Crea e gestisci i criteri di gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare rischi insider potenzialmente dannosi o inavvertitamente, ad esempio furto ip, perdita di dati e violazioni della sicurezza. Insider Risk Management consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

I criteri di gestione dei rischi Insider determinano quali utenti includere nell'ambito e quali tipi di indicatori di rischio siano configurati per gli avvisi. È possibile creare rapidamente criteri di sicurezza che si applicano a tutti gli utenti dell'organizzazione o definire singoli utenti o gruppi per la gestione in un criterio. I criteri supportano le priorità dei contenuti, per focalizzare l'attenzione sulle condizioni dei criteri su uno o più team di Microsoft Teams, siti di SharePoint, tipi di riservatezza dei dati ed etichette dati. Usando i modelli è possibile selezionare specifici indicatori di rischio e personalizzare le soglie degli eventi per gli indicatori dei criteri, personalizzando efficacemente i punteggi di rischio, oltre che il livello e la frequenza degli avvisi.

È anche possibile configurare criteri di perdita rapida dei dati e furto di dati allontanando i criteri utente che definiscono automaticamente le condizioni dei criteri in base ai risultati dell'analisi più recente. Inoltre, i potenziamenti del punteggio di rischio e i rilevamenti di anomalie consentono di identificare attività utente potenzialmente rischiose di maggiore importanza o insolita. Le finestre dei criteri consentono di definire l'intervallo di tempo in cui applicare il criterio alle attività di avviso e vengono usate per determinare la durata del criterio dopo l'attivazione.

Vedere il video Configurazione dei criteri di gestione dei rischi Insider per una panoramica del modo in cui i criteri creati con i modelli di criteri predefiniti consentono di agire rapidamente sui potenziali rischi.

Consiglio

Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.

Dashboard dei criteri

Il dashboard Criteri consente di visualizzare rapidamente i criteri nell'organizzazione, l'integrità dei criteri, aggiungere manualmente gli utenti ai criteri di sicurezza e visualizzare lo stato degli avvisi associati a ogni criterio.

  • Nome criterio: nome assegnato ai criteri nella procedura guidata dei criteri.
  • Stato: stato di integrità per ogni criterio. Mostra il numero di avvisi e suggerimenti per i criteri oppure lo stato Integro per i criteri senza problemi. È possibile selezionare i criteri per visualizzare i dettagli dello stato di integrità per eventuali avvisi o raccomandazioni.
  • Avvisi attivi: numero di avvisi attivi per ogni criterio.
  • Avvisi confermati: numero totale di avvisi che hanno generato casi dai criteri negli ultimi 365 giorni.
  • Azioni eseguite sugli avvisi: numero totale di avvisi confermati o ignorati negli ultimi 365 giorni.
  • Efficacia degli avvisi dei criteri: percentuale determinata dal totale degli avvisi confermati diviso per le azioni totali eseguite sugli avvisi ,ovvero la somma degli avvisi confermati o ignorati nell'ultimo anno.

Dashboard dei criteri di gestione dei rischi Insider

Consigli sui criteri dall'analisi

L'analisi dei rischi Insider offre una visualizzazione aggregata delle attività utente anonime correlate alla sicurezza e alla conformità, consentendo di valutare i potenziali rischi insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree a rischio più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che è possibile configurare. Se si decide di agire sui risultati dell'analisi analitica per individuare perdite di dati o furti di dati in base ai criteri degli utenti in partenza, è anche possibile configurare un criterio rapido in base a questi risultati.

Per altre informazioni sull'analisi dei rischi Insider e sui consigli sui criteri, vedere Impostazioni di gestione dei rischi Insider: Analisi.

Nota

Per accedere alle informazioni dettagliate di analisi, è necessario essere un amministratore senza restrizioni. Informazioni su come i gruppi amministrativi influiscono sulle autorizzazioni.

Per molte organizzazioni, iniziare a usare un criterio iniziale può essere una sfida. Se non si ha familiarità con la gestione dei rischi Insider e si usano le azioni consigliate per iniziare, è possibile configurare un criterio rapido per accelerare le perdite di dati generali o il furto di dati lasciando i criteri degli utenti . Le impostazioni rapide dei criteri vengono popolate automaticamente in base ai risultati dell'analisi analitica più recente nell'organizzazione. Ad esempio, se il controllo rilevava potenziali attività di perdita di dati, il criterio rapido includerebbe gli indicatori usati per rilevare tali attività.

Per iniziare, esaminare le impostazioni rapide dei criteri e configurare i criteri con una singola selezione. Se è necessario personalizzare un criterio rapido, è possibile modificare le condizioni durante la configurazione iniziale o dopo la creazione del criterio. Inoltre, è possibile rimanere aggiornati sui risultati del rilevamento per un criterio rapido configurando le notifiche tramite posta elettronica ogni volta che si dispone di un avviso di criteri o ogni volta che il criterio genera un avviso di gravità elevata.

Nota

Per creare criteri rapidi, è necessario essere un amministratore senza restrizioni. Informazioni su come i gruppi amministrativi influiscono sulle autorizzazioni.

Assegnare priorità al contenuto nei criteri

I criteri di gestione dei rischi Insider supportano la definizione di una priorità più alta per il contenuto a seconda della posizione in cui è archiviato, del tipo di contenuto o della relativa classificazione. È anche possibile scegliere se assegnare punteggi di rischio a tutte le attività rilevate da un criterio o solo alle attività che includono contenuto prioritario. La definizione del contenuto come priorità aumenta il punteggio di rischio per le attività associate, il che, a sua volta, aumenta la possibilità di generare un avviso di gravità elevato. Alcune attività, tuttavia, non generano un avviso, a meno che il contenuto correlato non contenga tipi di informazioni sensibili incorporati o personalizzati oppure non sia stato specificato come priorità nel criterio.

Si supponga, ad esempio, che l'organizzazione abbia un sito di SharePoint dedicato per un progetto estremamente riservato. Una fuga di dati in questo sito di SharePoint potrebbe compromettere il progetto e avere un impatto significativo sul suo successo. Assegnando la priorità a questo sito di SharePoint in un criterio sulle fughe di dati, i punteggi di rischio per le attività pertinenti vengono aumentati automaticamente. Questa definizione di priorità aumenta la probabilità che queste attività generino un avviso di rischio Insider e aumenta il livello di gravità dell'avviso.

Inoltre, è possibile scegliere di concentrare questo criterio per l'attività del sito di SharePoint che include solo il contenuto prioritario per questo progetto. Verranno assegnati punteggi di rischio e gli avvisi verranno generati solo quando le attività specificate includono contenuto prioritario. Le attività senza contenuto prioritario non verranno valutate, ma sarà comunque possibile esaminarle se viene generato un avviso.

Nota

Se si configura un criterio per generare avvisi solo per attività che includono contenuto prioritario, non vengono applicate modifiche ai ripetitori del punteggio di rischio.

Quando si crea un criterio di rischio Insider nella creazione guidata criteri, è possibile scegliere una delle priorità seguenti:

  • Siti di SharePoint: a qualunque attività associata a tutti i tipi di file nei siti di SharePoint definiti viene assegnato un punteggio di rischio più alto. Gli utenti che configurano i criteri e selezionano i siti di SharePoint con priorità possono selezionare i siti di SharePoint a cui sono autorizzati ad accedere. Se i siti di SharePoint non sono disponibili per la selezione nei criteri da parte dell'utente corrente, un altro utente con le autorizzazioni necessarie può selezionare i siti per il criterio in un secondo momento o l'utente corrente deve avere accesso ai siti necessari.
  • Tipi di informazioni sensibili: a qualunque attività associata a un contenuto che include tipi di informazioni sensibili verrà assegnato un punteggio di rischio più alto.
  • Etichette di riservatezza: a qualunque attività associata a un contenuto a cui sono applicate specifiche etichette di riservatezza verrà assegnato un punteggio di rischio più alto.
  • Estensioni di file: qualsiasi attività associata al contenuto con estensioni di file specifiche. Gli utenti che configurano un criterio di furto/perdita di dati che seleziona estensioni di file per assegnare priorità alla procedura guidata dei criteri possono definire fino a 50 estensioni di file per assegnare priorità ai criteri. Le estensioni immesse possono includere o omettere un '.' come primo carattere dell'estensione con priorità.
  • Classificatori sottoponibili a training: qualsiasi attività associata al contenuto incluso in un classificatore sottoponibile a training. Gli utenti che configurano un criterio che seleziona classificatori sottoponibili a training nella procedura guidata dei criteri possono selezionare fino a 5 classificatori sottoponibili a training da applicare ai criteri. Questi classificatori possono essere classificatori esistenti che identificano modelli di informazioni riservate come i numeri di previdenza sociale, carta di credito o conto bancario o classificatori personalizzati creati nell'organizzazione.

Rilevamento sequenza

Le attività di gestione dei rischi potrebbero non verificarsi come eventi isolati. Questi rischi fanno spesso parte di una sequenza di eventi più ampia. Una sequenza è un gruppo di due o più attività potenzialmente rischiose eseguite una dopo l'altra che potrebbero suggerire un rischio elevato. L'identificazione di queste attività utente correlate è una parte importante della valutazione del rischio complessivo. Quando viene selezionato il rilevamento della sequenza per i criteri di furto o perdita di dati, le informazioni dettagliate dalle attività relative alle informazioni sulla sequenza vengono visualizzate nella scheda Attività utente all'interno di un caso di gestione dei rischi Insider. I modelli di criteri seguenti supportano il rilevamento delle sequenze:

  • Furto di dati da parte di utenti che lasciano l'organizzazione
  • Violazioni dei dati
  • Perdita di dati per utenti con priorità
  • Perdite di dati da parte di utenti a rischio

Questi criteri di gestione dei rischi Insider possono usare indicatori specifici e l'ordine in cui si verificano per rilevare ogni passaggio in una sequenza di rischio. Per i criteri creati dalle perdite di dati e dalle perdite di dati in base ai modelli utente con priorità , è anche possibile selezionare le sequenze che attivano i criteri. I nomi file vengono usati quando si esegue il mapping delle attività in una sequenza. Questi rischi sono organizzati in quattro categorie di attività principali:

  • Raccolta: rileva le attività di download dagli utenti dei criteri nell'ambito. Le attività di gestione dei rischi di esempio includono il download di file da siti di SharePoint, servizi cloud di terze parti, domini non consentiti o lo spostamento di file in una cartella compressa.
  • Esfiltrazione: rileva le attività di condivisione o estrazione per le origini interne ed esterne dagli utenti dei criteri nell'ambito. Un'attività di gestione dei rischi di esempio include l'invio di messaggi di posta elettronica con allegati dall'organizzazione a destinatari esterni.
  • Offuscamento: rileva il mascheramento delle attività potenzialmente rischiose da parte degli utenti dei criteri nell'ambito. Un'attività di gestione dei rischi di esempio include la ridenominazione dei file in un dispositivo.
  • Pulizia: rileva le attività di eliminazione da parte degli utenti dei criteri nell'ambito. Un'attività di gestione dei rischi di esempio include l'eliminazione di file da un dispositivo.

Nota

Il rilevamento delle sequenze usa indicatori abilitati nelle impostazioni globali per la gestione dei rischi Insider. Se gli indicatori appropriati non sono selezionati, sarà possibile attivare questi indicatori nel passaggio di rilevamento della sequenza nella procedura guidata dei criteri.

È possibile personalizzare singole impostazioni di soglia per ogni tipo di rilevamento sequenza configurato nei criteri. Queste impostazioni di soglia regolano gli avvisi in base al volume di file associati al tipo di sequenza.

Nota

Una sequenza può contenere uno o più eventi esclusi dal punteggio di rischio in base alla configurazione delle impostazioni. Ad esempio, l'organizzazione potrebbe usare l'impostazione Esclusioni globali per escludere i file .png dall'assegnazione dei punteggi di rischio perché .png file non sono in genere rischiosi. Ma un file .png potrebbe essere usato per offuscare un'attività dannosa. Per questo motivo, se un evento escluso dal punteggio di rischio fa parte di una sequenza a causa di un'attività di offuscamento, l'evento viene incluso nella sequenza perché può essere interessante nel contesto della sequenza. Altre informazioni su come vengono visualizzate le esclusioni che fanno parte di una sequenza in Esplora attività.

Per altre informazioni sulla gestione del rilevamento delle sequenze nella visualizzazione Attività utente, vedere Casi di gestione dei rischi Insider: Attività utente.

Rilevamento dell'esfiltrazione cumulativa

Con la privacy attivata per impostazione predefinita, gli indicatori di rischio Insider consentono di identificare livelli insoliti di attività di rischio quando vengono valutati quotidianamente per gli utenti inclusi nell'ambito dei criteri di rischio Insider. Il rilevamento dell'esfiltrazione cumulativa usa modelli di Machine Learning per identificare quando le attività di esfiltrazione eseguite da un utente in un determinato periodo di tempo superano la quantità normale eseguita dagli utenti dell'organizzazione negli ultimi 30 giorni su più tipi di attività di esfiltrazione. Ad esempio, se un utente ha condiviso più file rispetto alla maggior parte degli utenti nell'ultimo mese, questa attività viene rilevata e classificata come attività di esfiltrazione cumulativa.

Gli analisti e gli investigatori della gestione dei rischi Insider possono usare informazioni dettagliate sul rilevamento dell'esfiltrazione cumulativa per identificare le attività di esfiltrazione che in genere non generano avvisi , ma sono al di sopra di ciò che è tipico per la loro organizzazione. Alcuni esempi possono essere la partenza di utenti che esfiltrano lentamente i dati in un intervallo di giorni o quando gli utenti condividono ripetutamente i dati su più canali più del solito per la condivisione dei dati per l'organizzazione o rispetto ai gruppi di peer.

Nota

Per impostazione predefinita, il rilevamento dell'esfiltrazione cumulativa genera punteggi di rischio in base all'attività di esfiltrazione cumulativa di un utente rispetto alle norme dell'organizzazione. È possibile abilitare le opzioni di rilevamento dell'esfiltrazione cumulativa nella sezione Indicatori di criteri della pagina impostazioni di gestione dei rischi Insider. I punteggi di rischio più elevati vengono assegnati ad attività di esfiltrazione cumulative per siti di SharePoint, tipi di informazioni sensibili e contenuto con etichette di riservatezza configurate come contenuto prioritario in un criterio o per attività che coinvolgono etichette configurate come priorità elevata in Microsoft Purview Information Protection.

Il rilevamento dell'esfiltrazione cumulativa è abilitato per impostazione predefinita quando si usano i modelli di criteri seguenti:

  • Furto di dati da parte di utenti che lasciano l'organizzazione
  • Violazioni dei dati
  • Perdita di dati per utenti con priorità
  • Perdite di dati da parte di utenti a rischio

Gruppi peer per il rilevamento dell'esfiltrazione cumulativa

La gestione dei rischi Insider identifica tre tipi di gruppi di peer per l'analisi dell'attività di esfiltrazione eseguita dagli utenti. I gruppi di peer definiti per gli utenti si basano sui criteri seguenti:

Siti di SharePoint: la gestione dei rischi Insider identifica i gruppi di peer in base agli utenti che accedono a siti di SharePoint simili.

Organizzazione simile: utenti con report e membri del team in base alla gerarchia dell'organizzazione. Questa opzione richiede che l'organizzazione usi Microsoft Entra ID per mantenere la gerarchia dell'organizzazione.

Titolo di lavoro simile: utenti con una combinazione di distanza organizzativa e titoli di lavoro simili. Ad esempio, un utente con un titolo di Senior Sales Manager con una designazione del ruolo simile a lead sales manager nella stessa organizzazione verrebbe identificato come titolo di processo simile. Questa opzione richiede che l'organizzazione usi Microsoft Entra ID per mantenere la gerarchia dell'organizzazione, le designazioni dei ruoli e i titoli di processo. Se non è stato configurato Microsoft Entra ID per la struttura dell'organizzazione e i titoli di processo, la gestione dei rischi Insider identifica i gruppi di peer in base ai siti di SharePoint comuni.

Se si abilita il rilevamento cumulativo dell'esfiltrazione, l'organizzazione accetta di condividere Microsoft Entra dati con il portale di conformità, inclusi la gerarchia dell'organizzazione e i titoli di processo. Se l'organizzazione non usa Microsoft Entra ID per gestire queste informazioni, il rilevamento potrebbe essere meno accurato.

Nota

Il rilevamento dell'esfiltrazione cumulativa usa gli indicatori di esfiltrazione abilitati nelle impostazioni globali per la gestione dei rischi Insider e gli indicatori di esfiltrazione selezionati in un criterio. Di conseguenza, il rilevamento dell'esfiltrazione cumulativa viene valutato solo per gli indicatori di esfiltrazione necessari selezionati. Le attività di esfiltrazione cumulative per le etichette di riservatezza configurate nel contenuto prioritario generano punteggi di rischio più elevati.

Quando si abilita il rilevamento dell'esfiltrazione cumulativa per i criteri relativi al furto o alla fuga di dati, informazioni dettagliate sulle attività di esfiltrazione cumulative vengono visualizzate nella scheda Attività utente all'interno di un caso di gestione dei rischi Insider. Per altre informazioni sulla gestione delle attività degli utenti, vedere Casi di gestione dei rischi Insider: Attività utente.

Integrità dei criteri

Nota

Se l'ambito dei criteri è di una o più unità amministrative, è possibile visualizzare solo l'integrità dei criteri per cui si ha l'ambito. Se si è un amministratore senza restrizioni, è possibile visualizzare l'integrità dei criteri per tutti i criteri nel tenant.

Lo stato di integrità dei criteri fornisce informazioni dettagliate sui potenziali problemi relativi ai criteri di gestione dei rischi Insider. La colonna Stato della scheda Criteri può segnalare i problemi dei criteri che potrebbero impedire la segnalazione dell'attività utente o il motivo per cui il numero di avvisi attività è insolito. Lo stato di integrità dei criteri può anche confermare che il criterio è integro e non richiede attenzione o modifiche alla configurazione.

Importante

Per accedere all'integrità dei criteri, è necessario disporre del ruolo Insider Risk Management o Insider Risk Management Admins .

Se ci sono problemi con un criterio, lo stato di integrità mostra avvisi di notifica e suggerimenti per intervenire e risolverli. Queste notifiche possono essere utili per risolvere i problemi seguenti:

  • Criteri con configurazione incompleta. Questi problemi possono includere utenti o gruppi mancanti nel criterio o altri passaggi di configurazione del criterio incompleti.
  • Criteri con problemi di configurazione degli indicatori. Gli indicatori sono una parte importante di ogni criterio. Se gli indicatori non sono configurati o se gli indicatori selezionati sono troppo pochi, il criterio potrebbe non valutare le attività rischiose come previsto.
  • I trigger dei criteri non funzionano o i requisiti dei trigger dei criteri non sono configurati correttamente. La funzionalità dei criteri può dipendere da altri servizi o requisiti di configurazione per rilevare in modo efficace gli eventi di attivazione e attivare l'assegnazione del punteggio di rischio agli utenti. Queste dipendenze possono includere problemi con la configurazione del connettore, la condivisione degli avvisi di Microsoft Defender per endpoint o le impostazioni di configurazione dei criteri DLP.
  • I limiti del volume sono prossimi o superiori ai limiti. I criteri di gestione dei rischi Insider usano numerosi servizi ed endpoint di Microsoft 365 per aggregare i segnali delle attività di rischio. A seconda del numero di utenti nei criteri, i limiti di volume possono ritardare l'identificazione e la segnalazione delle attività di rischio. Per altre informazioni su questi limiti, vedere la sezione Limiti dei modelli di criteri di questo articolo.

Per visualizzare rapidamente lo stato di integrità di un criterio, passare alla scheda Criteri e alla colonna Stato . Di seguito vengono visualizzate le opzioni seguenti per lo stato di integrità dei criteri per ogni criterio:

  • Integro: non sono stati identificati problemi con i criteri.
  • Raccomandazioni: problema con i criteri che potrebbero impedire il funzionamento dei criteri come previsto.
  • Avvisi: problema con i criteri che potrebbero impedirne l'identificazione di attività potenzialmente rischiose.

Per altre informazioni sui suggerimenti o sugli avvisi, selezionare un criterio nella scheda Criteri per aprire la scheda dei dettagli del criterio. Altre informazioni su consigli e avvisi, incluse indicazioni su come risolvere questi problemi, sono visualizzate nella sezione Notifiche della scheda dettagli.

Integrità dei criteri di gestione dei rischi Insider.

Messaggi di notifica

Usare la tabella seguente per altre informazioni su suggerimenti, notifiche di avviso e azioni da intraprendere per risolvere i potenziali problemi.

Messaggi di notifica Modelli di criteri Cause/Provare questa azione per correggere
Il criterio non sta assegnando i punteggi di rischio all'attività Tutti i modelli di criteri È possibile esaminare l'ambito dei criteri e attivare la configurazione dell'evento in modo che i criteri possano assegnare punteggi di rischio alle attività

1. Rivedere gli utenti selezionati per il criterio. Se sono selezionati pochi utenti, può essere utile selezionarne altri.
2. Se si usa un connettore HR, verificare che invii i dati corretti.
3. Se si usa un criterio DLP come evento di attivazione, controllare la configurazione dei criteri DLP per assicurarsi che sia configurato per l'uso in questo criterio.
4. Per i criteri di violazione della sicurezza, esaminare lo stato di valutazione degli avvisi Microsoft Defender per endpoint selezionato in Impostazioni > di rischio Insider Rilevamenti intelligenti. Verificare che il filtro degli avvisi non sia troppo ristretto.
I criteri non hanno generato avvisi Tutti i modelli di criteri È possibile esaminare la configurazione dei criteri in modo da analizzare l'attività di assegnazione dei punteggi più rilevante.

1. Verificare di aver selezionato gli indicatori per cui si vuole calcolare il punteggio. Più sono gli indicatori selezionati, più sono le attività a cui sono assegnati punteggi di rischio.
2. Rivedere la personalizzazione della soglia per il criterio. Se le soglie selezionate non sono allineate alla tolleranza al rischio dell'organizzazione, modificare le selezioni in modo che gli avvisi vengano creati in base alle soglie preferite.
3. Rivedere gli utenti e i gruppi selezionati per il criterio. Verificare di aver selezionato tutti gli utenti e i gruppi applicabili.
4. Per i criteri di violazione della sicurezza, verificare di aver selezionato lo stato di valutazione degli avvisi per cui si vuole calcolare il punteggio per gli avvisi di Microsoft Defender per endpoint nelle impostazioni, in Rilevamenti intelligenti.
Nessun utente o gruppo incluso in questo criterio Tutti i modelli di criteri Al criterio non sono assegnati utenti o gruppi.

Modificare il criterio e selezionare utenti o gruppi.
Nessun indicatore selezionato per questi criteri Tutti i modelli di criteri Non sono stati selezionati indicatori per il criterio

Modificare il criterio e selezionare gli indicatori appropriati.
Nessun gruppo di utenti con priorità incluso nel criterio - Perdita di dati per utenti con priorità
- Violazioni dei criteri di sicurezza per utenti con priorità
Al criterio non sono assegnati gruppi di utenti con priorità.

Configurare gruppi di utenti con priorità in Gestione dei rischi Insider e assegnarli al criterio.
Nessun evento di attivazione selezionato per questo criterio Tutti i modelli di criteri Per il criterio non è selezionato un evento di attivazione

Alle attività utente non verranno assegnati punteggi di rischio finché non si modifica il criterio e non si seleziona un evento di attivazione.
Il connettore HR non è configurato o non sta funzionando come previsto - Furto di dati da parte di utente che lascia l'organizzazione
- Violazioni dei criteri di sicurezza da parte di utenti che lasciano l'organizzazione.
- Perdite di dati da parte di utenti a rischio
- Violazioni dei criteri di sicurezza da parte di utenti a rischio
Si è verificato un problema con il connettore HR.

1. Se si usa un connettore HR, verificare che invii i dati corretti

OPPURE

2. Selezionare l'evento di attivazione Microsoft Entra account eliminato.
Non è stato eseguito l'onboarding dei dispositivi - Furto di dati da parte di utenti che lasciano l'organizzazione
- Perdite di dati
- Perdite di dati da parte di utenti a rischio
- Perdita di dati per utenti con priorità
Gli indicatori di dispositivo sono selezionati, ma non sono presenti dispositivi di cui è stato caricato l'onboarding nel portale di conformità

Verificare che sia stato eseguito l'onboarding dei dispositivi e che soddisfino i requisiti.
Il connettore HR non ha caricato dati di recente - Furto di dati da parte di utente che lascia l'organizzazione
- Violazioni dei criteri di sicurezza da parte di utenti che lasciano l'organizzazione.
- Perdite di dati da parte di utenti a rischio
- Violazioni dei criteri di sicurezza da parte di utenti a rischio
Il connettore HR non importa dati da più di 7 giorni.

Verificare che il connettore HR sia configurato correttamente e stia inviando dati.
Non è possibile controllare lo stato del connettore HR in questo momento, controllare di nuovo in un secondo momento - Furto di dati da parte di utente che lascia l'organizzazione
- Violazioni dei criteri di sicurezza da parte di utenti che lasciano l'organizzazione.
- Perdite di dati da parte di utenti a rischio
- Violazioni dei criteri di sicurezza da parte di utenti a rischio
La soluzione di gestione dei rischi Insider non è in grado di controllare lo stato del connettore HR.

Verificare che il connettore HR sia configurato correttamente e stia inviando dati oppure tornare e controllare lo stato del criterio.
I criteri di prevenzione della perdita dei dati non sono selezionati come evento di attivazione - Perdite di dati
- Perdita di dati per utenti con priorità
Un criterio DLP non è stato selezionato come evento di attivazione o il criterio DLP selezionato è stato eliminato.

Modificare il criterio e selezionare un criterio DLP attivo o "L'utente esegue un'attività di esfiltrazione" come evento di attivazione nella configurazione criterio.
I criteri di prevenzione della perdita dei dati utilizzati in questo criterio sono disattivati - Perdite di dati
- Perdita di dati per utenti con priorità
I criteri di prevenzione della perdita dei dati utilizzati in questo criterio sono disattivati.

1. Attivare i criteri DLP assegnati a questo criterio.

OPPURE

2. Modificare questo criterio e selezionare un nuovo criterio DLP o "L'utente esegue un'attività di esfiltrazione" come evento di attivazione nella configurazione criterio.
Il criterio di prevenzione della perdita di dati non soddisfa i requisiti - Perdite di dati
- Perdita di dati per utenti con priorità
I criteri DLP usati come eventi di attivazione devono essere configurati in modo da generare avvisi di gravità elevata.

1. Modificare il criterio DLP per assegnare agli avvisi applicabili il Livello di gravità alto.

OPPURE

2. Modificare questo criterio e selezionare L'utente esegue un'attività di esfiltrazione come evento di attivazione.
La tua organizzazione non dispone di un abbonamento a Microsoft Defender per endpoint - Violazioni dei criteri di sicurezza
- Violazioni dei criteri di sicurezza da parte di utenti che lasciano l'organizzazione
- Violazioni dei criteri di sicurezza da parte di utenti a rischio
- Violazioni dei criteri di sicurezza per utenti con priorità
Non è stato rilevato un abbonamento attivo a Microsoft Defender per endpoint per l'organizzazione.

Finché non viene aggiunto un abbonamento a Microsoft Defender per endpoint, questi criteri non assegnano punteggi di rischio alle attività utente.
Microsoft Defender per endpoint gli avvisi non vengono condivisi con il portale di conformità - Violazioni dei criteri di sicurezza
- Violazioni dei criteri di sicurezza da parte di utenti che lasciano l'organizzazione
- Violazioni dei criteri di sicurezza da parte di utenti a rischio
- Violazioni dei criteri di sicurezza per utenti con priorità
Microsoft Defender per endpoint gli avvisi non vengono condivisi con il portale di conformità.

Configurare la condivisione degli avvisi di Microsoft Defender per endpoint.
Si sta raggiungendo il limite massimo di utenti a cui viene assegnato un punteggio attivo per questo modello di criteri Tutti i modelli di criteri Ogni modello di criteri ha un numero massimo di utenti nell'ambito. Vedere i dettagli nella sezione sui limiti dei modelli.

Esaminare gli utenti nella scheda Utenti e rimuovere tutti gli utenti a cui non è più necessario assegnare un punteggio.
L'evento di attivazione si verifica ripetutamente per oltre il 15% degli utenti in questo criterio Tutti i modelli di criteri Modificare l'evento di attivazione per ridurre la frequenza con cui gli utenti vengono inseriti nell'ambito dei criteri.

Creare un nuovo criterio

Per creare un nuovo criterio di gestione dei rischi Insider, in genere si userà la procedura guidata dei criteri nella soluzione di gestione dei rischi Insider nel Portale di conformità di Microsoft Purview. È anche possibile creare criteri rapidi per perdite di dati generali e furti di dati allontanando gli utenti dai controlli di Analisi, se applicabile.

Completare il passaggio 6: Creare un criterio di gestione dei rischi Insider per configurare nuovi criteri di rischio Insider.

Aggiornare un criterio

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Criteri nel riquadro di spostamento a sinistra.
  4. Nel dashboard dei criteri selezionare il criterio da aggiornare.
  5. Nella pagina dei dettagli dei criteri selezionare Modifica criterio.
  6. Nella pagina Nome e descrizione , se si desidera, è possibile aggiornare la descrizione per i criteri.

    Nota

    Non è possibile modificare il modello di criterio o il campo Nome .

  7. Selezionare Avanti per continuare.
  8. Passare al passaggio 7 della procedura Crea un criterio.

Copiare un criterio

Può essere necessario creare un nuovo criterio simile a uno esistente, che richiede solo poche modifiche alla configurazione. Anziché creare un nuovo criterio da zero, è possibile copiare un criterio esistente e quindi modificare le aree che devono essere aggiornate nel nuovo criterio.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Criteri nel riquadro di spostamento a sinistra.
  4. Nel dashboard dei criteri selezionare il criterio da copiare.
  5. Nella pagina dei dettagli dei criteri selezionare Copia.
  6. Nella procedura guidata dei criteri assegnare al nuovo criterio il nome e quindi aggiornare la configurazione dei criteri in base alle esigenze.

Avviare immediatamente l'assegnazione del punteggio alle attività utente

Potrebbero essere presenti scenari in cui è necessario iniziare ad assegnare punteggi di rischio agli utenti con criteri di rischio Insider al di fuori del flusso di lavoro degli eventi di attivazione della gestione dei rischi Insider. Usare Inizia attività di assegnazione dei punteggi per gli utenti nella scheda Criteri per aggiungere manualmente un utente (o utenti) a uno o più criteri di rischio Insider per un determinato periodo di tempo, per iniziare ad assegnare punteggi di rischio alla propria attività e per ignorare il requisito per un utente di avere un indicatore di attivazione (ad esempio una corrispondenza dei criteri DLP o una data di fine impiego dal connettore HR).

Il valore nel campo Motivo dell'attività di assegnazione dei punteggi viene visualizzato nella sequenza temporale dell'attività degli utenti. Gli utenti aggiunti manualmente ai criteri vengono visualizzati nel dashboard Utenti e vengono creati avvisi se l'attività soddisfa le soglie di avviso dei criteri. In un determinato momento, è possibile avere fino a 4.000 utenti nell'ambito aggiunti manualmente usando la funzionalità Avvia attività di assegnazione dei punteggi per gli utenti .

Alcuni scenari in cui è possibile iniziare immediatamente a assegnare punteggi alle attività degli utenti includono:

  • Quando gli utenti sono identificati con problemi di rischio e si vuole iniziare immediatamente ad assegnare i punteggi di rischio alla propria attività per uno o più criteri.
  • Quando si verifica un evento imprevisto che può richiedere di iniziare immediatamente ad assegnare punteggi di rischio all'attività degli utenti coinvolti per uno o più criteri.
  • Quando il connettore HR non è ancora stato configurato, ma si vuole iniziare ad assegnare punteggi di rischio alle attività utente per gli eventi HR caricando un file di .csv.

Nota

La visualizzazione degli utenti aggiunti manualmente nel dashboard Utenti potrebbe richiedere diverse ore. La visualizzazione delle attività dei 90 giorni precedenti per questi utenti può richiedere fino a 24 ore. Per visualizzare le attività per gli utenti aggiunti manualmente, passare alla scheda Utenti , selezionare l'utente nel dashboard Utenti e quindi aprire la scheda Attività utente nel riquadro dei dettagli.

Avviare manualmente l'attività di assegnazione dei punteggi per gli utenti in uno o più criteri di gestione dei rischi Insider

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Criteri nel riquadro di spostamento a sinistra.

  4. Nel dashboard dei criteri selezionare il criterio o i criteri a cui si vogliono aggiungere utenti.

  5. Selezionare Avvia l'assegnazione del punteggio alle attività per gli utenti.

  6. Nel riquadro Aggiungi utenti a più criteri aggiungere nel campo Motivo un motivo per l'aggiunta degli utenti.

  7. Nel campo This should last for (choose between 5 and 30 days) (Questo deve durare per (scegliere tra 5 e 30 giorni) definire il numero di giorni per assegnare un punteggio all'attività dell'utente.

  8. Immettere il nome dell'utente da aggiungere oppure usare il campo Cerca utente per aggiungere criteri per cercare un utente e quindi selezionare il nome utente. Ripetere questo processo per assegnare altri utenti. L'elenco di utenti selezionati viene visualizzato nella sezione utenti del riquadro Aggiungi utenti a più criteri .

    Nota

    Se l'ambito del criterio è di una o più unità amministrative, è possibile visualizzare solo gli utenti a cui si è stati destinati.

    Per importare un elenco di utenti, selezionare Importa per importare un file .csv (valori delimitati da virgole). Il file deve essere nel formato seguente ed è necessario elencare i nomi di accesso UPN nel file:

    user principal name
    user1@domain.com
    user2@domain.com
    
  9. Selezionare Aggiungi utenti ai criteri per accettare le modifiche.

Interrompere il calcolo del punteggio per gli utenti in un criterio

Per interrompere il calcolo del punteggio degli utenti in un criterio, vedere l'articolo Dashboard utenti della gestione dei rischi Insider: Rimuovere utenti dall'assegnazione all'ambito dei criteri.

Eliminare un criterio

Importante

Non è possibile annullare l'eliminazione di un criterio.

Quando si elimina un criterio, sono disponibili due opzioni. È possibile:

  • Eliminare solo i criteri.
  • Eliminare i criteri e tutti gli avvisi e gli utenti associati.

Se si sceglie la seconda opzione:

  • Tutti gli avvisi generati da tale criterio vengono eliminati a meno che non siano associati a un caso. I casi associati non vengono mai eliminati quando si elimina un criterio.
  • Tutti gli utenti associati a un avviso da tale criterio vengono rimossi dalla pagina Utenti .
  • Se un utente è incluso nell'ambito di più criteri, tale utente viene rimosso solo dai criteri da eliminare. Non vengono rimossi da altri criteri attivi.

Si supponga, ad esempio, di creare un criterio a scopo di test prima di distribuirlo nell'organizzazione. Al termine dei test, è possibile eliminare rapidamente i criteri e tutti i dati di test associati in modo da poter iniziare da zero quando si è pronti per eseguire il push dei criteri in tempo reale.

Il completamento di un'eliminazione dei criteri può richiedere fino a 72 ore.

Nota

Se si elimina un criterio associato alla protezione adattiva per la gestione dei rischi Insider, verrà visualizzato un avviso che informa che Protezione adattiva smetterà di assegnare livelli di rischio Insider agli utenti fino a quando non si sceglie un criterio diverso in Protezione adattiva. Questo perché La protezione adattiva deve essere associata a un criterio per essere in vigore.

Per eliminare un criterio

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Criteri nel riquadro di spostamento a sinistra.

  4. Nel dashboard dei criteri selezionare il criterio da eliminare.

  5. Selezionare Elimina sulla barra degli strumenti del dashboard.

  6. Eseguire una delle operazioni seguenti:

    • Selezionare Elimina solo i criteri.
    • Selezionare Elimina i criteri e tutti gli avvisi e gli utenti associati.

    Importante

    Non è possibile annullare l'eliminazione di un criterio.

  7. Selezionare Conferma.

    Nella parte superiore dello schermo verrà visualizzato un messaggio che indica se l'eliminazione è stata completata correttamente o se è in sospeso.