了解憑證及其他資產存取資訊如何與資料安全事件相關聯,是識別與降低風險的重要一環。
例如,若您在與資料安全事件相關的受影響資料中發現憑證,組織內的 Microsoft Entra 管理員可加入調查,安全查看擷取的憑證,並採取必要的後續步驟重置帳戶。 您也可以利用調查經驗來精煉現有的帳戶管理政策,強化組織的安全實務。
分析憑證資料及資產存取資訊
完成以下步驟以識別調查範圍項目中的憑證及資產存取資料:
重要事項
你必須在設定考試前 準備好 AI 分析的資料 。
- 請前往 Microsoft Purview 入口網站,使用指定資料安全性調查權限的使用者帳號憑證登入。
- 選擇「資料安全性調查解決方案」卡片,然後在左側導覽中選擇「調查」。
- 選擇調查,然後在導覽欄選擇 分析 。
- 使用向量搜尋或分類工具來識別資格審查所需的資料。
- 選擇一項或多項項目,然後在指令列選擇 「檢視 」。
- 在 「用 AI 考試 」對話框中,請在 職缺名稱 欄位輸入你的考試流程名稱。
- 請在 職務說明 欄輸入考試流程說明。
- 選擇憑證:在「選擇焦點區域」欄位中擷取憑證並存取所選項目中的資產。
- 選擇 「檢視 」以開始 AI 分析。
注意事項
流程完成的時間估計是根據所選資料的數量與大小而定。 為縮短處理時間,請過濾並排除與調查無關的資料。
資格考試
當 AI 對所選資料項目的處理完成後,您可以檢視憑證檢查結果,以識別每個項目的憑證與資產存取細節。
資格考試包含每項項目的以下資訊:
- 主題/標題:資料項目的主題或標題。
- 擷取憑證:資料項目中包含的憑證細節。 這些資訊包括使用者名稱、密碼等。
- 憑證類型:憑證類型。 可能包含使用者憑證、API 令牌、多重驗證備份碼等等。
- 環繞摘要:圍繞憑證細節的文字或字串值。 這些資訊有助於判斷憑證在資料項目中使用的上下文。
- 思考過程:總結為何該物品相關的資歷重要性。
- 錯誤:AI 程序執行時遇到的處理錯誤摘要。
資格考試範例
檢查結果可能是每個已識別項目的摘要或註解。 檢查會標示內容中可能敏感的句子或資料片段。
例如,檢查可能會發現 在檔案 X 中,AI 在一份文件中發現了看起來像 10 個使用者密碼和 5 個 API 金鑰 。 或者電子郵件,Email Y 包含關於共享資料庫憑證的對話。 這個摘要省去你手動逐行閱讀每個項目的過程,並幫助你快速篩選風險內容。 以下是針對資格風險項目的深度審查輸出範例:
| 檔案 | 字串 | 類型 | 提取價值 | 分析 |
|---|---|---|---|---|
| EV-1.docx | T9!vX3p@7qLz | 鬆散密碼 | T9!vX3p@7qLz | 該字串符合典型的密碼模式,包含大寫、小寫、數字及特殊字元。 沒有其他指標,因此被歸類為 LoosePassword。 |
系統可能會標記為明 Critical risk: Credentials exposed 文密碼的項目。 這些檢查很重要,符合人類分析師認為的嚴重程度,並且包含解釋。
你也應該採取以下措施:
-
手動驗證關鍵細節:雖然檢查過程負責繁重工作,但你應該手動驗證最關鍵的部分。 若文件中識別特定密碼,請打開文件確認上下文。 你應該確認這是真實有效的密碼,以及是誰的密碼。 例如,字串
P@ssw0rd123可能被識別為密碼。 但打開檔案時,你確認它在一個名為 VPN 憑證 的表格中,而非內容中,僅作為一個範例佔位符。 這證明了行動可行,並提供你採取行動所需的資訊。 - 擴大範圍:有時檢查會揭示需要更多資料的新線索。 例如,你發現了對專案名稱或一個你一開始沒搜尋的使用者帳號的參考。 你可以考慮再搜尋專案或使用者帳號,看看是否有相關項目。 向量搜尋專案名稱可能會找到相關檔案,雖然沒有明確提及密碼,但與安全事件有關。