Coming soon to Microsoft Purview: Insider Risk Management (IRM) data including alerts, indicators and events will be available in these Microsoft Defender XDR experiences:

• Unified alert queue: IRM alerts will appear in the unified alert and incident queue in Defender XDR for comprehensive investigation and correlation.
• Advanced Hunting: IRM data will be available for advanced hunting in Defender XDR, allowing analysts to identify hidden risk patterns using KQL queries. Analytics can also create custom detections on the top of IRM data.
• Graph API: IRM data will be accessible through the Microsoft Graph API, supporting bidirectional integrations with external applications.
• Microsoft Sentinel: IRM alerts will be available in Microsoft Sentinel through the XDR-Sentinel connector, providing richer metadata.

This message is associated with Microsoft 365 Roadmap ID 422730.

[When this will happen:]

Public Preview: We will begin rolling out mid-January 2025 and expect to complete by end of January 2025.

General Availability (WW, GCC, GCC High, DoD): We will begin rolling out early May 2025 and expect to complete by mid-May 2025.

[How this will affect your organization:]

Enable this feature by turning on Share data with other security solutions in the IRM global settings.

Only users with Insider risk analysis or investigation roles in the Microsoft Purview portal can access IRM data in Defender XDR.

To access alerts, incidents, and events from Defender XDR via API, you need to provision apps with the necessary permissions. IRM data is accessible via Microsoft Security Graph APIs, allowing for reading and updating alert or incident statuses. Permissions are set at the application level, without solution-specific scoping. Any existing apps pulling data from these APIs will also access IRM data. So, if you integrate XDR alerts into external ticketing systems, IRM alerts will show up, unless you specifically filter out the alerts.

IRM alerts will appear in Sentinel if your tenant has the Defender XDR connector enabled in Microsoft Sentinel.

In Defender XDR, IRM data is not pseudonymized to allow effective correlation of IRM alerts with alerts from other solutions within the platform, such as Defender for Endpoint and Defender for Cloud apps.

These changes will be available by default for admins to configure in IRM global settings.

Admins will be able to view Insider Risk Management alerts in Defender XDR:

Harness the power of Advanced Hunting queries with two new tables that contain Insider Risk Management data: DataSecurityBehaviors and DataSecurityEvents. In this query, 54 confidential files were exfiltrated through mail.google.com by 2 unique users:

[What you need to do to prepare:]

• Opt-in to data sharing settings in IRM global settings page.
• Assign necessary permissions to analysts
• Review existing apps accessing Defender XDR data through Graph APIs.
• If your organization is using Microsoft Defender XDR connector, please review the list of users who will gain access to this data through Sentinel.

This rollout will happen automatically by the specified date with no admin action required before the rollout. Review your current configuration in IRM global settings to determine the impact for your organization. You may want to notify your admins about this change and update any relevant documentation.

Microsoft Purview に近日公開予定: アラート、インジケーター、イベントなどのインサイダー リスク管理 (IRM) データは、次の Microsoft Defender XDR エクスペリエンスで利用できます。

• 統合アラート キュー: IRM アラートは、包括的な調査と関連付けのために、Defender XDR の統合アラートとインシデント キューに表示されます。
• 高度なハンティング: IRM データは Defender XDR の高度なハンティングに使用でき、アナリストは KQL クエリを使用して隠れたリスク パターンを特定できます。Analytics では、IRM データの上にカスタム検出を作成することもできます。
• Graph API: IRM データは Microsoft Graph API を介してアクセスでき、外部アプリケーションとの双方向統合をサポートします。
• Microsoft Sentinel: IRM アラートは、XDR-Sentinel コネクタを介して Microsoft Sentinel で利用でき、より豊富なメタデータが提供されます。

このメッセージは、Microsoft 365 ロードマップ ID 422730 に関連付けられています。

[これがいつ起こるか:]

パブリック プレビュー: 2025 年 1 月中旬にロールアウトを開始し、2025 年 1 月末までに完了する予定です。

一般提供 (WW、GCC、GCC High、DoD): 2025 年 5 月初旬にロールアウトを開始し、2025 年 5 月中旬までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

この機能を有効にするには、IRM グローバル設定でS ヘア データを他のセキュリティ ソリューションと共に オンにします。

Microsoft Purview ポータルで Insider リスク分析または調査ロールを持つユーザーのみが、Defender XDR の IRM データにアクセスできます。

API を介して Defender XDR からアラート、インシデント、イベントにアクセスするには、必要なアクセス許可を持つアプリをプロビジョニングする必要があります。IRM データには Microsoft Security Graph API を介してアクセスでき、アラートまたはインシデントの状態を読み取って更新できます。アクセス許可は、ソリューション固有のスコープ設定なしで、アプリケーション レベルで設定されます。これらの API からデータを取得する既存のアプリも IRM データにアクセスします。そのため、XDR アラートを外部のチケット発行システムに統合すると、アラートを明示的に除外しない限り、IRM アラートが表示されます。

IRM アラートは、テナントで Microsoft Sentinel で Defender XDR コネクタが有効になっている場合、Sentinel に表示されます。

Defender XDR では、IRM アラートとプラットフォーム内の他のソリューション (Defender for Endpoint アプリや Defender for Cloud アプリなど) からのアラートと IRM アラートを効果的に関連付けることができるように、IRM データは仮名化されません。

これらの変更は、管理者が IRM グローバル設定で構成するために、デフォルトで使用できます。

管理者は、Defender XDR でインサイダー リスク管理アラートを表示できます。

インサイダー リスク管理データを含む 2 つの新しいテーブル (DataSecurityBehaviors と DataSecurityEvents) を使用して、高度なハンティング クエリの機能を活用します。このクエリでは、54 個の機密ファイルが 2 人の一意のユーザーによって mail.google.com を通じて流出しました。

【準備に必要なこと】

• IRM グローバル設定ページでデータ共有設定にオプトインします。
• アナリストに必要な権限を割り当てる
• Graph API を使用して Defender XDR データにアクセスする既存のアプリを確認します。
• 組織で Microsoft Defender XDR コネクタを使用している場合は、Sentinel を通じてこのデータにアクセスできるユーザーの一覧を確認してください。

このロールアウトは、ロールアウト前に管理者の操作を必要とせずに、指定された日付までに自動的に行われます。IRM グローバル設定で現在の構成を確認して、組織への影響を判断します。この変更について管理者に通知し、関連するドキュメントを更新することをお勧めします。