Wir haben den Inhalt am 2. Dezember 2025 aktualisiert. Zukünftige besondere Cloud-Fortschritte werden wir in einem separaten Message Center-Beitrag kommunizieren. Vielen Dank für Ihre Geduld.
Demnächst verfügbar in Microsoft Purview: Insider Risk Management (IRM)-Daten einschließlich Warnungen, Indikatoren und Ereignissen werden in folgenden Microsoft Defender XDR-Erfahrungen verfügbar sein:
- Vereinheitlichte Alarmwarteschlange: IRM-Warnungen werden in der vereinheitlichten Alarm- und Vorfallwarteschlange in Defender XDR für eine umfassende Untersuchung und Korrelation angezeigt.
- Advanced Hunting: IRM-Daten werden für Advanced Hunting in Defender XDR verfügbar sein, wodurch Analysten verborgene Risikomuster mithilfe von KQL-Abfragen identifizieren können. Analytics kann zudem benutzerdefinierte Erkennungen auf Basis von IRM-Daten erstellen.
- Graph API: IRM-Daten sind über die Microsoft Graph API zugänglich und unterstützen bidirektionale Integrationen mit externen Anwendungen.
- Microsoft Sentinel: IRM-Warnungen werden über den XDR-Sentinel-Connector in Microsoft Sentinel verfügbar sein und reichhaltigere Metadaten bereitstellen.
Diese Nachricht ist mit der Microsoft 365-Roadmap-ID 422730 verknüpft.
[Zeitplan]
Öffentliche Vorschau: Der Rollout beginnt Mitte Januar 2025 und wird voraussichtlich Ende Januar 2025 abgeschlossen sein.
Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Ende August 2025 (zuvor Ende Juni) und wird voraussichtlich Mitte September 2025 abgeschlossen sein.
[Auswirkung auf Ihre Organisation]
Aktivieren Sie diese Funktion durch das Einschalten von Datenfreigabe mit anderen Sicherheitslösungen in den globalen IRM-Einstellungen.
Nur Benutzer mit Insider-Risikoanalyse- oder Untersuchungsrollen im Microsoft Purview-Portal können auf IRM-Daten in Defender XDR zugreifen.
Um Warnungen, Vorfälle und Ereignisse aus Defender XDR über die API zuzugreifen, müssen Sie Apps mit den erforderlichen Berechtigungen bereitstellen. IRM-Daten sind über Microsoft Security Graph APIs zugänglich, wodurch das Lesen und Aktualisieren von Alarm- oder Vorfallstatus möglich ist. Die Berechtigungen werden auf Anwendungsebene festgelegt, ohne lösungsspezifische Einschränkungen. Bestehende Apps, die Daten von diesen APIs abrufen, erhalten ebenfalls Zugriff auf IRM-Daten. Wenn Sie also XDR-Warnungen in externe Ticketsysteme integrieren, werden IRM-Warnungen angezeigt, sofern Sie diese nicht explizit herausfiltern.
IRM-Warnungen werden in Sentinel angezeigt, wenn Ihr Mandant den Defender XDR-Connector in Microsoft Sentinel aktiviert hat.
In Defender XDR werden IRM-Daten nicht pseudonymisiert, um eine effektive Korrelation von IRM-Warnungen mit Warnungen anderer Lösungen innerhalb der Plattform wie Defender for Endpoint und Defender for Cloud Apps zu ermöglichen.
Diese Änderungen stehen Administratoren standardmäßig zur Konfiguration in den globalen IRM-Einstellungen zur Verfügung.
Administratoren können Insider Risk Management-Warnungen in Defender XDR einsehen:
Nutzen Sie die Leistungsfähigkeit von Advanced Hunting-Abfragen mit zwei neuen Tabellen, die Insider Risk Management-Daten enthalten: DataSecurityBehaviors und DataSecurityEvents. In dieser Abfrage wurden 54 vertrauliche Dateien durch 2 verschiedene Benutzer über mail.google.com exfiltriert:
[Vorbereitung]
- Aktivieren Sie die Datenfreigabeeinstellungen auf der Seite der IRM-Global-Einstellungen.
- Weisen Sie den Analysten die notwendigen Berechtigungen zu.
- Überprüfen Sie bestehende Apps, die Defender XDR-Daten über Graph APIs abrufen.
- Wenn Ihre Organisation den Microsoft Defender XDR-Connector nutzt, überprüfen Sie bitte die Liste der Benutzer, die über Sentinel Zugriff auf diese Daten erhalten.
Dieser Rollout erfolgt automatisch zum angegebenen Datum, ohne dass vorab eine Aktion seitens der Administratoren erforderlich ist. Überprüfen Sie Ihre aktuelle Konfiguration der globalen IRM-Einstellungen, um die Auswirkungen auf Ihre Organisation zu bestimmen. Informieren Sie gegebenenfalls Ihre Administratoren über diese Änderung und aktualisieren Sie relevante Dokumentationen.