Entdecken Sie die Funktionen von Copilot in Microsoft Purview

  • 30 Minuten

Microsoft Security Copilot ist in Microsoft Purview-Lösungen zur Datensicherheit und Compliance zugänglich, einschließlich Data Loss Prevention (DLP), Insider-Risikomanagement, Kommunikationscompliance und eDiscovery (Premium).

In dieser Übung erkunden Sie die in jeder dieser Lösungen verfügbaren Copilot-Zusammenfassungsfunktionen. Zunächst überprüfen Sie, ob das Microsoft Purview-Plug-In aktiviert ist.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Als eingeschränkte Simulation werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Es wird eine Popupnachricht angezeigt, die besagt: „Dieses Feature ist innerhalb der Simulation nicht verfügbar“. Wählen Sie in diesem Fall „OK“ aus, und fahren Sie mit den Übungsschritten fort.

Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Übung

Für diese Übung sind Sie als Avery Howard angemeldet. Sie verfügen über die Rolle des Copilot-Besitzers und die spezifischen Rollenberechtigungen, die für den Zugriff auf jede der in dieser Übung verwendeten Microsoft Purview-Lösungen erforderlich sind.

Sie arbeiten mit bestimmten Microsoft Purview-Lösungen zusammen, verwenden das neue Microsoft Purview-Portal und greifen auf die eingebetteten Copilot-Funktionen dieser Lösungen zu.

Diese Übung dauert ca. 30 Minuten.

Hinweis

Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie gleichzeitig die Anweisungen und die Übungsumgebung anzeigen können. Wählen Sie dazu die Option mit der rechten Maustaste aus.

Aufgabe: Aktivieren des Microsoft Purview-Plug-Ins

In dieser Aufgabe aktivieren Sie das Microsoft Purview-Plug-In. Für diese Aufgabe arbeiten Sie in der eigenständigen Oberfläche.

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Security Copilot.

  2. Wählen Sie auf der Angebotsseite von Microsoft Security Copilot das Quellensymbol Quellensymbol auf der Prompt-Leiste aus.

    1. Wählen Sie im Fenster „Quellen verwalten“ unter den Microsoft-Plug-Ins die Option 11 weitere anzeigen aus.
    2. Scrollen Sie nach unten, damit das Microsoft Purview-Plug-In sichtbar wird.
    3. Wählen Sie das InformationssymbolScreenshot des Informationssymbols aus. Beachten Sie die Anweisungen, und schließen Sie dann die Plug-In-Seite, indem Sie auf das X in der oberen rechten Ecke des Fensters „Quellen verwalten“ klicken.

  3. Wählen Sie das StartmenüScreenshot des Startmenüsymbols aus, das häufig als Hamburger-Symbol bezeichnet wird.

    1. Wählen Sie Plug-In-Einstellungen aus.
    2. Aktivieren Sie die Umschaltfläche neben Erlauben Sie Security Copilot, auf Daten von Ihren Microsoft 365-Diensten zuzugreifen.
    3. Kehren Sie zur Copilot-Startseite zurück, indem Sie Microsoft Security Copilot oben links neben dem Startmenüsymbol (Hamburger-Symbol) auswählen.

  4. Nachdem Sie Copilot nun für den Zugriff auf Daten aus Ihren Microsoft 365-Diensten aktiviert haben, kehren Sie zur Plug-In-Seite zurück, und aktivieren Sie das Microsoft Purview-Plug-In.

    1. Wählen Sie in der Prompt-Leiste das Symbol „Quellen“ aus.
    2. Wählen Sie im Fenster "Quellen verwalten" unter den Microsoft-Plug-Ins "13 mehr anzeigen" aus.
    3. Aktivieren Sie den Umschalter neben Microsoft Purview, um das Plug-In zu aktivieren.
    4. Schließen Sie das Fenster „Quellen verwalten“, indem Sie das Xauswählen.

Aufgabe: Untersuchen riskanter Aktivitäten mit Security Copilot

Für diese und alle nachfolgenden Aufgaben erkunden Sie die in Microsoft Purview eingebettete Copilot-Funktionalität.

In dieser Aufgabe untersuchen Sie eine Warnung im Zusammenhang mit potenzieller Datenexfiltration. Sie beginnen mit der manuellen Überprüfung der Warnung, um wichtige Risikoindikatoren zu identifizieren, und verwenden Sie dann Security Copilot , um Ihre Untersuchung zu beschleunigen. Insbesondere suchen Sie nach Dateiaktivitäten im Zusammenhang mit EmployeeInfo_EDM.csv, die vertrauliche Mitarbeiterinformationen enthält und an Exfiltrationsereignissen beteiligt war.

Microsoft Copilot übernimmt die Berechtigungen des Benutzers, wenn er versucht, auf die Daten zuzugreifen, um Abfragen zu beantworten. Um auf Daten zuzugreifen, die mit der Microsoft Purview Insider Risk Management-Lösung verknüpft sind, muss dem Copilot-Benutzer eine entsprechende Rolle zugewiesen werden.

  1. Öffnen Sie die Umgebung, indem Sie diesen Link auswählen: Microsoft Purview-Portal.

  2. Im Microsoft Purview-Portal, Lösungen>Insider-Risikomanagement>Benachrichtigungen.

  3. Wählen Sie die erste Warnung in der Liste mit der Warnungs-ID ad18a3a1 aus.

  4. Überprüfen Sie die Warnung:

    1. Überprüfen Sie den Namen der Warnung, die zugeordnete Richtlinie, den Schweregrad und die Risikobewertung. Überprüfen Sie, wann die Warnung ausgelöst wurde und warum.
    2. Wählen Sie "Alle Details anzeigen " aus, um das Benutzerprofil anzuzeigen, einschließlich Gruppenmitgliedschaft und Prioritätsstatus. Schließen Sie dann das Panel.
    3. Sehen Sie sich auf der Registerkarte "Alle Risikofaktoren " Exfiltrationsaktivitäten, Sequenzaktivitäten, Prioritätsinhalte und Typen vertraulicher Informationen an.
    4. Wählen Sie die Registerkarte " Aktivitäts-Explorer " aus, und überprüfen Sie wichtige Ereignisse um das Benachrichtigungsdatum.
    5. Verwenden Sie die Registerkarte " Benutzeraktivität ", um Muster im Benutzerverhalten in einem breiteren Zeitraum zu überprüfen.

  5. Verwenden Sie Security Copilot , um tiefere Überprüfungen zu führen:

    1. Wählen Sie auf der Benachrichtigungsseite "Zusammenfassen" aus, um eine schnelle Zusammenfassung der Warnung und des aktuellen Verhaltens des Benutzers zu generieren.
    2. Wählen Sie im Bereich "Copilot" die vordefinierte Eingabeaufforderung aus, um die letzten 30 Tage der Aktivität des Benutzers zusammenzufassen.
    3. Wenn die Zusammenfassung geladen wird, überprüfen Sie die Antwort, und wählen Sie dann "Aktivität anzeigen" aus, um die vollständige Benutzeraktivitätsansicht zu öffnen.
    4. Wählen Sie im linken Bereich "Ungewöhnliche Aktivitäten" aus.
    5. Erweitern Sie die erste Sequenzaktivität, die für den 25. Februar 2025 aufgeführt ist.
    6. Wählen Sie den Link "2 Ereignisse " aus, um die in dieser Sequenz enthaltenen Aktionen anzuzeigen.
    7. Suchen Sie den Eintrag für EmployeeInfo_EDM.csv. Erweitern Sie die Details, und überprüfen Sie die zugehörigen Aktionen für diese Datei.

Aufgabe: Überprüfen von Richtlinieneinblicken zur Verhinderung von Datenverlust mithilfe von Security Copilot

Für diese Aufgabe erfahren Sie, wie Security Copilot dabei helfen kann, Stärken und Lücken in Ihrer Dlp-Richtlinienabdeckung (Data Loss Prevention) zu identifizieren.

In großen Umgebungen kann es schwierig sein, schnell zu beurteilen, ob vorhandene Richtlinien die erforderliche Abdeckung über Standorte, Datentypen und Organisationsgrenzen hinweg bereitstellen. Security Copilot kann Einblicke gewinnen und Ihnen helfen, Ihre Aufmerksamkeit auf die wichtigsten Punkte zu konzentrieren.

  1. Wechseln Sie im Microsoft Purview-Portal zu Den Richtlinien> zurVerhinderung> von Datenverlust.

  2. Scrollen Sie durch die Liste der DLP-Richtlinien, um zu erfahren, wie viele Richtlinien vorhanden sind und wie sie benannt werden. Diese stellen möglicherweise unterschiedliche Standorte, Klassifizierungen oder Geschäftseinheiten dar.

  3. Wählen Sie Copilot>Einblicke in bestehende Richtlinien erhalten.

  4. Wenn der Bereich "Sicherheit Copilot" geöffnet wird, überprüfen Sie die standardmäßig angezeigten allgemeinen Erkenntnisse .

  5. Erkunden Sie jede Insights-Kategorie:

    1. Wählen Sie "Insights nach Ort" aus und dann "Exchange". Überprüfen Sie die angezeigten Erkenntnisse.
    2. Wiederholen Sie diesen Vorgang für Endpunkt.
    3. Wählen Sie Insights nach administrativen Einheiten aus, und überprüfen Sie die Ergebnisse.
    4. Wählen Sie Insights nach Klassifizierung von Daten aus, und überprüfen Sie die Ergebnisse.

  6. Wählen Sie unten im Bereich "Copilot" die vordefinierte Eingabeaufforderung aus , welche Arten vertraulicher Informationen wir mit diesen DLP-Richtlinien schützen? Und überprüfen Sie die Ergebnisse.

  7. Wählen Sie im Bereich "Copilot" die vordefinierte Eingabeaufforderung aus, gilt diese DLP-Richtlinie für alle Benutzer in meiner Organisation? Und überprüfen Sie die Ergebnisse.

  8. Geben Sie im Feld "Copilot-Eingabe" Sind basierend auf den Richtlinien, die ich derzeit erstellt habe, irgendwelche Lücken vorhanden? ein und überprüfen Sie die bereitgestellte Antwort.

Verwenden Sie diese Erkenntnisse, um zu verstehen, wie Ihre aktuellen DLP-Richtlinien verteilt werden und ob sie den Datenschutzanforderungen Ihrer Organisation entsprechen. Überprüfen Sie die Ergebnisse, um alle Möglichkeiten zur Verbesserung der Abdeckung zu identifizieren.

Aufgabe: Untersuchen von Warnungen zur Verhinderung von Datenverlust mithilfe von Security Copilot

In dieser Aufgabe verwenden Sie Security Copilot, um eine DLP-Warnung zu untersuchen und Benutzeraktivitäten und vertrauliche Informationen zu untersuchen, die an der Warnung beteiligt sind. Sie erkunden verschiedene Ansichten, die im Warnungsbereich verfügbar sind, und verwenden vordefinierte Copilot-Eingabeaufforderungen, um Ihre Untersuchung zu leiten.

  1. Wechseln Sie im Microsoft Purview-Portal zu Lösungen> fürBenachrichtigungen zur> Datenverlust.

  2. Scrollen Sie durch die Warnungsliste, und wählen Sie die Warnung für die DLP-Richtlinieneinstimmung für das Dokument "POS-Leavers_0325.xlsx" auf einem Gerät aus.

  3. Wenn die Warnung geöffnet wird:

    1. Überprüfen Sie die Registerkarten für Details, Ereignisse und Benutzeraktivitätszusammenfassungen.

  4. Auf der Registerkarte Details:

    1. Überprüfen Sie die Warnungsdetails.
    2. Wählen Sie unten auf der Registerkarte Zusammenfassen>Benachrichtigung zusammenfassen aus.
    3. Überprüfen Sie die generierte Zusammenfassung im Copilot-Bereich.

  5. Wählen Sie im Copilot-Bereich die Eingabeaufforderung Welche Aktivität wurde an den Daten in diesem Alarm ausgeführt? aus, und überprüfen Sie die Antwort.

  6. Wählen Sie als Nächstes die Eingabeaufforderung " Beschreiben der vertraulichen Informationen, Dateibezeichnungen oder Daten aus, die diese Warnung auslösen , und überprüfen Sie die Ergebnisse.

  7. Zurück auf der Registerkarte "Details ":

    1. Wählen Sie Zusammenfassen>Benutzeraktivität zusammenfassen aus, um eine Zusammenfassung der zugehörigen Benutzeraktionen zu generieren.

  8. Im Copilot-Bereich:

    1. Wählen Sie "Wichtige Aktionen anzeigen" aus, die der Benutzer in den letzten 10 Tagen ausgeführt hat.
    2. Überprüfen Sie die Benutzeraktivität für einen breiteren Kontext.

  9. Wechseln Sie zur Registerkarte "Ereignisse ", und zeigen Sie die Datei an, die die Warnung ausgelöst hat.

  10. Wechseln Sie zur Registerkarte Zusammenfassung der Benutzeraktivität.

    1. Scrollen Sie durch, um alle verwandten Insider-Risikoaktivitäten anzuzeigen.

Verwenden Sie diese Informationen, um ein klareres Bild davon zu erstellen, was die Warnung ausgelöst hat, wie vertrauliche Daten behandelt wurden und ob das Benutzerverhalten weitere Überprüfungen vorschlägt.

Aufgabe: Untersuchen von eDiscovery-Fällen und Erstellen einer Abfrage mithilfe von Security Copilot

In dieser Aufgabe erfahren Sie, wie Security Copilot die Falluntersuchung und Abfrageerstellung in Microsoft Purview eDiscovery unterstützt. Beginnen Sie, indem Sie eine Fallzusammenfassung überprüfen und dann eine benutzerdefinierte Suche erstellen, um Dateien zu suchen, die als vertraulich und extern freigegeben sind.

In diesem Szenario unterstützen Sie einen Fall, der die mögliche Gefährdung vertraulicher Daten untersucht. Im Rahmen einer ersten Überprüfung werden dem Fall bereits mehrere Suchvorgänge hinzugefügt. Ihre Rolle besteht darin, Security Copilot zu verwenden, um Falldetails zusammenzufassen, Aktivitäten zu analysieren und eine gezieltere Suche zu erstellen.

  1. Wechseln Sie im Microsoft Purview-Portal zu "Lösungen>eDiscovery-Fälle>".

  2. Wählen Sie auf der Seite "Fälle " die Option " Ermittlung vertraulicher Informationen" aus.

  3. Wählen Sie oben auf der Fallseite "Diesen Fall zusammenfassen" aus.

  4. Der Bereich "Security Copilot" wird mit einer Zusammenfassung des Falls geöffnet. Überprüfen Sie den generierten Inhalt.

  5. Wählen Sie im Bereich "Copilot" die vordefinierten Eingabeaufforderungen aus:

    1. Wie viele Aufbewahrungsrichtlinien in diesem Fall weisen Fehler auf?
    2. Welche Aufbewahrungsrichtlinien in diesem Fall weisen Fehler auf?

  6. Basierend auf der Fallzusammenfassung und aktuellen Erkenntnissen werden Sie aufgefordert, nach vertraulichen Dateien zu suchen, die extern freigegeben werden können. Um diesen Teil der Untersuchung zu beginnen, wählen Sie die Schaltfläche " Suche erstellen " aus.

  7. Benennen Sie die Suche "Vertrauliche Datensuche", und wählen Sie dann " Erstellen" aus.

  8. Wählen Sie auf der Seite "Suchen " unter der Abfrageeingabe " Entwurf einer Abfrage" mit Copilot aus.

  9. Erkunden Sie die verfügbaren Optionen im Copilot-Promptbook:

    1. Wählen Sie "Eingabeaufforderungen anzeigen" aus, und wählen Sie dann "Alle E-Mails suchen" aus, die das Budget und die Finanzen enthalten und Anlagen enthalten. Wählen Sie "KeyQL generieren " aus, um anzuzeigen, wie die Abfrage erstellt wird.
    2. Wiederholen Sie diesen Vorgang, um alle Chats im Monat Januar 2020 zu durchsuchen, die das Wort "Geschäftsjahr" enthalten.
    3. Wiederholen Sie diesen Vorgang für den Suchbefehl Dateien vom Typ .docx, die die Wörter Vertraulich und Budget enthalten, zu finden.

  10. Geben Sie im Abfrageeingabefeld "Nach Dateien suchen" ein, die als vertraulich gekennzeichnet sind, die für externe Benutzer freigegeben wurden.

  11. Wählen Sie "KeyQL generieren " aus, um die Eingabeaufforderung in eine Abfrage zu konvertieren.

Nachdem Ihre Abfrage generiert wurde, können Sie die Untersuchung fortsetzen, indem Sie die Suchergebnisse überprüfen. Identifizieren Sie Dateien, die Ihren Kriterien entsprechen, und bestimmen Sie, ob sie einem Prüfdateisatz hinzugefügt oder zur weiteren Prüfung exportiert werden müssen.

Diese Aufgabe zeigt, wie Security Copilot Ihren Untersuchungsprozess unterstützen kann, indem wichtige Details zusammengefasst und relevante Aufforderungen angeboten werden. Sie hilft auch beim Erstellen von Suchvorgängen, die den Umfang des Falls widerspiegeln.

Überprüfen

In dieser Übung haben Sie Security Copilot verwendet, um Untersuchungen in Microsoft Purview zu unterstützen. Sie haben Insider-Risikowarnungen überprüft, DLP-Richtlinien und -Warnungen untersucht und mit einem eDiscovery-Fall gearbeitet.

Jede Aufgabe hat gezeigt, wie Copilot Informationen zusammenfassen, Muster identifizieren und die nächsten Schritte führen kann. Sie haben integrierte Eingabeaufforderungen und Eingaben in natürlicher Sprache verwendet, um ihre Untersuchung zu konzentrieren und relevanten Kontext zu sammeln.

Diese Aktionen spiegeln wider, wie Copilot bei allgemeinen Aufgaben über Datensicherheits- und Compliance-Workflows hinweg unterstützen kann.