Compartir a través de

Realizar acciones de mitigación en Investigaciones de seguridad de datos

Investigaciones de seguridad de datos proporciona varias características que le ayudarán a mitigar rápidamente el impacto de los incidentes de seguridad de datos en su organización.

Plan de titulación

El plan de mitigación le ayuda a conectar el análisis a acciones de mitigación específicas de las herramientas de examen y las revisiones de analistas. El plan de mitigación es como una lista de tareas pendientes que puede usar para ayudar a administrar y realizar un seguimiento de las acciones de mitigación de riesgos de datos en la investigación. Este plan ayuda a los analistas a centralizar todos los elementos que requieren atención o acción para mitigar los riesgos asociados con la investigación y el incidente de seguridad de datos.

Con el plan de mitigación, realice las siguientes acciones:

  • Priorizar por nivel de riesgo: solucione inmediatamente cualquier cosa que pueda provocar una infracción de seguridad activa si no se corrige.

  • Marcar elementos para el seguimiento: use el plan de mitigación para realizar un seguimiento de las actividades de seguimiento.

  • Consulte o implique a las partes interesadas pertinentes: asegúrese de que el plan aborde las responsabilidades de las siguientes áreas:

    • Credenciales: identifique quién restablece las credenciales y cuándo.
    • Exposición de datos: identifique quién quita los vínculos de uso compartido externo o mueve los archivos a una ubicación segura.
    • Educación o aplicación del usuario: identifique quién sigue las medidas de formación o disciplinarias.
    • Investigación adicional: identifique quién es responsable de cualquier elemento que sugiera un problema de seguridad mayor en su organización.

Panel del plan de mitigación

El plan de mitigación muestra todos los elementos que agrega al plan de mitigación en la investigación. Con esta vista, puede ver rápidamente todos los elementos que necesitan acción en la investigación, el estado de cada elemento y otra información importante sobre cada elemento del plan.

  • Nombre: el firmante o el título del elemento de datos.
  • Tipo: tipo de archivo del elemento de datos.
  • Descripción: la descripción del elemento de datos.
  • Estado: estado actual del elemento de datos. Los valores incluyen En curso o Completo.
  • Última modificación por: nombre del analista o investigador que actualizó por última vez información sobre el elemento de datos.
  • Última actualización (UTC):fecha y hora de la hora universal coordinada (UTC) que el elemento de datos se actualizó por última vez.

Seleccione Personalizar columnas para personalizar las columnas mostradas y el orden de las columnas en el plan de mitigación. Elija las columnas que se van a mostrar u ocultar. Seleccione Agregar filtro y elija un filtro disponible para filtrar los elementos del plan de mitigación.

Seleccione Descargar lista para crear un archivo .csv que contenga la lista de elementos de datos y la información de columna del plan de mitigación.

Vista detallada del elemento

Los analistas pueden ver detalles sobre cada elemento de datos incluido en el plan de mitigación como parte del proceso de revisión y evaluación. Después de seleccionar un elemento de datos, hay disponible un resumen de elemento y visores para que el analista vea metadatos, el origen y otra información.

Actualizar el estado del elemento

A medida que revise los elementos de datos y trabaje para mitigar los riesgos de cada elemento de datos, administre el estado actual de cada elemento. Actualice el estado de los elementos individuales o actualice de forma masiva el estado de varios elementos de datos.

Para actualizar el estado de un elemento de datos, siga estos pasos:

  1. Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de una cuenta de usuario asignada Investigaciones de seguridad de datos permisos.
  2. Seleccione la tarjeta Investigaciones de seguridad de datos solución y, a continuación, seleccione Investigaciones en el panel de navegación izquierdo.
  3. Seleccione una investigación y, después, mitigación.
  4. Seleccione uno o varios elementos de datos en el plan de mitigación.
  5. Seleccione Actualizar estado y, a continuación, seleccione el estado aplicable.

También puede cambiar el estado de un elemento de datos desde la vista de detalles del elemento. En la vista detallada de un elemento, seleccione Completar para cambiar el estado del elemento de datos.

Implementación del plan de mitigación

Para implementar el plan de mitigación, siga estos pasos de mitigación:

  • Revocar o cambiar las credenciales inmediatamente: para cada contraseña o secreto expuesto, asegúrese de que el propietario responsable la restablece. Esta acción puede implicar forzar el restablecimiento de contraseña para las cuentas de usuario, eliminar o volver a generar claves de acceso o cambiar las credenciales de la cuenta de servicio.

  • Contener la exposición de datos: si los archivos eran accesibles públicamente o para demasiadas personas, bloquee los permisos inmediatamente. Quite el acceso de invitado externo en sitios de SharePoint si se ha compartido un archivo confidencial. Si se envió un correo electrónico con secretos externamente, póngase en contacto con el destinatario para eliminarlo (si procede) o use la recuperación de mensajes si es posible.

  • Corregir documentos: en el caso de los archivos que no deben contener cierta información, decida si desea eliminarlos, redactarlos o protegerlos. A menudo, se recomienda quitar el contenido confidencial del origen (o cifrarlo). Considere la posibilidad de aplicar etiquetas de confidencialidad o directivas de prevención de pérdida de datos para evitar que los archivos se compartan de nuevo.

  • Seguimiento de actividades e información: use la escala de tiempo de actividad de los elementos. Esta información podría identificar las actividades de usuario relacionadas. Compruebe si hay algún comportamiento de usuario de riesgo en curso y si es posible que se justifique una investigación adicional de ese usuario.

  • Documente todas las acciones: en el historial de actividad, se registran todas las acciones de búsqueda, análisis y mitigación. Esta información es útil para la auditoría y la revisión posterior a incidentes. Asegúrese de que el registro muestra que se abordan todos los elementos de riesgo.

  • Comunicar y resolver el incidente: actualice todas las partes interesadas sobre lo siguiente:

    • Confirme que los agujeros críticos (credenciales, vínculos públicos y otras vulnerabilidades) están cerrados.
    • Si es necesario, prepare las notificaciones externas. Por ejemplo, informar a los clientes de una vulneración de datos e informar a los reguladores aplicables.
    • Realice un informe con todas las partes interesadas. Las conclusiones y las lecciones aprendidas se pueden usar para mejorar las directivas y evitar incidentes futuros.

Purga (versión preliminar)

Investigaciones de seguridad de datos ahora incluye la nueva característica de purga (versión preliminar) para ayudarle a identificar y eliminar de forma permanente elementos de la organización. Esta necesidad puede incluir la identificación de elementos asociados con información altamente confidencial o confidencial sobre proyectos financieros, de marketing o de ventas, u otra propiedad propietaria. Mediante el uso de la funcionalidad de búsqueda integrada para las investigaciones, los investigadores pueden crear rápidamente una nueva consulta de búsqueda y guardarla como una consulta de purga que puede revisar y ejecutar siempre que sea necesario. La consulta de purga elimina permanentemente todos los elementos incluidos en los resultados de la consulta de todas las ubicaciones de origen de la organización.

Se le cobra en función del procesamiento necesario para purgar el volumen de datos que da como resultado la consulta de búsqueda y usa la nueva unidad de proceso Investigaciones de seguridad de datos. Para obtener más información sobre la unidad de proceso, vea Facturación en Investigaciones de seguridad de datos.

Panel de la cola de purga

La cola purga muestra todas las consultas de purga guardadas en la investigación. Con esta vista, puede ver rápidamente todas las consultas de purga de la investigación, el estado de cada consulta y otra información importante sobre cada consulta de la cola.

  • Nombre: nombre de la consulta de purga.
  • Estado: estado actual de la consulta de purga. Entre los valores se incluyen No iniciado, En curso, Error o Completo.
  • Agregado por: el nombre del investigador que agregó la consulta de purga.
  • Fecha agregada (UTC):fecha y hora en hora universal coordinada (UTC) que la consulta de purga se agregó a la cola de purga.

Seleccione Personalizar columnas para personalizar las columnas mostradas y el orden de las columnas de la cola de purga. Elija las columnas que se van a mostrar u ocultar. Seleccione Agregar filtro y elija un filtro disponible para filtrar los elementos de la cola de purga.

Seleccione Descargar lista para crear un archivo .csv que contenga la lista de elementos de datos y la información de columna de la cola de purga.

Purgar elementos específicos

Para purgar elementos específicos de la organización, siga estos pasos:

  1. Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de una cuenta de usuario asignada Investigaciones de seguridad de datos permisos.
  2. Seleccione la tarjeta de solución Investigaciones de seguridad de datos y, a continuación, seleccione Investigaciones en el panel de navegación izquierdo.
  3. Seleccione una investigación o seleccione Crear investigación para crear una nueva investigación.
  4. En la pestaña Buscar , seleccione los orígenes de datos que contienen los elementos que desea purgar.

Importante

Actualmente, solo los elementos de los buzones de Exchange y Microsoft Teams admiten la purga. Al seleccionar sitios de SharePoint o cuentas de OneDrive, se deshabilitan las acciones de purga.

  1. Cree una búsqueda para identificar los elementos que desea purgar y, a continuación, seleccione Revisar estimaciones.
  2. En la página Revisar estimaciones , compruebe que los elementos devueltos en las estimaciones se alinean con los elementos que desea purgar. Puede purgar hasta 1000 elementos por búsqueda.

Si necesita editar la búsqueda, seleccione Buscar y actualice las condiciones de la búsqueda. Para ver los detalles de las coincidencias de búsqueda, seleccione los puntos suspensivos y Ver ejemplos o seleccione Agregar al ámbito.

Importante

Si agrega elementos a un ámbito de investigación, se agrega una copia de los elementos a la cuenta de almacenamiento de Azure asociada a Investigaciones de seguridad de datos de la organización. La ejecución de la consulta de purga en la cola purgada quita los elementos de todas sus ubicaciones de origen actuales, pero no del ámbito de investigación de Investigaciones de seguridad de datos. Para quitar todos los elementos de Investigaciones de seguridad de datos, elimine la investigación.

  1. Seleccione Guardar para purgar y escriba un nombre único para la consulta de purga en el campo Nombre de consulta.
  2. Seleccione Guardar para guardar la consulta y agregarla a la cola de purga.

Importante

Este paso solo guarda la consulta como una consulta de purga. No se purga ningún elemento durante este paso.

  1. En la pestaña Mitigación de la investigación, se le dirigirá automáticamente al panel Purgar cola .
  2. Seleccione la consulta de purga que desea ejecutar.
  3. En la página de detalles de la consulta de purga, revise los detalles de la consulta y seleccione Ejecutar.
  4. En el cuadro de diálogo de confirmación de la consulta de purga, seleccione Eliminar permanentemente.
  5. Para ver el estado de la consulta de purga, seleccione la pestaña Actividades .

Una vez completada la purga, puede descargar un informe como un archivo .zip que incluye información de elemento, ubicación, configuración e resumen sobre los elementos purgados.

  • Last updated on