Condividi tramite


Informazioni sulle impostazioni di gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Prima di iniziare a usare i criteri di gestione dei rischi Insider, è importante comprendere e scegliere le impostazioni di gestione dei rischi Insider che meglio soddisfano le esigenze di conformità per l'organizzazione. Le impostazioni di gestione dei rischi Insider si applicano a tutti i criteri di gestione dei rischi Insider, indipendentemente dal modello scelto durante la creazione di un criterio.

Nota

Usare Impostazioni nella parte superiore di qualsiasi pagina di gestione dei rischi Insider per apportare modifiche alle impostazioni.

La tabella seguente descrive ogni impostazione di gestione dei rischi Insider e fornisce un collegamento per altre informazioni sull'impostazione.

Impostazione Descrizione
Privacy Scegliere se visualizzare i nomi utente o le versioni anonime dei nomi utente per tutte le corrispondenze dei criteri correnti e precedenti per avvisi e casi.
Indicatori dei criteri Ogni modello di criteri di gestione dei rischi Insider si basa su indicatori specifici che corrispondono a trigger e attività di rischio specifici. Tutti gli indicatori globali sono disabilitati per impostazione predefinita; è necessario selezionare uno o più indicatori per configurare un criterio di gestione dei rischi Insider. Le impostazioni del livello di indicatore consentono di controllare il modo in cui il numero di occorrenze di eventi di rischio nell'organizzazione influisce sul punteggio di rischio.
Gruppi di rilevamento Usare l'impostazione Gruppi di rilevamento per creare varianti di indicatori predefiniti se si desidera personalizzare i rilevamenti per diversi set di utenti. La creazione di gruppi di rilevamento consente di ridurre i falsi positivi.
[Esclusioni globali] Usare l'impostazione Esclusioni globali per specificare esclusioni globali che non verranno valutate dai criteri di gestione dei rischi Insider.
Timeframe dei criteri L'impostazione Intervalli di tempo dei criteri consente di definire periodi di revisione passati e futuri attivati dopo le corrispondenze dei criteri in base agli eventi e alle attività per i modelli di criteri di gestione dei rischi Insider.
Rilevamenti intelligenti Usare l'impostazione Rilevamenti intelligenti per aumentare il punteggio per attività di download insolite, controllare il volume degli avvisi, importare e filtrare gli avvisi Microsoft Defender per endpoint e specificare domini non consentiti e di terze parti per l'assegnazione dei punteggi dei rischi.
Esportare gli avvisi Le informazioni sugli avvisi di gestione dei rischi Insider sono esportabili nelle soluzioni di gestione delle informazioni di sicurezza e degli eventi (SIEM) e SOAR (Security Orchestration Automated Response) usando lo schema dell'API attività di gestione Office 365. È possibile usare le API Office 365 Attività di gestione per esportare informazioni sugli avvisi in altre applicazioni che l'organizzazione può usare per gestire o aggregare le informazioni sui rischi Insider.
Condivisione dati Usare l'impostazione Condivisione dati per eseguire una delle operazioni seguenti: 1) Esportare le informazioni sugli avvisi di gestione dei rischi Insider nelle soluzioni SIEM usando lo schema dell'API dell'attività di gestione Office 365; 2) Condividere i livelli di rischio utente di gestione dei rischi Insider con avvisi Microsoft Defender e DLP.
Gruppi di utenti con priorità Gli utenti dell'organizzazione possono avere livelli di rischio diversi a seconda della posizione, del livello di accesso alle informazioni sensibili o della cronologia dei rischi. La priorità dell'esame e del punteggio delle attività di questi utenti può essere utile per avvisare l'utente di potenziali rischi che potrebbero avere conseguenze più elevate per l'organizzazione. Usare l'impostazione Gruppi di utenti con priorità per definire gli utenti dell'organizzazione che necessitano di un'ispezione più approfondita e di un punteggio di rischio più sensibile.
Asset fisici prioritari (anteprima) Identificare l'accesso agli asset fisici prioritari e correlare l'attività di accesso agli eventi utente è un componente importante dell'infrastruttura di conformità. Questi asset fisici rappresentano posizioni prioritarie nell'organizzazione, ad esempio edifici aziendali, data center o sale server. Le attività di rischio Insider possono essere associate agli utenti che lavorano ore insolite, che tentano di accedere a queste aree sensibili o sicure non autorizzate e alle richieste di accesso ad aree di alto livello senza esigenze legittime.
Flussi di Power Automate (anteprima) Microsoft Power Automate è un servizio del flusso di lavoro che automatizza le azioni tra applicazioni e servizi. Usando i flussi dei modelli o creati manualmente, è possibile automatizzare le attività comuni associate a queste applicazioni e servizi. Quando si abilitano i flussi di Power Automate per la gestione dei rischi Insider, è possibile automatizzare le attività importanti per case e utenti. È possibile configurare i flussi di Power Automate per recuperare informazioni su utenti, avvisi e casi e condividere queste informazioni con stakeholder e altre applicazioni, nonché automatizzare le azioni nella gestione dei rischi Insider, ad esempio la pubblicazione nelle note del caso. I flussi di Power Automate sono applicabili ai casi e a qualsiasi utente nell'ambito di un criterio.
Microsoft Teams (anteprima) È possibile abilitare il supporto di Microsoft Teams in modo che gli analisti e gli investigatori della conformità possano usare Teams per collaborare ai casi di gestione dei rischi Insider. Usare Teams per:
- Coordinare ed esaminare le attività di risposta per i casi nei canali privati di Teams
- Condividere e archiviare in modo sicuro i file e le prove relative ai singoli casi
- Rilevare ed esaminare le attività di risposta di analisti e investigatori
Analisi L'analisi del rischio Insider consente di condurre una valutazione dei potenziali rischi insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree con rischio utente più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che può essere opportuno configurare.
notifiche Amministrazione Usare l'impostazione Amministrazione notifiche per inviare automaticamente una notifica tramite posta elettronica ai gruppi di ruoli di gestione dei rischi Insider selezionabili. È possibile:
- Inviare un messaggio di posta elettronica di notifica quando viene generato il primo avviso per un nuovo criterio
- Inviare un messaggio di posta elettronica giornaliero quando vengono generati nuovi avvisi con gravità elevata
- Inviare un messaggio di posta elettronica settimanale che riepiloga i criteri con avvisi non risolti
Personalizzazione degli avvisi inline La personalizzazione degli avvisi inline consente di ottimizzare rapidamente i criteri di gestione dei rischi Insider direttamente dal dashboard Avvisi durante la revisione dell'avviso. Gli avvisi vengono generati quando un'attività di gestione dei rischi soddisfa le soglie configurate nei criteri correlati. Per ridurre il numero di avvisi ottenuti da questo tipo di attività, è possibile modificare le soglie o rimuovere completamente l'attività di gestione dei rischi dai criteri.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.