Examiner les examens des justificatifs dans Enquêtes sur la sécurité des données (préversion)

Comprendre comment les informations d’identification et les autres informations d’accès aux ressources sont associées à un incident de sécurité des données est une partie importante de l’identification et de l’atténuation des risques.

Par exemple, si vous découvrez des informations d’identification dans des données impactées associées à l’incident de sécurité des données, un administrateur Microsoft Entra de votre organization peut rejoindre l’enquête, afficher en toute sécurité les informations d’identification extraites et effectuer les étapes suivantes nécessaires pour réinitialiser les comptes. Vous pouvez également utiliser les apprentissages d’investigation pour affiner les stratégies de gestion de compte existantes afin de renforcer les pratiques de sécurité de votre organization.

Analyser les données pour les informations d’identification et d’accès aux ressources

Effectuez les étapes suivantes pour identifier les informations d’identification et les données d’accès aux ressources dans les éléments inclus dans l’étendue d’investigation :

1. Accédez au portail Microsoft Purview et connectez-vous en utilisant les informations d’identification d’un compte d’utilisateur affecté Enquêtes sur la sécurité des données autorisations (préversion).
2. Sélectionnez la solution Enquêtes sur la sécurité des données (préversion) carte, puis sélectionnez Investigations dans la navigation de gauche.
3. Sélectionnez une investigation, puis Analyse dans la barre de navigation.
4. Utilisez des outils de recherche vectorielle ou de catégorisation pour identifier les données pour l’examen des informations d’identification.
5. Sélectionnez un ou plusieurs éléments, puis examinez dans la barre de commandes.
6. Dans la boîte de dialogue Examiner avec l’IA , entrez le nom de votre processus d’examen dans le champ Nom de la tâche .
7. Entrez une description pour le processus d’examen dans le champ Description de la tâche .
8. Sélectionner les informations d’identification : extrayez les informations d’identification et accédez aux ressources dans les éléments sélectionnés dans le champ Choisir une zone de focus .
9. Sélectionnez Examiner pour démarrer l’analyse IA.

Examens de justificatifs

Une fois le traitement par IA terminé pour les éléments de données sélectionnés, vous pouvez passer en revue les examens des informations d’identification pour identifier les informations d’identification et les détails d’accès aux ressources pour chaque élément.

Les examens de justificatifs incluent les informations suivantes pour chaque élément :

• Objet/Titre : objet ou titre de l’élément de données.
• Informations d’identification extraites : détails des informations d’identification incluses dans l’élément de données. Ces informations incluent les noms d’utilisateur, les mots de passe et bien plus encore.
• Type d’informations d’identification : type d’informations d’identification. Peut inclure des informations d’identification utilisateur, des jetons d’API, des codes de sauvegarde MFA, etc.
• Extrait de code environnant : valeurs de texte ou de chaîne entourant les détails des informations d’identification. Ces informations permettent de déterminer le contexte dans lequel les informations d’identification sont utilisées dans l’élément de données.
• Processus de réflexion : résumé du raisonnement sur la raison pour laquelle les informations d’identification associées à l’élément sont importantes.
• Erreurs : résumé des erreurs de traitement rencontrées lors de l’exécution du processus IA.

Exemple d’examen des justificatifs

La sortie de l’examen peut être un résumé ou une annotation pour chaque élément identifié. L’examen met en évidence des phrases ou des éléments de données dans le contenu qui sont probablement sensibles.

Par exemple, l’examen peut se réinituler Dans le fichier X, l’IA a trouvé ce qui ressemble à 10 mots de passe utilisateur et 5 clés API dans un document. Ou, pour un e-mail, Email Y contient une conversation sur le partage des informations d’identification de base de données. Ce résumé vous évite de lire manuellement chaque ligne pour chaque élément et vous aide à trier le contenu à risque très rapidement. Voici un exemple de sortie d’examen approfondi pour un élément présentant un risque d’informations d’identification :

Un élément avec des mots de passe en texte clair peut être marqué comme Critical risk: Credentials exposed étant par le système. Ces examens sont importants, ils s’alignent sur ce qu’un analyste humain considère comme grave et incluent également des explications.

Vous devez également effectuer les actions suivantes :

• Vérifier manuellement les détails critiques : pendant que le processus d’examen effectue le gros travail, vous devez vérifier manuellement les éléments les plus critiques. Si un mot de passe spécifique est identifié dans un document, ouvrez le document pour confirmer le contexte. Vous devez vérifier qu’il s’agit d’un mot de passe actif réel et de son mot de passe. Par instance, la chaîne P@ssw0rd123 peut être identifiée et étiquetée en tant que mot de passe. Mais en ouvrant le fichier, vous vérifiez qu’il se trouve dans une table intitulée Informations d’identification VPN et non dans le contenu uniquement en tant qu’exemple d’espace réservé. Cela confirme qu’il est exploitable et vous donne les informations nécessaires pour agir.
• Étendre la portée : parfois, les examens révèlent de nouveaux indices qui nécessitent d’extraire davantage de données. Par exemple, vous découvrez des références à un nom de projet ou à un compte d’utilisateur que vous n’avez pas recherché initialement. Vous devez envisager une autre recherche pour le projet ou le compte d’utilisateur pour voir s’il existe des éléments connexes. Une recherche vectorielle du nom du projet peut trouver des fichiers associés qui n’ont pas explicitement mention mots de passe, mais qui sont liés à l’incident de sécurité.