Bu makaledeki bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen, önceden yayımlanmış bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Microsoft Defender portalındaki Microsoft Purview İçeriden Risk Yönetimi uyarıları, kuruluşun hassas bilgilerini korumak ve güvenliği korumak için çok önemlidir. Microsoft Purview İçeriden Risk Yönetimi bu uyarılar ve içgörüler, çalışanlar veya yükleniciler tarafından veri sızıntıları ve fikri mülkiyet hırsızlığı gibi iç tehditleri belirlemeye ve azaltmaya yardımcı olur. Bu uyarıların izlenmesi, kuruluşların güvenlik olaylarını proaktif olarak ele alıp hassas verilerin korunmasını ve uyumluluk gereksinimlerini karşılamasını sağlar.
İç risk uyarılarını izlemenin önemli avantajlarından biri, bir kullanıcıyla ilgili tüm uyarıların birleşik görünümüdür ve güvenlik operasyonları merkezi (SOC) analistlerinin Microsoft Purview İçeriden Risk Yönetimi gelen uyarıları diğer Microsoft güvenlik çözümleriyle ilişkilendirmesine olanak tanır. Ayrıca, bu uyarıların Microsoft Defender portalında olması gelişmiş tehdit avcılığı özellikleriyle sorunsuz tümleştirme sağlayarak olayları etkili bir şekilde araştırma ve yanıtlama yeteneğini geliştirir.
Bir diğer avantajı, uyarı güncelleştirmelerinin Microsoft Purview ile Defender portalları arasında otomatik olarak eşitlenmesidir ve gerçek zamanlı görünürlük sağlar ve gözetim olasılığını azaltır. Bu tümleştirme, kuruluşun içeriden gelen tehditleri algılama, araştırma ve yanıtlama becerisini güçlendirerek genel güvenlik duruşunu geliştirir.
Insider risk yönetimi uyarılarını Microsoft Defender portalında Olaylar & uyarıları'na giderek yönetebilirsiniz. Burada şunları yapabilirsiniz:
Microsoft Defender portalı olay kuyruğundaki olaylar altında gruplandırılmış tüm insider risk uyarılarını görüntüleyin.
Microsoft Purview İçeriden Risk Yönetimi'daki Veri paylaşımı ayarlarında diğer güvenlik çözümleriyle veri paylaşımı açık olmalıdır. Microsoft Purview portalında Kullanıcı riski ayrıntılarını diğer güvenlik çözümleriyle paylaş seçeneğinin etkinleştirilmesi, doğru izinlere sahip kullanıcıların Microsoft Defender portalındaki kullanıcı varlığı sayfalarında kullanıcı riski ayrıntılarını gözden geçirmesine olanak tanır.
ayrıca, Microsoft Defender portalında insider risk yönetimi uyarılarını görüntülemek ve yönetmek için aşağıdaki insider risk yönetimi rol gruplarından birinin üyesi olmanız gerekir:
Microsoft Graph güvenlik API'sini kullanarak insider risk yönetimi uyarılarını diğer güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştiren müşterilerin API'ler aracılığıyla ilgili Microsoft Defender verilerine başarıyla erişmek için aşağıdaki izinlere sahip olması gerekir:
Uygulama izinleri
Olaylar
Uyarılar
Olaylar & davranışlar
Gelişmiş avcılık örneği
SecurityIncident.Read.All
Okuma
Okuma
Okuma
SecurityIncident.ReadWrite.All
Okuma/Yazma
Okuma/Yazma
Okuma
SecurityIAlert.Read.All
Okuma
Okuma
SecurityAlert.ReadWrite.All
Okuma/Yazma
Okuma
SecurityEvents.Read.All
Okuma
SecurityEvents.ReadWrite.All
Okuma
ThreatHunting.Read.All
Okuma
Insider risk yönetimi verilerini Microsoft Graph güvenlik API'siyle tümleştirme bölümünde Microsoft Graph güvenlik API'sini kullanarak verileri tümleştirme hakkında daha fazla bilgi.
Microsoft Defender portalında araştırma deneyimi
Olaylar
Bir kullanıcıyla ilgili Insider risk yönetimi uyarıları, olay yanıtına bütünsel bir yaklaşım sağlamak için tek bir olayla ilişkilendirilir. Bu bağıntı, SOC analistlerinin Microsoft Purview İçeriden Risk Yönetimi ve çeşitli Defender ürünlerinden gelen bir kullanıcı hakkındaki tüm uyarıların birleşik bir görünümüne sahip olmasını sağlar. Tüm uyarıların birleştirilmesi, SOC analistlerinin uyarılara dahil olan cihazların ayrıntılarını görüntülemesine de olanak tanır.
Hizmet kaynağı altında Microsoft Purview İçeriden Risk Yönetimi'i seçerek olayları filtreleyebilirsiniz.
Uyarılar
Tüm insider risk yönetimi uyarıları Microsoft Defender portalın uyarı kuyruğunda da görünür.
Hizmet kaynağı altında Microsoft Purview İçeriden Risk Yönetimi'i seçerek bu uyarıları filtreleyin.
Microsoft Defender portalında insider risk yönetimi uyarısı örneği aşağıda verilmişti:
Microsoft Defender XDR ve Microsoft Purview İçeriden Risk Yönetimi farklı uyarı durumu ve sınıflandırma çerçevelerini izleyin. Uyarı durumlarını iki çözüm arasında eşitlemek için aşağıdaki uyarı eşlemesi kullanılır:
Uyarı durumunu Microsoft Defender
Uyarı durumunu Microsoft Purview İçeriden Risk Yönetimi
Yeni
Gözden geçirilmesi gerekiyor
Devam ediyor
Gözden geçirilmesi gerekiyor
Çözülmüş
Sınıflandırmaya bağımlı. Sınıflandırma kullanılamıyorsa uyarı durumu varsayılan olarak Kapatıldı olarak ayarlanır.
Uyarı sınıflandırmasını iki çözüm arasında eşitlemek için aşağıdaki uyarı sınıflandırma eşlemesi kullanılır:
Uyarı sınıflandırması Microsoft Defender
Uyarı sınıflandırması Microsoft Purview İçeriden Risk Yönetimi
Doğru pozitif Çok aşamalı saldırı, kimlik avı vb. içerir.
Doğruladı
Bilgiler, beklenen etkinlik (zararsız pozitif) Güvenlik testi, onaylanmış etkinlik vb. içerir.
Kapatıldı
Yanlış pozitif Kötü amaçlı değil, doğrulamak için yeterli veri yok vb. içerir.
Microsoft Purview'da veya Microsoft Defender portallarında insider risk yönetimi uyarısında yapılan tüm güncelleştirmeler otomatik olarak her iki portala da yansıtılır. Bu güncelleştirmeler şunları içerebilir:
Uyarı durumu
Önem derecesi
Uyarıyı oluşturan etkinlik
Tetikleyici bilgileri
Sınıflandırma
Güncelleştirmeler, uyarı oluşturma veya güncelleştirme işleminden sonraki 30 dakika içinde her iki portala da yansıtılır.
Not
Özel algılamalardan oluşturulan uyarılar veya sorgu sonuçlarını olaylara bağlama Microsoft Purview portalında kullanılamaz.
Bu tümleştirmede aşağıdaki insider risk yönetimi verileri henüz mevcut değildir:
E-posta olaylarını sızdırma
Riskli yapay zeka kullanım olayları
Üçüncü taraf bulut uygulamaları olayları
Uyarı oluşturulmadan önce gerçekleşen olaylar
Yönetici tarafından tanımlanan olaylara yönelik dışlamalar
Insider risk yönetimi olayları şu anda Microsoft Sentinel kullanıcıları etkileyen uyarılar içermez. Daha fazla bilgi için bkz. Microsoft Sentinel kullanıcıları etkileme.
Gelişmiş avcılık örneği
Insider risk olaylarını ve davranışlarını daha fazla araştırmak için gelişmiş avcılığı kullanın. Gelişmiş tehdit avcılığında kullanılabilen insider risk yönetimi verilerinin özeti için aşağıdaki tabloya bakın.
Insider risk yönetimi uyarıları, çeşitli Microsoft güvenlik çözümlerinden gelen uyarılar hakkında bilgi içeren AlertInfo tablosunun bir parçası olarak sağlanır.
Insider risk yönetimi uyarıları, çeşitli Microsoft güvenlik çözümlerinden gelen uyarılarla ilişkili varlıklar hakkında bilgi içeren AlertEvidence tablosunun bir parçası olarak kullanılabilir.
Bu tablo, Microsoft Purview'da varsayılan veya müşteri tanımlı ilkeleri ihlal eden şüpheli olabilecek kullanıcı davranışlarıyla ilgili içgörüler içerir.
Bu tablo, Microsoft Purview'da varsayılan veya müşteri tanımlı ilkeleri ihlal eden kullanıcı etkinlikleri hakkında zenginleştirilmiş olaylar içerir.
Aşağıdaki örnekte, şüpheli olabilecek kullanıcı davranışlarını araştırmak için DataSecurityEvents tablosunu kullanıyoruz. Bu durumda, kullanıcı Google Drive'a bir dosya yüklemiştir. Bu, bir şirket Google Drive'a dosya yüklemelerini desteklemiyorsa şüpheli davranış olarak görüntülenebilir.
Gelişmiş tehdit avcılığında insider risk verilerine erişmek için kullanıcıların aşağıdaki Microsoft Purview İçeriden Risk Yönetimi rollerine sahip olması gerekir:
Insider Risk Yönetimi Analisti
Insider Risk Yönetimi Araştırmacısı
Insider risk yönetimi verilerini Microsoft Graph güvenlik API'siyle tümleştirme
Insider risk yönetimi uyarılarını, içgörülerini ve göstergelerini Microsoft Sentinel, ServiceNow veya Splunk gibi diğer SIEM araçlarıyla tümleştirmek için Microsoft Graph güvenlik API'sini kullanın. Şirket içi risk yönetimi verilerini veri gölleriyle, bilet sistemleriyle ve benzerleriyle tümleştirmek için güvenlik API'sini de kullanabilirsiniz.
Uyarılar, Davranışlar ve Olaylar dahil olmak üzere gelişmiş tehdit avcılığında tüm insider risk yönetimi verilerini içerir
Okuma
Insider risk uyarısı meta verileri, Microsoft Graph güvenlik API'sindeki uyarı kaynak türünün bir parçasıdır.
Uyarı kaynak türündeki bilgilerin tamamına bakın.
Not
Insider risk uyarısı bilgilerine hem Uyarılar hem de Gelişmiş tehdit avcılığı grafı ad alanında erişilebilir. Uyarılar ad alanı daha fazla meta veri sağlar.
Gelişmiş tehdit avcılığındaki Insider risk davranışlarına ve olaylarına API'de KQL sorguları geçirilerek Graph API erişilebilir. Belirli uyarılar veya araştırmalara yönelik destekleyici verileri çekmek için bu yöntemi kullanın.
Office 365 Yönetim Etkinliği API'sini kullanan müşteriler için, IRM verileri için daha zengin meta veriler ve çift yönlü destek sağlamak için Microsoft Güvenlik Graph API'ne geçiş öneririz.
Microsoft Sentinel olaylarında otomasyon kullanıyorsanız, uyarı içeriği olmayan şirket içi risk yönetimi olaylarından dolayı otomasyon risklerinin başarısız olduğunu unutmayın. Bunu azaltmak için şirket içi risk yönetimi ayarlarında veri paylaşımını kapatın.
Sonraki adımlar
Insider risk olayını veya uyarısını araştırdıktan sonra aşağıdakilerden herhangi birini yapabilirsiniz:
Microsoft Purview portalında uyarıya yanıt vermeye devam edin.
Microsoft Defender portalındaki diğer insider risk yönetimi olaylarını araştırmak için gelişmiş avcılığı kullanın.
Microsoft Purview Insider Risk Management helps organizations address internal risks, such as IP theft, fraud, and sabotage. Learn about insider risk management and how Microsoft technologies can help you detect, investigate, and take action on risky activities in your organization.