Compartilhar via

Gráfico de risco de dados no Investigações de Segurança de Dados (pré-visualização)

O gráfico de risco de dados no Investigações de Segurança de Dados (pré-visualização) fornece uma experiência de investigação visual que combina dados de ativos e atividades numa única vista. Com tecnologia Microsoft Sentinel integração, resume os 30 dias de atividade anteriores de qualquer ficheiro no âmbito da sua investigação. Ajuda-o a identificar contas de utilizador de risco que interagiram com conteúdos de interesse e a analisar a sequência de eventos que antecedem incidentes recentes. Ao enriquecer a análise com informações de atividade, os gráficos de risco de dados podem ajudá-lo a resolve os incidentes de segurança de dados mais rapidamente e com maior confiança.

Para obter mais informações sobre Microsoft Sentinel integração, consulte Saiba mais sobre Microsoft Sentinel no Microsoft Purview.

Observação

Administração unidades não são suportadas no gráfico de risco de dados. Se tiver o âmbito de uma unidade de administração, os dados não serão apresentados em gráficos de risco de dados.

Atividades suportadas no gráfico de risco de dados

O gráfico de risco de dados suporta atualmente as seguintes atividades de exfiltração:

  • Ligações anónimas criadas no SharePoint ou no OneDrive
  • Ligações anónimas utilizadas através do SharePoint ou do OneDrive
  • Ligações da empresa criadas no SharePoint ou no OneDrive
  • Transferências de ficheiros do SharePoint e do OneDrive
  • Nome dos ficheiros mudados no SharePoint e no OneDrive

Antes de começar

Antes de poder utilizar gráficos de risco de dados no Investigações de Segurança de Dados (pré-visualização), conclua os seguintes passos:

Configurar o gráfico de risco de dados

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

Depois de concluir os pré-requisitos, conclua os seguintes passos para configurar o gráfico de risco de dados no Investigações de Segurança de Dados (pré-visualização):

  1. Aceda ao portal do Microsoft Purview com uma conta atribuída à função Administrador Global ou Administrador de Segurança .

  2. Selecione a solução Investigações de Segurança de Dados (pré-visualização) card e, em seguida, selecione Descrição geral no painel de navegação esquerdo.

  3. Na secção Configurar tarefas , selecione Configurar o data lake e o gráfico de risco de dados.

    Se não tiver as permissões corretas para configurar o data lake, é apresentada uma notificação para contactar um administrador global ou de faturação na sua organização.

  4. No separador Configuração , em Configurar o data lake & gráfico de risco (pré-visualização), configure as seguintes definições:

    1. Subscrição: introduza o Azure subscrição que pretende utilizar. A sua subscrição selecionada tem de ser válida e acessível. Tem de ser proprietário de uma subscrição.
    2. Grupo de recursos: introduza o grupo de recursos que pretende utilizar. O grupo de recursos selecionado tem de ser válido e acessível.

    Importante

    Depois de o data lake ser aprovisionado para uma subscrição de Azure específica e um grupo de recursos, não pode migrá-lo para uma subscrição ou grupo de recursos diferente.

  5. Selecione Configuração.

Importante

Quando o gráfico de risco de dados é criado pela primeira vez, inclui os sete dias de dados mais recentes. À medida que o gráfico de risco de dados é atualizado ao longo do tempo, a janela de pesquisa expande-se até um máximo de 30 dias. O gráfico de risco de dados pode demorar algum tempo a atingir a janela completa de 30 dias, pelo que espera um crescimento gradual após a configuração inicial.

O processo de configuração começa e a integração pode demorar até 60 minutos a concluir. Pode fechar o painel de configuração enquanto o processo está em execução. Após a conclusão do processo de integração, verá Concluído em Configurar o data lake & gráfico de risco (pré-visualização). O gráfico de risco de dados mostra eventos que ocorrem após a criação ou inclusão do data lake Microsoft Sentinel.

O processamento inicial da disponibilidade de gráficos de risco de dados e dados para investigações pode demorar entre 24 e 48 horas.

Importante

Tem sempre um data lake. Se já tiver integrado o data lake com outro serviço Microsoft, será utilizado o data lake existente. Se nunca tiver integrado no data lake, a integração no Investigações de Segurança de Dados (pré-visualização) ativa Microsoft Sentinel data lake e gráfico no portal do Defender.

Utilizar gráfico de risco de dados

O gráfico de risco de dados no Investigações de Segurança de Dados (pré-visualização) visualiza de forma exclusiva as correlações entre os dados afetados, os utilizadores e as respetivas atividades. Fornece contexto crítico para orientar a mitigação e os passos seguintes. Por exemplo, ao descobrir um documento altamente confidencial, os gráficos de risco de dados dão-lhe visibilidade sobre os utilizadores que o transferiram ou se acederam ao mesmo a partir de um endereço IP de risco. Esta visibilidade permite-lhe descobrir novos nós para um incidente de segurança de dados, como utilizadores adicionais ou novos conteúdos que necessitem de investigação.

Para ver o gráfico de risco de dados de uma investigação, tem de ser atribuído a, pelo menos, um grupo de funções incorporado Investigações de Segurança de Dados (pré-visualização):

  • Administradores do Investigações de Segurança de Dados
  • Investigadores do Investigações de Segurança de Dados
  • Revisores de Investigações de Segurança de Dados

Para obter mais informações sobre grupos de funções, veja Atribuir permissões no Investigações de Segurança de Dados.

Investigações de Segurança de Dados exemplo de gráfico de risco de dados.

Para utilizar o gráfico de risco de dados no Investigações de Segurança de Dados (pré-visualização), conclua os seguintes passos:

  1. Aceda ao portal do Microsoft Purview com uma conta atribuída a um grupo de funções Investigações de Segurança de Dados (pré-visualização).

  2. Selecione a solução Investigações de Segurança de Dados (pré-visualização) card e, em seguida, selecione Casos no painel de navegação esquerdo.

  3. Selecione uma investigação a rever e, em seguida, selecione uma das seguintes opções:

    1. Em Resumo, selecione Gerir âmbito no âmbito investigação card.
    2. Selecione o separador Análise para listar itens incluídos no âmbito Investigação.

  4. Selecione os itens (até 100) incluídos no âmbito e, em seguida, selecione Explorar informações.

    Observação

    Explorar informações não está disponível, a menos que configure Investigações de Segurança de Dados (pré-visualização) para Microsoft Sentinel data lake e grafo.

  5. Filtre o tempo conforme aplicável e selecione nós de grafos de risco de dados individuais para obter mais informações sobre cada ligação durante a triagem.

  6. Expanda as relações no gráfico ao selecionar o ícone + em utilizadores ou recursos.

O gráfico de risco de dados contém vários nós. Selecionar um nó mostra detalhes sobre o nó:

  • Detalhes do utilizador: mostra informações sobre os utilizadores associados à investigação. Estas informações incluem informações da organização para cada utilizador, incluindo o Nome Principal de Utilizador (UPN), etiquetas, localização, cargo e muito mais.
  • Relações: mostra informações sobre como iniciar e terminar ligações entre nós. Estas informações incluem datas de início e de última ligação, tipos de relação e muito mais.
  • Endereços IP: mostra informações sobre cada nó de endereço IP.
  • Detalhes dos dados: mostra informações sobre ficheiros e sites. Estas informações incluem a localização do objeto, o tipo, as etiquetas e muito mais.

Pode ver as informações do gráfico de risco de dados para os utilizadores com base nos últimos 30 dias de atividade. Esta duração é fixa e não pode ser prolongada.

  • Last updated on