Analizzare le attività di gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

L'analisi delle attività utente potenzialmente rischiose è un primo passo importante per ridurre al minimo i rischi insider per l'organizzazione. Questi rischi possono essere attività che generano avvisi dai criteri di gestione dei rischi Insider. Possono anche essere rischi derivanti da attività correlate alla conformità rilevate dai criteri, ma non creare immediatamente avvisi di gestione dei rischi Insider per gli utenti. È possibile analizzare questi tipi di attività usando i report attività utente (anteprima) o il dashboard avvisi.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Report sulle attività degli utenti

I report attività utente consentono di esaminare le attività potenzialmente rischiose (per utenti specifici e per un periodo di tempo definito) senza dover assegnare queste attività, temporaneamente o esplicitamente, a criteri di gestione dei rischi Insider. Nella maggior parte degli scenari di gestione dei rischi Insider, gli utenti sono definiti in modo esplicito nei criteri e possono avere avvisi dei criteri (a seconda degli eventi di attivazione) e punteggi di rischio associati alle attività. In alcuni scenari, tuttavia, è possibile esaminare le attività per gli utenti che non sono definiti in modo esplicito in un criterio. Queste attività possono essere destinate agli utenti che hanno ricevuto un suggerimento sull'utente e sulle attività potenzialmente rischiose oppure agli utenti che in genere non devono essere assegnati a criteri di gestione dei rischi Insider.

Dopo aver configurato gli indicatori nella pagina Impostazioni di gestione dei rischi Insider, viene rilevata l'attività utente per attività potenzialmente rischiose associate agli indicatori selezionati. Questa configurazione significa che tutte le attività rilevate per gli utenti sono disponibili per la revisione, indipendentemente dal fatto che abbia un evento di attivazione o se crea un avviso. I report vengono creati in base all'utente e possono includere tutte le attività per un periodo personalizzato di 90 giorni. Non sono supportati più report per lo stesso utente.

Dopo aver esaminato le attività potenzialmente rischiose, gli investigatori possono ignorare le attività dei singoli utenti come benigne. Possono anche condividere o inviare tramite posta elettronica un collegamento al report con altri investigatori o scegliere di assegnare utenti (temporaneamente o esplicitamente) a criteri di gestione dei rischi Insider. Gli utenti devono essere assegnati al gruppo di ruoli Insider Risk Management Investigators per visualizzare la pagina Report attività utente .

Per iniziare, selezionare Gestisci report nella sezione Analizzare l'attività utente nella pagina Panoramica della gestione dei rischi Insider.

Per visualizzare le attività per un utente, selezionare innanzitutto Create report attività utente e completare i campi seguenti nel riquadro Nuovo report attività utente:

• Utente: Search per un utente in base al nome o all'indirizzo di posta elettronica.
• Data di inizio: usare il controllo calendario per selezionare la data di inizio per le attività utente.
• Data di fine: usare il controllo calendario per selezionare la data di fine per le attività utente. La data di fine selezionata deve essere maggiore di due giorni dopo la data di inizio selezionata e non superiore a 90 giorni dalla data di inizio selezionata.

Nota

I dati esterni all'intervallo selezionato possono essere inclusi se l'utente è stato incluso in precedenza in un avviso.

I dati sulle attività utente sono disponibili per la creazione di report circa 48 ore dopo l'attività. Ad esempio, per esaminare i dati dell'attività utente per il 1° dicembre, è necessario assicurarsi che siano trascorsa almeno 48 ore prima di creare il report (si creerà un report il 3 dicembre al più presto).

I nuovi report in genere richiedono fino a 10 ore prima che siano pronti per la revisione. Quando il report è pronto, il report pronto viene visualizzato nella colonna Stato della pagina Report attività utente. Selezionare l'utente per visualizzare il report dettagliato:

Il report Attività utente per l'utente selezionato contiene le schede Attività utente, Esplora attività e Prove forensi :

• Attività utente: usare questa visualizzazione grafico per analizzare le attività potenzialmente rischiose e visualizzare le attività potenzialmente correlate che si verificano in sequenze. Questa scheda è strutturata per consentire una rapida revisione di un caso, inclusa una sequenza temporale cronologica di tutte le attività, i dettagli delle attività, il punteggio di rischio corrente per l'utente nel caso, la sequenza di eventi di rischio e i controlli di filtro per facilitare le attività investigative.
• Esplora attività: questa scheda fornisce agli investigatori dei rischi uno strumento di analisi completo che fornisce informazioni dettagliate sulle attività. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale delle attività rischiose rilevate e identificare e filtrare tutte le attività potenzialmente rischiose associate agli avvisi. Per altre informazioni sull'uso di Esplora attività, vedere la sezione Esplora attività più avanti in questo articolo.

Dashboard degli avvisi

Gli avvisi di gestione dei rischi Insider vengono generati automaticamente dagli indicatori di rischio definiti nei criteri di gestione dei rischi Insider. Questi avvisi offrono agli analisti e agli investigatori della conformità una visualizzazione completa dello stato di rischio corrente e consentono all'organizzazione di valutare e intraprendere azioni per i potenziali rischi individuati. Per impostazione predefinita, i criteri generano una certa quantità di avvisi di gravità bassa, media e alta, ma è possibile aumentare o ridurre il volume degli avvisi in base alle proprie esigenze. Inoltre, è possibile configurare la soglia di avviso per gli indicatori dei criteri durante la creazione di un nuovo criterio con lo strumento di creazione dei criteri.

Nota

Per gli avvisi generati, la gestione dei rischi Insider genera un singolo avviso aggregato per utente. Tutte le nuove informazioni dettagliate per l'utente vengono aggiunte allo stesso avviso.

Vedere il video Insider Risk Management Alerts Triage Experience per una panoramica del modo in cui gli avvisi forniscono dettagli, contesto e contenuti correlati per attività rischiose e su come rendere il processo di indagine più efficace.

Nota

Se l'ambito dei criteri è di una o più unità amministrative, è possibile visualizzare solo gli avvisi per gli utenti a cui si ha l'ambito. Ad esempio, se un ambito amministrativo si applica solo agli utenti in Germania, è possibile visualizzare solo gli avvisi per gli utenti in Germania. Gli amministratori senza restrizioni possono visualizzare tutti gli avvisi per tutti gli utenti dell'organizzazione.

Il dashboard degli avvisi di rischio Insider consente di visualizzare e agire sugli avvisi generati dai criteri di rischio Insider. Ogni widget del report visualizza informazioni per gli ultimi 30 giorni.

• Avvisi totali che devono essere esaminati: sono elencati il numero totale di avvisi che devono essere esaminati e valutato, inclusa una suddivisione in base alla gravità degli avvisi.
• Avvisi aperti negli ultimi 30 giorni: il numero totale di avvisi creati dai criteri corrisponde negli ultimi 30 giorni, ordinati in base a livelli di gravità degli avvisi alti, medi e bassi.
• Tempo medio per risolvere gli avvisi: riepilogo delle statistiche utili degli avvisi:
  • Tempo medio di risoluzione degli avvisi di gravità elevata, elencato in ore, giorni o mesi.
  • Tempo medio di risoluzione degli avvisi di gravità media, elencato in ore, giorni o mesi.
  • Tempo medio di risoluzione degli avvisi di gravità bassa, elencato in ore, giorni o mesi.

Nota

La gestione dei rischi Insider usa la limitazione degli avvisi incorporata al fine di contribuire alla protezione e ottimizzazione dell'esperienza di indagine e revisione dei rischi. Questa limitazione protegge da problemi che potrebbero causare un sovraccarico di avvisi dei criteri, ad esempio connettori dati non configurati correttamente o criteri di prevenzione della perdita dei dati. Di conseguenza, potrebbe verificarsi un ritardo nella visualizzazione di nuovi avvisi per un utente.

Stato e gravità dell'avviso

È possibile valutare gli avvisi in uno degli stati seguenti:

• Confermato: avviso confermato e assegnato a un caso nuovo o esistente.
• Ignorato: avviso ignorato come non dannoso nel processo di valutazione. È possibile fornire un motivo per l'eliminazione dell'avviso e includere note disponibili nella cronologia degli avvisi dell'utente per fornire un contesto aggiuntivo per riferimento futuro o per altri revisori. I motivi possono variare dalle attività previste, dagli eventi non inattivi, dalla semplice riduzione del numero di attività di avviso per l'utente o da un motivo correlato alle note di avviso. Le scelte di classificazione dei motivi includono l'attività prevista per questo utente, l'attivitàha un impatto sufficiente per poter analizzare ulteriormente e gli avvisi per questo utente contengono un'attività eccessiva.
• Revisione delle esigenze: nuovo avviso in cui le azioni di valutazione non sono ancora state eseguite.
• Risolto: avviso che fa parte di un caso chiuso e risolto.

I punteggi di rischio degli avvisi vengono calcolati automaticamente da diversi indicatori di attività di rischio. Questi indicatori includono il tipo di attività di rischio, il numero e la frequenza dell'occorrenza dell'attività, la cronologia dell'attività di rischio degli utenti e l'aggiunta di rischi di attività che possono aumentare la gravità dell'attività potenzialmente rischiosa. Il punteggio di rischio degli avvisi determina l'assegnazione a livello di codice di un livello di gravità del rischio per ogni avviso e non può essere personalizzato. Se gli avvisi rimangono inatriati e le attività di rischio continuano ad accumularsi nell'avviso, il livello di gravità del rischio può aumentare. Gli analisti di rischio e gli investigatori possono usare la gravità del rischio di avviso per valutare gli avvisi in base ai criteri e agli standard di rischio dell'organizzazione.

I livelli di gravità del rischio di avviso sono:

• Gravità elevata: le attività e gli indicatori potenzialmente rischiosi per l'avviso rappresentano un rischio significativo. Le attività di rischio associate sono gravi, ripetitive e si basano fortemente su altri fattori di rischio significativi.
• Gravità media: le attività e gli indicatori potenzialmente rischiosi per l'avviso rappresentano un rischio moderato. Le corrispondenti attività di rischio sono moderate, frequenti e in certa misura correlate ad altri fattori di rischio.
• Bassa gravità: le attività e gli indicatori potenzialmente rischiosi per l'avviso rappresentano un rischio minore. Le attività di rischio associate sono minori, più poco frequenti e non si basano su altri fattori di rischio significativi.

Usare il pulsante Copilot per riepilogare un avviso

È possibile usare il pulsante Copilot per riepilogare rapidamente un avviso senza nemmeno aprire l'avviso. Quando si riepiloga un avviso con Microsoft Copilot in Purview, sul lato destro dello schermo viene visualizzato un riquadro Copilot con un riepilogo degli avvisi.

Il riepilogo dell'avviso include tutti i dettagli essenziali relativi all'avviso, ad esempio i criteri attivati, l'attività che ha generato l'avviso, l'evento di attivazione, l'utente coinvolto, la data di lavoro (se applicabile), eventuali attributi utente chiave e i principali fattori di rischio dell'utente. Copilot in Purview consolida le informazioni sull'utente da tutti gli avvisi e i criteri nell'ambito ed evidenzia i principali fattori di rischio dell'utente.

Usare il pulsante Copilot per riepilogare rapidamente ogni avviso nella coda Avvisi e assegnare priorità agli avvisi che richiedono ulteriori indagini. Per i falsi positivi, è possibile selezionare più avvisi e ignorarli in blocco selezionando Ignora avvisi.

Consiglio

È anche possibile usare la versione autonoma di Microsoft Copilot per la sicurezza per analizzare la gestione dei rischi Insider, la prevenzione della perdita dei dati (DLP) di Microsoft Purview e gli avvisi di Microsoft Defender XDR.

Filtrare gli avvisi, salvare una visualizzazione di un set di filtri, personalizzare le colonne o cercare avvisi

A seconda del numero e del tipo di criteri di gestione dei rischi Insider adottati nell'organizzazione, la revisione di una lunga coda di avvisi può rappresentare una sfida. Per tenere traccia degli avvisi, è possibile:

• Filtrare gli avvisi in base a vari attributi.
• Salvare una visualizzazione di un set di filtri da riutilizzare in un secondo momento.
• Visualizzare o nascondere le colonne.
• Search per un avviso.

Filtrare gli avvisi

1. Selezionare Aggiungi filtro.

2. Selezionare uno o più degli attributi seguenti:

   Attributo	Descrizione
   Attività che ha generato l'avviso	Visualizza la corrispondenza principale di attività e criteri potenzialmente rischiosi durante il periodo di valutazione dell'attività che ha portato alla generazione dell'avviso. Questo valore può essere aggiornato nel tempo.
   Motivo dell'avviso di licenziamento	Motivo della chiusura dell'avviso.
   Assegnata a	Amministratore a cui viene assegnato l'avviso per la valutazione (se assegnato).
   Criterio	Nome del criterio.
   Fattori di rischio	I fattori di rischio che consentono di determinare la rischiosa attività di un utente. I valori possibili sono Attività di esfiltrazione cumulativa, Attività che includono contenuto prioritario, Attività sequenza, Attività che includono domini non consentiti, Membro di un gruppo di utenti con priorità e Potenziale utente a impatto elevato.
   Gravità	Livello di gravità del rischio dell'utente. Le opzioni sono Elevato, Medio e Basso.
   Stato	Stato dell'avviso. Le opzioni sono Confermato, Ignorato, Da rivedere e Risolto.
   Ora rilevata (UTC)	Date di inizio e fine per la creazione dell'avviso. Il filtro cerca avvisi compresi tra le 00:00 UTC della data di inizio e le 00:00 UTC della data di fine.
   Evento di attivazione	Evento che ha portato l'utente nell'ambito dei criteri. L'evento di attivazione può cambiare nel tempo.

   Gli attributi selezionati vengono aggiunti alla barra dei filtri.

3. Selezionare un attributo nella barra del filtro e quindi selezionare un valore in base al quale filtrare. Ad esempio, selezionare l'attributo Ora rilevata (UTC), immettere o selezionare le date nei campi Data inizio e Data di fine e quindi selezionare Applica.

   Consiglio

   Se si vuole ricominciare da capo in qualsiasi punto, selezionare Reimposta tutto sulla barra dei filtri.

Salvare una visualizzazione di un set di filtri da riutilizzare in un secondo momento

1. Dopo aver applicato i filtri come descritto nella procedura precedente, selezionare Salva sopra la barra dei filtri, immettere un nome per il set di filtri e quindi selezionare Salva.

   Il set di filtri viene aggiunto come scheda sopra la barra dei filtri. Include un numero che mostra il numero di avvisi che soddisfano i criteri nel set di filtri.

   Nota

   È possibile salvare fino a cinque set di filtri. Se è necessario eliminare un set di filtri, selezionare il pulsante con i puntini di sospensione (tre punti) nell'angolo superiore destro della scheda e quindi selezionare Elimina.

2. Per riapplicare un set di filtri salvato, è sufficiente selezionare la scheda per il set di filtri.

Visualizzare o nascondere colonne

1. Sul lato destro della pagina selezionare Personalizza colonne.

2. Selezionare o deselezionare le caselle di controllo per le colonne da visualizzare o nascondere.

Le impostazioni della colonna vengono salvate nelle sessioni e nei browser.

Search per gli avvisi

Usare il controllo Search per cercare un nome dell'entità utente (UPN), un nome amministratore assegnato o un ID avviso.

Ignorare più avvisi (anteprima)

Può contribuire a risparmiare tempo di valutazione per gli analisti e gli investigatori per ignorare immediatamente più avvisi contemporaneamente. L'opzione Ignora avvisi della barra dei comandi consente di selezionare uno o più avvisi con lo stato Di verifica delle esigenze nel dashboard e di ignorare rapidamente questi avvisi come non dannosi in base alle esigenze nel processo di valutazione. È possibile selezionare fino a 400 avvisi da ignorare contemporaneamente.

Ignorare un avviso di rischio Insider

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
4. Nel dashboard Avvisi selezionare l'avviso (o gli avvisi) che ha lo stato Di verifica delle esigenze .
5. Nella barra dei comandi Avvisi selezionare Ignora avvisi.
6. Nel riquadro dei dettagli Ignora avvisi esaminare i dettagli dell'utente e dei criteri associati agli avvisi selezionati.
7. Selezionare Ignora avvisi per risolvere gli avvisi come non dannosi.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Avvisi .
4. Nel dashboard Avvisi selezionare l'avviso (o gli avvisi) che ha lo stato Di verifica delle esigenze .
5. Nella barra dei comandi Avvisi selezionare Ignora avvisi.
6. Nel riquadro dei dettagli Ignora avvisi esaminare i dettagli dell'utente e dei criteri associati agli avvisi selezionati.
7. Selezionare Ignora avvisi per risolvere gli avvisi come non dannosi.

Assegnare un avviso

Se si è un amministratore e si è membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Analyst o Insider Risk Management Investigators , è possibile assegnare la proprietà di un avviso a se stessi o a un utente di gestione dei rischi Insider con uno degli stessi ruoli. Dopo l'assegnazione di un avviso, è anche possibile riassegnare l'avviso a un utente con uno qualsiasi degli stessi ruoli. È possibile assegnare un avviso solo a un amministratore alla volta.

Nota

Se l'ambito dei criteri è di una o più unità amministrative, la proprietà di un avviso può essere assegnata solo agli utenti di gestione dei rischi Insider con le autorizzazioni del gruppo di ruoli appropriate e l'utente evidenziato nell'avviso deve essere incluso nell'ambito dell'unità di amministrazione. Ad esempio, se un ambito amministrativo si applica solo agli utenti in Germania, l'utente di gestione dei rischi Insider può visualizzare solo gli avvisi per gli utenti in Germania. Gli amministratori senza restrizioni possono visualizzare tutti gli avvisi per tutti gli utenti dell'organizzazione.

Dopo l'assegnazione di un amministratore, è possibile eseguire una ricerca per amministratore.

Nota

Gli amministratori contenuti in un gruppo di sicurezza Microsoft Entra non sono supportati per l'assegnazione degli avvisi. Gli amministratori devono essere assegnati direttamente a uno dei ruoli necessari.

Assegnare un avviso dal dashboard Avvisi

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
4. Nel dashboard Avvisi selezionare gli avvisi da assegnare.
5. Nella barra dei pulsanti sopra la coda degli avvisi selezionare Assegna.
6. Nel riquadro Assegna proprietario sul lato destro della schermata cercare un amministratore con le autorizzazioni appropriate e quindi selezionare la casella di controllo per tale amministratore.
7. Selezionare Assegna.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Avvisi .
4. Nel dashboard Avvisi selezionare gli avvisi da assegnare.
5. Nella barra dei pulsanti sopra la coda degli avvisi selezionare Assegna.
6. Nel riquadro Assegna proprietario sul lato destro della schermata cercare un amministratore con le autorizzazioni appropriate e quindi selezionare la casella di controllo per tale amministratore.
7. Selezionare Assegna.

Assegnare un avviso dalla pagina dettagli Avvisi

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
4. Selezionare un avviso.
5. Nel riquadro dei dettagli dell'avviso selezionare Assegna nell'angolo superiore destro della pagina.
6. Nell'elenco Contatti suggeriti selezionare l'amministratore appropriato.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Avvisi .
4. Selezionare un avviso.
5. Nel riquadro dei dettagli dell'avviso selezionare Assegna nell'angolo superiore destro della pagina.
6. Nell'elenco Contatti suggeriti selezionare l'amministratore appropriato.

Avvisi di valutazione

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
4. Nel dashboard Avvisi selezionare l'avviso da valutare.
5. Nella pagina Dettagli avviso è possibile esaminare le informazioni sull'avviso. È possibile confermare l'avviso e creare un nuovo caso, confermare l'avviso e aggiungerlo a un caso esistente oppure ignorare l'avviso. Questa pagina include anche lo stato corrente per l'avviso e il livello di gravità del rischio di avviso, elencato come Alto, Medio o Basso. Il livello di gravità può aumentare o diminuire nel tempo se l'avviso non viene valutato.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Avvisi .
4. Nel dashboard Avvisi selezionare l'avviso da valutare.
5. Nella pagina Dettagli avviso è possibile esaminare le informazioni sull'avviso. È possibile confermare l'avviso e creare un nuovo caso, confermare l'avviso e aggiungerlo a un caso esistente oppure ignorare l'avviso. Questa pagina include anche lo stato corrente per l'avviso e il livello di gravità del rischio di avviso, elencato come Alto, Medio o Basso. Il livello di gravità può aumentare o diminuire nel tempo se l'avviso non viene valutato.

Sezione Intestazione/Riepilogo

Questa sezione contiene informazioni generali sull'utente e l'avviso. Queste informazioni sono disponibili per il contesto durante la revisione delle informazioni dettagliate sull'attività di gestione dei rischi rilevata inclusa nell'avviso per l'utente:

• Attività che ha generato questo avviso: visualizza la corrispondenza tra attività e criteri potenzialmente rischiosi durante il periodo di valutazione dell'attività che ha portato alla generazione dell'avviso.
• Evento di attivazione: visualizza l'evento di attivazione più recente che ha richiesto ai criteri di iniziare ad assegnare punteggi di rischio all'attività dell'utente. Se è stata configurata l'integrazione con la conformità delle comunicazioni per le perdite di dati da parte di utenti a rischio o violazioni dei criteri di sicurezza da parte di criteri degli utenti a rischio , l'evento di attivazione per questi avvisi è limitato all'attività di conformità delle comunicazioni.
• Dettagli utente: visualizza informazioni generali sull'utente assegnato all'avviso. Se l'anonimizzazione è abilitata, i campi nome utente, indirizzo di posta elettronica, alias e organizzazione vengono resi anonimi.
• Cronologia avvisi utente: visualizza un elenco di avvisi per l'utente negli ultimi 30 giorni. Include un collegamento per visualizzare la cronologia degli avvisi completa per l'utente.

Nota

Quando un utente viene rilevato come utente a potenziale impatto elevato, queste informazioni vengono evidenziate nell'intestazione dell'avviso nella pagina Dettagli utente . I dettagli dell'utente includono anche un riepilogo con i motivi per cui l'utente è stato rilevato come tale. Per altre informazioni sull'impostazione degli indicatori dei criteri per potenziali utenti a impatto elevato, vedere Impostazioni di gestione dei rischi Insider.

Gli avvisi generati dai criteri con ambito solo per le attività che includono contenuto prioritario includono l'assegnazione del punteggio Solo attività con contenuto prioritario per questa notifica di avviso in questa sezione.

Consiglio

Per ottenere una rapida panoramica di un avviso, selezionare il pulsante Riepilogo nella pagina dei dettagli dell'avviso. Quando si seleziona il pulsante Riepilogo , sul lato destro della pagina viene visualizzato un riquadro Copilot con un riepilogo degli avvisi. Il riepilogo dell'avviso include tutti i dettagli essenziali relativi all'avviso, ad esempio i criteri attivati, l'attività che ha generato l'avviso, l'evento di attivazione, l'utente coinvolto, la data di lavoro (se applicabile), eventuali attributi utente chiave e i principali fattori di rischio dell'utente. Copilot in Purview consolida le informazioni sull'utente da tutti gli avvisi e i criteri nell'ambito ed evidenzia i principali fattori di rischio dell'utente. È anche possibile riepilogare l'avviso dalla coda Avvisi senza dover aprire l'avviso usando il pulsante Copilot. In alternativa, usare la versione autonoma di Microsoft Copilot per la sicurezza per analizzare la gestione dei rischi Insider, la prevenzione della perdita dei dati (DLP) di Microsoft Purview e gli avvisi di Microsoft Defender XDR.

Tutti i fattori di rischio

Questa scheda apre il riepilogo dei fattori di rischio per l'attività di avviso dell'utente. I fattori di rischio possono aiutare a determinare quanto sia rischiosa l'attività di gestione dei rischi di questo utente durante la revisione. I fattori di rischio includono riepiloghi per:

• Principali attività di esfiltrazione: visualizza le attività di esfiltrazione con il numero o gli eventi più alti per l'avviso.
• Attività di esfiltrazione cumulative: visualizza gli eventi associati alle attività di esfiltrazione cumulative.
• Sequenze di attività: visualizza le attività potenzialmente rischiose rilevate associate alle sequenze di rischio.
• Attività insolite per questo utente: visualizza attività specifiche per l'utente considerate potenzialmente rischiose, in quanto insolite e discostamento dalle attività tipiche.
• Contenuto prioritario: visualizza le attività potenzialmente rischiose associate al contenuto prioritario.
• Domini non consentiti: visualizza le attività potenzialmente rischiose per gli eventi associati a domini non consentiti.
• Accesso ai record di integrità: visualizza le attività potenzialmente rischiose per gli eventi associati all'accesso ai record di integrità.
• Utilizzo del browser rischioso: visualizza le attività potenzialmente rischiose per gli eventi associati all'esplorazione di siti Web potenzialmente inappropriati.

Con questi filtri vengono visualizzati solo gli avvisi con i fattori di rischio precedenti, ma l'attività che ha generato un avviso potrebbe non rientrare in nessuna di queste categorie. Ad esempio, un avviso contenente attività di sequenza potrebbe essere stato generato semplicemente perché l'utente ha copiato un file in un dispositivo USB.

Contenuto rilevato

La sezione della scheda Tutti i fattori di rischio include il contenuto associato alle attività di rischio per l'avviso e riepiloga gli eventi di attività in base alle aree chiave. Selezionando un collegamento attività si apre Esplora attività e vengono visualizzati altri dettagli sull'attività.

Esplora attività

Questa scheda apre Esplora attività. Per altre informazioni, vedere la sezione Esplora attività in questo articolo.

Attività utente

Il grafico attività utente è uno degli strumenti più potenti per l'analisi e l'analisi dei rischi interni per avvisi e casi nella soluzione di gestione dei rischi Insider. Questa scheda è strutturata per consentire la revisione rapida di tutte le attività per un utente, inclusa una sequenza temporale cronologica di tutti gli avvisi, i dettagli degli avvisi, il punteggio di rischio corrente per l'utente e la sequenza di eventi di rischio.

1. Azioni del caso: le opzioni per la risoluzione del caso si trovano sulla barra degli strumenti delle azioni case. Quando si visualizza un caso, è possibile risolvere un caso, inviare un avviso di posta elettronica all'utente o inoltrare il caso per un'indagine sui dati o sull'utente.

2. Cronologia delle attività di rischio: la cronologia completa di tutti gli avvisi di rischio associati al caso sono elencati, inclusi tutti i dettagli disponibili nella bolla di avviso corrispondente.

3. Filtri e ordinamento (anteprima):Filters and sorting (preview):

   • Categoria di rischio: filtrare le attività in base alle categorie di rischio seguenti: Attività con punteggi > di rischio 15 (a meno che non si presenti in una sequenza) e Attività sequenza.
   • Tipo di attività: filtrare le attività in base ai tipi seguenti: Accesso, Eliminazione, Raccolta, Esfiltrazione, Infiltrazione, Offuscamento e Sicurezza.
   • Ordina per: elencare la sequenza temporale delle attività potenzialmente rischiose in base alla data in cui si è verificato o al punteggio di rischio.

4. Filtri temporali: per impostazione predefinita, gli ultimi tre mesi di attività potenzialmente rischiose vengono visualizzati nel grafico attività Utente. È possibile filtrare facilmente la visualizzazione grafico selezionando le schede 6 Mesi, 3 Mesi o 1 Mese nel grafico a bolle.

5. Sequenza di rischio: l'ordine cronologico delle attività potenzialmente rischiose è un aspetto importante dell'analisi dei rischi e l'identificazione di queste attività correlate è una parte importante della valutazione del rischio complessivo per l'organizzazione. Le attività di avviso correlate vengono visualizzate con le linee di connessione per evidenziare che queste attività sono associate a un'area di rischio più ampia. Le sequenze vengono identificate anche in questa visualizzazione da un'icona posizionata sopra le attività della sequenza rispetto al punteggio di rischio per la sequenza. Passare il mouse sull'icona per visualizzare la data e l'ora dell'attività rischiosa associata a questa sequenza. Questa visione delle attività può aiutare gli investigatori letteralmente "collegare i puntini" per le attività di rischio che avrebbero potuto essere viste come eventi isolati o una tantum. Selezionare l'icona o qualsiasi bolla nella sequenza per visualizzare i dettagli per tutte le attività di rischio associate. I dettagli includono:

   • Nome della sequenza.
   • Intervallo di date o date della sequenza.
   • Punteggio di rischio per la sequenza. Questo punteggio è il punteggio numerico per la sequenza dei livelli di gravità del rischio di avviso combinati per ogni attività correlata nella sequenza.
   • Numero di eventi associati a ogni avviso nella sequenza. Sono disponibili anche collegamenti a ogni file o messaggio di posta elettronica associato a ogni attività potenzialmente rischiosa.
   • Mostra le attività in sequenza. Visualizza la sequenza come linea di evidenziazione nel grafico a bolle ed espande i dettagli dell'avviso per visualizzare tutti gli avvisi correlati nella sequenza.

6. Attività e dettagli degli avvisi di rischio: le attività potenzialmente rischiose vengono visualizzate visivamente come bolle colorate nel grafico attività utente. Le bolle vengono create per diverse categorie di rischio. Selezionare una bolla per visualizzare i dettagli per ogni attività potenzialmente rischiosa. I dettagli includono:

   • Data dell'attività del rischio.
   • Categoria di attività di rischio. Ad esempio, Email con allegati inviati all'esterno dell'organizzazione o file scaricati da SharePoint Online.
   • Punteggio del rischio per l'avviso. Questo corrisponde al punteggio numerico per il livello di gravità del rischio di avviso.
   • Numero di eventi associati all'avviso. Sono disponibili anche collegamenti a ogni file o messaggio di posta elettronica associato all'attività di rischio.

7. Attività di esfiltrazione cumulative: selezionare questo pulsante per visualizzare un grafico visivo del modo in cui l'attività si sta compilando nel tempo per l'utente.

8. Legenda dell'attività di rischio: nella parte inferiore del grafico attività utente, una legenda con codifica a colori consente di determinare rapidamente la categoria di rischio per ogni avviso.

Esplora attività

Nota

Esplora attività è disponibile nell'area di gestione degli avvisi per gli utenti con eventi di attivazione dopo che questa funzionalità è disponibile nell'organizzazione.

Esplora attività fornisce agli investigatori e agli analisti di rischio uno strumento di analisi completo che fornisce informazioni dettagliate sugli avvisi. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale delle attività potenzialmente rischiose rilevate e identificare e filtrare tutte le attività di rischio associate agli avvisi.

Usare Esplora attività

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
4. Nel dashboard Avvisi selezionare l'avviso da valutare.
5. Nel riquadro dettagli Avvisi selezionare Apri visualizzazione espansa.
6. Nella pagina dell'avviso selezionato selezionare la scheda Esplora attività .

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Avvisi .
4. Nel dashboard Avvisi selezionare l'avviso da valutare.
5. Nel riquadro dettagli Avvisi selezionare Apri visualizzazione espansa.
6. Nella pagina dell'avviso selezionato selezionare la scheda Esplora attività .

Quando si esaminano le attività in Esplora attività, gli investigatori e gli analisti possono selezionare un'attività specifica e aprire il riquadro dei dettagli dell'attività. Il riquadro visualizza informazioni dettagliate sull'attività che gli investigatori e gli analisti possono usare durante il processo di valutazione degli avvisi. Informazioni dettagliate possono fornire il contesto per l'avviso e facilitare l'identificazione dell'ambito completo dell'attività di rischio che ha attivato l'avviso.

Quando si selezionano gli eventi di un'attività dalla sequenza temporale dell'attività, il numero di attività visualizzate in Esplora risorse potrebbe non corrispondere al numero di eventi attività elencati nella sequenza temporale. Esempi del motivo per cui questa differenza può verificarsi:

• Rilevamento dell'esfiltrazione cumulativa: il rilevamento dell'esfiltrazione cumulativa analizza i log eventi, ma applica un modello che include la deduplicazione di attività simili al rischio di esfiltrazione cumulativa di calcolo. Inoltre, potrebbe esserci anche una differenza nel numero di attività potenzialmente rischiose visualizzate in Esplora attività se sono state apportate modifiche ai criteri o alle impostazioni esistenti. Ad esempio, se si modificano domini consentiti/non consentiti o si aggiungono esclusioni di nuovi tipi di file dopo la creazione di un criterio e si sono verificate corrispondenze di attività potenzialmente rischiose, le attività di rilevamento dell'esfiltrazione cumulativa saranno diverse dai risultati prima che i criteri o le impostazioni vengano modificati. I totali delle attività di rilevamento dell'esfiltrazione cumulativa si basano sulla configurazione dei criteri e delle impostazioni al momento del calcolo e non includono attività precedenti alle modifiche dei criteri e delle impostazioni.
• Messaggi di posta elettronica a destinatari esterni: alle attività potenzialmente rischiose per i messaggi di posta elettronica inviati a destinatari esterni viene assegnato un punteggio di rischio in base al numero di messaggi di posta elettronica inviati, che potrebbero non corrispondere ai log eventi dell'attività.

Sequenze che contengono eventi esclusi dal punteggio di rischio

Una sequenza può contenere uno o più eventi esclusi dal punteggio di rischio in base alla configurazione delle impostazioni. Ad esempio, l'organizzazione potrebbe usare l'impostazione Rilevamenti intelligenti per escludere i file .png dall'assegnazione dei punteggi dei rischi perché .png file in genere non sono rischiosi. Ma un file .png potrebbe essere usato per offuscare un'attività dannosa. Per questo motivo, se un evento escluso dal punteggio di rischio fa parte di una sequenza a causa di un'attività di offuscamento, l'evento viene incluso nella sequenza perché può essere interessante nel contesto della sequenza.

Esplora attività visualizza le informazioni seguenti per gli eventi esclusi nelle sequenze:

• Se una sequenza contiene un passaggio in cui tutti gli eventi vengono esclusi, le informazioni dettagliate includono solo il nome e la data dell'attività. Selezionare il collegamento Visualizza gli eventi esclusi per filtrare gli eventi esclusi in Esplora attività. L'icona grafico a dispersione attività utente ha un punteggio di rischio pari a 0 se tutti gli eventi sono esclusi.
• Se una sequenza contiene informazioni dettagliate in cui alcuni eventi vengono esclusi, vengono visualizzate le informazioni sull'evento per gli eventi non esclusi, ma il conteggio degli eventi non include gli eventi esclusi. Selezionare il collegamento Visualizza gli eventi esclusi per filtrare gli eventi esclusi in Esplora attività.
• Se si seleziona un collegamento di sequenza per un'analisi dettagliata, è possibile eseguire il drill-down nella sequenza di eventi nel riquadro dei dettagli dell'attività, inclusi gli eventi esclusi dall'assegnazione dei punteggi. Un evento escluso dall'assegnazione dei punteggi è contrassegnato come Escluso.

Filtrare gli avvisi in Esplora attività

Per filtrare gli avvisi in Esplora attività per informazioni sulle colonne, selezionare Filtri. È possibile filtrare gli avvisi in base a uno o più attributi elencati nel riquadro dei dettagli per l'avviso. Esplora attività supporta anche colonne personalizzabili per consentire a investigatori e analisti di concentrare il dashboard sulle informazioni più importanti per loro.

Usare i filtri Ambito attività, Fattore di rischio e Verifica stato per visualizzare e ordinare le attività e le informazioni dettagliate per le aree seguenti.

• Ambito attività: filtra tutte le attività con punteggio per l'utente.

  • Tutte le attività con punteggio per questo utente
  • Solo l'attività con punteggio in questo avviso

• Fattore di rischio: filtri per l'attività del fattore di rischio applicabile a tutti i criteri che assegnano punteggi di rischio. Sono incluse tutte le attività per tutti i criteri per gli utenti nell'ambito.

  • Attività insolita
  • Include eventi con contenuto prioritario
  • Include eventi con un dominio non consentito
  • Attività di sequenza
  • Attività di esfiltrazione cumulativa
  • Attività di accesso ai record di integrità
  • Utilizzo del browser rischioso

• Stato revisione: filtra lo stato di revisione dell'attività.

  • Tutti
  • Non ancora esaminato (filtra qualsiasi attività che faceva parte di un avviso chiuso o risolto)

Salvare una visualizzazione di un filtro da riutilizzare in un secondo momento

Se si crea un filtro e si personalizzano le colonne per il filtro, è possibile salvare una visualizzazione delle modifiche in modo che l'utente o altri utenti possano filtrare rapidamente le stesse modifiche in un secondo momento. Quando si salva una visualizzazione, si salvano sia i filtri che le colonne. Quando si carica la vista, vengono caricati sia i filtri che le colonne salvati.

1. Create un filtro e personalizzare le colonne.

   Consiglio

   Se si vuole ricominciare da capo in qualsiasi punto, selezionare Reimposta. Per modificare le colonne personalizzate, selezionare Reimposta colonne.

2. Quando si dispone del filtro nel modo desiderato, selezionare Salva questa visualizzazione, immettere un nome per la visualizzazione e quindi selezionare Salva.

   Nota

   La lunghezza massima per un nome di visualizzazione è di 40 caratteri e non è possibile usare caratteri speciali.

3. Per riutilizzare la visualizzazione del filtro in un secondo momento, selezionare Visualizzazioni e quindi selezionare la visualizzazione da aprire nella scheda Visualizzazioni consigliate (mostra le visualizzazioni più usate) o nella scheda Visualizzazioni personalizzate (i filtri usati più di frequente vengono visualizzati nella parte superiore dell'elenco).

Quando si seleziona una vista in questo modo, vengono reimpostati tutti i filtri esistenti e sostituiti con la visualizzazione selezionata.

Create un caso per un avviso

È possibile creare un caso per un avviso se si vuole analizzare ulteriormente l'attività potenzialmente rischiosa.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Avvisi nel riquadro di spostamento a sinistra.
4. Nel dashboard Avvisi selezionare l'avviso per cui si vuole confermare e creare un nuovo caso.
5. Nel riquadro Dettagli avvisi selezionare Azioni>Conferma avvisi & creare un caso.
6. Nella finestra di dialogo Conferma avviso e crea caso di rischio Insider immettere un nome per il caso, selezionare gli utenti da aggiungere come collaboratori e aggiungere commenti in base alle esigenze. I commenti vengono aggiunti automaticamente al caso come nota del caso.
7. Selezionare Create caso per creare un nuovo caso.

Dopo aver creato il caso, gli investigatori e gli analisti possono gestire e agire sul caso. Per altre informazioni, vedere l'articolo relativo al caso di gestione dei rischi Insider .

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Avvisi .
4. Nel dashboard Avvisi selezionare l'avviso per cui si vuole confermare e creare un nuovo caso.
5. Nel riquadro Dettagli avvisi selezionare Azioni>Conferma avvisi & creare un caso.
6. Nella finestra di dialogo Conferma avviso e crea caso di rischio Insider immettere un nome per il caso, selezionare gli utenti da aggiungere come collaboratori e aggiungere commenti in base alle esigenze. I commenti vengono aggiunti automaticamente al caso come nota del caso.
7. Selezionare Create caso per creare un nuovo caso.

Dopo aver creato il caso, gli investigatori e gli analisti possono gestire e agire sul caso. Per altre informazioni, vedere l'articolo relativo al caso di gestione dei rischi Insider .

Limiti di conservazione e di elementi

Poiché la gestione dei rischi Insider segnala l'età, il loro valore per ridurre al minimo le attività potenzialmente rischiose diminuisce per la maggior parte delle organizzazioni. Al contrario, i casi attivi e gli artefatti associati (avvisi, informazioni dettagliate, attività) sono sempre utili per le organizzazioni e non devono avere una data di scadenza automatica. Sono inclusi tutti gli avvisi e gli artefatti futuri in uno stato attivo per qualsiasi utente associato a un caso attivo.

Per ridurre al minimo il numero di elementi meno recenti che forniscono un valore corrente limitato, la conservazione e i limiti seguenti si applicano agli avvisi, ai casi e ai report utente relativi alla gestione dei rischi Insider:

Elemento	Conservazione/limite
Avvisi con stato di verifica delle esigenze	120 giorni dalla creazione dell'avviso, quindi eliminati automaticamente
Casi attivi (e artefatti associati)	Conservazione a tempo indeterminato, non scade mai
Casi risolti (e artefatti associati)	120 giorni dalla risoluzione dei casi, quindi eliminati automaticamente
Numero massimo di casi attivi	100
Report attività utente	120 giorni dalla creazione del report, quindi eliminati automaticamente

Ottenere assistenza per la gestione della coda degli avvisi di rischio Insider

La revisione, l'analisi e l'azione su avvisi Insider potenzialmente rischiosi sono parti importanti per ridurre al minimo i rischi insider nell'organizzazione. Un'azione rapida per ridurre al minimo l'impatto di questi rischi può potenzialmente risparmiare tempo, denaro e ramificazioni normative o legali per l'organizzazione. In questo processo di correzione, il primo passaggio della revisione degli avvisi può sembrare l'attività più difficile per molti analisti e investigatori. A seconda delle circostanze, è possibile che si verifichino alcuni piccoli ostacoli quando si agiscono su avvisi insider potenzialmente rischiosi. Esaminare le raccomandazioni seguenti e informazioni su come ottimizzare il processo di revisione degli avvisi.

Troppi avvisi da esaminare

Se si ricevono troppi avvisi:

• Aggiornare le impostazioni. Le modifiche apportate alle impostazioni si applicano a livello globale a tutti i criteri.

  • Abilitare altri indicatori. La selezione di altri indicatori offre ai criteri un gruppo più ampio di attività da rilevare.

    Passare a Impostazioni>Indicatori dei criteri e quindi abilitare tutti gli indicatori disponibili e pertinenti.

  • Generare altri avvisi modificando il dispositivo di scorrimento Volume avvisi . Usare questo dispositivo di scorrimento per visualizzare tutti gli avvisi di gravità media e alta e la maggior parte degli avvisi di gravità bassa. Nota: la regolazione del dispositivo di scorrimento può comportare più falsi positivi.

    Passare a Impostazioni>Rilevamenti intelligentiVolume avvisi> e spostare il dispositivo di scorrimento su Altri avvisi.

• Identificare i criteri che non generano avvisi sufficienti:

  • Aumentare la copertura utente nei criteri. I criteri con pochi utenti inclusi nell'ambito hanno meno probabilità di generare avvisi. Se applicabile, valutare la possibilità di aumentare il numero di utenti nell'ambito dei criteri.

    Selezionare un criterio specifico nella pagina Criteri , selezionare Modifica criterio e quindi passare alla pagina Utenti e gruppi per aumentare il numero di utenti nell'ambito.

  • Abbassare le soglie del trigger nei criteri. I criteri basati sui modelli Perdita di dati e Utilizzo browser rischioso (anteprima) consentono di personalizzare alcune soglie di trigger. Queste soglie definiscono quando si inizierà a rilevare le attività degli utenti. Se si abbassano le soglie di attivazione, si riducono i criteri per l'avvio della valutazione dell'attività rischiosa da parte di un utente. Nota: se un utente non viene visualizzato nella pagina Utenti e gruppi , significa che l'attivazione dei criteri di evento non è ancora stata soddisfatta.

    Passare al criterio specifico nella pagina Criteri , selezionare Modifica criterio, passare alla pagina Soglie trigger, selezionare l'opzione Usa soglie personalizzate e quindi impostare le soglie.

  • Modificare gli indicatori nei criteri. Gli indicatori sono le attività che un utente deve eseguire per essere considerate rischiose. Se non sono presenti molti indicatori (attività considerate rischiose) selezionati nei criteri, è meno probabile che vengano generati avvisi.

    Passare ai criteri specifici nella pagina Criteri , selezionare Modifica criterio e quindi passare alla pagina Indicatori .

  • Soglie degli indicatori inferiori nei criteri. Dopo che gli utenti iniziano a essere valutati (hanno un evento di attivazione), verrà generato un avviso per tali utenti solo se eseguono attività superiori a una determinata soglia che potrebbero indicare che la loro attività è rischiosa. L'abbassamento delle soglie dell'indicatore riduce la soglia che gli utenti devono superare per generare un avviso.

    Passare al criterio specifico nella pagina Criteri , selezionare Modifica criterio, passare alla pagina Soglie indicatore , selezionare l'opzione Personalizza soglie e quindi impostare le soglie.

Troppi avvisi da esaminare

Se si ricevono troppi avvisi validi o se sono presenti troppi avvisi a basso rischio non aggiornati, è consigliabile eseguire le azioni seguenti:

• Abilitare l'analisi: l'abilitazione dell'analisi consente di identificare rapidamente le potenziali aree di rischio per gli utenti e di determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che si potrebbe voler configurare. Per altre informazioni sulle informazioni dettagliate sull'analisi, vedere Impostazioni di gestione dei rischi Insider: Analisi. È anche possibile ottenere informazioni dettagliate in tempo reale dall'analisi se si vuole sfruttare un'esperienza guidata di configurazione delle soglie (basata sui dati) per configurare le soglie appropriate quando si crea un nuovo criterio o ne si ottimizza uno esistente. Queste informazioni dettagliate consentono di modificare in modo efficiente la selezione degli indicatori e delle soglie di occorrenza dell'attività in modo da non ricevere troppi o pochi avvisi dei criteri. Per altre informazioni, vedere Usare l'analisi in tempo reale per gestire il volume degli avvisi.

• Modificare i criteri di rischio Insider: selezionare e configurare i criteri di rischio Insider corretti è il metodo più semplice per gestire il tipo e il volume degli avvisi. A partire dal modello di criteri appropriato, è possibile concentrare i tipi di attività di rischio e gli avvisi visualizzati. Altri fattori che possono influire sul volume degli avvisi sono le dimensioni dell'utente e dei gruppi nell'ambito e il contenuto e i canali con priorità. Valutare la possibilità di modificare i criteri per perfezionare queste aree in base a ciò che è più importante per l'organizzazione.

• Modificare le impostazioni di rischio Insider: le impostazioni di rischio Insider includono un'ampia gamma di opzioni di configurazione che possono influire sul volume e sui tipi di avvisi ricevuti. Assicurarsi di esaminare e comprendere le impostazioni seguenti per filtrare il rumore degli avvisi:

  • Indicatori dei criteri e soglie degli indicatori
  • Rilevamenti intelligenti
  • Gruppi di rilevamento
  • Varianti di indicatori predefiniti
  • Timeframe dei criteri

• Abilitare la personalizzazione degli avvisi inline: l'abilitazione della personalizzazione degli avvisi inline consente agli analisti e agli investigatori di modificare rapidamente i criteri durante la revisione degli avvisi. Possono aggiornare le soglie per il rilevamento delle attività con consigli Microsoft, configurare soglie personalizzate o scegliere di ignorare il tipo di attività che ha creato l'avviso. Se questa opzione non è abilitata, solo gli utenti assegnati al gruppo di ruoli Gestione rischi Insider possono usare la personalizzazione degli avvisi inline.

• Eliminazione in blocco degli avvisi, se applicabile: può contribuire a risparmiare tempo di valutazione per gli analisti e gli investigatori per ignorare immediatamente più avvisi contemporaneamente. È possibile selezionare fino a 400 avvisi da ignorare contemporaneamente.

Non si ha familiarità con il processo di valutazione degli avvisi

L'analisi e l'azione sugli avvisi nella gestione dei rischi Insider sono semplici:

1. Esaminare il dashboard avvisi per gli avvisi con stato Revisione delle esigenze. Filtrare in base allo stato dell'avviso se necessario per individuare questi tipi di avvisi.
2. Iniziare con gli avvisi con la gravità più alta. Filtrare in base alla gravità dell'avviso se necessario per individuare questi tipi di avvisi.
3. Selezionare un avviso per individuare altre informazioni e per esaminare i dettagli dell'avviso. Se necessario, usare Esplora attività per esaminare una sequenza temporale del comportamento potenzialmente rischioso associato e per identificare tutte le attività di rischio per l'avviso.
4. Agire in base all'avviso. È possibile confermare e creare un caso per l'avviso oppure ignorare e risolvere l'avviso.

Vincoli di risorse nell'organizzazione

Gli utenti moderni dell'ambiente di lavoro spesso hanno un'ampia gamma di responsabilità e richieste per il loro tempo. È possibile eseguire diverse azioni per risolvere i vincoli di risorse:

• Focus analyst and investigator efforts on the highest risk alerts first.Focus analyst and investigator efforts on the highest risk alerts first.Focus analyst and investigator efforts on the highest risk alerts first. A seconda dei criteri, è possibile acquisire le attività degli utenti e generare avvisi con vari gradi di potenziale impatto sulle attività di mitigazione dei rischi. Filtrare gli avvisi in base alla gravità e assegnare priorità agli avvisi con gravità elevata .
• Assegnare gli utenti come analisti e investigatori. L'assegnazione dell'utente corretto ai ruoli appropriati è una parte importante del processo di revisione degli avvisi di rischio Insider. Assicurarsi di aver assegnato gli utenti appropriati ai gruppi di ruoli Insider Risk Management Analyst e Insider Risk Management Investigators .
• Usare le funzionalità di rischio Insider automatizzate per individuare le attività a rischio più elevato.
  • Usare il rilevamento della sequenza di gestione dei rischi Insider e il rilevamento cumulativo dell'esfiltrazione per individuare rapidamente più facilmente i rischi nell'organizzazione.
  • Valutare la possibilità di ottimizzare i ripetitori del punteggio di rischio e usare rilevamenti intelligenti, gruppi di rilevamento e varianti.
  • Ottimizzare le impostazioni di soglia minima dell'indicatore per i criteri.