Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El flujo de trabajo de Investigaciones de seguridad de datos (versión preliminar) le ayuda a identificar, investigar y tomar medidas rápidamente sobre los datos asociados a incidentes de seguridad y vulneración de datos. Este flujo de trabajo no es un proceso lineal. Incluye requisitos de iteración significativos para varios de los pasos para ajustar las búsquedas, la recopilación de pruebas, la clasificación y la investigación mediante la inteligencia artificial y las actividades.
La identificación y la realización de acciones en los datos y el acceso usa el siguiente flujo de trabajo:
Paso 1: Identificar y escalar incidentes
Identificación de un incidente de seguridad de datos
Las infracciones de datos y otros incidentes de seguridad de datos requieren una acción rápida para identificar y contener posibles riesgos para su organización. Es fundamental que identifique rápidamente estos incidentes y optimice una respuesta integrada. Investigar un incidente de seguridad de datos puede ser desalentador. Puede incluir flujos de trabajo ineficaces en varias herramientas, trabajo manual y complejidad adicional a medida que crece el tamaño de la investigación. Podría enfrentarse a revisiones intensivas de la mano de obra de los datos afectados y al aumento de los costos.
Investigaciones de seguridad de datos (versión preliminar) le ayuda a investigar y mitigar incidentes de seguridad de datos y acelera el tiempo de resolución. Después de identificar un incidente de seguridad de datos, cree una nueva investigación para permitir que el equipo de seguridad de datos identifique los datos relacionados con incidentes, realice un análisis profundo del contenido y mitigue el riesgo dentro de una solución unificada.
Escalado de un incidente de seguridad de datos de Microsoft Defender XDR
Si ya usa Microsoft Defender XDR en su organización, la integración con Investigaciones de seguridad de datos (versión preliminar) le permite crear rápida y sin problemas una nueva investigación. La investigación incluye automáticamente todos los elementos de datos relacionados con incidentes del nodo Defender XDR incidente.
Escalado de un incidente de seguridad de datos de Insider Risk Management
Si ya usa Insider Risk Management en su organización, la integración con Investigaciones de seguridad de datos (versión preliminar) le permite crear rápidamente una nueva investigación para las actividades de usuario de riesgo identificadas.
Escalar a partir de una información en Administración de postura de seguridad de datos (versión preliminar)
Si ya usa Administración de postura de seguridad de datos (versión preliminar) en su organización, la integración con Investigaciones de seguridad de datos (versión preliminar) le permite crear rápidamente una nueva investigación a partir de posibles conclusiones y conclusiones de filtración de datos.
Paso 2: Creación de una investigación y búsqueda de datos afectados
La creación de una investigación en Investigaciones de seguridad de datos (versión preliminar) es rápida y sencilla. En función del escenario, puede crear investigaciones a partir de:
- Microsoft Defender XDR incidentes: cree una investigación a partir de un incidente de Defender XDR.
- Administración de riesgos internos de Microsoft Purview casos: cree una investigación a partir de Insider Risk Management.
- Manualmente con el modo de borrador completo: cree una investigación mediante la opción de modo de borrador completo para configurar orígenes de datos y condiciones de búsqueda específicos.
Paso 3: Búsqueda, evaluación de resultados y revisión
Después de crear una investigación, puede revisar y actualizar orígenes de datos. Use herramientas de búsqueda para identificar elementos relacionados con el incidente de seguridad de datos. Esta revisión incluye elementos de los siguientes servicios de Microsoft 365:
| Origen de datos | Tipo de contenido buscado | Ejemplos de contenido de riesgo |
|---|---|---|
| Exchange en línea | Correos electrónicos y datos adjuntos en buzones de usuario | Credenciales o secretos enviados por correo electrónico, archivos confidenciales compartidos externamente. |
| Microsoft Copilot | Solicitudes y respuestas de IA | Información confidencial en las solicitudes de Copilot o IA. |
| Microsoft Teams | Mensajes de chat (1:1 y chats grupales) y publicaciones de canal | Secretos incluidos en los chats, información confidencial en las conversaciones de Teams. |
| OneDrive | Archivos de usuario | Archivos de usuario con claves de acceso seguras, exportación de bases de datos, etc. |
| SharePoint | Documentos y archivos en sitios | Documentos que contienen contraseñas, datos de clientes o planes confidenciales. |
Puede crear y ejecutar búsquedas diferentes asociadas a una investigación. Use condiciones (como palabras clave, tipos de archivo, incidentes, etc.) en el generador de consultas para crear consultas de búsqueda personalizadas que devuelvan resultados con los datos más probables relevantes para el incidente de seguridad de datos.
Paso 4: Agregar datos al ámbito de investigación
Después de revisar y refinar la consulta de búsqueda, agregue todos los elementos de datos pertinentes al ámbito de la investigación. En este paso, filtrará y revisará elementos de datos específicos. También identifica los elementos que no desea revisar con las herramientas de inteligencia artificial en Investigaciones de seguridad de datos (versión preliminar).
Paso 5(a): Investigar elementos
Después de agregar elementos de datos al ámbito de investigación, empiece a refinar y restringir los datos a los elementos más relevantes para la investigación. El estrechamiento de los elementos a la menor cantidad de datos aplicables ayuda a aumentar la velocidad y reducir los costos asociados con el procesamiento de inteligencia artificial.
En este paso, realice las siguientes acciones:
- Seleccione elementos específicos para agregar directamente al plan de mitigación si procede.
- Identificar o excluir elementos específicos del procesamiento de inteligencia artificial.
- Prepare los datos para el procesamiento de inteligencia artificial. Vectorice todos los elementos no excluidos para habilitar búsquedas semánticas y categorización de datos.
Paso 5(b): Investigar con inteligencia artificial
Después de preparar los elementos de datos para el procesamiento de inteligencia artificial y completar el procesamiento, empiece a usar herramientas relacionadas con la inteligencia artificial para ayudar a restringir el foco de la investigación a solo los elementos más impactantes y críticos.
Use las siguientes herramientas y acciones en la revisión para identificar y realizar acciones en elementos de datos específicos:
- Use la búsqueda vectorial de consultas de lenguaje natural para identificar elementos para su revisión.
- Use Buscar con inteligencia artificial (versión preliminar) con consultas de lenguaje natural y palabras clave para resumir los resultados de la búsqueda para su revisión.
- Defina y configure categorías controladas por inteligencia artificial para el contenido.
- Use áreas de examen integradas para los elementos seleccionados.
- Seleccione los elementos que se van a agregar al plan de mitigación.
Importante
Las consideraciones de costo de capacidad de almacenamiento e inteligencia artificial están asociadas con el uso de cada una de las herramientas de inteligencia artificial en Investigaciones de seguridad de datos (versión preliminar). Para obtener más información, vea Modelos de facturación en Investigaciones de seguridad de datos (versión preliminar) y Usar análisis de inteligencia artificial en Investigaciones de seguridad de datos (versión preliminar).
Paso 5(c): Investigar con el gráfico de riesgo de datos (versión preliminar)
Después de preparar los elementos de datos para el procesamiento de inteligencia artificial y completar el procesamiento, use el gráfico de riesgo de datos para una experiencia de investigación visual que combine los datos de activos y actividades en una sola vista. Esta vista le ayuda a identificar los nodos y las relaciones de los usuarios, sitios y elementos de datos relacionados con el incidente de seguridad.
Para más información, vea:
Más información sobre Microsoft Sentinel en Microsoft Purview (versión preliminar)Gráfico de riesgo de datos en Investigaciones de seguridad de datos (versión preliminar)
Paso 6: Realizar acciones para mitigar
Después de identificar los elementos más relevantes e impactantes asociados con el incidente de seguridad de datos, realice acciones específicas para ayudar a mitigar los riesgos.
- Revisar recomendaciones de mitigación: al seleccionar elementos para el examen y elegir Mitigación como área de enfoque, la solución crea recomendaciones de mitigación. El procesamiento automatizado de inteligencia artificial identifica las amenazas relacionadas y recomienda los pasos de mitigación.
- Revisar exámenes de credenciales: al seleccionar elementos para el examen y elegir Credenciales como área de enfoque, la solución identifica las credenciales y otros exámenes de recursos de acceso. El procesamiento de análisis de inteligencia artificial identifica y genera automáticamente detalles de credenciales, tipos y recomendaciones específicas.
- Revisar los exámenes de riesgo: al seleccionar elementos para el examen y elegir Riesgos como área de enfoque, la solución crea automáticamente una puntuación y un examen de riesgo de seguridad. La puntuación de riesgo le ayuda a priorizar las acciones de mitigación para los elementos de datos más impactantes y de riesgo.
- Usar el plan de mitigación: después de revisar los exámenes y las recomendaciones, agregue elementos de datos específicos del ámbito de investigación al plan de mitigación. Este plan le ayuda a administrar y realizar un seguimiento del estado de mitigación de cada elemento de datos.
Procedimientos recomendados
- Iterar y usar el análisis de inteligencia artificial con prudencia: las investigaciones rara vez terminan en un solo paso. Use las sugerencias de inteligencia artificial en la categorización y la búsqueda de vectores para descubrir problemas ocultos. Valide siempre los hallazgos críticos con los ojos humanos. El juicio del investigador es clave en la toma de decisiones críticas.
- Mantener el ámbito de investigación centrado: es fácil saturarse a medida que detecta más datos. Use la categorización para excluir información irrelevante y concentrarse principalmente en cualquier elemento de riesgo.
- Engage los equipos adecuados de la organización en un primer momento: los incidentes de seguridad de datos suelen abarcar varias áreas. Estas áreas pueden incluir seguridad, TI y cumplimiento en su organización. Comparta con los equipos asociados en cuanto identifique las áreas que necesitan acción.
- Usar servicios de Microsoft integrados: Investigaciones de seguridad de datos (versión preliminar) forma parte del ecosistema más amplio de Microsoft Purview y Defender. Si la investigación sugiere un riesgo interno, abra un caso de Administración de riesgos internos. Si se inició a partir de una alerta de Microsoft Defender XDR, actualice ese incidente con sus conclusiones. El objetivo es una vista completa del incidente en la organización.