Condividi tramite


Effettuare ricerche nel log di controllo per eventi in Microsoft Teams

Importante

L'interfaccia di amministrazione di Microsoft Teams sostituisce gradualmente l'interfaccia di amministrazione Skype for Business e le impostazioni di Teams vengono migrate dal interfaccia di amministrazione di Microsoft 365. Se è stata eseguita la migrazione di un'impostazione, verrà visualizzata una notifica e quindi verrà indirizzata alla posizione dell'impostazione nell'interfaccia di amministrazione di Teams. Per altre informazioni, vedere Gestire Teams durante la transizione all'interfaccia di amministrazione di Teams.

Il log di controllo consente di analizzare attività specifiche nei servizi di Microsoft 365. Per Microsoft Teams, ecco alcune delle attività controllate:

  • Creazione di team
  • Eliminazione di team
  • Aggiunta di un canale
  • Canale eliminato
  • Impostazione del canale cambiata

Per un elenco completo delle attività di Teams controllate, vedere Attività di Teams e Turni nelle attività di Teams.

Nota

Anche gli eventi di controllo dai canali privati vengono registrati così come sono per i team e i canali standard.

Attivare il controllo in Teams

Prima di esaminare i dati di controllo, è necessario attivare il controllo nella Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.

Importante

I dati di controllo sono disponibili solo dal punto in cui è stato attivato il controllo.

Recuperare i dati di Teams dal log di audit

  1. Per recuperare i log di controllo per le attività di Teams, passare a https://compliance.microsoft.com e selezionare Controlla.

  2. Nella pagina Cerca filtrare le attività, le date e gli utenti da controllare.

  3. Esportare i risultati in Excel per un'ulteriore analisi.

Per istruzioni dettagliate, vedere Cercare il log di controllo nel portale di conformità.

Importante

I dati di controllo sono visibili nel log di controllo solo se il controllo è attivato.

Il periodo di tempo in cui un record di controllo viene conservato e ricercabile nel log di controllo dipende dalla sottoscrizione di Microsoft 365 o Office 365 e in particolare dal tipo di licenza assegnata agli utenti. Per altre informazioni, vedere la descrizione del servizio Centro conformità sicurezza&.

Suggerimenti per la ricerca nel log di controllo

Ecco i suggerimenti per cercare le attività di Teams nel log di controllo.

Screenshot della pagina di ricerca del log di controllo nel portale di conformità

  • È possibile selezionare attività specifiche da cercare facendo clic sulla casella di controllo accanto a una o più attività. Se è selezionata un'attività, è possibile selezionarla per annullare la selezione. È anche possibile usare la casella di ricerca per visualizzare le attività contenenti la parola chiave digitata.

    Screenshot dell'elenco a discesa delle attività nella pagina di ricerca del log di controllo

  • Per visualizzare gli eventi per le attività eseguite usando i cmdlet, selezionare Mostra risultati per tutte le attività nell'elenco Attività . Se si conosce il nome dell'operazione per queste attività, digitarlo nella casella di ricerca per visualizzare l'attività e quindi selezionarla.

  • Per cancellare i criteri di ricerca correnti, selezionare Cancella tutto. L'intervallo di date torna impostato sul valore predefinito corrispondente agli ultimi sette giorni.

  • Se vengono trovati 5.000 risultati, è probabile che ci siano più di 5.000 eventi che soddisfano i criteri di ricerca. È possibile perfezionare i criteri di ricerca ed eseguire nuovamente la ricerca per restituire un minor numero di risultati oppure esportare tutti i risultati della ricerca selezionando Esporta>scarica tutti i risultati. Per istruzioni dettagliate sull'esportazione dei log di controllo, vedere Esportare i risultati della ricerca in un file.

Vedere questo video per l'uso della ricerca dei log audio. Partecipa ad Ansuman Acharya, un program manager di Teams, perché dimostra come eseguire una ricerca nel log di controllo per Teams.

Attività di Teams

Ecco un elenco di tutti gli eventi registrati per le attività utente e amministratore in Teams nel log di controllo di Microsoft 365. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Nome descrittivo Operazione Descrizione
Aggiunta di un bot al team BotAddedToTeam Un utente aggiunge un bot al team.
Aggiunta di un canale ChannelAdded Un utente aggiunge un canale al team.
Aggiunta di un connettore ConnectorAdded Un utente aggiunge un connettore a un canale.
Aggiunta di dettagli sulla riunione di Teams 2, 5 MeetingDetail Teams ha aggiunto informazioni su una riunione, tra cui l'ora di inizio, l'ora di fine e l'URL per partecipare alla riunione.
Aggiunta di informazioni sui partecipanti alla riunione 2, 5 MeetingParticipantDetail Teams ha aggiunto informazioni sui partecipanti a una riunione, tra cui l'ID utente di ogni partecipante, l'ora in cui un partecipante ha partecipato alla riunione e l'ora in cui un partecipante ha lasciato la riunione.
Membri aggiunti 5, 6 MemberAdded Il proprietario di un team aggiunge membri a un team, a un canale oppure a una chat di gruppo.
Aggiunta di una scheda TabAdded Un utente aggiunge una scheda a un canale.
Etichetta di riservatezza applicata SensitivityLabelApplied Un utente o un organizzatore della riunione ha applicato un'etichetta di riservatezza a una riunione di Teams.
Impostazione del canale cambiata ChannelSettingChanged L'operazione ChannelSettingChanged viene registrata quando vengono eseguite le attività seguenti dal membro di un team. Per ognuna di queste attività, una descrizione dell'impostazione modificata (visualizzata tra parentesi) viene visualizzata nella colonna Elemento nei risultati della ricerca nel log di controllo.
  • Modifica il nome di un canale del team (nome canale)
  • Descrizione delle modifiche di un canale del team (descrizione del canale)
Impostazione dell'organizzazione cambiata TeamsTenantSettingChanged L'operazione TeamsTenantSettingChanged viene registrata quando le attività seguenti vengono eseguite da un amministratore globale nel interfaccia di amministrazione di Microsoft 365. Queste attività influiscono sulle impostazioni di Teams a livello di organizzazione. Per altre informazioni, vedere Gestire le impostazioni di Teams per l'organizzazione.
Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
  • Abilita o disabilita Teams per l'organizzazione (Microsoft Teams).
  • Abilita o disabilita l'interoperabilità tra Microsoft Teams e Skype for Business per l'organizzazione (interoperabilità Skype for Business).
  • Abilita o disabilita la visualizzazione dell'organigramma nei client di Microsoft Teams (visualizzazione Organigramma).
  • Abilita o disabilita la possibilità per i membri del team di pianificare riunioni private (pianificazione di riunioni private).
  • Abilita o disabilita la possibilità per i membri del team di pianificare riunioni del canale (pianificazione delle riunioni del canale).
  • Abilita o disabilita le videochiamate nelle riunioni di Teams (video per riunioni Skype).
  • Abilita o disabilita la condivisione dello schermo nei meetup di Microsoft Teams per l'organizzazione (condivisione dello schermo per le riunioni Skype).
  • Abilita o disabilita la possibilità di aggiungere immagini animate (chiamate Giphys) alle conversazioni di Teams (immagini animate).
  • Modifica l'impostazione di classificazione del contenuto per l'organizzazione (classificazione del contenuto). La classificazione del contenuto limita il tipo di immagini animate che possono essere visualizzate nelle conversazioni.
  • Abilita o disabilita la possibilità per i membri del team di aggiungere immagini personalizzabili (chiamate meme personalizzati) da Internet alle conversazioni del team (immagini personalizzabili da Internet).
  • Abilita o disabilita la possibilità per i membri del team di aggiungere immagini modificabili (denominate adesivi) alle conversazioni del team (immagini modificabili).
  • Abilita o disabilita la possibilità per i membri del team di usare bot nelle chat e nei canali di Microsoft Teams (bot a livello di organizzazione).
  • Abilita bot specifici per Microsoft Teams. Non include T-Bot, vale a dire il bot di supporto di Teams che è disponibile quando i bot sono abilitati per l'organizzazione (bot singoli).
  • Abilita o disabilita la possibilità per i membri del team di aggiungere estensioni o schede (estensioni o schede).
  • Abilita o disabilita il sideload dei bot proprietari per Microsoft Teams (caricamento laterale dei bot).
  • Abilita o disabilita la possibilità per gli utenti di inviare messaggi di posta elettronica a un canale di Microsoft Teams (posta elettronica del canale).
Ruolo modificato dei membri del team MemberRoleChanged Un proprietario del team cambia il ruolo dei membri di un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente.

1 - Indica il ruolo Membro.
2 - Indica il ruolo Proprietario.
3 - Indica il ruolo Guest.

La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro.
Impostazione del team cambiata TeamSettingChanged L'operazione TeamSettingChanged viene registrata quando vengono eseguite le attività seguenti dal proprietario di un team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
  • Modifica il tipo di accesso per un team. Teams può essere impostato come privato o pubblico (tipo di accesso al team). Quando un team è privato (impostazione predefinita), gli utenti possono accedervi solo su invito. Quando un team è pubblico, è individuabile da tutti gli utenti.
  • Modifica la classificazione delle informazioni di un team (classificazione team). Ad esempio, i dati del team possono essere classificati come a impatto aziendale elevato, medio o basso.
  • Modifica il nome di un team (nome del team).
  • Modifica la descrizione del team (descrizione del team).
  • Modifiche apportate alle impostazioni del team. Per accedere a queste impostazioni, un proprietario del team può fare clic con il pulsante destro del mouse su un team, selezionare Gestisci team e quindi selezionare la scheda Impostazioni . Per queste attività, il nome dell'impostazione modificata viene visualizzato nella colonna Elemento nei risultati della ricerca del log di controllo.
Etichetta di riservatezza modificata SensitivityLabelChanged Un utente ha modificato un'etichetta di riservatezza in una riunione di Teams.
Creazione di una chat 1, 2 ChatCreato È stata creata una chat di Teams.
Team creato TeamCreated Un utente crea un team.
Eliminato un messaggio 2 MessageDeleted È stato eliminato un messaggio in una chat o in un canale.
Eliminato tutte le app dell'organizzazione DeletedAllOrganizationApps Sono state eliminate tutte le app dell'organizzazione dal catalogo.
App eliminata AppDeletedFromCatalog Un'app è stata eliminata dal catalogo.
Canale eliminato ChannelDeleted Un utente elimina un canale da un team.
Team eliminato TeamDeleted Un proprietario del team elimina un team.
Modifica di un messaggio con un collegamento URL in Teams 5 MessageEditedHasLink Un utente modifica un messaggio e vi aggiunge un collegamento URL in Teams.
Messaggi esportati 1, 2 MessaggiEsportati Sono stati esportati messaggi di chat o di canale.
Registrazioni esportate RecordingExported Le registrazioni chat sono state esportate.
Trascrizioni esportate TrascrizioniEsportate Le trascrizioni della chat sono state esportate.
Non è stato possibile convalidare l'invito al canale condiviso 3 Invalidazione non riuscita Un utente risponde a un invito a un canale condiviso, ma la convalida dell'invito non è riuscita.
Chat recuperata 1, 2 ChatRetrieved È stata recuperata una chat di Microsoft Teams.
Recupero di tutto il contenuto ospitato di un messaggio1, 2 MessageHostedContentsListed Tutto il contenuto ospitato in un messaggio, ad esempio immagini o frammenti di codice, è stato recuperato.
App installata AppInstalled È stata installata un'app.
Azione eseguita sulla scheda PerformedCardAction Un utente ha intrapreso un'azione su una scheda adattiva all'interno di una chat. Le schede adattive vengono in genere usate dai bot per consentire la visualizzazione avanzata di informazioni e interazioni nelle chat.

Nota: Solo le azioni di input inline in una scheda adattiva all'interno di una chat saranno disponibili nel log di controllo. Ad esempio, quando un utente invia una risposta di polling in una conversazione del canale su una scheda adattiva generata da un bot di polling. Le azioni utente, ad esempio "Visualizza risultato", che aprirà una finestra di dialogo o le azioni utente all'interno dei dialoghi non saranno disponibili nel log di controllo.
Pubblicato un nuovo messaggio 1, 2, 5, 6 MessageSent È stato pubblicato un nuovo messaggio in una chat o in un canale.
App pubblicata AppPublishedToCatalog Un'app è stata aggiunta al catalogo.
Leggere un messaggio 1, 2 MessageRead È stato recuperato un messaggio di una chat o di un canale.
Leggere il contenuto ospitato di un messaggio 1, 2 MessageHostedContentRead Il contenuto ospitato in un messaggio, ad esempio un'immagine o un frammento di codice, è stato recuperato.
Rimozione del bot dal team BotRemovedFromTeam Un utente rimuove un bot dal team.
Rimozione di un connettore ConnectorRemoved Un utente rimuove un connettore da un canale.
Rimozione dei membri MemberRemoved Il proprietario di un team rimuove i membri da un team, da un canale o da una chat di gruppo.
Rimozione dell'etichetta di riservatezza SensitivityLabelRemoved Un utente ha rimosso un'etichetta di riservatezza da una riunione di Teams.
Rimozione della condivisione del canale del team 3 TerminatedSharing Condivisione disabilitata per un canale condiviso da parte di un team o di un proprietario del canale.
Condivisione ripristinata del canale del team 3 SharingRestored Condivisione riabilitare la condivisione di un team o di un proprietario del canale per un canale condiviso.
Rimozione di una scheda TabRemoved Un utente rimuove una scheda da un canale.
Risposta all'invito per il canale condiviso 3 InviteeResponded Un utente ha risposto a un invito al canale condiviso.
Risposta all'invito al canale condiviso 3 ChannelOwnerResponded Un proprietario del canale ha risposto a una risposta di un utente che ha risposto a un invito al canale condiviso.
Messaggi recuperati 1, 2 MessagesListed I messaggi da una chat o da un canale sono stati recuperati.
Inviato un messaggio con un collegamento URL in Teams 5 MessageCreatedHasLink Un utente invia un messaggio contenente un collegamento URL in Teams.
Notifica di modifica inviata per la creazione di messaggi 1, 2 MessageCreatedNotification È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un nuovo messaggio.
Notifica di modifica inviata per l'eliminazione dei messaggi 1, 2 MessageDeletedNotification È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio eliminato.
Notifica di modifica inviata per l'aggiornamento del messaggio 1, 2 MessageUpdatedNotification È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio aggiornato.
Invito inviato per il canale condiviso 3 InviteSent Un proprietario o un membro del canale invia un invito a un canale condiviso. Gli inviti ai canali condivisi possono essere inviati a utenti esterni all'organizzazione se i criteri del canale sono configurati per condividere il canale con utenti esterni.
Sottoscritto alle notifiche di modifica dei messaggi 1, 2 SubscribedToMessages È stata creata una sottoscrizione da un'applicazione listener per ricevere notifiche di modifica per i messaggi.
App disinstallata AppUninstalled Un'app è stata disinstallata.
App aggiornata AppUpdatedInCatalog Un'app è stata aggiornata nel catalogo.
Aggiornamento di una chat 1, 2 ChatUpdated È stata aggiornata una chat di Teams.
Aggiornamento di un messaggio 1, 2 MessageUpdated È stato aggiornato un messaggio di una chat o di un canale.
Connettore aggiornato ConnectorUpdated Un utente ha modificato un connettore in un canale.
Scheda aggiornata TabUpdated Un utente ha modificato una scheda in un canale.
App aggiornata AppUpgraded Un'app è stata aggiornata alla versione più recente nel catalogo.
Utente connesso a Teams TeamsSessionStarted Un utente accede a un client di Microsoft Teams. Questo evento non acquisisce le attività di aggiornamento del token.
Postato nuovo messaggio 3, 4, 5, 6 MessageSent È stato pubblicato un nuovo messaggio in una chat o in un canale. Questo evento è una funzionalità Premium con dettagli sulle licenze da definire.

Nota

1 Un record di controllo per questo evento viene registrato solo quando l'operazione viene eseguita chiamando un API Graph Microsoft. Se l'operazione viene eseguita nel client di Teams, non verrà registrato un record di controllo
2 Questo evento è disponibile solo in Audit (Premium). Ciò significa che agli utenti deve essere assegnata la licenza appropriata prima che questi eventi vengano registrati nel log di controllo. Per altre informazioni sulle attività disponibili solo in Audit (Premium), vedere Audit (Premium) in Microsoft Purview. Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.
3 Questo evento è in anteprima pubblica.
4Questo evento viene generato per la chat solo se sono presenti utenti guest, federati e/o anonimi.
5 Questo evento non è attualmente disponibile nelle organizzazioni Government Community Cloud (GCC), Government Community Cloud High (GCC-High) e Department of Defense (DoD).
6 Questo evento è incluso in tutti i tenant partecipanti per le chat federate.
7 Questo evento include informazioni sul dominio partecipanti per le chat federate 1:1.

Turni nelle attività di Teams

Se l'organizzazione usa l'app Turni in Teams, è possibile cercare nel log di controllo le attività correlate all'app Turni. Ecco un elenco di tutti gli eventi registrati per le attività turni in Teams nel log di controllo di Microsoft 365.

Nome descrittivo Operazione Descrizione
Aggiunta del gruppo di pianificazione ScheduleGroupAdded Un utente aggiunge correttamente un nuovo gruppo di pianificazione alla pianificazione.
Gruppo di pianificazione modificato ScheduleGroupEdited Un utente modifica correttamente un gruppo di pianificazione.
Gruppo di pianificazione eliminato ScheduleGroupDeleted Un utente elimina correttamente un gruppo di pianificazione dalla pianificazione.
Programma ritirato ScheduleWithdrawn Un utente ritira correttamente una pianificazione pubblicata.
Spostamento aggiunto MaiuscAggiungi Un utente aggiunge correttamente un turno.
Spostamento modificato ShiftEdited Un utente modifica correttamente un turno.
Spostamento eliminato ShiftDeleted Un utente elimina correttamente un turno.
Aggiunta del time off TimeOffAdded Un utente aggiunge correttamente il time off alla pianificazione.
Time off modificato TimeOffEdited Un utente modifica correttamente il time off.
Time off eliminato TimeOffDeleted Un utente elimina correttamente il time off.
Aggiunta del turno aperto OpenShiftAdded Un utente aggiunge correttamente un turno aperto a un gruppo di pianificazione.
Spostamento aperto modificato OpenShiftEdited Un utente modifica correttamente un turno aperto in un gruppo di pianificazione.
Spostamento aperto eliminato OpenShiftDeleted Un utente elimina correttamente un turno aperto da un gruppo di pianificazione.
Pianificazione condivisa ScheduleShared Un utente ha condiviso correttamente una pianificazione del team per un intervallo di date.
Clocking in using Time clock ClockedIn Un utente esegue correttamente l'orologio usando l'orologio.
Clocked out using Time clock ClockedOut Un utente esegue correttamente l'timeout usando l'orologio.
Interruzione avviata con l'orologio BreakStarted Un utente avvia correttamente un'interruzione durante una sessione di clock dell'ora attiva.
Interruzione terminata con l'orologio temporale BreakEnded Un utente termina correttamente un'interruzione durante una sessione di clock dell'ora attiva.
Aggiunta della voce Orologio TimeClockEntryAdded Un utente aggiunge correttamente una nuova voce dell'orologio orario manuale nel foglio presenze.
Voce Orologio modificato TimeClockEntryEdited A user successfully edits a Time clock entry on Time Sheet.
Voce ora eliminata TimeClockEntryDeleted Un utente elimina correttamente una voce orologio nel foglio presenze.
Aggiunta della richiesta di spostamento RequestAdded Un utente ha aggiunto una richiesta di spostamento.
Risposta alla richiesta di spostamento RequestRespondedTo Un utente ha risposto a una richiesta di spostamento.
Richiesta di spostamento annullata RequestCancelled Un utente ha annullato una richiesta di spostamento.
Impostazione della pianificazione modificata ScheduleSettingChanged Un utente modifica un'impostazione in Turni impostazioni.
Aggiunta dell'integrazione della forza lavoro WorkforceIntegrationAdded L'app Turni è integrata con un sistema di terze parti.
Messaggio disattivato accettato OffShiftDialogAccepted Un utente riconosce il messaggio fuori turno per accedere a Teams dopo l'orario di turno.

Aggiornamenti'app nelle attività di Teams

Se l'organizzazione usa l'app Aggiornamenti in Teams, è possibile cercare nel log di controllo le attività correlate all'app Aggiornamenti. Ecco un elenco di tutti gli eventi registrati per le attività dell'app Aggiornamenti in Teams nel log di controllo di Microsoft 365.

Nome descrittivo Operazione Descrizione
Creare una richiesta di aggiornamento CreateUpdateRequest Un utente crea correttamente una richiesta di aggiornamento.
Modificare una richiesta di aggiornamento EditUpdateRequest Un utente apre la procedura guidata di modifica della richiesta e seleziona Salva per confermare e salvare eventuali modifiche oppure abilita o disabilita direttamente la richiesta di aggiornamento.
Inviare un aggiornamento SubmitUpdate Un utente invia correttamente un aggiornamento.
Visualizzare i dettagli di un aggiornamento ViewUpdate Un utente visualizza i dettagli dell'aggiornamento.

API Office 365 Management Activity

È possibile usare l'API attività di gestione Office 365 per recuperare informazioni sugli eventi di Teams. Per altre informazioni sullo schema dell'API attività di gestione per Teams, vedere Schema di Teams.

Attribuzione nei log di controllo di Teams

Le modifiche di appartenenza a Teams (ad esempio utenti aggiunti o eliminati) apportate tramite Azure Active Directory (Azure AD), il portale di amministrazione di Microsoft 365 o Gruppi di Microsoft 365 API Graph verranno visualizzate nei messaggi di controllo di Teams e nel canale Generale con un'attribuzione a un proprietario esistente del team e non all'iniziatore effettivo dell'azione. In questi scenari, consultare i log di controllo di Azure AD o del gruppo di Microsoft 365 per visualizzare le informazioni pertinenti.

Usare Defender per le app cloud per impostare i criteri attività

Usando Microsoft Defender for Cloud Apps integrazione, è possibile impostare criteri di attività per applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare attività specifiche eseguite da vari utenti o di seguire tassi inaspettatamente elevati di un determinato tipo di attività.

Dopo aver impostato un criterio di rilevamento attività, inizia a generare avvisi. Gli avvisi vengono generati solo nelle attività che si verificano dopo la creazione dei criteri. Ecco alcuni scenari di esempio su come usare i criteri attività in Defender per app cloud per monitorare le attività di Teams.

Scenario utente esterno

Uno scenario su cui tenere d'occhio, dal punto di vista aziendale, è l'aggiunta di utenti esterni all'ambiente Teams. Se gli utenti esterni sono abilitati, il monitoraggio della loro presenza è una buona idea. È possibile usare Defender per app cloud per identificare potenziali minacce.

Criteri per monitorare l'aggiunta di utenti esterni

Lo screenshot di questo criterio per monitorare l'aggiunta di utenti esterni consente di assegnare un nome al criterio, impostare la gravità in base alle esigenze aziendali, impostarla come (in questo caso) una singola attività e quindi stabilire i parametri che monitoreranno in modo specifico solo l'aggiunta di utenti non interni e limiteranno questa attività a Teams.

I risultati di questo criterio possono essere visualizzati nel log attività:

Eventi attivati dai criteri degli utenti esterni

Qui è possibile esaminare le corrispondenze ai criteri impostati e apportare eventuali modifiche in base alle esigenze oppure esportare i risultati da usare altrove.

Scenario di eliminazione di massa

Come accennato in precedenza, è possibile monitorare gli scenari di eliminazione. È possibile creare un criterio che monitori l'eliminazione di massa dei siti di Teams. In questo esempio viene configurato un criterio basato su avvisi per rilevare l'eliminazione di massa dei team in un intervallo di 30 minuti.

Criteri che mostrano la configurazione di un criterio per il rilevamento dell'eliminazione del team di massa

Come illustrato nello screenshot, è possibile impostare molti parametri diversi per questo criterio per monitorare le eliminazioni di Teams, tra cui gravità, azione singola o ripetuta e parametri che lo limitano a Teams e all'eliminazione del sito. Questa operazione può essere eseguita indipendentemente da un modello oppure è possibile che sia stato creato un modello su cui basare questo criterio, a seconda delle esigenze dell'organizzazione.

Dopo aver stabilito un criterio che funziona per l'azienda, è possibile esaminare i risultati nel log attività quando vengono attivati gli eventi:

Screenshot degli eventi attivati dalle eliminazioni di massa

È possibile filtrare in base al criterio impostato per visualizzare i risultati di tale criterio. Se i risultati ottenuti nel log attività non sono soddisfacenti (ad esempio, si visualizzano molti risultati o nulla), è possibile ottimizzare la query per renderla più pertinente alle operazioni necessarie.

Scenario di avviso e governance

È possibile impostare avvisi e inviare messaggi di posta elettronica agli amministratori e ad altri utenti quando viene attivato un criterio attività. È possibile impostare azioni di governance automatizzate, ad esempio sospendere un utente o fare in modo che un utente accinga di nuovo l'accesso in modo automatizzato. Questo esempio mostra come un account utente può essere sospeso quando viene attivato un criterio attività e determina che un utente ha eliminato due o più team in 30 minuti.

Screenshot degli avvisi e delle azioni di governance per un criterio attività.

Usare Defender per le app cloud per impostare i criteri di rilevamento anomalie

I criteri di rilevamento anomalie in Defender per app cloud forniscono analisi del comportamento degli utenti e delle entità (UEBA) e Machine Learning (ML) predefiniti, in modo da poter eseguire immediatamente il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché sono abilitati automaticamente, i nuovi criteri di rilevamento anomalie forniscono risultati immediati fornendo rilevamenti immediati, indirizzando numerose anomalie comportamentali tra gli utenti e i computer e i dispositivi connessi alla rete. Inoltre, i nuovi criteri espongono più dati dal motore di rilevamento di Defender for Cloud Apps, per velocizzare il processo di indagine e contenere le minacce in corso.

Stiamo lavorando per integrare gli eventi di Teams nei criteri di rilevamento anomalie. Per il momento, è possibile configurare i criteri di rilevamento anomalie per altri prodotti Office e intervenire sugli utenti che corrispondono a tali criteri.