Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Comprender cómo se asocian las credenciales y otra información de acceso a recursos con un incidente de seguridad de datos es una parte importante de la identificación y mitigación de los riesgos.
Por ejemplo, si detecta credenciales dentro de los datos afectados asociados al incidente de seguridad de datos, un administrador de Microsoft Entra de su organización puede unirse a la investigación, ver de forma segura las credenciales extraídas y realizar los pasos siguientes necesarios para restablecer las cuentas. También puede usar aprendizajes de investigación para refinar las directivas de administración de cuentas existentes para reforzar las prácticas de seguridad de su organización.
Análisis de datos de credenciales e información de acceso a recursos
Complete los pasos siguientes para identificar las credenciales y los datos de acceso a recursos en los elementos incluidos en el ámbito de la investigación:
Importante
Debe preparar los datos para el análisis de inteligencia artificial antes de configurar los exámenes.
- Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de una cuenta de usuario asignada Investigaciones de seguridad de datos (versión preliminar).
- Seleccione la tarjeta de solución Investigaciones de seguridad de datos (versión preliminar) y, a continuación, seleccione Investigaciones en la navegación izquierda.
- Seleccione una investigación y, a continuación, seleccione Análisis en la barra de navegación.
- Use herramientas de categorización o búsqueda de vectores para identificar los datos para el examen de credenciales.
- Seleccione uno o varios elementos y, a continuación, seleccione Examinar en la barra de comandos.
- En el cuadro de diálogo Examinar con IA , escriba el nombre del proceso de examen en el campo Nombre del trabajo.
- Escriba una descripción para el proceso de examen en el campo Descripción del trabajo .
- Seleccione Credenciales: Extraer credenciales y acceder a los recursos de los elementos seleccionados en el campo Elegir un área de enfoque .
- Seleccione Examinar para iniciar el análisis de IA.
Nota:
Las estimaciones de tiempo para que se complete el proceso se basan en la cantidad y el tamaño de los datos seleccionados. Para reducir el tiempo de procesamiento, filtre y excluya los datos no aplicables a la investigación.
Exámenes de credenciales
Una vez completado el procesamiento de inteligencia artificial para los elementos de datos seleccionados, puede revisar los exámenes de credenciales para identificar los detalles de acceso a credenciales y recursos de cada elemento.
Los exámenes de credenciales incluyen la siguiente información para cada elemento:
- Sujeto o título: el sujeto o el título del elemento de datos.
- Credenciales extraídas: los detalles de credenciales incluidos en el elemento de datos. Esta información incluye nombres de usuario, contraseñas y mucho más.
- Tipo de credencial: tipo de credencial. Puede incluir credenciales de usuario, tokens de API, códigos de copia de seguridad de MFA, etc.
- Fragmento de código circundante: los valores de texto o cadena que rodean los detalles de la credencial. Esta información ayuda a determinar el contexto en el que se usa la credencial en el elemento de datos.
- Proceso de pensamiento: un resumen del razonamiento sobre por qué las credenciales asociadas al elemento son importantes.
- Errores: resumen de los errores de procesamiento detectados cuando se ejecuta el proceso de inteligencia artificial.
Ejemplo de examen de credenciales
La salida del examen puede ser un resumen o una anotación para cada elemento identificado. El examen resalta oraciones o fragmentos de datos en el contenido que probablemente sean confidenciales.
Por ejemplo, el examen podría volver a presentarse en el archivo X, la inteligencia artificial encontró lo que parece 10 contraseñas de usuario y 5 claves de API en un documento. O bien, para un correo electrónico, Email Y contiene una conversación sobre el uso compartido de credenciales de base de datos. Este resumen le permite leer manualmente cada línea de cada elemento y le ayuda a evaluar el contenido de riesgo muy rápidamente. Este es un ejemplo de una salida de examen profundo para un elemento con riesgo de credencial:
| Archivo | Cadena | Tipo | Valor extraído | Análisis |
|---|---|---|---|---|
| EV-1.docx | T9!vX3p@7qLz | LoosePassword | T9!vX3p@7qLz | La cadena coincide con un patrón de contraseña típico, con mayúsculas, minúsculas, números y caracteres especiales. No hay otros indicadores, por lo que se clasifica como .LoosePassword |
Un elemento con contraseñas de texto no cifrado podría etiquetarse como Critical risk: Credentials exposed por el sistema. Estos exámenes son importantes, se alinean con lo que un analista humano consideraría grave y también incluyen explicaciones.
También debe realizar las siguientes acciones:
-
Comprobar manualmente los detalles críticos: aunque el proceso de examen realiza la elevación pesada, debe comprobar manualmente las piezas más críticas. Si se identifica una contraseña específica en un documento, abra el documento para confirmar el contexto. Debe comprobar que es una contraseña activa real y cuya contraseña es. Por ejemplo, la cadena
P@ssw0rd123podría identificarse y se etiqueta como contraseña. Pero al abrir el archivo, se comprueba que está en una tabla denominada Credenciales de VPN y no en el contenido solo como marcador de posición de ejemplo. Esto confirma que es accionable y le proporciona la información necesaria para actuar. - Expandir el ámbito: en ocasiones, los exámenes revelan nuevas pistas que requieren la extracción de más datos. Por ejemplo, se detectan referencias a un nombre de proyecto o a una cuenta de usuario que no ha buscado inicialmente. Debe considerar otra búsqueda para el proyecto o la cuenta de usuario para ver si hay elementos relacionados. Una búsqueda vectorial del nombre del proyecto podría encontrar archivos relacionados que no mencionan explícitamente contraseñas, pero que están relacionados con el incidente de seguridad.