Explorar las funcionalidades de Copilot en Microsoft Purview

  • 30 minutos

Microsoft Security Copilot es accesible en las soluciones de seguridad y cumplimiento de datos de Microsoft Purview, incluyendo la prevención de pérdida de datos (DLP), la administración de riesgos internos, el Cumplimiento de comunicaciones y eDiscovery (Premium).

En este ejercicio, explorará las funcionalidades de resumen de Copilot disponibles en cada una de estas soluciones. Para empezar, compruebe que el complemento de Microsoft Purview está habilitado.

Nota

El entorno de este ejercicio es una simulación generada a partir del producto. Como simulación limitada, es posible que los vínculos de una página no estén habilitados y que no se admita entradas basadas en texto que se encuentran fuera del script especificado. Se mostrará el siguiente mensaje emergente: "Esta característica no está disponible en la simulación". Cuando aparezca este mensaje, seleccione Aceptar y continúe con los pasos del ejercicio.

Recorte de la pantalla emergente que indica que esta característica no está disponible en la simulación.

Ejercicio

Para este ejercicio, ha iniciado sesión como Avery Howard. Tiene el rol propietario de Copilot y los permisos de rol específicos necesarios para acceder a cada una de las soluciones de Microsoft Purview que se usan en este ejercicio.

Trabaja con soluciones específicas de Microsoft Purview, utilizando el nuevo portal de Microsoft Purview, y accede a las capacidades integradas de Copilot de dichas soluciones.

Este ejercicio debería tardar en completarse 30 minutos aproximadamente.

Nota

Cuando una instrucción de laboratorio llama para abrir un vínculo al entorno simulado, se recomienda abrir el vínculo en una nueva ventana del explorador para poder ver simultáneamente las instrucciones y el entorno del ejercicio. Para ello, pulse la tecla derecha del mouse y seleccione la opción.

Tarea: Habilitar el complemento de Microsoft Purview

En esta tarea, habilitará el complemento de Microsoft Purview. Para esta tarea, trabajará en la experiencia independiente.

  1. Para abrir el entorno simulado, seleccione este vínculo: Microsoft Security Copilot.

  2. En la página de aterrizaje de Microsoft Security Copilot, seleccione el icono de orígenesicono de orígenes en la barra de indicaciones.

    1. En la ventana Administrar orígenes, en los complementos de Microsoft, seleccione Mostrar 11 más.
    2. Desplácese hacia abajo hasta que vea el complemento de Microsoft Purview.
    3. Seleccione el icono de informacióncaptura de pantalla del icono de información. Anote las instrucciones y cierre la página de complementos seleccionando la X en la esquina superior derecha de la ventana Administrar orígenes.

  3. Seleccione el menú Iniciocaptura de pantalla del icono del menú Inicio, a menudo denominado icono de hamburguesa.

    1. Seleccione Configuración del complemento.
    2. Habilite el botón de alternancia situado junto a Permitir que Security Copilot acceda a los datos de los servicios de Microsoft 365.
    3. Vuelva a la página principal de Copilot. Para ello, seleccione Microsoft Security Copilot en la parte superior izquierda de la página que está junto al icono de menú principal (o de hamburguesa).

  4. Ahora que Copilot está habilitado para acceder a los datos de los servicios de Microsoft 365, vuelva a la página de complementos y habilite el complemento de Microsoft Purview.

    1. En la barra de indicaciones, seleccione el icono Orígenes.
    2. En la ventana Administrar orígenes, en los complementos de Microsoft, seleccione Mostrar 13 más.
    3. Habilite el modificador de alternancia junto a Microsoft Purview para habilitar el complemento.
    4. Cierre la ventana Administrar orígenes seleccionando la X.

Tarea: Investigar la actividad de riesgo mediante Security Copilot

Para esta y todas las tareas posteriores, explorará la funcionalidad de Copilot insertada en Microsoft Purview.

En esta tarea, investigará una alerta relacionada con la posible filtración de datos. Para empezar, revise manualmente la alerta para identificar indicadores clave de riesgo y, a continuación, use Security Copilot para acelerar la investigación. En concreto, busca la actividad de archivos relacionada con EmployeeInfo_EDM.csv, que contiene información confidencial de los empleados y participaba en eventos de filtración.

Microsoft Copilot asume los permisos del usuario cuando intenta acceder a los datos para responder a las consultas. Para acceder a los datos asociados a la solución Microsoft Purview Insider Risk Management, el usuario de Copilot debe tener asignado un rol adecuado.

  1. Para abrir el entorno, seleccione este vínculo: Microsoft Purview portal.

  2. En el portal de Microsoft Purview, Soluciones>Administración de riesgos internos>Alertas.

  3. Seleccione la primera alerta de la lista con el identificador de alerta ad18a3a1.

  4. Revise la alerta:

    1. Compruebe el nombre de la alerta, la directiva asociada, la gravedad y la puntuación de riesgo. Revise cuándo se desencadenó la alerta y por qué.
    2. Seleccione Ver todos los detalles para ver el perfil de usuario, incluida la pertenencia a grupos y el estado de prioridad. A continuación, cierre el panel.
    3. En la pestaña Todos los factores de riesgo , examine la actividad de filtración, la actividad de secuencia, el contenido de prioridad y los tipos de información confidencial.
    4. Seleccione la pestaña Explorador de actividades y examine los eventos clave en torno a la fecha de alerta.
    5. Use la pestaña Actividad de usuario para revisar patrones en el comportamiento del usuario en un intervalo de tiempo más amplio.

  5. Use Security Copilot para guiar una revisión más profunda:

    1. En la página de alertas, seleccione Resumir para generar un resumen rápido de la alerta y el comportamiento reciente del usuario.
    2. En el panel Copilot, seleccione el mensaje predefinido Resumir los últimos 30 días de actividad del usuario.
    3. Cuando se cargue el resumen, revise la respuesta y, a continuación, seleccione Ver actividad para abrir la vista de actividad de usuario completa.
    4. En el panel izquierdo, seleccione Actividades inusuales.
    5. Expanda la primera actividad de secuencia enumerada para el 25 de febrero de 2025.
    6. Seleccione el vínculo 2 eventos para ver las acciones incluidas en esa secuencia.
    7. Busque la entrada de EmployeeInfo_EDM.csv. Expanda los detalles y revise las acciones asociadas para este archivo.

Tarea: Revisión de la información de directivas de prevención de pérdida de datos mediante Security Copilot

Para esta tarea, explorará cómo Security Copilot puede ayudar a identificar puntos fuertes y brechas en la cobertura de la directiva de prevención de pérdida de datos (DLP).

En entornos grandes, puede ser difícil evaluar rápidamente si las directivas existentes proporcionan la cobertura necesaria entre ubicaciones, tipos de datos y límites organizativos. Security Copilot puede exponer información y ayudarle a centrar su atención donde más importa.

  1. En el portal de Microsoft Purview, vaya a Soluciones>Prevención de pérdida de datos>Directivas.

  2. Desplácese por la lista de directivas DLP para obtener una idea de cuántas directivas existen y cómo se denominan. Pueden representar ubicaciones, clasificaciones o unidades de negocio diferentes.

  3. Seleccione Copilot>Obtener información sobre las directivas existentes.

  4. Cuando se abra el panel Copilot de seguridad, revise la información general que se muestra de forma predeterminada.

  5. Explora cada categoría de perspectivas.

    1. Seleccione Insights by location (Conclusiones por ubicación) y, a continuación, elija Exchange. Revise la información que se muestra.
    2. Repita este proceso para Punto de conexión.
    3. Seleccione Insights by Administrative units (Conclusiones por unidades administrativas) y revise los resultados.
    4. Seleccione Insights by Classification of data (Información por clasificación de datos ) y revise los resultados.

  6. En la parte inferior del panel Copilot, seleccione el mensaje predefinido ¿Qué tipos de información confidencial protegemos con estas directivas DLP? y revise los resultados.

  7. En el panel Copilot, seleccione el mensaje predefinido ¿Esta directiva DLP se aplica a todos los usuarios de mi organización? y revise los resultados.

  8. En el campo de entrada de Copilot, escriba ¿Hay lagunas basadas en las directivas que he creado actualmente? y revise la respuesta proporcionada.

Use estas conclusiones para comprender cómo se distribuyen las directivas DLP actuales y si se alinean con las necesidades de protección de datos de su organización. Revise los resultados para identificar las oportunidades para mejorar la cobertura.

Tarea: Investigar las alertas de prevención de pérdida de datos mediante Security Copilot

En esta tarea, usará Security Copilot para investigar una alerta DLP y examinar la actividad del usuario y la información confidencial implicada en la alerta. Explore las distintas vistas disponibles en el panel de alertas y use las indicaciones predefinidas de Copilot para guiar su investigación.

  1. En el portal de Microsoft Purview, vaya a Soluciones>alertas de> de pérdida de datos.

  2. Desplácese por la lista de alertas y seleccione la alerta de coincidencia de directiva DLP para el documento "POS-Leavers_0325.xlsx" en un dispositivo.

  3. Cuando se abra la alerta:

    1. Revise las pestañas de Resumen de detalles, eventos y actividad de usuario.

  4. Haga clic en la pestaña Detalles:

    1. Revise los detalles de la alerta.
    2. En la parte inferior de la pestaña, seleccione Resumir>Resumir alerta.
    3. Revise el resumen generado en el panel Copilot.

  5. En el panel Copilot, seleccione el mensaje ¿Qué actividad se realizó en los datos de esta alerta? y revise la respuesta.

  6. A continuación, seleccione el mensaje Describir la información confidencial, las etiquetas de archivo o los datos que desencadenan esta alerta y revise los resultados.

  7. De nuevo en la pestaña Detalles :

    1. Seleccione Resumir la actividad del> generar un resumen de las acciones de usuario relacionadas.

  8. En el panel Copilot:

    1. Seleccione Mostrar acciones clave realizadas por el usuario en los últimos 10 días.
    2. Revise la actividad del usuario para obtener un contexto más amplio.

  9. Vaya a la pestaña Eventos y vea el archivo que desencadenó la alerta.

  10. Vaya a la pestaña Resumen de actividad de usuario :

    1. Desplácese para ver las actividades de riesgo interno relacionadas.

Use esta información para crear una imagen más clara de lo que desencadenó la alerta, cómo se controlaron los datos confidenciales y si se necesita una revisión adicional del comportamiento del usuario.

Tarea: Investigar casos de eDiscovery y crear una consulta mediante Security Copilot

En esta tarea, exploras cómo Security Copilot apoya la investigación de casos y la creación de consultas en Microsoft Purview eDiscovery. Para empezar, revise un resumen de casos y cree una búsqueda personalizada para buscar archivos etiquetados como confidenciales y compartidos externamente.

En este escenario, estás ayudando con un caso que investiga la posible exposición de datos confidenciales. Ya se han agregado varias búsquedas al caso como parte de una revisión inicial. Su rol es usar Security Copilot para ayudar a resumir los detalles del caso, analizar la actividad y crear una búsqueda más específica.

  1. En el portal de Microsoft Purview, vaya a Soluciones>eDiscovery>Casos.

  2. En la página Casos , seleccione Detección de información confidencial.

  3. En la parte superior de la página del caso, seleccione Resumir este caso.

  4. Se abre el panel Security Copilot con un resumen del caso. Revisar el contenido generado.

  5. En el panel Copilot, seleccione las indicaciones predefinidas:

    1. ¿Cuántas directivas de retención en este caso tienen errores?
    2. ¿Qué directivas de suspensión en este caso tienen errores?

  6. En función del resumen de casos y de los resultados actuales, se le pedirá que busque archivos confidenciales que puedan compartirse externamente. Para comenzar esta parte de la investigación, seleccione el botón Crear una búsqueda .

  7. Asigne un nombre a la búsqueda De datos confidenciales y, a continuación, seleccione Crear.

  8. En la página Buscar , en la entrada de consulta, seleccione Borrador de una consulta con Copilot.

  9. Explore las opciones disponibles en el promptbook de Copilot:

    1. Seleccione Ver avisos y, después, buscar todos los correos electrónicos que contengan las palabras presupuesto y finanzas y tener datos adjuntos. Seleccione Generar claveQL para ver cómo se compila la consulta.
    2. Repita este proceso para solicitar buscar todos los chats en el mes de enero de 2020 que contengan la palabra "año financiero".
    3. Repita este proceso para solicitar Buscar archivos de tipo .docx que contengan las palabras confidenciales y presupuestarias.

  10. En el cuadro de entrada de consulta, escriba Buscar archivos marcados como confidenciales compartidos con usuarios externos.

  11. Seleccione Generar KeyQL para convertir la solicitud en una consulta.

Una vez generada la consulta, puede continuar la investigación revisando los resultados de la búsqueda. Identifique los archivos que coincidan con sus criterios y determine si deben agregarse a un conjunto de revisión o exportarse para su posterior examen.

Esta tarea muestra cómo Security Copilot puede apoyar el proceso de investigación mediante el resumen de detalles clave y ofrecer avisos pertinentes. También ayuda a crear búsquedas que reflejen el ámbito del caso.

Revisar

En este ejercicio, usaste Security Copilot para apoyar investigaciones en Microsoft Purview. Ha revisado las alertas de riesgo interno, ha explorado las directivas y alertas de DLP y ha trabajado con un caso de eDiscovery.

Cada tarea mostró cómo Copilot puede ayudar a resumir información, identificar patrones y guiar los pasos siguientes. Ha usado mensajes integrados y entradas de lenguaje natural para centrar la investigación y recopilar el contexto pertinente.

Estas acciones reflejan cómo Copilot puede ayudar con tareas comunes en los flujos de trabajo de cumplimiento y seguridad de datos.