Совместное использование данных управления внутренними рисками с другими решениями
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Вы можете поделиться данными из управления внутренними рисками, используя один из следующих способов:
- Экспорт сведений об оповещениях в решения SIEM
- Совместное использование уровней серьезности риска для пользователей с помощью оповещений Microsoft Defender XDR и Защиты от потери данных (DLP) Microsoft Purview
Экспорт сведений об оповещениях в решения SIEM
Сведения об оповещении Microsoft Purview Insider Risk Management можно экспортировать в решения по управлению информационной безопасностью и событиями безопасности (SIEM) и автоматическому реагированию на оркестрацию безопасности (SOAR) с помощью схемы API действий управления Office 365. API-интерфейсы действий управления Office 365 можно использовать для экспорта сведений об оповещениях в другие приложения, которые ваша организация может использовать для управления или агрегирования информации о внутренних рисках. Сведения об оповещениях экспортируются и доступны каждые 60 минут через API действий управления Office 365.
Совет
Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.
Если ваша организация использует Microsoft Sentinel, вы также можете использовать встроенный соединитель данных управления внутренними рисками для импорта сведений об оповещениях о внутренних рисках в Sentinel. Дополнительные сведения см. в статье Управление внутренними рисками в Microsoft Sentinel.
Важно!
Чтобы обеспечить целостность данных для пользователей, у которых есть оповещения о внутренних рисках или случаи в Microsoft 365 или других системах, анонимизация имен пользователей не сохраняется для экспортированных оповещений при использовании API экспорта или при экспорте в решения microsoft Purview для обнаружения электронных данных. В этом случае в экспортированных оповещениях будут отображаться имена пользователей для каждого оповещения. При экспорте в CSV-файлы из оповещений или случаев анонимизация сохраняется .
Использование API для просмотра сведений об оповещении о внутренних рисках
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
- Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
- Нажмите кнопку Параметры в правом верхнем углу страницы.
- Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
- Выберите Экспорт оповещений. По умолчанию этот параметр отключен для вашей организации Microsoft 365.
- Установите для параметра значение Включено.
- Отфильтруйте распространенные действия аудита Office 365 по SecurityComplianceAlerts.
- Фильтрация SecurityComplianceAlerts по категории InsiderRiskManagement .
Сведения об оповещениях содержат сведения из схемы оповещений системы безопасности и соответствия требованиям и общей схемы API действий управления Office 365 .
Следующие поля и значения экспортируются для оповещений управления внутренними рисками для схемы оповещений о безопасности и соответствии требованиям:
Параметр alert | Описание |
---|---|
AlertType | Тип оповещения — Custom. |
AlertId | Идентификатор GUID оповещения. Оповещения об управлении внутренними рисками изменяются. При изменении состояния оповещения создается новый журнал с тем же AlertID. Этот alertID можно использовать для корреляции обновлений для оповещения. |
Категория | Категория оповещения — InsiderRiskManagement. Эту категорию можно использовать для отличия этих оповещений от других оповещений системы безопасности и соответствия требованиям. |
Comments | Комментарии по умолчанию для оповещения. Значения: Новое оповещение (регистрируется при создании оповещения) и Оповещение обновлено (регистрируется при обновлении оповещения). Используйте AlertID для сопоставления обновлений для оповещения. |
Data | Данные для оповещения включают уникальный идентификатор пользователя, имя участника-пользователя, а также дату и время (UTC) при активации пользователя в политике. |
Имя | Имя политики для политики управления внутренними рисками, создающей оповещение. |
PolicyId | GUID политики управления внутренними рисками, которая активирует оповещение. |
Severity | Серьезность оповещения. Значения: Высокий, Средний или Низкий. |
Source | Источник оповещения. Значение — Соответствие требованиям безопасности Office 365 &. |
Состояние | Состояние оповещения. Значения активны (проверка потребностей в инсайдерских рисках), исследование (подтверждено в инсайдерских рисках), Разрешено (разрешено в инсайдерских рисках), Отклонено (уволено в инсайдерских рисках). |
Версия | Версия схемы оповещений о безопасности и соответствии требованиям. |
Следующие поля и значения экспортируются для оповещений управления внутренними рисками для общей схемы API действий управления Office 365.
- UserId
- Id
- RecordType
- CreationTime
- Operation
- OrganizationId
- UserType
- UserKey
Совместное использование уровней серьезности оповещений с оповещениями XDR и DLP в Microsoft Defender
Вы можете предоставить общий доступ к уровням серьезности оповещений из управления внутренними рисками, чтобы перенести уникальный контекст пользователя в предупреждения XDR в Microsoft Defender и защиту от потери данных Microsoft Purview (DLP). Управление внутренними рисками анализирует действия пользователей за период от 90 до 120 дней и ищет аномальное поведение за этот период времени. Добавление этих данных в предупреждения XDR и DLP в Microsoft Defender улучшает данные, доступные в этих решениях, чтобы помочь аналитикам определить приоритеты оповещений.
Совет
Уровни серьезности оповещений в управлении внутренними рисками отличаются от уровней внутренних рисков, определенных в адаптивной защите.
- Уровни серьезности оповещений (низкий, средний или высокий) назначаются пользователям на основе действий, обнаруженных в политиках управления внутренними рисками. Эти уровни вычисляются на основе оценок риска оповещений, назначенных всем активным оповещениям, связанным с пользователем. Эти уровни помогают аналитикам внутренних рисков и следователям определять приоритеты и реагировать на действия пользователей соответствующим образом.
- Уровни инсайдерского риска (повышенный, средний или незначительный) в адаптивной защите — это мера риска, определяемая определенными администратором условиями, такими как количество действий по краже в день или то, что их действия вызвали оповещение о инсайдерских рисках с высоким уровнем серьезности.
Что происходит при совместном использовании уровней серьезности оповещений об управлении внутренними рисками?
В Microsoft Defender XDR
Страница Инциденты защиты от потери данных. Поле Серьезность риска предварительной оценки добавляется в раздел Затронутые ресурсы на странице Инциденты защиты от потери данных в Microsoft Defender для пользователей с высоким или средним уровнем риска в управлении внутренними рисками. Если у пользователя низкий уровень риска, на страницу Инциденты ничего не добавляется. Это позволяет свести к минимуму отвлекающие факторы для аналитиков, чтобы они могли сосредоточиться на самых рискованных действиях пользователей.
Вы можете выбрать уровень риска в разделе Затронутые ресурсы , чтобы просмотреть сводку действий по внутренним рискам и временную шкалу действий для этого пользователя. Анализ до 120 дней может помочь аналитику определить общую рискоспособность действий пользователя.
Если выбрать событие DLP на странице соответствия политике защиты от потери данных, в разделе Соответствие политике защиты от потери данных появится раздел Затронутые сущности , в котором отображаются все пользователи, которые соответствуют политике.
Страница "Пользователи". На страницу Пользователи добавляется поле Серьезность внутренних рисков для пользователей с высоким,средним или низким уровнем риска в управлении внутренними рисками. Эти данные доступны для всех пользователей с активным оповещением об управлении внутренними рисками.
В правой части страницы Пользователи отображается сводка действий по внутренним рискам и временная шкала действий для этого пользователя.
В оповещениях защиты от потери данных
Для политики управления внутренними рисками, связанной с оповещением о защите от потери данных, в очередь оповещений о защите от потери данных добавляется столбец уровня серьезности риска предварительной оценки со значениями Высокий, Средний, Низкий или Нет . Если есть несколько пользователей, у которых есть действия, соответствующие политике, отображается пользователь с самым высоким уровнем внутренних рисков.
Значение None может означать одно из следующих значений:
Пользователь не входит в политику управления внутренними рисками.
Пользователь является частью политики управления внутренними рисками, но он не совершил рискованных действий, чтобы включить себя в область действия политики (нет данных о краже).
Вы можете выбрать уровень внутренних рисков в очереди оповещений о защите от потери данных, чтобы открыть вкладку Сводка действий пользователя , на которой отображается временная шкала всех действий по краже для этого пользователя за последние 90–120 дней. Как и в очереди оповещений о защите от потери данных, на вкладке "Сводка действий пользователя " отображается пользователь с самым высоким уровнем внутренних рисков. Этот глубокий контекст в том, что пользователь сделал за последние 90–120 дней, дает более широкое представление о рисках, представленных этим пользователем.
В сводке действий пользователей отображаются только данные из индикаторов кражи. Данные из других конфиденциальных индикаторов, таких как hr, просмотр и т. д., не передаются оповещениям защиты от потери данных.
Раздел Сведения об субъекте добавляется на страницу сведений об оповещении о защите от потери данных. Эту страницу можно использовать для просмотра всех пользователей, участвующих в конкретном оповещении защиты от потери данных. Для каждого пользователя, участвующего в оповещении DLP, можно просмотреть все действия кражи за последние 90–120 дней.
Если нажать кнопку Получить сводку от Copilot for Security в оповещении защиты от потери данных, в сводке оповещений, предоставляемой Microsoft Copilot for Security, будет указан уровень серьезности управления внутренними рисками в дополнение к сводной информации о защите от потери данных, если пользователь находится в области политики управления внутренними рисками.
Совет
Вы также можете использовать Copilot для безопасности для изучения оповещений защиты от потери данных. Если параметр общего доступа к данным для управления внутренними рисками включен, вы можете выполнить комбинированное исследование DLP и управления внутренними рисками. Например, вы можете начать с запроса Copilot для подведения итогов оповещений защиты от потери данных, а затем попросить Copilot показать уровень внутренних рисков, связанный с пользователем, помеченным в оповещении. Или вы можете спросить, почему пользователь считается пользователем с высоким риском. Сведения о рисках пользователя в этом случае поступают из управления внутренними рисками. Copilot for Security легко интегрирует управление внутренними рисками с DLP, чтобы помочь в проведении расследований. Узнайте больше об использовании автономной версии Copilot для комбинированных расследований DLP и управления внутренними рисками.
Предварительные условия
Чтобы поделиться уровнями риска пользователей управления внутренними рисками с оповещениями XDR и DLP в Microsoft Defender, пользователь:
- Должен быть частью политики управления внутренними рисками.
- Должны выполняться действия кражи, которые приводят пользователя к области политики.
- Должны иметь разрешения на оповещения защиты от потери данных. После включения параметра Общий доступ к данным пользователи с разрешениями оповещений DLP могут получить доступ к контексту управления внутренними рисками для исследования оповещений о защите от потери данных и на странице Пользователи XDR в Microsoft Defender. Пользователи с разрешениями на управление внутренними рисками также могут получить доступ к этим данным.
Совет
Если у вас есть доступ к оповещениям защиты от потери данных в Microsoft Purview и (или) Microsoft Defender, вы можете просматривать контекст пользователя из управления внутренними рисками, совместно с этими решениями.
Предоставление общего доступа к данным с помощью оповещений XDR и DLP в Microsoft Defender
Вы можете предоставить общий доступ к уровням серьезности оповещений об управлении внутренними рисками с оповещениями XDR и DLP в Microsoft Defender, включив один параметр.
- В параметрах управления внутренними рисками выберите параметр Общий доступ к данным .
- В разделе Общий доступ к данным с помощью XDR в Microsoft Defender (предварительная версия) включите параметр .
Примечание.
Если этот параметр не включен, то значение, отображаемое в столбце DLP Alerts Insider risk серьезность: "Данные пользователя недоступны".