Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le workflow Enquêtes sur la sécurité des données (préversion) vous permet d’identifier, d’examiner et d’agir rapidement sur les données associées aux incidents de sécurité et de violation de données. Ce flux de travail n’est pas un processus linéaire. Il inclut des exigences d’itération importantes pour plusieurs étapes permettant d’affiner les recherches, la collecte de preuves, la classification et l’investigation à l’aide de l’IA et des activités.
L’identification et l’action sur les données et l’accès utilisent le flux de travail suivant :
Étape 1 : Identifier et remonter les incidents
Identifier un incident de sécurité des données
Les violations de données et autres incidents de sécurité des données nécessitent une action rapide pour identifier et contenir les risques potentiels pour vos organization. Il est essentiel d’identifier rapidement ces incidents et de rationaliser une réponse intégrée. L’examen d’un incident de sécurité des données peut être intimidant. Il peut s’agir de flux de travail inefficaces sur plusieurs outils, d’un travail manuel et d’une complexité supplémentaire à mesure que la taille de l’investigation augmente. Vous pouvez être confronté à des examens gourmands en main-d’œuvre des données impactées et des coûts accrus.
Enquêtes sur la sécurité des données (préversion) vous permet d’examiner et d’atténuer les incidents de sécurité des données et d’accélérer le délai de résolution. Après avoir identifié un incident de sécurité des données, vous créez une nouvelle enquête pour permettre à votre équipe de sécurité des données d’identifier les données liées aux incidents, d’effectuer une analyse approfondie du contenu et d’atténuer les risques au sein d’une solution unifiée.
Escalader un incident de sécurité des données à partir de Microsoft Defender XDR
Si vous utilisez déjà Microsoft Defender XDR dans votre organization, l’intégration à Enquêtes sur la sécurité des données (préversion) vous permet de créer rapidement et en toute transparence une nouvelle investigation. L’investigation inclut automatiquement tous les éléments de données liés aux incidents du nœud d’incident Defender XDR.
Faire remonter un incident de sécurité des données à partir de la gestion des risques internes
Si vous utilisez déjà La gestion des risques internes dans votre organization, l’intégration à Enquêtes sur la sécurité des données (préversion) vous permet de créer rapidement une nouvelle investigation pour les activités des utilisateurs à risque identifiées.
Escalade à partir d’un insight dans Gestion de la posture de sécurité des données (préversion)
Si vous utilisez déjà Gestion de la posture de sécurité des données (préversion) dans votre organization, l’intégration à Enquêtes sur la sécurité des données (préversion) vous permet de créer rapidement une nouvelle investigation à partir de découvertes et d’insights potentiels d’exfiltration de données.
Étape 2 : Créer une investigation et rechercher les données impactées
La création d’une investigation dans Enquêtes sur la sécurité des données (préversion) est rapide et facile. Selon votre scénario, vous pouvez créer des investigations à partir de :
- Microsoft Defender XDR incidents : créez une investigation à partir d’un incident Defender XDR.
- Gestion des risques internes Microsoft Purview cas : créez une enquête à partir de la gestion des risques internes.
- Manuellement avec le mode brouillon complet : créez une investigation à l’aide de l’option de mode brouillon complet pour configurer des sources de données et des conditions de recherche spécifiques.
Étape 3 : Rechercher, évaluer les résultats et passer en revue
Après avoir créé une investigation, vous pouvez examiner et mettre à jour les sources de données. Utilisez les outils de recherche pour identifier les éléments liés à l’incident de sécurité des données. Cette révision inclut des éléments des services Microsoft 365 suivants :
| Source de données | Type de contenu recherché | Exemples de contenu à risque |
|---|---|---|
| Exchange Online | E-mails et pièces jointes dans les boîtes aux lettres utilisateur | Informations d’identification ou secrets envoyés dans un e-mail, fichiers sensibles partagés en externe. |
| Microsoft Copilot | Invites et réponses ia | Données sensibles dans Copilot ou les invites IA. |
| Microsoft Teams | Messages de conversation (1:1 et conversations de groupe) et messages de canal | Secrets inclus dans les conversations, informations confidentielles dans les conversations Teams. |
| OneDrive | Fichiers utilisateur | Fichiers utilisateur avec des clés d’accès sécurisées, exportation de bases de données, etc. |
| SharePoint | Documents et fichiers dans les sites | Documents contenant des mots de passe, des données client ou des plans confidentiels. |
Vous pouvez créer et exécuter différentes recherches associées à une investigation. Utilisez des conditions (telles que des mots clés, des types de fichiers, des incidents, etc.) dans le générateur de requêtes pour créer des requêtes de recherche personnalisées qui retournent des résultats avec les données les plus susceptibles d’être pertinentes pour l’incident de sécurité des données.
Étape 4 : Ajouter des données à l’étendue d’investigation
Après avoir examiné et affiné votre requête de recherche, ajoutez tous les éléments de données pertinents à l’étendue d’investigation. Dans cette étape, vous filtrez et passez en revue des éléments de données spécifiques. Vous identifiez également les éléments que vous ne souhaitez pas examiner avec les outils IA dans Enquêtes sur la sécurité des données (préversion).
Étape 5(a) : Examiner les éléments
Après avoir ajouté des éléments de données à l’étendue d’investigation, commencez à affiner et à restreindre les données aux éléments les plus pertinents pour votre investigation. Le fait de limiter les éléments à la plus petite quantité de données applicables permet d’augmenter la vitesse et de réduire les coûts associés au traitement de l’IA.
Dans cette étape, effectuez les actions suivantes :
- Sélectionnez des éléments spécifiques à ajouter directement à votre plan d’atténuation , le cas échéant.
- Identifier ou exclure des éléments spécifiques du traitement de l’IA.
- Préparez les données pour le traitement de l’IA. Vectoriser tous les éléments non exclus pour activer les recherches sémantiques et la catégorisation des données.
Étape 5(b) : Examiner avec l’IA
Après avoir préparé les éléments de données pour le traitement de l’IA et terminé le traitement, commencez à utiliser des outils liés à l’IA pour vous aider à limiter le focus de votre investigation aux éléments les plus importants et les plus importants.
Utilisez les outils et actions suivants dans votre révision pour identifier et prendre des mesures sur des éléments de données spécifiques :
- Utilisez la recherche vectorielle pour les requêtes en langage naturel pour identifier les éléments à réviser.
- Utilisez Rechercher avec l’IA (préversion) avec des requêtes et des mots clés en langage naturel pour résumer les résultats de la recherche à réviser.
- Définissez et configurez des catégories pilotées par l’IA pour le contenu.
- Utilisez des zones d’examen intégrées pour les éléments sélectionnés.
- Sélectionnez les éléments à ajouter au plan d’atténuation.
Importante
Les considérations relatives aux coûts de capacité de stockage et d’IA sont associées à l’utilisation de chacun des outils IA dans Enquêtes sur la sécurité des données (préversion). Pour plus d’informations, consultez Modèles de facturation dans Enquêtes sur la sécurité des données (préversion) et Utiliser l’analyse IA dans Enquêtes sur la sécurité des données (préversion) .
Étape 5(c) : Examiner avec le graphe des risques de données (préversion)
Après avoir préparé les éléments de données pour le traitement de l’IA et terminé le traitement, utilisez le graphe des risques de données pour une expérience d’investigation visuelle qui combine les données des ressources et des activités dans une seule vue. Cette vue vous permet d’identifier les nœuds et les relations pour les utilisateurs, les sites et les éléments de données liés à l’incident de sécurité.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
En savoir plus sur les Microsoft Sentinel dans Microsoft Purview (préversion)Graphe des risques liés aux données dans Enquêtes sur la sécurité des données (préversion)
Étape 6 : Prendre des mesures pour atténuer
Après avoir identifié les éléments les plus pertinents et les plus impactants associés à l’incident de sécurité des données, prenez des mesures spécifiques pour atténuer les risques.
- Passez en revue les recommandations d’atténuation : lorsque vous sélectionnez des éléments à examiner et que vous choisissez Atténuation comme domaine d’intérêt, la solution crée des recommandations d’atténuation. Le traitement automatisé de l’IA identifie les menaces associées et recommande des étapes d’atténuation.
- Passer en revue les examens de justificatifs : lorsque vous sélectionnez des éléments pour l’examen et que vous choisissez Informations d’identification comme zone d’intérêt, la solution identifie les informations d’identification et d’autres examens de ressources d’accès. Le traitement de l’analyse IA identifie et génère automatiquement les détails des informations d’identification, le type et les recommandations spécifiques.
- Passer en revue les examens à risque : lorsque vous sélectionnez des éléments à examiner et que vous choisissez Risques comme domaine d’intérêt, la solution crée automatiquement un score de risque de sécurité et un examen. Le score de risque vous aide à hiérarchiser les actions d’atténuation pour les éléments de données les plus percutants et les plus risqués.
- Utiliser le plan d’atténuation : après avoir examiné les examens et les recommandations, ajoutez des éléments de données spécifiques de l’étendue d’investigation au plan d’atténuation. Ce plan vous aide à gérer et à suivre les status d’atténuation pour chaque élément de données.
Meilleures pratiques
- Itérer et utiliser l’analyse IA à bon escient : les investigations se terminent rarement en une seule étape. Utilisez les suggestions d’IA dans la catégorisation et larecherche vectorielle pour découvrir les problèmes cachés. Validez toujours les résultats critiques avec les yeux humains. Le jugement de l’enquêteur est essentiel à la prise de décision critique.
- Gardez l’étendue de l’investigation au focus : il est facile d’être submergé à mesure que vous découvrez des données supplémentaires. Utilisez la catégorisation pour exclure les informations non pertinentes et vous concentrer principalement sur les éléments à risque.
- Engage les équipes appropriées dans votre organization tôt : les incidents de sécurité des données couvrent souvent plusieurs domaines. Ces domaines peuvent inclure la sécurité, l’informatique et la conformité dans votre organization. Partagez avec les équipes partenaires dès que vous identifiez les domaines nécessitant une action.
- Utiliser les services Microsoft intégrés : Enquêtes sur la sécurité des données (préversion) fait partie de l’écosystème Microsoft Purview et Defender plus large. Si votre enquête suggère un risque interne, ouvrez un cas de gestion des risques internes . S’il a démarré à partir d’une alerte Microsoft Defender XDR, mettez à jour cet incident avec vos résultats. L’objectif est une vue de bout en bout de l’incident dans votre organization.