Identificare gli asset fisici prioritari per i criteri di gestione dei rischi Insider

  • Articolo

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Identificare l'accesso agli asset fisici prioritari e correlare l'attività di accesso agli eventi utente è un componente importante dell'infrastruttura di conformità Gestione dei rischi Insider Microsoft Purview. Questi asset fisici rappresentano posizioni prioritarie nell'organizzazione, ad esempio edifici aziendali, data center o sale server. Le attività di rischio Insider possono essere associate agli utenti che lavorano ore insolite, che tentano di accedere a queste aree sensibili o sicure non autorizzate e alle richieste di accesso ad aree di alto livello senza esigenze legittime.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Con gli asset fisici con priorità abilitati e il connettore dati con errori fisici configurato, la gestione dei rischi Insider integra i segnali dei sistemi di controllo fisico e di accesso con altre attività di rischio utente. Esaminando i modelli di comportamento tra i sistemi di accesso fisico e correlando queste attività con altri eventi di rischio Insider, la gestione dei rischi Insider può aiutare gli investigatori e gli analisti della conformità a prendere decisioni di risposta più informate per gli avvisi.

L'accesso agli asset fisici prioritari viene assegnato a un punteggio e identificato in informazioni dettagliate in modo diverso dall'accesso agli asset non prioritari. Ad esempio, l'organizzazione dispone di un sistema di controllo per gli utenti che regola e approva l'accesso fisico alle normali aree di lavoro e di progetto sensibili. Sono presenti diversi utenti che lavorano su un progetto sensibile e questi utenti torneranno ad altre aree dell'organizzazione al termine del progetto. Quando il progetto sensibile si avvicina al completamento, si vuole assicurarsi che il lavoro del progetto rimanga riservato e che l'accesso alle aree del progetto sia strettamente controllato.

Si sceglie di abilitare il connettore dati di errore fisico in Microsoft 365 per importare le informazioni di accesso dal sistema fisico di badging e specificare gli asset fisici prioritari nella gestione dei rischi Insider. Importando informazioni dal sistema di badging e correlando le informazioni di accesso fisico con altre attività di rischio identificate nella gestione dei rischi Insider, si nota che uno degli utenti del progetto accede agli uffici del progetto dopo il normale orario di lavoro ed esporta anche grandi quantità di dati in un servizio di archiviazione cloud personale dalla normale area di lavoro. Questa attività di accesso fisico associata all'attività online può indicare possibili furti di dati e gli investigatori e gli analisti di conformità possono intraprendere le azioni appropriate in base alle circostanze per questo utente.

Asset fisici con priorità di gestione dei rischi Insider.

Configurare gli asset fisici con priorità

Per configurare gli asset fisici con priorità, è necessario configurare il connettore Di badging fisico e usare i controlli di impostazione nella soluzione di gestione dei rischi Insider. Per configurare gli asset fisici prioritari, è necessario essere membri del gruppo di ruoli Insider Risk Management o Insider Risk Management Amministrazione.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Seguire i passaggi di configurazione per la gestione dei rischi Insider nell'articolo Introduzione alla gestione dei rischi Insider . Nel passaggio 3 assicurarsi di configurare il connettore di errore fisico.

    Importante

    Per consentire ai criteri di gestione dei rischi Insider di usare e correlare i dati dei segnali relativi agli utenti in partenza e terminati con i dati degli eventi dalle piattaforme di controllo fisico e di accesso, è anche necessario configurare il connettore Microsoft 365 HR. Se si abilita il connettore di badging fisico senza abilitare il connettore Microsoft 365 HR, i criteri di gestione dei rischi Insider elaborano solo gli eventi per le attività di accesso fisico per gli utenti dell'organizzazione.

  2. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365, selezionare Impostazioni nell'angolo in alto a destra della pagina e selezionare Gestione dei rischi Insider per aprire le impostazioni di gestione dei rischi Insider e quindi selezionare Asset fisici con priorità.

  3. Nella pagina Asset fisici con priorità è possibile aggiungere manualmente gli ID degli asset fisici importati dal connettore Di badging fisico o importare un file CSV di tutti gli ID asset fisici importati dal connettore di badging fisico:

    1. Per aggiungere manualmente gli ID degli asset fisici, scegliere Aggiungi asset fisici con priorità, immettere un ID asset fisico e quindi selezionare Aggiungi. Immettere altri ID asset fisici e quindi selezionare Aggiungi asset fisici prioritari per salvare tutti gli asset immessi.
    2. Per aggiungere un elenco di ID di asset fisici da un file CSV, scegliere Importa asset fisici con priorità. Nella finestra di dialogo Esplora file selezionare il file CSV da importare e quindi selezionare Apri. Gli ID degli asset fisici dai file CSV vengono aggiunti all'elenco.

  4. Nelle impostazioni selezionare Indicatori dei criteri.

  5. Nella pagina Indicatori dei criteri passare alla sezione Indicatori di accesso fisico e quindi selezionare la casella di controllo Accesso fisico dopo la chiusura o l'accesso non riuscito all'asset sensibile .

  6. Selezionare Salva.

Eliminare un asset fisico prioritario

Per eliminare un asset fisico prioritario, è necessario essere membri del gruppo di ruoli Insider Risk Management o Insider Risk Management Admins .

Importante

L'eliminazione di un asset fisico prioritario lo rimuove dall'esame da qualsiasi criterio attivo a cui è stato incluso in precedenza. Gli avvisi generati dalle attività associate all'asset fisico prioritario non vengono eliminati.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview come membro del gruppo di ruoli Insider Risk Management o Insider Risk Management Admins .
  2. Selezionare Impostazioni nell'angolo superiore destro della pagina.
  3. Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
  4. Selezionare Asset fisici con priorità.
  5. Nella pagina Asset fisici con priorità selezionare l'asset da eliminare.
  6. Selezionare Elimina.