Microsoft Purview 数据安全调查 (预览版) 可帮助组织中的网络安全团队利用生成的人工智能 (AI) 来分析和响应数据安全事件、有风险的预览体验成员和数据泄露。 调查可帮助你快速识别敏感数据泄露的风险,并更有效地与合作伙伴团队协作,以修正问题并简化传统上耗时和复杂的任务。
分析师可以使用组织中的数据安全调查 (预览) 功能来:
- 快速高效地搜索、发现和识别受影响的数据。
- 使用深度内容 AI 分析发现数据中隐藏的确切数据风险。
- 采取措施减少数据安全事件的影响,并快速缓解持续的风险。
- 与内部和外部利益干系人就调查详细信息进行协作。
查看Microsoft机制视频和博客文章公告,了解数据安全调查 (预览) 如何帮助你响应数据安全事件。
AI 集成
数据安全调查 (预览版) 使用生成 AI 进行深入的内容分析,并发现调查中包含的数据的关键安全和敏感数据风险。 AI 可帮助分析师以高准确度快速分析大量数据,从而节省会审、审查和缓解作的关键时间。
有三个与 AI 相关的main调查功能:
- 矢量搜索:基于矢量的语义搜索支持基于相似性的信息检索,并理解文字字词以外的用户意图。 分析师查询受影响的数据以查找与特定主题相关的所有资产,即使缺少关键字也是如此。
- 分类:为了初步了解事件严重性,分析师可以使用 AI 对受影响的数据进行分类,将焦点缩小到高风险资产。 数据安全调查 (预览) 自动将数据分为默认、自定义或 AI 建议的类别。 分类项还包括按主题和风险级别分组。
- 检查:数据安全调查 (预览) 使分析师能够轻松解决大多数数据安全事件的头等大事-发现受影响数据中隐藏的安全风险。 通过检查受影响的安全风险数据,分析师可以发现泄露的凭据、网络风险或与安全事件相关的威胁参与者讨论的证据。
有关 AI 集成和这些工具的详细信息,请参阅了解数据安全调查 (预览版中的 AI 分析) 。
常见数据泄露作
大多数组织都担心与内部和外部数据安全漏洞相关的风险和影响不断增加。 网络安全团队负责在数据泄露方案中识别受影响的数据,以及如何减少减少与数据泄露方案中暴露的漏洞相关的风险所需的时间。 发生数据泄露时,必须快速有效地做出响应,以降低风险和保护敏感信息。
网络安全团队需要:
- 评估数据泄露:分析师必须了解数据泄露的范围和影响。 这种理解包括识别所有受影响的系统、受影响的数据以及与数据泄露相关的任何外部和内部用户。
- 遏制和通信:分析师必须隔离受影响的系统,以尽量减少和防止进一步的损害。 此外,组织中的内部利益干系人和部门 (IT、法律、高级管理) 需要通知和有关数据泄露的详细信息。
- 取证和证据保存:分析师在与数据取证专家联系时可能需要支持。 必须 (日志、系统快照、网络流量) 保留系统和状态详细信息,以满足潜在的法律和法规要求。
- 风险评估和缓解:分析师必须评估潜在风险,并根据风险严重性确定缓解措施的优先级。 此信息有助于实现配置和策略更新,包括实现适用的安全修补程序。
- 数据清除和保护:分析师可能需要删除不必要的或泄露的数据并删除冗余副本。 其他任务可能包括增强访问控制、数据加密和监视。
- 报告和合规性:根据所涉及的数据性质和受影响的司法管辖区,分析师可能需要遵守违规通知的法规要求。 这些要求可能包括通知受影响的个人、监管机构和其他利益干系人有关违规的性质以及为解决漏洞而采取的步骤。
常见方案
调查数据泄露
发生数据安全事件后,通常很难知道你不知道的内容,并且可能难以了解敏感数据暴露的影响。 作为缓解策略的一部分,你需要了解和识别可能泄露的知识产权、个人数据和财务信息。 此外,某些组织的任务是生成和维护自定义工具来调查这些问题。
使用Microsoft Defender XDR调查数据安全事件时,你发现发现了包含未文件专利的文档。 通过在 数据安全调查 (预览版) 中创建事件调查,进一步分析指示哪些用户下载了文档,以及文档是否是从有风险的 IP 地址访问的。 此信息提供了采取缓解措施的关键上下文,例如保护或清除组织的敏感文档。
机密数据泄露
在机密、敏感或受保护信息有意或无意地在其预期环境之外公开的情况下。 若要进一步调查潜在的数据泄漏,可以使用数据安全调查 (预览) 更好地了解事件影响并采取必要的后续步骤。
主动数据安全评估
数据安全调查 (预览) 还可用于主动评估数据资产的数据风险。 可以分析高价值数据源和用户的示例,了解数据风险,或者对特定的高价值数据源或更广泛的组织范围运行主动扫描。 评估有助于确定优化策略或组织更改的机会,以加强安全做法,并可能防止或减少未来数据安全事件的影响。
与其他Microsoft平台和解决方案集成
数据安全调查 (预览) 是一种统一的专用解决方案,旨在与其他Microsoft安全服务紧密集成。 数据安全调查 (预览版) 与支持 Microsoft Graph 的安全方法集成,可绘制受影响数据、用户和活动之间的关联。 此集成可帮助你快速识别受影响的数据、使用生成 AI 调查事件,并与安全团队的其他成员进行安全协作以降低风险。
Microsoft Defender XDR
Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件,可跨终结点、标识、电子邮件和应用程序本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。 使用与 数据安全调查 (预览版) 的内置集成,可以扩展威胁信号的分析,并深入了解与攻击和安全事件相关的数据。
使用 Microsoft Defender 门户,可以在数据安全调查 (预览版) 中评估警报并快速打开调查,深入了解与事件关联的数据和用户。 调查可帮助你分析警报详细信息,了解它们的含义,并收集和检查数据,以便进行更深入的审查和缓解工作。
若要详细了解Microsoft Defender XDR功能,请参阅Microsoft Defender XDR入门。
统一审核日志
Microsoft Purview 审核解决方案 提供了一个集成解决方案,可帮助组织有效地响应安全事件、取证调查、内部调查和合规性义务。 在数十个Microsoft服务和解决方案中执行的数千个用户和管理员作将捕获、记录并保留在组织的统一审核日志中。
数据安全调查 (预览) 提供了强大的调查工具,可能需要能够审核所执行的活动,以确保安全且已批准使用解决方案。 为了满足这些要求,数据安全调查 (预览) 活动会自动记录在统一审核日志中。
若要了解有关这些活动的详细信息,请参阅审核日志活动一文中的数据安全调查 (预览) 活动部分。
计费模型
数据安全调查 (预览) 可帮助你使用大型语言模型 (LLM) 和安全Microsoft Copilot识别泄露内容的数据风险。 由于数据安全调查 (预览版) 提供按需 AI 分析并与其他 Microsoft Purview 解决方案集成,因此它使用即用即付和容量计费模型。 这意味着,在解决方案中使用存储和 AI 容量功能会产生成本,但不需要专用企业计划或许可证即可使用数据安全调查 (预览版) 。
有关计费的详细信息,请参阅 数据安全调查 (预览版中的计费模型) 。