Microsoft Defender portalında insider risk tehditlerini araştırma

Önemli

Bu makaledeki bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen, önceden yayımlanmış bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Microsoft Defender portalındaki Microsoft Purview İçeriden Risk Yönetimi uyarıları, kuruluşun hassas bilgilerini korumak ve güvenliği korumak için çok önemlidir. Microsoft Purview İçeriden Risk Yönetimi bu uyarılar ve içgörüler, çalışanlar veya yükleniciler tarafından veri sızıntıları ve fikri mülkiyet hırsızlığı gibi iç tehditleri belirlemeye ve azaltmaya yardımcı olur. Bu uyarıların izlenmesi, kuruluşların güvenlik olaylarını proaktif olarak ele alıp hassas verilerin korunmasını ve uyumluluk gereksinimlerini karşılamasını sağlar.

İç risk uyarılarını izlemenin önemli avantajlarından biri, bir kullanıcıyla ilgili tüm uyarıların birleşik görünümüdür ve güvenlik operasyonları merkezi (SOC) analistlerinin Microsoft Purview İçeriden Risk Yönetimi gelen uyarıları diğer Microsoft güvenlik çözümleriyle ilişkilendirmesine olanak tanır. Ayrıca, bu uyarıların Microsoft Defender portalında olması gelişmiş tehdit avcılığı özellikleriyle sorunsuz tümleştirme sağlayarak olayları etkili bir şekilde araştırma ve yanıtlama yeteneğini geliştirir.

Bir diğer avantajı, uyarı güncelleştirmelerinin Microsoft Purview ile Defender portalları arasında otomatik olarak eşitlenmesidir ve gerçek zamanlı görünürlük sağlar ve gözetim olasılığını azaltır. Bu tümleştirme, kuruluşun içeriden gelen tehditleri algılama, araştırma ve yanıtlama becerisini güçlendirerek genel güvenlik duruşunu geliştirir.

Insider risk yönetimi uyarılarını Microsoft Defender portalında Olaylar & uyarıları'na giderek yönetebilirsiniz. Burada şunları yapabilirsiniz:

  • Microsoft Defender portalı olay kuyruğundaki olaylar altında gruplandırılmış tüm insider risk uyarılarını görüntüleyin.
  • Tek bir olay altında Microsoft Purview Veri Kaybı Önleme ve Microsoft Entra ID gibi diğer Microsoft çözümleriyle ilişkili iç risk uyarılarını görüntüleyin.
  • Uyarı kuyruğunda tek tek insider risk uyarılarını görüntüleyin.
  • Olay ve uyarı kuyruklarında hizmet kaynağına göre filtreleyin.
  • Insider risk uyarısında kullanıcıyla ilgili tüm etkinlikleri ve tüm uyarıları arayın.
  • Kullanıcı varlığı sayfasında kullanıcının iç risk etkinliği özetini ve risk düzeyini görüntüleyin.

Başlamadan önce bilmeniz gerekenler

Microsoft Purview ve insider risk yönetimi hakkında yeniyseniz aşağıdaki makaleleri okumayı göz önünde bulundurun:

Önkoşullar

Microsoft Defender portalında insider risk yönetimi uyarılarını araştırmak için aşağıdakileri yapmanız gerekir:

Microsoft Purview İçeriden Risk Yönetimi'daki Veri paylaşımı ayarlarında diğer güvenlik çözümleriyle veri paylaşımı açık olmalıdır. Microsoft Purview portalında Kullanıcı riski ayrıntılarını diğer güvenlik çözümleriyle paylaş seçeneğinin etkinleştirilmesi, doğru izinlere sahip kullanıcıların Microsoft Defender portalındaki kullanıcı varlığı sayfalarında kullanıcı riski ayrıntılarını gözden geçirmesine olanak tanır.

Daha fazla bilgi için bkz. Uyarı önem düzeylerini diğer Microsoft güvenlik çözümleriyle paylaşma .

Microsoft Purview portalında insider risk uyarılarının Defender XDR gösterilmesi için gereken ayarı vurgulama.

İzinler ve roller

rolleri Microsoft Defender XDR

Microsoft Defender portalında insider risk yönetimi uyarılarına erişmek için aşağıdaki izinler gereklidir:

  • Güvenlik İşleci
  • Güvenlik Okuyucusu

Microsoft Defender XDR rolleri hakkında daha fazla bilgi için bkz. Microsoft Defender XDR erişimini genel rollerle Microsoft Entra yönetme.

rolleri Microsoft Purview İçeriden Risk Yönetimi

ayrıca, Microsoft Defender portalında insider risk yönetimi uyarılarını görüntülemek ve yönetmek için aşağıdaki insider risk yönetimi rol gruplarından birinin üyesi olmanız gerekir:

  • Insider Risk Management
  • İçeriden Risk Yönetimi Analistleri
  • İçeriden Risk Yönetimi Araştırmacıları

Bu rol grupları hakkında daha fazla bilgi için bkz . Insider risk yönetimi için izinleri etkinleştirme.

Microsoft Graph API rolleri

Microsoft Graph güvenlik API'sini kullanarak insider risk yönetimi uyarılarını diğer güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştiren müşterilerin API'ler aracılığıyla ilgili Microsoft Defender verilerine başarıyla erişmek için aşağıdaki izinlere sahip olması gerekir:

Uygulama izinleri Olaylar Uyarılar Olaylar & davranışlar Gelişmiş avcılık örneği
SecurityIncident.Read.All Okuma Okuma Okuma
SecurityIncident.ReadWrite.All Okuma/Yazma Okuma/Yazma Okuma
SecurityIAlert.Read.All Okuma Okuma
SecurityAlert.ReadWrite.All Okuma/Yazma Okuma
SecurityEvents.Read.All Okuma
SecurityEvents.ReadWrite.All Okuma
ThreatHunting.Read.All Okuma

Insider risk yönetimi verilerini Microsoft Graph güvenlik API'siyle tümleştirme bölümünde Microsoft Graph güvenlik API'sini kullanarak verileri tümleştirme hakkında daha fazla bilgi.

Microsoft Defender portalında araştırma deneyimi

Olaylar

Bir kullanıcıyla ilgili Insider risk yönetimi uyarıları, olay yanıtına bütünsel bir yaklaşım sağlamak için tek bir olayla ilişkilendirilir. Bu bağıntı, SOC analistlerinin Microsoft Purview İçeriden Risk Yönetimi ve çeşitli Defender ürünlerinden gelen bir kullanıcı hakkındaki tüm uyarıların birleşik bir görünümüne sahip olmasını sağlar. Tüm uyarıların birleştirilmesi, SOC analistlerinin uyarılara dahil olan cihazların ayrıntılarını görüntülemesine de olanak tanır.

Microsoft Purview İçeriden Risk Yönetimi gelen içeriden risk uyarıları içeren bir olay örneği.

Hizmet kaynağı altında Microsoft Purview İçeriden Risk Yönetimi'i seçerek olayları filtreleyebilirsiniz.

Uyarılar

Tüm insider risk yönetimi uyarıları Microsoft Defender portalın uyarı kuyruğunda da görünür. Hizmet kaynağı altında Microsoft Purview İçeriden Risk Yönetimi'i seçerek bu uyarıları filtreleyin.

Microsoft Defender portalında insider risk yönetimi uyarısı örneği aşağıda verilmişti:

Microsoft Purview İçeriden Risk Yönetimi gelen insider risk uyarıları örneği.

Microsoft Defender XDR ve Microsoft Purview İçeriden Risk Yönetimi farklı uyarı durumu ve sınıflandırma çerçevelerini izleyin. Uyarı durumlarını iki çözüm arasında eşitlemek için aşağıdaki uyarı eşlemesi kullanılır:

Uyarı durumunu Microsoft Defender Uyarı durumunu Microsoft Purview İçeriden Risk Yönetimi
Yeni Gözden geçirilmesi gerekiyor
Devam ediyor Gözden geçirilmesi gerekiyor
Çözülmüş Sınıflandırmaya bağımlı. Sınıflandırma kullanılamıyorsa uyarı durumu varsayılan olarak Kapatıldı olarak ayarlanır.

Uyarı sınıflandırmasını iki çözüm arasında eşitlemek için aşağıdaki uyarı sınıflandırma eşlemesi kullanılır:

Uyarı sınıflandırması Microsoft Defender Uyarı sınıflandırması Microsoft Purview İçeriden Risk Yönetimi
Doğru pozitif
Çok aşamalı saldırı, kimlik avı vb. içerir.
Doğruladı
Bilgiler, beklenen etkinlik (zararsız pozitif)
Güvenlik testi, onaylanmış etkinlik vb. içerir.
Kapatıldı
Yanlış pozitif
Kötü amaçlı değil, doğrulamak için yeterli veri yok vb. içerir.
Kapatıldı

Microsoft Defender XDR uyarı durumları ve sınıflandırmaları hakkında daha fazla bilgi için bkz. Microsoft Defender'de uyarıları yönetme.

Microsoft Purview'da veya Microsoft Defender portallarında insider risk yönetimi uyarısında yapılan tüm güncelleştirmeler otomatik olarak her iki portala da yansıtılır. Bu güncelleştirmeler şunları içerebilir:

  • Uyarı durumu
  • Önem derecesi
  • Uyarıyı oluşturan etkinlik
  • Tetikleyici bilgileri
  • Sınıflandırma

Güncelleştirmeler, uyarı oluşturma veya güncelleştirme işleminden sonraki 30 dakika içinde her iki portala da yansıtılır.

Not

Özel algılamalardan oluşturulan uyarılar veya sorgu sonuçlarını olaylara bağlama Microsoft Purview portalında kullanılamaz.

Bu tümleştirmede aşağıdaki insider risk yönetimi verileri henüz mevcut değildir:

  • E-posta olaylarını sızdırma
  • Riskli yapay zeka kullanım olayları
  • Üçüncü taraf bulut uygulamaları olayları
  • Uyarı oluşturulmadan önce gerçekleşen olaylar
  • Yönetici tarafından tanımlanan olaylara yönelik dışlamalar
  • Insider risk yönetimi olayları şu anda Microsoft Sentinel kullanıcıları etkileyen uyarılar içermez. Daha fazla bilgi için bkz. Microsoft Sentinel kullanıcıları etkileme.

Gelişmiş avcılık örneği

Insider risk olaylarını ve davranışlarını daha fazla araştırmak için gelişmiş avcılığı kullanın. Gelişmiş tehdit avcılığında kullanılabilen insider risk yönetimi verilerinin özeti için aşağıdaki tabloya bakın.

Tablo adı Açıklama
AlertInfo Insider risk yönetimi uyarıları, çeşitli Microsoft güvenlik çözümlerinden gelen uyarılar hakkında bilgi içeren AlertInfo tablosunun bir parçası olarak sağlanır.
AlertEvidence Insider risk yönetimi uyarıları, çeşitli Microsoft güvenlik çözümlerinden gelen uyarılarla ilişkili varlıklar hakkında bilgi içeren AlertEvidence tablosunun bir parçası olarak kullanılabilir.
DataSecurityBehaviors Bu tablo, Microsoft Purview'da varsayılan veya müşteri tanımlı ilkeleri ihlal eden şüpheli olabilecek kullanıcı davranışlarıyla ilgili içgörüler içerir.
DataSecurityEvents Bu tablo, Microsoft Purview'da varsayılan veya müşteri tanımlı ilkeleri ihlal eden kullanıcı etkinlikleri hakkında zenginleştirilmiş olaylar içerir.

Aşağıdaki örnekte, şüpheli olabilecek kullanıcı davranışlarını araştırmak için DataSecurityEvents tablosunu kullanıyoruz. Bu durumda, kullanıcı Google Drive'a bir dosya yüklemiştir. Bu, bir şirket Google Drive'a dosya yüklemelerini desteklemiyorsa şüpheli davranış olarak görüntülenebilir.

Insider risk davranışları ve olaylarıyla ilgili tabloları kullanan bir sorguyu gösteren gelişmiş tehdit avcılığı sayfası.

Gelişmiş tehdit avcılığında insider risk verilerine erişmek için kullanıcıların aşağıdaki Microsoft Purview İçeriden Risk Yönetimi rollerine sahip olması gerekir:

  • Insider Risk Yönetimi Analisti
  • Insider Risk Yönetimi Araştırmacısı

Insider risk yönetimi verilerini Microsoft Graph güvenlik API'siyle tümleştirme

Insider risk yönetimi uyarılarını, içgörülerini ve göstergelerini Microsoft Sentinel, ServiceNow veya Splunk gibi diğer SIEM araçlarıyla tümleştirmek için Microsoft Graph güvenlik API'sini kullanın. Şirket içi risk yönetimi verilerini veri gölleriyle, bilet sistemleriyle ve benzerleriyle tümleştirmek için güvenlik API'sini de kullanabilirsiniz.

Microsoft Graph API ayarlamayı öğrenmek için bkz. Microsoft Graph API kullanma.

Belirli API'lerde insider risk yönetimi verilerini bulmak için aşağıdaki tabloya bakın.

Tablo adı Açıklama Mod
Olaylar Birleşik Defender XDR olay kuyruğundaki tüm insider risk olaylarını içerir Okuma/Yazma
Uyarılar Birleşik Defender XDR uyarı kuyruğuyla paylaşılan tüm insider risk uyarılarını içerir Okuma/Yazma
Gelişmiş avcılık örneği Uyarılar, Davranışlar ve Olaylar dahil olmak üzere gelişmiş tehdit avcılığında tüm insider risk yönetimi verilerini içerir Okuma

Insider risk uyarısı meta verileri, Microsoft Graph güvenlik API'sindeki uyarı kaynak türünün bir parçasıdır. Uyarı kaynak türündeki bilgilerin tamamına bakın.

Not

Insider risk uyarısı bilgilerine hem Uyarılar hem de Gelişmiş tehdit avcılığı grafı ad alanında erişilebilir. Uyarılar ad alanı daha fazla meta veri sağlar.

Gelişmiş tehdit avcılığındaki Insider risk davranışlarına ve olaylarına API'de KQL sorguları geçirilerek Graph API erişilebilir. Belirli uyarılar veya araştırmalara yönelik destekleyici verileri çekmek için bu yöntemi kullanın.

Office 365 Yönetim Etkinliği API'sini kullanan müşteriler için, IRM verileri için daha zengin meta veriler ve çift yönlü destek sağlamak için Microsoft Güvenlik Graph API'ne geçiş öneririz.

Microsoft Sentinel kullanıcıları etkiler

Microsoft Sentinel müşterilerin Microsoft Sentinel'da iç risk yönetimi uyarılarını almak için Microsoft Purview İçeriden Risk Yönetimi Microsoft Sentinel veri bağlayıcısını kullanmalarını öneririz.

Microsoft Sentinel olaylarında otomasyon kullanıyorsanız, uyarı içeriği olmayan şirket içi risk yönetimi olaylarından dolayı otomasyon risklerinin başarısız olduğunu unutmayın. Bunu azaltmak için şirket içi risk yönetimi ayarlarında veri paylaşımını kapatın.

Sonraki adımlar

Insider risk olayını veya uyarısını araştırdıktan sonra aşağıdakilerden herhangi birini yapabilirsiniz:

  • Microsoft Purview portalında uyarıya yanıt vermeye devam edin.
  • Microsoft Defender portalındaki diğer insider risk yönetimi olaylarını araştırmak için gelişmiş avcılığı kullanın.