Gestire il flusso di lavoro con il dashboard utenti di gestione dei rischi Insider

Importante

Microsoft Purview Insider Risk Management correla vari segnali per identificare potenziali rischi insider dannosi o inavvertitamente, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Il dashboard Utenti è uno strumento importante nel flusso di lavoro di gestione dei rischi Insider e consente a investigatori e analisti di avere una comprensione più completa delle attività di rischio. Questo dashboard offre visualizzazioni e funzionalità di gestione per soddisfare le esigenze amministrative tra la creazione di criteri di gestione dei rischi Insider e la gestione dei casi di gestione dei rischi Insider.

Dopo l'aggiunta degli utenti ai criteri di gestione dei rischi Insider, i processi in background valutano automaticamente le attività degli utenti per attivare gli indicatori. Dopo la presenza di indicatori di attivazione, alle attività utente vengono assegnati punteggi di rischio. Alcune di queste attività possono generare un avviso di rischio Insider, ma alcune attività potrebbero non soddisfare un livello minimo di punteggio di rischio e non verrà creato un avviso di rischio Insider. Il dashboard Utenti consente di visualizzare gli utenti con questi tipi di indicatori e punteggi di rischio, nonché gli utenti che dispongono di avvisi di rischio Insider attivi.

Altre informazioni su come il dashboard Utenti visualizza gli utenti negli scenari seguenti:

• Utenti con avvisi dei criteri di rischio Insider attivi
• Utenti con eventi di attivazione
• Utenti identificati come potenziali utenti a impatto elevato o in gruppi di utenti con priorità
• Utenti aggiunti temporaneamente ai criteri

Consiglio

Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'intelligenza artificiale. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.

Utenti con avvisi dei criteri di rischio Insider attivi

Il dashboard Utenti visualizza automaticamente tutti gli utenti con avvisi dei criteri di rischio Insider attivi. Questi utenti con avvisi dispongono sia di un indicatore di attivazione che di un punteggio di rischio di attività che soddisfa i requisiti per la creazione di un avviso di rischio Insider. Le attività per questi utenti vengono visualizzate selezionando l'utente nel dashboard Utenti e passando alla scheda Attività utente .

Utenti con eventi di attivazione

Il dashboard Utenti visualizza automaticamente tutti gli utenti con eventi di attivazione, ma che non hanno un punteggio di rischio di attività che creerebbe un avviso di rischio Insider. Ad esempio, viene visualizzato un utente con una data di dimissioni segnalata perché questa attività è un evento di attivazione, ma non è un'attività con un punteggio di rischio. Le attività per questi utenti vengono visualizzate selezionando l'utente nel dashboard Utenti e passando alla scheda Attività utente .

Utenti aggiunti temporaneamente ai criteri

Il dashboard Utenti include gli utenti aggiunti ai criteri di gestione dei rischi Insider dopo un evento insolito al di fuori del flusso di lavoro di gestione dei rischi Insider. L'aggiunta temporanea di utenti (dal dashboard Criteri) è anche un modo per iniziare a assegnare un punteggio all'attività utente per un criterio di gestione dei rischi Insider per il test dei criteri, anche se non è configurato un connettore obbligatorio.

Quando un utente viene aggiunto manualmente a un criterio, le attività utente per i 90 giorni precedenti vengono valutate e aggiunte alla sequenza temporale attività utente . Ad esempio, a un utente non sono attualmente assegnati punteggi di rischio per un criterio di rischio Insider e l'utente ha segnalato attività di perdita di dati al reparto legale dell'organizzazione. Il reparto legale consiglia di configurare nuovi requisiti di rilevamento a breve termine per l'utente. È possibile assegnare temporaneamente l'utente ai criteri di perdita di dati per un periodo di tempo designato (finestra di attivazione). Tutti gli utenti aggiunti temporaneamente vengono visualizzati nel dashboard Utenti perché non sono previsti requisiti per l'attivazione degli eventi.

Nota

La visualizzazione dei nuovi utenti aggiunti manualmente nel dashboard Utenti potrebbe richiedere diverse ore. La visualizzazione delle attività dei 90 giorni precedenti per questi utenti può richiedere fino a 24 ore. Per visualizzare le attività per gli utenti aggiunti manualmente, selezionare l'utente nel dashboard Utenti e aprire la scheda Attività utente nel riquadro dei dettagli.

L'utente viene rimosso automaticamente dal dashboard Utenti e l'assegnazione dei punteggi si interrompe quando l'ora definita nella finestra Attivazione scade se:

• l'utente non dispone di eventi di attivazione aggiuntivi o avvisi dei criteri di rischio Insider e
• se la durata della finestra di attivazione definita manualmente è più lunga della durata della finestra di attivazione dei criteri globali.

L'impostazione della finestra attivazione con la durata più lunga sostituisce sempre l'impostazione della finestra di attivazione con una durata più breve. Ad esempio, è stata configurata la finestra Attivazione nella scheda Intervalli di tempo dei criteri globali nelle impostazioni globali di gestione dei rischi Insider per 15 giorni, che viene applicata automaticamente a tutti i criteri di rischio Insider.

Si aggiunge temporaneamente un utente ai criteri di rischio insider per perdite di dati e si definiscono 30 giorni come finestra di attivazione per l'utente. L'impostazione della finestra di attivazione globale di 15 giorni viene sostituita definendo l'impostazione della finestra attivazione di 30 giorni per l'utente aggiunto temporaneamente. L'utente aggiunto temporaneamente rimarrà nel dashboard Utenti e sarà incluso nell'ambito dei criteri per 30 giorni.

Nello scenario opposto in cui l'impostazione della finestra di attivazione globale è più lunga dell'impostazione della finestra di attivazione definita per un utente aggiunto temporaneamente, l'impostazione della finestra attivazione globale sostituirà l'impostazione della finestra attivazione per l'utente aggiunto temporaneamente. L'utente aggiunto temporaneamente rimarrà nel dashboard Utenti e sarà incluso nell'ambito dei criteri per il numero di giorni definiti nelle impostazioni della finestra di attivazione globale.

Visualizzare le informazioni utente nel dashboard Utenti

Ogni utente visualizzato nel dashboard Utenti contiene le informazioni seguenti:

• Utenti: nome utente per un utente. Questo campo viene reso anonimo se è abilitata l'impostazione di anonimizzazione globale per la gestione dei rischi Insider.
• Livello di gravità dell'avviso: livello di rischio calcolato corrente dell'utente. Questo punteggio viene calcolato ogni 24 ore e usa i punteggi di rischio degli avvisi di tutti gli avvisi attivi associati all'utente. Per gli utenti con solo indicatori di attivazione, il livello di gravità dell'avviso è zero.
• Avvisi attivi: numero di avvisi attivi per tutti i criteri.
• Violazioni confermate: numero di casi risolti come violazione dei criteri confermata per l'utente.
• Caso: caso attivo corrente per l'utente.

Per individuare rapidamente un utente specifico, usare Cerca in alto a destra nel dashboard Utenti. Durante la ricerca di utenti, è necessario usare il nome dell'entità utente (UPN). Ad esempio, quando si cerca un utente denominato "Tiara Hidayah" con un UPN di "thidayah" nell'organizzazione, immettere "thidayah" o parte dell'UPN in Cerca.

Nota

Il numero di utenti visualizzati nel dashboard Utenti può essere limitato in alcuni casi, a seconda del volume di avvisi attivi e dei criteri di corrispondenza. Gli utenti con avvisi attivi vengono visualizzati nel dashboard Utenti quando vengono generati gli avvisi e possono verificarsi rari casi quando viene raggiunto il numero massimo di utenti visualizzati. Se questo limite si verifica, gli utenti con avvisi attivi che non vengono visualizzati verranno aggiunti al dashboard Utenti man mano che vengono triaged gli avvisi utente esistenti.

Visualizzare i dettagli utente

Per visualizzare altri dettagli sull'attività di rischio per un utente, aprire il riquadro dei dettagli dell'utente facendo doppio clic su un utente nel dashboard Utenti. Nel riquadro dei dettagli è possibile visualizzare le informazioni seguenti:

• Scheda Profilo utente

  • Nome e titolo: nome e titolo della posizione per l'utente da Microsoft Entra ID. Questi campi utente verranno resi anonimi o vuoti se è abilitata l'impostazione di anonimizzazione globale per la gestione dei rischi Insider.
  • Dettagli utente: indica se l'utente è stato identificato come un potenziale utente a impatto elevato o se l'utente è in gruppi di utenti con priorità.
  • Riepilogo degli avvisi e delle attività: elenca gli avvisi utente attivi e i casi aperti.
  • Messaggio di posta elettronica utente: indirizzo di posta elettronica per l'utente.
  • Alias: alias di rete per l'utente.
  • Organizzazione o reparto: organizzazione o reparto per l'utente.
  • Nell'ambito: elenca l'assegnazione nell'ambito dell'utente ai criteri.

• Scheda Attività utente

  • Cronologia delle attività recenti degli utenti: elenca sia gli indicatori di attivazione che gli indicatori di rischio Insider per le attività di rischio fino agli ultimi 90 giorni. Vengono inoltre valutate tutte le attività di rischio pertinenti agli indicatori di rischio Insider, anche se le attività potrebbero aver generato o meno un avviso di rischio Insider. Gli esempi di indicatori di attivazione possono essere una data di dimissioni o l'ultima data di lavoro pianificata per l'utente. Gli indicatori di rischio Insider sono attività determinate per avere un elemento di rischio, che può potenzialmente portare a un evento imprevisto di sicurezza e sono definite nei criteri in cui l'utente è incluso. Le attività di evento e rischio sono elencate con l'elemento più recente elencato per primo.

Usare Copilot per riepilogare le attività degli utenti (anteprima)

È possibile selezionare Riepilogo con Copilot nel riquadro dei dettagli dell'utente per riepilogare rapidamente le attività per gli utenti che potrebbero richiedere ulteriori indagini. Quando si riepilogano le attività di rischio utente con Microsoft Copilot in Microsoft Purview, sul lato destro dello schermo viene visualizzato un riquadro Copilot con un riepilogo utente.

Il riepilogo dell'utente include dettagli essenziali, ad esempio il nome dell'utente, il titolo, il nome dell'entità utente, la cronologia degli avvisi e dei casi e i principali fattori di rischio. I principali fattori di rischio forniscono informazioni cruciali sui ruoli utente, le autorizzazioni, il coinvolgimento nelle attività di esfiltrazione, i modelli sequenziali o qualsiasi comportamento insolito. Questa visualizzazione consente di identificare gli utenti che possono rappresentare il rischio insider più elevato per l'organizzazione.

Le richieste suggerite vengono elencate automaticamente per migliorare ulteriormente il riepilogo e fornire informazioni aggiuntive sulle attività associate all'utente. Scegliere tra le richieste suggerite seguenti:

• Elencare tutte le attività di esfiltrazione dei dati che coinvolgono l'utente.
• Elencare tutte le attività sequenziali che coinvolgono l'utente.
• L'utente si è coinvolto in un comportamento insolito?
• Mostra le azioni chiave eseguite dall'utente negli ultimi 10 giorni.
• Riepilogare gli ultimi 30 giorni di attività dell'utente.

Consiglio

È anche possibile usare la versione autonoma di Microsoft Copilot for Security per analizzare la gestione dei rischi Insider, la prevenzione della perdita dei dati (DLP) di Microsoft Purview e gli avvisi XDR di Microsoft Defender.

Rimuovere gli utenti dall'assegnazione nell'ambito ai criteri

Potrebbero esserci scenari in cui è necessario interrompere l'assegnazione dei punteggi di rischio a un utente nei criteri di gestione dei rischi Insider. Usare Interrompi attività di assegnazione dei punteggi per gli utenti nel dashboard Utenti per interrompere l'assegnazione dei punteggi di rischio per un utente da tutti i criteri di gestione dei rischi Insider attualmente inclusi nell'ambito. Questa azione non rimuove l'utente dall'assegnazione complessiva dei criteri (quando si aggiungono utenti o gruppi a una configurazione di criteri), ma rimuove semplicemente l'utente dall'elaborazione attiva in base ai criteri dopo gli eventi di attivazione correnti. Se in futuro l'utente avrà un altro evento di attivazione, i punteggi di rischio dei criteri inizieranno automaticamente ad essere assegnati di nuovo all'utente. Eventuali avvisi o casi esistenti per questo utente non verranno rimossi.

Rimuovere un utente dallo stato nell'ambito in tutti i criteri di gestione dei rischi Insider

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Utenti nel riquadro di spostamento a sinistra.
4. Nel dashboard Utenti selezionare gli utenti per cui si vuole interrompere l'attività di assegnazione dei punteggi.
5. Selezionare Interrompi attività di assegnazione dei punteggi per gli utenti.

Portale di conformità

1. Accedere al portale di conformità usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Utenti .
4. Nel dashboard Utenti selezionare gli utenti per cui si vuole interrompere l'attività di assegnazione dei punteggi.
5. Selezionare Interrompi attività di assegnazione dei punteggi per gli utenti.

Nota

La rimozione di un utente dallo stato nell'ambito può richiedere alcuni minuti. Al termine, l'utente non verrà elencato nel dashboard Utenti. Se l'utente rimosso dispone di avvisi o casi attivi, l'utente rimarrà nel dashboard Utenti e i dettagli dell'utente mostreranno che non sono più nell'ambito di un criterio.

Eseguire attività automatizzate con i flussi di Power Automate per un utente

Usando i flussi di Power Automate consigliati, gli investigatori e gli analisti di rischio possono intervenire rapidamente per notificare agli utenti quando vengono aggiunti a criteri di rischio Insider.

Per eseguire, gestire e creare flussi di Power Automate per gli utenti di gestione dei rischi Insider:

1. Selezionare Automatizza sulla barra degli strumenti delle azioni utente.
2. Scegliere il flusso di Power Automate da eseguire e quindi selezionare Esegui flusso.
3. Al termine del flusso, selezionare Fine.

Per altre informazioni sui flussi di Power Automate per la gestione dei rischi Insider, vedere Introduzione alle impostazioni di gestione dei rischi Insider.