Introduzione agli avvisi di prevenzione della perdita dei dati
I criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) possono essere configurati per generare avvisi quando vengono soddisfatte le condizioni in un criterio.
Per una breve panoramica degli avvisi, vedere:
Questo articolo include i dettagli sulle licenze e sulle autorizzazioni e altre informazioni cruciali necessarie quando si usano gli avvisi.
Gli avvisi DLP possono essere esaminati e gestiti nel dashboard Microsoft Defender XDR e nella Portale di conformità di Microsoft Purview. Il dashboard Microsoft Defender XDR è il percorso consigliato per l'analisi e la gestione degli avvisi DLP. Il Portale di conformità di Microsoft Purview è il percorso consigliato per la creazione e la modifica dei criteri di prevenzione della perdita dei dati.
Consiglio
Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.
Tipi di avviso
Gli avvisi possono essere inviati ogni volta che un'attività corrisponde a una regola, che può essere rumorosa o aggregabile in base al numero di corrispondenze o al volume di elementi in un determinato periodo di tempo. Esistono due tipi di avvisi che possono essere configurati nei criteri DLP.
Gli avvisi a singolo evento vengono in genere usati nei criteri che monitorano gli eventi altamente sensibili che si verificano in un volume ridotto, ad esempio un singolo messaggio di posta elettronica con 10 o più numeri di carta di credito dei clienti inviati all'esterno dell'organizzazione.
Gli avvisi degli eventi aggregati vengono in genere usati nei criteri che monitorano gli eventi che si verificano in un volume superiore in un periodo di tempo. Ad esempio, un avviso aggregato può essere attivato quando 10 singoli messaggi di posta elettronica con un numero di carta di credito del cliente vengono inviati all'esterno dell'organizzazione per 48 ore.
Prima di iniziare
Prima di iniziare, assicurarsi di avere i prerequisiti necessari:
Licenze per le opzioni di configurazione degli avvisi
- Configurazione degli avvisi a evento singolo: le organizzazioni con una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3 possono configurare criteri per generare un avviso ogni volta che si verifica un'attività di attivazione.
-
Configurazione degli avvisi aggregati: per configurare i criteri di avviso aggregati in base a una soglia, è necessario avere una delle configurazioni seguenti:
- Sottoscrizione A5
- Sottoscrizione di E5 o G5
- Una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3 che include una delle funzionalità seguenti:
- Office 365 Advanced Threat Protection (Piano 2)
- Conformità Microsoft 365 E5
- Licenza del componente aggiuntivo Microsoft 365 eDiscovery and Audit
I clienti che usano Endpoint DLP e che sono idonei per La prevenzione della perdita dei dati di Teams visualizzeranno gli avvisi dei criteri DLP degli endpoint e gli avvisi dei criteri DLP di Teams nel dashboard di gestione degli avvisi DLP.
Ruoli e Gruppi di ruolo
Se si vuole visualizzare il dashboard di gestione degli avvisi DLP o modificare le opzioni di configurazione degli avvisi in un criterio DLP, è necessario essere membri di uno di questi gruppi di ruoli:
- Amministratore di conformità
- Amministratore dati di conformità
- Amministratore della sicurezza
- Operatore della sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
- Amministratore di Information Protection
- Analista di Information Protection
- Investigatore di Information Protection
- Lettore di Information Protection
Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview
Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.
- Azure Information Protection
- Amministratori di Information Protection
- Analisti di Information Protection
- Investigatori di Information Protection
- Lettori di Information Protection
Per accedere al dashboard di gestione degli avvisi DLP, sono necessari il ruolo Gestisci avvisi e uno di questi due ruoli:
- Gestione della conformità DLP
- View-Only gestione della conformità DLP
Per accedere alla funzionalità anteprima contenuto e alle funzionalità di contesto e contenuto sensibili corrispondenti, è necessario essere un membro del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto , con il ruolo Visualizzatore contenuto classificazione dati preassegnato.
Consiglio
Se l'amministratore richiede l'accesso agli avvisi ma non le informazioni contestuali/sensibili, è possibile creare e assegnare un ruolo personalizzato che non include l'autorizzazione Visualizzatore contenuto classificazione dati.
Configurazione degli avvisi DLP
Per informazioni su come configurare un avviso nei criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati. Esistono diverse esperienze di configurazione degli avvisi a seconda delle licenze.
Nota
La generazione di avvisi dopo la configurazione o la modifica degli avvisi esistenti in un criterio DLP potrebbe richiedere fino a 3 ore.
Configurazione dell'avviso di evento di aggregazione
Se si ha una licenza per le opzioni di configurazione degli avvisi aggregati, queste opzioni verranno visualizzate quando si crea o si modifica un criterio DLP.
Questa configurazione consente di configurare un criterio per generare un avviso:
- ogni volta che un'attività corrisponde alle condizioni dei criteri
- quando viene raggiunta o superata la soglia definita
- in base al numero di attività
- in base al volume di dati esfiltrati
Per evitare un'inondazione di messaggi di posta elettronica di notifica, tutte le corrispondenze che si verificano all'interno di un intervallo di tempo di un minuto per la stessa regola DLP e nella stessa posizione vengono raggruppate nello stesso avviso. La funzionalità intervallo di tempo di aggregazione di un minuto è disponibile in:
- Sottoscrizione di E5 o G5
- Una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3 che include una delle funzionalità seguenti:
- Office 365 Advanced Threat Protection (Piano 2)
- Conformità Microsoft 365 E5
- Licenza del componente aggiuntivo Microsoft 365 eDiscovery and Audit
Per le organizzazioni che hanno una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3, l'intervallo di tempo di aggregazione è di 15 minuti.
Configurazione dell'avviso di un singolo evento
Se si ha una licenza per le opzioni di configurazione degli avvisi a singolo evento, queste opzioni verranno visualizzate quando si creano o si modificano criteri di prevenzione della perdita dei dati. Usare questa opzione per creare un avviso generato ogni volta che si verifica una corrispondenza di regola DLP.
Tipi di eventi
Ecco alcuni degli eventi associati a un avviso. Nel dashboard Avvisi è possibile scegliere un evento specifico per visualizzarne i dettagli.
Dettagli evento
| Nome della proprietà | Descrizione | Tipi di evento |
|---|---|---|
| ID | ID univoco associato all'evento | tutti gli eventi |
| Posizione | carico di lavoro in cui è stato rilevato l'evento | tutti gli eventi |
| tempo di attività | ora dell'attività utente corrispondente ai criteri dei criteri DLP |
Entità interessate
| Nome della proprietà | Descrizione | Tipi di evento |
|---|---|---|
| utente | utente che ha intrapreso l'azione che ha causato la corrispondenza dei criteri | tutti gli eventi |
| nome host | nome host del computer in cui si è verificata la corrispondenza dei criteri DLP | eventi del dispositivo |
| Indirizzo IP | Indirizzo IP del computer in cui si è verificata la corrispondenza dei criteri DLP | eventi del dispositivo |
| sha1 | Hash SHA-1 del file | eventi del dispositivo |
| sha256 | Hash SHA-256 del file | eventi del dispositivo |
| ID dispositivo MDATP | ENDPOINT DEVICE MDATP ID (ID MDATP dispositivo endpoint) | |
| dimensioni del file | dimensioni del file | Eventi di SharePoint, OneDrive e dispositivo |
| percorso file | percorso assoluto dell'elemento coinvolto nella corrispondenza dei criteri DLP | Eventi di SharePoint, OneDrive e dispositivi |
| destinatari di posta elettronica | se un messaggio di posta elettronica era l'elemento sensibile corrispondente ai criteri di prevenzione della perdita dei dati, questo campo include i destinatari del messaggio | Eventi di Exchange |
| soggetto di posta elettronica | oggetto del messaggio di posta elettronica corrispondente ai criteri DLP | Eventi di Exchange |
| allegati di posta elettronica | nomi degli allegati nel messaggio di posta elettronica corrispondente ai criteri DLP | Eventi di Exchange |
| proprietario del sito | nome del proprietario del sito | Eventi di SharePoint e OneDrive |
| URL sito | pieno dell'URL del sito di SharePoint o OneDrive in cui si è verificata la corrispondenza dei criteri di prevenzione della perdita dei dati | Eventi di SharePoint e OneDrive |
| file creato | ora di creazione del file corrispondente ai criteri DLP | Eventi di SharePoint e OneDrive |
| file modificato per l'ultima volta | l'ultima volta che il file corrispondente ai criteri DLP è stato modificato | Eventi di SharePoint e OneDrive |
| dimensioni del file | dimensioni del file corrispondente ai criteri DLP | Eventi di SharePoint e OneDrive |
| proprietario del file | proprietario del file corrispondente ai criteri DLP | Eventi di SharePoint e OneDrive |
Dettagli dei criteri
| Nome della proprietà | Descrizione | Tipi di evento |
|---|---|---|
| Criteri di prevenzione della perdita dei dati corrispondenti | nome dei criteri DLP corrispondenti | tutti gli eventi |
| regola corrispondente | nome della regola dei criteri di prevenzione della perdita dei dati corrispondente | tutti gli eventi |
| sono stati rilevati tipi di informazioni sensibili (SIT) | SIT rilevati come parte della corrispondenza dei criteri DLP | tutti gli eventi |
| azioni intraprese | azioni eseguite che hanno causato la corrispondenza dei criteri DLP | tutti gli eventi |
| violazione dell'azione | azione nel dispositivo endpoint che ha generato l'avviso DLP | eventi del dispositivo |
| criteri di overrode dell'utente | l'utente ha eseguito l'override dei criteri tramite un suggerimento per i criteri | tutti gli eventi |
| usare la giustificazione dell'override | il testo del motivo fornito dall'utente per l'override | tutti gli eventi |
Importante
La configurazione dei criteri di conservazione dei log di controllo dell'organizzazione controlla per quanto tempo un avviso rimane visibile nella console. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.
Vedere anche
- Avvisi nei criteri DLP: descrive gli avvisi nel contesto di un criterio DLP.
- Introduzione agli avvisi di prevenzione della perdita dei dati: illustra i dettagli necessari per la prevenzione della perdita dei dati, le autorizzazioni e i prerequisiti necessari per gli avvisi DLP e i dettagli di riferimento degli avvisi.
- Creare e distribuire criteri di prevenzione della perdita dei dati: include indicazioni sulla configurazione degli avvisi nel contesto della creazione di criteri di prevenzione della perdita dei dati.
- Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati: illustra i vari metodi per l'analisi degli avvisi DLP.
- Analizzare gli eventi imprevisti di perdita dei dati con Microsoft Defender XDR: come analizzare gli avvisi DLP nel portale di Microsoft Defender.