Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Datenrisikodiagramm in Untersuchungen zur Datensicherheit (Vorschau) bietet eine visuelle Untersuchungsoberfläche, die Ressourcen- und Aktivitätsdaten in einer einzigen Ansicht kombiniert. Basierend auf Microsoft Sentinel Integration werden die aktivitäten der letzten 30 Tage für alle Dateien zusammengefasst, die in Ihrer Untersuchung enthalten sind. Es hilft Ihnen, riskante Benutzerkonten zu identifizieren, die mit interessanten Inhalten interagiert haben, und die Abfolge der Ereignisse zu analysieren, die zu aktuellen Vorfällen geführt haben. Durch die Anreicherung der Analyse mit Aktivitätserkenntnissen können Datenrisikodiagramme Ihnen helfen, Ihre Datensicherheitsvorfälle schneller und mit größerer Sicherheit zu beheben.
Weitere Informationen zur integration von Microsoft Sentinel finden Sie unter Informationen zu Microsoft Sentinel in Microsoft Purview.
Hinweis
Admin Einheiten werden im Datenrisikodiagramm nicht unterstützt. Wenn Sie auf eine Administratoreinheit festgelegt sind, werden daten nicht in Datenrisikodiagrammen angezeigt.
Unterstützte Aktivitäten im Datenrisikodiagramm
Das Datenrisikodiagramm unterstützt derzeit die folgenden Exfiltrationsaktivitäten:
- In SharePoint oder OneDrive erstellte anonyme Links
- Anonyme Links, die über SharePoint oder OneDrive verwendet werden
- In SharePoint oder OneDrive erstellte Unternehmenslinks
- Dateidownloads von SharePoint und OneDrive
- Dateien in SharePoint und OneDrive umbenannt
Bevor Sie beginnen
Bevor Sie Datenrisikodiagramme in Untersuchungen zur Datensicherheit (Vorschau) verwenden können, führen Sie die folgenden Schritte aus:
- Erfahren Sie mehr über die nutzungsbasierte Abrechnung in Microsoft Sentinel für Ihre organization.
- Konfigurieren der Voraussetzungen für Microsoft Sentinel Data Lake und Microsoft Sentinel Graph
- Überprüfen der Änderungen, die beim Onboarding in Microsoft Sentinel Data Lake und Microsoft Sentinel Graph vorgenommen wurden
- Erstellen Sie eine Untersuchung in Der Untersuchung der Datensicherheit (Vorschau).
Konfigurieren des Datenrisikodiagramms
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Nachdem Sie die Voraussetzungen abgeschlossen haben, führen Sie die folgenden Schritte aus, um den Datenrisikographen in Untersuchungen zur Datensicherheit (Vorschau) zu konfigurieren:
Wechseln Sie zum Microsoft Purview-Portal mit einem Konto, dem die Rolle "Globaler Administrator " oder "Sicherheitsadministrator " zugewiesen ist.
Wählen Sie die Karte lösung Untersuchungen zur Datensicherheit (Vorschau) und dann im linken Navigationsbereich Übersicht aus.
Wählen Sie im Abschnitt Setuptasksdie Option Data Lake und Datenrisikodiagramm einrichten aus.
Wenn Sie nicht über die richtigen Berechtigungen zum Einrichten des Data Lake verfügen, wird eine Benachrichtigung angezeigt, um sich an einen globalen Oder Abrechnungsadministrator in Ihrem organization zu wenden.
Konfigurieren Sie auf der Registerkarte Setup unter Data Lake & Risikodiagramm einrichten (Vorschau) die folgenden Einstellungen:
- Abonnement: Geben Sie das Azure Abonnement ein, das Sie verwenden möchten. Ihr ausgewähltes Abonnement muss gültig und zugänglich sein. Sie müssen ein Abonnementbesitzer sein.
- Ressourcengruppe: Geben Sie die Ressourcengruppe ein, die Sie verwenden möchten. Ihre ausgewählte Ressourcengruppe muss gültig und zugänglich sein.
Wichtig
Nachdem der Data Lake für ein bestimmtes Azure Abonnement und ressourcengruppe bereitgestellt wurde, können Sie ihn nicht zu einem anderen Abonnement oder einer anderen Ressourcengruppe migrieren.
Wählen Sie Setupaus.
Wichtig
Wenn das Datenrisikodiagramm zum ersten Mal erstellt wird, enthält es die daten der letzten sieben Tage. Wenn das Datenrisikodiagramm im Laufe der Zeit aktualisiert wird, wird das Look-Back-Fenster auf maximal 30 Tage erweitert. Es kann einige Zeit dauern, bis das Datenrisikodiagramm das gesamte 30-Tage-Zeitfenster erreicht hat. Erwarten Sie daher nach der ersten Einrichtung ein allmähliches Wachstum.
Der Einrichtungsprozess beginnt, und das Onboarding kann bis zu 60 Minuten dauern. Sie können den Setupbereich schließen, während der Prozess ausgeführt wird. Nach Abschluss des Onboardingprozesses wird unter Einrichten von Data Lake & Risikodiagramm (Vorschau)die Option Abgeschlossen angezeigt. Das Datenrisikodiagramm zeigt Ereignisse an, die auftreten, nachdem Ihr Microsoft Sentinel Data Lake erstellt oder integriert wurde.
Die anfängliche Verarbeitung der Daten und die Verfügbarkeit des Datenrisikodiagramms für eine Untersuchung kann 24 bis 48 Stunden dauern.
Wichtig
Sie verfügen immer über einen Data Lake. Wenn Sie bereits ein Onboarding für den Data Lake mit einem anderen Microsoft-Dienst ausgeführt haben, wird Ihr vorhandener Data Lake verwendet. Wenn Sie noch kein Onboarding in den Data Lake durchgeführt haben, ermöglicht das Onboarding in Untersuchungen zur Datensicherheit (Vorschau) Microsoft Sentinel Data Lake und Graph im Defender-Portal.
Verwenden eines Datenrisikodiagramms
Das Datenrisikodiagramm in Untersuchungen zur Datensicherheit (Vorschau) visualisiert die Korrelationen zwischen betroffenen Daten, Benutzern und ihren Aktivitäten eindeutig. Es bietet kritischen Kontext, um die Entschärfung und die nächsten Schritte zu steuern. Wenn Sie z. B. ein hochsensibles Dokument aufdecken, erhalten Sie mithilfe von Datenrisikodiagrammen Einen Überblick darüber, welche Benutzer es heruntergeladen haben oder ob sie von einer riskanten IP-Adresse darauf zugegriffen haben. Mit dieser Sichtbarkeit können Sie neue Knoten für einen Datensicherheitsvorfall aufdecken, z. B. zusätzliche Benutzer oder neue Inhalte, die untersucht werden müssen.
Um das Datenrisikodiagramm für eine Untersuchung anzuzeigen, müssen Sie mindestens einer integrierten rollengruppe Untersuchungen zur Datensicherheit (Vorschau) zugewiesen sein:
- Untersuchungen zur Datensicherheit-Administratoren
- Untersuchungen zur Datensicherheit-Ermittler
- Untersuchungen zur Datensicherheit Reviewer
Weitere Informationen zu Rollengruppen finden Sie unter Zuweisen von Berechtigungen in Untersuchungen zur Datensicherheit.
Führen Sie die folgenden Schritte aus, um das Datenrisikodiagramm in Untersuchungen zur Datensicherheit (Vorschau) zu verwenden:
Wechseln Sie zum Microsoft Purview-Portal mit einem Konto, das einer Untersuchungen zur Datensicherheit Rollengruppe (Vorschau) zugewiesen ist.
Wählen Sie die Untersuchungen zur Datensicherheit (Vorschau)-Lösung Karte und dann im linken Navigationsbereich Fälle aus.
Wählen Sie eine Untersuchung aus, die überprüft werden soll, und wählen Sie dann eine der folgenden Optionen aus:
- Wählen Sie unter Zusammenfassung die Option Bereich verwalten im Karte Untersuchungsbereich aus.
- Wählen Sie die Registerkarte Analyse aus, um elemente aufzulisten, die im Untersuchungsbereich enthalten sind.
Wählen Sie elemente (bis zu 100) aus, die im Bereich enthalten sind, und wählen Sie dann Erkenntnisse erkunden aus.
Hinweis
Insights erkunden ist nur verfügbar, wenn Sie Untersuchungen zur Datensicherheit (Vorschau) für Microsoft Sentinel Data Lake und Graph konfigurieren.
Filtern Sie die Uhrzeit nach Bedarf, und wählen Sie einzelne Diagrammknoten für Das Datenrisiko aus, um weitere Informationen zu den einzelnen Verbindungen während der Selektierung zu finden.
Erweitern Sie beziehungen im Diagramm, indem Sie das Symbol + für Benutzer oder Ressourcen auswählen.
Das Datenrisikodiagramm enthält mehrere Knoten. Wenn Sie einen Knoten auswählen, werden Details zum Knoten angezeigt:
- Benutzerdetails: Zeigt Informationen zu Benutzern an, die der Untersuchung zugeordnet sind. Diese Informationen umfassen organization Informationen für jeden Benutzer, einschließlich Benutzerprinzipalname (USER Principal Name, UPN), Bezeichnungen, Standort, Position und mehr.
- Beziehungen: Zeigt Informationen zum Starten und Beenden von Verbindungen zwischen Knoten an. Diese Informationen umfassen start- und letzte Verbindungsdaten, Beziehungstypen und vieles mehr.
- IP-Adressen: Zeigt Informationen zu jedem IP-Adressknoten an.
- Datendetails: Zeigt Informationen zu Dateien und Websites an. Diese Informationen umfassen die Objektposition, den Typ, die Bezeichnungen und vieles mehr.
Sie können Datenrisikodiagramminformationen für Benutzer basierend auf den Aktivitäten der letzten 30 Tage anzeigen. Diese Dauer ist festgelegt und kann nicht verlängert werden.