Découvrir les fonctionnalités de Copilot dans Microsoft Purview

  • 30 minutes

Microsoft Security Copilot est accessible au sein des solutions de sécurité et de conformité des données de Microsoft Purview, notamment la protection contre la perte de données (DLP), la gestion des risques internes, la Conformité des communications et eDiscovery (Premium).

Dans cet exercice, vous explorez les capacités de Copilot à résumer, disponibles dans chacune de ces solutions. Vous commencez par vérifier que le plug-in Microsoft Purview est activé.

Remarque

L’environnement de cet exercice est une simulation générée à partir du produit. En tant que simulation limitée, les liens d’une page peuvent ne pas être activés et les entrées textuelles qui se trouvent en dehors du script spécifié peuvent ne pas être prises en charge. Un message contextuel s’affiche indiquant « Cette fonctionnalité n’est pas disponible dans la simulation ». Quand ce message apparaît, sélectionnez OK et passez aux étapes suivantes de l’exercice.

Capture d’écran d’une fenêtre contextuelle indiquant que cette fonctionnalité n’est pas disponible dans la simulation.

Exercice

Pour cet exercice, vous êtes connecté en tant qu’Avery Howard. Vous disposez du rôle de propriétaire Copilot et des autorisations de rôle spécifiques requises pour accéder à chacune des solutions Microsoft Purview utilisées dans cet exercice.

Vous travaillez avec des solutions Microsoft Purview spécifiques, à l’aide du nouveau portail Microsoft Purview et accédez aux fonctionnalités copilotes incorporées de ces solutions.

Cet exercice devrait prendre environ 30 minutes.

Remarque

Lorsqu’une instruction de labo nécessite l’ouverture d’un lien dans l’environnement simulé, il est recommandé d’ouvrir le lien dans une nouvelle fenêtre de navigateur afin de voir simultanément les instructions et l’environnement de l’exercice. Pour ce faire, cliquez avec le bouton droit de la souris et sélectionnez l’option adaptée.

Tâche : Activer le plug-in Microsoft Purview

Dans cette tâche, vous activez le plug-in Microsoft Purview. Pour cette tâche, vous travaillez dans l’expérience autonome.

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Microsoft Security Copilot.

  2. Sur la page d’accueil Microsoft Security Copilot, sélectionnez l’icône Sourcesicône des sources dans la barre de requête.

    1. Dans la fenêtre de gestion des sources, sous les plug-ins Microsoft, sélectionnez Afficher 11 autres.
    2. Défilez vers le bas pour que le plug-in Microsoft Purview soit visible.
    3. Sélectionnez l’icône Informationscapture d’écran de l’icône d’informations. Notez les instructions puis fermez la page des plug-ins en sélectionnant le X en haut à droite de la fenêtre gérer les sources.

  3. Sélectionnez le menu accueilcapture d’écran de l’icône du menu d’accueil, souvent appelé icône hamburger.

    1. Sélectionnez Paramètres du plug-in.
    2. Activez le bouton bascule en regard de Autoriser Security Copilot à accéder aux données de vos services Microsoft 365.
    3. Revenez à la page d’accueil de Copilot, en sélectionnant Microsoft Security Copilot en haut à gauche de la page en regard de l’icône de menu d’accueil (hamburger).

  4. Maintenant que Copilot est activé pour accéder aux données de vos services Microsoft 365, revenez à la page des plug-ins et activez le plug-in Microsoft Purview.

    1. Dans la barre d’invite, sélectionnez l’icône de sources.
    2. Dans la fenêtre gérer les sources, sous les plug-ins Microsoft, sélectionnez Afficher 13 autres.
    3. Activez le bouton bascule en regard de Microsoft Purview pour activer le plug-in.
    4. Fermez la fenêtre de gestion des sources en sélectionnant le X.

Tâche : Examiner l’activité à risque à l’aide de Security Copilot

Pour cette tâche et toutes les tâches suivantes, vous explorez la fonctionnalité Copilot incorporée dans Microsoft Purview.

Dans cette tâche, vous examinez une alerte liée à l’exfiltration potentielle des données. Vous commencez par passer en revue l’alerte manuellement pour identifier les indicateurs de risque clés, puis utilisez Security Copilot pour accélérer votre investigation. En particulier, vous recherchez l’activité de fichier liée à EmployeeInfo_EDM.csv, qui contient des informations sensibles sur les employés et a été impliquée dans des événements d’exfiltration.

Microsoft Copilot présume des autorisations de l’utilisateur lorsqu’il tente d’accéder aux données pour répondre aux requêtes. Pour accéder aux données associées à la solution Microsoft Purview Insider Risk Management, l’utilisateur Copilot doit avoir un rôle approprié.

  1. Ouvrez l’environnement en sélectionnant ce lien : Portail Microsoft Purview.

  2. Dans le portail Microsoft Purview, Solutions>Gestion des risques internes>Alertes.

  3. Sélectionnez la première alerte dans la liste avec l’ID d’alerte ad18a3a1.

  4. Passez en revue l’alerte :

    1. Vérifiez le nom de l’alerte, la stratégie associée, la gravité et le score de risque. Vérifiez quand l’alerte a été déclenchée et pourquoi.
    2. Sélectionnez Afficher tous les détails pour afficher le profil utilisateur, y compris l’appartenance au groupe et l’état de priorité. Fermez ensuite le panneau.
    3. Dans l’onglet Tous les facteurs de risque , examinez l’activité d’exfiltration, l’activité de séquence, le contenu prioritaire et les types d’informations sensibles.
    4. Sélectionnez l’onglet Explorateur d’activités et examinez les événements clés autour de la date d’alerte.
    5. Utilisez l’onglet Activité utilisateur pour passer en revue les modèles dans le comportement de l’utilisateur dans un intervalle de temps plus large.

  5. Utilisez Security Copilot pour guider une révision plus approfondie :

    1. Dans la page d’alerte, sélectionnez Résumer pour générer un résumé rapide de l’alerte et le comportement récent de l’utilisateur.
    2. Dans le volet Copilot, sélectionnez l’invite prédéfinie Résumer les 30 derniers jours d’activité de l’utilisateur.
    3. Lorsque le résumé se charge, passez en revue la réponse, puis sélectionnez Afficher l’activité pour ouvrir la vue d’activité utilisateur complète.
    4. Dans le volet gauche, sélectionnez Activités inhabituelles.
    5. Étendez la première activité de la séquence répertoriée pour le 25 février 2025.
    6. Sélectionnez le lien 2 événements pour afficher les actions incluses dans cette séquence.
    7. Recherchez l’entrée pour EmployeeInfo_EDM.csv. Développez les détails et passez en revue les actions associées pour ce fichier.

Tâche : Passer en revue les insights de stratégie de protection contre la perte de données à l’aide de Security Copilot

Pour cette tâche, vous allez découvrir comment Security Copilot peut aider à identifier les points forts et les lacunes de votre couverture de stratégie de protection contre la perte de données (DLP).

Dans les environnements volumineux, il peut être difficile d’évaluer rapidement si les stratégies existantes fournissent la couverture nécessaire entre les emplacements, les types de données et les limites organisationnelles. Security Copilot peut exposer des insights et vous aider à concentrer votre attention sur l’endroit le plus important.

  1. Dans le portail Microsoft Purview, accédez à Solutions>prévention de la perte de données>Politiques.

  2. Faites défiler la liste des stratégies DLP pour avoir un aperçu du nombre de stratégies et de leur nom. Celles-ci peuvent représenter différents emplacements, classifications ou unités commerciales.

  3. Sélectionnez Copilot>Obtenir des insights sur les stratégies existantes.

  4. Lorsque le volet Copilot de sécurité s’ouvre, passez en revue les insights généraux affichés par défaut.

  5. Explorez chaque catégorie d’insights :

    1. Sélectionnez Insights par emplacement, puis choisissez Exchange. Révisez les analyses affichées.
    2. Répétez ce processus pour point de terminaison.
    3. Sélectionnez Insights par unités administratives et passez en revue les résultats.
    4. Sélectionnez Insights par classification des données et passez en revue les résultats.

  6. En bas du volet Copilot, sélectionnez l’invite prédéfinie Quels types d’informations sensibles protégez-nous avec ces stratégies DLP et passez en revue les résultats.

  7. Dans le volet Copilot, sélectionnez l’invite prédéfinie Que cette stratégie DLP s’applique-t-elle à tous les utilisateurs de mon organisation ? et passez en revue les résultats.

  8. Dans le champ d’entrée Copilot, tapez Existe-t-il des lacunes en fonction des stratégies que j’ai créées actuellement ? et passez en revue la réponse fournie.

Utilisez ces insights pour comprendre comment vos stratégies DLP actuelles sont distribuées et si elles s’alignent sur les besoins de protection des données de votre organisation. Passez en revue les résultats pour identifier les possibilités d’améliorer la couverture.

Tâche : Examiner les alertes de protection contre la perte de données à l’aide de Security Copilot

Dans cette tâche, vous utilisez Security Copilot pour examiner une alerte DLP et examiner l’activité des utilisateurs et les informations sensibles impliquées dans l’alerte. Vous explorez différentes vues disponibles dans le volet d’alerte et utilisez des invites Copilot prédéfinies pour guider votre investigation.

  1. Dans le portail Microsoft Purview, accédez à Solutions>Protection contre la perte de données>Alertes.

  2. Faites défiler la liste des alertes et sélectionnez l’alerte pour l'application de la politique DLP concernant le document « POS-Leavers_0325.xlsx » sur un appareil.

  3. Lorsque l’alerte s’ouvre :

    1. Passez en revue les onglets Pour plus d’informations, d’événements et de résumé de l’activité utilisateur.

  4. Sous l’onglet Détails :

    1. Passez en revue les détails de l’alerte.
    2. En bas de l’onglet, sélectionnez Résumer>Résumer l’alerte.
    3. Passez en revue le résumé généré dans le volet Copilot.

  5. Dans le volet Copilot, sélectionnez l'invite Quelles activités ont été effectuées sur les données dans cette alerte ?, puis passez en revue la réponse.

  6. Ensuite, sélectionnez l’invite Décrire les informations sensibles, les étiquettes de fichiers ou les données qui déclenchent cette alerte et passez en revue les résultats.

  7. Retour sous l’onglet Détails :

    1. Sélectionnez Résumer>l’activité utilisateur pour générer un résumé des actions utilisateur associées.

  8. Dans le volet Copilot :

    1. Sélectionnez Afficher les actions clés effectuées par l’utilisateur au cours des 10 derniers jours.
    2. Passez en revue l’activité de l’utilisateur pour obtenir un contexte plus large.

  9. Accédez à l’onglet Événements et affichez le fichier qui a déclenché l’alerte.

  10. Accédez à l’onglet Résumé de l’activité utilisateur :

    1. Faites défiler jusqu’à afficher toutes les activités liées aux risques internes.

Utilisez ces informations pour créer une image plus claire de ce qui a déclenché l’alerte, comment les données sensibles ont été gérées et si le comportement de l’utilisateur suggère une révision supplémentaire est nécessaire.

Tâche : examiner les cas eDiscovery et générer une requête à l’aide de Security Copilot

Dans cette tâche, vous allez découvrir comment Security Copilot prend en charge l’investigation de cas et la création de requêtes dans Microsoft Purview eDiscovery. Vous commencez par passer en revue un résumé de cas, puis créez une recherche personnalisée pour localiser les fichiers étiquetés comme confidentiels et partagés en externe.

Dans ce scénario, vous participez à une enquête sur l’exposition possible des données confidentielles. Plusieurs recherches sont déjà ajoutées au dossier dans le cadre d'une révision initiale. Votre rôle consiste à utiliser Security Copilot pour résumer les détails du cas, analyser l’activité et créer une recherche plus ciblée.

  1. Dans le portail Microsoft Purview, accédez à Solutions>eDiscovery>Cases.

  2. Dans la page Cas , sélectionnez Découverte d’informations sensibles.

  3. En haut de la page de cas, sélectionnez Résumer ce cas.

  4. Le volet Sécurité Copilot s’ouvre avec un résumé du cas. Examinez le contenu généré.

  5. Dans le volet Copilot, sélectionnez les invites prédéfinies :

    1. Combien de stratégies de conservation dans ce cas ont des erreurs ?
    2. Quelles stratégies d’attente dans ce cas ont des erreurs ?

  6. En fonction du résumé de cas et des résultats actuels, vous êtes invité à rechercher des fichiers confidentiels qui peuvent être partagés en externe. Pour commencer cette partie de l’enquête, sélectionnez le bouton Créer une recherche .

  7. Nommez la recherche de données confidentielles, puis sélectionnez Créer.

  8. Dans la page Rechercher , sous l’entrée de requête, sélectionnez Brouillon d’une requête avec Copilot.

  9. Explorez les options disponibles dans le livre de suggestions de Copilot :

    1. Sélectionnez Afficher les invites, puis sélectionnez Trouver tous les e-mails contenant les mots budget et finance et ayant des pièces jointes. Sélectionnez Générer KeyQL pour afficher la façon dont la requête est générée.
    2. Répétez ce processus pour rechercher toutes les conversations dans le mois de janvier 2020 qui contiennent le mot « exercice financier ».
    3. Répétez ce processus pour l’invite Recherche des fichiers de type .docx qui contiennent les mots « confidentiel » et « budget ».

  10. Dans la zone d’entrée de requête, tapez Rechercher des fichiers marqués comme confidentiels qui ont été partagés avec des utilisateurs externes.

  11. Sélectionnez Générer keyQL pour convertir l’invite en requête.

Une fois votre requête générée, vous pouvez poursuivre l’investigation en examinant les résultats de la recherche. Identifiez les fichiers qui correspondent à vos critères et déterminent s’ils doivent être ajoutés à un ensemble de révision ou exportés pour un examen approfondi.

Cette tâche montre comment Security Copilot peut prendre en charge votre processus d’enquête en récapitulé les détails clés et en offrant des invites pertinentes. Il permet également de construire des recherches qui reflètent l’étendue du cas.

Revue

Dans cet exercice, vous avez utilisé Security Copilot pour prendre en charge les enquêtes dans Microsoft Purview. Vous avez examiné les alertes à risque internes, exploré les stratégies et alertes DLP, et travaillé avec un cas eDiscovery.

Chaque tâche a montré comment Copilot peut résumer les informations, identifier les modèles et guider les étapes suivantes. Vous avez utilisé des suggestions intégrées et une saisie en langage naturel pour concentrer votre enquête et recueillir le contexte pertinent.

Ces actions reflètent la façon dont Copilot peut aider à effectuer des tâches courantes dans les flux de travail de sécurité et de conformité des données.