Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Понимание того, как учетные данные и другие сведения о доступе к ресурсам связаны с инцидентом безопасности данных, является важной частью выявления и устранения рисков.
Например, если вы обнаружите учетные данные в затронутых данных, связанных с инцидентом безопасности данных, администратор Microsoft Entra в вашей организации может присоединиться к расследованию, безопасно просмотреть извлеченные учетные данные и предпринять необходимые действия для сброса учетных записей. Вы также можете использовать исследования для уточнения существующих политик управления учетными записями, чтобы укрепить методики безопасности вашей организации.
Анализ данных на наличие учетных данных и сведений о доступе к ресурсам
Выполните следующие действия, чтобы определить учетные данные и данные доступа к ресурсам в элементах, включенных в область исследования.
Важно!
Перед настройкой экзаменов необходимо подготовить данные для анализа ИИ .
- Перейдите к Исследования по безопасности данных на портале Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной Исследования по безопасности данных разрешения.
- Выберите Исследования в левой области навигации.
- Выберите исследование, а затем на панели навигации выберите Анализ .
- Используйте средства поиска или классификации векторов для идентификации данных для проверки учетных данных.
- Выберите один или несколько элементов, а затем выберите Проверить на панели команд.
- В диалоговом окне Проверка с помощью ИИ введите имя процесса экзамена в поле Имя задания .
- Введите описание процесса экзамена в поле Описание задания .
- Выберите Учетные данные: извлечение учетных данных и доступ к ресурсам в выбранных элементах в поле Выбор области фокуса .
- Выберите Проверить , чтобы начать анализ ИИ.
Примечание.
Оценки времени для завершения процесса зависят от объема и размера выбранных данных. Чтобы сократить время обработки, отфильтруйте и исключите данные, неприменимые для исследования.
Экзамены по проверке учетных данных
После завершения обработки ИИ для выбранных элементов данных можно просмотреть проверки учетных данных, чтобы определить учетные данные и сведения о доступе к ресурсам для каждого элемента.
Проверка учетных данных включает следующие сведения для каждого элемента:
- Тема или заголовок: тема или название элемента данных.
- Извлеченные учетные данные. Сведения об учетных данных, включенные в элемент данных. Эта информация включает имена пользователей, пароли и многое другое.
- Тип учетных данных: тип учетных данных. Могут включать учетные данные пользователя, маркеры API, коды резервного копирования MFA и многое другое.
- Окружающий фрагмент кода: текстовые или строковые значения, окружающие сведения об учетных данных. Эти сведения помогают определить контекст, в котором учетные данные используются в элементе данных.
- Процесс размышления. Сводка аргументов о том, почему учетные данные, связанные с элементом, важны.
- Ошибки. Сводка всех ошибок обработки, возникающих при запуске процесса ИИ.
Пример проверки учетных данных
Результатом проверки может быть сводка или заметка для каждого идентифицированного элемента. Проверка выделяет предложения или фрагменты данных в содержимом, которое, вероятно, является конфиденциальным.
Например, проверка может вернуть В файле X ИИ обнаружил в документе 10 паролей пользователей и 5 ключей API . Или для сообщения электронной почты Email Y содержит беседу об обмене учетными данными базы данных. Эта сводка избавляет вас от чтения каждой строки вручную для каждого элемента и помогает очень быстро рассмотреть рискованное содержимое. Ниже приведен пример выходных данных глубокой проверки для элемента с риском учетных данных:
| File | String | Тип | Извлеченное значение | Анализ |
|---|---|---|---|---|
| EV-1.docx | T9!vX3p@7qLz | LoosePassword | T9!vX3p@7qLz | Строка соответствует типичному шаблону пароля с прописными буквами, строчными буквами, цифрами и специальными символами. Других индикаторов нет, поэтому он классифицируется как LoosePassword. |
Элемент с паролями открытого текста может быть помечен системой как Critical risk: Credentials exposed . Эти экзамены важны, и они согласуются с тем, что человек-аналитик будет считать серьезными, и они также включают объяснения.
Также следует выполнить следующие действия:
-
Проверка критических деталей вручную. В то время как процесс проверки выполняет тяжелый подъем, вы должны вручную проверить наиболее важные части. Если в документе указан определенный пароль, откройте документ, чтобы подтвердить контекст. Убедитесь, что это фактический активный пароль и чей пароль. Например, строка
P@ssw0rd123может быть идентифицирована и помечена как пароль. Но открыв файл, вы убедитесь, что он находится в таблице с именем УЧЕТНЫе данные VPN , а не в содержимом только в качестве примера заполнителя. Это подтверждает, что это можно сделать, и вы получите информацию, необходимую для действий. - Расширение область. Иногда при осмотре выявляются новые подсказки, требующие извлечения дополнительных данных. Например, вы обнаружите ссылки на имя проекта или учетную запись пользователя, которую вы изначально не искали. Следует рассмотреть возможность другого поиска проекта или учетной записи пользователя, чтобы узнать, есть ли связанные элементы. Векторный поиск имени проекта может найти связанные файлы, которые явно не упоминание пароли, но связаны с инцидентом безопасности.