Intervenire sui casi di gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

I casi sono il cuore della gestione dei rischi Insider e consentono di analizzare e agire in modo approfondito sui problemi generati dagli indicatori di rischio definiti nei criteri. I casi vengono creati manualmente dagli avvisi in situazioni in cui è necessaria un'ulteriore azione per risolvere un problema correlato alla conformità per un utente. Ogni caso ha l'ambito di un singolo utente e più avvisi per l'utente possono essere aggiunti a un caso esistente o a un nuovo caso.

Dopo aver esaminato i dettagli di un caso, è possibile intervenire:

• Invio di un avviso all'utente
• Risoluzione del caso come non dannoso
• Condivisione del caso con l'istanza di ServiceNow o con un destinatario di posta elettronica
• Escalation del caso per un'indagine di eDiscovery (Premium)

Vedere il video Insider Risk Management Investigation and Escalation per una panoramica delle modalità di analisi e gestione dei casi nella gestione dei rischi Insider.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Dashboard case

Il dashboard Dei casi di gestione dei rischi Insider consente di visualizzare e agire sui casi. Ogni widget del report nel dashboard visualizza informazioni per gli ultimi 30 giorni.

• Casi attivi: numero totale di casi attivi in esame.
• Case negli ultimi 30 giorni: numero totale di casi creati, ordinati in base allo stato Attivo e Chiuso .
• Statistiche: tempo medio dei casi attivi, elencati in ore, giorni o mesi.

La coda dei casi elenca tutti i casi attivi e chiusi per l'organizzazione, oltre allo stato corrente degli attributi del caso seguenti:

• ID caso: ID del caso.
• Nome del caso: nome del caso, definito quando viene confermato un avviso e viene creato il caso.
• Stato: stato del caso, attivo o chiuso.
• Utente: l'utente per il caso. Se l'anonimizzazione per i nomi utente è abilitata, vengono visualizzate informazioni anonime.
• Caso di ora aperto: ora passata dall'apertura del caso.
• Avvisi totali dei criteri: numero di corrispondenze di criteri incluse nel caso. Questo numero può aumentare se vengono aggiunti nuovi avvisi al caso.
• Ultimo aggiornamento del caso: il tempo trascorso da quando è stata aggiunta una nota o una modifica del caso nello stato del caso.
• Ultimo aggiornamento di: nome dell'analista o dell'investigatore di gestione dei rischi Insider che ha aggiornato il caso.

Nota

Se l'ambito dei criteri è limitato a una o più unità amministrative, la proprietà di un caso può essere assegnata solo agli utenti di gestione dei rischi Insider con le autorizzazioni appropriate per il gruppo di ruoli e l'utente evidenziato nell'avviso deve essere incluso nell'ambito dell'unità di amministrazione. Ad esempio, se un ambito amministrativo si applica solo agli utenti in Germania, l'utente di gestione dei rischi Insider può visualizzare solo gli avvisi per gli utenti in Germania. Gli amministratori senza restrizioni possono visualizzare tutti i casi per tutti gli utenti dell'organizzazione.

Usare il controllo Search per cercare un ID case o per cercare testo specifico nei nomi di maiuscole e minuscole. Usare il filtro case per ordinare i case in base agli attributi seguenti:

• Stato
• Orario apertura del caso, data di inizio e data di fine
• Ultimo aggiornamento, data di inizio e data di fine

Assegnare un caso

Se si è un amministratore con le autorizzazioni appropriate, è possibile assegnare la proprietà di un caso a se stessi o a un utente di gestione dei rischi Insider con il ruolo Insider Risk Management, Insider Risk Management Analyst o Insider Risk Management Investigator. Dopo l'assegnazione di un caso, è anche possibile riassegnarlo a un utente con uno qualsiasi degli stessi ruoli. È possibile assegnare un caso solo a un amministratore alla volta.

Se un amministratore viene assegnato a un caso, è possibile filtrare in base all'amministratore.

Assegnare un caso dal dashboard Case

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Nel dashboard Case selezionare i casi da assegnare.
5. Nella barra dei pulsanti sopra la coda dei case selezionare Assegna.
6. Nel riquadro Assegna proprietario sul lato destro della schermata cercare un amministratore con le autorizzazioni appropriate e quindi selezionare la casella di controllo per tale amministratore.
7. Selezionare Assegna.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Nel dashboard Case selezionare i casi da assegnare.
5. Nella barra dei pulsanti sopra la coda dei case selezionare Assegna.
6. Nel riquadro Assegna proprietario sul lato destro della schermata cercare un amministratore con le autorizzazioni appropriate e quindi selezionare la casella di controllo per tale amministratore.
7. Selezionare Assegna.

Assegnare un caso dalla pagina dei dettagli Case

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Selezionare un caso.
5. Nel riquadro dei dettagli per il caso, a sinistra del pulsante Risolvi un caso selezionare Assegna.
6. Nell'elenco Contatti suggeriti selezionare l'amministratore appropriato.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Selezionare un caso.
5. Nel riquadro dei dettagli per il caso, a sinistra del pulsante Risolvi un caso selezionare Assegna.
6. Nell'elenco Contatti suggeriti selezionare l'amministratore appropriato.

Casi di filtro

A seconda del numero e del tipo di criteri di gestione dei rischi Insider attivi nell'organizzazione, la revisione di una coda di casi di grandi dimensioni può essere complessa. L'uso dei filtri dei casi può aiutare gli analisti e gli investigatori a ordinare i casi in base a diversi attributi. Per filtrare gli avvisi nel dashboard Case, selezionare il controllo Filtro . È possibile filtrare i case in base a uno o più attributi:

• Stato: selezionare uno o più valori di stato per filtrare l'elenco di maiuscole e minuscole. Le opzioni sono Attivo e Chiuso.
• Maiuscole/minuscole aperte: selezionare le date di inizio e fine per quando è stato aperto il caso.
• Ultimo aggiornamento: selezionare le date di inizio e fine per quando il caso è stato aggiornato.

Filtrare i casi, salvare una visualizzazione di un set di filtri, personalizzare le colonne o cercare avvisi

A seconda del numero e del tipo di criteri di gestione dei rischi Insider attivi nell'organizzazione, la revisione di una coda di casi di grandi dimensioni può essere complessa. Per tenere traccia dei casi, è possibile:

• Filtrare i case in base a diversi attributi.
• Salvare una visualizzazione di un set di filtri da riutilizzare in un secondo momento.
• Visualizzare o nascondere le colonne.
• Search per un avviso.

Casi di filtro

1. Selezionare Aggiungi filtro.

2. Selezionare uno o più degli attributi seguenti:

   Attributo	Descrizione
   Assegnata a	Amministratore a cui viene assegnato l'avviso per la valutazione (se assegnato).
   Ultimo aggiornamento del caso	Date di inizio e fine dell'ultimo aggiornamento del caso.
   Stato	Stato corrente del caso. Le opzioni sono Attivo e Chiuso.
   Maiuscole/minuscole aperte	Date di inizio e fine per l'apertura del caso.

   Gli attributi selezionati vengono aggiunti alla barra dei filtri.

3. Selezionare un attributo nella barra del filtro e quindi selezionare un valore in base al quale filtrare. Ad esempio, selezionare l'attributo Data ultima attività , immettere o selezionare le date nei campi Data inizio e Data di fine e quindi selezionare Applica.

   Consiglio

   Se si vuole ricominciare da capo in qualsiasi punto, selezionare Reimposta tutto sulla barra dei filtri.

Salvare una visualizzazione di un set di filtri da riutilizzare in un secondo momento

1. Dopo aver applicato i filtri come descritto nella procedura precedente, selezionare Salva sopra la barra dei filtri, immettere un nome per il set di filtri e quindi selezionare Salva.

   Il set di filtri viene aggiunto come scheda sopra la barra dei filtri. Include un numero che mostra il numero di case che soddisfano i criteri nel set di filtri.

   Nota

   È possibile salvare fino a cinque set di filtri. Se è necessario eliminare un set di filtri, selezionare il pulsante con i puntini di sospensione (tre punti) nell'angolo superiore destro della scheda e quindi selezionare Elimina.

2. Per riapplicare un set di filtri salvato, è sufficiente selezionare la scheda per il set di filtri.

Visualizzare o nascondere colonne

1. Sul lato destro della pagina selezionare Personalizza colonne.

2. Selezionare o deselezionare le caselle di controllo per le colonne da visualizzare o nascondere.

Le impostazioni della colonna vengono salvate nelle sessioni e nei browser.

Search per gli avvisi

Usare il controllo Search per cercare un nome dell'entità utente (UPN), un nome amministratore assegnato o un ID avviso.

Analizzare un caso

Un'analisi più approfondita degli avvisi di gestione dei rischi Insider è fondamentale per intraprendere azioni correttive appropriate. I casi di gestione dei rischi Insider sono lo strumento di gestione centrale per approfondire la cronologia delle attività di rischio degli utenti, i dettagli degli avvisi, la sequenza di eventi di rischio e per esplorare il contenuto e i messaggi esposti ai rischi. Gli analisti di rischio e gli investigatori usano anche i casi per centralizzare il feedback e le note di revisione e per elaborare la risoluzione dei casi.

La selezione di un caso ne apre gli strumenti di gestione e consente ad analisti e investigatori di approfondirne i dettagli.

Informazioni generali sul caso

La scheda Panoramica del caso riepiloga i dettagli del caso per gli analisti di rischio e gli investigatori. Include le informazioni seguenti nell'area Informazioni su questo caso

• ID caso: ID del caso.
• Stato: stato corrente del caso, attivo o chiuso.
• Case created on: data e ora di creazione del case.
• Punteggio di rischio dell'utente: livello di rischio calcolato corrente dell'utente per il caso. Questo punteggio viene calcolato ogni 24 ore e usa i punteggi di rischio degli avvisi di tutti gli avvisi attivi associati all'utente. Quando l'utente viene rilevato come un potenziale utente a impatto elevato o l'utente è membro di un aumento del rischio del gruppo di utenti prioritario è abilitato come ripetitori del punteggio di rischio nella sezione Indicatori di criteri della pagina Impostazioni di gestione dei rischi Insider , la pagina Dettagli utente include informazioni dettagliate sul livello di rischio calcolato dell'utente.
• Email: alias di posta elettronica dell'utente per il caso.
• Organizzazione o reparto: l'organizzazione o il reparto a cui l'utente è assegnato.
• Nome del manager: nome del responsabile dell'utente.
• Messaggio di posta elettronica del manager: alias di posta elettronica del responsabile dell'utente.

La scheda Panoramica del caso include anche una sezione Avvisi che include le informazioni seguenti sugli avvisi di corrispondenza dei criteri associati al caso:

• Corrispondenze dei criteri: nome dei criteri di gestione dei rischi Insider associati agli avvisi di corrispondenza per attività utente potenzialmente rischiose che possono causare un evento imprevisto di sicurezza.
• Stato: stato dell'avviso.
• Gravità: gravità dell'avviso.
• Tempo rilevato: tempo trascorso dopo la generazione dell'avviso.

Avvisi

La scheda Avvisi riepiloga gli avvisi correnti inclusi nel caso. I nuovi avvisi possono essere aggiunti a un caso esistente e verranno aggiunti alla coda degli avvisi man mano che vengono assegnati. Nella coda sono elencati gli attributi di avviso seguenti:

• Avviso
• ID avviso
• Stato
• Gravità
• Tempo rilevato

Selezionare un avviso dalla coda per visualizzare la pagina Dettagli avviso .

Usare il controllo di ricerca per cercare un ID avviso o per cercare testo specifico nei nomi degli avvisi. Usare il filtro degli avvisi per ordinare i casi in base agli attributi seguenti:

• Stato
• Gravità
• Orario rilevamento, data di inizio e data di fine

Usare il controllo filtro per filtrare gli avvisi in base a diversi attributi, tra cui:

• Stato: selezionare uno o più valori di stato per filtrare l'elenco di avvisi. Le opzioni sono Confermato, Ignorato, Da rivedere e Risolto.
• Gravità: selezionare uno o più livelli di gravità del rischio di avviso per filtrare l'elenco di avvisi. Le opzioni sono Elevato, Medio e Basso.
• Ora rilevata: selezionare le date di inizio e fine per la creazione dell'avviso.
• Criterio: selezionare uno o più criteri per filtrare gli avvisi generati dai criteri selezionati.

Attività utente

La scheda Attività utente consente agli analisti di rischio e agli investigatori di esaminare i dettagli delle attività degli utenti e usare una rappresentazione visiva di tutte le attività potenzialmente rischiose associate ad avvisi e casi di rischio per determinare se tali attività rischiose possono causare un evento imprevisto di sicurezza. Ad esempio, come parte del processo di valutazione degli avvisi, gli analisti potrebbero dover esaminare tutte le attività di rischio associate al caso per altri dettagli. Nei casi, gli investigatori del rischio possono esaminare i dettagli delle attività degli utenti e il grafico a bolle per comprendere l'ambito complessivo delle attività di rischio associate al caso. Per altre informazioni sul grafico attività utente, vedere l'articolo Attività di gestione dei rischi Insider .

Esplora attività (anteprima)

La scheda Esplora attività consente agli analisti di rischio e agli investigatori di esaminare i dettagli dell'attività del caso associati agli avvisi di rischio. Ad esempio, nell'ambito delle azioni di gestione dei casi, gli investigatori e gli analisti potrebbero dover esaminare tutte le attività di rischio associate al caso per ulteriori dettagli. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale delle attività potenzialmente rischiose rilevate e identificare e filtrare tutte le attività di rischio associate agli avvisi.

Per altre informazioni su Esplora attività, vedere l'articolo Attività di gestione dei rischi Insider .

Prove forensi

La scheda Prove forensi consente agli investigatori del rischio di esaminare le acquisizioni visive associate alle attività di rischio incluse nei casi. Ad esempio, nell'ambito delle azioni di gestione dei casi, gli investigatori potrebbero dover contribuire a chiarire il contesto dell'attività dell'utente in esame. La visualizzazione delle clip effettive dell'attività può aiutare l'investigatore a determinare se l'attività dell'utente è potenzialmente rischiosa e può causare un evento imprevisto di sicurezza.

Per altre informazioni sulle prove forensi, vedere l'articolo Informazioni sulle prove forensi sulla gestione dei rischi Insider .

Esplora contenuto

La scheda Esplora contenuto consente agli investigatori del rischio di esaminare le copie di tutti i singoli file e messaggi di posta elettronica associati agli avvisi di rischio. Ad esempio, se viene creato un avviso quando un utente scarica centinaia di file da SharePoint Online e l'attività attiva un avviso dei criteri, tutti i file scaricati per l'avviso vengono acquisiti e copiati nel caso di gestione dei rischi Insider dalle origini di archiviazione originali.

Esplora contenuto è uno strumento potente con funzionalità di ricerca e filtro di base e avanzate. Per altre informazioni sull'uso di Esplora contenuto, vedere Gestione dei rischi Insider Esplora contenuto.

Note sul caso

La scheda Note caso nel caso è dove gli analisti di rischio e gli investigatori condividono commenti, feedback e informazioni dettagliate sul loro lavoro per il caso. Le note sono aggiunte permanenti a un caso e non possono essere modificate o eliminate dopo il salvataggio della nota. Quando un caso viene creato da un avviso, i commenti inseriti nella finestra di dialogo Conferma avviso e crea caso di gestione del rischio Insider vengono aggiunti automaticamente come nota al caso.

Il dashboard delle note del caso visualizza le note dell'utente che ha creato la nota e il tempo trascorso dal salvataggio della nota. Per cercare nel campo di testo della nota maiuscola e minuscola una parola chiave specifica, usare il pulsante Search nel dashboard case e immettere una parola chiave specifica.

Aggiungere una nota maiuscola e minuscola

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Selezionare un caso e quindi selezionare la scheda Note maiuscole e minuscole .
5. Selezionare Aggiungi nota maiuscole/minuscole.
6. Nella finestra di dialogo Aggiungi nota caso digitare la nota.
7. Selezionare Salva per aggiungere la nota al case.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Selezionare un caso e quindi selezionare la scheda Note maiuscole e minuscole .
5. Selezionare Aggiungi nota maiuscole/minuscole.
6. Nella finestra di dialogo Aggiungi nota caso digitare la nota.
7. Selezionare Salva per aggiungere la nota al case.

Collaboratori

La scheda Collaboratori nel caso è il luogo dove gli analisti e gli investigatori del rischio possono aggiungere altri revisori al caso. Per impostazione predefinita, tutti gli utenti a cui sono stati assegnati i ruoli Insider Risk Management Investigators e Insider Risk Management sono elencati come collaboratori per ogni caso attivo e chiuso.

L'accesso temporaneo a un caso può essere concesso aggiungendo un utente come collaboratore, ma con le restrizioni seguenti:

• Analisti e investigatori possono aggiungere collaboratori
• Gli analisti non possono essere aggiunti come collaboratori
• I collaboratori non possono aggiungere collaboratori

I collaboratori dispongono di tutti i controlli di gestione dei casi nel caso specifico, ad eccezione di:

• Autorizzazione a confermare o ignorare gli avvisi
• Autorizzazione a modificare i collaboratori per i casi

Aggiungere un collaboratore a un caso

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Selezionare un caso e quindi selezionare la scheda Collaboratori .
5. Selezionare Aggiungi collaboratore.
6. Nella finestra di dialogo Aggiungi collaboratore iniziare a digitare il nome dell'utente da aggiungere e quindi selezionare l'utente dall'elenco utenti suggerito. Questo elenco viene generato dalla Microsoft Entra ID della sottoscrizione tenant.
7. Selezionare Aggiungi per aggiungere l'utente come collaboratore.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Selezionare un caso e quindi selezionare la scheda Collaboratori .
5. Selezionare Aggiungi collaboratore.
6. Nella finestra di dialogo Aggiungi collaboratore iniziare a digitare il nome dell'utente da aggiungere e quindi selezionare l'utente dall'elenco utenti suggerito. Questo elenco viene generato dalla Microsoft Entra ID della sottoscrizione tenant.
7. Selezionare Aggiungi per aggiungere l'utente come collaboratore.

Azioni sul caso

Gli investigatori di rischio possono intervenire su un caso in uno dei diversi metodi, a seconda della gravità del caso, della cronologia dei rischi dell'utente e delle linee guida sui rischi dell'organizzazione. In alcune situazioni, potrebbe essere necessario inoltrare un caso a un utente o a un'indagine dei dati per collaborare con altre aree dell'organizzazione e approfondire le attività di rischio. La gestione dei rischi Insider è strettamente integrata con altre soluzioni Microsoft Purview per semplificare la gestione della risoluzione end-to-end.

Inviare un avviso tramite posta elettronica

Nella maggior parte dei casi, le azioni degli utenti che creano avvisi di rischio Insider sono accidentali o accidentali. L'invio di un avviso di promemoria all'utente tramite posta elettronica è un metodo efficace per documentare la revisione dei casi e l'azione ed è un metodo per ricordare agli utenti i criteri aziendali o indirizzarli al training dell'aggiornamento. Le notifiche vengono generate dai modelli di avviso creati per l'infrastruttura di gestione dei rischi Insider.

È importante ricordare che l'invio di un avviso di posta elettronica a un utente non risolve il caso come Chiuso. In alcuni casi, è possibile lasciare aperto un caso dopo aver inviato un avviso a un utente per cercare altre attività di rischio senza aprire un nuovo caso. Se si desidera risolvere un caso dopo aver inviato una notifica, è necessario selezionare Risolvi caso come passaggio successivo all'invio di una notifica.

Inviare un avviso all'utente assegnato a un caso

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Selezionare un caso e quindi selezionare il pulsante Invia avviso di posta elettronica sulla barra degli strumenti dell'azione case.
5. Nella finestra di dialogo Invia avviso di posta elettronica selezionare il controllo a discesa Scegliere un modello di avviso per selezionare il modello di avviso per l'avviso. Questa selezione precompila gli altri campi dell'avviso.
6. Esaminare i campi di avviso e aggiornarlo in base alle esigenze. I valori immessi sostituiscono i valori nel modello.
7. Selezionare Invia per inviare l'avviso all'utente. Tutte le notifiche inviate vengono aggiunte alla coda delle note del caso nel dashboard note del caso .

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Selezionare un caso e quindi selezionare il pulsante Invia avviso di posta elettronica sulla barra degli strumenti dell'azione case.
5. Nella finestra di dialogo Invia avviso di posta elettronica selezionare il controllo a discesa Scegliere un modello di avviso per selezionare il modello di avviso per l'avviso. Questa selezione precompila gli altri campi dell'avviso.
6. Esaminare i campi di avviso e aggiornarlo in base alle esigenze. I valori immessi sostituiscono i valori nel modello.
7. Selezionare Invia per inviare l'avviso all'utente. Tutte le notifiche inviate vengono aggiunte alla coda delle note del caso nel dashboard note del caso .

Escalation dell'indagine

Inoltrare il caso per l'indagine dell'utente in situazioni in cui è necessaria una revisione legale aggiuntiva per l'attività di rischio dell'utente. Questa escalation apre un nuovo caso di Microsoft Purview eDiscovery (Premium) nell'organizzazione di Microsoft 365. eDiscovery (Premium) offre un flusso di lavoro end-to-end per conservare, raccogliere, rivedere, analizzare ed esportare contenuti rilevanti per le indagini legali interne ed esterne dell'organizzazione. Consente anche al team legale di gestire l'intero flusso di lavoro per le notifiche di blocco a fini giudiziari per comunicare con i responsabili coinvolti in un caso. L'escalation a un caso di eDiscovery (Premium) da un caso di gestione dei rischi Insider consente al team legale di intraprendere le azioni appropriate e gestire la conservazione dei contenuti. Per altre informazioni sui casi di eDiscovery (Premium), vedere Panoramica di Microsoft Purview eDiscovery (Premium).To learn more about eDiscovery (Premium) cases, see Overview of Microsoft Purview eDiscovery (Premium).

Inoltrare un caso a un'indagine utente

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Selezionare un caso e quindi selezionare il pulsante Escalation per l'indagine sulla barra degli strumenti dell'azione case.
5. Nella finestra di dialogo Escalation per l'indagine immettere un nome per la nuova indagine utente. Se necessario, immettere note sul caso e quindi selezionare Escalation.
6. Esaminare i campi di avviso e aggiornarlo in base alle esigenze. I valori immessi sostituiscono i valori nel modello.
7. Selezionare Conferma per creare il caso di indagine dell'utente.

Dopo l'escalation del caso di gestione dei rischi Insider a un nuovo caso di indagine dell'utente, è possibile esaminare il nuovo caso nell'area eDiscovery>Advanced nel portale di Microsoft Purview.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Selezionare un caso e quindi selezionare il pulsante Escalation per l'indagine sulla barra degli strumenti dell'azione case.
5. Nella finestra di dialogo Escalation per l'indagine immettere un nome per la nuova indagine utente. Se necessario, immettere note sul caso e quindi selezionare Escalation.
6. Esaminare i campi di avviso e aggiornarlo in base alle esigenze. I valori immessi sostituiscono i valori nel modello.
7. Selezionare Conferma per creare il caso di indagine dell'utente.

Dopo l'escalation del caso di gestione dei rischi Insider a un nuovo caso di indagine dell'utente, è possibile esaminare il nuovo caso nell'area Avanzate di eDiscovery> nel Portale di conformità di Microsoft Purview.

Eseguire attività automatizzate con i flussi di Power Automate per il caso

Usando i flussi consigliati di Power Automate, gli investigatori e gli analisti di rischio possono intervenire rapidamente per:

• Richiedere informazioni alle risorse umane o all'azienda su un utente in un caso di rischio Insider.
• Notificare al manager quando un utente ha un avviso di rischio Insider.
• Creare un record per un caso di gestione dei rischi Insider in ServiceNow.
• Notificare agli utenti quando vengono aggiunti a criteri di rischio Insider.

Per eseguire, gestire o creare flussi di Power Automate per un caso di gestione dei rischi Insider:

1. Selezionare Automatizza sulla barra degli strumenti dell'azione case.
2. Scegliere il flusso di Power Automate da eseguire e quindi selezionare Esegui flusso.
3. Al termine del flusso, selezionare Fine.

Per altre informazioni sui flussi di Power Automate per la gestione dei rischi Insider, vedere Introduzione alle impostazioni di gestione dei rischi Insider.

Visualizzare o creare un team di Microsoft Teams per il caso

Quando l'integrazione di Microsoft Teams per la gestione dei rischi Insider è abilitata nelle impostazioni, viene creato automaticamente un team di Microsoft Teams ogni volta che viene confermato un avviso e viene creato un caso. Gli investigatori e gli analisti dei rischi possono aprire rapidamente Microsoft Teams e passare direttamente al team per un caso selezionando Visualizza il team di Microsoft Teams sulla barra degli strumenti dell'azione del caso.

Per i casi aperti prima di abilitare l'integrazione di Microsoft Team, gli investigatori e gli analisti del rischio possono creare un nuovo team di Microsoft Teams per un caso selezionando Crea team di Microsoft Teams sulla barra degli strumenti dell'azione del caso.

Quando un caso viene risolto, il team Microsoft associato verrà archiviato automaticamente (nascosto e trasformato in sola lettura).

Per altre informazioni su Microsoft Teams per la gestione dei rischi Insider, vedere Introduzione alle impostazioni di gestione dei rischi Insider.

Risolvere il caso

Dopo che gli analisti di rischio e gli investigatori hanno completato la revisione e l'indagine, un caso può essere risolto per agire su tutti gli avvisi attualmente inclusi nel caso. La risoluzione di un caso aggiunge una classificazione di risoluzione, modifica lo stato del caso in Chiuso e i motivi dell'azione di risoluzione vengono aggiunti automaticamente alla coda delle note del caso nel dashboard note case. I casi vengono contrassegnati come segue:

• Benign: la classificazione per i casi in cui gli avvisi di corrispondenza dei criteri vengono valutati come a basso rischio, non gravi o falsi positivi.
• Violazione dei criteri confermata: la classificazione per i casi in cui gli avvisi di corrispondenza dei criteri vengono valutati come rischiosi, gravi o il risultato di finalità dannose.

Risolvere un caso

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Case nel riquadro di spostamento a sinistra.
4. Selezionare un caso e quindi selezionare il pulsante Risolvi caso sulla barra degli strumenti dell'azione case.
5. Nella finestra di dialogo Risolvi caso selezionare il controllo a discesa Risolvi come per selezionare la classificazione della risoluzione per il caso. Le opzioni sono la violazione dei criteri Benign o Confirmed.
6. Nella finestra di dialogo Risolvi caso immettere i motivi della classificazione della risoluzione nel campo Di testo Azione eseguita .
7. Selezionare Risolvi per chiudere il caso.

Portale di conformità

1. Accedere al Portale di conformità di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare la scheda Case .
4. Selezionare un caso e quindi selezionare il pulsante Risolvi caso sulla barra degli strumenti dell'azione case.
5. Nella finestra di dialogo Risolvi caso selezionare il controllo a discesa Risolvi come per selezionare la classificazione della risoluzione per il caso. Le opzioni sono la violazione dei criteri Benign o Confirmed.
6. Nella finestra di dialogo Risolvi caso immettere i motivi della classificazione della risoluzione nel campo Di testo Azione eseguita .
7. Selezionare Risolvi per chiudere il caso.