Condividi tramite


Condividere i dati di gestione dei rischi Insider con altre soluzioni

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

È possibile condividere i dati della gestione dei rischi Insider in uno dei modi seguenti:

  • Esportare informazioni sugli avvisi nelle soluzioni SIEM
  • Condividere i livelli di gravità del rischio utente con avvisi di prevenzione della perdita dei dati (DLP) Microsoft Defender XDR e Microsoft Purview

Esportare informazioni sugli avvisi nelle soluzioni SIEM

Gestione dei rischi Insider Microsoft Purview informazioni sugli avvisi è esportabile nelle soluzioni siem (Security Information And Event Management) e SOAR (Security Orchestration Automated Response) usando lo schema dell'API attività di gestione Office 365. È possibile usare le API Office 365 Attività di gestione per esportare informazioni sugli avvisi in altre applicazioni che l'organizzazione può usare per gestire o aggregare le informazioni sui rischi Insider. Le informazioni sugli avvisi vengono esportate e disponibili ogni 60 minuti tramite le API dell'attività di gestione Office 365.

Consiglio

Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.

Se l'organizzazione usa Microsoft Sentinel, è anche possibile usare il connettore dati di gestione dei rischi Insider predefinito per importare informazioni sugli avvisi di rischio Insider in Sentinel. Per altre informazioni, vedere Insider Risk Management nell'articolo Microsoft Sentinel.

Importante

Per mantenere l'integrità referenziale per gli utenti che dispongono di avvisi o casi di rischio Insider in Microsoft 365 o in altri sistemi, l'anonimizzazione dei nomi utente non viene mantenuta per gli avvisi esportati quando si usa l'API di esportazione o quando si esporta in soluzioni Microsoft Purview eDiscovery. In questo caso, gli avvisi esportati visualizzeranno i nomi utente per ogni avviso. Se si esegue l'esportazione in file CSV da avvisi o casi, l'anonimizzazione viene mantenuta.

Usare le API per esaminare le informazioni sugli avvisi di rischio Insider

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Selezionare Impostazioni nell'angolo superiore destro della pagina.
  3. Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
  4. Selezionare Esporta avvisi. Per impostazione predefinita, questa impostazione è disabilitata per l'organizzazione di Microsoft 365.
  5. Attivare l'impostazione.
  6. Filtrare le attività comuni di controllo Office 365 in base a SecurityComplianceAlerts.
  7. Filtrare SecurityComplianceAlerts in base alla categoria InsiderRiskManagement .

Le informazioni sugli avvisi contengono informazioni dello schema degli avvisi di sicurezza e conformità e dello schema comune dell'API attività di gestione Office 365.

I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema avvisi di sicurezza e conformità:

Parametro di avviso Descrizione
AlertType Il tipo di avviso è Personalizzato.
AlertId GUID dell'avviso. Gli avvisi di gestione dei rischi Insider sono modificabili. Quando lo stato dell'avviso cambia, viene generato un nuovo log con lo stesso AlertID. Questo AlertID può essere usato per correlare gli aggiornamenti per un avviso.
Categoria La categoria dell'avviso è InsiderRiskManagement. Questa categoria può essere usata per distinguere da questi avvisi da altri avvisi di sicurezza e conformità.
Commenti Commenti predefiniti per l'avviso. I valori sono Nuovo avviso (registrato quando viene creato un avviso) e Avviso aggiornato (registrato quando è presente un aggiornamento a un avviso). Usare AlertID per correlare gli aggiornamenti per un avviso.
Dati I dati per l'avviso includono l'ID utente univoco, il nome dell'entità utente e la data e l'ora (UTC) quando l'utente è stato attivato in un criterio.
Nome Nome dei criteri per i criteri di gestione dei rischi Insider che hanno generato l'avviso.
PolicyId GUID dei criteri di gestione dei rischi Insider che hanno attivato l'avviso.
Gravità Gravità dell'avviso. I valori sono Alto, Medio o Basso.
Origine Origine dell'avviso. Il valore è Office 365 Security & Compliance.
Stato Stato dell'avviso. I valori sono attivi (revisione delle esigenze nel rischio Insider), analisi (confermata nel rischio Insider), risolta (risolta nel rischio Insider), ignorata (ignorata nel rischio Insider).
Versione Versione dello schema avvisi di sicurezza e conformità.

I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema comune dell'API attività di gestione Office 365.

  • UserId
  • Id
  • RecordType
  • CreationTime
  • Operazione
  • OrganizationId
  • Usertype
  • UserKey

Condividere i livelli di gravità degli avvisi con altre soluzioni di sicurezza Microsoft

È possibile condividere i livelli di gravità degli avvisi dalla gestione dei rischi Insider per portare un contesto utente univoco alle esperienze di analisi degli avvisi nelle soluzioni di sicurezza Microsoft seguenti:

Microsoft Defender XDR Conformità delle comunicazioni Microsoft Purview prevenzione della perdita dei dati (DLP) di Microsoft Purview

La gestione dei rischi Insider analizza le attività degli utenti in un periodo di 90-120 giorni e cerca un comportamento anomalo in tale periodo di tempo. L'aggiunta di questi dati ad altre soluzioni di sicurezza migliora i dati disponibili in tali soluzioni per consentire agli analisti di assegnare priorità agli avvisi.

Consiglio

I livelli di gravità degli avvisi nella gestione dei rischi Insider sono diversi dai livelli di rischio Insider definiti in Protezione adattiva.

  • I livelli di gravità degli avvisi (bassa, media o alta) vengono assegnati agli utenti in base alle attività rilevate nei criteri di gestione dei rischi Insider. Questi livelli vengono calcolati in base ai punteggi di rischio degli avvisi assegnati a tutti gli avvisi attivi associati all'utente. Questi livelli aiutano gli analisti e gli investigatori dei rischi Insider a dare priorità e a rispondere di conseguenza all'attività degli utenti.
  • I livelli di rischio Insider (elevati, moderati o minori) in Protezione adattiva sono una misura del rischio determinata da condizioni definite dall'amministratore, ad esempio il numero di attività di esfiltrazione eseguite dagli utenti in un giorno o se l'attività ha generato un avviso di rischio Insider con gravità elevata.

Cosa accade quando si condividono i livelli di gravità degli avvisi di gestione dei rischi Insider?

In Microsoft Defender XDR

  • Pagina Eventi imprevisti DLP: un campo gravità del rischio Insider viene aggiunto alla sezione Asset interessati della pagina eventi imprevisti DLP Microsoft Defender per gli utenti con un livello di rischio alto o medio nella gestione dei rischi Insider. Se l'utente ha un livello di rischio basso , non viene aggiunto nulla alla pagina Eventi imprevisti. Ciò consente di ridurre al minimo le distrazioni per gli analisti, in modo che possano concentrarsi sulle attività utente più rischiose.

    È possibile selezionare il livello di rischio nella sezione Asset interessati per visualizzare un riepilogo delle attività di rischio Insider e una sequenza temporale delle attività per l'utente. La presenza di un massimo di 120 giorni di analisi può aiutare l'analista a determinare la rischiosità complessiva delle attività dell'utente.

    Se si seleziona l'evento DLP nella pagina di corrispondenza dei criteri DLP, nella sezione Corrispondenza dei criteri DLP verrà visualizzata una sezione Entità interessate che mostra tutti gli utenti che corrispondono ai criteri.

  • Pagina Utenti: un campo gravità del rischio Insider viene aggiunto alla pagina Utenti per gli utenti con un livello di rischio Alto, Medio o Basso nella gestione dei rischi Insider. Questi dati sono disponibili per tutti gli utenti con un avviso di gestione dei rischi Insider attivo.

    Un riepilogo delle attività di rischio Insider e la sequenza temporale dell'attività per l'utente sono visualizzati sul lato destro della pagina Utenti.

Negli avvisi di conformità delle comunicazioni

Per ogni corrispondenza dei criteri di conformità delle comunicazioni , è possibile visualizzare la gravità del rischio utente associata al mittente. Visualizzare queste informazioni nella scheda Attività utente nella comunicazione per l'avviso. Questa visualizzazione fornisce profilo di rischio, corrispondenze ai criteri e attività utente acquisite dalla gestione dei rischi Insider e dalla conformità delle comunicazioni.

I livelli di gravità sono classificati come Alti, Medi, Bassi o Nessuno.

Per i livelli di gravità del rischio Nessuno, il motivo può essere uno degli scenari seguenti:

  • L'utente non è incluso in un criterio di rischio Insider.
  • Alle attività dell'utente non viene assegnato un punteggio di rischio, il che significa che l'utente non è nell'ambito attivo per i criteri.
  • L'utente è incluso in un criterio di gestione dei rischi Insider, ma non si è impegnato in alcuna attività rischiosa.
  • L'organizzazione non dispone di criteri di gestione dei rischi Insider attivi.

Se la gravità del rischio utente non è disponibile, la condivisione dei dati non è abilitata dalla gestione dei rischi Insider.

È possibile visualizzare le attività di rischio Insider per un massimo di 120 giorni nella sezione Visualizza dettagli nella scheda Cronologia utenti nella gestione dei rischi Insider. Attualmente, solo i dati degli indicatori di esfiltrazione vengono visualizzati nel riepilogo delle attività utente in conformità alle comunicazioni.

Negli avvisi DLP

  • Per i criteri di gestione dei rischi Insider associati all'avviso DLP, alla coda degli avvisi DLP viene aggiunta una colonna di gravità del rischio Insider con valori alti, medi, bassi o nessuno . Se sono presenti più utenti con attività che corrispondono ai criteri, viene visualizzato l'utente con il livello di rischio Insider più alto.

    Il valore None può indicare uno dei valori seguenti:

    • L'utente non fa parte di alcun criterio di gestione dei rischi Insider.

    • L'utente fa parte di un criterio di gestione dei rischi Insider, ma non ha eseguito attività rischiose per entrare nell'ambito dei criteri (non sono presenti dati di esfiltrazione).

  • È possibile selezionare il livello di rischio Insider nella coda degli avvisi DLP per accedere alla scheda Riepilogo attività utente , che mostra una sequenza temporale di tutte le attività di esfiltrazione per l'utente negli ultimi 90-120 giorni. Analogamente alla coda degli avvisi DLP, la scheda Riepilogo attività utente mostra l'utente con il livello di rischio Insider più alto. Questo contesto profondo in ciò che un utente ha fatto negli ultimi 90-120 giorni offre una visione più ampia dei rischi presentati da tale utente.

    Nel riepilogo delle attività utente vengono visualizzati solo i dati degli indicatori di esfiltrazione. I dati di altri indicatori sensibili, ad esempio risorse umane, esplorazione e così via, non vengono condivisi con gli avvisi DLP.

  • Una sezione Dettagli attore viene aggiunta alla pagina dei dettagli dell'avviso DLP. È possibile usare questa pagina per visualizzare tutti gli utenti coinvolti nell'avviso DLP specifico. Per ogni utente coinvolto nell'avviso DLP, è possibile visualizzare tutte le attività di esfiltrazione negli ultimi 90-120 giorni.

  • Se si seleziona Recupera un riepilogo da Copilot per la sicurezza in un avviso DLP, il riepilogo degli avvisi fornito da Microsoft Copilot per la sicurezza include il livello di gravità della gestione dei rischi Insider oltre alle informazioni di riepilogo DLP, se l'utente è nell'ambito di un criterio di gestione dei rischi Insider.

    Consiglio

    È anche possibile usare Copilot per la sicurezza per analizzare gli avvisi DLP. Se l'impostazione Di condivisione dei dati per la gestione dei rischi Insider è attivata, è possibile eseguire un'indagine combinata sulla gestione dei rischi DLP/Insider. Ad esempio, è possibile iniziare chiedendo a Copilot di riepilogare un avviso DLP e quindi chiedere a Copilot di mostrare il livello di rischio Insider associato all'utente contrassegnato nell'avviso. In alternativa, è possibile chiedersi perché l'utente è considerato un utente ad alto rischio. Le informazioni sui rischi utente in questo caso provengono dalla gestione dei rischi Insider. Copilot for Security integra perfettamente la gestione dei rischi Insider con DLP per facilitare le indagini. Altre informazioni sull'uso della versione autonoma di Copilot per le indagini combinate sulla gestione dei rischi DLP/Insider.

Prerequisiti

Per condividere i livelli di rischio utente di gestione dei rischi Insider con altre soluzioni di sicurezza Microsoft, l'utente:

  • Deve far parte di un criterio di gestione dei rischi Insider.
  • Deve aver eseguito attività di esfiltrazione che portano l'utente nell'ambito dei criteri.
  • (Per la condivisione con DLP): deve avere le autorizzazioni di avviso DLP. Dopo l'attivazione dell'impostazione Condivisione dati, gli utenti con autorizzazioni di avviso DLP possono accedere al contesto di gestione dei rischi Insider per l'analisi degli avvisi DLP e per la pagina utenti Microsoft Defender XDR. Anche gli utenti con autorizzazioni di gestione dei rischi Insider possono accedere a questi dati.
  • (Per la condivisione con la conformità delle comunicazioni): agli utenti devono essere assegnati i ruoli Communication Compliance Analyst o Communication Compliance Investigator per visualizzare i livelli di gravità del rischio utente e la cronologia attività nella conformità delle comunicazioni.

Consiglio

Se si ha accesso agli avvisi DLP in Microsoft Purview e/o Microsoft Defender, è possibile visualizzare il contesto utente dalla gestione dei rischi Insider condivisa con tali soluzioni.

Condividere dati con altre soluzioni di sicurezza Microsoft

È possibile condividere i livelli di gravità degli avvisi di gestione dei rischi Insider con altre soluzioni di sicurezza Microsoft attivando una singola impostazione.

  1. Nelle impostazioni di gestione dei rischi Insider selezionare l'impostazione Condivisione dati .
  2. Nella sezione Condivisione di dati con altre soluzioni di sicurezza Microsoft attivare l'impostazione.

Nota

Se non si attiva questa impostazione, il valore visualizzato nella colonna Gravità del rischio Insider avvisi DLP è "Dati utente non disponibili" e viene visualizzato come "Attività di rischio Insider non disponibile" nella conformità delle comunicazioni.

Vedere anche