資料安全性調查 (預覽) 工作流程幫助您快速識別、調查並採取行動,處理與安全及資料外洩事件相關的資料。 這個工作流程並非線性。 它包含多個步驟的重大迭代要求,以透過 AI 與活動來微調搜尋、證據收集、分類及調查。
識別並採取行動資料與存取,使用以下工作流程:
步驟一:識別並升級事件
識別資料安全事件
資料外洩及其他資料安全事件需要迅速行動,以識別並控制對組織潛在的風險。 迅速識別這些事件並簡化整合應對至關重要。 調查資料安全事件可能令人望而生畏。 這可能包括多種工具間的低效率工作流程、手動作業,以及隨著調查規模擴大而增加的複雜度。 你可能會面臨對受影響資料的繁複審查和增加的成本。
資料安全性調查 (預覽) 協助你調查並減輕資料安全事件的緩解,並加速解決時間。 在識別出資料安全事件後,您建立新的調查機制,使資料安全團隊能識別事件相關資料、進行深入內容分析,並在統一解決方案中降低風險。
從 Microsoft Defender 全面偵測回應資料安全事件
如果你已經在組織中使用 Microsoft Defender 全面偵測回應,與預覽) 資料安全性調查 (整合,讓你能快速且無縫地建立新的調查。 調查會自動包含 Defender 全面偵測回應事件節點的所有與事件相關的資料項目。
將資料安全事件升級至內部風險管理部門
如果你已經在組織中使用內部風險管理,與預覽) 整合資料安全性調查 (讓你能快速建立針對識別出風險使用者活動的新調查。
從預覽資料安全性態勢管理 (的洞察中升級)
如果你已經在組織中使用資料安全性態勢管理 (預覽) ,與預覽) 整合資料安全性調查 (讓你能快速從潛在的資料外洩發現與洞察中建立新的調查。
步驟二:建立調查並尋找受影響的資料
在預覽) 建立調查資料安全性調查 (快速且簡單。 根據你的情境,你可以從以下單位建立調查:
- Microsoft Defender 全面偵測回應事件:從 Defender 全面偵測回應事件建立調查。
- Microsoft Purview 內部風險管理案例:從內部風險管理建立調查。
- 手動使用完整草稿模式:透過 完整草稿模式選項 建立調查,以設定特定資料來源與搜尋條件。
步驟三:搜尋、評估結果並審核
建立調查後,你可以檢視並更新資料來源。 使用搜尋工具來識別與資料安全事件相關的項目。 本評測包含以下 Microsoft 365 服務的項目:
| 資料來源 | 搜尋內容類型 | 風險內容範例 |
|---|---|---|
| Exchange Online | 使用者信箱中的電子郵件與附件 | 電子郵件中傳送的憑證或機密資料,外部分享的敏感檔案。 |
| Microsoft Copilot | AI 提示與回應 | Copilot或AI提示中的敏感資料。 |
| Microsoft Teams | 聊天訊息 (一對一,群組聊天) 和頻道貼文 | 聊天中包含的秘密,Teams 對話中的機密資訊。 |
| OneDrive | 使用者檔案 | 具備安全存取金鑰的使用者檔案、資料庫匯出等功能。 |
| SharePoint | 遺址中的文件與檔案 | 包含密碼、客戶資料或機密計畫的文件。 |
你可以建立並執行與調查相關的 各種搜尋 。 在 查詢建構 器中使用關鍵字、檔案類型、事件事件) 等條件 (,建立自訂搜尋查詢,回傳資料中最有可能與資料安全事件相關的結果。
步驟4:將資料加入調查範圍
在您檢視並精煉搜尋查詢後,將所有相關資料項目加入 調查範圍。 在此步驟中,你篩選並檢視特定資料項目。 你也會用 AI 工具在預覽) 中找出不想評論資料安全性調查 (項目。
) (步驟5:調查物品
在將資料項目加入 調查範圍後,開始精煉並縮小範圍,找出對調查最相關的項目。 將項目縮小到適用資料最少,有助於提升 AI 處理的速度並降低相關成本。
在此步驟中,執行以下動作:
步驟五 (b) :用 AI 調查
在準備 AI 處理資料並完成處理後,開始使用 AI 相關工具,幫助你將調查重點縮小到最具影響力且關鍵的項目。
在審查中請使用以下工具與行動,以識別並對特定資料項目採取行動:
- 使用 向量搜尋 自然語言查詢,找出需要檢視的項目。
- 使用 「與 AI 搜尋」 (預覽) 搭配自然語言查詢與關鍵字,彙整搜尋結果供檢視。
- 定義並配置 AI 驅動的內容類別 。
- 利用內建 的檢查區 來檢查選定的題目。
- 選擇項目加入 減緩計畫。
重要事項
在預覽) 中使用各 AI 工具時,會考慮儲存空間與 AI 容量資料安全性調查 (成本。 欲了解更多資訊,請參閱資料安全性調查 (預覽) 中的計費模型,以及預覽資料安全性調查 (中的 AI 分析) 。
步驟五 (c) :利用資料風險圖調查, (預覽)
在準備 AI 處理資料項目並完成處理後,使用資料風險圖打造結合資產與活動資料的視覺調查體驗。 此檢視有助於你辨識與安全事件相關的使用者、網站及資料項目的節點與關聯。
如需詳細資訊,請參閱:
在 Microsoft Purview 中了解Microsoft Sentinel (預覽) 資料安全性調查 (預覽中的資料風險圖表)
步驟六:採取措施減輕
在您辨識出與資料安全事件最相關且影響最大的項目後,採取具體行動以協助降低風險。
- 檢視緩解建議:當您選擇檢查項目並選擇 緩解 為重點時,解決方案 會產生緩解建議。 自動化的 AI 處理能識別相關威脅並建議緩解措施。
- 檢視資格考試:當你選擇考試項目並選擇資格作為重點時,系統會識別資格及其他資產考試。 AI 分析處理能自動識別並產生資格細節、類型及具體建議。
- 檢視風險檢查:當您選擇檢視項目並選擇 風險 作為重點時,解決方案會自動建立安全 風險分數與檢查。 風險分數幫助你優先處理最具影響力且風險最大的資料項目的緩解行動。
- 使用緩解計畫:在審查檢查與建議後,將調查範圍中的具體資料加入 緩解計畫中。 此計畫幫助您管理並追蹤每個資料項目的緩解狀態。
最佳做法
- 反覆迭代並明智運用 AI 分析:調查很少能一步就結束。 利用分類與向量搜尋中的 AI 建議,找出隱藏問題。 任何關鍵發現都務必用人眼驗證。 調查員的判斷在關鍵決策中至關重要。
- 保持調查範圍的聚焦:當你發現更多資料時,很容易感到不知所措。 利用分類排除無關資訊,並主要聚焦於任何有風險的項目。
- 及早Engage組織中的合適團隊:資料安全事件通常涵蓋多個領域。 這些領域可能包括您組織中的資安、資訊科技與合規。 一旦發現需要行動的區域,請盡快與合作夥伴團隊分享。
- 使用整合Microsoft服務:資料安全性調查 (預覽) 是更廣泛的 Microsoft Purview 與 Defender 生態系統的一部分。 如果您的調查顯示存在內部風險,請開啟 內部風險管理 案件。 如果是從Microsoft Defender 全面偵測回應警示開始,請用你的發現更新該事件。 目標是從頭到尾地了解組織內事件的全貌。