Изучение возможностей Copilot в Microsoft Purview

  • 30 мин

Microsoft Security Copilot доступен в решениях по безопасности и соответствию требованиям Microsoft Purview, включая защиту от потери данных (DLP), управление внутренними рисками, соответствие требованиям к обмену данными и обнаружение электронных данных (Премиум).

В этом упражнении вы изучите возможности суммирования Copilot, доступные в каждом из этих решений. Сначала убедитесь, что подключаемый модуль Microsoft Purview включен.

Примечание.

Среда для этого упражнения — это имитация, созданная из продукта. В качестве ограниченного моделирования ссылки на странице могут не быть включены, а текстовые входные данные, которые находятся за пределами указанного скрипта, могут не поддерживаться. Всплывающее сообщение отображает сообщение "Эта функция недоступна в моделировании". При возникновении этого сообщения нажмите кнопку "ОК" и продолжайте действия упражнения.

Снимок экрана всплывающего экрана с указанием того, что эта функция недоступна в моделировании.

Упражнения

Для этого упражнения вы вошли в систему как Avery Howard. У вас есть роль владельца Copilot и разрешения конкретной роли, необходимые для доступа к каждому из решений Microsoft Purview, используемых в этом упражнении.

Вы работаете с определенными решениями Microsoft Purview, используя новый портал Microsoft Purview и доступ к внедренным возможностям Copilot этих решений.

Выполнение этого упражнения занимает примерно 30 минут.

Примечание.

При вызове инструкции лаборатории для открытия ссылки на имитированную среду рекомендуется открыть ссылку в новом окне браузера, чтобы одновременно просмотреть инструкции и среду упражнений. Для этого выберите нужный ключ мыши и выберите этот параметр.

Задача. Включение подключаемого модуля Microsoft Purview

В этой задаче вы включите подключаемый модуль Microsoft Purview. Для этой задачи вы работаете в автономном интерфейсе.

  1. Откройте имитированную среду, выбрав эту ссылку: Microsoft Security Copilot.

  2. На целевой странице Microsoft Security Copilot выберите значокЗначок источников "Источники" на панели запроса.

    1. В окне "Управление источниками" в подключаемых модулях Майкрософт выберите "Показать еще 11".
    2. Прокрутите вниз, чтобы видимый подключаемый модуль Microsoft Purview.
    3. Выберите значокscreenshot of information iconсведений. Запишите инструкции, а затем закройте страницу подключаемых модулей, выбрав X в правом верхнем углу окна "Управление источниками".

  3. Выберите менюСнимок экрана: значок меню "Главная", часто называемое значком гамбургера.

    1. Выберите Параметры подключаемого модуля.
    2. Включите переключатель рядом с разрешением Безопасности Copilot получить доступ к данным из служб Microsoft 365.
    3. Вернитесь на домашнюю страницу Copilot, выбрав Microsoft Security Copilot в левом верхнем углу страницы рядом с значком домашнего меню (гамбургер).

  4. Теперь, когда Copilot включен для доступа к данным из служб Microsoft 365, вернитесь на страницу подключаемых модулей и включите подключаемый модуль Microsoft Purview.

    1. На панели запроса выберите значок "Источники".
    2. В окне "Управление источниками" в подключаемых модулях Майкрософт выберите Показать 13 других.
    3. Включите переключатель рядом с Microsoft Purview, чтобы включить подключаемый модуль.
    4. Закройте окно "Управление источниками", выбрав X.

Задача: Исследование рискованной активности с помощью Security Copilot

Для этого и всех последующих задач вы изучите функциональные возможности Copilot, внедренные в Microsoft Purview.

В этой задаче вы изучите оповещение, связанное с потенциальными кражами данных. Сначала просмотрите оповещение вручную, чтобы определить ключевые показатели риска, а затем используйте Security Copilot для ускорения расследования. В частности, вы ищете активность файлов, связанную с EmployeeInfo_EDM.csv, который содержит конфиденциальную информацию о сотрудниках и был вовлечен в события, связанные с утечкой данных.

Microsoft Copilot предполагает разрешения пользователя при попытке доступа к данным для ответа на запросы. Чтобы получить доступ к данным, связанным с решением Microsoft Purview Insider Risk Management, пользователю Copilot необходимо назначить соответствующую роль.

  1. Откройте среду, выбрав эту ссылку: Портал Microsoft Purview.

  2. На портале Microsoft Purview Решения>Управление внутренними рисками>Оповещения.

  3. Выберите первое оповещение в списке с идентификатором оповещения ad18a3a1.

  4. Просмотрите оповещение:

    1. Проверьте имя оповещения, связанную политику, серьезность и оценку риска. Проверьте, когда оповещение было активировано и почему.
    2. Выберите "Просмотреть все сведения" , чтобы просмотреть профиль пользователя, включая членство в группах и состояние приоритета. Затем закройте панель.
    3. На вкладке Все факторы риска просмотрите активность эксфильтрации, активность последовательности, приоритетное содержимое и типы конфиденциальной информации.
    4. Перейдите на вкладку обозревателя действий и проверьте ключевые события по дате генерации оповещений.
    5. Используйте вкладку "Действия пользователя " для просмотра шаблонов поведения пользователей в более широком диапазоне времени.

  5. Используйте Security Copilot для проведения более глубокой проверки.

    1. На странице оповещений выберите Сводка, чтобы быстро создать резюме об оповещении и недавнем поведении пользователя.
    2. В области Copilot выберите предопределенное предложение Суммировать действия пользователя за последние 30 дней.
    3. При загрузке сводки просмотрите ответ, а затем выберите Просмотр активности, чтобы открыть полное представление действий пользователя.
    4. В левой области выберите необычные действия.
    5. Расширьте первую активность последовательности, указанную для 25 февраля 2025 года.
    6. Выберите ссылку 2 события, чтобы просмотреть действия, включенные в эту последовательность.
    7. Найдите запись для EmployeeInfo_EDM.csv. Разверните сведения и просмотрите связанные действия для этого файла.

Задача: Просмотр аналитических сведений о политике защиты от потери данных с помощью Security Copilot

Для этой задачи вы узнаете, как Security Copilot может помочь определить сильные стороны и пробелы в охвате вашей политики защиты от потери данных (DLP).

В крупных организациях может быть сложно быстро оценить, обеспечивают ли существующие политики необходимое покрытие для различных местоположений, типов данных и организационных границ. Copilot Security может предоставить аналитические сведения и помочь вам сосредоточить внимание там, где это наиболее важно.

  1. На портале Microsoft Purview перейдите в раздел Решения>Защита от потери данных>Политики.

  2. Прокрутите список политик защиты от потери данных, чтобы получить представление о том, сколько политик существует и как они называются. Они могут представлять различные расположения, классификации или бизнес-единицы.

  3. Выберите Copilot>Получите информацию о существующих политиках.

  4. Когда откроется панель "Безопасность Copilot", просмотрите общие аналитические сведения , отображаемые по умолчанию.

  5. Изучите каждую категорию аналитики:

    1. Выберите "Аналитика по расположению", а затем выберите Exchange. Просмотрите отображаемые аналитические сведения.
    2. Повторите этот процесс для конечной точки.
    3. Выберите Аналитику по административным единицам и просмотрите результаты.
    4. Выберите Аналитику по классификации данных и просмотрите результаты.

  6. В нижней части области Copilot выберите предопределенный запрос Какие типы конфиденциальной информации мы защищаем с помощью этих политик DLP? и просмотрите результаты.

  7. В области Copilot выберите предопределенный запрос, применяется ли эта политика защиты от потери данных ко всем пользователям в моей организации? И просмотрите результаты.

  8. В поле ввода Copilot введите Есть ли какие-либо пробелы в политике, которую я в данный момент создал? и просмотрите предоставленный ответ.

Используйте эти аналитические сведения, чтобы понять, как распределяются текущие политики защиты от потери данных и соответствуют ли они потребностям в защите данных вашей организации. Просмотрите результаты, чтобы определить любые возможности для улучшения охвата.

Задача: изучить оповещения о предотвращении потери данных с помощью Security Copilot.

В этой задаче вы используете Security Copilot для расследования оповещения DLP и изучения активности пользователей и конфиденциальной информации, связанных с оповещением. Вы просматриваете различные представления, доступные в области оповещений, и используете предварительно заданные команды Copilot, чтобы направлять ваше расследование.

  1. На портале Microsoft Purview перейдите в раздел Решения>Предотвращение потери данных>Оповещения.

  2. Прокрутите список оповещений и выберите оповещение о соответствии политике защиты от потери данных для документа "POS-Leavers_0325.xlsx" на устройстве.

  3. Когда откроется оповещение:

    1. Просмотрите вкладки для сводки действий"Сведения", "События" и "Пользователь".

  4. На вкладке Подробные сведения выполните следующие действия.

    1. Просмотрите сведения об оповещении.
    2. В нижней части вкладки выберите Обобщить>обобщение оповещений.
    3. Просмотрите созданную сводку на панели Copilot.

  5. В области Copilot выберите запрос какое действие было выполнено с данными в этом оповещении? и ознакомьтесь с ответом.

  6. Затем выберите запрос Описать конфиденциальную информацию, метки файлов или данные, активируя это оповещение , и просмотрите результаты.

  7. Вернитесь на вкладку "Сведения" :

    1. Чтобы создать сводку действий пользователей, выберите Сводка>Сводка активности пользователей.

  8. В области Copilot:

    1. Выберите "Показать ключевые действия", выполняемые пользователем за последние 10 дней.
    2. Просмотрите действие пользователя для более широкого контекста.

  9. Перейдите на вкладку "События" и просмотрите файл, который активировал оповещение.

  10. Перейдите на вкладку "Сводка действий пользователя ":

    1. Прокрутите страницу, чтобы просмотреть любые связанные действия, связанные с инсайдерскими рисками.

Используйте эти сведения, чтобы создать более четкое представление о том, что вызвало оповещение, как обрабатывались конфиденциальные данные, и требуется ли дальнейшее рассмотрение, исходя из поведения пользователей.

Задача: изучить случаи eDiscovery и создать запрос с помощью Security Copilot.

В этой задаче вы изучите, как Security Copilot помогает в расследовании инцидентов и создании запросов в Microsoft Purview eDiscovery. Сначала просмотрите сводку по делу, а затем создайте пользовательский поиск, чтобы найти файлы, помеченные как конфиденциальные и с доступом для внешних пользователей.

В данной ситуации вы помогаете в расследовании возможной утечки конфиденциальных данных. Несколько поисковых запросов уже добавляются в дело в рамках первоначальной проверки. Ваша роль заключается в использовании Security Copilot, чтобы помочь резюмировать детали дела, проанализировать действия и создать более целенаправленный поиск.

  1. На портале Microsoft Purview перейдите к Решения>электронное обнаружение>Дела.

  2. На странице "Дела " выберите "Обнаружение конфиденциальной информации".

  3. В верхней части страницы дела выберите "Суммировать этот случай".

  4. Откроется панель Security Copilot со сводкой по делу. Проверка созданного контента.

  5. В области Copilot выберите стандартные запросы:

    1. Сколько политик удержания в этом случае имеют ошибки?
    2. Какие политики хранения в этом случае имеют ошибки?

  6. На основе сводки дела и текущих выводов вам предлагается искать конфиденциальные файлы, которые могут предоставляться внешне. Чтобы начать это исследование, нажмите кнопку "Создать поиск ".

  7. Назовите поиск "Конфиденциальные данные", затем выберите Создать.

  8. На странице поиска под полем ввода запроса выберите Составить запрос с помощью Copilot.

  9. Ознакомьтесь с доступными вариантами в справочнике Copilot:

    1. Выберите "Просмотреть запросы", а затем выберите "Найти все сообщения электронной почты", содержащие слова "Бюджет" и "Финансы" и "Вложения". Выберите "Создать keyQL" , чтобы просмотреть, как создается запрос.
    2. Повторите этот процесс для запроса поиска всех чатов в месяце января 2020 года, содержащего слово "финансовый год".
    3. Повторите этот процесс для запроса поиска файлов типа .docx, содержащих слова конфиденциально и бюджет.

  10. В поле ввода запроса введите "Поиск файлов", помеченных как конфиденциальные, которые были переданы внешним пользователям.

  11. Выберите Создать KeyQL, чтобы преобразовать подсказку в запрос.

После создания запроса можно продолжить расследование, просмотрив результаты поиска. Определите файлы, соответствующие критериям, и определите, нужно ли добавлять их в набор проверки или экспортировать их для дальнейшего изучения.

Эта задача демонстрирует, как Security Copilot может поддерживать ваш процесс расследования, суммируя ключевые сведения и предлагая соответствующие подсказки. Он также помогает создавать поиски, которые отражают область дела.

Отзыв

В этом упражнении вы использовали Security Copilot для поддержки расследований в Microsoft Purview. Вы ознакомились с оповещениями о внутренних рисках, изучили политики защиты от потери данных и оповещения и работали с делом обнаружения электронных данных.

Каждая задача показала, как Copilot может помочь резюмировать информацию, определить шаблоны и направлять на следующие шаги. Вы использовали встроенные запросы и входные данные естественного языка для фокусировки исследования и сбора соответствующего контекста.

Эти действия отражают, как Copilot может помочь с общими задачами в рабочих процессах безопасности данных и соответствия требованиям.