Condividere i dati di gestione dei rischi Insider con altre soluzioni
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
È possibile condividere i dati della gestione dei rischi Insider in uno dei modi seguenti:
- Esportare informazioni sugli avvisi nelle soluzioni SIEM
- Condividere i livelli di gravità del rischio utente con avvisi di prevenzione della perdita dei dati (DLP) Microsoft Defender e Microsoft Purview
Esportare informazioni sugli avvisi nelle soluzioni SIEM
Gestione dei rischi Insider Microsoft Purview informazioni sugli avvisi è esportabile nelle soluzioni siem (Security Information And Event Management) e SOAR (Security Orchestration Automated Response) usando lo schema dell'API attività di gestione Office 365. È possibile usare le API Office 365 Attività di gestione per esportare informazioni sugli avvisi in altre applicazioni che l'organizzazione può usare per gestire o aggregare le informazioni sui rischi Insider. Le informazioni sugli avvisi vengono esportate e disponibili ogni 60 minuti tramite le API dell'attività di gestione Office 365.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Se l'organizzazione usa Microsoft Sentinel, è anche possibile usare il connettore dati di gestione dei rischi Insider predefinito per importare informazioni sugli avvisi di rischio Insider in Sentinel. Per altre informazioni, vedere Gestione dei rischi Insider nell'articolo di Microsoft Sentinel.
Importante
Per mantenere l'integrità referenziale per gli utenti che dispongono di avvisi o casi di rischio Insider in Microsoft 365 o in altri sistemi, l'anonimizzazione dei nomi utente non viene mantenuta per gli avvisi esportati quando si usa l'API di esportazione o quando si esporta in soluzioni Microsoft Purview eDiscovery. In questo caso, gli avvisi esportati visualizzeranno i nomi utente per ogni avviso. Se si esegue l'esportazione in file CSV da avvisi o casi, l'anonimizzazione viene mantenuta.
Usare le API per esaminare le informazioni sugli avvisi di rischio Insider
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
- Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
- Selezionare il pulsante Impostazioni nell'angolo superiore destro della pagina.
- Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
- Selezionare Esporta avvisi. Per impostazione predefinita, questa impostazione è disabilitata per l'organizzazione di Microsoft 365.
- Attivare l'impostazione.
- Filtrare le attività comuni di controllo Office 365 in base a SecurityComplianceAlerts.
- Filtrare SecurityComplianceAlerts in base alla categoria InsiderRiskManagement .
Le informazioni sugli avvisi contengono informazioni dello schema degli avvisi di sicurezza e conformità e dello schema comune dell'API attività di gestione Office 365.
I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema avvisi di sicurezza e conformità:
| Parametro di avviso | Descrizione |
|---|---|
| AlertType | Il tipo di avviso è Personalizzato. |
| AlertId | GUID dell'avviso. Gli avvisi di gestione dei rischi Insider sono modificabili. Quando lo stato dell'avviso cambia, viene generato un nuovo log con lo stesso AlertID. Questo AlertID può essere usato per correlare gli aggiornamenti per un avviso. |
| Categoria | La categoria dell'avviso è InsiderRiskManagement. Questa categoria può essere usata per distinguere da questi avvisi da altri avvisi di sicurezza e conformità. |
| Commenti | Commenti predefiniti per l'avviso. I valori sono Nuovo avviso (registrato quando viene creato un avviso) e Avviso aggiornato (registrato quando è presente un aggiornamento a un avviso). Usare AlertID per correlare gli aggiornamenti per un avviso. |
| Dati | I dati per l'avviso includono l'ID utente univoco, il nome dell'entità utente e la data e l'ora (UTC) quando l'utente è stato attivato in un criterio. |
| Nome | Nome dei criteri per i criteri di gestione dei rischi Insider che hanno generato l'avviso. |
| PolicyId | GUID dei criteri di gestione dei rischi Insider che hanno attivato l'avviso. |
| Gravità | Gravità dell'avviso. I valori sono Alto, Medio o Basso. |
| Origine | Origine dell'avviso. Il valore è Office 365 Security & Compliance. |
| Stato | Stato dell'avviso. I valori sono attivi (revisione delle esigenze nel rischio Insider), analisi (confermata nel rischio Insider), risolta (risolta nel rischio Insider), ignorata (ignorata nel rischio Insider). |
| Versione | Versione dello schema avvisi di sicurezza e conformità. |
I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema comune dell'API attività di gestione Office 365.
- UserId
- Id
- RecordType
- CreationTime
- Operazione
- OrganizationId
- Usertype
- UserKey
Condividere i livelli di gravità del rischio utente con avvisi Microsoft Defender e DLP
È possibile condividere i livelli di gravità del rischio utente dalla gestione dei rischi Insider per portare un contesto utente univoco agli avvisi di prevenzione della perdita dei dati (DLP) Microsoft Defender e Microsoft Purview. La gestione dei rischi Insider analizza le attività degli utenti in un periodo di 90-120 giorni e cerca un comportamento anomalo in tale periodo di tempo. L'aggiunta di questi dati agli avvisi Microsoft Defender e DLP migliora i dati disponibili in tali soluzioni per consentire agli analisti di assegnare priorità agli avvisi.
Cosa accade quando si condividono i livelli di gravità del rischio utente di gestione dei rischi Insider?
In Microsoft Defender
Un campo gravità del rischio Insider viene aggiunto alla sezione Asset interessati della pagina eventi imprevisti DLP Microsoft Defender per gli utenti con un livello di rischio Insider alto o medio nella gestione dei rischi Insider. Se l'utente ha un livello di rischio Insider basso , non viene aggiunto nulla alla pagina Eventi imprevisti. Ciò consente di ridurre al minimo le distrazioni per gli analisti, in modo che possano concentrarsi sulle attività utente più rischiose.
È possibile selezionare il livello di rischio Insider nella sezione Asset interessati per visualizzare un riepilogo delle attività di rischio Insider e una sequenza temporale delle attività per l'utente. La presenza di un massimo di 120 giorni di analisi può aiutare l'analista a determinare la rischiosità complessiva delle attività dell'utente.
Se si seleziona l'evento DLP nella pagina di corrispondenza dei criteri DLP, nella sezione Corrispondenza dei criteri DLP verrà visualizzata una sezione Entità interessate che mostra tutti gli utenti che corrispondono ai criteri.
Negli avvisi DLP
Per i criteri di gestione dei rischi Insider associati all'avviso DLP, alla coda degli avvisi DLP viene aggiunta una colonna di gravità del rischio Insider con valori alti, medi, bassi o nessuno . Se sono presenti più utenti con attività che corrispondono ai criteri, viene visualizzato l'utente con il livello di rischio Insider più alto.
Il valore None può indicare uno dei valori seguenti:
L'utente non fa parte di alcun criterio di gestione dei rischi Insider.
L'utente fa parte di un criterio di gestione dei rischi Insider, ma non ha eseguito attività rischiose per entrare nell'ambito dei criteri (non sono presenti dati di esfiltrazione).
È possibile selezionare il livello di rischio Insider nella coda degli avvisi DLP per accedere alla scheda Riepilogo attività utente , che mostra una sequenza temporale di tutte le attività di esfiltrazione per l'utente negli ultimi 90-120 giorni. Analogamente alla coda degli avvisi DLP, la scheda Riepilogo attività utente mostra l'utente con il livello di rischio Insider più alto. Questo contesto profondo in ciò che un utente ha fatto negli ultimi 90-120 giorni offre una visione più ampia dei rischi presentati da tale utente.
Nel riepilogo delle attività utente vengono visualizzati solo i dati degli indicatori di esfiltrazione. I dati di altri indicatori sensibili, ad esempio risorse umane, esplorazione e così via, non vengono condivisi con gli avvisi DLP.
Una sezione Dettagli attore viene aggiunta alla pagina dei dettagli dell'avviso DLP. È possibile usare questa pagina per visualizzare tutti gli utenti coinvolti nell'avviso DLP specifico. Per ogni utente coinvolto nell'avviso DLP, è possibile visualizzare tutte le attività di esfiltrazione negli ultimi 90-120 giorni.
Se si seleziona il pulsante Recupera un riepilogo da Copilot per la sicurezza in un avviso DLP, il riepilogo degli avvisi fornito da Microsoft Copilot per la sicurezza include il livello di gravità della gestione dei rischi Insider oltre alle informazioni di riepilogo DLP, se l'utente è nell'ambito di un criterio di gestione dei rischi Insider.
Consiglio
È anche possibile usare Copilot per la sicurezza per analizzare gli avvisi DLP. Se l'impostazione Di condivisione dei dati per la gestione dei rischi Insider è attivata, è possibile eseguire un'indagine combinata sulla gestione dei rischi DLP/Insider. Ad esempio, è possibile iniziare chiedendo a Copilot di riepilogare un avviso DLP e quindi chiedere a Copilot di mostrare il livello di rischio Insider associato all'utente contrassegnato nell'avviso. In alternativa, è possibile chiedersi perché l'utente è considerato un utente ad alto rischio. Le informazioni sui rischi utente in questo caso provengono dalla gestione dei rischi Insider. Copilot per la sicurezza integra perfettamente la gestione dei rischi Insider con la prevenzione della perdita dei dati per facilitare le indagini. Altre informazioni sull'uso della versione autonoma di Copilot per indagini combinate sulla gestione dei rischi DLP/Insider
Prerequisiti
Per condividere i livelli di rischio Insider di gestione dei rischi Insider con avvisi di Microsoft Defender e prevenzione della perdita dei dati, l'utente:
- Deve far parte di un criterio di gestione dei rischi Insider.
- Deve aver eseguito attività di esfiltrazione che portano l'utente nell'ambito dei criteri.
Nota
Se si ha accesso agli avvisi DLP in Microsoft Purview e/o Microsoft Defender, è possibile visualizzare il contesto utente dalla gestione dei rischi Insider condivisa con tali soluzioni.
Condividere dati con avvisi Microsoft Defender e DLP
È possibile condividere i livelli di gravità dei rischi utente di gestione dei rischi Insider con gli avvisi di Microsoft Defender e DLP attivando una singola impostazione.
- Nelle impostazioni di gestione dei rischi Insider selezionare l'impostazione Condivisione dati .
- Nella sezione Condivisione dei dati con Microsoft Defender XDR (anteprima) attivare l'impostazione.
Nota
Se non si attiva questa impostazione, il valore visualizzato nella colonna Gravità del rischio Insider avvisi DLP è "Dati utente non disponibili".
Vedere anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per