Abilitare l'analisi nella gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

L'abilitazione dell'analisi Gestione dei rischi Insider Microsoft Purview offre due vantaggi importanti. Quando l'analisi è abilitata, è possibile:

• Eseguire una valutazione dei potenziali rischi Insider nell'organizzazione senza configurare criteri di rischio Insider.
• Ricevere indicazioni in tempo reale sulla configurazione delle impostazioni di soglia dell'indicatore.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Eseguire una valutazione dei rischi Insider nell'organizzazione

Gestione dei rischi Insider Microsoft Purview l'analisi consente di eseguire una valutazione dei potenziali rischi Insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree a rischio utente più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che potrebbe essere necessario configurare. Le analisi di analisi offrono i vantaggi seguenti per l'organizzazione:

• Facile da configurare: per iniziare a usare le analisi di analisi, selezionare Esegui analisi quando richiesto dalla raccomandazione di analisi oppure passare a Impostazioni> di rischio InsiderAnalisi e abilitare l'analisi.
• Privacy per progettazione: i risultati e le informazioni dettagliate analizzati vengono restituiti come attività utente aggregate e anonime. I singoli nomi utente non sono identificabili dai revisori. Poiché la gestione dei rischi Insider non classifica alcuna identità nell'organizzazione per l'analisi, la soluzione tiene conto di tutti gli UPN/identità che potrebbero essere coinvolti nei dati che lasciano il limite dell'organizzazione. Ciò potrebbe interessare account utente, account di sistema, account guest e così via.
• Comprendere i potenziali rischi tramite informazioni dettagliate consolidate: i risultati dell'analisi consentono di identificare rapidamente le aree di rischio potenziali per gli utenti e quali criteri sarebbero più utili per mitigare questi rischi.

Vedere il video di Insider Risk Management Analytics per comprendere in che modo l'analisi può contribuire ad accelerare l'identificazione dei potenziali rischi insider.

Aree analizzate

Analisi analizza l'attività di gestione dei rischi da diverse origini per identificare le informazioni dettagliate sulle potenziali aree di rischio. A seconda della configurazione corrente, l'analisi cerca le attività di rischio idonee nelle aree seguenti:

• Log di controllo di Microsoft 365: incluso in tutte le analisi, questa è l'origine principale per identificare la maggior parte delle attività potenzialmente rischiose.
• Exchange Online: inclusa in tutte le analisi, Exchange Online attività consente di identificare le attività in cui i dati negli allegati vengono recapitati tramite posta elettronica a contatti o servizi esterni.
• Microsoft Entra ID: inclusa in tutte le analisi, Microsoft Entra cronologia consente di identificare le attività rischiose associate agli utenti con account utente eliminati.
• Connettore dati Di Microsoft 365 HR: se configurato, gli eventi del connettore HR consentono di identificare le attività rischiose associate agli utenti con dimissioni o date di chiusura imminenti.

Le informazioni dettagliate di analisi dalle analisi si basano sugli stessi segnali di attività di gestione dei rischi usati dai criteri di gestione dei rischi Insider e segnalano i risultati in base alle attività utente singole e in sequenza. Tuttavia, il punteggio di rischio per l'analisi si basa su un massimo di 10 giorni di attività, mentre i criteri di rischio Insider usano l'attività giornaliera per le informazioni dettagliate. Quando si abilita ed esegue l'analisi per la prima volta nell'organizzazione, verranno visualizzati i risultati dell'analisi per un giorno. Se si lascia abilitata l'analisi, verranno visualizzati i risultati di ogni analisi giornaliera aggiunti ai report di informazioni dettagliate per un intervallo massimo dei 10 giorni di attività precedenti.

Ricevere indicazioni in tempo reale sulla configurazione delle impostazioni di soglia dell'indicatore

L'ottimizzazione manuale dei criteri per ridurre il "rumore" può essere un'esperienza che richiede molto tempo per eseguire molte prove ed errori per determinare la configurazione desiderata per i criteri. Se l'analisi è attivata, è possibile ottenere informazioni dettagliate in tempo reale che consentono di modificare in modo efficiente la selezione degli indicatori e delle soglie di occorrenza dell'attività in modo da non ricevere troppi o pochi avvisi dei criteri. Altre informazioni sull'uso dell'analisi in tempo reale per gestire il volume degli avvisi.

Abilitare l'analisi e avviare un'analisi dei potenziali rischi Insider nell'organizzazione

Per abilitare l'analisi dei rischi Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Nella scheda Panoramica scorrere verso il basso fino alla scheda Analisi dei rischi Insider e quindi in Analisi dei rischi Insider nell'organizzazione selezionare Esegui analisi. In questo modo viene attivata l'analisi analitica per l'organizzazione. I risultati dell'analisi analitica possono richiedere fino a 48 ore prima che le informazioni dettagliate siano disponibili come report da esaminare.

Portale di conformità

1. Accedere al portale di conformità usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Nella scheda Panoramica scorrere verso il basso fino alla scheda Analisi dei rischi Insider e quindi in Analisi dei rischi Insider nell'organizzazione selezionare Esegui analisi. In questo modo viene attivata l'analisi analitica per l'organizzazione. I risultati dell'analisi analitica possono richiedere fino a 48 ore prima che le informazioni dettagliate siano disponibili come report da esaminare.

Consiglio

È anche possibile attivare l'analisi nell'organizzazione tramite il pulsante Impostazioni nella parte superiore di qualsiasi pagina di gestione dei rischi Insider. Dopo aver selezionato il pulsante, selezionare Analisi e quindi attivare l'impostazione.

Visualizzare informazioni dettagliate sull'analisi dopo la prima analisi analitica

Al termine della prima analisi analitica per l'organizzazione, i membri del gruppo di ruoli Insider Risk Management Admins riceveranno automaticamente una notifica tramite posta elettronica e potranno visualizzare le informazioni dettagliate iniziali e le raccomandazioni per le attività potenzialmente rischiose degli utenti. Le analisi giornaliere continuano a meno che non si disabiliti l'analisi per l'organizzazione. Email notifiche agli amministratori vengono fornite per ognuna delle tre categorie nell'ambito per l'analisi (perdite di dati, furto ed esfiltrazione) dopo la prima istanza di attività potenzialmente rischiose nell'organizzazione. Email notifiche non vengono inviate agli amministratori per il rilevamento delle attività di gestione dei rischi di follow-up risultanti dalle analisi giornaliere.

Nota

Se l'impostazione Analisi è disabilitata e quindi riabilitata, le notifiche automatiche tramite posta elettronica vengono reimpostate e le notifiche tramite posta elettronica vengono inviate ai membri del gruppo di ruoli Insider Risk Management Admins per ottenere nuove informazioni dettagliate sull'analisi.

Per visualizzare i potenziali rischi per l'organizzazione, passare alla scheda Panoramica e quindi nella scheda Analisi dei rischi Insider selezionare Visualizza risultati.

Nota

Se l'analisi dell'organizzazione non è stata completata, verrà visualizzato un messaggio che informa che l'analisi è ancora attiva.

Per le analisi completate, verranno visualizzati i potenziali rischi individuati nell'organizzazione e informazioni dettagliate e consigli per affrontare questi rischi. I rischi identificati e le informazioni dettagliate specifiche sono inclusi nei report raggruppati per area, il numero totale di utenti (tutti i tipi di account Microsoft Entra, inclusi utente, guest, sistema e così via) con rischi identificati, la percentuale di questi utenti con attività potenzialmente rischiose e un criterio di rischio Insider consigliato per mitigare questi rischi. I report includono:

• Informazioni dettagliate sulle perdite di dati: per tutti gli utenti che possono includere la condivisione eccessiva accidentale di informazioni all'esterno dell'organizzazione o perdite di dati da parte di utenti con finalità dannose.
• Informazioni dettagliate sul furto di dati: per gli utenti in partenza o con account di Microsoft Entra eliminati che possono includere la condivisione rischiosa di informazioni all'esterno dell'organizzazione o il furto di dati da parte di utenti con finalità dannose.
• Informazioni dettagliate sull'esfiltrazione principali: per tutti gli utenti che possono includere la condivisione di dati all'esterno dell'organizzazione.

Per visualizzare altre informazioni per un'informazione dettagliata, selezionare Visualizza dettagli per visualizzare il riquadro dei dettagli per le informazioni dettagliate. Il riquadro dei dettagli include i risultati completi delle informazioni dettagliate, una raccomandazione sui criteri di rischio Insider e il pulsante Crea criteri per creare rapidamente i criteri consigliati. Se si seleziona Crea criterio , si passa alla procedura guidata dei criteri e si seleziona automaticamente il modello di criterio consigliato correlato alle informazioni dettagliate. Ad esempio, se le informazioni analitiche sono relative all'attività Furto dati , il modello di criterio Furto dati verrà prese selezionato nella procedura guidata dei criteri.

Disattivare l'analisi

Per disattivare l'analisi dei rischi Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Selezionare il pulsante Impostazioni nell'angolo superiore destro della pagina.
3. Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
4. In Impostazioni di rischio Insider selezionare Analisi e quindi disattivare l'impostazione.

Portale di conformità

1. Accedere al portale di conformità usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare il pulsante Impostazioni e quindi Selezionare Analisi.
4. Nella pagina Analisi disattivare l'impostazione.

Dopo aver disabilitato l'analisi:

• I report analitici sulle informazioni dettagliate rimarranno statici e non verranno aggiornati per nuovi rischi.
• Non sarà possibile visualizzare l'analisi in tempo reale quando si personalizzano le impostazioni di soglia degli indicatori per i criteri.