Procedure consigliate per la gestione del volume degli avvisi nella gestione dei rischi Insider

Importante

Microsoft Purview Insider Risk Management correla vari segnali per identificare potenziali rischi insider dannosi o inavvertitamente, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

La revisione, l'analisi e l'azione su avvisi Insider potenzialmente rischiosi sono parti importanti per ridurre al minimo i rischi insider nell'organizzazione. Un'azione rapida per ridurre al minimo l'impatto di questi rischi può potenzialmente risparmiare tempo, denaro e ramificazioni normative o legali per l'organizzazione. In questo processo di correzione, il primo passaggio della revisione degli avvisi può sembrare l'attività più difficile per molti analisti e investigatori.

Questo articolo fornisce le procedure consigliate per la gestione del volume di avvisi nell'organizzazione in modo che non siano presenti troppi avvisi o un numero eccessivo di avvisi. Per una descrizione generale della modalità di generazione degli avvisi e degli strumenti per la gestione degli avvisi, vedere Analizzare le attività di rischio Insider.

Troppi avvisi da esaminare

Se si ricevono troppi avvisi di gestione dei rischi Insider:

• Aggiornare le impostazioni: Le modifiche apportate alle impostazioni si applicano a livello globale a tutti i criteri.

  • Abilitare altri indicatori: La selezione di altri indicatori offre ai criteri un gruppo più ampio di attività da rilevare.

    Come si fa: Passare a Impostazioni>Indicatori dei criteri e quindi abilitare tutti gli indicatori disponibili e pertinenti.

  • Modificare il dispositivo di scorrimento Volume avvisi: Usare questo dispositivo di scorrimento per visualizzare tutti gli avvisi di gravità media e alta e la maggior parte degli avvisi di gravità bassa. Nota: La regolazione del dispositivo di scorrimento può comportare più falsi positivi.

    Come si fa: Passare a Impostazioni>Rilevamenti intelligentiVolume avvisi> e quindi spostare il dispositivo di scorrimento su Altri avvisi.

• Modificare i criteri: Identificare i criteri che non generano avvisi sufficienti e quindi prendere in considerazione le azioni seguenti:

  • Aumentare la copertura utente nei criteri: I criteri con pochi utenti inclusi nell'ambito hanno meno probabilità di generare avvisi. Se applicabile, valutare la possibilità di aumentare il numero di utenti nell'ambito dei criteri.

    Come si fa: Selezionare un criterio specifico nella pagina Criteri , selezionare Modifica criterio e quindi passare alla pagina Utenti e gruppi per aumentare il numero di utenti nell'ambito.

  • Abbassare le soglie del trigger: I criteri basati sui modelli Perdita di dati e Utilizzo browser rischioso (anteprima) consentono di personalizzare alcune soglie di trigger. Queste soglie definiscono quando si inizierà a rilevare le attività degli utenti. Se si abbassano le soglie di attivazione, si riducono i criteri per l'avvio della valutazione dell'attività rischiosa da parte di un utente. Nota: Se un utente non viene visualizzato nella pagina Utenti e gruppi , significa che l'attivazione dei criteri dell'evento non è ancora stata soddisfatta.

    Come si fa: Passare al criterio specifico nella pagina Criteri , selezionare Modifica criterio, passare alla pagina Attiva soglie , selezionare l'opzione Usa soglie personalizzate e quindi modificare le soglie.

  • Aggiungere altri indicatori: Gli indicatori sono le attività che un utente deve eseguire per essere considerate rischiose. Se non sono presenti molti indicatori (attività considerate rischiose) selezionati nei criteri, è meno probabile che vengano generati avvisi.

    Come si fa: Passare ai criteri specifici nella pagina Criteri , selezionare Modifica criterio, passare alla pagina Indicatori e quindi selezionare altri indicatori.

  • Soglie degli indicatori inferiori: Dopo che gli utenti iniziano a essere valutati (hanno un evento di attivazione), verrà generato un avviso per tali utenti solo se eseguono attività superiori a una determinata soglia che potrebbero indicare che la loro attività è rischiosa. L'abbassamento delle soglie dell'indicatore riduce la soglia che gli utenti devono superare per generare un avviso.

    Come si fa: Passare al criterio specifico nella pagina Criteri , selezionare Modifica criterio, passare alla pagina Soglie indicatore , selezionare l'opzione Personalizza soglie e quindi impostare le soglie. Informazioni sulle raccomandazioni relative alle soglie degli indicatori

Troppi avvisi da esaminare

Se si ricevono troppi avvisi validi o se sono presenti troppi avvisi a basso rischio non aggiornati, è consigliabile eseguire le azioni seguenti:

• Abilitare analitica: L'abilitazione di analitica consente di identificare rapidamente le potenziali aree di rischio per gli utenti e di determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che potrebbe essere necessario configurare.

  Come si fa: Passare a Impostazioni>Analitica.

• Ottenere informazioni dettagliate in tempo reale: È anche possibile ottenere informazioni dettagliate in tempo reale da analitica se si vogliono sfruttare i vantaggi offerti dalle raccomandazioni sulle soglie. Queste informazioni dettagliate consentono di modificare in modo efficiente la selezione degli indicatori e delle soglie di occorrenza dell'attività in modo da non ricevere troppi o pochi avvisi dei criteri.

  Come si fa: Vedere Usare analitica in tempo reale per gestire il volume degli avvisi.

• Modificare i criteri: La selezione e la configurazione dei criteri di rischio Insider corretti è il metodo più semplice per gestire il tipo e il volume degli avvisi. A partire dal modello di criteri appropriato, è possibile concentrare i tipi di attività di rischio e gli avvisi visualizzati. Altri fattori che possono influire sul volume degli avvisi sono le dimensioni dell'utente e dei gruppi nell'ambito e il contenuto e i canali con priorità. Valutare la possibilità di modificare i criteri per perfezionare queste aree in base a ciò che è più importante per l'organizzazione.

  Come si fa: Selezionare un criterio specifico nella pagina Criteri e quindi selezionare Modifica criterio.

• Modificare le impostazioni di rischio Insider: Le impostazioni di rischio Insider includono un'ampia gamma di opzioni di configurazione che possono influire sul volume e sui tipi di avvisi ricevuti. Assicurarsi di esaminare e comprendere le impostazioni seguenti per filtrare il rumore degli avvisi:

  • Indicatori dei criteri e soglie degli indicatori
  • Esclusioni globali
  • Gruppi di rilevamento
  • Varianti di indicatori predefiniti
  • Rilevamenti intelligenti
  • Timeframe dei criteri

• Abilitare la personalizzazione degli avvisi inline: L'abilitazione della personalizzazione degli avvisi inline consente agli analisti e agli investigatori di modificare rapidamente i criteri durante la revisione degli avvisi. Possono aggiornare le soglie per il rilevamento delle attività con consigli Microsoft, configurare soglie personalizzate o scegliere di ignorare il tipo di attività che ha creato l'avviso. Se questa opzione non è abilitata, solo gli utenti assegnati al gruppo di ruoli Gestione rischi Insider possono usare la personalizzazione degli avvisi inline.

  Come si fa: Passare a Impostazioni Personalizzazione>degli avvisi inline.

• Avvisi di eliminazione in blocco, se applicabile: Può essere utile risparmiare tempo di valutazione per gli analisti e gli investigatori per ignorare immediatamente più avvisi in blocco. È possibile selezionare fino a 400 avvisi da ignorare contemporaneamente.

Gestione dei vincoli di risorse nell'organizzazione

Gli utenti moderni dell'ambiente di lavoro spesso hanno un'ampia gamma di responsabilità e richieste per il loro tempo. È possibile eseguire diverse azioni per risolvere i vincoli di risorse:

• Focus analyst and investigator efforts on the highest risk alerts first :Focus analyst and investigator efforts on the highest risk alerts first:Focus analyst and investigator efforts on the highest risk alerts first: A seconda dei criteri, è possibile acquisire le attività degli utenti e generare avvisi con vari gradi di potenziale impatto sulle attività di mitigazione dei rischi. Filtrare gli avvisi in base alla gravità e assegnare priorità agli avvisi con gravità elevata .
• Usare Microsoft Copilot: è possibile usare Microsoft Copilot in Microsoft Purview per riepilogare un avviso senza nemmeno aprirlo. In questo modo è possibile velocizzare l'esperienza di valutazione.
• Assegnare gli utenti come analisti e investigatori: L'assegnazione dell'utente corretto ai ruoli appropriati è una parte importante del processo di revisione degli avvisi di rischio Insider. Assicurarsi di aver assegnato gli utenti appropriati ai gruppi di ruoli Insider Risk Management Analyst e Insider Risk Management Investigators .
• Usare le funzionalità di rischio Insider automatizzate per individuare le attività a rischio più elevato:
  • Usare il rilevamento della sequenza di gestione dei rischi Insider e il rilevamento cumulativo dell'esfiltrazione per individuare rapidamente più facilmente i rischi nell'organizzazione.
  • Valutare la possibilità di ottimizzare i ripetitori del punteggio di rischio e usare esclusioni globali, gruppi di rilevamento e varianti.
  • Ottimizzare le impostazioni di soglia minima dell'indicatore per i criteri.

Vedere anche

Analizzare le attività di gestione dei rischi Insider