次の方法で共有

データ セキュリティ調査で資格情報の検査を確認する (プレビュー)

資格情報やその他の資産アクセス情報がデータ セキュリティ インシデントとどのように関連付けるかを理解することは、リスクの特定と軽減の重要な部分です。

たとえば、データ セキュリティ インシデントに関連付けられている影響を受けるデータ内の資格情報を検出した場合、organizationのMicrosoft Entra管理者が調査に参加し、抽出された資格情報を安全に表示し、アカウントをリセットするために必要な次の手順を実行できます。 また、調査学習を使用して、既存のアカウント管理ポリシーを調整して、organizationのセキュリティ プラクティスを強化することもできます。

資格情報と資産アクセス情報のデータを分析する

調査スコープに含まれる項目の資格情報と資産アクセス データを識別するには、次の手順を実行します。

重要

調査を構成する前 に、AI 分析用のデータを準備 する必要があります。

  1. Microsoft Purview ポータルに移動し、データ セキュリティ調査 (プレビュー) アクセス許可が割り当てられているユーザー アカウントの資格情報を使用してサインインします。
  2. データ セキュリティ調査 (プレビュー) ソリューション カードを選択し、左側のナビゲーションで [調査] を選択します。
  3. 調査を選択し、ナビゲーション バーの [分析 ] を選択します。
  4. ベクター検索または分類ツールを使用して、資格情報の調査用のデータを識別します。
  5. 1 つ以上の項目を選択し、コマンド バーで [確認 ] を選択します。
  6. [ AI で調べる ] ダイアログで、[ ジョブ名 ] フィールドに検査プロセスの名前を入力します。
  7. [ジョブの説明] フィールドに、検査プロセスの 説明 を入力します。
  8. [資格情報の選択]: [フォーカス領域の選択] フィールドで、選択した項目の資格情報を抽出し、資産にアクセスします。
  9. [ 調査] を選択して AI 分析を開始します。

注:

プロセスが完了するまでの時間の見積もりは、選択したデータの量とサイズに基づきます。 処理時間を短縮するには、調査に適用されないデータをフィルター処理して除外します。

資格情報の検査

選択したデータ項目の AI 処理が完了したら、資格情報の検査を確認して、各項目の資格情報と資産アクセスの詳細を特定できます。

資格情報の検査には、各項目に関する次の情報が含まれます。

  • 件名/タイトル: データ項目の件名またはタイトル。
  • 抽出された資格情報: データ項目に含まれる資格情報の詳細。 この情報には、ユーザー名、パスワードなどが含まれます。
  • 資格情報の種類: 資格情報の種類。 ユーザー資格情報、API トークン、MFA バックアップ コードなどが含まれる場合があります。
  • 周囲のスニペット: 資格情報の詳細を囲むテキスト値または文字列値。 この情報は、データ項目で資格情報が使用されるコンテキストを特定するのに役立ちます。
  • 思考プロセス: 項目に関連付けられている資格情報が重要である理由に関する推論の概要。
  • エラー: AI プロセスの実行時に発生した処理エラーの概要。

資格情報の検査の例

調査の出力は、識別された各項目の概要または注釈である可能性があります。 この調査では、機密性の高いコンテンツ内の文またはデータが強調表示されます。

たとえば、この調査はファイル X で再表示され、AI はドキュメント内の 10 個のユーザー パスワードと 5 つの API キーのようなものを見つけました 。 または、電子メールの場合、Email Y には、データベース資格情報の共有に関する会話が含まれます。 この概要により、各項目のすべての行を手動で読み取る手間が省け、リスクの高いコンテンツをすばやくトリアージするのに役立ちます。 資格情報リスクを持つ項目の詳細な調査出力の例を次に示します。

File 文字列 抽出された値 分析
EV-1.docx T9!vX3p@7qLz LoosePassword T9!vX3p@7qLz 文字列は、大文字、小文字、数字、特殊文字を特徴とする一般的なパスワード パターンと一致します。 他のインジケーターがないため、 LoosePasswordとして分類されます。

クリアテキスト パスワードを持つアイテムは、システムによって Critical risk: Credentials exposed としてタグ付けされる場合があります。 これらの調査は重要であり、人間のアナリストが厳しいと考える内容と一致し、説明も含まれます。

また、次のアクションも実行する必要があります。

  • 重要な詳細を手動で確認する: 検査プロセスでは重い持ち上げが行われますが、最も重要な部分を手動で確認する必要があります。 ドキュメントで特定のパスワードが識別された場合は、ドキュメントを開いてコンテキストを確認します。 実際のアクティブなパスワードであり、そのパスワードが誰であるかを確認する必要があります。 たとえば、文字列 P@ssw0rd123 が識別され、パスワードとしてラベルが付けられます。 ただし、ファイルを開くことで、 VPN Credentials というタイトルのテーブル内にあり、プレースホルダーの例としてだけコンテンツに含まれていないことを確認します。 これにより、アクション可能であることを確認し、行動するために必要な情報が提供されます。
  • スコープを拡張する: 調査によって、より多くのデータを取り込む必要がある新しい手掛かりが明らかになることがあります。 たとえば、最初に検索しなかったプロジェクト名やユーザー アカウントへの参照を見つけたとします。 関連項目があるかどうかを確認するには、プロジェクトまたはユーザー アカウントの別の検索を検討する必要があります。 プロジェクト名のベクター検索では、パスワードを明示的にメンションしていないが、セキュリティ インシデントに関連する関連ファイルが見つかる場合があります。
  • Last updated on