Analizzare le attività di gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

L'analisi delle attività utente potenzialmente rischiose è un primo passo importante per ridurre al minimo i rischi insider per l'organizzazione. Questi rischi possono essere attività che generano avvisi dai criteri di gestione dei rischi Insider. Possono anche essere rischi derivanti da attività correlate alla conformità rilevate dai criteri, ma non creare immediatamente avvisi di gestione dei rischi Insider per gli utenti. È possibile analizzare questi tipi di attività usando i report attività utente (anteprima) o il dashboard avvisi.

Consiglio

Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.

Report sulle attività degli utenti

I report attività utente consentono di esaminare le attività potenzialmente rischiose (per utenti specifici e per un periodo di tempo definito) senza dover assegnare queste attività, temporaneamente o esplicitamente, a criteri di gestione dei rischi Insider. Nella maggior parte degli scenari di gestione dei rischi Insider, gli utenti sono definiti in modo esplicito nei criteri e possono avere avvisi dei criteri (a seconda degli eventi di attivazione) e punteggi di rischio associati alle attività. In alcuni scenari, tuttavia, è possibile esaminare le attività per gli utenti che non sono definiti in modo esplicito in un criterio. Queste attività possono essere destinate agli utenti che hanno ricevuto un suggerimento sull'utente e sulle attività potenzialmente rischiose oppure agli utenti che in genere non devono essere assegnati a criteri di gestione dei rischi Insider.

Dopo aver configurato gli indicatori nella pagina Impostazioni di gestione dei rischi Insider, viene rilevata l'attività utente per attività potenzialmente rischiose associate agli indicatori selezionati. Questa configurazione significa che tutte le attività rilevate per gli utenti sono disponibili per la revisione, indipendentemente dal fatto che abbia un evento di attivazione o se crea un avviso. I report vengono creati in base all'utente e possono includere tutte le attività per un periodo personalizzato di 90 giorni. Non sono supportati più report per lo stesso utente.

Dopo aver esaminato le attività potenzialmente rischiose, gli investigatori possono ignorare le attività dei singoli utenti come benigne. Possono anche condividere o inviare tramite posta elettronica un collegamento al report con altri investigatori o scegliere di assegnare utenti (temporaneamente o esplicitamente) a criteri di gestione dei rischi Insider. Gli utenti devono essere assegnati al gruppo di ruoli Insider Risk Management Investigators per visualizzare la pagina Report attività utente .

Panoramica del report sulle attività utente di gestione dei rischi Insider.

Per iniziare, selezionare Gestisci report nella sezione Analizzare l'attività utente nella pagina Panoramica della gestione dei rischi Insider.

Per visualizzare le attività per un utente, selezionare innanzitutto Crea report attività utente e completare i campi seguenti nel riquadro Nuovo report attività utente :

  • Utente: cercare un utente per nome o indirizzo di posta elettronica.
  • Data di inizio: usare il controllo calendario per selezionare la data di inizio per le attività utente.
  • Data di fine: usare il controllo calendario per selezionare la data di fine per le attività utente. La data di fine selezionata deve essere maggiore di due giorni dopo la data di inizio selezionata e non superiore a 90 giorni dalla data di inizio selezionata.

Nota

I dati esterni all'intervallo selezionato possono essere inclusi se l'utente è stato incluso in precedenza in un avviso.

I dati sulle attività utente sono disponibili per la creazione di report circa 48 ore dopo l'attività. Ad esempio, per esaminare i dati dell'attività utente per il 1° dicembre, è necessario assicurarsi che siano trascorsa almeno 48 ore prima di creare il report (si creerà un report il 3 dicembre al più presto).

I nuovi report in genere richiedono fino a 10 ore prima che siano pronti per la revisione. Quando il report è pronto, il report pronto viene visualizzato nella colonna Stato della pagina Report attività utente. Selezionare l'utente per visualizzare il report dettagliato:

Report attività utente di gestione dei rischi Insider

Il report Attività utente per l'utente selezionato contiene le schede Attività utente, Esplora attività e Prove forensi :

  • Attività utente: usare questa visualizzazione grafico per analizzare le attività potenzialmente rischiose e visualizzare le attività potenzialmente correlate che si verificano in sequenze. Questa scheda è strutturata per consentire una rapida revisione di un caso, inclusa una sequenza temporale cronologica di tutte le attività, i dettagli delle attività, il punteggio di rischio corrente per l'utente nel caso, la sequenza di eventi di rischio e i controlli di filtro per facilitare le attività investigative.
  • Esplora attività: questa scheda fornisce agli investigatori dei rischi uno strumento di analisi completo che fornisce informazioni dettagliate sulle attività. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale delle attività rischiose rilevate e identificare e filtrare tutte le attività potenzialmente rischiose associate agli avvisi. Per altre informazioni sull'uso di Esplora attività, vedere la sezione Esplora attività più avanti in questo articolo.

Dashboard degli avvisi

Gli avvisi di gestione dei rischi Insider vengono generati automaticamente dagli indicatori di rischio definiti nei criteri di gestione dei rischi Insider. Questi avvisi offrono agli analisti e agli investigatori della conformità una visualizzazione completa dello stato di rischio corrente e consentono all'organizzazione di valutare e intraprendere azioni per i potenziali rischi individuati. Per impostazione predefinita, i criteri generano una certa quantità di avvisi di gravità bassa, media e alta, ma è possibile aumentare o ridurre il volume degli avvisi in base alle proprie esigenze. Inoltre, è possibile configurare la soglia di avviso per gli indicatori dei criteri durante la creazione di un nuovo criterio con lo strumento di creazione dei criteri.

Nota

Per gli avvisi generati, la gestione dei rischi Insider genera un singolo avviso aggregato per utente. Tutte le nuove informazioni dettagliate per l'utente vengono aggiunte allo stesso avviso.

Vedere il video Insider Risk Management Alerts Triage Experience per una panoramica del modo in cui gli avvisi forniscono dettagli, contesto e contenuti correlati per attività rischiose e su come rendere il processo di indagine più efficace.

Importante

Se l'ambito dei criteri è di una o più unità amministrative, è possibile visualizzare solo gli avvisi per gli utenti a cui si ha l'ambito. Ad esempio, se un ambito amministrativo si applica solo agli utenti in Germania, è possibile visualizzare solo gli avvisi per gli utenti in Germania. Gli amministratori senza restrizioni possono visualizzare tutti gli avvisi per tutti gli utenti dell'organizzazione.

Gli amministratori con restrizioni non possono accedere agli avvisi per gli utenti assegnati tramite gruppi di sicurezza o gruppi di distribuzione aggiunti nelle unità amministrative. Tali avvisi utente sono visibili solo agli amministratori senza restrizioni. Microsoft consiglia di aggiungere gli utenti direttamente alle unità amministrative per garantire che gli avvisi siano visibili anche agli amministratori con restrizioni con unità amministrative assegnate.

Come vengono generati gli avvisi

L'immagine seguente mostra come vengono generati gli avvisi nella gestione dei rischi Insider.

Immagine che mostra come vengono generati gli avvisi di gestione dei rischi Insider.

Filtrare gli avvisi, salvare una visualizzazione di un set di filtri, personalizzare le colonne o cercare avvisi

A seconda del numero e del tipo di criteri di gestione dei rischi Insider adottati nell'organizzazione, la revisione di una lunga coda di avvisi può rappresentare una sfida. Per tenere traccia degli avvisi, è possibile:

  • Filtrare gli avvisi in base a vari attributi.
  • Salvare una visualizzazione di un set di filtri da riutilizzare in un secondo momento.
  • Visualizzare o nascondere le colonne.
  • Cercare un avviso.

Filtrare gli avvisi

  1. Selezionare Aggiungi filtro.

  2. Selezionare uno o più degli attributi seguenti:

    Attributo Descrizione
    Attività che ha generato l'avviso Visualizza la corrispondenza principale di attività e criteri potenzialmente rischiosi durante il periodo di valutazione dell'attività che ha portato alla generazione dell'avviso. Questo valore può essere aggiornato nel tempo.
    Motivo dell'avviso di licenziamento Motivo della chiusura dell'avviso.
    Assegnata a Amministratore a cui viene assegnato l'avviso per la valutazione (se assegnato).
    Criterio Nome del criterio.
    Fattori di rischio I fattori di rischio che consentono di determinare la rischiosa attività di un utente. I valori possibili sono Attività di esfiltrazione cumulativa, Attività che includono contenuto prioritario, Attività sequenza, Attività che includono domini non consentiti, Membro di un gruppo di utenti con priorità e Potenziale utente a impatto elevato.
    Gravità Livello di gravità del rischio dell'utente. Le opzioni sono Elevato, Medio e Basso.
    Stato Stato dell'avviso. Le opzioni sono Confermato, Ignorato, Da rivedere e Risolto.
    Ora rilevata (UTC) Date di inizio e fine per la creazione dell'avviso. Il filtro cerca avvisi compresi tra le 00:00 UTC della data di inizio e le 00:00 UTC della data di fine.
    Evento di attivazione Evento che ha portato l'utente nell'ambito dei criteri. L'evento di attivazione può cambiare nel tempo.

    Gli attributi selezionati vengono aggiunti alla barra dei filtri.

  3. Selezionare un attributo nella barra del filtro e quindi selezionare un valore in base al quale filtrare. Ad esempio, selezionare l'attributo Ora rilevata (UTC), immettere o selezionare le date nei campi Data inizio e Data di fine e quindi selezionare Applica.

    Consiglio

    Se si vuole ricominciare da capo in qualsiasi punto, selezionare Reimposta tutto sulla barra dei filtri.

Salvare una visualizzazione di un set di filtri da riutilizzare in un secondo momento

  1. Dopo aver applicato i filtri come descritto nella procedura precedente, selezionare Salva sopra la barra dei filtri, immettere un nome per il set di filtri e quindi selezionare Salva.

    Il set di filtri viene aggiunto come scheda sopra la barra dei filtri. Include un numero che mostra il numero di avvisi che soddisfano i criteri nel set di filtri.

    Nota

    È possibile salvare fino a cinque set di filtri. Se è necessario eliminare un set di filtri, selezionare i puntini di sospensione (tre punti) nell'angolo superiore destro della scheda e quindi selezionare Elimina.

  2. Per riapplicare un set di filtri salvato, è sufficiente selezionare la scheda per il set di filtri.

Visualizzare o nascondere colonne

  1. Sul lato destro della pagina selezionare Personalizza colonne.

  2. Selezionare o deselezionare le caselle di controllo per le colonne da visualizzare o nascondere.

Le impostazioni della colonna vengono salvate nelle sessioni e nei browser.

Cercare gli avvisi

Usare il controllo Ricerca per cercare un nome dell'entità utente (UPN), un nome amministratore assegnato o un ID avviso.

Valutazione degli avvisi

L'analisi e l'azione sugli avvisi nella gestione dei rischi Insider includono i passaggi seguenti:

  1. Esaminare il dashboard avvisi per gli avvisi con stato Revisione delle esigenze. Filtrare in base allo stato dell'avviso se necessario per individuare questi tipi di avvisi.
  2. Iniziare con gli avvisi con la gravità più alta. Filtrare in base alla gravità dell'avviso se necessario per individuare questi tipi di avvisi.
  3. Selezionare un avviso per individuare altre informazioni e per esaminare i dettagli dell'avviso. Se necessario, usare Esplora attività per esaminare una sequenza temporale del comportamento potenzialmente rischioso associato e per identificare tutte le attività di rischio per l'avviso.
  4. Agire in base all'avviso. È possibile confermare e creare un caso per l'avviso oppure ignorare e risolvere l'avviso.

Ognuno di questi passaggi è descritto in modo più dettagliato in questa sezione

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Usare Copilot per riepilogare un avviso

È possibile selezionare Riepilogo con Copilot o l'icona Copilot per riepilogare rapidamente un avviso e assegnare priorità agli avvisi che richiedono ulteriori indagini. È possibile riepilogare gli avvisi selezionati senza aprire l'avviso o dopo aver visualizzato i dettagli dell'avviso. Quando si riepiloga un avviso con Microsoft Copilot in Microsoft Purview, sul lato destro dello schermo viene visualizzato un riquadro Copilot con un riepilogo degli avvisi.

Pulsante Copilot per la gestione dei rischi Insider

Il riepilogo dell'avviso include tutti i dettagli essenziali relativi all'avviso, ad esempio i criteri attivati, l'attività che ha generato l'avviso, l'evento di attivazione, l'utente coinvolto, la data di lavoro (se applicabile), eventuali attributi utente chiave e i principali fattori di rischio dell'utente. Copilot in Microsoft Purview consolida le informazioni sull'utente da tutti gli avvisi e i criteri nell'ambito ed evidenzia i principali fattori di rischio dell'utente.

Le richieste suggerite vengono elencate automaticamente per migliorare ulteriormente il riepilogo e fornire informazioni aggiuntive sulle attività associate all'avviso. Scegliere tra le richieste suggerite seguenti:

  • Elencare tutte le attività di esfiltrazione dei dati che coinvolgono l'utente.
  • Elencare tutte le attività sequenziali che coinvolgono l'utente.
  • L'utente si è coinvolto in un comportamento insolito?
  • Mostra le azioni chiave eseguite dall'utente negli ultimi 10 giorni.
  • Riepilogare gli ultimi 30 giorni di attività dell'utente.

Valutare un avviso

È possibile valutare gli avvisi accedendo alla pagina Dettagli avviso .

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
  4. Nel dashboard Avvisi selezionare l'avviso da valutare.
  5. Nella pagina Dettagli avviso è possibile esaminare le informazioni sull'avviso. È possibile confermare l'avviso e creare un nuovo caso, confermare l'avviso e aggiungerlo a un caso esistente oppure ignorare l'avviso. Questa pagina include anche lo stato corrente per l'avviso e il livello di gravità del rischio di avviso, elencato come Alto, Medio o Basso. Il livello di gravità può aumentare o diminuire nel tempo se l'avviso non viene valutato. Per i falsi positivi, è possibile selezionare più avvisi e ignorarli in blocco selezionando Ignora avvisi.

Sezione Intestazione/riepilogo della pagina Dettagli avviso

Questa sezione della pagina Dettagli avviso contiene informazioni generali sull'utente e l'avviso. Queste informazioni sono disponibili per il contesto durante la revisione delle informazioni dettagliate sull'attività di gestione dei rischi rilevata inclusa nell'avviso per l'utente:

  • Attività che ha generato questo avviso: visualizza la corrispondenza tra attività e criteri potenzialmente rischiosi durante il periodo di valutazione dell'attività che ha portato alla generazione dell'avviso.
  • Evento di attivazione: visualizza l'evento di attivazione più recente che ha richiesto ai criteri di iniziare ad assegnare punteggi di rischio all'attività dell'utente. Se è stata configurata l'integrazione con la conformità delle comunicazioni per le perdite di dati da parte di utenti a rischio o violazioni dei criteri di sicurezza da parte di criteri degli utenti a rischio , l'evento di attivazione per questi avvisi è limitato all'attività di conformità delle comunicazioni.
  • Dettagli utente: visualizza informazioni generali sull'utente assegnato all'avviso. Se l'anonimizzazione è abilitata, i campi nome utente, indirizzo di posta elettronica, alias e organizzazione vengono resi anonimi.
  • Cronologia avvisi utente: visualizza un elenco di avvisi per l'utente negli ultimi 30 giorni. Include un collegamento per visualizzare la cronologia degli avvisi completa per l'utente.

Nota

Quando un utente viene rilevato come utente a potenziale impatto elevato, queste informazioni vengono evidenziate nell'intestazione dell'avviso nella pagina Dettagli utente . I dettagli dell'utente includono anche un riepilogo con i motivi per cui l'utente è stato rilevato come tale. Per altre informazioni sull'impostazione degli indicatori dei criteri per potenziali utenti a impatto elevato, vedere Impostazioni di gestione dei rischi Insider.

Gli avvisi generati dai criteri con ambito solo per le attività che includono contenuto prioritario includono l'assegnazione del punteggio Solo attività con contenuto prioritario per questa notifica di avviso in questa sezione.

Consiglio

Per ottenere una rapida panoramica di un avviso, selezionare Riepilogo nella pagina dei dettagli dell'avviso. Quando si seleziona Riepilogo, sul lato destro della pagina viene visualizzato un riquadro Copilot con un riepilogo degli avvisi. Il riepilogo dell'avviso include tutti i dettagli essenziali relativi all'avviso, ad esempio i criteri attivati, l'attività che ha generato l'avviso, l'evento di attivazione, l'utente coinvolto, la data di lavoro (se applicabile), eventuali attributi utente chiave e i principali fattori di rischio dell'utente. Copilot in Microsoft Purview consolida le informazioni sull'utente da tutti gli avvisi e i criteri nell'ambito ed evidenzia i principali fattori di rischio dell'utente. È anche possibile riepilogare l'avviso dalla coda Avvisi senza dover aprire l'avviso usando Copilot. In alternativa, usare la versione autonoma di Microsoft Copilot per la sicurezza per analizzare la gestione dei rischi Insider, la prevenzione della perdita dei dati (DLP) di Microsoft Purview e gli avvisi di Microsoft Defender XDR.

Scheda Tutti i fattori di rischio

Questa scheda nella pagina Dettagli avviso apre il riepilogo dei fattori di rischio per l'attività di avviso dell'utente. I fattori di rischio possono aiutare a determinare quanto sia rischiosa l'attività di gestione dei rischi di questo utente durante la revisione. I fattori di rischio includono riepiloghi per:

  • Principali attività di esfiltrazione: visualizza le attività di esfiltrazione con il numero o gli eventi più alti per l'avviso.
  • Attività di esfiltrazione cumulative: visualizza gli eventi associati alle attività di esfiltrazione cumulative.
  • Sequenze di attività: visualizza le attività potenzialmente rischiose rilevate associate alle sequenze di rischio.
  • Attività insolite per questo utente: visualizza attività specifiche per l'utente considerate potenzialmente rischiose, in quanto insolite e discostamento dalle attività tipiche.
  • Contenuto prioritario: visualizza le attività potenzialmente rischiose associate al contenuto prioritario.
  • Domini non consentiti: visualizza le attività potenzialmente rischiose per gli eventi associati a domini non consentiti.
  • Accesso ai record di integrità: visualizza le attività potenzialmente rischiose per gli eventi associati all'accesso ai record di integrità.
  • Utilizzo del browser rischioso: visualizza le attività potenzialmente rischiose per gli eventi associati all'esplorazione di siti Web potenzialmente inappropriati.

Con questi filtri vengono visualizzati solo gli avvisi con i fattori di rischio precedenti, ma l'attività che ha generato un avviso potrebbe non rientrare in nessuna di queste categorie. Ad esempio, un avviso contenente attività di sequenza potrebbe essere stato generato semplicemente perché l'utente ha copiato un file in un dispositivo USB.

Contenuto rilevato

Questa sezione della scheda Tutti i fattori di rischio include il contenuto associato alle attività di rischio per l'avviso e riepiloga gli eventi delle attività in base alle aree chiave. Selezionando un collegamento attività si apre Esplora attività e vengono visualizzati altri dettagli sull'attività.

Scheda Attività utente

La scheda Attività utente è uno degli strumenti più potenti per l'analisi e l'analisi dei rischi interni per avvisi e casi nella soluzione di gestione dei rischi Insider. Questa scheda è strutturata per consentire la revisione rapida di tutte le attività per un utente, inclusa una sequenza temporale cronologica di tutti gli avvisi, i dettagli degli avvisi, il punteggio di rischio corrente per l'utente e la sequenza di eventi di rischio.

Attività utente di gestione dei rischi Insider

  1. Azioni del caso: le opzioni per la risoluzione del caso si trovano sulla barra degli strumenti delle azioni case. Quando si visualizza un caso, è possibile risolvere un caso, inviare un avviso di posta elettronica all'utente o inoltrare il caso per un'indagine sui dati o sull'utente.

  2. Cronologia delle attività di rischio: la cronologia completa di tutti gli avvisi di rischio associati al caso sono elencati, inclusi tutti i dettagli disponibili nella bolla di avviso corrispondente.

  3. Filtri e ordinamento (anteprima):Filters and sorting (preview):

    • Categoria di rischio: filtrare le attività in base alle categorie di rischio seguenti: Attività con punteggi > di rischio 15 (a meno che non si presenti in una sequenza) e Attività sequenza.
    • Tipo di attività: filtrare le attività in base ai tipi seguenti: Accesso, Eliminazione, Raccolta, Esfiltrazione, Infiltrazione, Offuscamento, Sicurezza, Rischio di comunicazione.
    • Ordina per: elencare la sequenza temporale delle attività potenzialmente rischiose in base alla data in cui si è verificato o al punteggio di rischio.
  4. Filtri temporali: per impostazione predefinita, gli ultimi tre mesi di attività potenzialmente rischiose vengono visualizzati nel grafico attività Utente. È possibile filtrare facilmente la visualizzazione grafico selezionando le schede 6 Mesi, 3 Mesi o 1 Mese nel grafico a bolle.

  5. Sequenza di rischio: l'ordine cronologico delle attività potenzialmente rischiose è un aspetto importante dell'analisi dei rischi e l'identificazione di queste attività correlate è una parte importante della valutazione del rischio complessivo per l'organizzazione. Le attività di avviso correlate vengono visualizzate con le linee di connessione per evidenziare che queste attività sono associate a un'area di rischio più ampia. Le sequenze vengono identificate anche in questa visualizzazione da un'icona posizionata sopra le attività della sequenza rispetto al punteggio di rischio per la sequenza. Passare il mouse sull'icona per visualizzare la data e l'ora dell'attività rischiosa associata a questa sequenza. Questa visione delle attività può aiutare gli investigatori letteralmente "collegare i puntini" per le attività di rischio che avrebbero potuto essere viste come eventi isolati o una tantum. Selezionare l'icona o qualsiasi bolla nella sequenza per visualizzare i dettagli per tutte le attività di rischio associate. I dettagli includono:

    • Nome della sequenza.
    • Intervallo di date o date della sequenza.
    • Punteggio di rischio per la sequenza. Questo punteggio è il punteggio numerico per la sequenza dei livelli di gravità del rischio di avviso combinati per ogni attività correlata nella sequenza.
    • Numero di eventi associati a ogni avviso nella sequenza. Sono disponibili anche collegamenti a ogni file o messaggio di posta elettronica associato a ogni attività potenzialmente rischiosa.
    • Mostra le attività in sequenza. Visualizza la sequenza come linea di evidenziazione nel grafico a bolle ed espande i dettagli dell'avviso per visualizzare tutti gli avvisi correlati nella sequenza.
  6. Attività e dettagli degli avvisi di rischio: le attività potenzialmente rischiose vengono visualizzate visivamente come bolle colorate nel grafico attività utente. Le bolle vengono create per diverse categorie di rischio. Selezionare una bolla per visualizzare i dettagli per ogni attività potenzialmente rischiosa. I dettagli includono:

    • Data dell'attività del rischio.
    • Categoria di attività di rischio. Ad esempio, Email con allegati inviati all'esterno dell'organizzazione o file scaricati da SharePoint Online.
    • Punteggio del rischio per l'avviso. Questo corrisponde al punteggio numerico per il livello di gravità del rischio di avviso.
    • Numero di eventi associati all'avviso. Sono disponibili anche collegamenti a ogni file o messaggio di posta elettronica associato all'attività di rischio.
  7. Attività di esfiltrazione cumulative: selezionare per visualizzare un grafico visivo del modo in cui l'attività viene compilata nel tempo per l'utente.

  8. Legenda dell'attività di rischio: nella parte inferiore del grafico attività utente, una legenda con codifica a colori consente di determinare rapidamente la categoria di rischio per ogni avviso.

Scheda Esplora attività

Nota

Esplora attività è disponibile nell'area di gestione degli avvisi per gli utenti con eventi di attivazione dopo che questa funzionalità è disponibile nell'organizzazione.

Esplora attività fornisce agli investigatori e agli analisti di rischio uno strumento di analisi completo che fornisce informazioni dettagliate sugli avvisi. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale delle attività potenzialmente rischiose rilevate e identificare e filtrare tutte le attività di rischio associate agli avvisi.

Usare Esplora attività

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
  4. Nel dashboard Avvisi selezionare l'avviso da valutare.
  5. Nel riquadro dettagli Avvisi selezionare Apri visualizzazione espansa.
  6. Nella pagina dell'avviso selezionato selezionare la scheda Esplora attività .

Quando si esaminano le attività in Esplora attività, gli investigatori e gli analisti possono selezionare un'attività specifica e aprire il riquadro dei dettagli dell'attività. Il riquadro visualizza informazioni dettagliate sull'attività che gli investigatori e gli analisti possono usare durante il processo di valutazione degli avvisi. Informazioni dettagliate possono fornire il contesto per l'avviso e facilitare l'identificazione dell'ambito completo dell'attività di rischio che ha attivato l'avviso.

Quando si selezionano gli eventi di un'attività dalla sequenza temporale dell'attività, il numero di attività visualizzate in Esplora risorse potrebbe non corrispondere al numero di eventi attività elencati nella sequenza temporale. Esempi del motivo per cui questa differenza può verificarsi:

  • Rilevamento dell'esfiltrazione cumulativa: il rilevamento dell'esfiltrazione cumulativa analizza i log eventi, ma applica un modello che include la deduplicazione di attività simili al rischio di esfiltrazione cumulativa di calcolo. Inoltre, potrebbe esserci anche una differenza nel numero di attività potenzialmente rischiose visualizzate in Esplora attività se sono state apportate modifiche ai criteri o alle impostazioni esistenti. Ad esempio, se si modificano domini consentiti/non consentiti o si aggiungono esclusioni di nuovi tipi di file dopo la creazione di un criterio e si sono verificate corrispondenze di attività potenzialmente rischiose, le attività di rilevamento dell'esfiltrazione cumulativa saranno diverse dai risultati prima che i criteri o le impostazioni vengano modificati. I totali delle attività di rilevamento dell'esfiltrazione cumulativa si basano sulla configurazione dei criteri e delle impostazioni al momento del calcolo e non includono attività precedenti alle modifiche dei criteri e delle impostazioni.
  • Messaggi di posta elettronica a destinatari esterni: alle attività potenzialmente rischiose per i messaggi di posta elettronica inviati a destinatari esterni viene assegnato un punteggio di rischio in base al numero di messaggi di posta elettronica inviati, che potrebbero non corrispondere ai log eventi dell'attività.

Dettagli di Esplora attività di gestione dei rischi Insider.

Sequenze che contengono eventi esclusi dal punteggio di rischio

Una sequenza può contenere uno o più eventi esclusi dal punteggio di rischio in base alla configurazione delle impostazioni. Ad esempio, l'organizzazione potrebbe usare l'impostazione Esclusioni globali per escludere i file .png dall'assegnazione dei punteggi di rischio perché .png file non sono in genere rischiosi. Ma un file .png potrebbe essere usato per offuscare un'attività dannosa. Per questo motivo, se un evento escluso dal punteggio di rischio fa parte di una sequenza a causa di un'attività di offuscamento, l'evento viene incluso nella sequenza perché può essere interessante nel contesto della sequenza.

Esplora attività visualizza le informazioni seguenti per gli eventi esclusi nelle sequenze:

  • Se una sequenza contiene un passaggio in cui tutti gli eventi vengono esclusi, le informazioni dettagliate includono solo il nome e la data dell'attività. Selezionare il collegamento Visualizza gli eventi esclusi per filtrare gli eventi esclusi in Esplora attività. L'icona grafico a dispersione attività utente ha un punteggio di rischio pari a 0 se tutti gli eventi sono esclusi.
  • Se una sequenza contiene informazioni dettagliate in cui alcuni eventi vengono esclusi, vengono visualizzate le informazioni sull'evento per gli eventi non esclusi, ma il conteggio degli eventi non include gli eventi esclusi. Selezionare il collegamento Visualizza gli eventi esclusi per filtrare gli eventi esclusi in Esplora attività.
  • Se si seleziona un collegamento di sequenza per un'analisi dettagliata, è possibile eseguire il drill-down nella sequenza di eventi nel riquadro dei dettagli dell'attività, inclusi gli eventi esclusi dall'assegnazione dei punteggi. Un evento escluso dall'assegnazione dei punteggi è contrassegnato come Escluso.
Filtrare gli avvisi in Esplora attività

Per filtrare gli avvisi in Esplora attività per informazioni sulle colonne, selezionare Filtri. È possibile filtrare gli avvisi in base a uno o più attributi elencati nel riquadro dei dettagli per l'avviso. Esplora attività supporta anche colonne personalizzabili per consentire a investigatori e analisti di concentrare il dashboard sulle informazioni più importanti per loro.

Usare i filtri Ambito attività, Fattore di rischio e Verifica stato per visualizzare e ordinare le attività e le informazioni dettagliate per le aree seguenti.

  • Ambito attività: filtra tutte le attività con punteggio per l'utente.

    • Tutte le attività con punteggio per questo utente
    • Solo l'attività con punteggio in questo avviso
  • Fattore di rischio: filtri per l'attività del fattore di rischio applicabile a tutti i criteri che assegnano punteggi di rischio. Sono incluse tutte le attività per tutti i criteri per gli utenti nell'ambito.

    • Attività insolita
    • Include eventi con contenuto prioritario
    • Include eventi con un dominio non consentito
    • Attività di sequenza
    • Attività di esfiltrazione cumulativa
    • Attività di accesso ai record di integrità
    • Utilizzo del browser rischioso
  • Stato revisione: filtra lo stato di revisione dell'attività.

    • Tutti
    • Non ancora esaminato (filtra qualsiasi attività che faceva parte di un avviso chiuso o risolto)

Panoramica di Esplora attività di gestione dei rischi Insider

Salvare una visualizzazione di un filtro da riutilizzare in un secondo momento

Se si crea un filtro e si personalizzano le colonne per il filtro, è possibile salvare una visualizzazione delle modifiche in modo che l'utente o altri utenti possano filtrare rapidamente le stesse modifiche in un secondo momento. Quando si salva una visualizzazione, si salvano sia i filtri che le colonne. Quando si carica la vista, vengono caricati sia i filtri che le colonne salvati.

  1. Creare un filtro e personalizzare le colonne.

    Consiglio

    Se si vuole ricominciare da capo in qualsiasi punto, selezionare Reimposta. Per modificare le colonne personalizzate, selezionare Reimposta colonne.

  2. Quando si dispone del filtro nel modo desiderato, selezionare Salva questa visualizzazione, immettere un nome per la visualizzazione e quindi selezionare Salva.

    Nota

    La lunghezza massima per un nome di visualizzazione è di 40 caratteri e non è possibile usare caratteri speciali.

  3. Per riutilizzare la visualizzazione del filtro in un secondo momento, selezionare Visualizzazioni e quindi selezionare la visualizzazione da aprire nella scheda Visualizzazioni consigliate (mostra le visualizzazioni più usate) o nella scheda Visualizzazioni personalizzate (i filtri usati più di frequente vengono visualizzati nella parte superiore dell'elenco).

Quando si seleziona una vista in questo modo, vengono reimpostati tutti i filtri esistenti e sostituiti con la visualizzazione selezionata.

Stato e gravità dell'avviso

Nota

La gestione dei rischi Insider usa la limitazione degli avvisi incorporata al fine di contribuire alla protezione e ottimizzazione dell'esperienza di indagine e revisione dei rischi. Questa limitazione protegge da problemi che potrebbero causare un sovraccarico di avvisi dei criteri, ad esempio connettori dati non configurati correttamente o criteri di prevenzione della perdita dei dati. Di conseguenza, potrebbe verificarsi un ritardo nella visualizzazione di nuovi avvisi per un utente.

È possibile valutare gli avvisi in uno degli stati seguenti:

  • Confermato: avviso confermato e assegnato a un caso nuovo o esistente.
  • Ignorato: avviso ignorato come non dannoso nel processo di valutazione. È possibile fornire un motivo per l'eliminazione dell'avviso e includere note disponibili nella cronologia degli avvisi dell'utente per fornire un contesto aggiuntivo per riferimento futuro o per altri revisori. I motivi possono variare dalle attività previste, dagli eventi non inattivi, dalla semplice riduzione del numero di attività di avviso per l'utente o da un motivo correlato alle note di avviso. Le scelte di classificazione dei motivi includono l'attività prevista per questo utente, l'attivitàha un impatto sufficiente per poter analizzare ulteriormente e gli avvisi per questo utente contengono un'attività eccessiva.
  • Revisione delle esigenze: nuovo avviso in cui le azioni di valutazione non sono ancora state eseguite.
  • Risolto: avviso che fa parte di un caso chiuso e risolto.

I punteggi di rischio degli avvisi vengono calcolati automaticamente da diversi indicatori di attività di rischio. Questi indicatori includono il tipo di attività di rischio, il numero e la frequenza dell'occorrenza dell'attività, la cronologia dell'attività di rischio degli utenti e l'aggiunta di rischi di attività che possono aumentare la gravità dell'attività potenzialmente rischiosa. Il punteggio di rischio degli avvisi determina l'assegnazione a livello di codice di un livello di gravità del rischio per ogni avviso e non può essere personalizzato. Se gli avvisi rimangono inatriati e le attività di rischio continuano ad accumularsi nell'avviso, il livello di gravità del rischio può aumentare. Gli analisti di rischio e gli investigatori possono usare la gravità del rischio di avviso per valutare gli avvisi in base ai criteri e agli standard di rischio dell'organizzazione.

I livelli di gravità del rischio di avviso sono:

  • Gravità elevata: le attività e gli indicatori potenzialmente rischiosi per l'avviso rappresentano un rischio significativo. Le attività di rischio associate sono gravi, ripetitive e si basano fortemente su altri fattori di rischio significativi.
  • Gravità media: le attività e gli indicatori potenzialmente rischiosi per l'avviso rappresentano un rischio moderato. Le corrispondenti attività di rischio sono moderate, frequenti e in certa misura correlate ad altri fattori di rischio.
  • Bassa gravità: le attività e gli indicatori potenzialmente rischiosi per l'avviso rappresentano un rischio minore. Le attività di rischio associate sono minori, più poco frequenti e non si basano su altri fattori di rischio significativi.

Ignorare più avvisi (anteprima)

Può contribuire a risparmiare tempo di valutazione per gli analisti e gli investigatori per ignorare immediatamente più avvisi contemporaneamente. L'opzione Ignora avvisi della barra dei comandi consente di selezionare uno o più avvisi con lo stato Di verifica delle esigenze nel dashboard e di ignorare rapidamente questi avvisi come non dannosi in base alle esigenze nel processo di valutazione. È possibile selezionare fino a 400 avvisi da ignorare contemporaneamente.

Ignorare un avviso di rischio Insider

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
  4. Nel dashboard Avvisi selezionare l'avviso (o gli avvisi) che ha lo stato Di verifica delle esigenze .
  5. Nella barra dei comandi Avvisi selezionare Ignora avvisi.
  6. Nel riquadro dei dettagli Ignora avvisi esaminare i dettagli dell'utente e dei criteri associati agli avvisi selezionati.
  7. Selezionare Ignora avvisi per risolvere gli avvisi come non dannosi.

Report per gli avvisi

Per visualizzare i report per gli avvisi, passare alla pagina Report . Ogni widget report nella pagina Report visualizza informazioni per gli ultimi 30 giorni:

  • Avvisi totali che devono essere esaminati: sono elencati il numero totale di avvisi che devono essere esaminati e valutato, inclusa una suddivisione in base alla gravità degli avvisi.
  • Avvisi aperti negli ultimi 30 giorni: il numero totale di avvisi creati dai criteri corrisponde negli ultimi 30 giorni, ordinati in base a livelli di gravità degli avvisi alti, medi e bassi.
  • Tempo medio per risolvere gli avvisi: riepilogo delle statistiche utili degli avvisi:
    • Tempo medio di risoluzione degli avvisi di gravità elevata, elencato in ore, giorni o mesi.
    • Tempo medio di risoluzione degli avvisi di gravità media, elencato in ore, giorni o mesi.
    • Tempo medio di risoluzione degli avvisi di gravità bassa, elencato in ore, giorni o mesi.

Assegnare un avviso

Se si è un amministratore e si è membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Analyst o Insider Risk Management Investigators , è possibile assegnare la proprietà di un avviso a se stessi o a un utente di gestione dei rischi Insider con uno degli stessi ruoli. Dopo l'assegnazione di un avviso, è anche possibile riassegnare l'avviso a un utente con uno qualsiasi degli stessi ruoli. È possibile assegnare un avviso solo a un amministratore alla volta.

Nota

Se l'ambito dei criteri è di una o più unità amministrative, la proprietà di un avviso può essere assegnata solo agli utenti di gestione dei rischi Insider con le autorizzazioni del gruppo di ruoli appropriate e l'utente evidenziato nell'avviso deve essere incluso nell'ambito dell'unità di amministrazione. Ad esempio, se un ambito amministrativo si applica solo agli utenti in Germania, l'utente di gestione dei rischi Insider può visualizzare solo gli avvisi per gli utenti in Germania. Gli amministratori senza restrizioni possono visualizzare tutti gli avvisi per tutti gli utenti dell'organizzazione.

Dopo l'assegnazione di un amministratore, è possibile eseguire una ricerca per amministratore.

Nota

Gli amministratori contenuti in un gruppo di sicurezza Microsoft Entra non sono supportati per l'assegnazione degli avvisi. Gli amministratori devono essere assegnati direttamente a uno dei ruoli necessari.

Se si usa un gruppo personalizzato, assicurarsi che il gruppo personalizzato contenga il ruolo Gestione case. I gruppi di ruoli Insider Risk Management Analyst e Insider Risk Management Investigators contengono entrambi il ruolo Gestione dei casi, ma se si usa un gruppo personalizzato, è necessario aggiungere in modo esplicito il ruolo Gestione dei casi al gruppo.

Assegnare un avviso dal dashboard Avvisi

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
  4. Nel dashboard Avvisi selezionare gli avvisi da assegnare.
  5. Nella barra dei comandi sopra la coda degli avvisi selezionare Assegna.
  6. Nel riquadro Assegna proprietario sul lato destro della schermata cercare un amministratore con le autorizzazioni appropriate e quindi selezionare la casella di controllo per tale amministratore.
  7. Selezionare Assegna.

Assegnare un avviso dalla pagina dettagli Avvisi

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
  4. Selezionare un avviso.
  5. Nel riquadro dei dettagli dell'avviso selezionare Assegna nell'angolo superiore destro della pagina.
  6. Nell'elenco Contatti suggeriti selezionare l'amministratore appropriato.

Creare un caso per un avviso

È possibile creare un caso per un avviso se si vuole analizzare ulteriormente l'attività potenzialmente rischiosa.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
  4. Nel dashboard Avvisi selezionare l'avviso per cui si vuole confermare e creare un nuovo caso.
  5. Nel riquadro Dettagli avvisi selezionare Azioni>Conferma avvisi & creare un caso.
  6. Nella finestra di dialogo Conferma avviso e crea caso di rischio Insider immettere un nome per il caso, selezionare gli utenti da aggiungere come collaboratori e aggiungere commenti in base alle esigenze. I commenti vengono aggiunti automaticamente al caso come nota del caso.
  7. Selezionare Crea caso per creare un nuovo caso.

Dopo aver creato il caso, gli investigatori e gli analisti possono gestire e agire sul caso. Per altre informazioni, vedere l'articolo relativo al caso di gestione dei rischi Insider .

Limiti di conservazione e di elementi

Poiché la gestione dei rischi Insider segnala l'età, il loro valore per ridurre al minimo le attività potenzialmente rischiose diminuisce per la maggior parte delle organizzazioni. Al contrario, i casi attivi e gli artefatti associati (avvisi, informazioni dettagliate, attività) sono sempre utili per le organizzazioni e non devono avere una data di scadenza automatica. Sono inclusi tutti gli avvisi e gli artefatti futuri in uno stato attivo per qualsiasi utente associato a un caso attivo.

Per ridurre al minimo il numero di elementi meno recenti che forniscono un valore corrente limitato, la conservazione e i limiti seguenti si applicano agli avvisi, ai casi e ai report utente relativi alla gestione dei rischi Insider:

Elemento Conservazione/limite
Avvisi con stato di verifica delle esigenze 120 giorni dalla creazione dell'avviso, quindi eliminati automaticamente
Casi attivi (e artefatti associati) Conservazione a tempo indeterminato, non scade mai
Casi risolti (e artefatti associati) 120 giorni dalla risoluzione dei casi, quindi eliminati automaticamente
Numero massimo di casi attivi 100
Report attività utente 120 giorni dalla creazione del report, quindi eliminati automaticamente

Procedure consigliate per la gestione del volume degli avvisi

La revisione, l'analisi e l'azione su avvisi Insider potenzialmente rischiosi sono parti importanti per ridurre al minimo i rischi insider nell'organizzazione. Un'azione rapida per ridurre al minimo l'impatto di questi rischi può potenzialmente risparmiare tempo, denaro e ramificazioni normative o legali per l'organizzazione. Informazioni sulle procedure consigliate per la gestione della coda di avvisi di gestione dei rischi Insider

Vedere anche