分享方式:


與其他解決方案共用測試人員風險管理數據

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

您可以透過下列其中一種方式,從內部風險管理共享資料:

  • 將警示資訊匯出至 SIEM 解決方案
  • 與 Microsoft Defender 全面偵測回應 和 Microsoft Purview 數據外洩防護 (DLP) 警示共用用戶風險嚴重性層級

將警示資訊匯出至 SIEM 解決方案

Microsoft Purview 內部風險管理 警示資訊可匯出至 SIEM) 的安全性資訊和事件 (管理,以及使用 Office 365 管理活動 API 架構 (SOAR) 解決方案的安全性協調流程自動化回應。 您可以使用 Office 365 管理活動 API,將警示資訊匯出至組織可能用來管理或匯總內部風險資訊的其他應用程式。 警示資訊會透過 Office 365 管理活動 API 每隔 60 分鐘匯出並提供一次。

提示

開始使用安全性 Microsoft Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的安全性 Microsoft Copilot

如果您的組織使用 Microsoft Sentinel,您也可以使用現成的內部風險管理數據連接器,將內部風險警示資訊匯入 Sentinel。 如需詳細資訊,請參閱 Microsoft Sentinel 文章中的測試人員風險管理

重要事項

若要為在 Microsoft 365 或其他系統中具有內部風險警示或案例的使用者維護引用完整性,使用導出 API 或匯出至 Microsoft Purview 電子文件探索 解決方案時,不會保留導出警示的使用者名稱匿名。 在此情況下,導出的警示會顯示每個警示的用戶名稱。 如果您要從警示或案例匯出至 CSV 檔案,則 會保留匿名

使用 API 檢閱內部風險警示資訊

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 頁面右上角的 [設定]。
  3. 取 [測試人員風險管理] 以移至測試人員風險管理設定。
  4. 選取 [導出警示]。 根據預設,您的Microsoft 365 組織會停用此設定。
  5. 將設定設為 [開啟]
  6. SecurityComplianceAlerts 篩選一般 Office 365 稽核活動。
  7. InsiderRiskManagement 類別篩選 SecurityComplianceAlerts

警示資訊包含來自安全性與合規性警示架構和 Office 365 管理活動 API 通用架構的資訊。

下列欄位和值會針對安全性與合規性警示架構的內部風險管理警示匯出:

警示參數 描述
AlertType 警示的類型為 Custom
AlertId 警示的 GUID。 測試人員風險管理警示是可變動的。 當警示狀態變更時,會產生具有相同 AlertID 的新記錄。 此 AlertID 可用來將警示的更新相互關聯。
類別 警示的類別為 InsiderRiskManagement。 此類別可用來區別這些警示與其他安全性與合規性警示。
Comments 警示的預設批注。 值為建立 警示 時 (記錄的新警示) ,而警示 更新 (在警示) 更新時記錄。 使用AlertID將警示的更新相互關聯。
資料 警示的數據報括唯一的使用者標識碼、用戶主體名稱,以及 UTC (觸發至原則時) 日期和時間。
名稱 產生警示之內部風險管理原則的原則名稱。
PolicyId 觸發警示之內部風險管理原則的 GUID。
嚴重性 警示的嚴重性。 值為 [高]、 [中] 或 [ 低]
來源 警示的來源。 此值為 Office 365 Security & Compliance
狀態 警示的狀態。 值為 內部 風險) 的作用中 (需要檢閱調查 內部風險) 中 確認 (、已 解決 (已 解決 的內部風險) 、已 解除 (在內部風險中 已解除) 。
版本 安全性與合規性警示架構的版本。

下列欄位和值會針對 Office 365 管理活動 API 通用架構的內部風險管理警示匯出。

  • UserId
  • 識別碼
  • RecordType
  • CreationTime
  • 作業
  • OrganizationId
  • UserType
  • UserKey

與其他Microsoft安全性解決方案共用警示嚴重性層級

您可以從內部風險管理共用警示嚴重性層級,在下列Microsoft安全性解決方案中,將唯一的用戶內容帶入警示調查體驗:

Microsoft Defender 全面偵測回應 Microsoft Purview 通訊合規性 Microsoft Purview 數據外洩防護 (DLP)

測試人員風險管理會分析 90-120 天內的用戶活動,並尋找該期間內的異常行為。 將此數據新增至其他安全性解決方案可增強這些解決方案中可用的數據,以協助分析師排定警示的優先順序。

提示

內部風險管理中的警示嚴重性層級與 Adaptive Protection 中定義的內部風險層級不同。

  • 警示嚴重性層級 (低、中或高) 會根據測試人員風險管理原則中偵測到的活動指派給使用者。 這些層級是根據指派給與使用者相關聯之所有作用中警示的警示風險分數來計算。 這些層級可協助內部風險分析師和調查人員據此排定優先順序並回應用戶活動。
  • Adaptive Protection 中 (提升、中度或次要) 的內部風險層級,是系統管理員定義條件所決定的風險量值,例如使用者一天執行的外泄活動數目,或其活動是否產生高嚴重性內部風險警示。

當您共用內部風險管理警示嚴重性層級時,會發生什麼事?

在 Microsoft Defender 全面偵測回應

  • DLP 事件頁面:對於內部風險管理中具有風險層級的使用者,[Microsoft Defender DLP 事件] 頁面的 [受影響的資產] 區段中會新增 [測試人員風險嚴重性] 欄位。 如果使用者具有 風險層級,則不會在 [事件] 頁面中新增任何專案。 這會將分析師的干擾降至最低,讓他們可以專注於風險最高的用戶活動。

    您可以在 [ 受影響的資產 ] 區段中選取風險層級,以查看該使用者的內部風險活動摘要和啟用時程表。 最多120天的分析可協助分析師判斷用戶活動的整體風險。

    如果您在 [DLP 原則比對] 頁面中選取 DLP 事件,[受影響 的實體 ] 區段會出現在 [DLP 原則比對] 區段中,其中顯示符合原則的所有使用者。

  • 用戶頁面:內部 風險管理 中具有 風險層級的使用者,會將 [測試人員風險嚴重性] 字段新增至 [使用者] 頁面。 此數據適用於具有作用中內部風險管理警示的任何使用者。

    該使用者的測試人員風險活動摘要和啟用時程表會出現在 [使用者] 頁面的右側。

在通訊合規性警示中

針對每個 通訊合規性 政策相符專案,您可以檢視與寄件者相關聯的用戶風險嚴重性。 在警示通訊中的 [用戶活動 ] 索引標籤上檢視此資訊。 此檢視提供風險配置檔、原則比對,以及 內部風險管理和 通訊合規性所擷取的用戶活動。

嚴重性層級分類為 [高]、[ ]、[ ] 或 [ 無]

如果風險嚴重性層級為 None,原因可能是下列任何一種情況:

  • 使用者未包含在內部風險原則中。
  • 用戶的活動未獲指派風險分數,這表示使用者不在原則的作用中範圍中。
  • 使用者包含在測試人員風險管理原則中,但尚未參與任何有風險的活動。
  • 組織沒有作用中的內部風險管理原則。

如果無法使用用戶風險嚴重性,則不會從內部風險管理啟用數據共用。

您可以在內部風險管理中[用戶歷程記錄] 索引標籤上的 [檢視詳細數據] 區段中,檢視最多 120 天的測試人員風險活動。 目前只有來自 外流指標 的數據會顯示在通訊合規性的用戶活動摘要中。

在 DLP 警示中

  • 針對與 DLP 警示相關聯的內部風險管理原則,DLP 警示佇列中會新增值為 [高]、[]、[] 或 [] 的 [測試人員風險嚴重性] 數據行。 如果有多個用戶的活動符合原則,則會顯示具有最高內部風險層級的使用者。

    [ 無] 值可能表示下列其中一項:

    • 用戶不屬於任何內部風險管理原則。

    • 用戶是測試人員風險管理原則的一部分,但他們尚未執行具風險的活動,將自己帶入原則範圍 (沒有外泄數據) 。

  • 您可以在 DLP 警示佇列中選取內部風險層級,以存取 [ 用戶活動摘要 ] 索引標籤,其中顯示該用戶過去 90-120 天的所有外泄啟用時程表。 如同 DLP 警示佇列,[ 用戶活動摘要] 索引標籤會顯示具有最高內部風險層級的使用者。 這個深入瞭解使用者在過去 90 到 120 天內所執行之作業的內容,可讓您更廣泛地檢視該使用者所呈現的風險。

    只有來自外流指標的數據會顯示在用戶活動摘要中。 來自其他敏感性指標的數據,例如 HR、流覽等等,不會與 DLP 警示共用。

  • 動作 專案詳細數據 區段會新增至 [DLP 警示詳細數據] 頁面。 您可以使用此頁面來查看參與特定 DLP 警示 的所有 使用者。 對於參與 DLP 警示的每位使用者,您可以檢視過去 90 到 120 天的所有外泄活動。

  • 如果您在 DLP 警示中選取 [從 Copilot for Security 取得摘要],則安全性 Microsoft Copilot 所提供的警示摘要除了 DLP 摘要資訊之外,還包括內部風險管理嚴重性層級,如果使用者在內部風險管理原則的範圍內。

    提示

    您也可以使用 Copilot for Security 來調查 DLP 警示。 如果已開啟測試人員風險管理 數據共享 設定,您可以接著執行合併的 DLP/測試人員風險管理調查。 例如,您可能想要從要求 Copilot 摘要 DLP 警示開始,然後要求 Copilot 顯示與警示中標幟的使用者相關聯的內部風險層級。 或者,您可能想要詢問為何會將用戶視為高風險使用者。 在此案例中,用戶風險資訊來自內部風險管理。 Copilot for Security 可將內部風險管理與 DLP 緊密整合,以協助調查。 深入瞭解如何使用獨立版本的 Copilot 進行合併的 DLP/內部風險管理調查

必要條件

若要與其他Microsoft安全性解決方案共用內部風險管理用戶風險層級,使用者:

  • 必須是測試人員風險管理原則的一部分。
  • 必須已執行將使用者帶入原則範圍的外流活動。
  • (若要與 DLP 共用) :必須具有 DLP 警示許可權。 開啟 [數據共用] 設定之後,具有 DLP 警示許可權的使用者可以存取 DLP 警示調查和 [Microsoft Defender 全面偵測回應 使用者] 頁面的內部風險管理內容。 具有內部風險管理許可權的使用者也可以存取此數據。
  • (若要與通訊合規性) 共用 :必須將 通訊合規性分析師通訊合規性 布建角色指派給使用者,才能檢視通訊合規性中的用戶風險嚴重性層級和活動歷程記錄。

提示

如果您能夠存取 Microsoft Purview 和/或 Microsoft Defender 中的 DLP 警示,您可以從與這些解決方案共用的內部風險管理檢視用戶內容。

與其他Microsoft安全性解決方案共享數據

您可以開啟單一設定,與其他Microsoft安全性解決方案共用內部風險管理警示嚴重性層級。

  1. 在 [內部風險管理設定] 中,選取 [數據共用 ] 設定。
  2. 在 [ 與其他Microsoft安全性解決方案共用數據 ] 區段下,開啟設定。

注意事項

如果您未開啟此設定,則 [DLP 警示 測試人員風險嚴重性 ] 資料行中顯示的值為 [用戶數據無法使用],且會在通訊合規性中顯示為 「內部風險活動無法使用」。

另請參閱