Introduzione al dashboard Avvisi per la prevenzione della perdita dei dati

I criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) possono intraprendere azioni protettive per impedire la condivisione involontaria di elementi sensibili. È possibile ricevere una notifica quando viene eseguita un'azione su un elemento sensibile configurando gli avvisi per la prevenzione della perdita dei dati. Questo articolo illustra come configurare gli avvisi nei criteri di prevenzione della perdita dei dati. Si vedrà come usare il dashboard di gestione degli avvisi DLP nel portale di Microsoft Purview per visualizzare avvisi, eventi e metadati associati per le violazioni dei criteri DLP.

Se non si ha familiarita' con gli avvisi DLP, è consigliabile consultare Introduzione agli avvisi di prevenzione della perdita dei dati.

Suggerimento

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Il portale di Microsoft Purview mostra gli avvisi per i criteri DLP applicati ai carichi di lavoro seguenti:

• Posta elettronica di Exchange
• Siti di SharePoint
• Account di OneDrive
• Messaggi di chat e canali di Teams
• Dispositivi
• Istanze
• Repository locali
• Fabric e Power BI

Suggerimento

Un altro strumento che è possibile usare per valutare gli avvisi Microsoft Security Copilot. Security Copilot è una piattaforma di intelligenza artificiale basata sul cloud che può aiutare i professionisti della sicurezza e della conformità a proteggere i dati dell'organizzazione. È possibile usarlo per riepilogare gli avvisi di Microsoft Purview, valutare gli avvisi e per eseguire il drill-down dei dati di Microsoft Puview. È disponibile nel dashboard avvisi DLP e in Gestione della postura di sicurezza dei dati (anteprima).

Prima di iniziare

Prima di iniziare, assicurarsi di avere i prerequisiti necessari:

• Licenze per il dashboard di gestione degli avvisi DLP
• Licenze per le opzioni di configurazione degli avvisi
• Ruoli obbligatori

Licenze per il dashboard di gestione degli avvisi DLP

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

I clienti che usano endpoint DLP idonei per la prevenzione della perdita dei dati di Teams visualizzano gli avvisi dei criteri DLP degli endpoint e gli avvisi dei criteri DLP di Teams nel dashboard di gestione degli avvisi DLP.

Licenze per le opzioni di configurazione degli avvisi

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

Ruoli e Gruppi di ruolo

Se si vuole visualizzare il dashboard di gestione degli avvisi DLP o modificare le opzioni di configurazione degli avvisi in un criterio DLP, è necessario essere membri di uno di questi gruppi di ruoli:

• Amministratore di conformità
• Amministratore dati di conformità
• Amministratore della sicurezza
• Operatore della sicurezza
• Ruolo con autorizzazioni di lettura per la sicurezza
• Amministratore di Information Protection
• Analista di Information Protection
• Investigatore di Information Protection
• Lettore di Information Protection

Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview

Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.

• Azure Information Protection
• Amministratori di Information Protection
• Analisti di Information Protection
• Investigatori di Information Protection
• Lettori di Information Protection

Per accedere al dashboard di gestione degli avvisi DLP, sono necessari il ruolo Gestisci avvisi e uno di questi due ruoli:

• Gestione della conformità DLP
• View-Only gestione della conformità DLP

Per accedere alla funzionalità anteprima contenuto e alle funzionalità di contesto e contenuto sensibili corrispondenti, è necessario essere un membro del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto , con il ruolo Visualizzatore contenuto classificazione dati preassegnato.

Configurazione degli avvisi DLP

Per informazioni su come configurare un avviso nei criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.

Importante

La configurazione dei criteri di conservazione dei log di controllo dell'organizzazione controlla per quanto tempo un avviso rimane visibile nella console. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo .

Configurazione dell'avviso di evento di aggregazione

Se l'organizzazione ha una licenza per le opzioni di configurazione degli avvisi aggregati, queste opzioni vengono visualizzate quando si creano o si modificano criteri di prevenzione della perdita dei dati.

Questa configurazione consente di configurare un criterio per generare un avviso ogni volta che un'attività corrisponde alle condizioni dei criteri o quando viene superata una determinata soglia, in base al numero di attività o in base al volume di dati esfiltrati.

Configurazione dell'avviso di un singolo evento

Se l'organizzazione ha una licenza per le opzioni di configurazione degli avvisi a evento singolo, queste opzioni vengono visualizzate quando si creano o si modificano criteri DLP. Usare questa opzione per creare un avviso generato ogni volta che si verifica una corrispondenza di regola DLP.

Analizzare un avviso DLP

Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.

Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

Per usare il dashboard di gestione degli avvisi DLP:

1. Accedere al portale >di Microsoft PurviewPrevenzione della perdita di dati.
2. Selezionare Avvisi per visualizzare il dashboard Avvisi DLP .
3. Usare i campi Filtro per perfezionare l'elenco degli avvisi.
4. Scegliere Personalizza colonne per elencare le proprietà che si desidera visualizzare.
5. Per ordinare i risultati in ordine crescente o decrescente, fare doppio clic sull'intestazione di colonna.
6. Fare doppio clic su un avviso per altre informazioni.
7. La scheda Dettagli viene aperta per impostazione predefinita e fornisce informazioni generali sull'avviso.
8. Selezionare Riepilogo con Copilot. In questo modo il Security Copilot genera un riepilogo dell'avviso. Il riepilogo degli avvisi conterrà:
   • gravità dell'avviso
   • titolo avviso
   • nome del criterio corrispondente
   • il file del nome coinvolto e un collegamento al file
   • stato avviso
   • l'indirizzo di posta elettronica dell'utente che ha eseguito l'azione corrispondente ai criteri
9. Selezionare i puntini di sospensione nel riepilogo Security Copilot per:
   • copiare il riepilogo negli Appunti
   • rigenerare il riepilogo
   • aprire l'avviso nell'esperienza autonoma Security Copilot.
10. Selezionare Visualizza dettagli per aprire la scheda Panoramica . La scheda Panoramica fornisce un riepilogo delle informazioni seguenti:
    • Cos'è successo
    • Chi ha eseguito le azioni che hanno causato la corrispondenza dei criteri
    • Informazioni aggiuntive sulla corrispondenza dei criteri
11. Nella scheda Eventi sono elencati tutti gli eventi associati all'avviso. Selezionare qualsiasi evento nell'elenco per ottenere informazioni dettagliate sull'evento. Per ogni evento, scegliere l'elenco a discesa Azioni per un elenco di azioni che è possibile eseguire sull'avviso, ad esempio verificare se l'avviso ha identificato o meno una corrispondenza vera o un falso positivo.
    1. La scheda Riepilogo attività utente richiede che la condivisione sia attivata nelle impostazioni di gestione dei rischi Insider Una volta abilitata, la scheda Riepilogo attività utente fornisce tutte le attività di esfiltrazione eseguite dall'utente (fino agli ultimi 120 giorni). Gli utenti devono essere inclusi nell'ambito di un criterio di gestione dei rischi Insider per visualizzare la scheda Riepilogo attività utente .
    2. Dopo aver eseguito l'analisi dell'avviso, tornare alla scheda Panoramica in cui è possibile visualizzare i dettagli per valutare e gestire l'eliminazione dell'avviso, aggiungere commenti e assegnare la proprietà dell'avviso. Per visualizzare la cronologia della gestione del flusso di lavoro.
    3. Dopo aver eseguito l'azione necessaria per l'avviso, impostare Stato dell'avviso su Risolto.

Portale di conformità

Per usare il dashboard di gestione degli avvisi DLP:

1. Nel Portale di conformità di Microsoft Purview passare a Prevenzione della perdita dei dati e selezionare Avvisi.

2. Scegliere Personalizza colonne per elencare le proprietà che si desidera visualizzare. È anche possibile scegliere di ordinare gli avvisi in ordine crescente o decrescente in qualsiasi colonna.

3. Scegliere Applica.

4. Selezionare Visualizza dettagli per aprire la pagina Panoramica per l'avviso. La pagina di panoramica fornisce un riepilogo che identifica:

   • Cos'è successo
   • che ha eseguito le azioni che hanno causato la corrispondenza dei criteri
   • informazioni sui criteri corrispondenti
   1. Selezionare la scheda Eventi per visualizzare tutti gli eventi associati all'avviso. Le schede in questa pagina forniscono informazioni su:
      • Contenuto di origine coinvolto
      • Dettagli dell'evento
      • Classificatori che hanno rilevato una corrispondenza
      • Dettagli attività file
      • Metadati associati all'evento

   Importante

   Nessuno può significare che l'utente non è incluso nell'ambito di un criterio di gestione dei rischi Insider o che l'utente non ha eseguito alcuna attività di esfiltrazione negli ultimi 120 giorni. Gli utenti devono essere inclusi nell'ambito di un criterio di gestione dei rischi Insider per visualizzare la colonna Gravità del rischio Insider .

   1. Selezionare un avviso per visualizzare i dettagli.
   2. Nel riquadro Dettagli avviso è possibile selezionare Recupera un riepilogo da Security Copilot. In questo modo il Security Copilot genera un riepilogo dell'avviso. Il riepilogo degli avvisi conterrà:
      1. gravità dell'avviso
      2. titolo avviso
      3. nome del criterio corrispondente
      4. il file del nome coinvolto e un collegamento al file
      5. stato avviso
      6. l'indirizzo di posta elettronica dell'utente che ha eseguito l'azione corrispondente ai criteri
   3. Selezionare i puntini di sospensione nel riepilogo Security Copilot per:
      1. copiare il riepilogo negli Appunti
      2. rigenerare il riepilogo
      3. aprire l'avviso nell'esperienza autonoma Security Copilot.

5. Selezionare le azioni che si desidera eseguire sul file.

6. Dopo aver eseguito l'analisi dell'avviso, tornare alla scheda Panoramica in cui è possibile valutare e gestire l'eliminazione dell'avviso, aggiungere commenti e assegnare la proprietà dell'avviso.

   1. Per visualizzare la cronologia della gestione del flusso di lavoro, scegliere Log di gestione.
   2. Dopo aver eseguito l'azione necessaria per l'avviso, impostare lo stato dell'avviso su Risolto.

Creare un collegamento condivisibile a un evento di avviso

Gli utenti con le autorizzazioni appropriate possono visualizzare gli avvisi Prevenzione della perdita dei dati Microsoft Purview (DLP) nella console avvisi DLP. Tuttavia, poiché gli avvisi vengono triaged e analizzati, è possibile condividere gli eventi di avviso con gli utenti che non hanno accesso alla prevenzione della perdita dei dati e alla console degli avvisi. In anteprima è possibile creare un collegamento condivisibile a un evento di avviso:

1. Nel portale di Purview passare a Prevenzione della perdita dei dati e quindi selezionare Avvisi.
2. Selezionare un avviso e quindi selezionare Visualizza dettagli.
3. Nella schermata Dettagli avviso selezionare la scheda Eventi appena sotto il titolo dell'avviso per visualizzare gli eventi contenuti in questo avviso.
4. Selezionare l'evento da condividere e quindi fare clic sul pulsante Azioni nella parte inferiore della schermata per visualizzare il menu Azioni .
5. Selezionare Copia collegamento all'evento e quindi selezionare Copia per copiare il collegamento condivisibile all'evento.
6. Ora è possibile incollare il collegamento dagli Appunti per condividere il collegamento tramite chat, posta elettronica o altri mezzi.

Altre condizioni corrispondenti

Microsoft Purview supporta la visualizzazione di condizioni corrispondenti in un evento DLP per rivelare la causa esatta di un criterio DLP contrassegnato. Queste informazioni vengono visualizzate in:

• Console avvisi DLP
• Esplora attività
• portale di Microsoft Defender for Business

Nella scheda Eventi aprire Dettagli per visualizzare Altre condizioni corrispondenti.

Prerequisiti

• Deve essere in esecuzione Windows 10 x64 (build 1809 o successiva) o Windows 11.
  • Vedere 21 marzo 2023— KB5023773 (OS Builds 19042.2788, 19044.2788 e 19045.2788) Preview per le build minime del sistema operativo Windows necessarie.
• I dati relativi alle condizioni corrispondenti sono disponibili per i titolari di licenze E3 ed E5 validi.
• Abilitare il controllo.
• Abilitare l'analisi e la protezione della classificazione avanzata.

Le informazioni sugli eventi corrispondenti sono supportate per queste condizioni

Condizione	Exchange	SharePoint	Teams	Endpoint
Il mittente è	Sì	No	Sì	No
Il dominio del mittente è	Sì	No	Sì	No
L'indirizzo del mittente contiene parole	Sì	No	No	No
L'indirizzo del mittente corrisponde ai criteri	Sì	No	No	No
Il mittente è un membro di	Sì	No	No	No
L'indirizzo IP del mittente è	Sì	No	No	No
Il mittente ha sostituito il suggerimento per i criteri	Sì	No	No	No
SenderAdAttribute Contiene parole	Sì	No	No	No
Modelli di corrispondenza di SenderAdAttribute	Sì	No	No	No
Il destinatario è	Sì	No	Sì	No
Il dominio del destinatario è	Sì	No	Sì	No
L'indirizzo del destinatario contiene parole	Sì	No	No	No
L'indirizzo del destinatario corrisponde ai criteri	Sì	No	No	No
Il destinatario è un membro di	Sì	No	No	No
RecipientAdAttribute Contiene parole	Sì	No	No	No
Modelli di corrispondenza di RecipientAdAttribute	Sì	No	No	No
Il documento è protetto da password	Sì	No	No	No
Impossibile analizzare il documento	Sì	No	No	No
Il documento non ha completato l'analisi	Sì	No	No	No
Il nome del documento contiene parole	Sì	Sì	No	No
Il nome del documento corrisponde ai modelli	Sì	No	No	No
La proprietà del documento è	Sì	Sì	No	No
Dimensioni del documento su	Sì	Sì	No	No
Il contenuto del documento contiene parole	Sì	No	No	No
Il contenuto del documento corrisponde ai modelli	Sì	No	No	No
Il tipo di documento è	No	No	No	Sì
L'estensione del documento è	Sì	Sì	No	Sì
Il contenuto viene condiviso da M365	Sì	Sì	Sì	No
Il contenuto viene ricevuto da	Sì	No	No	No
Il set di caratteri di contenuto contiene parole	Sì	No	No	No
L'oggetto contiene parole	Sì	No	No	No
Il soggetto corrisponde ai criteri	Sì	No	No	No
Oggetto o corpo contiene parole	Sì	No	No	No
Soggetto o corpo corrisponde ai modelli	Sì	No	No	No
L'intestazione contiene parole	Sì	No	No	No
L'intestazione corrisponde ai criteri	Sì	No	No	No
Dimensioni del messaggio su	Sì	No	No	No
Il tipo di messaggio è	Sì	No	No	No
L'importanza del messaggio è	Sì	No	No	No

Limitazione durante il download di messaggi di posta elettronica dall'interno di un avviso DLP

In generale, quando si usa il dashboard di gestione degli avvisi DLP, è possibile scaricare messaggi di posta elettronica specifici dall'interno di un avviso. Tuttavia, i messaggi di posta elettronica eliminati in uno degli scenari seguenti non possono essere scaricati.

Mittente	Destinatario	Stato Email
Interno	Esterno	Eliminato dal mittente
Esterno	Interno	Eliminato dal destinatario
Interno	Interno	Eliminato da entrambe le parti

Strumenti aggiuntivi per l'analisi degli avvisi

• Introduzione agli avvisi per la prevenzione della perdita dei dati
• Condividere gli avvisi di prevenzione della perdita dei dati (anteprima)
• Introduzione a Esplora attività
• Informazioni su Gestione della postura di sicurezza dei dati (anteprima)