Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il grafico dei rischi dei dati in Indagini sulla sicurezza dei dati (anteprima) offre un'esperienza di analisi visiva che combina i dati di asset e attività in un'unica visualizzazione. Basato sull'integrazione Microsoft Sentinel, riepiloga i 30 giorni di attività precedenti per qualsiasi file con ambito nell'indagine. Consente di identificare gli account utente rischiosi che hanno interagito con il contenuto di interesse e di analizzare la sequenza di eventi che hanno portato a eventi imprevisti recenti. Arricchendo l'analisi con informazioni dettagliate sulle attività, i grafici dei rischi dei dati consentono di risolvere gli eventi imprevisti di sicurezza dei dati più velocemente e con maggiore sicurezza.
Per altre informazioni sull'integrazione Microsoft Sentinel, vedere Informazioni sui Microsoft Sentinel in Microsoft Purview.
Nota
Amministrazione unità non sono supportate nel grafico dei rischi per i dati. Se l'ambito è un'unità di amministrazione, i dati non vengono visualizzati nei grafici dei rischi per i dati.
Attività supportate nel grafico dei rischi per i dati
Il grafico dei rischi per i dati supporta attualmente le attività di esfiltrazione seguenti:
- Collegamenti anonimi creati in SharePoint o OneDrive
- Collegamenti anonimi usati tramite SharePoint o OneDrive
- Collegamenti aziendali creati in SharePoint o OneDrive
- Download di file da SharePoint e OneDrive
- File rinominati in SharePoint e OneDrive
Prima di iniziare
Prima di poter usare i grafici dei rischi dei dati in Indagini sulla sicurezza dei dati (anteprima), completare la procedura seguente:
- Informazioni sulla fatturazione con pagamento in base al consumo in Microsoft Sentinel per l'organizzazione.
- Configurare i prerequisiti per Microsoft Sentinel data lake e Microsoft Sentinel graph
- Esaminare le modifiche apportate durante l'onboarding in Microsoft Sentinel data lake e nel grafico Microsoft Sentinel
- Creare un'indagine in Analisi della sicurezza dei dati (anteprima).
Configurare il grafico dei rischi per i dati
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Dopo aver completato i prerequisiti, completare la procedura seguente per configurare il grafico dei rischi dei dati in Indagini sulla sicurezza dei dati (anteprima):
Passare al portale di Microsoft Purview con un account a cui è stato assegnato il ruolo Amministratore globale o Amministratore della sicurezza .
Selezionare la scheda della soluzione Indagini sulla sicurezza dei dati (anteprima) e quindi fare clic su Panoramica nel riquadro di spostamento a sinistra.
Nella sezione Attività di installazione selezionare Configura data lake e data risk graph.
Se non si dispone delle autorizzazioni corrette per configurare il data lake, viene visualizzata una notifica per contattare un amministratore globale o di fatturazione dell'organizzazione.
Nella scheda Configurazione del grafico Configura data lake & rischio (anteprima) configurare le impostazioni seguenti:
- Sottoscrizione: immettere la sottoscrizione Azure che si vuole usare. La sottoscrizione selezionata deve essere valida e accessibile. È necessario essere proprietari di una sottoscrizione.
- Gruppo di risorse: immettere il gruppo di risorse da usare. Il gruppo di risorse selezionato deve essere valido e accessibile.
Importante
Dopo aver effettuato il provisioning del data lake per una sottoscrizione e un gruppo di risorse Azure specifici, non è possibile eseguirne la migrazione a una sottoscrizione o a un gruppo di risorse diverso.
Selezionare Configurazione.
Importante
Quando viene creato per la prima volta il grafico dei rischi dei dati, include i sette giorni di dati più recenti. Man mano che il grafico dei rischi per i dati viene aggiornato nel tempo, la finestra di ricerca si espande fino a un massimo di 30 giorni. Il grafico dei rischi dei dati potrebbe richiedere del tempo per raggiungere l'intera finestra di 30 giorni, quindi prevedere una crescita graduale dopo la configurazione iniziale.
Il processo di configurazione inizia e il completamento dell'onboarding potrebbe richiedere fino a 60 minuti. È possibile chiudere il pannello di installazione mentre il processo è in esecuzione. Al termine del processo di onboarding, è possibile vedere Completare la configurazione del data lake & grafico dei rischi (anteprima). Il grafico dei rischi per i dati mostra gli eventi che si verificano dopo la creazione o l'onboarding del data lake Microsoft Sentinel.
L'elaborazione iniziale della disponibilità del grafico dei dati e dei rischi per i dati per un'indagine potrebbe richiedere da 24 a 48 ore.
Importante
Si ha sempre un data lake. Se è già stato eseguito l'onboarding nel data lake con un altro servizio Microsoft, viene usato il data lake esistente. Se non è mai stato eseguito l'onboarding nel data lake, l'onboarding in Indagini sulla sicurezza dei dati (anteprima) consente Microsoft Sentinel data lake e il grafo nel portale di Defender.
Usare il grafico dei rischi per i dati
Il grafico dei rischi dei dati in Indagini sulla sicurezza dei dati (anteprima) visualizza in modo univoco le correlazioni tra i dati interessati, gli utenti e le relative attività. Fornisce un contesto critico per guidare la mitigazione e i passaggi successivi. Ad esempio, dopo aver scoperto un documento altamente sensibile, i grafici dei rischi dei dati offrono visibilità su quali utenti l'hanno scaricata o se vi hanno eseguito l'accesso da un indirizzo IP rischioso. Questa visibilità consente di individuare nuovi nodi a un evento imprevisto di sicurezza dei dati, ad esempio utenti aggiuntivi o nuovi contenuti che richiedono un'indagine.
Per visualizzare il grafico dei rischi per i dati per un'indagine, è necessario essere assegnati ad almeno un gruppo di ruoli predefinito Indagini sulla sicurezza dei dati (anteprima):
- Amministratori Indagini sulla sicurezza dei dati
- investigatori Indagini sulla sicurezza dei dati
- Revisori Indagini sulla sicurezza dei dati
Per altre informazioni sui gruppi di ruoli, vedere Assegnare autorizzazioni in Indagini sulla sicurezza dei dati.
Per usare il grafico dei rischi dei dati in Indagini sulla sicurezza dei dati (anteprima), completare la procedura seguente:
Passare al portale di Microsoft Purview con un account assegnato a un gruppo di ruoli Indagini sulla sicurezza dei dati (anteprima).
Selezionare la scheda della soluzione Indagini sulla sicurezza dei dati (anteprima), quindi selezionare Case nel riquadro di spostamento a sinistra.
Selezionare un'indagine da esaminare e quindi selezionare una delle opzioni seguenti:
- In Riepilogo selezionare Gestisci ambito nella scheda Ambito indagine .
- Selezionare la scheda Analisi per elencare gli elementi inclusi nell'ambito indagine.
Selezionare gli elementi (fino a 100) inclusi nell'ambito e quindi selezionare Esplora informazioni dettagliate.
Nota
Esplorare le informazioni dettagliate non è disponibile a meno che non si configuri Indagini sulla sicurezza dei dati (anteprima) per Microsoft Sentinel data lake e grafo.
Filtrare l'ora in base alle esigenze e selezionare i singoli nodi del grafo di rischio dati per altre informazioni su ogni connessione durante la valutazione.
Espandere le relazioni nel grafico selezionando l'icona + per gli utenti o gli asset.
Il grafico dei rischi per i dati contiene diversi nodi. La selezione di un nodo mostra i dettagli relativi al nodo:
- Dettagli utente: mostra informazioni sugli utenti associati all'indagine. Queste informazioni includono informazioni sull'organizzazione per ogni utente, tra cui nome dell'entità utente (UPN), etichette, posizione, titolo del processo e altro ancora.
- Relazioni: mostra informazioni sulle connessioni iniziali e finali tra i nodi. Queste informazioni includono le date di inizio e l'ultima connessione, i tipi di relazione e altro ancora.
- Indirizzi IP: mostra informazioni su ogni nodo di indirizzi IP.
- Dettagli dati: mostra informazioni su file e siti. Queste informazioni includono la posizione dell'oggetto, il tipo, le etichette e altro ancora.
È possibile visualizzare le informazioni del grafico dei rischi per i dati per gli utenti in base agli ultimi 30 giorni di attività. Questa durata è fissa e non può essere estesa.