Condividi tramite

Eseguire azioni di mitigazione in Indagini sulla sicurezza dei dati

Indagini sulla sicurezza dei dati offre diverse funzionalità che consentono di attenuare rapidamente l'impatto degli eventi imprevisti di sicurezza dei dati nell'organizzazione.

Piano di mititgation

Il piano di mitigazione consente di connettere l'analisi a azioni di mitigazione specifiche dagli strumenti di esame e dalle verifiche degli analisti. Il piano di mitigazione è simile a un elenco di attività che è possibile usare per gestire e tenere traccia delle azioni di mitigazione dei rischi dei dati nell'analisi. Questo piano consente agli analisti di centralizzare tutti gli elementi che richiedono attenzione o azione per attenuare i rischi associati all'indagine e all'evento imprevisto di sicurezza dei dati.

Usando il piano di mitigazione, eseguire le azioni seguenti:

  • Priorità in base al livello di rischio: affrontare immediatamente qualsiasi elemento che potrebbe causare una violazione della sicurezza attiva se non viene risolto.

  • Contrassegnare gli elementi per il completamento: usare il piano di mitigazione per tenere traccia delle attività di follow-up.

  • Consultare o coinvolgere gli stakeholder pertinenti: assicurarsi che il piano affronti le responsabilità per le aree seguenti:

    • Credenziali: identificare chi reimposta le credenziali e da quando.
    • Esposizione dei dati: identificare chi rimuove i collegamenti di condivisione esterni o sposta i file in una posizione sicura.
    • Formazione o imposizione degli utenti: identificare chi segue le misure di formazione o disciplinare.
    • Ulteriori indagini: identificare chi è responsabile di qualsiasi elemento che suggerisce un problema di sicurezza più grande nell'organizzazione.

Dashboard del piano di mitigazione

Il piano di mitigazione visualizza tutti gli elementi aggiunti al piano di mitigazione nell'indagine. Usando questa visualizzazione, è possibile visualizzare rapidamente tutti gli elementi che richiedono un'azione nell'indagine, lo stato di ogni elemento e altre informazioni importanti su ogni elemento del piano.

  • Nome: oggetto o titolo dell'elemento dati.
  • Tipo: tipo di file dell'elemento di dati.
  • Descrizione: descrizione dell'elemento di dati.
  • Stato: stato corrente dell'elemento dati. I valori includono In corso o Completa.
  • Ultima modifica da: nome dell'analista o dell'investigatore che ha aggiornato le ultime informazioni sull'elemento dati.
  • Ultimo aggiornamento (UTC): data e ora dell'ora UTC (Coordinated Universal Time) dell'ultimo aggiornamento dell'elemento dati.

Selezionare Personalizza colonne per personalizzare le colonne visualizzate e l'ordine delle colonne nel piano di mitigazione. Scegliere le colonne da visualizzare o nascondere. Selezionare Aggiungi filtro e scegliere un filtro disponibile per filtrare gli elementi nel piano di mitigazione.

Selezionare Scarica elenco per creare un file .csv contenente l'elenco di elementi di dati e le informazioni sulla colonna nel piano di mitigazione.

Visualizzazione dettagliata dell'elemento

Gli analisti possono visualizzare i dettagli su ogni elemento di dati incluso nel piano di mitigazione come parte del processo di revisione e valutazione. Dopo aver selezionato un elemento di dati, un riepilogo degli elementi e i visualizzatori sono disponibili per consentire all'analista di visualizzare metadati, origine e altre informazioni.

Aggiornare lo stato dell'elemento

Quando si esaminano gli elementi di dati e si lavora per attenuare i rischi per ogni elemento di dati, gestire lo stato corrente per ogni elemento. Aggiornare lo stato per i singoli elementi o aggiornare in blocco lo stato per più elementi di dati.

Per aggiornare lo stato di un elemento di dati, seguire questa procedura:

  1. Passare al portale di Microsoft Purview e accedere con le credenziali per un account utente assegnato Indagini sulla sicurezza dei dati autorizzazioni.
  2. Selezionare la scheda Indagini sulla sicurezza dei dati soluzione, quindi selezionare Indagini nel riquadro di spostamento a sinistra.
  3. Selezionare un'indagine e quindi Selezionare Mitigazione.
  4. Selezionare uno o più elementi dati nel piano di mitigazione.
  5. Selezionare Stato aggiornamento e quindi selezionare lo stato applicabile.

È anche possibile modificare lo stato di un elemento di dati dalla visualizzazione dettagli dell'elemento. Nella visualizzazione dettagliata di un elemento selezionare Completa per modificare lo stato dell'elemento dati.

Implementare il piano di mitigazione

Per implementare il piano di mitigazione, seguire questa procedura:

  • Revocare o modificare immediatamente le credenziali: per ogni password o segreto esposto, assicurarsi che il proprietario responsabile lo ripristini. Questa azione potrebbe comportare la reimpostazione forzata della password per gli account utente, l'eliminazione o la rigenerazione delle chiavi di accesso o la modifica delle credenziali dell'account del servizio.

  • Contenere l'esposizione dei dati: se i file erano accessibili pubblicamente o a un numero eccessivo di persone, bloccare immediatamente le autorizzazioni. Rimuovere l'accesso guest esterno nei siti di SharePoint se è stato condiviso un file sensibile. Se un messaggio di posta elettronica con segreti è stato inviato esternamente, contattare il destinatario per eliminarlo (se appropriato) o usare il richiamo del messaggio, se possibile.

  • Correggere i documenti: per i file che non devono contenere determinate informazioni, decidere se eliminarli, modificarli o proteggerli. Spesso, è consigliabile rimuovere il contenuto sensibile dall'origine (o crittografarlo). Valutare la possibilità di applicare etichette di riservatezza o criteri di prevenzione della perdita dei dati per impedire che i file vengano condivisi di nuovo.

  • Tenere traccia delle attività e delle informazioni dettagliate: usare la sequenza temporale dell'attività per gli elementi. Queste informazioni potrebbero identificare le attività utente correlate. Verificare se è in corso un comportamento utente rischioso e se potrebbero essere necessarie ulteriori indagini su tale utente.

  • Documentare ogni azione: nella cronologia attività vengono registrate tutte le azioni di ricerca, analisi e mitigazione. Queste informazioni sono utili per il controllo e la revisione post-evento imprevisto. Assicurarsi che il log mostri che vengono risolti tutti gli elementi a rischio.

  • Comunicare e risolvere l'evento imprevisto: aggiornare tutti gli stakeholder nei modi seguenti:

    • Verificare che i buchi critici (credenziali, collegamenti pubblici e altre vulnerabilità) siano chiusi.
    • Se necessario, preparare eventuali notifiche esterne. Ad esempio, informare i clienti di una violazione dei dati e informare le autorità di regolamentazione applicabili.
    • Condurre un debriefing con tutti gli stakeholder. Le informazioni dettagliate e le lezioni apprese possono essere usate per migliorare i criteri e prevenire eventi imprevisti futuri.

Eliminazione (anteprima)

Indagini sulla sicurezza dei dati include ora la nuova funzionalità di eliminazione (anteprima) che consente di identificare ed eliminare definitivamente gli elementi nell'organizzazione. Questa esigenza può includere l'identificazione di elementi associati a informazioni altamente riservate o sensibili su progetti finanziari, di marketing o di vendita o altre proprietà proprietarie. Usando la funzionalità di ricerca predefinita per le indagini, gli investigatori possono creare rapidamente una nuova query di ricerca e salvarla come query di eliminazione che è possibile esaminare ed eseguire quando necessario. La query di eliminazione elimina definitivamente tutti gli elementi inclusi nei risultati della query da tutte le posizioni di origine dell'organizzazione.

L'addebito viene addebitato in base all'elaborazione necessaria per eliminare il volume di dati risultante nella query di ricerca e usa la nuova unità di calcolo Indagini sulla sicurezza dei dati. Per altre informazioni sull'unità di calcolo, vedere Fatturazione in Indagini sulla sicurezza dei dati.

Dashboard della coda di eliminazione

La coda di eliminazione visualizza tutte le query di eliminazione salvate nell'indagine. Usando questa visualizzazione, è possibile visualizzare rapidamente tutte le query di eliminazione nell'indagine, lo stato di ogni query e altre informazioni importanti su ogni query nella coda.

  • Nome: nome della query di eliminazione.
  • Stato: stato corrente della query di eliminazione. I valori includono Not started, In-progress, Failed o Complete.
  • Aggiunto da: nome dell'investigatore che ha aggiunto la query di eliminazione.
  • Data aggiunta (UTC): data e ora dell'ora UTC (Coordinated Universal Time) che la query di eliminazione è stata aggiunta alla coda di eliminazione.

Selezionare Personalizza colonne per personalizzare le colonne visualizzate e l'ordine delle colonne nella coda di eliminazione. Scegliere le colonne da visualizzare o nascondere. Selezionare Aggiungi filtro e scegliere un filtro disponibile per filtrare gli elementi nella coda di eliminazione.

Selezionare Scarica elenco per creare un file .csv contenente l'elenco di elementi di dati e le informazioni sulla colonna nella coda di eliminazione.

Eliminare elementi specifici

Per eliminare elementi specifici nell'organizzazione, completare la procedura seguente:

  1. Passare al portale di Microsoft Purview e accedere con le credenziali per un account utente assegnato Indagini sulla sicurezza dei dati autorizzazioni.
  2. Selezionare la scheda Indagini sulla sicurezza dei dati soluzione e quindi selezionare Indagini nel riquadro di spostamento a sinistra.
  3. Selezionare un'indagine o creare un'indagine per creare una nuova indagine.
  4. Nella scheda Cerca selezionare le origini dati che contengono gli elementi da eliminare.

Importante

Solo gli elementi nelle cassette postali di Exchange e in Microsoft Teams attualmente supportano l'eliminazione. Se si selezionano siti di SharePoint o account OneDrive, le azioni di eliminazione vengono disabilitate.

  1. Creare una ricerca per identificare gli elementi da eliminare e quindi selezionare Rivedi stime.
  2. Nella pagina Rivedi stime verificare che gli elementi restituiti nelle stime siano allineati agli elementi da eliminare. È possibile eliminare fino a 1.000 elementi per ricerca.

Se è necessario modificare la ricerca, selezionare Cerca e aggiornare le condizioni della ricerca. Per visualizzare i dettagli per le corrispondenze di ricerca, selezionare i puntini di sospensione e Visualizza esempi oppure selezionare Aggiungi all'ambito.

Importante

Se si aggiungono elementi a un ambito di indagine, viene aggiunta una copia degli elementi all'account di archiviazione Azure associato a Indagini sulla sicurezza dei dati nell'organizzazione. L'esecuzione della query di eliminazione nella coda di eliminazione rimuove gli elementi da tutti i percorsi di origine correnti, ma non dall'ambito di indagine in Indagini sulla sicurezza dei dati. Per rimuovere tutti gli elementi da Indagini sulla sicurezza dei dati, eliminare l'indagine.

  1. Selezionare Salva per eliminare e immettere un nome univoco per la query di eliminazione nel campo Nome query .
  2. Selezionare Salva per salvare la query e aggiungere la query alla coda di eliminazione.

Importante

Questo passaggio salva la query solo come query di eliminazione. Durante questo passaggio non vengono eliminati elementi.

  1. Nella scheda Mitigazione per l'analisi si viene indirizzati automaticamente al dashboard della coda di eliminazione .
  2. Selezionare la query di eliminazione da eseguire.
  3. Nella pagina dei dettagli della query di eliminazione esaminare i dettagli della query e selezionare Esegui.
  4. Nella finestra di dialogo di conferma della query di eliminazione selezionare Elimina definitivamente.
  5. Per visualizzare lo stato della query di eliminazione, selezionare la scheda Attività .

Al termine dell'eliminazione, è possibile scaricare un report come file .zip che include informazioni su elemento, posizione, impostazioni e riepilogo sugli elementi eliminati.

  • Last updated on