Wir haben den Zeitplan aktualisiert. Vielen Dank für Ihre Geduld.
Kurz bevorstehend in Microsoft Purview: Insider Risk Management (IRM) Daten einschließlich Warnungen, Indikatoren und Ereignissen werden in folgenden Microsoft Defender XDR-Erlebnissen verfügbar sein:
- Vereinheitlichte Warnwarteschlange: IRM-Warnungen erscheinen in der einheitlichen Warn- und Vorfallswarteschlange in Defender XDR für eine umfassende Untersuchung und Korrelation.
- Advanced Hunting: IRM-Daten werden für Advanced Hunting in Defender XDR verfügbar sein, wodurch Analysten mithilfe von KQL-Abfragen verborgene Risikomuster erkennen können. Analytics kann zudem benutzerdefinierte Erkennungen auf Grundlage der IRM-Daten erstellen.
- Graph API: IRM-Daten werden über Microsoft Graph API zugänglich sein und bidirektionale Integrationen mit externen Anwendungen unterstützen.
- Microsoft Sentinel: IRM-Warnungen sind über den XDR-Sentinel-Connector in Microsoft Sentinel verfügbar und bieten reichhaltigere Metadaten.
Diese Nachricht ist mit der Microsoft 365 Roadmap-ID 422730 verknüpft.
Zeitplan:
Public Preview: Wir beginnen mit dem Rollout Mitte Januar 2025 und erwarten den Abschluss bis Ende Januar 2025.
Allgemeine Verfügbarkeit (weltweit): Wir starten den Rollout Ende August 2025 (zuvor Ende Juni) und rechnen mit Abschluss bis Mitte September 2025.
Allgemeine Verfügbarkeit (GCC, GCC High, DoD): Der Rollout beginnt Ende August 2025 (zuvor Ende Juni) und wird voraussichtlich bis Ende Mai 2026 (zuvor Mitte September) abgeschlossen sein.
Auswirkungen auf Ihre Organisation:
Aktivieren Sie diese Funktion, indem Sie in den globalen IRM-Einstellungen Daten mit anderen Sicherheitslösungen teilen einschalten.
Nur Nutzer mit Rollen in der Insider-Risikobewertung oder -untersuchung im Microsoft Purview-Portal können IRM-Daten in Defender XDR einsehen.
Um über API auf Warnungen, Vorfälle und Ereignisse aus Defender XDR zuzugreifen, müssen Apps mit den notwendigen Berechtigungen ausgestattet sein. IRM-Daten sind über die Microsoft Security Graph APIs zugänglich, die das Lesen und Aktualisieren von Warn- oder Vorfallsstatus erlauben. Berechtigungen werden auf Anwendungsebene gesetzt, ohne spezifische Lösungseinschränkungen. Bereits vorhandene Apps, die Daten aus diesen APIs abrufen, erhalten ebenfalls Zugriff auf IRM-Daten. Wenn Sie XDR-Warnmeldungen in externe Ticketsysteme integrieren, werden IRM-Warnungen angezeigt, sofern Sie diese nicht explizit herausfiltern.
IRM-Warnungen erscheinen in Sentinel, falls Ihr Mandant den Defender XDR-Connector in Microsoft Sentinel aktiviert hat.
In Defender XDR werden IRM-Daten nicht pseudonymisiert, um eine effektive Korrelation von IRM-Warnungen mit Warnungen anderer Lösungen innerhalb der Plattform zu ermöglichen, wie Defender for Endpoint und Defender for Cloud Apps.
Diese Änderungen können von Administratoren standardmäßig in den globalen IRM-Einstellungen konfiguriert werden.
Administratoren können Insider Risk Management-Warnungen in Defender XDR anzeigen:
Nutzen Sie die Leistungsfähigkeit von Advanced Hunting-Abfragen mit zwei neuen Tabellen, die Insider Risk Management-Daten enthalten: DataSecurityBehaviors und DataSecurityEvents. In dieser Abfrage wurden 54 vertrauliche Dateien durch mail.google.com von 2 unterschiedlichen Nutzern exfiltriert:
Was Sie tun müssen, um sich vorzubereiten:
- Melden Sie sich für die Datenschutzeinstellungen in der globalen IRM-Einstellungsseite an.
- Weisen Sie Analysten die notwendigen Berechtigungen zu.
- Überprüfen Sie bestehende Apps, die Defender XDR-Daten über Graph APIs abrufen.
- Falls Ihre Organisation den Microsoft Defender XDR-Connector verwendet, prüfen Sie die Liste der Nutzer, die über Sentinel Zugriff auf diese Daten erhalten.
Der Rollout erfolgt automatisch zum angegebenen Datum, ohne dass vorab Administratorenmaßnahmen erforderlich sind. Überprüfen Sie Ihre aktuelle Konfiguration in den globalen IRM-Einstellungen, um die Auswirkungen auf Ihre Organisation zu bestimmen. Es kann sinnvoll sein, Ihre Administratoren über diese Änderung zu informieren und relevante Dokumentationen zu aktualisieren.