Совместное использование данных управления внутренними рисками с другими решениями

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Вы можете поделиться данными из управления внутренними рисками, используя один из следующих способов:

• Экспорт сведений об оповещениях в решения SIEM
• Совместное использование уровней серьезности риска для пользователей с помощью оповещений Microsoft Defender XDR и Защиты от потери данных (DLP) Microsoft Purview

Экспорт сведений об оповещениях в решения SIEM

Сведения об оповещении Microsoft Purview Insider Risk Management можно экспортировать в решения по управлению информационной безопасностью и событиями безопасности (SIEM) и автоматическому реагированию на оркестрацию безопасности (SOAR) с помощью схемы API действий управления Office 365. API-интерфейсы действий управления Office 365 можно использовать для экспорта сведений об оповещениях в другие приложения, которые ваша организация может использовать для управления или агрегирования информации о внутренних рисках. Сведения об оповещениях экспортируются и доступны каждые 60 минут через API действий управления Office 365.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Если ваша организация использует Microsoft Sentinel, вы также можете использовать встроенный соединитель данных управления внутренними рисками для импорта сведений об оповещениях о внутренних рисках в Sentinel. Дополнительные сведения см. в статье Управление внутренними рисками в Microsoft Sentinel.

Важно!

Чтобы обеспечить целостность данных для пользователей, у которых есть оповещения о внутренних рисках или случаи в Microsoft 365 или других системах, анонимизация имен пользователей не сохраняется для экспортированных оповещений при использовании API экспорта или при экспорте в решения microsoft Purview для обнаружения электронных данных. В этом случае в экспортированных оповещениях будут отображаться имена пользователей для каждого оповещения. При экспорте в CSV-файлы из оповещений или случаев анонимизация сохраняется .

Использование API для просмотра сведений об оповещении о внутренних рисках

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. Выберите Экспорт оповещений. По умолчанию этот параметр отключен для вашей организации Microsoft 365.
5. Установите для параметра значение Включено.
6. Отфильтруйте распространенные действия аудита Office 365 по SecurityComplianceAlerts.
7. Фильтрация SecurityComplianceAlerts по категории InsiderRiskManagement .

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.

2. Нажмите кнопку Параметры .

3. Выберите Экспорт оповещений. По умолчанию этот параметр отключен для вашей организации Microsoft 365.

4. Установите для параметра значение Включено.

5. Отфильтруйте распространенные действия аудита Office 365 по SecurityComplianceAlerts.

6. Фильтрация SecurityComplianceAlerts по категории InsiderRiskManagement .

   

Сведения об оповещениях содержат сведения из схемы оповещений системы безопасности и соответствия требованиям и общей схемы API действий управления Office 365 .

Следующие поля и значения экспортируются для оповещений управления внутренними рисками для схемы оповещений о безопасности и соответствии требованиям:

Параметр alert	Описание
AlertType	Тип оповещения — Custom.
AlertId	Идентификатор GUID оповещения. Оповещения об управлении внутренними рисками изменяются. При изменении состояния оповещения создается новый журнал с тем же AlertID. Этот alertID можно использовать для корреляции обновлений для оповещения.
Категория	Категория оповещения — InsiderRiskManagement. Эту категорию можно использовать для отличия этих оповещений от других оповещений системы безопасности и соответствия требованиям.
Comments	Комментарии по умолчанию для оповещения. Значения: Новое оповещение (регистрируется при создании оповещения) и Оповещение обновлено (регистрируется при обновлении оповещения). Используйте AlertID для сопоставления обновлений для оповещения.
Data	Данные для оповещения включают уникальный идентификатор пользователя, имя участника-пользователя, а также дату и время (UTC) при активации пользователя в политике.
Имя	Имя политики для политики управления внутренними рисками, создающей оповещение.
PolicyId	GUID политики управления внутренними рисками, которая активирует оповещение.
Severity	Серьезность оповещения. Значения: Высокий, Средний или Низкий.
Source	Источник оповещения. Значение — Соответствие требованиям безопасности Office 365 &.
Состояние	Состояние оповещения. Значения активны (проверка потребностей в инсайдерских рисках), исследование (подтверждено в инсайдерских рисках), Разрешено (разрешено в инсайдерских рисках), Отклонено (уволено в инсайдерских рисках).
Версия	Версия схемы оповещений о безопасности и соответствии требованиям.

Следующие поля и значения экспортируются для оповещений управления внутренними рисками для общей схемы API действий управления Office 365.

• UserId
• Id
• RecordType
• CreationTime
• Operation
• OrganizationId
• UserType
• UserKey

Предоставление общего доступа к уровням серьезности риска для пользователей с помощью оповещений XDR и DLP в Microsoft Defender

Вы можете предоставить общий доступ к уровням серьезности риска пользователей из управления внутренними рисками, чтобы перенести уникальный контекст пользователя в оповещения XDR в Microsoft Defender и microsoft Purview для защиты от потери данных (DLP). Управление внутренними рисками анализирует действия пользователей за период от 90 до 120 дней и ищет аномальное поведение за этот период времени. Добавление этих данных в предупреждения XDR и DLP в Microsoft Defender улучшает данные, доступные в этих решениях, чтобы помочь аналитикам определить приоритеты оповещений.

Что происходит при совместном использовании уровней серьезности риска для пользователей управления внутренними рисками?

В Microsoft Defender XDR

• Страница Инциденты защиты от потери данных. Поле Серьезность риска предварительной оценки добавляется в раздел Затронутые ресурсы на странице Инциденты защиты от потери данных в Microsoft Defender для пользователей с высоким или средним уровнем риска в управлении внутренними рисками. Если у пользователя низкий уровень риска, на страницу Инциденты ничего не добавляется. Это позволяет свести к минимуму отвлекающие факторы для аналитиков, чтобы они могли сосредоточиться на самых рискованных действиях пользователей.

  Вы можете выбрать уровень риска в разделе Затронутые ресурсы , чтобы просмотреть сводку действий по внутренним рискам и временную шкалу действий для этого пользователя. Анализ до 120 дней может помочь аналитику определить общую рискоспособность действий пользователя.

  Если выбрать событие DLP на странице соответствия политике защиты от потери данных, в разделе Соответствие политике защиты от потери данных появится раздел Затронутые сущности , в котором отображаются все пользователи, которые соответствуют политике.

• Страница "Пользователи". На страницу Пользователи добавляется поле Серьезность внутренних рисков для пользователей с высоким,средним или низким уровнем риска в управлении внутренними рисками. Эти данные доступны для всех пользователей с активным оповещением об управлении внутренними рисками.

  В правой части страницы Пользователи отображается сводка действий по внутренним рискам и временная шкала действий для этого пользователя.

В оповещениях защиты от потери данных

• Для политики управления внутренними рисками, связанной с оповещением о защите от потери данных, в очередь оповещений о защите от потери данных добавляется столбец уровня серьезности риска предварительной оценки со значениями Высокий, Средний, Низкий или Нет . Если есть несколько пользователей, у которых есть действия, соответствующие политике, отображается пользователь с самым высоким уровнем внутренних рисков.

  Значение None может означать одно из следующих значений:

  • Пользователь не входит в политику управления внутренними рисками.

  • Пользователь является частью политики управления внутренними рисками, но он не совершил рискованных действий, чтобы включить себя в область действия политики (нет данных о краже).

• Вы можете выбрать уровень внутренних рисков в очереди оповещений о защите от потери данных, чтобы открыть вкладку Сводка действий пользователя , на которой отображается временная шкала всех действий по краже для этого пользователя за последние 90–120 дней. Как и в очереди оповещений о защите от потери данных, на вкладке "Сводка действий пользователя " отображается пользователь с самым высоким уровнем внутренних рисков. Этот глубокий контекст в том, что пользователь сделал за последние 90–120 дней, дает более широкое представление о рисках, представленных этим пользователем.

  В сводке действий пользователей отображаются только данные из индикаторов кражи. Данные из других конфиденциальных индикаторов, таких как hr, просмотр и т. д., не передаются оповещениям защиты от потери данных.

• Раздел Сведения об субъекте добавляется на страницу сведений об оповещении о защите от потери данных. Эту страницу можно использовать для просмотра всех пользователей, участвующих в конкретном оповещении защиты от потери данных. Для каждого пользователя, участвующего в оповещении DLP, можно просмотреть все действия кражи за последние 90–120 дней.

• Если нажать кнопку Получить сводку от Copilot for Security в оповещении защиты от потери данных, в сводке оповещений, предоставляемой Microsoft Copilot for Security, будет указан уровень серьезности управления внутренними рисками в дополнение к сводной информации о защите от потери данных, если пользователь находится в области политики управления внутренними рисками.

  Совет

  Вы также можете использовать Copilot для безопасности для изучения оповещений защиты от потери данных. Если параметр общего доступа к данным для управления внутренними рисками включен, вы можете выполнить комбинированное исследование DLP и управления внутренними рисками. Например, вы можете начать с запроса Copilot для подведения итогов оповещений защиты от потери данных, а затем попросить Copilot показать уровень внутренних рисков, связанный с пользователем, помеченным в оповещении. Или вы можете спросить, почему пользователь считается пользователем с высоким риском. Сведения о рисках пользователя в этом случае поступают из управления внутренними рисками. Copilot for Security легко интегрирует управление внутренними рисками с DLP, чтобы помочь в проведении расследований. Узнайте больше об использовании автономной версии Copilot для комбинированных расследований DLP и управления внутренними рисками.

Предварительные условия

Чтобы поделиться уровнями риска пользователей управления внутренними рисками с оповещениями XDR и DLP в Microsoft Defender, пользователь:

• Должен быть частью политики управления внутренними рисками.
• Должны выполняться действия кражи, которые приводят пользователя к области политики.
• Должны иметь разрешения на оповещения защиты от потери данных. После включения параметра Общий доступ к данным пользователи с разрешениями оповещений DLP могут получить доступ к контексту управления внутренними рисками для исследования оповещений о защите от потери данных и на странице Пользователи XDR в Microsoft Defender. Пользователи с разрешениями на управление внутренними рисками также могут получить доступ к этим данным.

Совет

Если у вас есть доступ к оповещениям защиты от потери данных в Microsoft Purview и (или) Microsoft Defender, вы можете просматривать контекст пользователя из управления внутренними рисками, совместно с этими решениями.

Предоставление общего доступа к данным с помощью оповещений XDR и DLP в Microsoft Defender

Вы можете предоставить общий доступ к уровням серьезности рисков для пользователей управления внутренними рисками с оповещениями XDR и DLP в Microsoft Defender, включив один параметр.

1. В параметрах управления внутренними рисками выберите параметр Общий доступ к данным .
2. В разделе Общий доступ к данным с помощью XDR в Microsoft Defender (предварительная версия) включите параметр .

Примечание.

Если этот параметр не включен, то значение, отображаемое в столбце DLP Alerts Insider risk серьезность: "Данные пользователя недоступны".

См. также

• Изучение оповещений защиты от потери данных с помощью XDR в Microsoft 365 Defender
• Сведения об исследовании предупреждений для защиты от потери данных
• Начало работы с панелью мониторинга оповещений о защите от потери данных