Más información sobre Investigaciones de seguridad de datos (versión preliminar)

Investigaciones de seguridad de datos de Microsoft Purview (versión preliminar) ayuda a los equipos de ciberseguridad de su organización a usar inteligencia artificial generativa (IA) para analizar y responder a incidentes de seguridad de datos, internos de riesgo e infracciones de datos. Las investigaciones le ayudan a identificar rápidamente los riesgos de la exposición de datos confidenciales y a colaborar de forma más eficaz con los equipos asociados para corregir los problemas y simplificar las tareas que tradicionalmente consumen mucho tiempo y son complejas.

Los analistas pueden usar las características de Investigaciones de seguridad de datos (versión preliminar) de la organización para:

• Búsqueda, detección e identificación de datos afectados de forma rápida y eficaz.
• Use análisis de inteligencia artificial de contenido profundo para detectar riesgos de datos exactos ocultos en los datos.
• Tome medidas para reducir el impacto de los incidentes de seguridad de datos y mitigar rápidamente los riesgos continuos.
• Colabore con las partes interesadas internas y externas en los detalles de la investigación.

Consulte los siguientes vídeos para obtener información sobre cómo Investigaciones de seguridad de datos (versión preliminar) puede ayudarle a responder a incidentes de seguridad de datos:

• Vídeo de Microsoft Mechanics
• Desbloquear el poder de Investigaciones de seguridad de datos con Microsoft Purview
• Investigaciones de seguridad de datos de Microsoft Purview preguntarme cualquier cosa

Integración de inteligencia artificial

Investigaciones de seguridad de datos (versión preliminar) usa inteligencia artificial generativa para realizar un análisis profundo del contenido y descubrir riesgos clave de seguridad y datos confidenciales para los datos incluidos en las investigaciones. La inteligencia artificial ayuda a los analistas a analizar rápidamente grandes volúmenes de datos con alta precisión, lo que ahorra tiempo crítico para las acciones de evaluación, revisión y mitigación.

Hay tres funcionalidades de investigación principales relacionadas con la inteligencia artificial:

• Búsqueda vectorial: la búsqueda semántica basada en vectores permite la recuperación de información basada en similitud y comprende la intención del usuario más allá de las palabras literales. Los analistas consultan los datos afectados para buscar todos los recursos relacionados con un asunto determinado, incluso si faltan palabras clave.
• Categorización: para obtener una comprensión inicial de la gravedad de los incidentes, los analistas pueden usar la inteligencia artificial para clasificar los datos afectados, lo que reduce el enfoque a los recursos de alto riesgo. Investigaciones de seguridad de datos (versión preliminar) ordena automáticamente los datos en categorías predeterminadas, personalizadas o sugeridas por IA. Los elementos categorizados también incluyen la agrupación por materia y nivel de riesgo.
• Examen: Investigaciones de seguridad de datos (versión preliminar) permite a los analistas abordar fácilmente la prioridad número uno para la mayoría de los incidentes de seguridad de datos: encontrar riesgos de seguridad enterrados dentro de los datos afectados. Al examinar los datos afectados en busca de riesgos de seguridad, los analistas pueden encontrar credenciales en peligro, riesgos de red o pruebas de discusiones de actores de amenazas asociadas a incidentes de seguridad.

Para obtener más información sobre la integración de IA y estas herramientas, consulte Información sobre el análisis de IA en Investigaciones de seguridad de datos (versión preliminar).

Acciones comunes de vulneración de datos

La mayoría de las organizaciones están preocupadas por los riesgos y el impacto crecientes relacionados con las infracciones de seguridad de datos internas y externas. El equipo de ciberseguridad es responsable de identificar los datos afectados durante un escenario de vulneración de datos y reducir el tiempo necesario para mitigar el riesgo asociado a vulnerabilidades expuestas dentro de un escenario de vulneración de datos. Cuando se produce una vulneración de datos, debe responder de forma rápida y eficaz para mitigar los riesgos y proteger la información confidencial.

El equipo de ciberseguridad debe:

• Evaluar la vulneración de datos: los analistas deben comprender el ámbito y el impacto de la vulneración de datos. Esta comprensión incluye la identificación de todos los sistemas afectados, los datos afectados y los usuarios externos e internos asociados a la vulneración de datos.
• Contención y comunicación: los analistas deben aislar los sistemas afectados para minimizar y evitar daños adicionales. Además, las partes interesadas internas y los departamentos de su organización (TI, Legal, Executive Management) necesitan notificación y los detalles sobre la vulneración de datos.
• Conservación de pruebas forenses: es posible que los analistas necesiten soporte técnico al interactuar con expertos en análisis forenses de datos. Los detalles del sistema y del estado deben conservarse (registros, instantáneas del sistema, tráfico de red) para los posibles requisitos legales y normativos.
• Evaluación y mitigación de riesgos: los analistas deben evaluar los posibles riesgos y priorizar las acciones de mitigación en función de la gravedad del riesgo. Esta información ayuda a implementar actualizaciones de directivas y configuración, incluida la implementación de revisiones de seguridad aplicables.
• Purga y protección de datos: es posible que los analistas deban quitar datos innecesarios o en peligro y eliminar copias redundantes. Otras tareas pueden incluir el fortalecimiento de los controles de acceso, el cifrado de datos y la supervisión.
• Informes y cumplimiento: en función de la naturaleza de los datos implicados y de las jurisdicciones afectadas, es posible que los analistas deban cumplir los requisitos normativos para la notificación de infracciones. Estos requisitos pueden incluir la información a las personas afectadas, los organismos reguladores y otras partes interesadas sobre la naturaleza de la infracción y las medidas adoptadas para abordarla.

Escenarios comunes

Investigación de una vulneración de datos

Después de un incidente de seguridad de datos, puede ser difícil comprender el impacto de la exposición de datos confidenciales. Como parte de su estrategia de mitigación, debe identificar la propiedad intelectual, los datos personales y la información financiera que podrían estar en peligro. Además, algunas organizaciones crean y mantienen herramientas personalizadas para investigar estos problemas.

Al usar Microsoft Defender XDR para investigar incidentes de seguridad de datos, es posible que descubra un documento que contenga patentes sin archivo. Al crear una investigación a partir del incidente en Investigaciones de seguridad de datos (versión preliminar), el análisis posterior muestra qué usuarios descargaron el documento y si se accedió a él desde una dirección IP de riesgo. Esta información proporciona un contexto crítico para tomar medidas de mitigación, como proteger o purgar el documento confidencial de la organización.

Investigación de una posible fuga de datos de un usuario interno de riesgo

Al usar Insider Risk Management para investigar las alertas de pérdida de datos de un usuario de riesgo de su organización, es posible que sepa que el usuario ha compartido correos electrónicos y archivos con una solución de almacenamiento externo. Con la integración integrada, puede crear una nueva investigación en Investigaciones de seguridad de datos (versión preliminar) a partir del caso de Insider Risk Management para revisar rápidamente la información preliminar sobre el contenido compartido. Antes de confirmar cualquier cargo o recurso de proceso adicional, puede decidir si este contenido necesita análisis adicionales.

Si agrega los elementos compartidos al ámbito de la investigación, el procesamiento se inicia automáticamente para que pueda profundizar más en los detalles del contenido. Cuando se completa el procesamiento, todos los datos se clasifican y evalúan para determinar la gravedad del riesgo. Los analistas pueden revisar rápidamente los elementos de gravedad más alta e identificar los elementos que necesitan una mirada más detallada. Los detalles sobre nombres de usuario, contraseñas, contenido de documentación y código fuente están disponibles para su revisión según corresponda. A continuación, los analistas pueden trabajar con otras partes interesadas de su organización para tomar medidas sobre los elementos más críticos a fin de mitigar los riesgos continuos de la fuga de datos.

Pérdida de datos confidenciales

En escenarios en los que la información confidencial, confidencial o protegida se expone intencionada o involuntariamente fuera de su entorno previsto, puede usar Investigaciones de seguridad de datos (versión preliminar) para investigar aún más una posible fuga de datos, comprender mejor el impacto de los incidentes y realizar los pasos siguientes necesarios.

Evaluación proactiva de la seguridad de datos

También puede usar Investigaciones de seguridad de datos (versión preliminar) para evaluar de forma proactiva el patrimonio de datos en busca de riesgos de datos. Puede analizar un ejemplo de orígenes de datos de alto valor y usuarios para determinar si hay riesgo de datos o ejecutar exámenes proactivos de orígenes de datos específicos de alto valor o un ámbito más amplio para toda la organización. La evaluación ayuda a identificar oportunidades para refinar directivas o cambios organizativos con el fin de fortalecer las prácticas de seguridad y, potencialmente, prevenir o reducir el impacto de incidentes de seguridad de datos futuros.

Integración con otras plataformas y soluciones de Microsoft

Investigaciones de seguridad de datos (versión preliminar) es una solución unificada y diseñada específicamente que está estrechamente integrada con otros servicios de seguridad de Microsoft. Integrado con nuestro enfoque de seguridad habilitado para Microsoft Graph, Investigaciones de seguridad de datos (versión preliminar) dibuja correlaciones entre datos, usuarios y actividades afectados. Esta integración le ayuda a identificar rápidamente los datos afectados, investigar incidentes mediante IA generativa y colaborar de forma segura con otros miembros del equipo de seguridad para mitigar el riesgo.

Microsoft Defender XDR

Microsoft Defender XDR es un conjunto de defensa empresarial unificado previo y posterior a la vulneración que coordina de forma nativa la detección, la prevención, la investigación y la respuesta entre puntos de conexión, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques sofisticados. Con la integración integrada con Investigaciones de seguridad de datos (versión preliminar), puede ampliar el análisis de las señales de amenazas y profundizar en los datos asociados a ataques e incidentes de seguridad.

Mediante el portal de Microsoft Defender, puede evaluar alertas y abrir rápidamente una investigación en Investigaciones de seguridad de datos (versión preliminar) para obtener información más detallada sobre los datos y los usuarios asociados al incidente. La investigación le ayuda a analizar los detalles de la alerta, comprender lo que significan y recopilar y examinar datos para realizar esfuerzos de revisión y mitigación más profundos.

Para obtener más información sobre las características de Microsoft Defender XDR, consulte Introducción a Microsoft Defender XDR.

Administración de riesgos internos de Microsoft Purview

Combinando las funcionalidades de integración e investigación de Investigaciones de seguridad de datos con las características proactivas de administración de riesgos de Administración de riesgos internos de Microsoft Purview, su organización tiene una visión holística de los posibles riesgos y la capacidad de tomar medidas oportunas para proteger la información confidencial. Es posible que los investigadores de Administración de riesgos internos no tengan información importante sobre el contenido contenido en los archivos asociados a alertas de riesgo. Esta brecha podría dar lugar a un mal manejo de las alertas y, en última instancia, dificultar su eficacia en la mitigación de amenazas internas.

La integración entre Investigaciones de seguridad de datos (versión preliminar) y Insider Risk Management permite una colaboración perfecta entre los equipos de ciberseguridad y administración de riesgos. Esta colaboración permite una identificación más eficaz y una mitigación más rápida de las amenazas internas. Para obtener más información sobre las características de Insider Risk Management, consulte los artículos siguientes:

• Introducción a Insider Risk Management
• Creación y administración de directivas de Insider Risk Management
• Investigar alertas de riesgo interno
• Tomar medidas en casos de riesgos internos

Registro de auditoría unificado

Las soluciones de auditoría de Microsoft Purview proporcionan una solución integrada para ayudar a las organizaciones a responder eficazmente a eventos de seguridad, investigaciones forenses, investigaciones internas y obligaciones de cumplimiento. El registro de auditoría unificado de su organización captura, registra y conserva miles de operaciones de usuario y administración realizadas en docenas de servicios y soluciones de Microsoft.

Investigaciones de seguridad de datos (versión preliminar) proporciona herramientas de investigación eficaces que pueden requerir la capacidad de auditar las actividades realizadas para garantizar un uso seguro y aprobado de la solución. Para cumplir estos requisitos, las actividades de Investigaciones de seguridad de datos (versión preliminar) se registran automáticamente en el registro de auditoría unificado.

Para obtener más información sobre estas actividades, consulte la sección Actividades de investigaciones de seguridad de datos (versión preliminar) en el artículo Actividades de registro de auditoría.

Modelos de facturación

Investigaciones de seguridad de datos (versión preliminar) le ayuda a identificar los riesgos de datos para el contenido infringido mediante modelos de lenguaje grande (LLM) y Microsoft Copilot para la seguridad. Dado que Investigaciones de seguridad de datos (versión preliminar) proporciona análisis de inteligencia artificial a petición e se integra con otras soluciones de Microsoft Purview, usa modelos de facturación de pago por uso y capacidad. Esta estructura de facturación significa que paga por las características de capacidad de almacenamiento e inteligencia artificial que usa en la solución. Sin embargo, no necesita un plan de empresa dedicado o una licencia para usar Investigaciones de seguridad de datos (versión preliminar).

Para obtener más información sobre la facturación, consulte Modelos de facturación en Investigaciones de seguridad de datos (versión preliminar).

¿Está listo para empezar?

• Más información sobre el flujo de trabajo de Investigaciones de seguridad de datos (versión preliminar)
• Introducción a Investigaciones de seguridad de datos (versión preliminar)