Avvisi e criteri di avviso di Microsoft Purview Compliance Manager

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Panoramica

Compliance Manager può avvisare l'utente delle modifiche non appena si verificano, in modo da poter rimanere in pista con gli obiettivi di conformità. Ad esempio, è possibile configurare avvisi per informare l'utente quando il valore del punteggio di un'azione di miglioramento è aumentato o ridotto a causa di una modifica della configurazione nel tenant o quando un'azione di miglioramento è stata assegnata a un utente per eseguire operazioni di implementazione o test. Visualizzare i tipi di eventi per i quali è possibile creare avvisi.

Per creare avvisi, è prima di tutto necessario configurare un criterio di avviso per delineare le condizioni che attivano un avviso e la frequenza delle notifiche. Quando rileviamo una corrispondenza con le condizioni dei criteri, riceverai una notifica tramite posta elettronica con i dettagli in modo da poter determinare se analizzare o intraprendere ulteriori azioni.

Tutti gli avvisi sono elencati nella pagina Avvisi di Compliance Manager e tutti i criteri di avviso sono elencati nella pagina Criteri (nella Portale di conformità di Microsoft Purview classica, questa pagina è denominata Criteri di avviso). Per tutte le organizzazioni è già stato configurato un criterio di modifica del punteggio predefinito .

Informazioni sulle pagine Criteri e avvisi

Importante

Per accedere alle pagine Criteri e avvisi, gli utenti devono mantenere il ruolo lettore sicurezza in Microsoft Entra ID. Per usare avvisi e criteri di avviso, sono necessari ruoli aggiuntivi per la sicurezza e Compliance Manager. Ottenere i dettagli seguenti in Autorizzazioni dei criteri di avviso.

Pagina Criteri

Selezionare Criteri (o Criteri di avviso se si usa il portale classico) in Compliance Manager per visualizzare e gestire i criteri di avviso. La pagina Criteri contiene una tabella che elenca tutti i criteri creati dall'organizzazione. Da questa pagina è possibile creare nuovi criteri, modificare i criteri esistenti, modificare lo stato di attivazione ed eliminare i criteri.

Nella colonna Stato, Attivo indica che i criteri sono attivi e attivano gli avvisi quando vengono soddisfatte le condizioni. Inattivo significa che i criteri esistono ma non generano avvisi. La tabella criteri mostra anche la gravità dei criteri e la data dell'ultima modifica dei criteri.

Per visualizzare i dettagli di un singolo criterio, selezionarne la riga nella tabella. Verrà visualizzato un riquadro a comparsa che mostra tutti i dettagli. Selezionare il pulsante Azione nella parte inferiore del riquadro e selezionare tra le opzioni per modificare il criterio, visualizzarne gli avvisi o eliminarlo. I comandi per aggiungere, modificare, eliminare, attivare e disabilitare sono disponibili anche nella parte superiore della tabella, sopra i filtri.

Per iniziare a creare un criterio di avviso, vedere Creare un criterio di avviso.

Pagina Avvisi

Selezionare Avvisi in Compliance Manager per visualizzare e gestire gli avvisi. La pagina Avvisi contiene una tabella che elenca ogni avviso generato da un criterio di avviso, insieme alla relativa gravità e all'evento di attivazione (ad esempio, la modifica del punteggio di un'azione) e alla data dell'avviso.

Per visualizzare un singolo avviso, selezionarne la riga nella tabella. Verrà visualizzato un riquadro a comparsa che mostra tutti i dettagli nella scheda Panoramica del riquadro. Nella scheda Registro eventi vengono visualizzate le azioni eseguite dagli utenti che hanno attivato l'avviso.

Il pulsante Azioni nella parte inferiore del riquadro offre opzioni per assegnare l'avviso a un utente per il completamento, inviare un messaggio di posta elettronica all'utente le cui azioni hanno generato l'avviso o visualizzare i dettagli dei criteri che generano l'avviso. È anche possibile eseguire le stesse azioni selezionando il pulsante di arrotondamento visualizzato a sinistra del nome dell'avviso quando si passa il mouse sulla relativa riga, quindi selezionando uno dei pulsanti nella parte superiore della tabella, sopra i filtri.

Per iniziare a usare gli avvisi, vedere Visualizzazione e gestione degli avvisi.

Autorizzazioni dei criteri di avviso

La tabella seguente descrive gli utenti che possono creare e modificare avvisi e criteri di avviso in base al tipo di ruolo. Oltre a avere un ruolo di Compliance Manager, gli utenti hanno anche bisogno di un ruolo Microsoft Entra come indicato di seguito:

  • Per visualizzare avvisi e criteri di avviso: il ruolo Lettore di sicurezza in Microsoft Entra ID.
  • Per creare o aggiornare i criteri di avviso: l'amministratore della conformità, l'amministratore dei dati di conformità, l'amministratore della sicurezza o l'operatore di sicurezza in Microsoft Entra ID.

Altre informazioni sui ruoli di Azure nel Portale di conformità di Microsoft Purview.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Ruolo È possibile creare e modificare criteri Può modificare gli avvisi
Amministrazione di Compliance Manager
Compliance Manager - Valutatore
Compliance Manager - Collaboratore
Compliance Manager - Lettore No No
Amministratore globale

Informazioni su come impostare le autorizzazioni utente e assegnare ruoli per Compliance Manager.

Creare un criterio di avviso

È possibile creare criteri per avvisare l'utente quando si verificano determinate modifiche o eventi correlati alle azioni di miglioramento. I tipi di evento sono elencati di seguito.

Tipi di evento di avviso

  • Modifica del punteggio: aumento o diminuzione dei punti assegnati per un'azione di miglioramento a causa delle modifiche alla configurazione apportate da un utente dell'organizzazione. Ad esempio, se l'organizzazione crea un criterio di gestione dei rischi Insider, questo potrebbe aumentare i punti per una determinata azione di un determinato importo.
  • Modifica assegnazione: un'azione di miglioramento è stata assegnata a un utente, riassegnata a un utente diverso o non assegnata da un utente.
  • Modifica dello stato di implementazione: un utente ha modificato lo stato di implementazione di un'azione di miglioramento.
  • Modifica dello stato del test: un utente ha modificato lo stato di test di un'azione di miglioramento.
  • Modifica dell'evidenza: un utente ha caricato o eliminato un documento di prova nella scheda Documenti dell'azione di miglioramento.

Criteri di modifica del punteggio predefiniti

Compliance Manager configura un criterio di avviso predefinito per monitorare le modifiche del punteggio nelle azioni di miglioramento. Il criterio predefinito genera un avviso quando cambia il punteggio di un'azione di miglioramento. La maggior parte delle impostazioni per i criteri predefiniti non può essere modificata. È tuttavia possibile aggiungere altri utenti come destinatari delle notifiche di avviso, operazione consigliata.

Di seguito sono riportate le impostazioni per i criteri predefiniti:

  • Tutte le corrispondenze rilevate in un intervallo di 60 minuti verranno raggruppate in un unico avviso per ridurre le notifiche eccessive. Ad esempio, se cinque azioni di miglioramento riscontrano una modifica del punteggio entro un'ora, viene generato un avviso.

  • Il livello di gravità per questi avvisi è medio.

  • Il Amministrazione globale per l'organizzazione è il destinatario predefinito delle notifiche di avviso.

  • È possibile aggiungere altri destinatari degli avvisi seguendo questa procedura:

    • Nella pagina Criteri individuare i criteri di avviso predefiniti di Compliance Manager.
    • Selezionare la casella a sinistra del nome e selezionare il pulsante Modifica nella parte superiore, sopra i filtri.
    • Selezionare il pulsante Avanti finché non si arriva alla pagina Destinatari avviso .
    • Selezionare +Seleziona destinatari e selezionare le caselle accanto a ogni nome utente nel riquadro a comparsa a cui si vuole ricevere la notifica tramite posta elettronica. Al termine, selezionare Aggiungi destinatario e quindi Avanti.
    • Nella pagina Rivedi e termina selezionare Aggiorna per salvare le modifiche.
  • I criteri predefiniti non possono essere eliminati, ma è possibile disabilitarlo seguendo i passaggi descritti di seguito.

Procedura di creazione dei criteri

Per creare un criterio per generare avvisi in base a uno o più eventi, seguire questa procedura:

  1. In Compliance Manager passare alla pagina Criteri e selezionare Aggiungi per avviare la creazione guidata dei criteri.

    Consiglio

    Nel nuovo portale di Microsoft Purview questa pagina è denominata Criteri e si trova nel riquadro di spostamento a sinistra anziché come scheda nella parte superiore.

  2. Nella pagina Nome e descrizione immettere un nome per il criterio e una descrizione facoltativa, quindi selezionare Avanti.

  3. Nella pagina Condizioni selezionare uno o più eventi che attiveranno un avviso. Nell'intestazione dell'attività Azione miglioramento selezionare Aggiungi condizioni secondarie e selezionare la casella visualizzata quando si passa il puntatore a sinistra di ogni nome di condizione. È possibile scegliere una o più condizioni per un criterio: modifica dell'assegnazione, modifica dell'evidenza, modifica dello stato dell'implementazione, modifica del punteggio, modifica dello stato del test. Al termine dell'operazione, fai clic su Avanti.

  4. Nella pagina Risultati scegliere cosa accade quando viene rilevata una corrispondenza dei criteri:

    • Selezionare un livello di gravità per l'avviso quando viene rilevata una corrispondenza: bassa, media o alta.
    • Selezionare la frequenza con cui si vuole ricevere una notifica tramite posta elettronica quando viene rilevata una corrispondenza. È possibile scegliere di ricevere una notifica per ogni corrispondenza o di scegliere una soglia di un determinato numero di corrispondenze superiore a tre.
    • Se si sceglie di ricevere una notifica dopo tre o più corrispondenze, si designerà quindi il numero di minuti entro i quali deve essere raggiunta tale soglia (ad esempio, 4 corrispondenze entro 90 minuti).

    Al termine, scegli Avanti.

  5. Nella pagina Destinatario avviso selezionare altri utenti dell'organizzazione per ricevere un messaggio di posta elettronica quando vengono soddisfatte le condizioni dei criteri. L'utente che crea i criteri è il destinatario predefinito. Selezionare +Seleziona destinatari e selezionare le caselle accanto a ogni nome utente nel riquadro a comparsa a cui si vuole ricevere la notifica tramite posta elettronica. Al termine, selezionare Aggiungi destinatari, quindi selezionare Avanti.

  6. Esaminare tutte le selezioni e apportare eventuali modifiche a ogni sezione selezionando Modifica. Al termine della revisione, selezionare Crea criterio.

  7. Quando il criterio viene creato, selezionare Fine. Si arriva alla pagina Criteri con il riquadro a comparsa per i criteri appena creati già aperti.

I criteri sono attivi dopo averlo creato, il che significa che inizia a rilevare le corrispondenze e a generare avvisi. Vedere la sezione Gestione dei criteri di seguito per informazioni su come disattivare o eliminare i criteri.

La creazione o l'aggiornamento di un criterio può richiedere fino a 24 ore prima che gli avvisi vengano generati da tale criterio. Vedere Visualizzare i dettagli degli avvisi di seguito per informazioni sull'attivazione di eventi e l'aggregazione degli avvisi.

Gestione dei criteri

La pagina Criteri contiene un elenco di tabella di tutti i criteri. Per altre informazioni su questa pagina, vedere la pagina Criteri . Qualsiasi utente dell'organizzazione può visualizzare i criteri, ma alcune azioni sono limitate a determinati ruoli; vedere Autorizzazioni dei criteri di avviso.

Consiglio

Nel nuovo portale di Microsoft Purview questa pagina è denominata Criteri e si trova nel riquadro di spostamento a sinistra anziché come scheda nella parte superiore.

Visualizzare i dettagli dei criteri

Selezionare un criterio dalla relativa riga nella pagina Criteri per visualizzare un riquadro a comparsa che mostra i dettagli del criterio, incluse le condizioni di corrispondenza, se e quando vengono inviate notifiche di avviso e a chi e livello di gravità.

Il pulsante Azioni nella parte inferiore del pannello offre opzioni per modificare i criteri, eliminare i criteri o visualizzare gli avvisi.

Visualizzare gli avvisi di un criterio

Nel riquadro a comparsa del criterio selezionare Azioni e quindi Visualizza avvisi. Si accede direttamente alla pagina Avvisi con una visualizzazione filtrata di tutti gli avvisi generati da tale criterio. Informazioni su come usare gli avvisi.

Modificare un criterio

È possibile modificare qualsiasi aspetto di un criterio, ad eccezione del nome. Se si vuole modificarne il nome, è necessario creare un nuovo criterio con un nuovo nome.

Per modificare un criterio, selezionare il pulsante di arrotondamento visualizzato a sinistra del nome quando si passa il mouse sulla riga nella pagina Criteri e si seleziona il pulsante Modifica nella parte superiore, sopra i filtri.

Viene visualizzata la procedura guidata di creazione dei criteri in cui è possibile apportare e salvare le modifiche ai criteri. È anche possibile selezionare il criterio per visualizzare il pannello dei dettagli e dal pulsante Azioni selezionare Modifica criterio. Dopo aver eseguito di nuovo la procedura guidata, esaminare le selezioni e nel passaggio finale selezionare Aggiorna per salvare le modifiche.

Possono essere richieste fino a 24 ore prima che gli avvisi vengano generati dai criteri aggiornati.

Attivare o disattivare un criterio

I criteri vengono attivati per impostazione predefinita non appena vengono creati. Quando è attivo, un criterio creerà un avviso (visualizzato nella pagina Avvisi ) quando le condizioni vengono soddisfatte e invierà un messaggio di posta elettronica di notifica ai destinatari designati.

Per impostare un criterio su uno stato inattivo , ovvero non genera avvisi, selezionare il pulsante di arrotondamento visualizzato a sinistra del nome del criterio quando si passa il puntatore del mouse sulla relativa riga. Selezionare quindi il comando Disabilita sopra la tabella. Lo stato dei criteri verrà ora letto Inattivo. Per riattivare i criteri, seguire lo stesso processo e selezionare il pulsante Attiva sopra i filtri.

Eliminare un criterio

Per eliminare un criterio, è possibile selezionare il pulsante accanto al relativo nome nella pagina Criteri e selezionare Elimina nella parte superiore della pagina. È anche possibile selezionare il criterio per visualizzare il pannello dei dettagli e dal pulsante Azioni selezionare Elimina criterio.

L'eliminazione è permanente. Dopo aver eliminato un criterio, non genererà più avvisi o notifiche tramite posta elettronica. Altre informazioni sugli avvisi connessi ai criteri eliminati.

Visualizzazione e gestione degli avvisi

La pagina Avvisi mostra una tabella con tutti gli avvisi generati da tutti i criteri. Gli avvisi vengono generati quasi immediatamente dopo che si verifica un evento corrispondente alle condizioni dei criteri. Il nome dell'avviso è lo stesso nome dei criteri che hanno generato l'avviso.

Un avviso può essere generato solo da un criterio attivo. Una volta generato, un avviso rimane elencato nella pagina Avvisi , indipendentemente dal fatto che il criterio sia attivo o inattivo.

Filtrare la visualizzazione degli avvisi

È possibile filtrare la visualizzazione degli avvisi selezionando il comando Filtro sopra la tabella nella pagina Avvisi . Nel riquadro a comparsa Filtro selezionare una delle opzioni di filtro seguenti:

  • Tipo evento
  • Gravità
  • Stato
  • Utente assegnato a
  • Data di rilevamento
  • Nome criterio

Dopo aver effettuato le selezioni, selezionare Applica. Il riquadro a comparsa si chiude e la pagina Avvisi aggiornata mostra la visualizzazione filtrata. I filtri vengono visualizzati nella parte superiore della tabella, anche se non tutte le colonne di filtro possono essere visualizzate nella tabella.

Visualizzare i dettagli dell'avviso

Per visualizzare tutti i dettagli sull'avviso, inclusi gli eventi che lo hanno attivato, selezionare la relativa riga nella tabella. Un riquadro a comparsa mostra i dettagli dell'avviso nella scheda Panoramica del pannello.

La scheda Registro eventi del pannello a comparsa elenca le attività che hanno generato l'avviso, ad esempio una modifica del punteggio o un'assegnazione, insieme al nome dell'utente associato a ogni azione e alla data rilevata.

Eventi di avviso

La colonna Evento nella pagina Avvisi indica le condizioni di un criterio rilevato; in altre parole, l'attività che ha generato l'avviso. La scheda Registro eventi nel pannello dei dettagli dell'avviso elenca ogni istanza di un evento, l'utente associato e la data rilevata. I valori degli eventi sono elencati di seguito:

  • Modifica del punteggio: mostra il numero di aumento o diminuzione dei punti
  • Modifica assegnazione: un'azione di miglioramento è stata assegnata a un utente, riassegnata a un utente diverso o non assegnata da un utente
  • Modifica dello stato di implementazione: un utente ha modificato lo stato di implementazione di un'azione di miglioramento
  • Modifica dello stato del test: un utente ha modificato lo stato di test di un'azione di miglioramento.
  • Modifica dell'evidenza: un utente ha caricato o eliminato un documento di prova nella scheda Documenti dell'azione di miglioramento
  • Multi-evento: sono state rilevate più istanze dello stesso tipo di evento; Ad esempio, una singola azione di miglioramento che è stata riassegnata più volte
  • Multi-condizione: sono state rilevate più condizioni all'interno di un singolo criterio

Aggregazione di avvisi per più eventi entro un minuto

Quando si verificano più eventi che corrispondono alle condizioni di un criterio di avviso con un minuto, vengono aggiunti a un avviso esistente da un processo denominato aggregazione degli avvisi.

Ad esempio, quando si verifica un evento che corrisponde a un criterio, viene generato e visualizzato un avviso nella pagina Avvisi e viene inviata una notifica. Se un altro evento corrispondente allo stesso criterio si verifica entro un minuto dal primo evento, Compliance Manager aggiunge i dettagli sull'altro evento nella scheda Registro eventi dell'avviso esistente anziché attivare un nuovo avviso. L'obiettivo dell'aggregazione degli avvisi è ridurre la "fatica" degli avvisi e consentire di concentrarsi e intervenire su un minor numero di avvisi.

Esecuzione di azioni sugli avvisi

Quando uno dei criteri genera un avviso, è possibile visualizzare gli eventi che hanno causato l'avviso e determinare se è necessario verificare o analizzare ulteriormente gli eventi.

Per eseguire un'azione su un avviso, selezionarne la riga nella pagina Avvisi per visualizzare il pannello a comparsa con i relativi dettagli, selezionare il pulsante Azioni e scegliere tra le opzioni elencate di seguito. È anche possibile eseguire azioni selezionando il pulsante di arrotondamento visualizzato a sinistra del nome dell'avviso quando si passa il mouse sulla relativa riga e selezionando uno dei pulsanti di azione nella parte superiore della pagina, sopra i filtri.

Assegna avviso: è possibile assegnare l'avviso a un utente per analizzare o verificare gli eventi che hanno causato l'avviso. Quando si sceglie questa opzione, viene visualizzato un pannello in cui è possibile selezionare un utente nell'organizzazione e assegnargli l'avviso. È possibile filtrare la visualizzazione avvisi selezionando Filtri nella pagina Avvisi e immettendo il nome dell'utente nel campo Assegnato a .

Email avviso: è possibile inviare un messaggio di posta elettronica all'utente associato all'attività dell'avviso per confermare che ha intrapreso l'azione. Quando si sceglie questa opzione, viene aperto un modello di posta elettronica con informazioni di base sull'avviso, che è possibile personalizzare con altre istruzioni e inviato all'utente.

Visualizzare i dettagli dei criteri: è possibile esaminare le impostazioni per i criteri che hanno attivato l'avviso. Quando si seleziona questa opzione, si viene portati direttamente alla pagina Criteri con il pannello dei dettagli dei criteri già aperto. Non si sarà più nella pagina Avvisi quando si chiude il pannello dei dettagli dei criteri.

Modifica stato: è possibile aggiornare lo stato dell'avviso in base alla verifica dell'impatto e alla necessità di analizzare l'avviso. Altre informazioni sugli stati degli avvisi sono disponibili nella sezione successiva.

Stato degli avvisi

Quando viene creato un avviso, il relativo stato è Attivo. Quando si esaminano i dettagli di ogni avviso, è possibile aggiornarne lo stato in uno degli stati elencati di seguito:

  • Attivo: stato predefinito dell'avviso fino a quando il relativo stato non viene modificato
  • Analisi: l'avviso è in fase di analisi
  • Risolto: l'avviso non richiede ulteriori indagini o follow-up
  • Ignorato: l'avviso non è rilevante o non richiede un'indagine

Per assegnare o modificare lo stato di un avviso, selezionare un avviso dalla relativa riga nella tabella, selezionare Modifica stato nella parte superiore della pagina, sopra i filtri. Nel riquadro a comparsa Aggiorna stato avviso selezionare uno stato dal menu a discesa e quindi selezionare Aggiorna avviso.

Una volta generato un avviso, il relativo stato è indipendente dallo stato dei criteri che hanno generato l'avviso. Ad esempio, è possibile avere un avviso attivo associato a un criterio inattivo ed è possibile avere uno stato di analisi in un avviso generato da un criterio che è stato successivamente disattivato o eliminato.

Quando i criteri vengono eliminati

Quando un criterio viene eliminato, tutti gli avvisi generati da tale criterio rimangono nella pagina Avvisi , ma non vengono generati nuovi avvisi.

Email notifiche degli avvisi

Quando si crea un criterio, viene inviato un messaggio di posta elettronica all'utente che ha creato il criterio avvisandolo che è stata rilevata una corrispondenza. È possibile scegliere di inviare queste notifiche tramite posta elettronica a più utenti dell'organizzazione. Gli avvisi si verificano quasi in tempo reale e le notifiche tramite posta elettronica vengono inviate non appena viene generato un avviso. Il messaggio di posta elettronica contiene il nome dell'evento, la gravità, l'ora rilevata e un collegamento per visualizzare l'avviso in Compliance Manager.

Rimuovere gli utenti dalla ricezione degli avvisi

Se si designano i destinatari degli avvisi e successivamente si decide di rimuoverli, seguire questa procedura. L'autore dei criteri riceverà comunque notifiche tramite posta elettronica quando vengono rilevate corrispondenze ai criteri.

  1. Iniziare la procedura per modificare i criteri.
  2. Quando si arriva alla schermata Destinatari avviso , selezionare +Seleziona destinatari.
  3. Nel pannello a comparsa Seleziona destinatari individuare l'utente che si vuole rimuovere dalle notifiche e deselezionare la casella a sinistra del nome, quindi selezionare il pulsante Aggiungi destinatari (che ha l'effetto di salvare la selezione).
  4. Continuare con la procedura guidata e verificare che l'utente non venga visualizzato in Destinatari nella pagina Verifica e fine. Selezionare Aggiorna per salvare le impostazioni e completare.