Avvisi relativi alla gestione dei rischi InsiderInsider risk management alerts

Gli avvisi di gestione dei rischi Insider vengono generati automaticamente dagli indicatori di rischio definiti nei criteri di gestione dei rischi.Insider risk management alerts are automatically generated by risk indicators defined in insider risk management policies. Gli avvisi forniscono agli analisti e ai ricercatori una panoramica generale dello stato del rischio corrente e consentono all'organizzazione di valutare e intraprendere azioni per i rischi individuati.These alerts give compliance analysts and investigators an all-up view of the current risk status and allow your organization to triage and take actions for discovered risks. Per impostazione predefinita, i criteri generano una determinata quantità di avvisi di gravità bassa, media e alta, ma è possibile aumentare o diminuire il volume degli avvisi per soddisfare le proprie esigenze.By default, policies generate a certain amount of low, medium, and high severity alerts, but you can increase or decrease the alert volume to suit your needs. È inoltre possibile configurare la soglia di avviso per gli indicatori dei criteri quando si crea un nuovo criterio con la creazione guidata criteri.Additionally, you can configure the alert threshold for policy indicators when creating a new policy with the policy wizard.

Dashboard avvisiAlert dashboard

Il dashboard di avviso dei rischi insider consente di visualizzare e agire su avvisi generati da criteri di rischio Insider.The insider risk Alert dashboard allows you to view and act on alerts generated by insider risk policies. Ogni widget del report Visualizza informazioni per gli ultimi 30 giorni.Each report widget displays information for last 30 days.

  • Avvisi per la revisione: sono elencati il numero totale di avvisi che richiedono la revisione e la valutazione, inclusa una scomposizione in base alla gravità degli avvisi.Alerts to review: The total number of alerts needing review and triage are listed, including a breakdown by alert severity.
  • Aprire avvisi negli ultimi 30 giorni: il numero totale di avvisi creati da criteri corrisponde negli ultimi 30 giorni, ordinati in base ai livelli di gravità degli avvisi alti, medi e bassi.Open alerts over past 30 days: The total number of alerts created by policy matches over the last 30 days, sorted by high, medium, and low alert severity levels.
  • Tempo medio per la risoluzione degli avvisi: un riepilogo delle statistiche utili sugli avvisi:Average time to resolve alerts: A summary of useful alert statistics:
    • Tempo medio per risolvere gli avvisi di gravità elevata, elencati in ore, giorni o mesi.Average time to resolve high severity alerts, listed in hours, days, or months.
    • Tempo medio per la risoluzione degli avvisi di gravità media, elencati in ore, giorni o mesi.Average time to resolve medium severity alerts, listed in hours, days, or months.
    • Tempo medio per risolvere gli avvisi di gravità bassa, elencati in ore, giorni o mesi.Average time to resolve low severity alerts, listed in hours, days, or months.

Dashboard di avviso gestione dei rischi Insider

Nota

Insider Risk Management utilizza la limitazione degli avvisi incorporata per proteggere e ottimizzare l'analisi dei rischi e l'esperienza di revisione.Insider risk management uses built-in alert throttling to help protect and optimize your risk investigation and review experience. Questa limitazione protegge i problemi che possono comportare un sovraccarico di avvisi sui criteri, ad esempio i connettori dati non configurati correttamente o i criteri DLP.This throttling guards against issues that might result in an overload of policy alerts, such as misconfigured data connectors or DLP policies. Di conseguenza, potrebbe verificarsi un ritardo nella visualizzazione di nuovi avvisi per un utente.As a result, there might be a delay in displaying new alerts for a user.

Stato avviso e gravitàAlert status and severity

È possibile valutare gli avvisi in uno degli Stati seguenti:You can triage alerts into one of the following statuses:

  • Confermato: avviso confermato e assegnato a un caso nuovo o esistente.Confirmed: An alert confirmed and assigned to a new or existing case.
  • Respinto: un avviso è stato respinto come benigno nel processo di valutazione.Dismissed: An alert dismissed as benign in the triage process.
  • Revisione delle esigenze: un nuovo avviso in cui le azioni di valutazione non sono state ancora eseguite.Needs review: A new alert where triage actions have not yet been taken.
  • Risolto: avviso che fa parte di un caso chiuso e risolto.Resolved: An alert that is part of a closed and resolved case.

I punteggi dei rischi di avviso vengono calcolati automaticamente da diversi indicatori di attività di rischio.Alert risk scores are automatically calculated from several risk activity indicators. Tali indicatori includono il tipo di attività di rischio, il numero e la frequenza dell'evento attività, la cronologia delle attività di rischio per gli utenti e l'aggiunta dei rischi di attività che possono aumentare la gravità dell'attività.These indicators include the type of risk activity, the number and frequency of the activity occurrence, the history of user risk activity, and the addition of activity risks that may boost the seriousness of the activity. Il Punteggio di rischio avviso determina l'assegnazione a livello di programmazione di un livello di gravità dei rischi per ogni avviso e non può essere personalizzato.The alert risk score drives the programmatic assignment of a risk severity level for each alert and cannot be customized. Se gli avvisi rimangono non valutati e le attività di rischio continuano a essere attribuite all'avviso, il livello di gravità del rischio può aumentare.If alerts remain untriaged and risk activities continue to accrue to the alert, the risk severity level can increase. Gli analisti di rischio e gli investigatori possono utilizzare la severità dei rischi di avviso per aiutare gli avvisi di valutazione in conformità con le norme e i criteri di rischio dell'organizzazione.Risk analysts and investigators can use the alert risk severity to help triage alerts in accordance with your organization's risk policies and standards.

I livelli di gravità dei rischi di avviso sono:Alert risk severity levels are:

  • Gravità elevata: le attività e gli indicatori per l'avviso presentano un rischio significativo.High severity: The activities and indicators for the alert pose significant risk. Le attività associate ai rischi sono gravi, ripetitive e corelascono fortemente ad altri fattori di rischio significativi.The associated risk activities are serious, repetitive, and corelate strongly to other significant risk factors.
  • Gravità media: le attività e gli indicatori dell'avviso rappresentano un rischio moderato.Medium severity: The activities and indicators for the alert pose a moderate risk. Le attività associate ai rischi sono moderate, frequenti e hanno una certa correlazione con altri fattori di rischio.The associated risk activities are moderate, frequent, and have some correlation to other risk factors.
  • Gravità bassa: le attività e gli indicatori dell'avviso rappresentano un rischio minore.Low severity: The activities and indicators for the alert pose a minor risk. Le attività associate ai rischi sono minime, più rare e non coriguardano altri fattori di rischio significativi.The associated risk activities are minor, more infrequent, and do not corelate to other significant risk factors.

Filtrare gli avvisi nel dashboard degli avvisiFilter alerts on the Alert dashboard

A seconda del numero e del tipo di criteri di gestione dei rischi Insider attivi nell'organizzazione, la revisione di una coda di avvisi di grandi dimensioni può essere impegnativa.Depending on the number and type of active insider risk management policies in your organization, reviewing a large queue of alerts can be challenging. L'utilizzo dei filtri avvisi può consentire agli analisti e agli investigatori di ordinare gli avvisi in base a diversi attributi.Using alert filters can help analysts and investigators sort alerts by several attributes. Per filtrare gli avvisi nel Dashboard avvisi, selezionare il controllo filtro .To filter alerts on the Alerts dashboard, select the Filter control. È possibile filtrare gli avvisi in base a uno o più attributi:You can filter alerts by one or more attributes:

  • Stato: selezionare uno o più valori di stato per filtrare l'elenco degli avvisi.Status: Select one or more status values to filter the alert list. Le opzioni vengono confermate, ignorate, devono essere riesaminatee risolte.The options are Confirmed, Dismissed, Needs review, and Resolved.
  • Severity: selezionare uno o più livelli di gravità dei rischi di avviso per filtrare l'elenco degli avvisi.Severity: Select one or more alert risk severity levels to filter the alert list. Le opzioni sono High, mediume low.The options are High, Medium, and Low.
  • Tempo rilevato: selezionare le date di inizio e di fine per il momento in cui è stato creato l'avviso.Time detected: Select the start and end dates for when the alert was created.
  • Criterio: selezionare uno o più criteri per filtrare gli avvisi generati dai criteri selezionati.Policy: Select one or more policies to filter the alerts generated by the selected policies.

Avvisi di ricerca nel dashboard di avvisoSearch alerts on the Alert dashboard

Per cercare il nome dell'avviso per una parola specifica, selezionare il controllo di ricerca e digitare la parola da cercare.To search the alert name for a specific word, select the Search control and type the word to search. Nei risultati della ricerca viene visualizzato qualsiasi avviso di criteri contenente la parola definita nella ricerca.The search results display any policy alert containing the word defined in the search.

Avvisi di valutazioneTriage alerts

Per valutare un avviso di rischio Insider, eseguire i passaggi seguenti:To triage an insider risk alert, complete the following steps:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda avvisi .In the Microsoft 365 compliance center, go to Insider risk management and select the Alerts tab.
  2. Nel Dashboard avvisiselezionare l'avviso che si desidera sottoporre a triage.On the Alerts dashboard, select the alert you want to triage.
  3. Nel riquadro dei dettagli avvisiè possibile esaminare le schede seguenti e valutare l'avviso:On the Alerts detail pane, you can review the following tabs and triage the alert:
    • Riepilogo: questa scheda contiene informazioni generali sull'avviso e consente di confermare l'avviso e creare un nuovo caso oppure di chiudere l'avviso.Summary: This tab contains general information about the alert and allows you to confirm the alert and create a new case or allows you to dismiss the alert. Include lo stato corrente per l'avviso e il livello di gravità del rischio di avviso, elencato come alto, medioo basso.It includes the current status for the alert and the alert risk severity level, listed as High, Medium, or Low. Il livello di gravità può aumentare o diminuire nel tempo se l'avviso non è valutato.The severity level may increase or decrease over time if the alert is not triaged.
      • Cosa è successo: Visualizza le prime tre attività a rischio e le corrispondenze di criteri durante il periodo di valutazione delle attività, incluso il tipo di violazione associato all'attività.What happened: Displays the top three risk activities and policy matches during the activity evaluation period, including the type of violation associated with the activity.
      • Dettagli utente: Visualizza informazioni generali sull'utente assegnato all'avviso.User details: Displays general information about the user assigned to the alert. Se Anonymization è abilitato, il nome utente, l'indirizzo di posta elettronica, l'alias e i campi dell'organizzazione sono anonimi.If anonymization is enabled, the username, email address, alias, and organization fields are anonymized.
      • Dettagli avviso: include il periodo di tempo in cui è stato generato l'avviso, vengono elencati i criteri che hanno generato l'avviso e viene elencato il caso generato dall'avviso.Alert details: Includes the length of time since the alert was generated, the policies that generated the alert are listed, and the case generated from the alert is listed. Per i nuovi avvisi, il campo case non visualizza nessuno.For new alerts, the Case field displays None.
      • Contenuto rilevato: include il contenuto associato alle attività relative ai rischi per l'avviso e riepiloga gli eventi di attività in base alle aree principali.Content detected: Includes content associated with the risk activities for the alert and summarizes activity events by key areas. La selezione di un collegamento attività consente di aprire Esplora attività e di visualizzare ulteriori dettagli sull'attività.Selecting an activity link opens the Activity explorer and displays additional details about the activity.
    • Attività utente: questa scheda Visualizza la cronologia delle attività per l'utente associato all'avviso.User activity: This tab displays the activity history for the user associated with the alert. Questa cronologia include altri avvisi e attività correlati agli indicatori di rischio definiti nel modello assegnato ai criteri per questo avviso.This history includes other alerts and activities related to risk indicators defined in the template assigned to the policy for this alert. Questa cronologia consente agli analisti e ai ricercatori di rischi di fattorizzare qualsiasi comportamento di rischio passato per il dipendente nell'ambito del processo di valutazione.This history allows risk analysts and investigators to factor in any past risky behavior for the employee as part of the triage process.
    • Azioni: le azioni seguenti sono disponibili per ogni avviso:Actions: The following actions are available for each alert:
      • Apri visualizzazione espansa: apre il dashboard attività Esplora risorse .Open expanded view: Opens the Activity explorer dashboard.
      • Confermare e creare un caso: utilizzare questa azione per confermare e creare un nuovo caso per tutti gli avvisi associati a un utente.Confirm and create case: Use this action to confirm and create a new case for all the alerts associated with a user. Questa azione consente di modificare automaticamente lo stato dell'avviso su confermato.This action automatically changes the alert status to Confirmed.
      • Ignora avviso: utilizzare questa azione per eliminare l'avviso.Dismiss alert: Use this action to dismiss the alert. Questa azione consente di modificare lo stato dell'avviso su risolto.This action changes the alert status to Resolved.

Esplora attività (anteprima)Activity explorer (preview)

Nota

Esplora attività è disponibile nell'area Gestione avvisi per gli utenti con eventi di attivazione dopo che questa funzionalità è disponibile nell'organizzazione.Activity explorer is available in the alert management area for users with triggering events after this feature is available in your organization.

L'esploratore attività fornisce ricercatori e analisti del rischio con uno strumento analitico completo che fornisce informazioni dettagliate sugli avvisi.The Activity explorer provides risk investigators and analysts with a comprehensive analytic tool that provides detailed information about alerts. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale di attività di rischio rilevata e identificare e filtrare tutte le attività di rischio associate agli avvisi.With the Activity explorer, reviewers can quickly review a timeline of detected risky activity and identify and filter all risk activities associated with alerts. Per filtrare gli avvisi nell'Esplora attività, selezionare il controllo filtro.To filter alerts on the Activity explorer, select the Filter control. È possibile filtrare gli avvisi in base a uno o più attributi elencati nel riquadro dei dettagli per l'avviso.You can filter alerts by one or more attributes listed in the details pane for the alert. Esplora attività supporta anche colonne personalizzabili per aiutare gli investigatori e gli analisti a concentrare il dashboard sulle informazioni più importanti.Activity explorer also supports customizable columns to help investigators and analysts focus the dashboard on the information most important to them.

Panoramica dell'esplorazione delle attività di gestione dei rischi Insider

Per utilizzare Esplora attività, eseguire la procedura seguente:To use the Activity explorer, complete the following steps:

  1. Nel centro conformità di Microsoft 365 accedere a gestione dei rischi Insider e selezionare la scheda avvisi .In the Microsoft 365 compliance center, go to Insider risk management and select the Alerts tab.
  2. Nel Dashboard avvisiselezionare l'avviso che si desidera sottoporre a triage.On the Alerts dashboard, select the alert you want to triage.
  3. Nel riquadro dei dettagli avvisiselezionare Apri visualizzazione espansa.On the Alerts detail pane, select Open expanded view.
  4. Nella pagina relativa all'avviso selezionato, selezionare la scheda Esplora attività .On the page for the selected alert, select the Activity explorer tab.

Quando si esaminano le attività nell'esploratore attività, gli investigatori e gli analisti possono selezionare un'attività specifica e aprire il riquadro dei dettagli attività.When reviewing activities in the Activity explorer, investigators and analysts can select a specific activity and open the activity details pane. Nel riquadro vengono visualizzate informazioni dettagliate sull'attività che gli investigatori e gli analisti possono utilizzare durante il processo di valutazione degli avvisi.The pane displays detailed information about the activity that investigators and analysts can use during the alert triage process. Le informazioni dettagliate possono fornire un contesto per l'avviso e facilitare l'identificazione dell'ambito completo dell'attività di rischio che ha attivato l'avviso.The detailed information may provide context for the alert and assist with identifying the full scope of the risk activity that triggered the alert.

Informazioni dettagliate sull'attività Gestione rischi Insider Management

Creare un caso per un avvisoCreate a case for an alert

Come avviso viene esaminato e valutato, è possibile creare un nuovo caso per analizzare ulteriormente l'attività di rischio.As alert is reviewed and triaged, you can create a new case to further investigate the risk activity. Per creare un caso per un avviso, eseguire la procedura seguente:To create a case for an alert, follow these steps:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda avvisi .In the Microsoft 365 compliance center, go to Insider risk management and select the Alerts tab.
  2. Nel Dashboard avvisiselezionare l'avviso per il quale si desidera confermare e creare un nuovo caso.On the Alerts dashboard, select the alert you want to confirm and create a new case for.
  3. Nel riquadro dei dettagli avvisiselezionare azioniper > confermare gli avvisi & creare un caso.On the Alerts details pane, select Actions > Confirm alerts & create case.
  4. Nella finestra di dialogo conferma avviso e crea caso di rischio Insider immettere un nome per il caso, selezionare gli utenti da aggiungere come collaboratori e aggiungere i commenti come applicabili.On the Confirm alert and create insider risk case dialog, enter a name for the case, select users to add as contributors, and add comments as applicable. I commenti vengono aggiunti automaticamente al caso come nota del caso.Comments are automatically added to the case as a case note.
  5. Selezionare Crea caso per creare un nuovo caso o seleziona Annulla per chiudere la finestra di dialogo senza creare un caso.Select Create case to create a new case or select Cancel to close the dialog without creating a case.

Dopo aver creato il caso, gli investigatori e gli analisti possono gestire e agire sul caso.After the case is created, investigators and analysts can manage and act on the case. Per ulteriori informazioni, vedere l'articolo relativo al caso di gestione dei rischi Insider .See the Insider risk management case article for more details.