Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Рабочий процесс Исследования по безопасности данных (предварительная версия) помогает быстро выявлять, исследовать и принимать меры в отношении данных, связанных с инцидентами безопасности и нарушениями безопасности. Этот рабочий процесс не является линейным процессом, он включает в себя значительные требования к итерации для нескольких шагов по точной настройке поиска, сбора доказательств, классификации и исследования с помощью ИИ и действий.
Для определения и выполнения действий с данными и доступом используется следующий рабочий процесс:
Шаг 1. Выявление и эскалация инцидентов
Определение инцидента с безопасностью данных
Утечка данных и другие инциденты безопасности данных требуют быстрых действий для выявления и сдерживания потенциальных рисков для вашей организации. Очень важно быстро определить эти инциденты и упростить интегрированное реагирование. Исследование инцидента безопасности данных является сложной задачей и может включать в себя неэффективные рабочие процессы в нескольких средствах, ручную работу и дополнительную сложность по мере увеличения размера исследования, трудоемких проверок затронутых данных и увеличения затрат.
Исследования по безопасности данных (предварительная версия) помогает исследовать и устранять инциденты с безопасностью данных, а также значительно ускорить их устранение. После выявления инцидента безопасности данных вы создадите новое исследование, чтобы команда безопасности данных могла выявлять связанные с инцидентами данные, проводить глубокий анализ содержимого и снизить риски в рамках одного единого решения.
Эскалация инцидента с безопасностью данных из Microsoft Defender XDR
Если вы уже используете Microsoft Defender XDR в организации, интеграция с Исследования по безопасности данных (предварительная версия) позволяет быстро и легко создать новое исследование. Исследование автоматически включает все элементы данных, связанные с инцидентами, из узла Defender XDR инцидента.
Шаг 2. Создание исследования и поиск затронутых данных
Создание исследования в Исследования по безопасности данных (предварительная версия) — это быстро и просто. В зависимости от сценария исследования создаются на основе:
- Microsoft Defender XDR инцидентов. Создайте расследование на основе инцидента Defender XDR.
- Вручную с шаблоном поиска. Быстро создайте исследование с помощью стандартных шаблонов поиска.
- Вручную в режиме полного черновика. Создайте исследование с помощью параметра полного черновика для настройки конкретных источников данных и условий поиска.
Шаг 3. Поиск, оценка результатов и проверка
После создания исследования можно просматривать и обновлять источники данных, а также использовать средства поиска для выявления элементов, связанных с инцидентом безопасности данных. Эта проверка включает элементы из следующих служб Microsoft 365:
- Почтовых ящиках Exchange Online.
- Сайты SharePoint
- Учетные записи OneDrive
- Microsoft Copilot запросов и ответов
- Microsoft Teams
Вы можете создавать и выполнять различные поисковые запросы , связанные с исследованием. Условия (например, ключевые слова, типы файлов, инциденты и т. д.) используются в построителе запросов для создания пользовательских поисковых запросов, возвращающих результаты с данными, которые, скорее всего, относятся к инциденту безопасности данных.
Шаг 4. Добавление данных в область исследования
После просмотра и уточнения поискового запроса все соответствующие элементы данных добавляются в область исследования. На этом шаге вы фильтруете и просматриваете определенные элементы данных, а также определяете элементы, которые вы не хотите просматривать с помощью средств ИИ в Исследования по безопасности данных (предварительная версия).
Шаг 5 (a). Исследование элементов
После добавления элементов данных в область исследования вы можете начать уточнение и сужение данных до наиболее важных элементов для исследования. Сужение элементов до наименьшего объема применимых данных помогает увеличить скорость и затраты, связанные с обработкой ИИ.
На этом шаге вы выполните следующие действия:
- Выберите определенные элементы, которые нужно добавить непосредственно в план устранения рисков , если это применимо.
- Определение или исключение определенных элементов из обработки ИИ.
- Подготовьте данные для обработки ИИ. Все не исключенные элементы векторизированы для включения семантического поиска и классификации данных.
Шаг 5 (b). Исследование с помощью ИИ
После подготовки элементов данных для обработки ИИ и завершения обработки вы можете приступить к использованию средств, связанных с ИИ, чтобы сузить фокус исследования только на наиболее важные и важные элементы.
Используйте следующие средства и действия в проверке для выявления и выполнения действий с определенными элементами данных:
- Используйте векторный поиск запросов на естественном языке, чтобы определить элементы для проверки.
- Определите и настройте категории на основе ИИ для содержимого.
- Используйте встроенные области проверки для выбранных элементов.
- Выберите элементы для добавления в план устранения рисков.
Важно!
Существуют рекомендации по затратам на хранение и емкость ИИ, связанные с использованием каждого из средств ИИ в Исследования по безопасности данных (предварительная версия). Дополнительные сведения см. в разделах Модели выставления счетов в Исследования по безопасности данных (предварительная версия) и Использование анализа ИИ в Исследования по безопасности данных (предварительная версия).
Шаг 6. Выполнение действий по устранению рисков
После того как вы определите наиболее важные и важные элементы, связанные с инцидентом безопасности даты, пришло время принять конкретные меры для снижения рисков.
- Ознакомьтесь с рекомендациями по устранению рисков. Рекомендации по устранению рисков создаются, когда вы выбираете элементы для изучения и выбираете устранение рисков в качестве основной области. Автоматизированная обработка ИИ определяет связанные угрозы и рекомендует шаги по их устранению.
- Проверка проверки учетных данных. Учетные данные и другие проверки активов доступа определяются при выборе элементов для проверки и выборе учетных данных в качестве основной области. Сведения об учетных данных, типе и конкретных рекомендациях автоматически определяются и создаются при обработке анализа ИИ.
- Проверка рисков. Оценка риска безопасности и проверка создаются автоматически, когда вы выбираете предметы для изучения и выбираете риски в качестве основной области. Оценка риска помогает определить приоритеты действий по устранению рисков для наиболее важных и рискованных элементов данных.
- Используйте план устранения рисков. После изучения экзаменов и рекомендаций добавьте определенные элементы данных из область исследования в план устранения рисков. Этот план помогает управлять состоянием устранения рисков для каждого элемента данных и отслеживать его.