Esaminare le attività con il log di controllo della gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Il log di controllo della gestione dei rischi Insider consente di rimanere informati sulle azioni eseguite sulle funzionalità di gestione dei rischi Insider. Questo log consente di esaminare in modo indipendente le azioni eseguite dagli utenti assegnati a uno o più gruppi di ruoli di gestione dei rischi Insider. Il log di controllo della gestione dei rischi Insider viene abilitato automaticamente nell'organizzazione e non può essere disabilitato.

Il log di controllo viene aggiornato automaticamente e immediatamente ogni volta che vengono rilevate attività di rischio identificate. Il log di controllo conserva le informazioni per 180 giorni (circa sei mesi). Dopo 180 giorni, i dati vengono eliminati definitivamente dal log.

Le aree nel rilevamento delle attività di rischio identificate includono:

• Criteri
• Casi
• Avvisi
• Impostazioni
• Utenti
• Modelli di avviso

Per visualizzare ed esportare i dati dal log di controllo, gli utenti devono essere assegnati ai gruppi di ruoli Insider Risk Management o Insider Risk Management Auditors . Per altre informazioni sui gruppi di ruoli di gestione dei rischi Insider, vedere Introduzione alla gestione dei rischi Insider Passaggio 1: Abilitazione delle autorizzazioni.

Nota

Il log di controllo della gestione dei rischi Insider non è associato al log di controllo di Microsoft 365, in quanto sono sistemi di controllo indipendenti e acquisiscono informazioni su aree separate. La disabilitazione del controllo di Microsoft 365 non influisce sul controllo delle attività all'interno della gestione dei rischi Insider.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Visualizzare l'attività nel log di controllo dei rischi Insider

Per visualizzare l'attività di funzionalità rilevata per la gestione dei rischi Insider, passare a e selezionare il collegamento log di controllo dei rischi Insider nell'area in alto a destra di qualsiasi scheda di gestione dei rischi Insider. Per impostazione predefinita, verranno visualizzate le informazioni seguenti per le attività di gestione dei rischi Insider:

• Attività: Descrizione dell'attività di rischio identificata eseguita all'interno della soluzione di gestione dei rischi Insider da un utente.
• Categoria: Area o elemento in cui è stata eseguita l'attività di rischio identificata. Ad esempio, i criteri verranno visualizzati come categoria quando sono state eseguite le attività di modifica dei criteri.
• Attività eseguita da: Nome utente dell'utente che ha eseguito l'attività di rischio identificata.
• Data: Data e ora in cui è stata eseguita l'attività di rischio identificata. La data e l'ora sono la data e l'ora locali per l'organizzazione.

Per altre informazioni su un'attività registrata, selezionare l'attività per visualizzare il riquadro dei dettagli dell'attività. Questo riquadro include informazioni aggiuntive sull'attività di rischio identificata.

Colonne e filtri

Per semplificare la revisione dei log di controllo da parte dei revisori, è supportato il filtro nel log di controllo dei rischi Insider. Per i filtri di base, le colonne della coda sono disponibili per l'aggiunta alla visualizzazione per fornire pivot diversi su file e messaggi. È possibile filtrare le attività di rischio identificate in base alla categoria, all'intervallo di date e all'attività eseguita dai campi .

Per aggiungere o rimuovere intestazioni di colonna per la coda, usare il controllo Personalizza colonne e selezionare le opzioni della colonna. Queste colonne sono mappate alle condizioni comuni supportate nel log di controllo dei rischi Insider e sono elencate più avanti in questo articolo.

Esportazione del log di controllo

Gli utenti assegnati ai gruppi di ruoli Insider Risk Management o Insider Risk Management Auditors possono esportare l'attività del log di controllo in un file .csv (valori delimitati da virgole) selezionando Esporta nella pagina Del log di controllo dei rischi Insider . A seconda dell'attività del log di controllo, alcuni campi potrebbero non essere inclusi nella coda filtrata e pertanto questi campi verranno visualizzati come vuoti nel file esportato.

Il file contiene informazioni sull'attività del log di controllo per i campi seguenti:

• Attività eseguita da: Nome dell'utente che modifica un valore di elemento. Gli utenti elencati qui sono stati assegnati a uno o più dei seguenti gruppi di ruoli di gestione dei rischi Insider: Insider Risk Management, Insider Risk Management Admins, Insider Risk Management Analyst, Insider Risk Management Investigators. Ogni gruppo di ruoli ha livelli di autorizzazione diversi per la gestione delle funzionalità di rischio Insider.
• Attività: Tipo di attività eseguita su un elemento. I valori vengono visualizzati, eliminati, aggiunti, modificati, case, utente, avviso e impostazioni.
• Aggiunta: oggetti aggiunti durante l'attività di rischio identificata, ad esempio utenti, tipi di file o domini.
• Volume degli avvisi: livello di volume degli avvisi definito nelle impostazioni di gestione dei rischi Insider.
• Importo: gli importi dell'indicatore personalizzato attualmente selezionati per un criterio.
• ID asset: ID asset dell'asset fisico prioritario su cui è stata eseguita l'attività.
• Categoria: Categoria dell'elemento modificato. I valori sono Criteri, Case, Utenti, Avvisi, Impostazioni e Modelli di avviso.
• Data: Data e ora, elencate nella data e nell'ora locali dell'organizzazione.
• Descrizione: input della descrizione da parte dell'utente per l'oggetto su cui viene agito ,ad esempio un criterio o un gruppo di utenti con priorità.
• Criteri DLP: i criteri di Prevenzione della perdita dei dati Microsoft Purview (DLP) selezionati per attivare l'inclusione in un criterio di gestione dei rischi Insider.
• Indicatore: indicatore nelle impostazioni di rischio insider in cui è stata eseguita l'attività (ad esempio l'aggiunta o la rimozione di un indicatore).
• Modello di avviso: si noti che l'attività di rischio identificata è stata eseguita in .
• Numero di giorni: finestra di attivazione dei criteri definita nelle impostazioni di rischio Insider.
• Numero di file: limite del volume di file definito nelle impostazioni di gestione dei rischi Insider.
• Modello di criteri: modello di criteri a cui appartengono gli indicatori attivati.
• Importo precedente: importi degli indicatori personalizzati selezionati in precedenza per un criterio.
• Gruppo di utenti con priorità: gruppo di utenti con priorità in cui è stata eseguita l'attività di rischio identificata.
• Rimosso: oggetti rimossi durante l'attività di rischio identificata, ad esempio utenti, tipi di file o domini.
• Mittente: campo mittente del modello di avviso in cui è stata eseguita l'attività di rischio identificata.
• Criteri di destinazione: il criterio su cui è stata eseguita l'attività di rischio identificata, ad esempio l'aggiunta o la rimozione di un utente.
• Corpo del messaggio modello: corpo del messaggio del modello di avviso su cui è stata eseguita l'attività di rischio identificata.
• Oggetto modello: campo oggetto del modello di avviso in cui è stata eseguita l'attività di rischio identificata.
• Utente: Utente su cui è stata eseguita l'attività di rischio identificata.