Eksplorowanie możliwości rozwiązania Copilot w usłudze Microsoft Purview

  • 30 min

Rozwiązanie Microsoft Security Copilot jest dostępne w ramach rozwiązań zabezpieczeń i zgodności danych usługi Microsoft Purview, w tym ochrony przed utratą danych (DLP), zarządzania ryzykiem niejawnych, zgodności komunikacji i zbierania elektronicznych materiałów dowodowych (Premium).

W tym ćwiczeniu zapoznasz się z możliwościami podsumowania Copilot dostępnymi w każdym z tych rozwiązań. Zacznij od sprawdzenia, czy wtyczka Microsoft Purview jest włączona.

Uwaga

Środowisko tego ćwiczenia to symulacja wygenerowana na podstawie produktu. W ramach ograniczonej symulacji linki na stronie mogą nie być włączone, a dane wejściowe oparte na tekście, które znajdują się poza określonym skryptem, mogą nie być obsługiwane. Zostanie wyświetlony komunikat podręczny z informacją: "Ta funkcja nie jest dostępna w ramach symulacji". Po wystąpieniu tego komunikatu wybierz przycisk OK i kontynuuj kroki ćwiczenia.

Zrzut ekranu przedstawiający wyskakujący ekran wskazujący, że ta funkcja nie jest dostępna w symulacji.

Ćwiczenie

W tym ćwiczeniu zalogowano się jako Avery Howard. Masz rolę właściciela Copilot i określone uprawnienia roli wymagane do uzyskania dostępu do każdego z rozwiązań Microsoft Purview wykorzystywanych w tym ćwiczeniu.

Pracujesz z konkretnymi rozwiązaniami usługi Microsoft Purview, korzystając z nowego portalu usługi Microsoft Purview i uzyskujesz dostęp do osadzonych funkcji Copilot tych rozwiązań.

Wykonanie tego ćwiczenia powinno potrwać około 30 minut.

Uwaga

Gdy instrukcja laboratorium wywołuje otwarcie linku do symulowanego środowiska, zaleca się otwarcie linku w nowym oknie przeglądarki, aby można było jednocześnie wyświetlić instrukcje i środowisko ćwiczeń. W tym celu wybierz prawy myszy i wybierz opcję.

Zadanie: Włączanie wtyczki Microsoft Purview

W tym zadaniu włączysz wtyczkę Microsoft Purview. W tym zadaniu pracujesz w środowisku autonomicznym.

  1. Otwórz symulowane środowisko, wybierając ten link: Microsoft Security Copilot.

  2. Na stronie docelowej Microsoft Security Copilot wybierz ikonę ikona źródeł Źródła na pasku monitu.

    1. W oknie Zarządzanie źródłami w obszarze wtyczki firmy Microsoft wybierz pozycję Pokaż 11 więcej.
    2. Przewiń w dół, aby wtyczka Microsoft Purview jest widoczna.
    3. Wybierz ikonę zrzut ekranu przedstawiający ikonę informacjiInformacje . Zanotuj instrukcje, a następnie zamknij stronę wtyczek, wybierając ikonę X w prawym górnym rogu okna zarządzaj źródłami.

  3. Wybierz menuzrzut ekranu przedstawiający ikonę menu głównegoNarzędzia główne , często nazywane ikoną hamburgera.

    1. Wybierz pozycję Ustawienia wtyczki.
    2. Włącz przełącznik obok pozycji Zezwalaj aplikacji Security Copilot na dostęp do danych z usług platformy Microsoft 365.
    3. Wróć do strony głównej Copilot, wybierając pozycję Microsoft Security Copilot w lewym górnym rogu strony obok ikony menu głównego (hamburger).

  4. Teraz, gdy narzędzie Copilot jest włączone w celu uzyskiwania dostępu do danych z usług Platformy Microsoft 365, wróć do strony wtyczek i włącz wtyczkę Microsoft Purview.

    1. Na pasku monitu wybierz ikonę Źródła.
    2. W oknie zarządzaj źródłami, w obszarze pluginy firmy Microsoft, wybierz pozycję Pokaż 13 więcej.
    3. Włącz przełącznik obok usługi Microsoft Purview, aby włączyć wtyczkę.
    4. Zamknij okno zarządzanie źródłami, wybierając ikonę X.

Zadanie: Badanie ryzykownych działań przy użyciu rozwiązania Security Copilot

W tym i wszystkich kolejnych zadaniach zapoznasz się z funkcją Copilot osadzoną w usłudze Microsoft Purview.

W tym zadaniu zbadasz alert związany z potencjalnymi eksfiltracjami danych. Zacznij od ręcznego przejrzenia alertu, aby zidentyfikować kluczowe wskaźniki ryzyka, a następnie użyj narzędzia Security Copilot , aby przyspieszyć badanie. W szczególności szukasz aktywności związanej z plikami powiązanymi z EmployeeInfo_EDM.csv, który zawiera poufne informacje o pracownikach i uczestniczył w zdarzeniach eksfiltracji.

Firma Microsoft Copilot przyjmuje uprawnienia użytkownika podczas próby uzyskania dostępu do danych w celu udzielenia odpowiedzi na zapytania. Aby uzyskać dostęp do danych skojarzonych z rozwiązaniem Microsoft Purview Insider Risk Management, użytkownik Copilot musi mieć przypisaną odpowiednią rolę.

  1. Otwórz środowisko, wybierając ten link: Microsoft Purview Portal.

  2. W portalu Microsoft Purview Rozwiązania>Zarządzanie ryzykiem wewnętrznym>Alerty.

  3. Wybierz pierwszy alert na liście z identyfikatorem alertu ad18a3a1.

  4. Przejrzyj alert:

    1. Sprawdź nazwę alertu, skojarzone zasady, ważność i ocenę ryzyka. Sprawdź, kiedy alert został wyzwolony i dlaczego.
    2. Wybierz pozycję Wyświetl wszystkie szczegóły , aby wyświetlić profil użytkownika, w tym członkostwo w grupie i stan priorytetu. Następnie zamknij panel.
    3. Na karcie Wszystkie czynniki ryzyka przejrzyj działalność eksfiltracji, działalność sekwencji, priorytetową zawartość i typy informacji poufnych.
    4. Wybierz kartę Eksplorator działań i sprawdź kluczowe zdarzenia dotyczące daty alertu.
    5. Karta Aktywność użytkownika umożliwia przeglądanie wzorców zachowania użytkownika w szerszym zakresie czasu.

  5. Skorzystaj z Security Copilot do przeprowadzenia bardziej szczegółowej analizy.

    1. Na stronie alertu wybierz pozycję Podsumuj , aby wygenerować szybkie podsumowanie alertu i ostatnie zachowanie użytkownika.
    2. W okienku Copilot wybierz wstępnie zdefiniowany monit Podsumuj działanie użytkownika z ostatnich 30 dni.
    3. Po załadowaniu podsumowania przejrzyj odpowiedź, a następnie wybierz pozycję Wyświetl działanie , aby otworzyć pełny widok aktywności użytkownika.
    4. W okienku po lewej stronie wybierz pozycję Nietypowe działania.
    5. Rozwiń pierwsze działanie sekwencji wymienione na 25 lutego 2025 r.
    6. Wybierz link 2 zdarzenia , aby wyświetlić akcje uwzględnione w tej sekwencji.
    7. Znajdź wpis EmployeeInfo_EDM.csv. Rozwiń szczegóły i przejrzyj skojarzone akcje dla tego pliku.

Zadanie: Przeglądanie szczegółowych informacji o zasadach ochrony przed utratą danych przy użyciu rozwiązania Security Copilot

W tym zadaniu dowiesz się, jak rozwiązanie Security Copilot może pomóc w identyfikowaniu mocnych i luk w zakresie zasad ochrony przed utratą danych (DLP).

W dużych środowiskach może być trudno szybko ocenić, czy istniejące zasady zapewniają niezbędne pokrycie między lokalizacjami, typami danych i granicami organizacji. Security Copilot może uwidocznić szczegółowe informacje i pomóc skupić uwagę, gdzie jest to najważniejsze.

  1. W portalu usługi Microsoft Purview przejdź do pozycji Rozwiązania>Zasady zapobiegania utracie> danych.

  2. Przewiń listę zasad DLP, aby zobaczyć, ile zasad istnieje i jak są one nazwane. Mogą one reprezentować różne lokalizacje, klasyfikacje lub jednostki biznesowe.

  3. Wybierz pozycję Copilot>Uzyskaj szczegółowe informacje na temat istniejących zasad.

  4. Po otwarciu okienka Security Copilot zapoznaj się z wyświetlonymi domyślnie ogólnymi szczegółowymi informacjami .

  5. Zapoznaj się z każdą kategorią szczegółowych informacji:

    1. Wybierz pozycję Szczegółowe informacje według lokalizacji, a następnie wybierz pozycję Exchange. Przejrzyj wyświetlone szczegółowe informacje.
    2. Powtórz ten proces dla punktu końcowego.
    3. Wybierz pozycję Szczegółowe informacje według jednostek administracyjnych i przejrzyj wyniki.
    4. Wybierz pozycję Szczegółowe informacje według klasyfikacji danych i przejrzyj wyniki.

  6. W dolnej części okienka Copilot wybierz wstępnie zdefiniowany monit Jakie typy poufnych informacji chronimy za pomocą tych zasad DLP? i przejrzyj wyniki.

  7. W okienku Copilot wybierz wstępnie zdefiniowany monit Czy te zasady DLP mają zastosowanie do wszystkich użytkowników w mojej organizacji? i przejrzyj wyniki.

  8. W polu danych wejściowych Copilot wpisz Czy istnieją jakieś luki na podstawie aktualnie utworzonych zasad? i przejrzyj podaną odpowiedź.

Skorzystaj z tych szczegółowych informacji, aby dowiedzieć się, jak są dystrybuowane bieżące zasady DLP i czy są one zgodne z potrzebami organizacji w zakresie ochrony danych. Przejrzyj wyniki, aby zidentyfikować wszelkie możliwości poprawy zasięgu.

Zadanie: Badanie alertów zapobiegania utracie danych przy użyciu rozwiązania Security Copilot

W tym zadaniu użyjesz narzędzia Security Copilot, aby zbadać alert DLP i zbadać aktywność użytkownika oraz poufne informacje zaangażowane w alert. Możesz eksplorować różne widoki dostępne w okienku alertów i używać wstępnie zdefiniowanych monitów Copilota, aby kierować swoim badaniem.

  1. W portalu usługi Microsoft Purview przejdź do pozycji Rozwiązania>Alerty> danych.

  2. Przewiń listę alertów i wybierz alert dopasowania zasad DLP dla dokumentu "POS-Leavers_0325.xlsx" na urządzeniu.

  3. Po otwarciu alertu:

    1. Przejrzyj karty Szczegóły, Zdarzenia i Podsumowanie aktywności użytkownika.

  4. Na karcie Szczegóły:

    1. Przejrzyj szczegóły alertu.
    2. W dolnej części karty wybierz pozycję Podsumowanie alertu.
    3. Przejrzyj wygenerowane podsumowanie w okienku Copilot.

  5. W okienku Copilot wybierz monit What activity was performed on the data in this alert? (Jakie działanie zostało wykonane na danych w tym alercie) i przejrzyj odpowiedź.

  6. Następnie wybierz monit Opisz poufne informacje, etykiety plików lub dane wyzwalające ten alert i przejrzyj wyniki.

  7. Wróć do karty Szczegóły :

    1. Wybierz pozycję Podsumuj>podsumowanie aktywności użytkownika , aby wygenerować podsumowanie powiązanych akcji użytkownika.

  8. W okienku Copilot:

    1. Wybierz pozycję Pokaż kluczowe akcje wykonywane przez użytkownika w ciągu ostatnich 10 dni.
    2. Przejrzyj aktywność użytkownika, aby uzyskać szerszy kontekst.

  9. Przejdź do karty Zdarzenia i wyświetl plik, który wyzwolił alert.

  10. Przejdź do karty Podsumowanie aktywności użytkownika :

    1. Przewiń, aby wyświetlić wszelkie aktywności związane z ryzykiem wewnętrznym.

Te informacje umożliwiają utworzenie jaśniejszego obrazu wyzwalanego alertu, sposobu obsługi poufnych danych i tego, czy zachowanie użytkownika sugeruje dalsze przeglądy.

Zadanie: Badanie przypadków eDiscovery i tworzenie zapytania przy użyciu rozwiązania Security Copilot

W tym zadaniu dowiesz się, jak narzędzie Security Copilot wspiera badanie przypadków i tworzenie zapytań w eDiscovery Microsoft Purview. Zacznij od przejrzenia podsumowania przypadku, a następnie utworzenia wyszukiwania niestandardowego w celu zlokalizowania plików oznaczonych jako poufne i udostępnione zewnętrznie.

W tym scenariuszu pomagasz w zbadaniu możliwego ujawnienia poufnych danych. Wiele wyszukiwań zostało już dodanych do sprawy w ramach wstępnego przeglądu. Twoim zadaniem jest użycie rozwiązania Security Copilot w celu podsumowania szczegółów przypadków, analizowania działań i tworzenia bardziej ukierunkowanego wyszukiwania.

  1. W portalu Microsoft Purview przejdź do pozycji Rozwiązania>eDiscovery>Przypadki.

  2. Na stronie Przypadki wybierz pozycję Odnajdywanie informacji poufnych.

  3. W górnej części strony sprawy wybierz pozycję Podsumuj ten przypadek.

  4. Zostanie otwarte okienko Security Copilot z podsumowaniem przypadku. Przeglądanie wygenerowanej zawartości.

  5. W panelu Copilot wybierz zdefiniowane wcześniej sugestie.

    1. Ile polityk zatrzymania w tym przypadku zawiera błędy?
    2. Które zasady przechowywania w tym przypadku mają błędy?

  6. Na podstawie podsumowania sprawy i bieżących ustaleń zostanie wyświetlony monit o wyszukanie poufnych plików, które mogą być udostępniane zewnętrznie. Aby rozpocząć tę część badania, wybierz przycisk Utwórz wyszukiwanie .

  7. Nazwij wyszukiwanie Poufnych danych, a następnie wybierz pozycję Utwórz.

  8. Na stronie Wyszukiwanie, poniżej pola wpisywania zapytania, wybierz opcję Utwórz zapytanie za pomocą Copilot.

  9. Zapoznaj się z dostępnymi opcjami w podręczniku Copilot.

    1. Wybierz Wyświetl monity, a następnie wybierz Znajdź wszystkie wiadomości e-mail zawierające wyrazy budżet i finanse oraz załączniki. Wybierz Generuj KeyQL, aby wyświetlić sposób tworzenia zapytania.
    2. Powtórz ten proces, aby wyświetlić monit Wyszukaj wszystkie czaty w miesiącu stycznia 2020 r., który zawiera słowo "rok budżetowy".
    3. Powtórz ten proces, aby wyświetlić monit Wyszukaj pliki typu .docx zawierające poufne słowa i budżet.

  10. W polu wprowadzania zapytania wpisz Wyszukaj pliki oznaczone jako poufne, które zostały udostępnione użytkownikom zewnętrznym.

  11. Wybierz pozycję Generuj kluczQL , aby przekonwertować monit na zapytanie.

Po wygenerowaniu zapytania możesz kontynuować badanie, przeglądając wyniki wyszukiwania. Zidentyfikuj pliki spełniające kryteria i ustal, czy należy je dodać do zestawu przeglądu, czy wyeksportować do dalszej analizy.

To zadanie pokazuje, jak rozwiązanie Security Copilot może wspierać proces śledczy, podsumowując kluczowe szczegóły i oferując odpowiednie podpowiedzi. Ułatwia również konstruowanie wyszukiwań, które odzwierciedlają zakres przypadku.

Wykonaj przegląd

W tym ćwiczeniu użyto narzędzia Security Copilot do obsługi badań w usłudze Microsoft Purview. Przejrzałeś alerty dotyczące ryzyka wewnętrznego, zbadałeś zasady i alerty DLP oraz popracowałeś nad swoim przypadkiem zbierania elektronicznych materiałów dowodowych.

Każde zadanie pokazuje, jak copilot może pomóc podsumować informacje, zidentyfikować wzorce i kierować kolejnymi krokami. Użyto wbudowanych podpowiedzi i wejścia w języku naturalnym, aby skoncentrować się na badaniu i zebrać odpowiedni kontekst.

Te akcje odzwierciedlają, w jaki sposób rozwiązanie Copilot może ułatwić wykonywanie typowych zadań w przepływach pracy zabezpieczeń i zgodności danych.