement die Risikostufe "Hoch", "Mittel" oder "Niedrig" aufweisen, wird der Seite "Benutzer" ein Feld "Insider-Risikoschweregrad" hinzugefügt. Diese Daten sind für alle Benutzer mit einer aktiven Insider-Risikomanagement-Warnung verfügbar. Auf der rechten Seite der Seite Benutzer werden eine Zusammenfassung der Insider-Risikoaktivitäten und aktivitäten Zeitleiste für diesen Benutzer angezeigt.
Migrieren von Office 365-Verwaltungsaktivitäts-APIs zu Microsoft Graph-APIs
Insider-Risikomanagement-Warnungsmetadaten sind über Office 365-Verwaltungsaktivitäts-API verfügbar. Graph-API bietet jedoch umfangreichere Metadaten und bidirektionale Unterstützung. Es wird empfohlen, zu Graph-API zu migrieren, um Insider-Risikomanagementdaten in Ihre Unternehmenssysteme zu integrieren.
In der folgenden Tabelle sind die am häufigsten verwendeten API-Parameter der Office 365-Verwaltungsaktivität und der entsprechende Microsoft Graph-API-Parameter zusammengefasst:
| api-Parameter für Office 365-Verwaltungsaktivität | Microsoft Graph-API-Parameter |
|---|---|
| Warnungsparameter | Kein äquivalenter Parameter |
| AlertId | ID |
| Kategorie | ServiceSource |
| Kommentare | Kein äquivalenter Parameter |
| Daten | Evidence.useraccount.userPrincipalName(zusammen mit Suffix) |
| Name | AlertPolicyName |
| PolicyId | AlertPolicyId |
| Severity | Severity |
| Quelle | DetectionSource |
| Status | Status |
| Version | Kein äquivalenter Parameter |
Eine ausführliche Schemazuordnung finden Sie im Defender XDR-Schema in der Office 365-Verwaltungsaktivitäts-API und microsoft Graph-API.
Integrieren des Insider-Risikomanagements in ServiceNow Security Operations
ServiceNow bietet Integrationen für die Verbindung mit Microsoft-Sicherheitstechnologien mithilfe von Microsoft Graph. Zu diesen Lösungen gehören Microsoft Sentinel, Microsoft Defender Advanced Threat Protection und Azure Advanced Threat Protection. Diese Integration ermöglicht Ihnen den Zugriff auf wertvolle Erkenntnisse aus Microsoft-Produkten und hilft Ihnen, Sicherheitsvorfälle mithilfe der ServiceNow-Plattform effizient zu verwalten und darauf zu reagieren. Auf Insider-Risikomanagement-Warnungsdaten wird außerhalb der Microsoft Purview-Umgebung über die Microsoft Graph-Sicherheits-API zugegriffen.
Führen Sie die folgenden Schritte aus, um Insider-Risikomanagement-Warnungsdaten für ServiceNow zu teilen:
- Abrufen der Integration der Microsoft Graph-Sicherheits-API-Warnungserfassung für Sicherheitsvorgänge
- Befolgen Sie die ServiceNow-Dokumentation, um ein Profil für die Microsoft Graph-Sicherheits-API Integration der Warnungserfassung einzurichten oder zu erstellen.
Weitere Informationen finden Sie unter Untersuchen von Insider-Risikobedrohungen im Microsoft Defender-Portal.
In Kommunikationscompliance-Warnungen
Für jede Übereinstimmung der Kommunikationskonformitätsrichtlinie können Sie den Schweregrad des Benutzerrisikos anzeigen, der dem Absender zugeordnet ist. Zeigen Sie diese Informationen auf der Registerkarte Benutzeraktivität in der Kommunikation für die Warnung an. Diese Ansicht enthält Risikoprofile, Richtlinienabgleiche und Benutzeraktivitäten, die von Insider-Risikomanagement und Kommunikationscompliance erfasst werden.
Die Schweregrade werden als Hoch, Mittel, Niedrig oder Keine kategorisiert.
Bei Risikoschweregraden von "None" kann der Grund für eines der folgenden Szenarien sein:
- Der Benutzer ist nicht in einer Insider-Risikorichtlinie enthalten.
- Den Aktivitäten des Benutzers wird keine Risikobewertung zugewiesen, was bedeutet, dass sich der Benutzer nicht im aktiven Bereich der Richtlinie befindet.
- Der Benutzer ist in einer Insider-Risikomanagement-Richtlinie enthalten, hat aber keine riskanten Aktivitäten ausgeführt.
- Die organization verfügt nicht über eine aktive Insider-Risikomanagement-Richtlinie.
Wenn der Schweregrad des Benutzerrisikos nicht verfügbar ist, wird die Datenfreigabe nicht über das Insider-Risikomanagement aktiviert.
Sie können Insider-Risikoaktivitäten für bis zu 120 Tage im Abschnitt Details anzeigen auf der Registerkarte Benutzerverlauf im Insider-Risikomanagement anzeigen. Derzeit werden nur Daten aus Exfiltrationsindikatoren in der Zusammenfassung der Benutzeraktivität in Communication Compliance angezeigt.
In DLP-Warnungen
Für die Insider-Risikomanagement-Richtlinie, die der DLP-Warnung zugeordnet ist, wird der DLP-Warnungswarteschlange eine Spalte insider-Risikoschweregrad mit den Werten "Hoch", " Mittel", " Niedrig" oder "Keine " hinzugefügt. Wenn mehrere Benutzer über Aktivitäten verfügen, die mit der Richtlinie übereinstimmen, wird der Benutzer mit der höchsten Insider-Risikostufe angezeigt.
Der Wert None kann eine der folgenden Werte bedeuten:
Der Benutzer ist nicht Teil einer Insider-Risikomanagement-Richtlinie.
Der Benutzer ist Teil einer Insider-Risikomanagement-Richtlinie, hat aber keine riskanten Aktivitäten ausgeführt, um sich selbst in den Geltungsbereich der Richtlinie zu bringen (es gibt keine Exfiltration von Daten).
Sie können die Insider-Risikostufe in der DLP-Warnungswarteschlange auswählen, um auf die Registerkarte Zusammenfassung der Benutzeraktivität zuzugreifen, die eine Zeitleiste aller Exfiltrationsaktivitäten für diesen Benutzer in den letzten 90 bis 120 Tagen anzeigt. Wie bei der DLP-Warnungswarteschlange wird auf der Registerkarte Benutzeraktivitätszusammenfassung der Benutzer mit der höchsten Insider-Risikostufe angezeigt. Dieser tiefe Kontext in dem, was ein Benutzer in den letzten 90 bis 120 Tagen getan hat, bietet einen breiteren Überblick über die Risiken, die dieser Benutzer darstellt.
Nur Daten aus Exfiltrationsindikatoren werden in der Zusammenfassung der Benutzeraktivität angezeigt. Daten aus anderen vertraulichen Indikatoren wie Personalwesen, Browsen usw. werden nicht für DLP-Warnungen freigegeben.
Der Detailseite der DLP-Warnung wird ein Abschnitt mit Details zum Akteur hinzugefügt. Sie können diese Seite verwenden, um alle Benutzer anzuzeigen, die an der jeweiligen DLP-Warnung beteiligt sind. Für jeden Benutzer, der an der DLP-Warnung beteiligt ist, können Sie alle Exfiltrationsaktivitäten der letzten 90 bis 120 Tage anzeigen.
Wenn Sie Zusammenfassung aus Security Copilot in einer DLP-Warnung abrufen auswählen, enthält die von Microsoft Security Copilot bereitgestellte Warnungszusammenfassung zusätzlich zu den DLP-Zusammenfassungsinformationen den Schweregrad Insider-Risikomanagement, wenn sich der Benutzer im Bereich einer Insider-Risikomanagement-Richtlinie befindet.
Tipp
Sie können auch Security Copilot verwenden, um DLP-Warnungen zu untersuchen. Wenn die Einstellung Insider-Risikomanagement-Datenfreigabe aktiviert ist, können Sie eine kombinierte DLP-/Insider-Risikomanagement-Untersuchung durchführen. Sie können z. B. copilot bitten, eine DLP-Warnung zusammenzufassen, und dann Copilot auffordern, die Insider-Risikostufe anzuzeigen, die dem in der Warnung gekennzeichneten Benutzer zugeordnet ist. Oder Sie möchten fragen, warum der Benutzer als Benutzer mit hohem Risiko gilt. Die Risikoinformationen des Benutzers stammen in diesem Fall vom Insider-Risikomanagement. Security Copilot integriert das Insider-Risikomanagement nahtlos in DLP, um Untersuchungen zu unterstützen. Erfahren Sie mehr über die Verwendung der eigenständigen Version von Copilot für kombinierte DLP-/Insider-Risikomanagement-Untersuchungen.