Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Compreender como as credenciais e outras informações de acesso a recursos se associam a um incidente de segurança de dados é uma parte importante da identificação e mitigação de riscos.
Por exemplo, se detetar credenciais nos dados afetados associados ao incidente de segurança de dados, um administrador de Microsoft Entra na sua organização pode participar na investigação, ver as credenciais extraídas de forma segura e efetuar os passos seguintes necessários para repor as contas. Também pode utilizar aprendizagens de investigação para refinar as políticas de gestão de contas existentes para reforçar as práticas de segurança da sua organização.
Analisar dados para obter credenciais e informações de acesso a recursos
Conclua os seguintes passos para identificar credenciais e dados de acesso a recursos em itens incluídos no âmbito da investigação:
Importante
Tem de preparar os dados para a análise de IA antes de configurar os exames.
- Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador atribuída Investigações de Segurança de Dados (pré-visualização).
- Selecione a solução Investigações de Segurança de Dados (pré-visualização) card e, em seguida, selecione Investigações no painel de navegação esquerdo.
- Selecione uma investigação e, em seguida, selecione Análise na barra de navegação.
- Utilize ferramentas de categorização ou pesquisa de vetores para identificar dados para o exame de credenciais.
- Selecione um ou mais itens e, em seguida, selecione Examinar na barra de comandos.
- Na caixa de diálogo Examinar com IA , introduza o nome do processo de exame no campo Nome da tarefa.
- Introduza uma descrição para o processo de exame no campo Descrição da tarefa .
- Selecione Credenciais: extraia credenciais e aceda a recursos nos itens selecionados no campo Escolher uma área de foco .
- Selecione Examinar para iniciar a análise de IA.
Observação
As estimativas de tempo para o processo ser concluído baseiam-se na quantidade e no tamanho dos dados selecionados. Para reduzir o tempo de processamento, filtre e exclua dados não aplicáveis à investigação.
Exames de credenciais
Após a conclusão do processamento de IA para os itens de dados selecionados, pode rever os exames de credenciais para identificar os detalhes de acesso a credenciais e recursos para cada item.
Os exames de credenciais incluem as seguintes informações para cada item:
- Assunto/Título: o assunto ou título do item de dados.
- Credenciais extraídas: os detalhes das credenciais incluídos no item de dados. Estas informações incluem nomes de utilizador, palavras-passe e muito mais.
- Tipo de credencial: o tipo de credencial. Pode incluir credenciais de utilizador, tokens de API, códigos de cópia de segurança da MFA e muito mais.
- Fragmento adjacente: os valores de texto ou cadeia que rodeiam os detalhes das credenciais. Estas informações ajudam a determinar o contexto em que a credencial é utilizada no item de dados.
- Processo de pensamento: um resumo do raciocínio sobre o motivo pelo qual as credenciais associadas ao item são importantes.
- Erros: um resumo dos erros de processamento encontrados quando o processo de IA é executado.
Exemplo de exame de credenciais
O resultado do exame pode ser um resumo ou anotação para cada item identificado. O exame realça frases ou fragmentos de dados no conteúdo que são provavelmente sensíveis.
Por exemplo, o exame pode ser apresentado novamente no Ficheiro X, a IA encontrou o que parece ser 10 palavras-passe de utilizador e 5 chaves de API num documento. Em alternativa, para um e-mail, Email Y contém uma conversa sobre como partilhar credenciais de base de dados. Este resumo impede-o de ler manualmente todas as linhas de cada item e ajuda-o a fazer a triagem de conteúdos de risco muito rapidamente. Eis um exemplo de uma saída de análise aprofundada para um item com Risco de Credencial:
| Arquivo | Cadeia de caracteres | Tipo | Valor Extraído | Análise |
|---|---|---|---|---|
| EV-1.docx | T9!vX3p@7qLz | LoosePassword | T9!vX3p@7qLz | A cadeia corresponde a um padrão de palavra-passe típico, com maiúsculas, minúsculas, números e carateres especiais. Não existem outros indicadores, pelo que é classificado como .LoosePassword |
Um item com palavras-passe de texto não encriptado pode ser marcado como Critical risk: Credentials exposed pelo sistema. Estes exames são importantes, alinham-se com o que um analista humano consideraria grave e também incluem explicações.
Também deve efetuar as seguintes ações:
-
Verificar manualmente os detalhes críticos: enquanto o processo de exame faz o trabalho pesado, deve verificar manualmente as partes mais críticas. Se for identificada uma palavra-passe específica num documento, abra o documento para confirmar o contexto. Deve verificar se é uma palavra-passe ativa real e cuja palavra-passe é. Por exemplo, a cadeia
P@ssw0rd123pode ser identificada e etiquetada como uma palavra-passe. No entanto, ao abrir o ficheiro, verifica se está numa tabela intitulada Credenciais de VPN e não no conteúdo apenas como um marcador de posição de exemplo. Isto confirma que é acionável e dá-lhe as informações necessárias para agir. - Expandir o âmbito: por vezes, os exames revelam novas pistas que requerem a extração de mais dados. Por exemplo, deteta referências a um nome de projeto ou a uma conta de utilizador que não procurou inicialmente. Deve considerar outra pesquisa para o projeto ou conta de utilizador para ver se existem itens relacionados. Uma pesquisa de vetor para o nome do projeto pode encontrar ficheiros relacionados que não menção explicitamente palavras-passe, mas estão relacionados com o incidente de segurança.