Contribuisci a ridurre dinamicamente i rischi con la protezione adattiva.
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
La protezione adattiva in Microsoft Purview usa l'apprendimento automatico per identificare i rischi più critici e applicare in modo proattivo e dinamico i controlli di protezione da:
- Prevenzione della perdita dei dati Microsoft Purview (DLP)
- Gestione del ciclo di vita dei dati di Microsoft Purview (anteprima)
- Microsoft Entra accesso condizionale (anteprima)
L'integrazione con la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e l'accesso condizionale possono aiutare le organizzazioni ad automatizzare la risposta ai rischi Insider e a ridurre il tempo necessario per identificare e correggere le potenziali minacce. Sfruttando le funzionalità di tutte e quattro le soluzioni, le organizzazioni possono creare un framework di sicurezza più completo che affronti le minacce interne ed esterne.
Importante
Per informazioni sui requisiti di licenza per l'uso della protezione adattiva con la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e l'accesso condizionale, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11.
La protezione adattiva consente di attenuare i potenziali rischi usando:
- Rilevamento compatibile con il contesto. Consente di identificare i rischi più critici con l'analisi basata su ML sia del contenuto che delle attività degli utenti.
- Controlli dinamici. Consente di applicare controlli efficaci agli utenti ad alto rischio, mentre altri mantengono la produttività.
- Mitigazione automatica. Consente di ridurre al minimo l'impatto di potenziali eventi imprevisti di sicurezza dei dati e di ridurre il sovraccarico dell'amministratore.
La protezione adattiva assegna in modo dinamico agli utenti criteri appropriati per la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e l'accesso condizionale in base ai livelli di rischio Insider definiti e analizzati dai modelli di Machine Learning nella gestione dei rischi Insider. I criteri diventano adattivi in base al contesto utente, assicurando che i criteri più efficaci, ad esempio bloccare la condivisione dei dati tramite la prevenzione della perdita di dati o bloccare l'accesso alle applicazioni tramite l'accesso condizionale, vengano applicati solo agli utenti ad alto rischio, mentre gli utenti a basso rischio mantengono la produttività. La prevenzione della perdita di dati e i controlli dei criteri di accesso condizionale vengono costantemente modificati, quindi quando cambia il livello di rischio Insider di un utente, viene applicato dinamicamente un criterio appropriato per corrispondere al nuovo livello di rischio Insider. Nel caso della gestione del ciclo di vita dei dati, la gestione dei rischi Insider rileva gli utenti con livello di rischio elevato e mantiene i dati eliminati per 120 giorni usando un criterio di etichetta di conservazione della gestione del ciclo di vita dei dati creato automaticamente.
Importante
La gestione dei rischi Insider è attualmente disponibile nei tenant ospitati in aree geografiche e paesi supportati dalle dipendenze dei servizi di Azure. Per verificare che la soluzione di gestione dei rischi Insider sia supportata per l'organizzazione, vedere Disponibilità delle dipendenze di Azure per paese/area geografica. La gestione dei rischi Insider è disponibile per i cloud commerciali, ma al momento non è disponibile per i programmi cloud per enti pubblici degli Stati Uniti.
Guardare il video seguente per un riepilogo del modo in cui Protezione adattiva può aiutare a identificare e attenuare i rischi più critici nell'organizzazione:
Consiglio
Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.
Livelli di rischio Insider e controlli preventivi
Con Protezione adattiva, gli amministratori possono configurare i fattori di rischio o le attività per i livelli di rischio Insider personalizzabili in base alle esigenze dell'organizzazione. I livelli di rischio Insider per La protezione adattiva vengono aggiornati in modo continuo e automatico in base ai fattori di rischio e alle informazioni dettagliate degli utenti, quindi quando i rischi di sicurezza dei dati degli utenti aumentano o diminuiscono, i livelli di rischio Insider vengono regolati di conseguenza. In base ai livelli di rischio Insider, i criteri di prevenzione della perdita dei dati e i criteri di accesso condizionale applicano automaticamente il livello corretto di controlli preventivi configurati dagli amministratori (ad esempio blocco, blocco con override o avviso).
Consiglio
I livelli di rischio Insider in Protezione adattiva sono diversi dai livelli di gravità degli avvisi assegnati agli utenti di gestione dei rischi Insider in base alle attività rilevate nei criteri di gestione dei rischi Insider.
- I livelli di rischio Insider (elevati, moderati o minori), come descritto in questo articolo, sono una misura del rischio determinata da condizioni definite dall'amministratore, ad esempio il numero di attività di esfiltrazione eseguite dagli utenti in un giorno o se l'attività ha generato un avviso di rischio Insider ad alta gravità.
- I livelli di gravità degli avvisi (bassa, media o alta) vengono assegnati agli utenti in base alle attività rilevate nei criteri di gestione dei rischi Insider. Questi livelli vengono calcolati in base ai punteggi di rischio degli avvisi assegnati a tutti gli avvisi attivi associati all'utente. Questi livelli aiutano gli analisti e gli investigatori dei rischi Insider a dare priorità e a rispondere di conseguenza all'attività degli utenti.
Per la gestione del ciclo di vita dei dati, i criteri di gestione del ciclo di vita dei dati monitorano gli utenti a cui viene assegnato un livello di rischio elevato dalla protezione adattiva per la gestione dei rischi Insider. Quando un utente a rischio elimina qualsiasi contenuto da SharePoint, OneDrive o Exchange Online, il contenuto viene conservato automaticamente per 120 giorni. Gli amministratori possono contattare il supporto tecnico Microsoft per ripristinare qualsiasi contenuto conservato.
A seconda dei criteri di gestione dei rischi Insider assegnati in Protezione adattiva, vengono usati criteri diversi (utenti, gruppi, indicatori, soglie e così via) per determinare i livelli di rischio Insider applicabili. I livelli di rischio Insider si basano sulle informazioni dettagliate degli utenti, non solo sul numero di istanze di attività utente specifiche. Le informazioni dettagliate sono un calcolo del numero aggregato di attività e del livello di gravità di queste attività.
Ad esempio, i livelli di rischio Insider per l'utente A non sarebbero determinati dall'utente A che esegue un'attività potenzialmente rischiosa più di tre volte. I livelli di rischio Insider per l'utente A sono determinati da un'analisi del numero aggregato di attività e i punteggi di rischio vengono assegnati all'attività in base alle soglie configurate nei criteri selezionati.
Livelli di rischio Insider
I livelli di rischio Insider in Protezione adattiva definiscono il livello di rischio dell'attività di un utente e possono essere basati su criteri quali il numero di attività di esfiltrazione eseguite o se l'attività ha generato un avviso di rischio Insider con gravità elevata. Questi livelli di rischio Insider hanno definizioni predefinite del livello di rischio Insider, ma queste definizioni possono essere personalizzate in base alle esigenze:
- Livello di rischio elevato: si tratta del livello di rischio Insider più alto. Include le definizioni predefinite per gli utenti con avvisi con gravità elevata, gli utenti con almeno tre informazioni dettagliate di sequenza con un avviso di gravità elevata per attività di rischio specifiche o uno o più avvisi di gravità elevata confermati.
- Livello di rischio moderato: il livello di rischio insider medio include definizioni predefinite per gli utenti con avvisi di gravità media o per gli utenti con almeno due attività di esfiltrazione dei dati con punteggi di gravità elevati.
- Livello di rischio minore: il livello di rischio Insider più basso include definizioni predefinite per gli utenti con avvisi di gravità bassa o per gli utenti con almeno un'attività di esfiltrazione dei dati con un punteggio di gravità elevato.
Per assegnare un livello di rischio Insider a un utente, il numero di informazioni dettagliate e la gravità assegnata all'attività devono corrispondere alla definizione per il livello di rischio Insider. Il numero di attività per un'informazione dettagliata può essere una singola attività o più attività che si accumulano alla singola informazione. Il numero di informazioni dettagliate viene valutato per la definizione del livello di rischio Insider, non per il numero di attività contenute in un'analisi dettagliata.
Si supponga, ad esempio, che le condizioni nei criteri di gestione dei rischi Insider assegnati a Protezione adattiva siano con ambito per identificare i download dai siti di SharePoint nell'organizzazione. Se il criterio rileva che un utente ha scaricato 10 file da un sito di SharePoint in un solo giorno che sono determinati come gravità elevata, questo verrà considerato come una singola informazione che consiste in 10 eventi di attività. Affinché questa attività possa qualificarsi per l'assegnazione di un livello di rischio elevato all'utente, per l'utente sono necessarie due informazioni dettagliate aggiuntive (con gravità elevata). Le informazioni dettagliate aggiuntive possono contenere o meno una o più attività.
Personalizzazione dei livelli di rischio Insider
I livelli di rischio Insider personalizzati consentono di creare livelli di rischio Insider in base alle esigenze dell'organizzazione. È possibile personalizzare i criteri su cui si basa il livello di rischio Insider e quindi definire le condizioni da controllare quando il livello di rischio Insider viene assegnato agli utenti.
Si considerino gli esempi seguenti per l'uso della protezione adattiva insieme alla prevenzione della perdita dei dati, alla gestione del ciclo di vita dei dati e ai criteri di accesso condizionale.
-
Criteri di prevenzione della perdita dei dati:
- Consentire agli utenti con livello di rischio minore o livello di rischio medio di ricevere suggerimenti sui criteri e formazione sulle procedure consigliate per la gestione dei dati sensibili. In questo modo, è possibile influenzare le modifiche positive del comportamento nel tempo e ridurre i rischi per i dati dell'organizzazione.
- Impedire agli utenti con il livello di rischio elevato di salvare o condividere dati sensibili per ridurre al minimo l'impatto di potenziali eventi imprevisti dei dati.
-
Criteri di gestione del ciclo di vita dei dati:
- Mantenere qualsiasi contenuto di SharePoint, OneDrive o Exchange Online eliminato da un utente rischioso per 120 giorni. Un utente rischioso in questo caso è un utente a cui è stato assegnato il livello di rischio elevato da Protezione adattiva.
-
Criteri di accesso condizionale:
- Richiedere agli utenti a livello di rischio secondario di confermare le Condizioni per l'utilizzo prima di usare un'applicazione.
- Impedire agli utenti a livello di rischio medio di accedere a determinate applicazioni.
- Blocca completamente l'uso di applicazioni da parte degli utenti con livello di rischio elevato. Altre informazioni sui criteri di accesso condizionale applicati comunemente
Criteri e condizioni del livello di rischio Insider
La personalizzazione dei criteri e delle condizioni del livello di rischio Insider può essere basata sulle aree seguenti:
- Avvisi generati o confermati per un utente: questa opzione consente di scegliere le condizioni in base al livello di gravità per gli avvisi generati o confermati per un utente per i criteri di gestione dei rischi Insider selezionati. Le condizioni per gli avvisi non sono additive e il livello di rischio Insider viene assegnato a un utente se viene soddisfatta una delle condizioni.
- Attività utente specifica: questa opzione consente di scegliere le condizioni per il rilevamento dell'attività, la relativa gravità e il numero di occorrenze giornaliere durante la finestra di rilevamento attività precedente (facoltativo). Le condizioni per l'attività utente sono additive e il livello di rischio Insider viene assegnato a un utente solo se vengono soddisfatte tutte le condizioni.
Rilevamento attività precedenti
Questa impostazione del livello di rischio Insider determina quanti giorni dopo la protezione adattiva esamina per rilevare se un utente soddisfa le condizioni definite da uno dei livelli di rischio Insider. L'impostazione predefinita è 7 giorni, ma è possibile scegliere tra 5 e 30 giorni dell'attività precedente per applicare le condizioni del livello di rischio Insider. Questa impostazione si applica solo ai livelli di rischio Insider basati sull'attività quotidiana di un utente ed esclude i livelli di rischio Insider in base agli avvisi.
L'esempio seguente illustra come interagiscono le impostazioni di rilevamento delle attività passate e i livelli di rischio Insider per determinare se l'attività precedente di un utente è nell'ambito:
- Impostazione del livello di rischio elevato : l'utente esegue almeno tre sequenze, ognuna con un punteggio di rischio di gravità elevato (da 67 a 100)
- Impostazione rilevamento attività precedenti : 3 giorni
Attività utente | Attività nell'ambito del livello di rischio Insider |
---|---|
L'utente ha 1 sequenza di gravità elevata ogni giorno nel giorno T-3, T-2, T-1 | Sì |
L'utente ha 3 sequenze di gravità elevata nel giorno T-3 | Sì |
L'utente ha 1 sequenza di gravità elevata nel giorno T-4 e 2 sequenze di gravità elevata nel giorno T-3 | No |
Intervallo di tempo del livello di rischio Insider
Questa impostazione del livello di rischio Insider determina per quanto tempo un livello di rischio Insider rimane assegnato a un utente prima che venga reimpostato automaticamente. L'impostazione predefinita è 7 giorni, ma è possibile scegliere tra 5 e 30 giorni prima di reimpostare il livello di rischio Insider per un utente.
I livelli di rischio Insider vengono reimpostati anche per un utente quando:
- L'avviso associato per l'utente viene ignorato.
- Il caso associato per l'utente viene risolto.
- La data di fine del livello di rischio Insider è scaduta manualmente.
Nota
Se a un utente è attualmente assegnato un livello di rischio Insider e tale utente soddisfa nuovamente i criteri per tale livello di rischio Insider, l'intervallo di tempo del livello di rischio Insider viene esteso per il numero definito di giorni per l'utente.
Opzioni di scadenza del livello di rischio
Quando questa opzione è abilitata (è abilitata per impostazione predefinita), i livelli di rischio di Protezione adattiva per un utente scadono automaticamente quando l'avviso associato per un utente viene ignorato o il caso associato per l'utente viene chiuso. Se si vuole mantenere il livello di rischio protezione adattiva per un utente anche se l'avviso viene ignorato o il caso è chiuso, disabilitare l'opzione.
Autorizzazioni per la protezione adattiva
Importante
Per informazioni sui requisiti di licenza per l'uso della protezione adattiva con la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e l'accesso condizionale, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11.
A seconda di come si usano i gruppi di ruoli predefiniti di gestione dei rischi Insider e i gruppi di ruoli per la prevenzione della perdita di dati o l'accesso condizionale, potrebbe essere necessario aggiornare le autorizzazioni per amministratori, analisti e investigatori dell'organizzazione.
Nella tabella seguente vengono descritte le autorizzazioni necessarie per specifiche attività di Protezione adattiva.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Attività | Gruppo di ruoli obbligatorio |
---|---|
Configurare la protezione adattiva e le impostazioni di aggiornamento | Amministratori di Insider Risk Management o Insider Risk Management |
Creare e gestire i criteri di prevenzione della perdita dei dati con la condizione protezione adattiva | Uno dei seguenti: Amministratore conformità, Amministratore dei dati di conformità, Gestione conformità DLP, Amministratore globale |
Creare e gestire criteri di accesso condizionale con la condizione protezione adattiva | Uno dei seguenti: amministratore globale, amministratore dell'accesso condizionale, amministratore della sicurezza |
Visualizzare i dettagli sui livelli di rischio Insider assegnati agli utenti | Insider Risk Management, Insider Risk Management Analyst o Insider Risk Management Investigators |
Importante
Le quattro categorie di gruppi di ruoli corrispondono alle schede seguenti nella pagina Protezione adattiva: Livelli di rischio Insider, Livelli di rischio Insider assegnati agli utenti, Prevenzione della perdita dei dati, Accesso condizionale. Se non si è assegnati al gruppo di ruoli appropriato, la scheda non verrà visualizzata nella pagina Protezione adattiva .
Configurare la protezione adattiva
A seconda delle esigenze dell'organizzazione o della posizione in cui si è attualmente configurati con la gestione dei rischi Insider, la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e l'accesso condizionale, sono disponibili due opzioni per iniziare a usare Protezione adattiva:
- Configurazione rapida
- Configurazione personalizzata
Configurazione rapida
L'opzione di configurazione rapida è il modo più rapido per iniziare a usare Protezione adattiva. Con questa opzione non sono necessari criteri di gestione dei rischi Insider, prevenzione della perdita dei dati, gestione del ciclo di vita dei dati o accesso condizionale preesistenti e non è necessario preconfigurare impostazioni o funzionalità. Se l'organizzazione non dispone di una sottoscrizione o una licenza corrente che supporta la gestione dei rischi Insider, la prevenzione della perdita dei dati o la gestione del ciclo di vita dei dati, iscriversi a una versione di valutazione delle soluzioni di conformità e rischi di Microsoft Purview prima di avviare il processo di configurazione rapida. È anche possibile iscriversi per una versione di valutazione Microsoft Entra per l'accesso condizionale.
Per iniziare, selezionare Attiva protezione adattiva dalle schede Protezione adattiva nella home page del portale di Microsoft Purview o nella pagina Panoramica della prevenzione della perdita dei dati. È anche possibile iniziare a usare il processo di configurazione rapida passando alla configurazionerapida deldashboard>protezione> adattiva per la gestione> dei rischi Insider.
Nota
Se si è già un amministratore con ambito per Microsoft Purview, non è possibile attivare la configurazione rapida.
Ecco cosa viene configurato quando si usa il processo di configurazione rapida per La protezione adattiva:
Area | Configurazione |
---|---|
Impostazioni di rischio Insider (se non sono già configurate) | - Privacy: mostra le versioni anonime dei nomi utente.
Nota: I nomi utente non vengono resi anonimi nell'accesso condizionale o nella prevenzione della perdita di dati. - Intervalli di tempo dei criteri: valori predefiniti - Indicatori dei criteri: subset di indicatori di Office (è possibile visualizzare le impostazioni di gestione dei rischi Insider) - Ripetitori di punteggio di rischio: Tutti - Rilevamenti intelligenti: Volume avvisi = Volume predefinito - Analisi: attivato - Amministrazione notifiche: inviare un messaggio di posta elettronica di notifica quando viene generato il primo avviso a tutti |
Impostazioni di rischio Insider (se già configurate) | - Indicatori dei criteri: indicatori di Office non già configurati (è possibile visualizzare le impostazioni di gestione dei rischi Insider) - Tutte le altre impostazioni configurate in precedenza non vengono aggiornate o modificate. - Analisi: attivato (le soglie per l'attivazione di eventi nei criteri sono le impostazioni predefinite determinate dalle raccomandazioni di Analytics) |
Un nuovo criterio di rischio Insider | - Modello di criteri: perdite di dati - Nome dei criteri: Criteri di protezione adattiva per Insider Risk Management - Ambito dei criteri per utenti e gruppi: tutti gli utenti e i gruppi - Contenuto prioritario: Nessuno - Eventi di attivazione: eventi di esfiltrazione selezionati (è possibile visualizzare le impostazioni di gestione dei rischi Insider) - Indicatori dei criteri: subset di indicatori di Office (è possibile visualizzare le impostazioni di gestione dei rischi Insider) - Potenziamenti del punteggio di rischio: l'attività è superiore all'attività consueta dell'utente per quel giorno |
Livelli di rischio Insider di protezione adattiva |
-
Livello di rischio elevato: gli utenti devono avere almeno tre sequenze di esfiltrazione di gravità elevata - Livello di rischio moderato: gli utenti devono avere almeno due attività di gravità elevata (esclusi alcuni tipi di download) - Livello di rischio minore: gli utenti devono avere almeno un'attività di gravità elevata (esclusi alcuni tipi di download) |
Due nuovi criteri di prevenzione della perdita di dati |
Criteri di protezione adattiva per la prevenzione della perdita dei dati degli endpoint - Regola livello di rischio elevato : Bloccata - Moderato/Regola del livello di rischio secondario : Controllo - I criteri vengono avviati in modalità test (solo controllo) Criteri di protezione adattiva per Teams ed Exchange DLP - Regola livello di rischio elevato : Bloccata - Moderato/Regole relative al livello di rischio secondario : Controllo - I criteri vengono avviati in modalità test (solo controllo) |
Nuovi criteri di gestione del ciclo di vita dei dati | Un criterio di applicazione automatica delle etichette a livello di organizzazione che monitora gli utenti a cui è stato assegnato il livello di rischio elevato. Tutti i contenuti di SharePoint, OneDrive o Exchange Online eliminati da un utente a rischio vengono conservati per 120 giorni. Se la protezione adattiva non è già stata attivata, i criteri vengono creati e applicati automaticamente quando si attiva Protezione adattiva. Se è già stata attivata la protezione adattiva, è necessario acconsentire esplicitamente ai criteri di gestione del ciclo di vita dei dati creati automaticamente. |
Nuovi criteri di accesso condizionale (creati in modalità solo report in modo che gli utenti non vengano bloccati) |
1-Blocca l'accesso per gli utenti con rischio Insider (anteprima) - Utenti inclusi: tutti gli utenti - Utenti guest o esterni esclusi: B2bDirectConnect User; OtherExternalUser; ServiceProvider - App cloud: app Office 365 - Livelli di rischio Insider: elevati - Blocca l'accesso: selezionato |
Dopo l'avvio del processo di configurazione rapida, possono essere necessarie fino a 72 ore prima del completamento dell'analisi, la gestione dei rischi Insider associata, la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e i criteri di accesso condizionale e si prevede di visualizzare i livelli di rischio Insider di Protezione adattiva, la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e le azioni di accesso condizionale applicate alle attività degli utenti applicabili. Gli amministratori ricevono un messaggio di posta elettronica di notifica al termine del processo di configurazione rapida.
Configurazione personalizzata
L'opzione di configurazione personalizzata consente di personalizzare i criteri di gestione dei rischi Insider, i livelli di rischio Insider e i criteri di prevenzione della perdita di dati e accesso condizionale configurati per La protezione adattiva.
Nota
Per la gestione del ciclo di vita dei dati, se la protezione adattiva non è già stata attivata, i criteri vengono creati e applicati automaticamente quando si attiva Protezione adattiva. Se è già stata attivata la protezione adattiva per l'organizzazione, è necessario acconsentire esplicitamente per applicare i criteri di gestione del ciclo di vita dei dati creati automaticamente.
Questa opzione consente anche di configurare questi elementi prima di abilitare effettivamente le connessioni di Protezione adattiva tra la gestione dei rischi Insider e la prevenzione della perdita dei dati. Nella maggior parte dei casi, questa opzione deve essere usata dalle organizzazioni che dispongono già di criteri di gestione dei rischi Insider e/o di prevenzione della perdita dei dati.
Completare la procedura seguente per configurare Protezione adattiva usando l'installazione personalizzata.
Passaggio 1: Creare criteri di gestione dei rischi Insider
I livelli di rischio Insider vengono assegnati agli utenti quando un criterio assegnato in Protezione adattiva rileva l'attività dell'utente o genera avvisi che corrispondono alle condizioni del livello di rischio Insider definite nel passaggio successivo. Se non si vuole usare un criterio di gestione dei rischi Insider esistente (selezionato nel passaggio 2), è necessario creare un nuovo criterio di gestione dei rischi Insider. I criteri di gestione dei rischi Insider per Protezione adattiva devono includere:
- Utenti di cui si vuole rilevare l'attività. Possono essere tutti gli utenti e i gruppi dell'organizzazione o solo un subset per scenari di mitigazione dei rischi specifici o per scopi di test.
- Attività considerate soglie rischiose e personalizzate che influiscono sul punteggio di rischio di un'attività. Le attività rischiose possono includere la posta elettronica di persone esterne all'organizzazione o la copia di file in dispositivi USB.
Selezionare Crea criteri di rischio Insider per avviare la procedura guidata per i nuovi criteri. Il modello di criteri Perdite di dati viene selezionato automaticamente nella procedura guidata, ma è possibile selezionare qualsiasi modello di criterio.
Importante
A seconda del modello di criterio selezionato, potrebbe essere necessario configurare impostazioni aggiuntive per il criterio in modo da rilevare correttamente le attività potenzialmente rischiose e creare avvisi applicabili.
Passaggio 2: Configurare le impostazioni del livello di rischio Insider
Selezionare la scheda Livelli di rischio Insider . Per iniziare, selezionare i criteri di gestione dei rischi Insider che si desidera usare per La protezione adattiva. Questo può essere il nuovo criterio creato nel passaggio 1 o un criterio o criteri esistenti già configurati.
Accettare quindi le condizioni di rischio insider predefinite applicabili o crearne di proprie. A seconda del tipo di criterio selezionato, le condizioni del livello di rischio Insider rifletteranno le condizioni applicabili associate agli indicatori e alle attività configurate nei criteri.
Ad esempio, se è stato scelto un criterio basato sul modello di criteri Perdite di dati , le scelte predefinite relative alle condizioni del livello di rischio Insider si applicano agli indicatori e alle attività disponibili in tale criterio. Se è stato selezionato un criterio basato sul modello di criterio Violazioni dei criteri di sicurezza , le condizioni predefinite del livello di rischio Insider vengono automaticamente definite in base agli indicatori e alle attività disponibili in tale criterio.
Personalizzare un livello di rischio Insider per i criteri
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
Passare alla soluzione Gestione dei rischi Insider .
Selezionare Protezione adattiva nel riquadro di spostamento sinistro e quindi selezionare Livelli di rischio Insider.
Nella pagina Livelli di rischio Insider selezionare Modifica per il livello di rischio Insider che si vuole personalizzare (Elevato, Moderato o Minore).
Nel riquadro Livello di rischio Insider personalizzato selezionare un'opzione nella sezione Livello di rischio Insider in base a :
- Avviso generato o confermato per un utente
- Attività utente specifica
Se è stata selezionata l'opzione Avviso generato o confermato per un utente , scegliere i livelli di gravità per gli avvisi generati o confermati per un utente che deve usare questo livello di rischio Insider. È possibile mantenere la gravità per gli avvisi generati e la gravità per le condizioni degli avvisi confermati o rimuovere una di queste condizioni se si vuole usarne solo una. Se è necessario aggiungere una di queste condizioni, selezionare Aggiungi condizione e quindi selezionare la condizione. Per ogni condizione, scegliere il livello di gravità da applicare per la condizione (Alta, Media o Bassa). Se viene soddisfatta una qualsiasi delle condizioni, il livello di rischio Insider viene assegnato a un utente.
Se è stata selezionata l'opzione Attività utente specifica, scegliere l'attività da rilevare, la gravità e il numero di occorrenze giornaliere durante la finestra di rilevamento attività precedente. È necessario configurare le attività, la gravità dell'attività e le occorrenze delle attività durante le condizioni della finestra di rilevamento per questo livello di rischio Insider.
Per la condizione Attività , le opzioni tra cui è possibile scegliere vengono aggiornate automaticamente per i tipi di attività definiti con gli indicatori configurati nei criteri associati. Se necessario, selezionare la casella di controllo Assegna questo livello di rischio Insider a qualsiasi utente con un avviso futuro confermato, anche se le condizioni precedenti non sono soddisfatte . Se vengono soddisfatte tutte le condizioni, il livello di rischio Insider viene assegnato a un utente.
Per la condizione di gravità dell'attività , specificare il livello di gravità per le attività incluse nelle informazioni dettagliate sulle attività quotidiane. Le opzioni sono High, Medium e Low e si basano su intervalli di punteggio di rischio.
Per le occorrenze dell'attività durante la condizione della finestra di rilevamento , specificare il numero di volte in cui le attività selezionate devono essere rilevate entro il periodo di rilevamento attività passato specificato. Questo numero non è correlato al numero di eventi che potrebbero verificarsi per un'attività. Ad esempio, se il criterio rileva che un utente ha scaricato 20 file da SharePoint in un giorno, questo viene considerato come un'informazione sulle attività giornaliera costituita da 20 eventi.
Selezionare Conferma per applicare le condizioni del livello di rischio Insider personalizzato.
Come viene assegnato il livello di rischio Insider se un utente è nell'ambito di più criteri
Se un utente è nell'ambito di più criteri, se riceve avvisi di livelli di gravità diversi, per impostazione predefinita all'utente viene assegnato il livello di gravità più alto ricevuto. Si consideri, ad esempio, un criterio che assegna un livello di rischio elevato se gli utenti ricevono un avviso di gravità elevata. Se un utente riceve un avviso di gravità bassa dal criterio 1, un avviso di gravità media dal criterio 2 e un avviso di gravità elevata dal criterio 3, all'utente viene assegnato un livello di rischio elevato , ovvero il livello di gravità dell'avviso più elevato ricevuto.
Si noti che le condizioni del livello di rischio Insider devono essere presenti nei criteri selezionati da rilevare. Ad esempio, se si seleziona l'attività Copia in USB per assegnare un livello di rischio Moderato, ma l'attività è selezionata in uno solo dei tre criteri selezionati, solo l'attività di tale criterio assegnerà un livello di rischio moderato per tale attività.
Passaggio 3: Creare o modificare un criterio di prevenzione della perdita dei dati
Creare quindi un nuovo criterio di prevenzione della perdita dei dati (o modificare un criterio esistente) per limitare le azioni per gli utenti che corrispondono alle condizioni del livello di rischio Insider in Protezione adattiva. Usare le linee guida seguenti per la configurazione dei criteri di prevenzione della perdita dei dati:
- È necessario includere il livello di rischio Insider dell'utente per La protezione adattiva è una condizione nei criteri di prevenzione della perdita dei dati. Questo criterio di prevenzione della perdita dei dati può includere altre condizioni in base alle esigenze.
- Sebbene sia possibile includere altre posizioni nei criteri di prevenzione della perdita dei dati, Protezione adattiva attualmente supporta solo Exchange, Microsoft Teams e dispositivi.
Selezionare Crea criterio per avviare la procedura guidata dei criteri di prevenzione della perdita dei dati e creare un nuovo criterio di prevenzione della perdita dei dati. Se si dispone di un criterio di prevenzione della perdita dei dati esistente che si vuole configurare per La protezione adattiva, passare aCriteri di prevenzione> della perdita dei dati nel portale di conformità e selezionare i criteri di prevenzione della perdita dei dati che si vuole aggiornare per Protezione adattiva. Per indicazioni su come configurare un nuovo criterio di prevenzione della perdita dei dati o aggiornare un criterio di prevenzione della perdita dei dati esistente per La protezione adattiva, vedere Informazioni sulla protezione adattiva nella prevenzione della perdita dei dati: configurazione manuale.
Consiglio
È consigliabile testare i criteri di prevenzione della perdita dei dati (con suggerimenti per i criteri) in modo da poter esaminare gli avvisi di prevenzione della perdita dei dati per verificare che i criteri funzionino come previsto prima di abilitare Protezione adattiva.
Passaggio 4: Creare o modificare un criterio di accesso condizionale
Creare quindi un nuovo criterio di accesso condizionale (o modificare un criterio esistente) per limitare le azioni per gli utenti che corrispondono alle condizioni del livello di rischio Insider in Protezione adattiva. Usare le linee guida seguenti per la configurazione dei criteri di accesso condizionale:
- Nella pagina Accesso condizionale in cui si controlla l'accesso in base ai segnali provenienti dalle condizioni, impostare la condizione di rischio Insider su Sì e quindi selezionare un livello di rischio Insider (elevato, moderato o minore). Si tratta del livello di rischio Insider che gli utenti devono avere per applicare i criteri.
Selezionare Crea criterio per avviare la procedura guidata criteri di accesso condizionale e creare un nuovo criterio di accesso condizionale. Se si dispone di un criterio di accesso condizionale esistente che si vuole configurare per La protezione adattiva, passare a Protezione>accesso condizionale nel Interfaccia di amministrazione di Microsoft Entra e selezionare i criteri di accesso condizionale da aggiornare per Protezione adattiva. Per indicazioni su come configurare un nuovo criterio di accesso condizionale o aggiornare un criterio di accesso condizionale esistente per la protezione adattiva, vedere Criteri comuni di accesso condizionale: criteri basati sui rischi Insider.
Passaggio 5: Attivare la protezione adattiva
Dopo aver completato tutti i passaggi precedenti, è possibile abilitare Protezione adattiva. Quando si attiva Protezione adattiva:
- I criteri di gestione dei rischi Insider iniziano a cercare attività utente corrispondenti alle condizioni del livello di rischio Insider. Se vengono rilevati, i livelli di rischio Insider vengono assegnati agli utenti.
- Gli utenti a cui sono assegnati livelli di rischio Insider vengono visualizzati nella scheda Livelli di rischio Insider assegnati agli utenti in Protezione adattiva.
- I criteri di prevenzione della perdita dei dati applicano le azioni di protezione per qualsiasi utente assegnato ai livelli di rischio Insider inclusi nei criteri di prevenzione della perdita dei dati. I criteri di prevenzione della perdita dei dati sono stati aggiunti alla scheda Prevenzione della perdita dei dati in Protezione adattiva. È possibile visualizzare i dettagli sui criteri di prevenzione della perdita dei dati e modificare le condizioni dei criteri dal dashboard.
- I criteri di gestione del ciclo di vita dei dati, creati automaticamente, applicano le azioni di protezione per qualsiasi utente assegnato al livello di rischio elevato. Il messaggio seguente viene visualizzato con uno sfondo verde nella scheda Protezione adattiva per comunicare agli utenti che è in corso l'applicazione della conservazione proattiva dei dati: "Anche l'organizzazione viene protetta dinamicamente dagli utenti che potrebbero potenzialmente eliminare dati critici". Il messaggio fornisce anche un collegamento all'impostazione di gestione del ciclo di vita dei dati in cui è possibile disattivare la funzionalità di conservazione proattiva dei dati, se necessario.
- I criteri di accesso condizionale applicano le azioni di protezione per qualsiasi utente assegnato ai livelli di rischio Insider inclusi nei criteri di accesso condizionale. I criteri di accesso condizionale sono stati aggiunti alla scheda Criteri di accesso condizionale in Protezione adattiva. È possibile visualizzare i dettagli sui criteri di accesso condizionale e modificare le condizioni dei criteri dal dashboard.
Per abilitare Protezione adattiva, selezionare la scheda Impostazioni protezione adattiva e quindi attivare Protezione adattiva. Potrebbero essere necessarie fino a 36 ore prima di poter visualizzare i livelli di rischio Insider di Protezione adattiva e la prevenzione della perdita di dati, la gestione del ciclo di vita dei dati e le azioni di accesso condizionale applicate alle attività degli utenti applicabili.
Guardare il video seguente sul canale Microsoft Mechanics per vedere in che modo La protezione adattiva può regolare automaticamente il livello di protezione dei dati in base ai livelli di rischio insider della sicurezza dei dati calcolati degli utenti.
Gestire la protezione adattiva
Dopo aver abilitato la protezione adattiva e aver configurato la gestione dei rischi Insider, la prevenzione della perdita dei dati e i criteri di accesso condizionale, si avrà accesso alle informazioni sulle metriche dei criteri, sugli utenti nell'ambito corrente e sui livelli di rischio Insider attualmente inclusi nell'ambito.
Nota
In questo momento, le metriche di gestione del ciclo di vita dei dati non vengono visualizzate nel dashboard. Ma si saprà se la conservazione proattiva dei dati è attivata se viene visualizzato il messaggio seguente nella scheda Protezione adattiva : "Anche l'organizzazione viene protetta dinamicamente dagli utenti che potrebbero potenzialmente eliminare dati critici".
Dashboard
Dopo aver completato il processo di configurazione rapida o personalizzata , nella scheda Dashboard in Protezione adattiva vengono visualizzati i widget per informazioni di riepilogo sui livelli di rischio insider degli utenti, i criteri di accesso condizionale e i criteri di prevenzione della perdita dei dati.
- Livelli di rischio Insider assegnati agli utenti: visualizza il numero di utenti per ogni livello di rischio Insider (elevato, moderato e minore).
- Criteri che usano livelli di rischio Insider: visualizza lo stato dei criteri (non avviati o completi), il tipo di criteri (accesso condizionale o prevenzione della perdita di dati) e il numero di criteri configurati per ogni tipo di criterio. Se non è stato configurato un tipo di criterio, selezionare Configurazione rapida per configurare i criteri.
Livelli di rischio Insider assegnati agli utenti
Gli utenti a cui è stato assegnato un livello di rischio Insider in Protezione adattiva vengono visualizzati nella scheda Livelli di rischio Insider assegnati agli utenti . È possibile esaminare le informazioni seguenti per ogni utente:
Utenti: Elenchi il nome utente. Per i criteri di prevenzione della perdita dei dati, se l'opzione Mostra versioni anonime dei nomi utente è selezionata nelle impostazioni di gestione dei rischi Insider, verranno visualizzati i nomi utente anonimi. Per i criteri di accesso condizionale, i nomi utente non vengono resi anonimi anche se è selezionata l'impostazione Mostra versioni anonime dei nomi utente .
Importante
Per mantenere l'integrità referenziale, l'anonimizzazione dei nomi utente (se attivata) non viene mantenuta per gli utenti di Protezione adattiva che hanno avvisi o attività visualizzati al di fuori della gestione dei rischi Insider. I nomi utente effettivi verranno visualizzati negli avvisi di prevenzione della perdita dei dati correlati e in Esplora attività.
Livello di rischio Insider: il livello di rischio Insider corrente assegnato all'utente.
Assegnato all'utente: numero di giorni o mesi trascorsi da quando all'utente è stato assegnato un livello di rischio Insider.
Reimpostazione del livello di rischio Insider: numero di giorni prima che il livello di rischio Insider venga reimpostato automaticamente per l'utente.
Per reimpostare manualmente il livello di rischio Insider per un utente, selezionare l'utente e quindi selezionare Scadenza. A questo utente non verrà più assegnato un livello di rischio Insider. Gli avvisi o i casi esistenti per questo utente non verranno rimossi. Se questo utente è incluso nei criteri di gestione dei rischi Insider selezionati, verrà assegnato di nuovo un livello di rischio Insider se viene rilevato un evento di attivazione.
Avvisi attivi: numero di avvisi di gestione dei rischi Insider correnti per l'utente.
Casi confermati come violazione: numero di casi confermati per l'utente.
Case: nome del caso.
Se necessario, è possibile filtrare gli utenti in base al livello di rischio Insider.
Per visualizzare informazioni dettagliate sul rischio Insider e protezione adattiva per un utente specifico, selezionare l'utente per aprire il riquadro dei dettagli dell'utente. Il riquadro dei dettagli contiene tre schede, Profilo utente, Attività utente e Riepilogo protezione adattiva. Per informazioni sulle schede Profilo utente e Attività utente , vedere Visualizzare i dettagli utente.
La scheda Riepilogo protezione adattiva aggrega le informazioni in quattro sezioni:
- Protezione adattiva: in questa sezione vengono visualizzate informazioni sul livello di rischio corrente, sul livello di rischio assegnato e sulla reimpostazione del livello di rischio per l'utente.
- Criteri di prevenzione della perdita dei dati nell'ambito (dinamico): in questa sezione vengono visualizzati tutti i criteri di prevenzione della perdita dei dati attualmente nell'ambito per l'utente e la data di inizio e fine per i criteri. Questo si basa sul livello di rischio Insider per la configurazione dei criteri di prevenzione della perdita dei dati e dell'utente per i livelli di rischio Insider. Ad esempio, se un utente ha attività definite come livello di rischio elevato per i criteri di gestione dei rischi Insider e due criteri di prevenzione della perdita dei dati sono configurati con la condizione Livello di rischio elevato , questi due criteri di prevenzione della perdita dei dati verranno visualizzati qui per l'utente.
- Criteri di accesso condizionale nell'ambito (dinamico): in questa sezione vengono visualizzati tutti i criteri di accesso condizionale attualmente inclusi nell'ambito per l'utente e la data di inizio e fine per i criteri. Si basa sul livello di rischio Insider per l'utente e sulla configurazione dei criteri di accesso condizionale per i livelli di rischio Insider. Ad esempio, se un utente ha attività definite come livello di rischio elevato per i criteri di gestione dei rischi Insider e un criterio di accesso condizionale è configurato con la condizione Livello di rischio elevato , i criteri di accesso condizionale verranno visualizzati qui per l'utente.
- Criteri di rischio Insider per la protezione adattiva: in questa sezione vengono visualizzati tutti i criteri di gestione dei rischi Insider in cui l'utente è attualmente incluso nell'ambito.
Criteri di accesso condizionale
Nella pagina Criteri di accesso condizionale vengono visualizzati tutti i criteri di accesso condizionale che usano la condizione di rischio Insider . È possibile esaminare le informazioni seguenti per ogni criterio:
- Nome criterio: nome dei criteri di accesso condizionale.
- Stato dei criteri: stato corrente dei criteri. I valori sono Attivi o Inattivi.
- Livelli di rischio Insider: i livelli di rischio Insider inclusi nei criteri di accesso condizionale usando la condizione di rischio Insider . Le opzioni sono Elevate, Moderato o Minore.
- Stato dei criteri: stato corrente dei criteri di accesso condizionale. Le opzioni sono Sì o Testa con le notifiche.
- Creato in: data di creazione dei criteri di accesso condizionale.
- Ultima modifica: data dell'ultima modifica dei criteri condizionali.
Criteri di prevenzione della perdita dei dati
Nella pagina Criteri di prevenzione della perdita dei dati vengono visualizzati tutti i criteri di prevenzione della perdita dei dati che usano il livello di rischio Insider dell'utente per La protezione adattiva è condizione. È possibile esaminare le informazioni seguenti per ogni criterio:
- Nome criterio: nome dei criteri di prevenzione della perdita dei dati.
- Stato dei criteri: stato corrente dei criteri. I valori sono Attivi o Inattivi.
- Posizione dei criteri: le posizioni incluse nei criteri di prevenzione della perdita dei dati. La protezione adattiva supporta attualmente Exchange, Teams e Dispositivi.
- Livelli di rischio Insider: i livelli di rischio Insider inclusi nei criteri di prevenzione della perdita dei dati usando il livello di rischio Insider per la protezione adattiva sono condizione. Le opzioni sono Elevate, Moderato o Minore.
- Stato dei criteri: stato corrente dei criteri di prevenzione della perdita dei dati. Le opzioni sono Sì o Testa con le notifiche.
- Creato: data di creazione dei criteri di prevenzione della perdita dei dati.
- Ultima modifica: data dell'ultima modifica dei criteri di prevenzione della perdita dei dati.
Ottimizzare le impostazioni del livello di rischio Insider
Dopo aver esaminato gli utenti con livelli di rischio Insider, è possibile che siano presenti troppi o troppo pochi utenti a cui è assegnato un livello di rischio Insider. È possibile usare due metodi per ottimizzare le configurazioni dei criteri per ridurre o aumentare il numero di utenti a cui sono assegnati livelli di rischio Insider:
-
Modificare le impostazioni del livello di rischio Insider. È possibile modificare le soglie per assegnare un livello di rischio Insider a un utente:
- Aumentare o ridurre la gravità dell'attività necessaria per assegnare un livello di rischio Insider. Ad esempio, se vengono visualizzati troppo pochi utenti con livelli di rischio Insider, è possibile ridurre l'attività o la gravità degli avvisi.
- Se il livello di rischio Insider si basa su un'attività utente specifica, aumentare o ridurre le occorrenze dell'attività durante la finestra di rilevamento. Ad esempio, se vengono visualizzati troppi utenti con livelli di rischio Insider, è possibile ridurre le occorrenze dell'attività.
- Modificare la base del livello di rischio Insider. Ad esempio, se vengono visualizzati troppi utenti con livelli di rischio Insider, per ridurre il numero di utenti, è possibile assegnare un livello di rischio Insider solo se l'avviso viene confermato.
- Modificare le soglie dei criteri. Poiché i livelli di rischio Insider vengono assegnati in base ai rilevamenti dei criteri, è anche possibile modificare i criteri, modificando a sua volta i requisiti per assegnare un livello di rischio Insider. È possibile modificare un criterio aumentando o riducendo le soglie dei criteri che comportano attività e avvisi di gravità alta/media/bassa.
Disabilitare la protezione adattiva
Potrebbero esserci alcuni scenari in cui potrebbe essere necessario disabilitare temporaneamente Protezione adattiva. Per disabilitare La protezione adattiva, selezionare la scheda Impostazioni di Protezione adattiva e impostare Protezione adattiva su Disattivata.
Se Protezione adattiva è disattivata dopo essere stata attiva e attiva, i livelli di rischio Insider smetteranno di essere assegnati agli utenti e condivisi con la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e l'accesso condizionale e tutti i livelli di rischio Insider esistenti per gli utenti verranno reimpostati. Dopo aver disattivato Protezione adattiva, potrebbero essere richieste fino a 6 ore per interrompere l'assegnazione dei livelli di rischio Insider all'attività dell'utente e reimpostarli tutti. La gestione dei rischi Insider, la prevenzione della perdita dei dati, la gestione del ciclo di vita dei dati e i criteri di accesso condizionale non vengono eliminati automaticamente.
Nota
È possibile rifiutare esplicitamente la protezione della gestione del ciclo di vita dei dati senza disabilitare la gestione dei rischi Insider Protezione adattiva disattivando l'impostazione Protezione adattiva in Gestione del ciclo di vita dei dati nella gestione del ciclo di vita dei dati. Se si disattiva questa impostazione, i criteri di gestione del ciclo di vita dei dati vengono eliminati. L'impostazione non verrà abilitata di nuovo a meno che non venga riattivata. Altre informazioni sull'impostazione Protezione adattiva in Gestione del ciclo di vita dei dati