数据安全调查 (预览) 工作流可帮助你快速识别、调查与安全和数据泄露事件相关的数据并采取措施。 此工作流不是一个线性过程,它包含多个使用 AI 和活动微调搜索、证据收集、分类和调查的步骤的重要迭代要求。
标识数据和访问并执行作使用以下工作流:
步骤 1:识别和升级事件
识别数据安全事件
数据泄露和其他数据安全事件需要快速采取措施来识别和遏制组织的潜在风险。 快速识别这些事件并简化集成响应至关重要。 调查数据安全事件令人生畏,可能包括跨多个工具的低效工作流、手动工作以及随着调查规模的增长而变得额外的复杂性、对受影响数据的劳动密集型评审以及成本增加。
数据安全调查 (预览) 可帮助你调查和缓解数据安全事件,并显著缩短解决时间。 识别数据安全事件后,你将创建新的调查,使数据安全团队能够识别与事件相关的数据,进行深入的内容分析,并在一个统一的解决方案中缓解风险。
从Microsoft Defender XDR上报数据安全事件
如果你已在组织中使用 Microsoft Defender XDR,则与 数据安全调查 (预览版) 集成可让你快速无缝地创建新的调查。 调查自动包括Defender XDR事件节点中的所有与事件相关的数据项。
步骤 2:创建调查并查找受影响的数据
在 数据安全调查 (预览版) 中创建调查非常简单。 根据方案,从以下方法创建调查:
- Microsoft Defender XDR事件:从Defender XDR事件创建调查。
- 使用搜索模板手动:使用预定义的 搜索模板快速创建调查。
- 使用完全草稿模式手动:使用 完整草稿模式选项 创建调查,以配置特定数据源和搜索条件。
步骤 3:搜索、评估结果和查看
创建调查后,可以查看和更新数据源,并使用搜索工具来识别与数据安全事件相关的项目。 此评审包括以下Microsoft 365 服务中的项:
- Exchange Online 邮箱
- SharePoint 网站
- OneDrive 账户
- Microsoft Copilot提示和响应
- Microsoft Teams
可以创建并运行与调查关联的不同 搜索 。 在 查询生成器 中使用条件 ((如关键字、文件类型、事件等 ) )创建自定义搜索查询,这些查询使用与数据安全事件最有可能相关的数据返回结果。
步骤 4:将数据添加到调查范围
查看和优化搜索查询后,将所有相关数据项添加到 调查范围。 此步骤可用于筛选和查看特定数据项,并识别不想使用 ai 工具查看数据安全调查 (预览) 的任何项目。
步骤 5 () :调查项目
将数据项添加到 调查范围后,可以开始优化数据并将其缩小到与调查最相关的项目。 将项缩小到最小数量的适用数据有助于提高以后与 AI 处理相关的速度和成本。
在此步骤中,将执行以下作:
步骤 5 (b) :使用 AI 进行调查
为 AI 处理准备数据项并完成处理后,即可开始使用 AI 相关工具,帮助将调查重点缩小到最具影响力和关键性的项目。
在评审中使用以下工具和作来识别特定数据项并对其执行作:
重要
数据安全调查 (预览版) 中的每个 AI 工具的使用相关的存储和 AI 容量成本注意事项。 有关详细信息,请参阅 数据安全调查 (预览版) 中的计费模型和在 数据安全调查 (预览版中使用 AI 分析) 。
步骤 6:采取措施缓解
确定与日期安全事件关联的最相关和最具影响力的项目后,就可以采取特定措施来帮助缓解风险。
- 查看缓解建议:在选择要检查的项目并选择“缓解”作为重点区域时,将创建缓解建议。 自动化 AI 处理可识别相关威胁并建议缓解步骤。
- 评审凭据考试:选择 考试项目并选择“凭据 ”作为重点区域时,将标识 凭据 和其他访问资产检查。 AI 分析处理会自动识别和生成凭据详细信息、类型和特定建议。
- 审阅风险检查:选择要 检查的项目并选择 “ 风险 ”作为重点区域时,将自动创建安全风险评分和检查。 风险分数可帮助你针对最具影响力和风险的数据项确定缓解措施的优先级。
- 使用缓解计划:查看检查和建议后,将调查范围中的特定数据项添加到 缓解计划。 此计划可帮助你管理和跟踪每个数据项的缓解状态。