Condividi tramite

Ottimizzare le esclusioni nella gestione dei rischi Insider creando gruppi di rilevamento (anteprima)

  • Articolo

Importante

Microsoft Purview Insider Risk Management correla vari segnali per identificare potenziali rischi insider dannosi o inavvertitamente, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

È possibile escludere gli elementi dal punteggio dei criteri di gestione dei rischi Insider usando l'impostazione Esclusioni globali. Questi tipi di esclusioni si applicano a ogni trigger e indicatore per tutti i criteri creati all'interno di un tenant. Usando i gruppi di rilevamento, è possibile modificare un'esclusione globale predefinita per renderla specifica per le esigenze dell'organizzazione.

È anche possibile usare i gruppi di rilevamento per modificare gli indicatori di rischio insider predefiniti per personalizzare i rilevamenti per diversi set di utenti a livello di criteri. Ad esempio, per ridurre il numero di falsi positivi per le attività di posta elettronica, è possibile creare una variante dell'indicatore predefinito Invio di messaggi di posta elettronica con allegati a destinatari esterni all'organizzazione per rilevare solo i messaggi di posta elettronica inviati ai domini personali.

Processo per la creazione e l'uso di gruppi di rilevamento

Per usare un gruppo di rilevamento come parte di un'esclusione globale, creare il gruppo di rilevamento come descritto in questo articolo e quindi selezionarlo come parte dell'esclusione globale.

L'uso di un gruppo di rilevamento per modificare un indicatore predefinito include i passaggi seguenti:

  1. Creare il gruppo di rilevamento come descritto in questo articolo. Si selezionerà questo gruppo di rilevamento quando si crea la variante.
  2. Creare la variante.
  3. Usare la variante in un criterio nuovo o esistente.
  4. Esaminare gli avvisi relativi alle attività specificate nella variante.

Creare un gruppo di rilevamento

Un gruppo di rilevamento consente di definire l'ambito di un indicatore predefinito o di un'esclusione globale per concentrarsi sulle attività di valore elevato importanti per l'organizzazione.

Tipi di rilevamento per gli indicatori dei criteri

Ogni indicatore dei criteri include determinati tipi di rilevamento applicabili a tale indicatore. Ad esempio, per la condivisione di file di SharePoint con persone esterne all'indicatore dell'organizzazione , uno dei tipi di rilevamento è domini. Quando si condivide un file di SharePoint, si sceglie un dominio con cui condividere il file. Non tutti gli indicatori hanno gli stessi tipi di rilevamento. Ad esempio, i domini sono un tipo di rilevamento dei file di SharePoint di condivisione con persone esterne all'indicatore dell'organizzazione , ma non è un tipo di rilevamento dell'indicatore Creazione o copia di file in USB perché non è applicabile in questo caso.

La gestione dei rischi Insider supporta attualmente sette tipi di rilevamento:

  • Domini
  • Percorsi di file   
  • Tipi di file
  • Parole chiave
  • Tipi di informazioni sensibili
  • Siti di SharePoint
  • Classificatori sottoponibili a training

Consiglio

Quando si crea un gruppo di rilevamento, è possibile visualizzare tutti gli indicatori applicabili per un rilevamento specifico selezionando il collegamento Visualizza indicatori applicabili nel testo introduttivo per il tipo di gruppo.

Le procedure seguenti illustrano come creare un gruppo di rilevamento per ogni tipo di gruppo.

Creare un gruppo di rilevamento dei domini

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).

  2. Nel pannello a destra, in Tipo, selezionare Domini.

  3. Nel pannello a destra selezionare Nuovo gruppo di dominio.

  4. Nel riquadro Nuovo gruppo di dominio aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).

  5. Nel campo Aggiungi domini immettere un dominio e quindi premere INVIO. Continuare ad aggiungere altri domini nello stesso modo oppure, se si dispone di un lungo elenco di domini da aggiungere, è possibile importarli come file CSV selezionando Importa domini da file CSV. I domini aggiunti sono elencati nella parte inferiore del riquadro. È possibile creare fino a 10 gruppi di rilevamento di dominio e ogni gruppo può avere fino a 200 elementi.

    Nota

    Per specificare sottodomini a più livelli per un dominio radice, selezionare la casella di controllo Includi sottodomini a più livelli , aggiungere un dominio e quindi premere INVIO per aggiungere il dominio all'elenco. Tutti i sottodomini inclusi in tale dominio verranno inclusi. Ripetere lo stesso processo per aggiungere altri domini e quindi selezionare Aggiungi domini al termine.

    Consiglio

    È possibile usare caratteri jolly per trovare una corrispondenza con le varianti dei domini radice o dei sottodomini. Ad esempio, per specificare sales.wingtiptoys.com e support.wingtiptoys.com, usare la voce con caratteri jolly '*.wingtiptoys.com' per trovare la corrispondenza con questi sottodomini (e qualsiasi altro sottodominio allo stesso livello).

  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Come viene rilevato il gruppo di dominio Domini pubblici gratuiti per l'esfiltrazione dei dati aziendali nei domini di posta elettronica personali

Il gruppo di rilevamento Domini include un gruppo di dominio speciale denominato Domini pubblici gratuiti costituito da un elenco di provider di posta elettronica gratuiti (gmail.com o yahoo.com, ad esempio) che possono essere usati per creare un ID di posta elettronica personale. Questo elenco viene usato per evidenziare automaticamente l'esfiltrazione dei dati aziendali nei domini di posta elettronica personali per le informazioni dettagliate sulla posta elettronica nelle schede Attività utente e Esplora attività. Le informazioni dettagliate elencano il numero di messaggi di posta elettronica inviati ai domini pubblici gratuiti da un utente nell'ambito. L'elenco viene usato anche per l'algoritmo che identifica il messaggio di posta elettronica inviato a se stesso (inviato all'account di posta elettronica personale dell'utente nell'ambito). Le informazioni dettagliate sulla posta elettronica elencano il numero di messaggi di posta elettronica inviati a se stessi.

Informazioni importanti sulla gestione dei rischi Insider per l'esfiltrazione di messaggi di posta elettronica personali

È possibile usare questo gruppo di dominio predefinito come qualsiasi altro gruppo di dominio per creare una variante di indicatore predefinito per i criteri. Questo gruppo di dominio è applicabile solo all'indicatore Invio di messaggi di posta elettronica con allegati a destinatari esterni all'indicatore dell'organizzazione . Al momento, non è possibile modificare o eliminare il gruppo di dominio Domini pubblici gratuiti . Altre informazioni sulla creazione di una variante di un indicatore predefinito

Creare un gruppo di rilevamento dei percorsi di file

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
  2. Nel pannello a destra, in Tipo, selezionare Percorsi file.
  3. Nel pannello a destra selezionare Nuovo gruppo di percorsi file.
  4. Nel riquadro Nuovo gruppo di percorsi file aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
  5. Selezionare Aggiungi percorsi file, selezionare i percorsi di file da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di rilevamento dei percorsi file e ogni gruppo può avere fino a 200 elementi.
  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei tipi di file

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
  2. Nel pannello a destra, in Tipo, selezionare Tipi di file.
  3. Nel pannello a destra selezionare Nuovo gruppo di tipi di file.
  4. Nel riquadro Nuovo gruppo di tipi di file aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
  5. Nel campo Aggiungi tipo di file immettere un'estensione di file e quindi premere INVIO. Continuare ad aggiungere altre estensioni di file nello stesso modo. Le estensioni aggiunte sono elencate nella parte inferiore del riquadro. È possibile creare fino a 10 gruppi di rilevamento dei tipi di file e ogni gruppo può avere fino a 200 elementi.
  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento delle parole chiave

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
  2. Nel pannello a destra, in Tipo, selezionare Parole chiave.
  3. Nel pannello a destra selezionare Nuovo gruppo di parole chiave.
  4. Nel riquadro Nuovo gruppo di parole chiave aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
  5. Nel campo Aggiungi parole chiave immettere una parola chiave e quindi premere INVIO. Ripetere questo processo per ogni parola chiave da aggiungere. Le parole chiave aggiunte sono elencate nella parte inferiore del riquadro. È possibile creare fino a 10 gruppi di rilevamento delle parole chiave e ogni gruppo può avere fino a 200 elementi.
  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei tipi di informazioni sensibili

Nota

L'elenco di esclusione dei tipi di informazioni sensibili ha la precedenza sull'elenco di contenuto prioritario .

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
  2. Nel pannello a destra, in Tipo, selezionare Tipi di informazioni sensibili.
  3. Nel pannello a destra selezionare Nuovo gruppo di tipi di informazioni sensibili.
  4. Nel riquadro Nuovo gruppo di tipi di informazioni sensibili aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
  5. Selezionare Aggiungi tipi di informazioni sensibili, selezionare i tipi di informazioni sensibili da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di tipi di informazioni sensibili e ogni gruppo può avere fino a 200 elementi.
  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei siti di SharePoint

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
  2. Nel pannello a destra, in Tipo, selezionare Siti di SharePoint.
  3. Nel pannello a destra selezionare Nuovo gruppo di siti di SharePoint.
  4. Nel riquadro Nuovo gruppo di siti di SharePoint aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
  5. Selezionare Aggiungi siti, selezionare i siti di SharePoint da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di rilevamento siti di SharePoint e ogni gruppo può avere fino a 200 elementi.
  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento classificatore sottoponibile a training

  1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
  2. Nel pannello a destra, in Tipo, selezionare Classificatori sottoponibili a training.
  3. Nel pannello a destra selezionare Nuovo gruppo di classificatori sottoponibili a training.
  4. Nel riquadro Del gruppo Nuovi classificatori sottoponibili a training aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
  5. Selezionare Aggiungi classificatori sottoponibili a training, selezionare i classificatori sottoponibili a training da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di rilevamento classificatori sottoponibili a training e ogni gruppo può avere fino a 200 elementi.
  6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Vedere anche