Freigeben von Insider-Risikomanagementdaten mit anderen Lösungen
Wichtig
Microsoft Purview Insider Risk Management korreliert verschiedene Signale, um potenzielle böswillige oder unbeabsichtigte Insiderrisiken wie IP-Diebstahl, Datenlecks und Sicherheitsverletzungen zu identifizieren. Insider-Risikomanagement ermöglicht Es Kunden, Richtlinien zum Verwalten von Sicherheit und Compliance zu erstellen. Benutzer werden standardmäßig pseudonymisiert, und rollenbasierte Zugriffssteuerungen und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.
Sie können Daten aus dem Insider-Risikomanagement auf eine der folgenden Arten freigeben:
- Exportieren von Warnungsinformationen in SIEM-Lösungen
- Freigeben von Schweregraden des Benutzerrisikos mit Microsoft Defender XDR- und Microsoft Purview-DLP-Warnungen (Data Loss Prevention, Verhinderung von Datenverlust)
Exportieren von Warnungsinformationen in SIEM-Lösungen
Microsoft Purview Insider Risk Management Warnungsinformationen können mithilfe des OFFICE 365 Management-API-Schemas in SIEM-Lösungen (Security Information and Event Management, Sicherheitsorchestrierung automatisierte Antwort) exportiert werden. Sie können die Office 365 Management-Aktivitäts-APIs verwenden, um Warnungsinformationen in andere Anwendungen zu exportieren, die Ihr organization möglicherweise zum Verwalten oder Aggregieren von Insider-Risikoinformationen verwenden. Warnungsinformationen werden exportiert und sind alle 60 Minuten über die Office 365-Verwaltungsaktivitäts-APIs verfügbar.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Wenn Ihr organization Microsoft Sentinel verwendet, können Sie auch den standardmäßigen Datenconnector für das Insider-Risikomanagement verwenden, um Insider-Risikowarnungsinformationen in Sentinel zu importieren. Weitere Informationen finden Sie unter Insider-Risikomanagement im artikel Microsoft Sentinel.
Wichtig
Um die referenzielle Integrität für Benutzer aufrechtzuerhalten, die Insider-Risikowarnungen oder -fälle in Microsoft 365 oder anderen Systemen haben, wird die Anonymisierung von Benutzernamen bei exportierten Warnungen bei Verwendung der Export-API oder beim Exportieren in Microsoft Purview-eDiscovery Lösungen nicht beibehalten. Exportierte Warnungen zeigen in diesem Fall Benutzernamen für jede Warnung an. Wenn Sie in CSV-Dateien aus Warnungen oder Fällen exportieren, bleibt die Anonymisierung erhalten.
Verwenden der APIs zum Überprüfen von Insider-Risikowarnungsinformationen
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.
- Wählen Sie in der oberen rechten Ecke der Seite Einstellungen aus.
- Wählen Sie Insider-Risikomanagement aus, um zu den Einstellungen für insider-Risikomanagement zu wechseln.
- Wählen Sie Warnungen exportieren aus. Standardmäßig ist diese Einstellung für Ihre Microsoft 365-organization deaktiviert.
- Legen Sie die Einstellung auf Ein fest.
- Filtern Sie die allgemeinen Office 365 Überwachungsaktivitäten nach SecurityComplianceAlerts.
- Filtern Sie SecurityComplianceAlerts nach der Kategorie InsiderRiskManagement .
Warnungsinformationen enthalten Informationen aus dem Schema für Sicherheits- und Konformitätswarnungen und dem allgemeinen Schema der Office 365 Management Activity API.
Die folgenden Felder und Werte werden für Insider-Risikomanagementwarnungen für das Sicherheits- und Compliancewarnungsschema exportiert:
Warnungsparameter | Beschreibung |
---|---|
AlertType | Der Typ der Warnung ist Benutzerdefiniert. |
AlertId | Die GUID der Warnung. Insider-Risikomanagementwarnungen sind änderbar. Wenn sich Warnungen status ändern, wird ein neues Protokoll mit der gleichen AlertID generiert. Diese AlertID kann verwendet werden, um Updates für eine Warnung zu korrelieren. |
Kategorie | Die Kategorie der Warnung ist InsiderRiskManagement. Diese Kategorie kann verwendet werden, um von diesen Warnungen von anderen Sicherheits- und Konformitätswarnungen zu unterscheiden. |
Kommentare | Standardkommentare für die Warnung. Die Werte sind Neue Warnung (protokolliert, wenn eine Warnung erstellt wird) und Warnung aktualisiert (protokolliert, wenn eine Warnung aktualisiert wird). Verwenden Sie alertID, um Updates für eine Warnung zu korrelieren. |
Daten | Die Daten für die Warnung umfassen die eindeutige Benutzer-ID, den Benutzerprinzipalnamen sowie Datum und Uhrzeit (UTC), als der Benutzer in eine Richtlinie ausgelöst wurde. |
Name | Richtlinienname für die Insider-Risikomanagementrichtlinie, die die Warnung generiert hat. |
PolicyId | Die GUID der Insider-Risikomanagementrichtlinie, die die Warnung ausgelöst hat. |
Severity | Der Schweregrad der Warnung. Die Werte sind "Hoch", "Mittel" oder "Niedrig". |
Quelle | Die Quelle der Warnung. Der Wert ist Office 365 Security & Compliance. |
Status | Die status der Warnung. Die Werte sind Aktiv (Bedarfsüberprüfung im Insiderrisiko), Untersuchung (im Insiderrisiko bestätigt), Gelöst (Im Insiderrisiko gelöst), Verworfen (Im Insiderrisiko verworfen ). |
Version | Die Version des Schemas für Sicherheits- und Konformitätswarnungen. |
Die folgenden Felder und Werte werden für Insider-Risikomanagementwarnungen für das allgemeine Schema der Office 365 Management Activity API exportiert.
- UserId
- Id
- RecordType
- CreationTime
- Vorgang
- OrganizationId
- UserType
- UserKey
Freigeben von Warnungsschweregraden für andere Microsoft-Sicherheitslösungen
Sie können Warnungsschweregrade aus dem Insider-Risikomanagement freigeben, um in den folgenden Microsoft-Sicherheitslösungen einen eindeutigen Benutzerkontext für die Untersuchung von Warnungen zu schaffen:
Microsoft Defender XDR Microsoft Purview-Kommunikationscompliance Microsoft Purview Data Loss Prevention (DLP)
Insider-Risikomanagement analysiert Benutzeraktivitäten über einen Zeitraum von 90 bis 120 Tagen und sucht nach anomalem Verhalten in diesem Zeitraum. Durch das Hinzufügen dieser Daten zu anderen Sicherheitslösungen werden die in diesen Lösungen verfügbaren Daten verbessert, damit Analysten Warnungen priorisieren können.
Tipp
Warnungsschweregrade im Insider-Risikomanagement unterscheiden sich von insider-Risikostufen , die in Adaptiver Schutz definiert sind.
- Warnungsschweregrade (Niedrig, Mittel oder Hoch) werden Benutzern basierend auf aktivitäten zugewiesen, die in Insider-Risikomanagementrichtlinien erkannt wurden. Diese Ebenen werden basierend auf Warnungsrisikobewertungen berechnet, die allen aktiven Warnungen zugeordnet sind, die dem Benutzer zugeordnet sind. Diese Ebenen helfen Insider-Risikoanalysten und Ermittlern dabei, Benutzeraktivitäten entsprechend zu priorisieren und darauf zu reagieren.
- Insider-Risikostufen (erhöht, mäßig oder geringfügig) im adaptiven Schutz sind ein Maß für das Risiko, das durch vom Administrator definierte Bedingungen bestimmt wird, z. B. die Anzahl der Exfiltrationsaktivitäten, die Benutzer an einem Tag ausführen, oder ob ihre Aktivität eine Warnung zu einem insider-Risiko mit hohem Schweregrad generiert hat.
Was geschieht, wenn Sie den Schweregrad von Insider-Risikomanagementwarnungen teilen?
In Microsoft Defender XDR
Seite "DLP-Incidents": Dem Abschnitt "Betroffene Ressourcen" auf der Seite Microsoft Defender DLP-Vorfälle für Benutzer mit einem hohen oder mittleren Risiko im Insider-Risikomanagement wird ein Feld "Insider-Risikoschwere" hinzugefügt. Wenn der Benutzer über eine niedrige Risikostufe verfügt, wird der Seite Incidents nichts hinzugefügt. Dadurch werden Ablenkungen für Analysten auf ein Minimum reduziert, damit sie sich auf die riskantesten Benutzeraktivitäten konzentrieren können.
Sie können die Risikostufe im Abschnitt Betroffener Ressourcen auswählen, um eine Zusammenfassung der Insider-Risikoaktivitäten und aktivitäten Zeitleiste für diesen Benutzer anzuzeigen. Eine Analyse von bis zu 120 Tagen kann dem Analysten dabei helfen, die Allgemeine Risikobereitschaft der Aktivitäten des Benutzers zu bestimmen.
Wenn Sie das DLP-Ereignis auf der Seite zur Übereinstimmung der DLP-Richtlinie auswählen, wird im Abschnitt DLP-Richtlinienabgleich ein Abschnitt Betroffener Entitäten angezeigt, in dem alle Benutzer angezeigt werden, die der Richtlinie entsprechen.
Seite "Benutzer": Ein Feld " Insider-Risikoschweregrad " wird der Seite "Benutzer" für Benutzer hinzugefügt, die im Insider-Risikomanagement über eine hohe, mittlere oder niedrige Risikostufe verfügen. Diese Daten sind für alle Benutzer mit einer aktiven Insider-Risikomanagement-Warnung verfügbar.
Auf der rechten Seite der Seite Benutzer werden eine Zusammenfassung der Insider-Risikoaktivitäten und aktivitäten Zeitleiste für diesen Benutzer angezeigt.
In Kommunikationscompliancewarnungen
Für jede Übereinstimmung mit der Kommunikationscompliancerichtlinie können Sie den Schweregrad des Benutzerrisikos anzeigen, der dem Absender zugeordnet ist. Zeigen Sie diese Informationen auf der Registerkarte Benutzeraktivität in der Kommunikation für die Warnung an. Diese Ansicht enthält Risikoprofile, Richtlinienabgleiche und Benutzeraktivitäten, die vom Insider-Risikomanagement und der Kommunikationscompliance erfasst werden.
Die Schweregrade werden als Hoch, Mittel, Niedrig oder Keine kategorisiert.
Bei Risikoschweregraden von None kann der Grund für eines der folgenden Szenarien sein:
- Der Benutzer ist nicht in einer Insider-Risikorichtlinie enthalten.
- Den Aktivitäten des Benutzers wird keine Risikobewertung zugewiesen, was bedeutet, dass sich der Benutzer nicht im aktiven Bereich der Richtlinie befindet.
- Der Benutzer ist in einer Insider-Risikomanagementrichtlinie enthalten, hat aber keine riskanten Aktivitäten ausgeführt.
- Die organization verfügt nicht über eine aktive Insider-Risikomanagementrichtlinie.
Wenn der Schweregrad des Benutzerrisikos nicht verfügbar ist, wird die Datenfreigabe über das Insider-Risikomanagement nicht aktiviert.
Sie können Insider-Risikoaktivitäten für bis zu 120 Tage im Abschnitt Details anzeigen auf der Registerkarte Benutzerverlauf im Insider-Risikomanagement anzeigen. Derzeit werden nur Daten aus Exfiltrationsindikatoren in der Zusammenfassung der Benutzeraktivität in der Kommunikationskonformität angezeigt.
In DLP-Warnungen
Für die Insider-Risikomanagementrichtlinie, die der DLP-Warnung zugeordnet ist, wird der DLP-Warnungswarteschlange eine Spalte mit dem Schweregrad des Insider-Risikos mit den Werten "Hoch", " Mittel", " Niedrig" oder "Keine " hinzugefügt. Wenn mehrere Benutzer über Aktivitäten verfügen, die mit der Richtlinie übereinstimmen, wird der Benutzer mit der höchsten Insider-Risikostufe angezeigt.
Der Wert None kann eine der folgenden Werte bedeuten:
Der Benutzer ist nicht Teil einer Insider-Risikomanagementrichtlinie.
Der Benutzer ist Teil einer Insider-Risikomanagementrichtlinie, aber er hat keine riskanten Aktivitäten ausgeführt, um sich in den Geltungsbereich der Richtlinie zu bringen (es gibt keine Exfiltration von Daten).
Sie können die Insider-Risikostufe in der DLP-Warnungswarteschlange auswählen, um auf die Registerkarte Zusammenfassung der Benutzeraktivität zuzugreifen, die eine Zeitleiste aller Exfiltrationsaktivitäten für diesen Benutzer in den letzten 90 bis 120 Tagen anzeigt. Wie bei der DLP-Warnungswarteschlange wird auf der Registerkarte Benutzeraktivitätszusammenfassung der Benutzer mit der höchsten Insider-Risikostufe angezeigt. Dieser tiefe Kontext in dem, was ein Benutzer in den letzten 90 bis 120 Tagen getan hat, bietet einen breiteren Überblick über die Risiken, die dieser Benutzer darstellt.
Nur Daten aus Exfiltrationsindikatoren werden in der Zusammenfassung der Benutzeraktivität angezeigt. Daten aus anderen vertraulichen Indikatoren wie Personalwesen, Browsen usw. werden nicht für DLP-Warnungen freigegeben.
Der Detailseite der DLP-Warnung wird ein Abschnitt mit Details zum Akteur hinzugefügt. Sie können diese Seite verwenden, um alle Benutzer anzuzeigen, die an der jeweiligen DLP-Warnung beteiligt sind. Für jeden Benutzer, der an der DLP-Warnung beteiligt ist, können Sie alle Exfiltrationsaktivitäten der letzten 90 bis 120 Tage anzeigen.
Wenn Sie Zusammenfassung aus Security Copilot in einer DLP-Warnung abrufen auswählen, enthält die von Microsoft Security Copilot bereitgestellte Warnungszusammenfassung zusätzlich zu den DLP-Zusammenfassungsinformationen den Schweregrad des Insider-Risikomanagements, wenn sich der Benutzer im Bereich einer Insider-Risikomanagementrichtlinie befindet.
Tipp
Sie können auch Security Copilot verwenden, um DLP-Warnungen zu untersuchen. Wenn die Einstellung Datenfreigabe für insider-Risikomanagement aktiviert ist, können Sie eine kombinierte DLP-/Insider-Risikomanagement-Untersuchung durchführen. Sie können z. B. copilot bitten, eine DLP-Warnung zusammenzufassen, und dann Copilot auffordern, die Insider-Risikostufe anzuzeigen, die dem in der Warnung gekennzeichneten Benutzer zugeordnet ist. Oder Sie möchten fragen, warum der Benutzer als Benutzer mit hohem Risiko gilt. Die Risikoinformationen des Benutzers stammen in diesem Fall aus dem Insider-Risikomanagement. Security Copilot integriert das Insider-Risikomanagement nahtlos in DLP, um untersuchungen zu unterstützen. Erfahren Sie mehr über die Verwendung der eigenständigen Version von Copilot für kombinierte DLP-/Insider-Risikomanagementuntersuchungen.
Voraussetzungen
Um die Risikostufen des Insider-Risikomanagements mit anderen Microsoft-Sicherheitslösungen zu teilen, muss der Benutzer:
- Muss Teil einer Insider-Risikomanagementrichtlinie sein.
- Muss Exfiltrationsaktivitäten ausgeführt haben, die den Benutzer in den Geltungsbereich der Richtlinie bringen.
- (Für die Freigabe mit DLP): Muss über DLP-Warnungsberechtigungen verfügen. Nachdem die Einstellung "Datenfreigabe" aktiviert wurde, können Benutzer mit DLP-Warnungsberechtigungen auf den Insider-Risikomanagementkontext zugreifen, um dlp-Warnungen zu untersuchen und die Seite Microsoft Defender XDR Benutzer zu verwenden. Benutzer mit Insider-Risikomanagementberechtigungen können ebenfalls auf diese Daten zugreifen.
- (Für die Freigabe mit Kommunikationscompliance): Benutzern muss entweder die Rolle Communication Compliance Analyst oder Communication Compliance Investigator zugewiesen werden, um die Schweregrade des Benutzerrisikos und den Aktivitätsverlauf in der Kommunikationscompliance anzuzeigen.
Tipp
Wenn Sie Zugriff auf DLP-Warnungen in Microsoft Purview und/oder Microsoft Defender haben, können Sie den Benutzerkontext über das Insider-Risikomanagement anzeigen, das für diese Lösungen freigegeben ist.
Freigeben von Daten mit anderen Microsoft-Sicherheitslösungen
Sie können den Schweregrad des Insider-Risikomanagements mit anderen Microsoft-Sicherheitslösungen teilen, indem Sie eine einzelne Einstellung aktivieren.
- Wählen Sie in den Einstellungen für das Insider-Risikomanagement die Einstellung Datenfreigabe aus.
- Aktivieren Sie im Abschnitt Freigeben von Daten mit anderen Microsoft-Sicherheitslösungen die Einstellung.
Hinweis
Wenn Sie diese Einstellung nicht aktivieren, lautet der Wert in der Spalte DLP-Warnungen des Insider-Risikoschweregrads "Benutzerdaten sind nicht verfügbar" und wird in der Kommunikationskonformität als "Insider-Risikoaktivität nicht verfügbar" angezeigt.