共用方式為

在資料安全性調查中採取緩解措施

資料安全性調查提供多項功能,幫助您迅速減輕組織中資料安全事件的影響。

緩解計畫

緩解計畫幫助您將分析與來自檢查工具及分析師審查的具體緩解行動連結起來。 緩解計畫就像一份待辦清單,可以幫助你管理並追蹤調查中的資料風險緩解行動。 此計畫協助分析師集中管理所有需要關注或採取行動以降低調查及資料安全事件風險的項目。

根據緩解計畫,請採取以下行動:

  • 依風險等級優先排序:若未及時修復,任何可能導致主動資安漏洞的事件應立即處理。

  • 標記後續追蹤項目:利用緩解計畫追蹤後續活動。

  • 諮詢或邀請相關利害關係人參與:確保您的計畫涵蓋以下領域的責任:

    • 憑證:確認誰在什麼時候重置憑證。
    • 資料外洩:找出移除外部分享連結或將檔案移至安全地點的人員。
    • 使用者教育或執法:識別誰會跟進訓練或紀律處分。
    • 進一步調查:找出任何顯示組織中較大安全問題的項目負責人。

緩解計畫儀表板

減緩計畫會顯示你在調查中新增的所有項目。 透過此檢視,您可以快速查看調查中所有需要採取行動的項目、每個項目的狀態,以及計畫中每個項目的其他重要資訊。

  • 名稱:資料項目的主題或標題。
  • 類型:資料項目的檔案類型。
  • 描述:資料項目的描述。
  • 狀態:資料項目的當前狀態。 數值包括 進行中完成
  • 最後修改者:最後更新資料項目資訊的分析師或調查員姓名。
  • 最後更新於 (UTC) :協調世界時 (UTC的日期與時間) 該資料項目最後更新。

選擇 「自訂欄位」 以自訂顯示欄位及緩解計畫中欄位的順序。 選擇要顯示或隱藏的欄位。 選擇 新增過濾器 ,並選擇可用篩選器來篩選緩解計畫中的項目。

選擇 下載清單 以建立包含資料項目清單及緩解計畫欄位資訊的 .csv 檔案。

項目詳細檢視

分析師可在審查與評估過程中查看減緩計畫中包含的每個資料項目的詳細資料。 選擇資料項目後,會有項目摘要及 檢視 器,分析人員可查看元資料、來源及其他資訊。

更新項目狀態

在檢視資料項目並努力降低風險時,管理每個項目的當前狀態。 更新單一項目的狀態,或批量更新多個資料項目的狀態。

要更新資料項目的狀態,請完成以下步驟:

  1. 請前往 Microsoft Purview 入口網站,並以已分配資料安全性調查權限的使用者帳號憑證登入。
  2. 選擇「資料安全性調查解決方案」卡片,然後在左側導覽中選擇「調查」。
  3. 選擇調查,再選擇緩解。
  4. 在緩解計畫中選擇一個或多個資料項目。
  5. 選擇 更新狀態,再選擇適用的狀態。

你也可以從項目詳細檢視中更改資料項目的狀態。 從項目的詳細檢視中,選擇 完成 以更改該資料項目的狀態。

實施減緩計畫

要執行減緩計畫,請依照以下步驟進行:

  • 立即撤銷或更改憑證:每當洩漏密碼或秘密資料時,確保負責任的擁有者重新設定。 此操作可能包括強制重設使用者帳號密碼、刪除或重新建立存取金鑰,或更改服務帳號憑證。

  • 限制資料外洩:如果檔案對公開或對太多人開放,請立即鎖定權限。 如果敏感檔案被分享,請移除 SharePoint 網站的外部訪客存取權限。 如果有帶有機密的郵件是外部寄出的,請聯絡收件人,請他們在適當情況下 (刪除,或) 或盡可能使用訊息回收功能。

  • 修復文件:對於不應該包含某些資訊的檔案,決定是刪除、刪減還是保護它們。 通常建議將敏感內容從來源中移除, (或) 加密。 考慮套用 敏感標籤資料遺失防護政策 ,防止檔案再次被分享。

  • 追蹤活動與洞察:使用活動時間軸來記錄項目。 這些資訊可能識別相關的使用者活動。 檢查是否有持續存在風險使用者行為,以及是否需要進一步調查該用戶。

  • 記錄每一項行動:在 活動歷史中,所有搜尋、分析及緩解行動都會被記錄。 這些資訊對稽核及事後檢討非常有用。 確保紀錄顯示所有風險項目都已處理。

  • 溝通並解決事件:向所有利害關係人更新以下事項:

    • 確認) (憑證、公開連結及其他漏洞的關鍵漏洞已被關閉。
    • 如有需要,請準備任何外部通知。 例如,通知客戶資料外洩並通知相關監管機構。
    • 與所有利害關係人進行簡報。 這些洞見與經驗教訓可用於改進政策並預防未來事件發生。

清除 (預覽)

資料安全性調查 現在新增了清除 (預覽) 功能,幫助你辨識並永久刪除組織中的項目。 此需求可能包括識別與財務、行銷或銷售專案相關的高度機密或敏感資訊,或其他專有財產的物品。 利用內建的調查搜尋功能,調查人員能快速建立新的搜尋查詢,並儲存為清除查詢,方便您隨時檢視與執行。 清除查詢會永久刪除組織內所有來源地點查詢結果中包含的所有項目。

您的費用依據清除搜尋查詢所需處理的資料量,並使用新的資料安全性調查計算單元。 欲了解更多計算單元資訊,請參閱資料安全性調查中的計費

Purge queue dashboard

清除佇列會顯示你調查中所有儲存的清除查詢。 透過此檢視,您可以快速查看調查中所有清除查詢、每個查詢的狀態,以及佇列中每個查詢的其他重要資訊。

  • 名稱:清除查詢的名稱。
  • 狀態:清除查詢的當前狀態。 數值包括 未開始進行中、 失敗完成
  • 新增者:新增清除查詢的調查員姓名。
  • 新增日期 (UTC) :協調世界時 (UTC的日期與時間) 清除查詢被加入清除隊列。

選擇 自訂欄位 以自訂顯示欄位及清除隊列中欄位的順序。 選擇要顯示或隱藏的欄位。 選擇 新增過濾器 ,並選擇可用過濾器來篩選清除佇列中的項目。

選擇 下載清單 以建立包含資料項目清單及清除佇列欄位資訊的 .csv 檔案。

清除特定物品

要清除組織中的特定項目,請完成以下步驟:

  1. 請前往 Microsoft Purview 入口網站,並以已分配資料安全性調查權限的使用者帳號憑證登入。
  2. 選擇「資料安全性調查解決方案」卡片,然後在左側導覽中選擇「調查」。
  3. 選擇調查或選擇 建立 調查以建立新的調查。
  4. 搜尋 標籤中,選擇包含你想清除項目的資料來源。

重要事項

目前只有 Exchange 信箱和 Microsoft Teams 中的項目支援清除。 選擇 SharePoint 網站或 OneDrive 帳號會停用清除動作。

  1. 建立搜尋以找出你想清除的項目,然後選擇 「檢視估價」。
  2. 「檢視估算 」頁面,確認估算中回傳的項目是否與你想要清除的項目相符。 每次搜尋最多可以清除1,000件物品。

如果你需要編輯搜尋,請選擇 搜尋 並更新搜尋條件。 欲查看搜尋匹配的詳細資訊,請選擇省略號並 查看樣本 ,或選擇 「新增至範圍」。

重要事項

如果您將項目加入調查範圍,該項目的副本會被加入您組織中與 資料安全性調查相關的 Azure 儲存帳戶。 在清除佇列中執行清除查詢會移除所有目前來源位置的項目,但不會從資料安全性調查的調查範圍中移除。 若要移除資料安全性調查中的所有項目,請刪除調查紀錄。

  1. 選擇 「儲存以清除」 ,並在 查詢名稱 欄位輸入清除查詢的唯一名稱。
  2. 選擇 儲存 以儲存查詢,並將查詢加入清除隊列。

重要事項

此步驟只會將查詢儲存為清除查詢。 此階段不會清除任何物品。

  1. 在調查的 緩解 標籤中,你會自動被導向 清除佇列 儀表板。
  2. 選擇你想執行的清除查詢。
  3. 在清除查詢詳情頁面,檢視查詢細節並選擇 執行
  4. 在清除查詢確認對話框中,選擇 永久刪除
  5. 要查看清除查詢的狀態,請選擇 「活動 」標籤。

清除完成後,您可以下載一份 .zip 檔案報告,內含物品、位置、設定及清除物品的摘要資訊。

  • Last updated on