了解憑證和其他資產存取資訊如何與資料安全事件相關聯,是識別和降低風險的重要部分。
例如,如果您在與數據安全性事件相關聯的受影響數據中發現認證,組織中的 Microsoft Entra 系統管理員可以加入調查、安全地檢視擷取的認證,並採取必要的後續步驟來重設帳戶。 您也可以使用調查學習來精簡現有的帳戶管理政策,以加強組織的安全實務。
分析資料以取得認證和資產存取資訊
完成下列步驟,以識別調查範圍所包含項目中的認證和資產存取資料:
重要事項
在配置考試之前,您必須 準備用於 AI 分析的資料 。
- 移至 Microsoft Purview 入口網站,並使用指派資料安全性調查 (預覽) 許可權之使用者帳戶認證登入。
- 選取 [資料安全性調查 (預覽) 解決方案] 卡片,然後在左側導覽中選取 [調查]。
- 選取調查,然後選取導覽列上的 分析 。
- 使用向量搜尋或分類工具來識別用於證書檢查的資料。
- 選取一或多個項目,然後選取命令列上的檢查。
- 在 [ 使用 AI 檢查 ] 對話方塊中,在 [工作名稱] 欄位中輸入檢查程序的名稱。
- 在 職位描述 欄位中輸入檢查流程的描述。
- 選取 認證:擷取認證並存取所選專案中的資產 選擇 焦點區域 欄位。
- 選取 [檢查] 以開始 AI 分析。
注意事項
處理程序完成的時間預估值是根據所選資料的數量和大小而定。 若要縮短處理時間,請篩選並排除不適用於調查的資料。
證書考試
完成所選資料項目的 AI 處理之後,您可以檢閱認證檢查,以識別每一個項目的認證和資產存取詳細資料。
證書考試包括每個項目的以下信息:
- 主旨/標題:資料項目的主旨或標題。
- 擷取的認證:資料項目中包含的認證詳細資料。 此資訊包括使用者名稱、密碼等。
- 認證類型:認證類型。 可能包括使用者認證、API 權杖、MFA 備份代碼等。
- 周圍程式碼片段:認證詳細資料周圍的文字或字串值。 此資訊有助於判斷在資料項目中使用認證的內容。
- 思考過程:關於為什麼與該項目相關聯的憑證很重要的推理摘要。
- 錯誤:AI 程序執行時遇到的任何處理錯誤的摘要。
證書考試示例
檢查的輸出可能是每個已識別項目的摘要或註釋。 檢查突出顯示內容中可能敏感的句子或數據片段。
例如,檢查可能會在文件 X 中發現 AI 在文件中發現了 10 個使用者密碼和 5 個 API 金鑰。 或者對於電子郵件,Email Y 包含有關共用資料庫認證的對話。 此摘要可讓您免於手動讀取每個專案的每一行,並協助您非常快速地分級有風險的內容。 以下是具有認證風險之專案的深入檢查輸出範例:
| 檔案 | 字串 | 類型 | 提取的價值 | 分析 |
|---|---|---|---|---|
| EV-1.docx | T9!vX3p@7qLz | 鬆散密碼 | T9!vX3p@7qLz | 字串符合典型的密碼模式,包括大寫、小寫、數字和特殊字元。 沒有其他指標,因此將其歸類為 LoosePassword。 |
具有明文密碼的項目可能會被系統標記為 Critical risk: Credentials exposed 。 這些檢查很重要,它們與人類分析師認為的嚴重程度一致,並且還包括解釋。
您還應該採取以下操作:
-
手動驗證關鍵細節:雖然檢查過程完成繁重的工作,但您應該手動驗證最關鍵的部分。 如果在文件中識別出特定密碼,請開啟文件以確認內容。 您應該驗證它是否是實際的作用中密碼,以及它的密碼。 例如,字串
P@ssw0rd123可能會被識別,並將其標示為密碼。 但是,透過開啟檔案,您可以驗證它位於標題為 VPN 認證的 表格中,而不是僅作為範例佔位符的內容中。 這確認了它是可操作的,並為您提供採取行動所需的資訊。 - 擴大範圍:有時檢查會發現新的線索,需要提取更多數據。 例如,您會發現專案名稱或您最初未搜尋的使用者帳戶的參照。 您應該考慮再次搜尋專案或使用者帳戶,以查看是否有相關專案。 專案名稱的向量搜尋可能會找到未明確提及密碼但與安全性事件相關的相關檔案。