Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Comprendere in che modo le credenziali e altre informazioni sull'accesso agli asset vengono associate a un evento imprevisto di sicurezza dei dati è una parte importante dell'identificazione e della mitigazione dei rischi.
Ad esempio, se si individuano le credenziali all'interno dei dati interessati associati all'evento imprevisto di sicurezza dei dati, un amministratore Microsoft Entra dell'organizzazione può partecipare all'indagine, visualizzare in modo sicuro le credenziali estratte ed eseguire i passaggi successivi necessari per reimpostare gli account. È anche possibile usare le informazioni di analisi per perfezionare i criteri di gestione degli account esistenti per rafforzare le procedure di sicurezza dell'organizzazione.
Analizzare i dati per le credenziali e le informazioni sull'accesso agli asset
Completare la procedura seguente per identificare le credenziali e i dati di accesso agli asset negli elementi inclusi nell'ambito dell'indagine:
Importante
È necessario preparare i dati per l'analisi dell'intelligenza artificiale prima di configurare gli esami.
- Passare al portale di Microsoft Purview e accedere usando le credenziali per un account utente assegnato Indagini sulla sicurezza dei dati autorizzazioni (anteprima).
- Selezionare la scheda della soluzione Indagini sulla sicurezza dei dati (anteprima) e quindi selezionare Indagini nel riquadro di spostamento a sinistra.
- Selezionare un'indagine, quindi selezionare Analisi sulla barra di spostamento.
- Usare gli strumenti di ricerca vettoriale o categorizzazione per identificare i dati per l'esame delle credenziali.
- Selezionare uno o più elementi, quindi selezionare Esamina sulla barra dei comandi.
- Nella finestra di dialogo Esamina con intelligenza artificiale immettere il nome per il processo di esame nel campo Nome processo .
- Immettere una descrizione per il processo di esame nel campo Descrizione processo .
- Selezionare Credenziali: Estrarre le credenziali e accedere agli asset negli elementi selezionati nel campo Scegliere un'area di messa a fuoco .
- Selezionare Esamina per avviare l'analisi dell'intelligenza artificiale.
Nota
Il tempo stimato per il completamento del processo si basa sulla quantità e sulle dimensioni dei dati selezionati. Per ridurre i tempi di elaborazione, filtrare ed escludere i dati non applicabili all'indagine.
Esami delle credenziali
Al termine dell'elaborazione dell'intelligenza artificiale per gli elementi di dati selezionati, è possibile esaminare gli esami delle credenziali per identificare i dettagli di accesso alle credenziali e agli asset per ogni elemento.
Gli esami delle credenziali includono le informazioni seguenti per ogni elemento:
- Oggetto/Titolo: oggetto o titolo dell'elemento dati.
- Credenziali estratte: dettagli delle credenziali inclusi nell'elemento dati. Queste informazioni includono nomi utente, password e altro ancora.
- Tipo di credenziale: tipo di credenziale. Potrebbe includere credenziali utente, token API, codici di backup MFA e altro ancora.
- Frammento di codice circostante: i valori di testo o stringa che circondano i dettagli delle credenziali. Queste informazioni consentono di determinare il contesto in cui vengono usate le credenziali nell'elemento dati.
- Processo di pensiero: riepilogo del motivo per cui le credenziali associate all'elemento sono importanti.
- Errori: riepilogo di eventuali errori di elaborazione rilevati durante l'esecuzione del processo di intelligenza artificiale.
Esempio di esame delle credenziali
L'output dell'esame potrebbe essere un riepilogo o un'annotazione per ogni elemento identificato. L'esame evidenzia frasi o frammenti di dati nel contenuto che probabilmente sono sensibili.
Ad esempio, l'esame potrebbe ripetere in File X, l'intelligenza artificiale ha trovato ciò che sembra 10 password utente e 5 chiavi API in un documento. Oppure per un messaggio di posta elettronica, Email Y contiene una conversazione sulla condivisione delle credenziali del database. Questo riepilogo consente di evitare di leggere manualmente ogni riga per ogni elemento e consente di valutare il contenuto rischioso molto rapidamente. Ecco un esempio di output di un esame approfondito per un elemento con rischio di credenziali:
| File | Stringa | Tipo | Valore estratto | Analisi |
|---|---|---|---|---|
| EV-1.docx | T9!vX3p@7qLz | LoosePassword | T9!vX3p@7qLz | La stringa corrisponde a un modello di password tipico, con caratteri maiuscoli, minuscoli, numeri e caratteri speciali. Non sono presenti altri indicatori, quindi viene classificato come .LoosePassword |
Un elemento con password non crittografato potrebbe essere contrassegnato come Critical risk: Credentials exposed dal sistema. Questi esami sono importanti, si allineano a ciò che un analista umano considererebbe grave e includono anche spiegazioni.
È anche consigliabile eseguire le azioni seguenti:
-
Verificare manualmente i dettagli critici: mentre il processo di esame esegue il sollevamento pesante, è necessario verificare manualmente i pezzi più critici. Se in un documento viene identificata una password specifica, aprire il documento per confermare il contesto. È necessario verificare che si tratti di una password attiva effettiva e di cui è la password. Ad esempio, la stringa
P@ssw0rd123potrebbe essere identificata ed è etichettata come password. Aprendo il file, tuttavia, si verifica che si tratti di una tabella denominata Credenziali VPN e non solo nel contenuto come segnaposto di esempio. Ciò conferma che è attuabile e fornisce le informazioni necessarie per agire. - Espandere l'ambito: a volte gli esami rivelano nuovi indizi che richiedono il pull di più dati. Ad esempio, si individuano i riferimenti a un nome di progetto o a un account utente che non è stato cercato inizialmente. È consigliabile prendere in considerazione un'altra ricerca per il progetto o l'account utente per verificare se sono presenti elementi correlati. Una ricerca vettoriale per il nome del progetto potrebbe trovare file correlati che non menzionano in modo esplicito le password, ma sono correlati all'evento imprevisto di sicurezza.