Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati

Questo articolo presenta il flusso di analisi degli avvisi e gli strumenti che è possibile usare per analizzare gli avvisi DLP.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali di cui si dovrebbe avere familiarità quando si implementa la procedura di prevenzione della perdita dei dati:

  1. Unità amministrative
  2. Informazioni su Prevenzione della perdita dei dati Microsoft Purview: l'articolo presenta la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati.
  3. Pianificare la prevenzione della perdita dei dati: seguendo questo articolo:
    1. Identificare gli stakeholder
    2. Descrivere le categorie di informazioni riservate da proteggere
    3. Impostare obiettivi e strategia
  4. Informazioni di riferimento sui criteri di prevenzione della perdita dei dati: questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influisce sul comportamento di un criterio.
  5. Progettare un criterio DLP: questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
  6. Creare e distribuire criteri di prevenzione della perdita dei dati: presenta alcuni scenari comuni di finalità dei criteri mappati alle opzioni di configurazione. Viene quindi illustrata la configurazione di tali opzioni e vengono fornite indicazioni sulla distribuzione di un criterio.
  7. Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati: questo articolo che si sta leggendo introduce ora il ciclo di vita degli avvisi dalla creazione alla correzione finale e all'ottimizzazione dei criteri. Presenta anche gli strumenti usati per analizzare gli avvisi.

Ciclo di vita di un avviso DLP

Tutti gli avvisi e l'interazione con essi vengono eseguiti nei sei passaggi seguenti:

Attivazione

La durata di un avviso Prevenzione della perdita dei dati Microsoft Purview (DLP) viene avviata quando vengono soddisfatte le condizioni definite nei criteri. Quando si verifica una corrispondenza di criteri, vengono attivate le azioni definite nei criteri, che possono includere la generazione di un avviso se il criterio è configurato per farlo.

I criteri DLP sono in genere configurati per monitorare e generare avvisi quando:

  • Le informazioni sensibili, ad esempio l'identificazione personale dei dati o la proprietà intellettuale, vengono esfiltrate dall'organizzazione.
  • Le informazioni sensibili vengono condivise in modo inappropriato con persone esterne o all'interno dell'organizzazione.
  • Gli utenti si impegnano in attività rischiose, ad esempio il download di informazioni sensibili su supporti rimovibili.

Notifica

Quando viene generato un avviso, viene inviato al portale di Microsoft Defender come evento imprevisto e al dashboard di gestione degli avvisi DLP. I criteri DLP possono essere configurati per inviare notifiche a utenti, amministratori e altri stakeholder tramite posta elettronica.

Nella fase di notifica Microsoft Purview:

  • Report sulle corrispondenze dei criteri DLP e sulle sostituzioni degli utenti.
  • È possibile usare Esplora attività per visualizzare le attività correlate alla prevenzione della perdita dei dati e filtrare per la generazione di report.

Per esportare i dati delle attività per la creazione di report, usare Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc usando l'API O365 Management Activity o l'API eventi imprevisti.

Nota

Il portale Microsoft Defender mantiene gli eventi imprevisti per sei mesi. Il dashboard di gestione degli avvisi DLP mantiene gli avvisi per 30 giorni.

Triage

In questo passaggio si analizza un avviso e tutti i log associati e si decide se l'avviso è un vero positivo o un falso positivo. Se si tratta di un vero positivo, impostare la priorità dell'avviso in base alla gravità del problema e al relativo impatto sull'organizzazione e assegnare un proprietario. Se si tratta di un falso positivo, è possibile sbloccare l'utente e passare all'avviso successivo.

Il portale di Defender raggruppa gli eventi DLP in eventi imprevisti. Gli eventi imprevisti sono una raccolta di avvisi correlati raggruppati in base a tutti gli altri segnali ricevuti da Defender. Ad esempio, quando si dispone di un criterio DLP configurato per monitorare e inviare avvisi sui file sensibili nei siti di SharePoint e un utente scarica un file da un sito di SharePoint e quindi lo carica in un OneDrive personale e quindi lo condivide con un utente esterno, Defender raggruppa tutti gli avvisi in un singolo evento imprevisto. Si tratta di una funzionalità potente che consente di concentrarsi prima sugli avvisi più importanti.

Nel portale di Defender è possibile iniziare immediatamente a valutare gli eventi imprevisti e usare tag, commenti e altre funzionalità per strutturare la gestione degli eventi imprevisti. È consigliabile usare la pagina Eventi imprevisti nel portale di Microsoft Defender per gestire gli avvisi DLP. È possibile filtrare la coda Eventi imprevisti per visualizzare tutti gli eventi imprevisti con gli avvisi DLP di Microsoft Purview selezionando Filtri e scegliendo Origine servizio: Prevenzione della perdita dei dati.

Se è stata abilitata la condivisione dei dati di gestione dei rischi Insider con Microsoft Defender XDR (anteprima), verrà visualizzato il livello di gravità dei criteri di gestione dei rischi Insider associati a un utente nella pagina degli avvisi DLP. I livelli di gravità di Insider Risk Management sono: Basso, Medio, Alto e Nessuno. È possibile usare queste informazioni per assegnare priorità alle attività di indagine e correzione. Queste informazioni saranno disponibili anche nel portale di Microsoft 365 Defender nei dettagli dell'evento imprevisto.

Investigare

L'obiettivo principale della fase di indagine consiste nel correlare le prove, determinare la causa e l'impatto completo dell'avviso e decidere un piano di correzione. Il proprietario assegnato è responsabile di un'analisi più approfondita e della correzione dell'avviso. Gli strumenti di analisi degli avvisi principali sono il portale di Microsoft Defender e il dashboard di gestione degli avvisi DLP. È anche possibile usare Esplora attività per analizzare gli avvisi. È anche possibile condividere avvisi con altri utenti dell'organizzazione.

È possibile sfruttare le funzionalità di prevenzione della perdita dei dati, ad esempio:

È possibile usare sia Microsoft Defender portale che gli strumenti Purview per valutare e analizzare gli avvisi, ma il portale di Microsoft Defender offre più funzionalità per la gestione di avvisi e eventi imprevisti, ad esempio:

  • Visualizzare tutti gli avvisi DLP raggruppati in eventi imprevisti nella coda degli eventi imprevisti Microsoft Defender XDR.
  • Visualizzare gli avvisi correlati tra soluzioni intelligenti (DLP-MDE, DLP-MDO) e intra-solution (DLP-DLP) in un singolo evento imprevisto.
  • Cercare i log di conformità insieme alla sicurezza in Ricerca avanzata.
  • Azioni di correzione dell'amministratore sul posto su utente, file e dispositivo.
  • Associare tag personalizzati agli eventi imprevisti DLP e filtrarli in base a essi.
  • Filtrare in base al nome del criterio DLP, al tag, alla data, all'origine del servizio, allo stato dell'evento imprevisto e all'utente nella coda unificata degli eventi imprevisti.

Se si condividono i dati di gestione dei rischi Insider con Defender (anteprima), è possibile visualizzare il riepilogo delle attività utente di tutte le attività di esfiltrazione eseguite dall'utente fino agli ultimi 120 giorni.

Correzione

Il piano di correzione è univoco per i criteri dell'organizzazione, il settore, le normative geopolitiche che deve rispettare e le procedure aziendali. Il modo in cui l'organizzazione sceglie di rispondere a un avviso ruota intorno all'accuratezza dell'avviso (vero positivo, falso positivo, falso negativo), alla gravità del problema e all'impatto sull'organizzazione.

Le azioni di correzione possono includere:

  • Solo monitoraggio, non sono necessarie altre azioni.
  • Non sono necessarie altre azioni perché le azioni intraprese dal criterio hanno sufficientemente mitigato il rischio.
  • Rischi mitigati dalle azioni automatizzate dei criteri, ma è necessaria la formazione degli utenti.
  • Il problema non è stato completamente mitigato dai criteri, quindi è necessaria un'ulteriore pulizia e mitigazione dei rischi insieme a una maggiore formazione degli utenti.
  • Tramite Protezione adattiva in Prevenzione della perdita dei dati (anteprima) in cui la prevenzione della perdita dei dati si integra con Insider Risk Management, è possibile assegnare un livello di rischio all'utente per un ulteriore monitoraggio e azioni.

Con il portale di Defender è possibile eseguire immediatamente azioni correttive su avvisi ed eventi imprevisti. Ad esempio:

  • Reimpostare la password
  • Disabilitare l'account
  • Visualizzare l'attività utente
  • Azioni sui rilevamenti DLP
  • Rimuovi documento
  • Applicare l'etichetta di riservatezza
  • Annulla condivisione
  • Scaricare un messaggio di posta elettronica
  • Rilevazione avanzata
  • Isolare il dispositivo
  • Raccogliere il pacchetto di indagine dal dispositivo
  • Eseguire l'analisi AV
  • Quarantena del file
  • Disabilitare l'utente
  • Reimpostare pwd
  • Eliminare il messaggio di posta elettronica
  • Spostare la posta in un'altra cartella della cassetta postale
  • Scaricare il file

Sintonizzare

In base all'accuratezza e all'efficacia dei criteri, potrebbe essere necessario aggiornarlo in modo che rimanga efficace. I criteri sono già stati ottimizzati durante il processo di creazione e distribuzione dei criteri, ma man mano che il patrimonio dati e le esigenze aziendali cambiano, i criteri devono essere aggiornati per continuare a essere efficaci. È consigliabile tenere traccia di queste modifiche nell'istruzione di finalità dei criteri e nella configurazione dei criteri.

Elementi ottimizzati:

  • Ambito dei criteri.
  • Le condizioni necessarie per una corrispondenza dei criteri.
  • Azioni eseguite quando si verifica una corrispondenza di criteri.
  • Notifiche inviate a utenti e amministratori.

Per altre informazioni sul mapping delle esigenze aziendali ai criteri di progettazione e test dei criteri, vedere:

Set di strumenti

Sono disponibili più strumenti che è possibile usare per analizzare e gestire gli avvisi di Prevenzione della perdita dei dati Microsoft Purview (DLP). Ci sono:

Microsoft consiglia di usare la coda di eventi imprevisti unificata nel portale di Microsoft Defender per gestire gli avvisi DLP. Tuttavia, l'organizzazione potrebbe avere esigenze che possono essere soddisfatte usando il dashboard di gestione degli avvisi DLP oltre al portale di Microsoft Defender.

Portale di Microsoft Defender

Portale di conformità di Microsoft Purview

Se non si ha familiarita' con l'uso del dashboard avvisi DLP, è consigliabile leggere questi articoli per iniziare.

Passaggi successivi