De mogelijkheden van Copilot in Microsoft Purview verkennen

  • 30 minuten

Microsoft Security Copilot is toegankelijk binnen Microsoft Purview-oplossingen voor gegevensbeveiliging en -naleving, waaronder preventie van gegevensverlies (DLP), Intern risicobeheer, communicatienaleving en eDiscovery (Premium).

In deze oefening verkent u de samenvattingsmogelijkheden van Copilot die beschikbaar zijn in elk van deze oplossingen. U begint met het controleren of de Microsoft Purview-invoegtoepassing is ingeschakeld.

Notitie

De omgeving voor deze oefening is een simulatie die is gegenereerd op basis van het product. Als beperkte simulatie worden koppelingen op een pagina mogelijk niet ingeschakeld en worden invoer op basis van tekst die buiten het opgegeven script valt mogelijk niet ondersteund. Er wordt een pop-upbericht weergegeven met de tekst 'Deze functie is niet beschikbaar in de simulatie'. Wanneer dit bericht optreedt, selecteert u OK en gaat u verder met de stappen voor de oefening.

Schermopname van het pop-upscherm dat aangeeft dat deze functie niet beschikbaar is in de simulatie.

Oefening

Voor deze oefening bent u aangemeld als Avery Howard. U hebt de rol Copilot-eigenaar en de specifieke rolmachtigingen die zijn vereist voor toegang tot elk van de Microsoft Purview-oplossingen die in deze oefening worden gebruikt.

U werkt met specifieke Microsoft Purview-oplossingen, met behulp van de nieuwe Microsoft Purview-portal en hebt toegang tot de ingesloten Copilot-mogelijkheden van deze oplossingen.

Het duurt ongeveer 30 minuten voordat deze oefening is voltooid.

Notitie

Wanneer een labinstructie aanroept om een koppeling naar de gesimuleerde omgeving te openen, is het raadzaam om de koppeling in een nieuw browservenster te openen, zodat u de instructies en de oefeningsomgeving tegelijk kunt bekijken. Hiervoor selecteert u de rechtermuistoets en selecteert u de optie.

Taak: De Microsoft Purview-invoegtoepassing inschakelen

In deze taak schakelt u de Microsoft Purview-invoegtoepassing in. Voor deze taak werkt u in de zelfstandige ervaring.

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Security Copilot.

  2. Selecteer op de landingspagina van Microsoft Security Copilot het pictogrampictogram bronnen Bronnen in de promptbalk.

    1. Selecteer in het venster Bronnen beheren onder de Microsoft-invoegtoepassingen de optie Meer weergeven.
    2. Schuif omlaag zodat de Microsoft Purview-invoegtoepassing zichtbaar is.
    3. Selecteer het pictogramschermopname van het informatiepictogramInformatie. Noteer de instructies en sluit vervolgens de pagina met invoegtoepassingen door de X in de rechterbovenhoek van het venster Bronnen beheren te selecteren.

  3. Selecteer het menuschermopname van het pictogram van het menu StartStart, ook wel het hamburgerpictogram genoemd.

    1. Selecteer De instellingen van de invoegtoepassing.
    2. Schakel de wisselknop in naast Security Copilot toegang geven tot gegevens van uw Microsoft 365-services.
    3. Ga terug naar de startpagina van Copilot door Microsoft Security Copilot te selecteren in de linkerbovenhoek van de pagina naast het pictogram startmenu (hamburger).

  4. Nu Copilot is ingeschakeld voor toegang tot gegevens van uw Microsoft 365-services, gaat u terug naar de pagina met invoegtoepassingen en schakelt u de Microsoft Purview-invoegtoepassing in.

    1. Selecteer in de promptbalk het pictogram Bronnen.
    2. In het venster Bronnen beheren selecteer je onder Microsoft-invoegtoepassingen 13 extra weergeven.
    3. Schakel de wisselknop naast Microsoft Purview in om de invoegtoepassing in te schakelen.
    4. Sluit het venster Bronnen beheren door de X te selecteren.

Taak: Riskante activiteit onderzoeken met Behulp van Security Copilot

Voor deze en alle volgende taken verkent u de Copilot-functionaliteit die is ingesloten in Microsoft Purview.

In deze taak onderzoekt u een waarschuwing met betrekking tot mogelijke gegevensexfiltratie. U begint met het handmatig controleren van de waarschuwing om belangrijke risico-indicatoren te identificeren en vervolgens Security Copilot te gebruiken om uw onderzoek te versnellen. U zoekt met name naar bestandsactiviteit met betrekking tot EmployeeInfo_EDM.csv, die gevoelige werknemersgegevens bevat en betrokken was bij exfiltratiegebeurtenissen.

Microsoft Copilot gaat ervan uit dat de machtigingen van de gebruiker worden gebruikt wanneer deze toegang probeert te krijgen tot de gegevens om query's te beantwoorden. Als u toegang wilt krijgen tot gegevens die zijn gekoppeld aan de Microsoft Purview Insider Risk Management-oplossing, moet de Copilot-gebruiker een geschikte rol krijgen.

  1. Open de omgeving door deze koppeling te selecteren: Microsoft Purview Portal.

  2. Oplossingen>Binnen het Microsoft Purview-portalInsider Risk Management>Waarschuwingen.

  3. Selecteer de eerste waarschuwing in de lijst met waarschuwings-id ad18a3a1.

  4. Bekijk de waarschuwing:

    1. Controleer de naam van de waarschuwing, het bijbehorende beleid, de ernst en de risicoscore. Controleer wanneer de waarschuwing is geactiveerd en waarom.
    2. Selecteer Alle details weergeven om het gebruikersprofiel weer te geven, inclusief groepslidmaatschap en prioriteitsstatus. Sluit vervolgens het paneel.
    3. Bekijk op het tabblad Alle risicofactoren exfiltratieactiviteit, reeksactiviteit, prioriteitsinhoud en typen gevoelige informatie.
    4. Selecteer het tabblad Activiteitenverkenner en bekijk belangrijke gebeurtenissen rond de waarschuwingsdatum.
    5. Gebruik het tabblad Gebruikersactiviteit om patronen in gebruikersgedrag in een breder tijdsbereik te bekijken.

  5. Gebruik Security Copilot om diepere controle te volgen:

    1. Vanaf de waarschuwingspagina, selecteer Samenvatten om een beknopt overzicht te genereren van de waarschuwing en het recente gedrag van de gebruiker.
    2. Selecteer in het copilot-deelvenster de vooraf gedefinieerde prompt gebruikersactiviteit van de laatste 30 dagen samenvatten.
    3. Wanneer de samenvatting wordt geladen, bekijkt u het antwoord en selecteert u Activiteit weergeven om de volledige gebruikersactiviteitsweergave te openen.
    4. Selecteer Ongebruikelijke activiteiten in het linkerdeelvenster.
    5. Vouw de eerste reeksactiviteit uit die wordt vermeld voor 25 februari 2025.
    6. Selecteer de koppeling met twee gebeurtenissen om de acties weer te geven die in die volgorde zijn opgenomen.
    7. Zoek de vermelding voor EmployeeInfo_EDM.csv. Vouw de details uit en bekijk de bijbehorende acties voor dit bestand.

Taak: Bekijk beleidsinzichten voor preventie van gegevensverlies met behulp van Security Copilot

Voor deze taak verkent u hoe Security Copilot kan helpen bij het identificeren van sterke punten en hiaten in uw DLP-beleidsdekking (Preventie van gegevensverlies).

In grote omgevingen kan het lastig zijn om snel te beoordelen of bestaande beleidsregels de benodigde dekking bieden voor locaties, gegevenstypen en organisatiegrenzen. Security Copilot kan inzichten opleveren en u helpen uw aandacht te richten op waar het belangrijkst is.

  1. Ga in de Microsoft Purview-portal naar Oplossingen>Preventie van>Gegevensverlies Beleid.

  2. Blader door de lijst met DLP-beleidsregels om een beeld te krijgen van het aantal beleidsregels en de naam ervan. Deze kunnen verschillende locaties, classificaties of bedrijfseenheden vertegenwoordigen.

  3. Selecteer Copilot>Inzichten krijgen over bestaand beleid.

  4. Wanneer het deelvenster Security Copilot wordt geopend, bekijkt u de algemene inzichten die standaard worden weergegeven.

  5. Verken elke inzichtencategorie:

    1. Selecteer Inzichten op locatie en kies Vervolgens Exchange. Bekijk de weergegeven inzichten.
    2. Herhaal dit proces voor Eindpunt.
    3. Selecteer Inzichten per beheereenheid en bekijk de resultaten.
    4. Selecteer Inzichten op classificatie van gegevens en bekijk de resultaten.

  6. Selecteer onderaan het Copilot-deelvenster de vooraf gedefinieerde prompt welke typen gevoelige informatie worden beveiligd met dit DLP-beleid? en bekijk de resultaten.

  7. Selecteer in het copilot-deelvenster de vooraf gedefinieerde prompt Is dit DLP-beleid van toepassing op alle gebruikers in mijn organisatie? en controleer de resultaten.

  8. Typ In het invoerveld Copilot zijn er hiaten op basis van het beleid dat ik momenteel heb gemaakt? en controleer het opgegeven antwoord.

Gebruik deze inzichten om te begrijpen hoe uw huidige DLP-beleid wordt gedistribueerd en of deze overeenkomen met de gegevensbeschermingsbehoeften van uw organisatie. Bekijk de resultaten om eventuele mogelijkheden te identificeren om de dekking te verbeteren.

Taak: Waarschuwingen voor preventie van gegevensverlies onderzoeken met Behulp van Security Copilot

In deze taak gebruikt u Security Copilot om een DLP-waarschuwing te onderzoeken en gebruikersactiviteit en gevoelige informatie in de waarschuwing te onderzoeken. U verkent verschillende weergaven die beschikbaar zijn in het waarschuwingsvenster en gebruikt vooraf gedefinieerde Copilot-prompts om uw onderzoek te begeleiden.

  1. Ga in de Microsoft Purview-portal naar Oplossingen>Gegevensverliespreventie>Waarschuwingen.

  2. Blader door de lijst met waarschuwingen en selecteer de waarschuwing voor een DLP-beleidsmatch voor document 'POS-Leavers_0325.xlsx' op een apparaat.

  3. Wanneer de waarschuwing wordt geopend:

    1. Bekijk de tabbladen voor details, gebeurtenissen en gebruikersactiviteitenoverzicht.

  4. Op het tabblad Details :

    1. Bekijk de details van de waarschuwing.
    2. Onder aan het tabblad, selecteer Samenvatten>Alert samenvatten.
    3. Bekijk de gegenereerde samenvatting in het copilot-deelvenster.

  5. Selecteer in het copilot-deelvenster de prompt Welke activiteit is uitgevoerd op de gegevens in deze waarschuwing? en controleer het antwoord.

  6. Selecteer vervolgens de prompt Beschrijf de gevoelige informatie, bestandslabels of gegevens die deze waarschuwing activeren en bekijk de resultaten.

  7. Terug op het tabblad Details :

    1. Selecteer Samenvatten>Gebruikersactiviteit samenvatten om een samenvatting van gerelateerde gebruikersacties te genereren.

  8. In het copilot-deelvenster:

    1. Selecteer Sleutelacties weergeven die in de afgelopen tien dagen door de gebruiker zijn uitgevoerd.
    2. Bekijk de gebruikersactiviteit voor een bredere context.

  9. Ga naar het tabblad Gebeurtenissen en bekijk het bestand dat de waarschuwing heeft geactiveerd.

  10. Ga naar het tabblad Samenvatting van gebruikersactiviteit :

    1. Blader door om eventuele gerelateerde insiderrisicoactiviteiten weer te geven.

Gebruik deze informatie om een duidelijker beeld te maken van wat de waarschuwing heeft geactiveerd, hoe gevoelige gegevens zijn verwerkt en of gebruikersgedrag verdere controle vereist is.

Taak: eDiscovery-aanvragen onderzoeken en een query bouwen met Behulp van Security Copilot

In deze taak verkent u hoe Security Copilot ondersteuning biedt voor caseonderzoek en het maken van query's in Microsoft Purview eDiscovery. U begint door een caseoverzicht te bekijken en vervolgens een aangepaste zoekopdracht te maken om bestanden te vinden die zijn gelabeld als vertrouwelijk en extern worden gedeeld.

In dit scenario helpt u bij het onderzoeken van de mogelijke blootstelling van vertrouwelijke gegevens. Er worden al meerdere zoekopdrachten aan de case toegevoegd als onderdeel van een eerste beoordeling. Uw rol is om Security Copilot te gebruiken om casedetails samen te vatten, activiteiten te analyseren en een gerichtere zoekopdracht te bouwen.

  1. Ga in de Microsoft Purview-portal naar Oplossingen>eDiscovery-aanvragen>.

  2. Selecteer op de pagina Casesde optie Detectie van gevoelige informatie.

  3. Selecteer Bovenaan de casepagina de optie Dit geval samenvatten.

  4. Het deelvenster Security Copilot wordt geopend met een samenvatting van de case. Controleer de gegenereerde inhoud.

  5. Selecteer in het copilot-deelvenster de vooraf gedefinieerde prompts:

    1. Hoeveel bewaarbeleid in dit geval bevatten fouten?
    2. Welke beleidsregels voor bewaring in dit geval hebben fouten?

  6. Op basis van het caseoverzicht en de huidige bevindingen wordt u gevraagd om te zoeken naar vertrouwelijke bestanden die extern kunnen worden gedeeld. Als u dit deel van het onderzoek wilt starten, selecteert u de knop Een zoekopdracht maken .

  7. Geef de zoekopdracht een naam Vertrouwelijke gegevens en selecteer Maken.

  8. Selecteer op de zoekpagina onder de queryinvoer een query maken met Copilot.

  9. Bekijk de beschikbare opties in het Copilot-promptbook:

    1. Selecteer Prompts weergeven en selecteer vervolgens Alle e-mailberichten zoeken met de woorden budget en financiƫn en bijlagen hebben. Selecteer KeyQL genereren om te zien hoe de query wordt gebouwd.
    2. Herhaal dit proces voor prompts zoeken in alle chats in de maand januari 2020 die het woord 'financieel jaar' bevatten.
    3. Herhaal dit proces voor de opdracht zoeken naar bestanden van het type .docx die de woorden vertrouwelijk en budget bevatten.

  10. Type in het query-invoervak: Zoeken naar bestanden die als vertrouwelijk zijn gemarkeerd en met externe gebruikers zijn gedeeld.

  11. Selecteer KeyQL genereren om de prompt te converteren naar een query.

Zodra uw query is gegenereerd, kunt u doorgaan met het onderzoek door de zoekresultaten te bekijken. Identificeer bestanden die voldoen aan uw criteria en bepaal of ze moeten worden toegevoegd aan een beoordelingsset of moeten worden geƫxporteerd voor nader onderzoek.

Deze taak laat zien hoe Security Copilot uw onderzoeksproces kan ondersteunen door belangrijke details samen te vatten en relevante prompts aan te bieden. Het helpt ook bij het samenstellen van zoekopdrachten die het bereik van de case weerspiegelen.

Beoordelen

In deze oefening hebt u Security Copilot gebruikt ter ondersteuning van onderzoeken in Microsoft Purview. U hebt waarschuwingen voor intern risico bekeken, DLP-beleid en -waarschuwingen verkend en gewerkt met een eDiscovery-aanvraag.

Elke taak liet zien hoe Copilot kan helpen bij het samenvatten van informatie, het identificeren van patronen en het begeleiden van de volgende stappen. U hebt ingebouwde prompts en invoer in natuurlijke taal gebruikt om uw onderzoek te concentreren en relevante context te verzamelen.

Deze acties weerspiegelen hoe Copilot kan helpen bij algemene taken in werkstromen voor gegevensbeveiliging en naleving.