探索 Copilot 在 Microsoft Purview 中的功能

  • 30 分钟

Microsoft Security Copilot 在 Microsoft Purview 数据安全和合规性解决方案中可用,这些解决方案包括数据丢失防护 (DLP)、内部风险管理、通信合规性和电子数据展示(高级版)。

在本练习中,你将了解每个解决方案中提供的 Copilot 摘要功能。 首先验证是否已启用 Microsoft Purview 插件。

注意

本练习的环境是从产品生成的模拟。 由于模拟有限,可能无法启用页面上的链接,并且不支持位于指定脚本之外的基于文本的输入。 显示弹出消息,指示“此功能在模拟中不可用”。出现此消息时,请选择“确定”,并继续执行练习步骤。

弹出屏幕的屏幕截图,指示此功能在模拟中不可用。

练习

在本练习中,你以 Avery Howard 的身份登录。 你拥有 Copilot 所有者角色,同时也具备访问用于此练习的每个 Microsoft Purview 解决方案所需的具体角色权限。

您可以使用新的 Microsoft Purview 门户来处理特定的 Microsoft Purview 解决方案,并访问这些解决方案中嵌入的 Copilot 功能。

完成此练习大约需要 30 分钟

注意

当实验室说明要求打开模拟环境的链接时,我们建议在新浏览器窗口中打开该链接,这样就可以同时查看说明和练习环境。 为此,请选择鼠标右键,然后选择该选项。

任务:启用 Microsoft Purview 插件

在此任务中,你将启用 Microsoft Purview 插件。 对于此任务,你将在独立体验中工作。

  1. 通过选择此链接打开模拟环境:智能 Microsoft Security Copilot 副驾驶®

  2. 在智能 Microsoft Security Copilot 副驾驶®登陆页中,选择提示栏中的源图标源图标

    1. 在管理资源窗口的 Microsoft 插件下,选择显示“另外 11 个”
    2. 向下滚动,使 Microsoft Purview 插件可见。
    3. 选择“信息”图标“信息”图标的屏幕截图。 注意这些说明,然后通过选择“管理源”窗口右上角的“X”关闭插件页

  3. 选择“主页”菜单“主页”菜单图标的屏幕截图,通常称为汉堡图标

    1. 选择“插件设置”
    2. 启用“允许 Security Copilot 访问 Microsoft 365 服务中的数据”旁的切换开关。
    3. 通过选择页面左上角“主页”菜单(汉堡)图标旁的“Microsoft Security Copilot”返回到 Copilot 主页。

  4. 现在已经启用 Copilot,可访问 Microsoft 365 服务中的数据,请返回到插件页并启用 Microsoft Purview 插件。

    1. 从提示栏中,选择“资源”图标
    2. 在“管理源”窗口中,在 Microsoft 插件下,选择显示另外 13 项
    3. 启用 Microsoft Purview 旁边的切换开关以启用插件。
    4. 选择“X”,关闭“管理资源”窗口

任务:使用安全副驾驶调查风险活动

对于此任务和所有后续任务,你将探索 Microsoft Purview 中嵌入的 Copilot 功能。

在此任务中,你将调查与潜在数据外泄相关的警报。 首先,手动查看警报以识别关键风险指标,然后使用 安全 Copilot 加速调查。 特别是,你要查找与 EmployeeInfo_EDM.csv 相关的文件活动,该文件包含敏感的员工信息,并涉及了外泄事件

Microsoft Copilot 在尝试访问数据以应答查询时,会假定用户的权限。 若要访问与 Microsoft Purview Insider Risk Management 解决方案关联的数据,必须为 Copilot 用户分配适当的角色。

  1. 通过选择以下链接打开环境:Microsoft Purview 门户

  2. 在 Microsoft Purview 门户中,解决方案>内部风险管理>警报

  3. 选择列表中具有警报 ID ad18a3a1 的第一个警报。

  4. 查看警报:

    1. 检查警报名称、关联的策略、严重性和风险评分。 查看何时触发警报以及原因。
    2. 选择“ 查看所有详细信息 ”以查看用户配置文件,包括组成员身份和优先级状态。 然后关闭面板。
    3. 在“ 所有风险因素 ”选项卡中,查看外泄活动、序列活动、优先级内容和敏感信息类型。
    4. 选择 “活动资源管理器 ”选项卡,检查警报日期周围的关键事件。
    5. 使用“ 用户活动 ”选项卡查看更广泛的时间范围内用户行为中的模式。

  5. 使用 Security Copilot 指导更深入的审阅

    1. 在警报页中,选择 “汇总 ”以生成警报和用户最近行为的快速摘要。
    2. 在 Copilot 窗格中,选择预定义的提示 “汇总用户过去 30 天的活动”。
    3. 当摘要加载时,查看响应,然后选择 “查看活动 ”以打开完整的用户活动视图。
    4. 在左窗格中,选择 “异常活动”。
    5. 展开所列出的 2025 年 2 月 25 日的第一个序列活动
    6. 选择 2 个事件 链接来查看序列中包含的作用。
    7. 查找 EmployeeInfo_EDM.csv 的条目。 展开详细信息并查看此文件的关联操作。

任务:使用 Security Copilot 查看数据丢失防护策略见解

对于此任务,你将探索 Security Copilot 如何帮助识别数据丢失防护(DLP)策略覆盖范围中的优势和不足之处。

在大型环境中,很难快速评估现有策略是否跨位置、数据类型和组织边界提供必要的覆盖。 Security Copilot 可以显示见解,并帮助你将注意力集中在最重要的地方。

  1. 在 Microsoft Purview 门户中,转到 解决方案>数据丢失防护>策略

  2. 滚动浏览 DLP 策略列表,了解存在多少策略及其命名方式。 这些可能表示不同的位置、分类或业务部门。

  3. 选择 Copilot>获取对现有策略的洞察

  4. 打开“Security Copilot”窗格时,请查看默认显示的常规见解

  5. 浏览每个见解类别:

    1. 选择“按位置划分的见解”,然后选择“Exchange”。 查看显示的见解。
    2. Endpoint 重复此过程。
    3. 选择按管理单元的洞察并查看结果。
    4. 按数据分类选择见解并查看结果。

  6. 在 Copilot 窗格底部,选择预定义的提示: 我们使用这些 DLP 策略保护哪些类型的敏感信息? 并查看结果。

  7. 在 Copilot 窗格中,选择预定义的提示 ,此 DLP 策略是否适用于我组织中的所有用户? 并查看结果。

  8. 在 Copilot 输入字段中,键入 是否存在基于当前已创建的策略的差距? 并查看提供的答案。

使用这些见解了解当前 DLP 策略的分布方式以及它们是否符合组织的数据保护需求。 查看结果,确定改善覆盖范围的任何机会。

任务:使用 Security Copilot 调查数据丢失防护警报

在此任务中,你将使用安全 Copilot 调查 DLP 警报,并检查警报中涉及的用户活动和敏感信息。 浏览警报窗格中提供的不同视图,并使用预定义的 Copilot 提示来指导调查。

  1. 在 Microsoft Purview 门户中,转到 解决方案>数据丢失防护>警报

  2. 滚动浏览警报列表,选择“设备上的文档‘POS-Leavers_0325.xlsx’的 DLP 策略匹配”的警报

  3. 警报打开时:

    1. 查看“ 详细信息”、“ 事件”和 “用户”活动摘要的选项卡。

  4. 在“详细信息”选项卡上:

    1. 查看警报详细信息。
    2. 在选项卡底部,选择“汇总>汇总警报”。
    3. 在 Copilot 窗格中查看生成的摘要。

  5. 在 Copilot 窗格中,选择提示“对此警报中的数据执行了哪些活动?”并查看答复

  6. 接下来,选择提示 “描述触发此警报的敏感信息、文件标签或数据 ”并查看结果。

  7. 返回“ 详细信息 ”选项卡:

    1. 选择 “汇总”>用户活动以生成相关用户活动的摘要。

  8. 在 Copilot 窗格中:

    1. 选择“ 显示用户在过去 10 天内执行的关键作”。
    2. 查看用户活动以获取更广泛的上下文。

  9. 转到“ 事件 ”选项卡并查看触发警报的文件。

  10. 转到 “用户活动摘要 ”选项卡:

    1. 滚动浏览以查看任何相关的内部风险活动。

使用此信息可以更清楚地了解触发警报的内容、如何处理敏感数据以及用户行为是否建议进一步审查。

任务:调查电子数据展示案件,并使用 Security Copilot 生成查询

在此任务中,你将探索 Security Copilot 如何支持在 Microsoft Purview eDiscovery 中进行案例调查和查询创建。 首先查看案例摘要,然后创建自定义搜索以查找标记为机密和外部共享的文件。

在此方案中,你将协助调查可能泄露机密数据的案件。 在初始审阅过程中,多个搜索已添加到案件中。 你的角色是使用安全 Copilot 来帮助汇总案例详细信息、分析活动并构建更有针对性的搜索。

  1. 在 Microsoft Purview 门户中,转到 解决方案>电子数据展示>案例

  2. “案例 ”页上,选择 “敏感信息发现”。

  3. 在案例页面顶部,选择“ 汇总此案例”。

  4. 此时会打开“Security Copilot”窗格,其中包含案件摘要。 查看生成的内容。

  5. 在 Copilot 窗格中,选择预定义的提示:

    1. 在这种情况下,有多少保留策略有错误?
    2. 在这种情况下,哪些保留策略有错误?

  6. 根据案例摘要和当前发现结果,系统会要求你搜索可能在外部共享的机密文件。 若要开始调查的此部分,请选择“ 创建搜索 ”按钮。

  7. 将搜索命名为 “机密数据搜索”,然后选择“ 创建”。

  8. “搜索 ”页上的“查询输入”下,选择“ 使用 Copilot 起草查询”。

  9. 浏览 Copilot 提示手册中的可用选项:

    1. 选择 “查看提示”,然后选择“ 查找包含预算和财务”字眼的所有电子邮件,并具有附件。 选择 “生成 KeyQL ”以查看查询的生成方式。
    2. 对提示“搜索 2020 年 1 月发生的包含“financial year”一词的所有聊天”重复此过程
    3. 对提示“搜索包含机密字词和预算 .docx 类型的文件”重复此过程

  10. 在查询输入框中,键入 “搜索标记为机密”的文件,这些文件与外部用户共享。

  11. 选择“ 生成 KeyQL ”,将提示转换为查询。

生成查询后,可以通过查看搜索结果继续调查。 确定符合条件的文件,并确定它们是否需要添加到评审集或导出以供进一步检查。

此任务显示安全 Copilot 如何通过汇总关键详细信息并提供相关提示来支持调查过程。 它还有助于构造反映事例范围的搜索。

评审

在本练习中,你使用了 Security Copilot 来支持在 Microsoft Purview 中的调查。 你查看了内部风险警报、浏览了 DLP 策略和警报,并处理了电子数据展示案件。

每个任务都演示了 Copilot 如何帮助汇总信息、识别模式并指导后续步骤。 你使用内置提示和自然语言输入来集中调查并收集相关上下文。

这些行动反映了 Copilot 如何在数据安全性和合规性工作流中协助执行常见任务。