Introduzione alla raccolta di file che corrispondono ai criteri di prevenzione della perdita dei dati dai dispositivi

Questo articolo illustra i prerequisiti e i passaggi di configurazione per la raccolta di evidenze per le attività dei file nei dispositivi e illustra come visualizzare gli elementi copiati e salvati.

Consiglio

Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.

Ecco i passaggi generali per la configurazione e l'uso della raccolta di prove per le attività dei file nei dispositivi.

  1. Eseguire l'onboarding dei dispositivi
  2. Comprendere i requisitiCreare l'account di archiviazione di Azure gestito
  3. Aggiungere un BLOB di archiviazione di Azure all'account
  4. Abilitare e configurare la raccolta di prove in un account di archiviazione gestito da Microsoft (anteprima)
  5. Configurare i criteri di prevenzione della perdita dei dati
  6. Visualizzare in anteprima l'evidenza

Prima di iniziare

Prima di avviare queste procedure, è consigliabile esaminare Informazioni sulla raccolta di prove per le attività dei file nei dispositivi.

Licenze e sottoscrizioni

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

Vedere i requisiti di licenza dei prerequisiti per Microsoft Entra ID P1 o P2 necessari per creare il controllo degli accessi in base al ruolo personalizzato.

Autorizzazioni

Sono necessarie autorizzazioni DLP (Standard Prevenzione della perdita dei dati Microsoft Purview). Per altre informazioni, vedere Autorizzazioni.

Eseguire l'onboarding dei dispositivi

Prima di poter usare gli elementi corrispondenti alla copia, è necessario eseguire l'onboarding dei dispositivi Windows 10/11 in Purview, vedere Panoramica dell'onboarding dei dispositivi Windows in Microsoft 365.

Comprendere i requisiti

Importante

Ogni contenitore eredita le autorizzazioni dell'account di archiviazione in cui si trova. Non è possibile impostare autorizzazioni diverse per ogni contenitore. Se è necessario configurare autorizzazioni diverse per aree diverse, è necessario creare più account di archiviazione, non più contenitori.

Prima di configurare l'archiviazione di Azure e definire l'ambito della funzionalità per gli utenti, è necessario avere le risposte alla domanda seguente.

È necessario suddividere in raggruppamenti gli elementi e accedere lungo le linee di ruolo o di reparto?

Ad esempio, se l'organizzazione vuole avere un set di amministratori o investigatori di eventi DLP che possono visualizzare i file salvati dai dirigenti senior e un altro set di amministratori o investigatori di eventi DLP per gli elementi salvati dalle risorse umane, è necessario creare un account di archiviazione di Azure per la leadership senior dell'organizzazione e un altro per il reparto Risorse umane. Ciò garantisce che gli amministratori dell'archiviazione di Azure o gli investigatori di eventi DLP possano visualizzare solo gli elementi corrispondenti ai criteri DLP dei rispettivi gruppi.

Usare i contenitori per organizzare gli elementi salvati?

È possibile creare più contenitori di evidenze all'interno dello stesso account di archiviazione per l'ordinamento dei file salvati. Ad esempio, uno per i file salvati dal reparto risorse umane e un altro per quelli del reparto IT.

Qual è la strategia per la protezione dall'eliminazione o dalla modifica degli elementi salvati?

In Archiviazione di Azure la protezione dei dati si riferisce sia alle strategie per proteggere l'account di archiviazione che i dati al suo interno dall'eliminazione o dalla modifica e al ripristino dei dati dopo l'eliminazione o la modifica. Archiviazione di Azure offre anche opzioni per il ripristino di emergenza, inclusi più livelli di ridondanza, per proteggere i dati da interruzioni del servizio dovute a problemi hardware o calamità naturali. Può anche proteggere i dati usando il failover gestito dal cliente se il data center nell'area primaria non è più disponibile. Per altre informazioni, vedere Panoramica della protezione dei dati.

È anche possibile configurare criteri di immutabilità per i dati BLOB che proteggono dagli elementi salvati sovrascritti o eliminati. Per altre informazioni, vedere Archiviare dati BLOB critici per l'azienda con archiviazione non modificabile

Tipi di file supportati per l'archiviazione e l'anteprima dell'evidenza

Può essere archiviato Può essere visualizzato in anteprima
Tutti i tipi di file monitorati da Endpoint DLP Tutti i tipi di file supportati per l'anteprima dei file in OneDrive, SharePoint e Teams

Salvare gli elementi corrispondenti nell'archiviazione preferita

Per salvare la prova che Microsoft Purview rileva quando vengono applicati i criteri di prevenzione della perdita dei dati, è necessario configurare l'archiviazione. È possibile eseguire questa operazione in due modi:

  1. Creare l'archiviazione gestita dal cliente
  2. Creare archiviazione gestita da Microsoft (anteprima)

Per altre informazioni e un confronto di questi due tipi di archiviazione, vedere [Archiviazione dell'evidenza quando vengono rilevate informazioni riservate (anteprima)](dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview).

Creare l'archiviazione gestita dal cliente

Le procedure per la configurazione dell'account di archiviazione, del contenitore e dei BLOB di Azure sono documentate nel set di documenti di Azure. Di seguito sono riportati i collegamenti agli articoli pertinenti a cui è possibile fare riferimento per iniziare:

  1. Introduzione alla Archiviazione BLOB di Azure
  2. Creare un account di archiviazione
  3. Impostazione predefinita per e autorizzare l'accesso ai BLOB tramite Microsoft Entra ID
  4. Gestire i contenitori BLOB usando il portale di Azure
  5. Gestire i BLOB in blocchi con PowerShell

Nota

Assicurarsi di selezionare Abilita accesso pubblico da tutte le reti durante la creazione dell'account di archiviazione. Il supporto per le reti virtuali e gli indirizzi IP e l'uso dell'accesso privato non è disponibile

Assicurarsi di salvare il nome e l'URL del contenitore BLOB di Azure. Per visualizzare l'URL, aprire il portale > di archiviazione di Azure Home>Storage Accounts>Container>Properties

Il formato per l'URL del contenitore BLOB di Azure è:https://storageAccountName.blob.core.windows.net/containerName.

Aggiungere un BLOB di archiviazione di Azure all'account

È possibile aggiungere un BLOB di archiviazione di Azure all'account in diversi modi. Scegliere uno dei metodi seguenti.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Per aggiungere l'archiviazione BLOB di Azure usando il portale di Microsoft Purview:

  1. Accedere al portale di Microsoft Purview e scegliere l'ingranaggio Impostazioni nella barra dei menu.
  2. Scegliere Prevenzione della perdita di dati.
  3. Selezionare Impostazioni DLP endpoint.
  4. Espandere Setup evidence collection for file activities on devices (Configurare la raccolta di evidenze per le attività dei file nei dispositivi).
  5. Modificare l'interruttore da Off a On.
  6. Nel campo Imposta cache prove nel dispositivo selezionare la quantità di tempo in cui l'evidenza deve essere salvata in locale quando il dispositivo è offline. È possibile scegliere 7, 30 o 60 giorni.
  7. Selezionare un tipo di archiviazione (Archivio gestito dal cliente o Archivio gestito Microsoft (anteprima)) e quindi selezionare + Aggiungi archiviazione.
    1. Per l'archiviazione gestita dal cliente:
      1. Scegliere Archivio gestito dal cliente e quindi + Aggiungi spazio di archiviazione.
      2. Immettere assegnare un nome all'account e immettere l'URL per il BLOB di archiviazione.
      3. Scegliere Salva.
    2. Per l'archiviazione gestita da Microsoft:
      1. Scegliere Microsoft Managed Store (anteprima)

Impostare le autorizzazioni per l'archiviazione BLOB di Azure

Usando Microsoft Entra autorizzazione, è necessario configurare due set di autorizzazioni (gruppi di ruoli) nei BLOB:

  1. Uno per gli amministratori e gli investigatori in modo che possano visualizzare e gestire le prove
  2. Uno per gli utenti che devono caricare elementi in Azure dai propri dispositivi

La procedura consigliata consiste nell'applicare privilegi minimi per tutti gli utenti, indipendentemente dal ruolo. Applicando i privilegi minimi, si garantisce che le autorizzazioni utente siano limitate solo alle autorizzazioni necessarie per il proprio ruolo. Per configurare le autorizzazioni utente, creare ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e Microsoft Purview.

Autorizzazioni per il BLOB di Azure per amministratori e investigatori

Dopo aver creato il gruppo di ruoli per gli investigatori degli eventi imprevisti DLP, è necessario configurare le autorizzazioni descritte nelle sezioni Azioni investigatore e Azioni sui dati investigatore che seguono.

Per altre informazioni sulla configurazione dell'accesso AI BLOB, vedere questi articoli:

Azioni dell'investigatore

Configurare queste autorizzazioni per oggetti e azioni per il ruolo di investigatore:

Oggetto Autorizzazioni
Microsoft.Storage/storageAccounts/blobServices Lettura: Elencare i servizi BLOB
Microsoft.Storage/storageAccounts/blobServices Lettura: Ottenere le proprietà o le statistiche del servizio BLOB
Microsoft.Storage/storageAccounts/blobServices/containers Lettura: Ottenere il contenitore BLOB
Microsoft.Storage/storageAccounts/blobServices/containers Lettura: Elenco di contenitori BLOB
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs Lettura: Leggere il BLOB
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Altro: Generare una chiave di delega utente
Azioni dei dati dell'investigatore
Oggetto Autorizzazioni
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs Lettura: Lettura BLOB

Il codice JSON per il gruppo di ruoli investigator dovrebbe essere simile al seguente:

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

Autorizzazioni per il BLOB di Azure per gli utenti

Assegnare queste autorizzazioni di oggetto e azione al BLOB di Azure per il ruolo utente:

Azioni dell'utente
Oggetto Autorizzazioni
Microsoft.Storage/storageAccounts/blobServices Lettura: Elencare i servizi BLOB
Microsoft.Storage/storageAccounts/blobServices/containers Lettura: Ottenere il contenitore BLOB
Microsoft.Storage/storageAccounts/blobServices/containers Scrittura: Inserire un contenitore BLOB
Azioni dei dati utente
Oggetto Autorizzazioni
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs Scrittura: BLOB di scrittura
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs Altro: Aggiungere contenuto BLOB

Il codice JSON per il gruppo di ruoli utente dovrebbe essere simile al seguente:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Abilitare e configurare la raccolta di prove in un account di archiviazione gestito da Microsoft (anteprima)

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Per abilitare e configurare la raccolta di prove in un account di archiviazione gestito da Microsoft dall'interno del portale di Microsoft Purview:

  1. Accedere all'ingranaggioImpostazionidel portale> di Microsoft Purview nella barra dei menu.
  2. Scegliere Prevenzione della perdita di dati.
  3. Selezionare Impostazioni DLP endpoint.
  4. Espandere Setup evidence collection for file activities on devices (Configura raccolta di evidenze per le attività dei file nei dispositivi ) e impostare l'interruttore su .
  5. In Seleziona tipo di archiviazione scegliere Archiviazione gestita da Microsoft.

Configurare i criteri di prevenzione della perdita dei dati

Creare un criterio DLP come si farebbe normalmente. Per esempi di configurazione dei criteri, vedere Creare e distribuire criteri di prevenzione della perdita di dati.

Configurare i criteri usando queste impostazioni:

  • Assicurarsi che Devices sia l'unica posizione selezionata.
  • Nei report degli eventi imprevisti attivare o disattivare Invia un avviso agli amministratori quando si verifica una corrispondenza di regola su Attivato.
  • In Report eventi imprevisti selezionare Raccogli file originale come prova per tutte le attività di file selezionate nell'endpoint.
  • Selezionare l'account di archiviazione desiderato.
  • Selezionare le attività per cui si vogliono copiare gli elementi corrispondenti nell'archiviazione di Azure, ad esempio:
    • Incolla nei browser supportati
    • Caricare nei domini del servizio cloud o accedere a browser non consentiti
    • Copiare in un dispositivo USB rimovibile
    • Copia in una condivisione di rete
    • Stampa
    • Copiare o spostare usando un'app Bluetooth non consentita
    • Copiare o spostare con RDP

Visualizzare in anteprima l'evidenza

Esistono diversi modi per visualizzare in anteprima le prove, a seconda del tipo di archiviazione selezionato.

Tipo di archiviazione Opzioni di anteprima
Gestito dal cliente - Usare Esplora attività
- Usare il portale di conformità
Gestito da Microsoft (anteprima) - Usare Esplora attività
- Usare il portale di conformità

Anteprima dell'evidenza tramite Esplora attività

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale >di Microsoft PurviewPrevenzionedella perdita> dei datiEsplora attività.
  2. Usando l'elenco a discesa Data , selezionare le date di inizio e fine per il periodo a cui si è interessati.
  3. Nell'elenco dei risultati fare doppio clic sulla voce dell'attività da analizzare.
  4. Nel riquadro a comparsa, il collegamento al BLOB di Azure in cui è archiviata l'evidenza viene visualizzato in File di prova.
  5. Selezionare il collegamento Archiviazione BLOB di Azure per visualizzare il file corrispondente.

Anteprima dell'evidenza tramite la pagina Avvisi del portale di conformità

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale >di Microsoft PurviewAvvisi diprevenzione> della perdita dei dati.
  2. Usando l'elenco a discesa Data , selezionare le date di inizio e fine per il periodo a cui si è interessati.
  3. Nell'elenco dei risultati fare doppio clic sulla voce dell'attività da analizzare.
  4. Nel riquadro a comparsa selezionare Visualizza dettagli.
  5. Selezionare la scheda Eventi .
  6. Nel riquadro Dettagli selezionare la scheda Origine. Viene visualizzato il file corrispondente.

Nota

Se il file corrispondente esiste già nel BLOB di archiviazione di Azure, non verrà caricato di nuovo fino a quando non vengono apportate modifiche al file e un utente esegue un'azione su di esso.

Comportamenti noti

  • I file archiviati nella cache del dispositivo non vengono mantenuti se il sistema si arresta in modo anomalo o si riavvia.
  • La dimensione massima per i file che possono essere caricati da un dispositivo è di 500 MB.
  • Se la protezione JIR viene attivata in un file analizzato oppure se il file è archiviato in una condivisione di rete, il file di prova non viene raccolto.
  • Quando vengono aperti più file nello stesso processo (app non office) e uno dei file corrispondenti a un criterio viene in uscita, vengono attivati eventi DLP per tutti i file. Non viene acquisita alcuna prova.
  • Se vengono rilevate più regole dei criteri in un singolo file, il file di prova viene archiviato solo se la regola dei criteri più restrittiva è configurata per raccogliere le prove.