Ottimizzare le esclusioni nella gestione dei rischi Insider creando gruppi di rilevamento e varianti di indicatori predefiniti (anteprima)

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Gestione dei rischi Insider Microsoft Purview offre decine di indicatori pronti all'uso. Ma il rilevamento dei rischi Insider potrebbe non essere una soluzione unica per tutti gli utenti di un'organizzazione. È possibile usare l'impostazione Rilevamenti intelligenti nei criteri di gestione dei rischi Insider per escludere a livello globale determinate attività dal punteggio dei criteri. Queste esclusioni si applicano tuttavia a ogni trigger e indicatore per tutti i criteri creati all'interno di un tenant. Con i gruppi di rilevamento e le varianti, le organizzazioni possono modificare gli indicatori di rischio Insider predefiniti e personalizzare i rilevamenti per diversi set di utenti. Ad esempio, per ridurre il numero di falsi positivi per le attività di posta elettronica, è possibile creare una variante dell'indicatore predefinito Invio di messaggi di posta elettronica con allegati a destinatari esterni all'organizzazione per rilevare solo i messaggi di posta elettronica inviati ai domini personali.

Processo complessivo per creare un gruppo di rilevamento e usarlo insieme a una variante di indicatore predefinita

La creazione di un gruppo di rilevamento e l'uso di tale gruppo insieme a una variante includono quattro passaggi:

1. Creare un gruppo di rilevamento come descritto in questo articolo. Si selezionerà questo gruppo di rilevamento quando si crea la variante.
2. Creare la variante.
3. Usare la variante in un criterio nuovo o esistente.
4. Esaminare gli avvisi relativi alle attività specificate nella variante.

Creare un gruppo di rilevamento

Per creare una variante di un indicatore predefinito, iniziare creando un gruppo di rilevamento. Un gruppo di rilevamento consente di definire l'ambito di un indicatore predefinito per concentrarsi sulle attività di valore elevato importanti per l'organizzazione.

Ogni indicatore dei criteri include determinati tipi di rilevamento applicabili a tale indicatore. Ad esempio, per la condivisione di file di SharePoint con persone esterne all'indicatore dell'organizzazione , uno dei tipi di rilevamento è domini. Quando si condivide un file di SharePoint, si sceglie un dominio con cui condividere il file. Non tutti gli indicatori hanno gli stessi tipi di rilevamento. Ad esempio, i domini sono un tipo di rilevamento dei file di SharePoint di condivisione con persone esterne all'indicatore dell'organizzazione , ma non è un tipo di rilevamento dell'indicatore Creazione o copia di file in USB perché non è applicabile in questo caso.

La gestione dei rischi Insider supporta attualmente sette tipi di rilevamento:

• Domini
• Percorsi di file   
• Tipi di file
• Parole chiave
• Tipi di informazioni sensibili
• Siti di SharePoint
• Classificatori sottoponibili a training

Consiglio

Quando si crea un gruppo di rilevamento, è possibile visualizzare tutti gli indicatori applicabili per un rilevamento specifico selezionando il collegamento Visualizza indicatori applicabili nel testo introduttivo per il tipo di gruppo.

Le procedure seguenti illustrano come creare un gruppo di rilevamento per ogni tipo di gruppo.

Creare un gruppo di rilevamento dei domini

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).

2. Nel pannello a destra, in Tipo, selezionare Domini.

3. Nel pannello a destra selezionare Nuovo gruppo di dominio.

4. Nel riquadro Nuovo gruppo di dominio aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).

5. Nel campo Aggiungi domini immettere un dominio e quindi premere INVIO. Continuare ad aggiungere altri domini nello stesso modo oppure, se si dispone di un lungo elenco di domini da aggiungere, è possibile importarli come file CSV selezionando Importa domini da file CSV. I domini aggiunti sono elencati nella parte inferiore del riquadro. È possibile creare fino a 10 gruppi di rilevamento di dominio e ogni gruppo può avere fino a 200 elementi.

   Nota

   Per specificare sottodomini a più livelli per un dominio radice, selezionare la casella di controllo Includi sottodomini a più livelli , aggiungere un dominio e quindi premere INVIO per aggiungere il dominio all'elenco. Tutti i sottodomini inclusi in tale dominio verranno inclusi. Ripetere lo stesso processo per aggiungere altri domini e quindi selezionare Aggiungi domini al termine.

   Consiglio

   È possibile usare caratteri jolly per trovare una corrispondenza con le varianti dei domini radice o dei sottodomini. Ad esempio, per specificare sales.wingtiptoys.com e support.wingtiptoys.com, usare la voce con caratteri jolly '*.wingtiptoys.com' per trovare la corrispondenza con questi sottodomini (e qualsiasi altro sottodominio allo stesso livello).

6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei percorsi di file

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
2. Nel pannello a destra, in Tipo, selezionare Percorsi file.
3. Nel pannello a destra selezionare Nuovo gruppo di percorsi file.
4. Nel riquadro Nuovo gruppo di percorsi file aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
5. Selezionare Aggiungi percorsi file, selezionare i percorsi di file da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di rilevamento dei percorsi file e ogni gruppo può avere fino a 200 elementi.
6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei tipi di file

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
2. Nel pannello a destra, in Tipo, selezionare Tipi di file.
3. Nel pannello a destra selezionare Nuovo gruppo di tipi di file.
4. Nel riquadro Nuovo gruppo di tipi di file aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
5. Nel campo Aggiungi tipo di file immettere un'estensione di file e quindi premere INVIO. Continuare ad aggiungere altre estensioni di file nello stesso modo. Le estensioni aggiunte sono elencate nella parte inferiore del riquadro. È possibile creare fino a 10 gruppi di rilevamento dei tipi di file e ogni gruppo può avere fino a 200 elementi.
6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento delle parole chiave

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
2. Nel pannello a destra, in Tipo, selezionare Parole chiave.
3. Nel pannello a destra selezionare Nuovo gruppo di parole chiave.
4. Nel riquadro Nuovo gruppo di parole chiave aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
5. Nel campo Aggiungi parole chiave immettere una parola chiave e quindi premere INVIO. Ripetere questo processo per ogni parola chiave da aggiungere. Le parole chiave aggiunte sono elencate nella parte inferiore del riquadro. È possibile creare fino a 10 gruppi di rilevamento delle parole chiave e ogni gruppo può avere fino a 200 elementi.
6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei tipi di informazioni sensibili

Nota

L'elenco di esclusione dei tipi di informazioni sensibili ha la precedenza sull'elenco di contenuto prioritario .

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
2. Nel pannello a destra, in Tipo, selezionare Tipi di informazioni sensibili.
3. Nel pannello a destra selezionare Nuovo gruppo di tipi di informazioni sensibili.
4. Nel riquadro Nuovo gruppo di tipi di informazioni sensibili aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
5. Selezionare Aggiungi tipi di informazioni sensibili, selezionare i tipi di informazioni sensibili da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di tipi di informazioni sensibili e ogni gruppo può avere fino a 200 elementi.
6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento dei siti di SharePoint

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
2. Nel pannello a destra, in Tipo, selezionare Siti di SharePoint.
3. Nel pannello a destra selezionare Nuovo gruppo di siti di SharePoint.
4. Nel riquadro Nuovo gruppo di siti di SharePoint aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
5. Selezionare Aggiungi siti, selezionare i siti di SharePoint da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di rilevamento siti di SharePoint e ogni gruppo può avere fino a 200 elementi.
6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Creare un gruppo di rilevamento classificatore sottoponibile a training

1. Nelle impostazioni di gestione dei rischi Insider selezionare Gruppi di rilevamento (anteprima).
2. Nel pannello a destra, in Tipo, selezionare Classificatori sottoponibili a training.
3. Nel pannello a destra selezionare Nuovo gruppo di classificatori sottoponibili a training.
4. Nel riquadro Del gruppo Nuovi classificatori sottoponibili a training aggiungere un nome per il gruppo (o accettare il nome suggerito) e una descrizione (facoltativa).
5. Selezionare Aggiungi classificatori sottoponibili a training, selezionare i classificatori sottoponibili a training da escludere dall'assegnazione dei punteggi e quindi selezionare Aggiungi. È possibile creare fino a 10 gruppi di rilevamento classificatori sottoponibili a training e ogni gruppo può avere fino a 200 elementi.
6. Selezionare Salva. Verrà visualizzata una finestra di dialogo Passaggi successivi che consiglia il passaggio successivo del processo, che include l'uso di questo gruppo di rilevamento in una variante.

Vedere anche

• Creare una variante di un indicatore predefinito.
• Usare una variante in un criterio nuovo o esistente.
• Analizzare gli avvisi correlati alle attività specificate in una variante.