Introduzione agli avvisi di prevenzione della perdita dei dati

I criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) possono essere configurati per generare avvisi quando vengono soddisfatte le condizioni nei criteri.

Per una breve panoramica degli avvisi, vedere:

Questo articolo include i dettagli sulle licenze e sulle autorizzazioni e altre informazioni cruciali necessarie quando si usano gli avvisi.

Gli avvisi DLP possono essere esaminati e gestiti nel dashboard Microsoft Defender XDR e nella Portale di conformità di Microsoft Purview. Il dashboard Microsoft Defender XDR è il percorso consigliato per l'analisi e la gestione degli avvisi DLP. Il Portale di conformità di Microsoft Purview è il percorso consigliato per la creazione e la modifica dei criteri di prevenzione della perdita dei dati.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Tipi di avviso

Gli avvisi possono essere inviati ogni volta che un'attività corrisponde a una regola, che può essere rumorosa o aggregabile in base al numero di corrispondenze o al volume di elementi in un determinato periodo di tempo. Esistono due tipi di avvisi che possono essere configurati nei criteri DLP.

Gli avvisi a singolo evento vengono in genere usati nei criteri che monitorano gli eventi altamente sensibili che si verificano in un volume ridotto, ad esempio un singolo messaggio di posta elettronica con 10 o più numeri di carta di credito dei clienti inviati all'esterno dell'organizzazione.

Gli avvisi degli eventi aggregati vengono in genere usati nei criteri che monitorano gli eventi che si verificano in un volume superiore in un periodo di tempo. Ad esempio, un avviso aggregato può essere attivato quando 10 singoli messaggi di posta elettronica con un numero di carta di credito del cliente vengono inviati all'esterno dell'organizzazione per 48 ore.

Prima di iniziare

Prima di iniziare, assicurarsi di avere i prerequisiti necessari:

Licenze per le opzioni di configurazione degli avvisi

  • Configurazione degli avvisi a evento singolo: le organizzazioni con una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3 possono configurare criteri per generare un avviso ogni volta che si verifica un'attività di attivazione.
  • Configurazione degli avvisi aggregati: per configurare i criteri di avviso aggregati in base a una soglia, è necessario avere una delle configurazioni seguenti:
    • Sottoscrizione A5
    • Sottoscrizione di E5 o G5
    • Una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3 che include una delle funzionalità seguenti:
      • Office 365 Advanced Threat Protection (Piano 2)
      • Conformità Microsoft 365 E5
      • Licenza del componente aggiuntivo Microsoft 365 eDiscovery and Audit

I clienti che usano Endpoint DLP e che sono idonei per La prevenzione della perdita dei dati di Teams visualizzeranno gli avvisi dei criteri DLP degli endpoint e gli avvisi dei criteri DLP di Teams nel dashboard di gestione degli avvisi DLP.

Ruoli e gruppi di ruoli

Se si vuole visualizzare il dashboard di gestione degli avvisi DLP o modificare le opzioni di configurazione degli avvisi in un criterio DLP, è necessario essere membri di uno di questi gruppi di ruoli:

  • Amministratore di conformità
  • Amministratore dati di conformità
  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Amministratore di Information Protection
  • Analista di Information Protection
  • Investigatore di Information Protection
  • Lettore di Information Protection

Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview

Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.

  • Azure Information Protection
  • Amministratori di Information Protection
  • Analisti di Information Protection
  • Investigatori di Information Protection
  • Lettori di Information Protection

Per accedere al dashboard di gestione degli avvisi DLP, sono necessari il ruolo Gestisci avvisi e uno di questi due ruoli:

  • Gestione della conformità DLP
  • View-Only gestione della conformità DLP

Per accedere alla funzionalità anteprima contenuto e alle funzionalità di contesto e contenuto sensibili corrispondenti, è necessario essere un membro del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto , con il ruolo Visualizzatore contenuto classificazione dati preassegnato.

Consiglio

Se l'amministratore richiede l'accesso agli avvisi ma non le informazioni contestuali/sensibili, è possibile creare e assegnare un ruolo personalizzato che non include l'autorizzazione Visualizzatore contenuto classificazione dati.

Configurazione degli avvisi DLP

Per informazioni su come configurare un avviso nei criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati. Esistono diverse esperienze di configurazione degli avvisi a seconda delle licenze.

Configurazione dell'avviso di evento di aggregazione

Se si ha una licenza per le opzioni di configurazione degli avvisi aggregati, queste opzioni verranno visualizzate quando si crea o si modifica un criterio DLP.

Screenshot che mostra le opzioni per i report degli eventi imprevisti per gli utenti idonei per le opzioni di configurazione degli avvisi aggregati.

Questa configurazione consente di configurare un criterio per generare un avviso:

  • ogni volta che un'attività corrisponde alle condizioni dei criteri
  • quando viene raggiunta o superata la soglia definita
  • in base al numero di attività
  • in base al volume di dati esfiltrati

Per evitare un'inondazione di messaggi di posta elettronica di notifica, tutte le corrispondenze che si verificano all'interno di un intervallo di tempo di un minuto per la stessa regola DLP e nella stessa posizione vengono raggruppate nello stesso avviso. La funzionalità intervallo di tempo di aggregazione di un minuto è disponibile in:

  • Sottoscrizione di E5 o G5
  • Una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3 che include una delle funzionalità seguenti:
    • Office 365 Advanced Threat Protection (Piano 2)
    • Conformità Microsoft 365 E5
    • Licenza del componente aggiuntivo Microsoft 365 eDiscovery and Audit

Per le organizzazioni che hanno una sottoscrizione E1, F1 o G1 o una sottoscrizione E3 o G3, l'intervallo di tempo di aggregazione è di 15 minuti.

Configurazione dell'avviso di un singolo evento

Se si ha una licenza per le opzioni di configurazione degli avvisi a singolo evento, queste opzioni verranno visualizzate quando si creano o si modificano criteri di prevenzione della perdita dei dati. Usare questa opzione per creare un avviso generato ogni volta che si verifica una corrispondenza di regola DLP.

Screenshot che mostra le opzioni per i report degli eventi imprevisti per gli utenti idonei per le opzioni di configurazione degli avvisi a singolo evento.

Tipi di eventi

Ecco alcuni degli eventi associati a un avviso. Nel dashboard Avvisi è possibile scegliere un evento specifico per visualizzarne i dettagli.

Dettagli evento

Nome della proprietà Descrizione Tipi di evento
ID ID univoco associato all'evento tutti gli eventi
Posizione carico di lavoro in cui è stato rilevato l'evento tutti gli eventi
tempo di attività ora dell'attività utente corrispondente ai criteri dei criteri DLP

Entità interessate

Nome della proprietà Descrizione Tipi di evento
utente utente che ha intrapreso l'azione che ha causato la corrispondenza dei criteri tutti gli eventi
Hostname nome host del computer in cui si è verificata la corrispondenza dei criteri DLP eventi del dispositivo
Indirizzo IP Indirizzo IP del computer in cui si è verificata la corrispondenza dei criteri DLP eventi del dispositivo
sha1 Hash SHA-1 del file eventi del dispositivo
sha256 Hash SHA-256 del file eventi del dispositivo
ID dispositivo MDATP ENDPOINT DEVICE MDATP ID (ID MDATP dispositivo endpoint)
dimensioni del file dimensioni del file Eventi di SharePoint, OneDrive e dispositivo
percorso file percorso assoluto dell'elemento coinvolto nella corrispondenza dei criteri DLP Eventi di SharePoint, OneDrive e dispositivi
destinatari di posta elettronica se un messaggio di posta elettronica era l'elemento sensibile corrispondente ai criteri di prevenzione della perdita dei dati, questo campo include i destinatari del messaggio Eventi di Exchange
soggetto di posta elettronica oggetto del messaggio di posta elettronica corrispondente ai criteri DLP Eventi di Exchange
allegati di posta elettronica nomi degli allegati nel messaggio di posta elettronica corrispondente ai criteri DLP Eventi di Exchange
proprietario del sito nome del proprietario del sito Eventi di SharePoint e OneDrive
URL sito pieno dell'URL del sito di SharePoint o OneDrive in cui si è verificata la corrispondenza dei criteri di prevenzione della perdita dei dati Eventi di SharePoint e OneDrive
file creato ora di creazione del file corrispondente ai criteri DLP Eventi di SharePoint e OneDrive
file modificato per l'ultima volta l'ultima volta che il file corrispondente ai criteri DLP è stato modificato Eventi di SharePoint e OneDrive
dimensioni del file dimensioni del file corrispondente ai criteri DLP Eventi di SharePoint e OneDrive
proprietario del file proprietario del file corrispondente ai criteri DLP Eventi di SharePoint e OneDrive

Dettagli dei criteri

Nome della proprietà Descrizione Tipi di evento
Criteri di prevenzione della perdita dei dati corrispondenti nome dei criteri DLP corrispondenti tutti gli eventi
regola corrispondente nome della regola dei criteri di prevenzione della perdita dei dati corrispondente tutti gli eventi
sono stati rilevati tipi di informazioni sensibili (SIT) SIT rilevati come parte della corrispondenza dei criteri DLP tutti gli eventi
azioni intraprese azioni eseguite che hanno causato la corrispondenza dei criteri DLP tutti gli eventi
violazione dell'azione azione nel dispositivo endpoint che ha generato l'avviso DLP eventi del dispositivo
criteri di overrode dell'utente l'utente ha eseguito l'override dei criteri tramite un suggerimento per i criteri tutti gli eventi
usare la giustificazione dell'override il testo del motivo fornito dall'utente per l'override tutti gli eventi

Importante

La configurazione dei criteri di conservazione dei log di controllo dell'organizzazione controlla per quanto tempo un avviso rimane visibile nella console. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo .

Vedere anche