Share via

與其他解決方案共用測試人員風險管理數據

  • 發行項

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

您可以透過下列其中一種方式,從內部風險管理共享資料:

  • 將警示資訊匯出至 SIEM 解決方案
  • 與 Microsoft Defender 全面偵測回應 和 Microsoft Purview 數據外洩防護 (DLP) 警示共用用戶風險嚴重性層級

將警示資訊匯出至 SIEM 解決方案

Microsoft Purview 內部風險管理 警示資訊可匯出至 SIEM) 的安全性資訊和事件管理 (,以及使用 Office 365 管理活動 API 架構 (SOAR) 解決方案的安全性協調流程自動化回應。 您可以使用 Office 365 管理活動 API,將警示資訊匯出至組織可能用來管理或匯總內部風險資訊的其他應用程式。 警示資訊會透過 Office 365 管理活動 API 每隔 60 分鐘匯出並提供一次。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

如果您的組織使用 Microsoft Sentinel,您也可以使用現成的內部風險管理數據連接器,將內部風險警示資訊匯入 Sentinel。 如需詳細資訊,請參閱 Microsoft Sentinel 文章中的 測試人員風險管理

重要事項

若要為在 Microsoft 365 或其他系統中具有內部風險警示或案例的使用者維護引用完整性,在使用導出 API 或匯出至 Microsoft Purview 電子文件探索 解決方案時,不會保留匯出警示的使用者名稱匿名。 在此情況下,導出的警示會顯示每個警示的用戶名稱。 如果您要從警示或案例匯出至 CSV 檔案,則 會保留匿名

使用 API 檢閱內部風險警示資訊

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 選取頁面右上角的 [ 設定 ] 按鈕。
  3. 取 [測試人員風險管理] 以移至測試人員風險管理設定。
  4. 選取 [導出警示]。 根據預設,此設定會針對您的 Microsoft 365 組織停用。
  5. 將設定設為 [開啟]
  6. SecurityComplianceAlerts 篩選一般 Office 365 稽核活動。
  7. InsiderRiskManagement 類別篩選 SecurityComplianceAlerts

警示資訊包含來自安全性與合規性警示架構和 Office 365 管理活動 API 通用架構的資訊。

下列欄位和值會針對安全性與合規性警示架構的內部風險管理警示匯出:

警示參數 描述
AlertType 警示的類型為 Custom
AlertId 警示的 GUID。 測試人員風險管理警示是可變動的。 當警示狀態變更時,會產生具有相同 AlertID 的新記錄。 此 AlertID 可用來將警示的更新相互關聯。
類別 警示的類別為 InsiderRiskManagement。 此類別可用來區別這些警示與其他安全性與合規性警示。
Comments 警示的預設批注。 值為建立 警示 時 (記錄的新警示) ,而警示 更新 (在警示) 更新時記錄。 使用AlertID將警示的更新相互關聯。
資料 警示的數據包括唯一的使用者標識碼、用戶主體名稱,以及 UTC) 觸發至原則時 (日期和時間。
名稱 產生警示之內部風險管理原則的原則名稱。
PolicyId 觸發警示之內部風險管理原則的 GUID。
嚴重性 警示的嚴重性。 值為 [高]、 [中] 或 [ 低]
來源 警示的來源。 此值為 Office 365 Security & Compliance。
狀態 警示的狀態。 值為 內部 風險) 的作用中 (需要檢閱調查 內部風險) 中 確認 (、已 解決 (已 解決 的內部風險) 、已 解除 (在內部風險中 已解除) 。
版本 安全性與合規性警示架構的版本。

下列欄位和值會針對 Office 365 管理活動 API 通用架構的內部風險管理警示匯出。

  • UserId
  • 識別碼
  • RecordType
  • CreationTime
  • 作業
  • OrganizationId
  • UserType
  • UserKey

與 Microsoft Defender 全面偵測回應 和 DLP 警示共用用戶風險嚴重性層級

您可以從內部風險管理共用用戶風險嚴重性層級,以將唯一的用戶內容帶入 Microsoft Defender 全面偵測回應 和 Microsoft Purview 數據外洩防護 (DLP) 警示。 測試人員風險管理會分析 90-120 天內的用戶活動,並尋找該期間內的異常行為。 將此數據新增至 Microsoft Defender 全面偵測回應 和 DLP 警示可增強這些解決方案中可用的數據,以協助分析師排定警示的優先順序。

當您共用內部風險管理用戶風險嚴重性層級時,會發生什麼事?

在 Microsoft Defender 全面偵測回應

  • DLP 事件頁面:針對在內部風險管理中具有風險層級的使用者,[Microsoft Defender DLP 事件] 頁面的 [受影響的資產] 區段中新增了 [測試人員風險嚴重性] 欄位。 如果使用者具有 風險層級,則不會在 [事件] 頁面中新增任何專案。 這會將分析師的干擾降至最低,讓他們可以專注於風險最高的用戶活動。

    您可以在 [ 受影響的資產 ] 區段中選取風險層級,以查看該使用者的內部風險活動摘要和啟用時程表。 最多120天的分析可協助分析師判斷用戶活動的整體風險。

    如果您在 [DLP 原則比對] 頁面中選取 DLP 事件,[受影響 的實體 ] 區段會出現在 [DLP 原則比對] 區段中,其中顯示符合原則的所有使用者。

  • 用戶頁面:內部 風險管理 中具有 風險層級的使用者,會將 [測試人員風險嚴重性] 字段新增至 [使用者] 頁面。 此數據適用於具有作用中內部風險管理警示的任何使用者。

    該使用者的測試人員風險活動摘要和啟用時程表會出現在 [使用者] 頁面的右側。

在 DLP 警示中

  • 針對與 DLP 警示相關聯的內部風險管理原則,DLP 警示佇列中會新增值為 [高]、[]、[] 或 [] 的 [測試人員風險嚴重性] 數據行。 如果有多個用戶的活動符合原則,則會顯示具有最高內部風險層級的使用者。

    [ 無] 值可能表示下列其中一項:

    • 用戶不屬於任何內部風險管理原則。

    • 用戶是測試人員風險管理原則的一部分,但他們尚未執行具風險的活動,將自己帶入原則範圍 (沒有外泄數據) 。

  • 您可以在 DLP 警示佇列中選取內部風險層級,以存取 [ 用戶活動摘要 ] 索引標籤,其中顯示該用戶過去 90-120 天的所有外泄啟用時程表。 如同 DLP 警示佇列,[ 用戶活動摘要] 索引標籤會顯示具有最高內部風險層級的使用者。 這個深入瞭解使用者在過去 90 到 120 天內所執行之作業的內容,可讓您更廣泛地檢視該使用者所呈現的風險。

    只有來自外流指標的數據會顯示在用戶活動摘要中。 來自其他敏感性指標的數據,例如 HR、流覽等等,不會與 DLP 警示共用。

  • 動作 專案詳細數據 區段會新增至 [DLP 警示詳細數據] 頁面。 您可以使用此頁面來查看參與特定 DLP 警示 的所有 使用者。 對於參與 DLP 警示的每位使用者,您可以檢視過去 90 到 120 天的所有外泄活動。

  • 如果您在 DLP 警示中選取 [從 Copilot for Security 取得摘要] 按鈕,則 Microsoft Copilot for Security 提供的警示摘要除了 DLP 摘要資訊之外,還包括內部風險管理嚴重性層級,如果使用者在內部風險管理原則的範圍內。

    提示

    您也可以使用 Copilot for Security 來調查 DLP 警示。 如果已開啟測試人員風險管理 數據共享 設定,您可以接著執行合併的 DLP/測試人員風險管理調查。 例如,您可能想要從要求 Copilot 摘要 DLP 警示開始,然後要求 Copilot 顯示與警示中標幟的使用者相關聯的內部風險層級。 或者,您可能想要詢問為何會將用戶視為高風險使用者。 在此案例中,用戶風險資訊來自內部風險管理。 Copilot for Security 順暢地整合內部風險管理與 DLP,以協助調查。 深入瞭解如何使用獨立版本的 Copilot 進行合併的 DLP/內部風險管理調查

必要條件

若要與 Microsoft Defender 全面偵測回應 和 DLP 警示共用內部風險管理用戶風險層級,使用者:

  • 必須是測試人員風險管理原則的一部分。
  • 必須已執行將使用者帶入原則範圍的外流活動。
  • 必須具有 DLP 警示許可權。 開啟 [數據共用] 設定之後,具有 DLP 警示許可權的使用者可以存取內部風險管理內容,以進行 DLP 警示調查,以及存取 [Microsoft Defender 全面偵測回應 使用者] 頁面。 具有內部風險管理許可權的使用者也可以存取此數據。

提示

如果您可以存取 Microsoft Purview 和/或 Microsoft Defender 中的 DLP 警示,您可以從與這些解決方案共用的內部風險管理檢視用戶內容。

與 Microsoft Defender 全面偵測回應 和 DLP 警示共享數據

您可以開啟單一設定,與 Microsoft Defender 全面偵測回應 和 DLP 警示共用內部風險管理用戶風險嚴重性層級。

  1. 在 [內部風險管理設定] 中,選取 [數據共用 ] 設定。
  2. 在 [使用 Microsoft Defender 全面偵測回應 (預覽共享數據]) 區段下,開啟設定。

注意事項

如果您未開啟此設定,則 [DLP 警示 測試人員風險嚴重性 ] 資料行中顯示的值為 [用戶數據無法使用]。

另請參閱