När vi väl har definierat vår informationsklassifikation och märkt upp vår information utefter dess känslighetsgrad kan vi på olika sätt få en utökad spårbarhet.
Något som är högst intressant är att identifiera om det förekommer känslig information på en enhet eller av en användare som utsatt för någon form av risk. Riskerna är allt ifrån detekterat intrång, virus/malware eller kapad identitet.

Tack vare att fler och fler av Microsofts tjänster och även tredjeparts produkter får förståelse för den metadata som Azure Information Protection och Unified Labeling i Office 365 adderar till vår information får vi helt nya möjligheter.

Via nyheter i portalen för Azure Information Protection finner vi bland annat Data discovery, som redovisar information som hämtas från Windows Defender Security Center.

Informationen om Device Risk kommer från Windows Defender Advanced Threat Protection (WD ATP). Baserat på alla säkerhetsfunktioner och sin egen beteendebaserade säkerhetstjänst i Windows, identifieras det om det pågår några konstigheter på enheten eller med användaren. Risken klassificeras som Low – Medium – High vilket redovisas och länkar till Windows Defender Security Center.

Via portalen Windows Defender Security Center  kan vi se alla detaljer runt den klassificerade risken. Är WD ATP även integrerat med Azure Advanced Threat Protection ges även information om det förekommer risker med användaren eller enheten i den lokala infrastrukturen vilket till exempel kan tyda på intrång i den lokala infrastrukturen.

Utred och åtgärda ett eventuellt intrång eller informationsläckageförsök

Det finns flera åtgärder att vidta för att motverka informationsläckage vid den här typen av incidenter. Några exempel:

Om en enhet har blivit eller misstänkts vara kapad kan vi bland annat med hjälp av WD ATP isolera maskinen för att det inte skall gå att nätverksmässigt överföra någon information.

Via AIP portalen kan vi identifiera vilka filer som setts till på den kapade enheten:

Finns det risk för att filen redan flyttats och det finns en osäkerhet om fler konton med behörighet till informationen kan ha kapats bör filen revokeras via AIPs tracking portal.

Misstänker man att användarens konto är kapat bör kontot inaktiveras eller minst byta lösenord på kontot. Detta leder då till att information skyddad av AIP inte blir tillgänglig med hjälp av detta konto. Tillåts offline access för skyddad information alternativt om information skyddats från en enhet som också blivit kapad bör enheten raderas/låsas för att minimera risken att det finns cachade licenser som kan ge tillgång till information.

Automatisk blockering av riskfyllda användare går att uppnå genom att skapa en Conditional Access regel för AIP. Regeln nedan blockerar all access till AIP tjänsten när inloggningen är av hög risk.