Compartilhar via

Tomar medidas de mitigação no Investigações de Segurança de Dados

Investigações de Segurança de Dados fornece várias funcionalidades para o ajudar a mitigar rapidamente o impacto dos incidentes de segurança de dados na sua organização.

Plano de mititgation

O plano de mitigação ajuda-o a ligar a análise a ações de mitigação específicas a partir de ferramentas de exame e análises de analistas. O plano de mitigação é como uma lista de tarefas que pode utilizar para ajudar a gerir e controlar ações de mitigação de riscos de dados na sua investigação. Este plano ajuda os analistas a centralizar todos os itens que necessitam de atenção ou ação para mitigar os riscos associados ao incidente de investigação e segurança de dados.

Com o plano de mitigação, efetue as seguintes ações:

  • Priorizar por nível de risco: resolva imediatamente tudo o que possa levar a uma falha de segurança ativa se não for remediado.

  • Marcar itens para seguimento: utilize o plano de mitigação para monitorizar as atividades de seguimento.

  • Consultar ou envolver intervenientes relevantes: certifique-se de que o seu plano aborda as responsabilidades das seguintes áreas:

    • Credenciais: identifique quem repõe as credenciais e quando.
    • Exposição a dados: identifique quem remove ligações de partilha externas ou move ficheiros para uma localização segura.
    • Educação ou imposição dos utilizadores: identifique quem acompanha as medidas de formação ou disciplinares.
    • Investigação adicional: identifique quem é o responsável por qualquer item que sugira um problema de segurança maior na sua organização.

Dashboard do plano de mitigação

O plano de Mitigação apresenta todos os itens que adicionar ao plano de mitigação na investigação. Ao utilizar esta vista, pode ver rapidamente todos os itens que precisam de ação na sua investigação, o status para cada item e outras informações importantes sobre cada item no plano.

  • Nome: o assunto ou título do item de dados.
  • Tipo: o tipo de ficheiro do item de dados.
  • Descrição: a descrição do item de dados.
  • Estado: a status atual do item de dados. Os valores incluem Em curso ou Concluído.
  • Última modificação por: o nome do analista ou investigador que atualizou pela última vez as informações sobre o item de dados.
  • Última atualização (UTC): a data e hora na Hora Universal Coordenada (UTC) em que o item de dados foi atualizado pela última vez.

Selecione Personalizar colunas para personalizar as colunas apresentadas e a ordem das colunas no plano de mitigação. Selecione as colunas a apresentar ou ocultar. Selecione Adicionar filtro e escolha um filtro disponível para filtrar itens no plano de mitigação.

Selecione Transferir lista para criar um ficheiro .csv que contém a lista de itens de dados e as informações da coluna no plano de mitigação.

Vista detalhada do item

Os analistas podem ver detalhes sobre cada item de dados incluído no plano de mitigação como parte do processo de revisão e avaliação. Depois de selecionar um item de dados, um resumo do item e visualizadores estão disponíveis para o analista ver metadados, origem e outras informações.

Atualizar status de itens

À medida que revê os itens de dados e trabalha para mitigar os riscos de cada item de dados, faça a gestão do status atual para cada item. Atualize o status para itens individuais ou atualize o status para vários itens de dados.

Para atualizar o status de um item de dados, conclua os seguintes passos:

  1. Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador atribuída Investigações de Segurança de Dados permissões.
  2. Selecione a solução Investigações de Segurança de Dados card e, em seguida, selecione Investigações no painel de navegação esquerdo.
  3. Selecione uma investigação e, em seguida, mitigação.
  4. Selecione um ou mais itens de dados no plano de mitigação.
  5. Selecione Atualizar status e, em seguida, selecione o status aplicável.

Também pode alterar a status de um item de dados a partir da vista de detalhes do item. Na vista detalhada de um item, selecione Concluir para alterar a status do item de dados.

Implementar o plano de mitigação

Para implementar o seu plano de mitigação, siga os seguintes passos de mitigação:

  • Revogar ou alterar as credenciais imediatamente: para cada palavra-passe ou segredo exposto, certifique-se de que o proprietário responsável as repõe. Esta ação pode envolver forçar reposições de palavra-passe para contas de utilizador, eliminar ou regenerar chaves de acesso ou alterar as credenciais da conta de serviço.

  • Conter exposição de dados: se os ficheiros fossem acessíveis publicamente ou a demasiadas pessoas, bloqueie as permissões imediatamente. Remova o acesso de convidado externo em sites do SharePoint se um ficheiro confidencial tiver sido partilhado. Se um e-mail com segredos tiver sido enviado externamente, contacte o destinatário para o eliminar (se for apropriado) ou utilize a recolha de mensagens, se possível.

  • Remediar documentos: para ficheiros que não devem conter determinadas informações, decida se pretende eliminá-los, redigi-los ou protegê-los. Muitas vezes, é aconselhável remover o conteúdo confidencial da origem (ou encriptá-lo). Considere aplicar etiquetas de confidencialidade ou políticas de Prevenção de Perda de Dados para impedir que os ficheiros sejam novamente partilhados.

  • Controlar atividades e informações: utilize a atividade linha do tempo para itens. Estas informações podem identificar atividades de utilizador relacionadas. Verifique se existe algum comportamento de utilizador de risco em curso e se poderá ser justificada uma investigação mais aprofundada desse utilizador.

  • Documentar todas as ações: no histórico de atividades, todas as ações de pesquisa, análise e mitigação são registadas. Estas informações são úteis para auditoria e análise pós-incidente. Certifique-se de que o registo mostra que todos os itens de risco são abordados.

  • Comunique e resolve o incidente: atualize todos os intervenientes do seguinte modo:

    • Confirme que os orifícios críticos (credenciais, ligações públicas e outras vulnerabilidades) estão fechados.
    • Se necessário, prepare as notificações externas. Por exemplo, informar os clientes de uma falha de segurança de dados e informar os reguladores aplicáveis.
    • Realize um interrogatório com todos os intervenientes. As informações e as lições aprendidas podem ser utilizadas para melhorar as políticas e evitar futuros incidentes.

Remover (pré-visualização)

Investigações de Segurança de Dados agora inclui a nova funcionalidade de remoção (pré-visualização) para o ajudar a identificar e eliminar permanentemente itens na sua organização. Esta necessidade pode incluir a identificação de itens associados a informações altamente confidenciais ou confidenciais sobre projetos financeiros, de marketing ou de vendas ou outras propriedades proprietárias. Ao utilizar a capacidade de pesquisa incorporada para investigações, os investigadores podem criar rapidamente uma nova consulta de pesquisa e guardá-la como uma consulta de remoção que pode rever e executar sempre que necessário. A consulta de remoção elimina permanentemente todos os itens incluídos nos resultados da consulta de todas as localizações de origem na sua organização.

É cobrado com base no processamento necessário para remover o volume de dados que resulta na consulta de pesquisa e utiliza a nova unidade de computação Investigações de Segurança de Dados. Para obter mais informações sobre a unidade de computação, veja Faturação no Investigações de Segurança de Dados.

Remover dashboard de fila

A fila Remover apresenta todas as consultas de remoção guardadas na sua investigação. Ao utilizar esta vista, pode ver rapidamente todas as consultas de remoção na sua investigação, o status para cada consulta e outras informações importantes sobre cada consulta na fila.

  • Nome: o nome da consulta de remoção.
  • Estado: a status atual da consulta de remoção. Os valores incluem Não iniciado, Em curso, Com Falhas ou Concluído.
  • Adicionado por: O nome do investigador que adicionou a consulta de remoção.
  • Data adicionada (UTC): a data e hora na Hora Universal Coordenada (UTC) em que a consulta de remoção foi adicionada à fila de remoção.

Selecione Personalizar colunas para personalizar as colunas apresentadas e a ordem das colunas na fila de remoção. Selecione as colunas a apresentar ou ocultar. Selecione Adicionar filtro e escolha um filtro disponível para filtrar itens na fila de remoção.

Selecione Transferir lista para criar um ficheiro .csv que contém a lista de itens de dados e as informações da coluna na fila de remoção.

Remover itens específicos

Para remover itens específicos na sua organização, conclua os seguintes passos:

  1. Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador atribuída Investigações de Segurança de Dados permissões.
  2. Selecione a solução Investigações de Segurança de Dados card e, em seguida, selecione Investigações no painel de navegação esquerdo.
  3. Selecione uma investigação ou selecione Criar investigação para criar uma nova investigação.
  4. No separador Procurar , selecione as origens de dados que contêm os itens que pretende remover.

Importante

Atualmente, apenas os itens nas caixas de correio do Exchange e no Microsoft Teams suportam a remoção. Selecionar sites do SharePoint ou contas do OneDrive desativa as ações de remoção.

  1. Crie uma pesquisa para identificar os itens que pretende remover e, em seguida, selecione Rever estimativas.
  2. Na página Rever estimativas , verifique se os itens devolvidos nas estimativas estão alinhados com os itens que pretende remover. Pode remover até 1000 itens por pesquisa.

Se precisar de editar a pesquisa, selecione Procurar e atualize as condições da pesquisa. Para ver os detalhes das correspondências de pesquisa, selecione as reticências e Ver exemplos ou selecione Adicionar ao âmbito.

Importante

Se adicionar itens a um âmbito de investigação, é adicionada uma cópia dos itens à conta de armazenamento Azure associada a Investigações de Segurança de Dados na sua organização. Executar a consulta de remoção na fila Remover remove itens de todas as localizações de origem atuais, mas não do âmbito de investigação no Investigações de Segurança de Dados. Para remover todos os itens de Investigações de Segurança de Dados, elimine a investigação.

  1. Selecione Guardar para remoção e introduza um nome exclusivo para a consulta de remoção no campo Nome da consulta .
  2. Selecione Guardar para guardar a consulta e adicionar a consulta à fila de remoção.

Importante

Este passo só guarda a consulta como uma consulta de remoção. Não são removidos itens durante este passo.

  1. No separador Mitigação da investigação, é automaticamente direcionado para a fila de remoção dashboard.
  2. Selecione a consulta de remoção que pretende executar.
  3. Na página de detalhes da consulta de remoção, reveja os detalhes da consulta e selecione Executar.
  4. Na caixa de diálogo de confirmação da consulta de remoção, selecione Eliminar permanentemente.
  5. Para ver a status da consulta de remoção, selecione o separador Atividades.

Após a conclusão da remoção, pode transferir um relatório como um ficheiro .zip que inclui item, localização, definições e informações de resumo sobre os itens removidos.

  • Last updated on