Casi di gestione dei rischi InsiderInsider risk management cases

I casi sono il fulcro della gestione dei rischi Insider e consentono di approfondire e di agire su questioni generate da indicatori di rischio definiti nei criteri.Cases are the heart of insider risk management and allow you to deeply investigate and act on issues generated by risk indicators defined in your policies. I casi vengono creati manualmente da avvisi in situazioni in cui è necessaria un'ulteriore azione per risolvere un problema relativo alla conformità per un utente.Cases are manually created from alerts in situations where further action is needed to address a compliance-related issue for a user. Ogni caso ha l'ambito di un singolo utente e più avvisi per l'utente possono essere aggiunti a un caso esistente o a un nuovo caso.Each case is scoped to a single user and multiple alerts for the user can be added to an existing case or to a new case.

Dopo aver esaminato i dettagli di un caso, è possibile eseguire le operazioni seguenti:After investigating the details of a case, you can take action by:

  • invio di un avviso all'utentesending the user a notice
  • risoluzione del caso come benignoresolving the case as benign
  • condivisione del caso con l'istanza di ServiceNow o con un destinatario di posta elettronicasharing the case with your ServiceNow instance or with an email recipient
  • escalation del caso di un'indagine eDiscovery avanzataescalating the case for an Advanced eDiscovery investigation

Dashboard per i casiCases dashboard

Il dashboard Insider Risk Management Cases consente di visualizzare e agire sui casi.The insider risk management Cases dashboard allows you to view and act on cases. Ogni widget del report nel dashboard Visualizza le informazioni per gli ultimi 30 giorni.Each report widget on the dashboard displays information for last 30 days.

  • Casi attivi : numero totale di casi attivi in esame.Active cases : The total number of active cases under investigation.
  • Casi negli ultimi 30 giorni : il numero totale di casi creati, ordinati in base allo stato attivo e chiuso .Cases over past 30 days : The total number of cases created, sorted by Active and Closed status.
  • Statistiche : tempo medio dei casi attivi, elencati in ore, giorni o mesi.Statistics : Average time of active cases, listed in hours, days, or months.

La coda case elenca tutti i casi attivi e chiusi per l'organizzazione, oltre allo stato corrente dei seguenti attributi di caso:The case queue lists all active and closed cases for your organization, in addition to the current status of the following case attributes:

  • Nome del caso : il nome del caso, definito quando viene confermato un avviso e viene creato il caso.Case name : The name of the case, defined when an alert is confirmed and the case is created.
  • Stato : lo stato del caso, attivo o chiuso .Status : The status of the case, either Active or Closed .
  • Utente : l'utente per il caso.User : The user for the case. Se Anonymization per i nomi utente è abilitato, vengono visualizzate le informazioni di anonimi.If anonymization for usernames is enabled, anonymized information is displayed.
  • Caso di tempo aperto : il tempo trascorso dopo l'apertura del caso.Time case opened : The time that has passed since the case was opened.
  • Totale avvisi sui criteri : il numero di corrispondenze di criteri incluse nel caso.Total policy alerts : The number of policy matches included in the case. Questo numero potrebbe aumentare se sono stati aggiunti nuovi avvisi al caso.This number may increase if new alerts are added to the case.
  • Ultimo aggiornamento : il tempo trascorso dal momento in cui è stata aggiunta una nota del caso o una modifica nello stato del caso.Last updated : The time that has passed since there has been an added case note or change in the case state.
  • Ultimo aggiornamento : il nome dell'analista di gestione dei rischi insider o del ricercatore che ha aggiornato l'ultima volta il caso.Last updated by : The name of the insider risk management analyst or investigator that last updated the case.

Dashboard dei casi di gestione del rischio Insider

Utilizzare il controllo di ricerca per cercare i nomi dei casi per testo specifico e utilizzare il filtro case per ordinare i casi in base ai seguenti attributi:Use the Search control to search case names for specific text and use the case filter to sort cases by the following attributes:

  • StatoStatus
  • Caso di tempo aperto, data di inizio e data di fineTime case opened, start date, and end date
  • Ultimo aggiornamento, data di inizio e data di fineLast updated, start date, and end date

Casi di filtroFilter cases

A seconda del numero e del tipo di criteri di gestione dei rischi Insider attivi nell'organizzazione, la revisione di una coda di casi di grandi dimensioni può essere difficile.Depending on the number and type of active insider risk management policies in your organization, reviewing a large queue of cases can be challenging. L'utilizzo di filtri case può aiutare gli analisti e gli investigatori a ordinare i casi in base a diversi attributi.Using case filters can help analysts and investigators sort cases by several attributes. Per filtrare gli avvisi nel dashboard dei casi , selezionare il controllo filtro .To filter alerts on the Cases dashboard , select the Filter control. È possibile filtrare i casi in base a uno o più attributi:You can filter cases by one or more attributes:

  • Stato : selezionare uno o più valori di stato per filtrare l'elenco dei casi.Status : Select one or more status values to filter the case list. Le opzioni sono attive e chiuse .The options are Active and Closed .
  • Caso di tempo aperto : selezionare le date di inizio e di fine per il caso in cui è stato aperto.Time case opened : Select the start and end dates for when the case was opened.
  • Ultimo aggiornamento : selezionare le date di inizio e di fine per il caso in cui è stato aggiornato.Last updated : Select the start and end dates for when the case was updated.

Esaminare un casoInvestigate a case

Indagini più approfondite sugli avvisi di gestione dei rischi Insider sono fondamentali per l'esecuzione di azioni correttive appropriate.Deeper investigation into insider risk management alerts is critical to taking proper corrective actions. I casi di gestione dei rischi Insider sono lo strumento di gestione centrale per approfondire la cronologia delle attività e i dettagli degli avvisi degli utenti, nonché per esplorare il contenuto e i messaggi esposti ai rischi.Insider risk management cases are the central management tool to dive deeper into user risk activity history and alert details, and to explore the content and messages exposed to risks. Gli analisti e gli investigatori di rischio usano anche casi per centralizzare commenti e suggerimenti e per elaborare la risoluzione dei casi.Risk analysts and investigators also use cases to centralize review feedback and notes and to process case resolution.

Se si seleziona un caso, vengono aperti gli strumenti di gestione dei casi e gli analisti e gli investigatori possono analizzare i dettagli nei casi.Selecting a case opens the case management tools and allows analysts and investigators to dig into the details of cases.

Panoramica del casoCase overview

La scheda Panoramica del caso riepiloga la cronologia delle attività di avviso e del livello di rischio per il caso.The Case overview tab summarizes the alert activity and risk level history for the case.

  • Il widget avvisi Visualizza le corrispondenze dei criteri per il caso, incluso lo stato dell'avviso, la gravità del rischio di avviso e il momento in cui è stato rilevato l'avviso.The Alerts widget shows the policy matches for the case, including the status of the alert, the alert risk severity, and when the alert was detected.
  • Il grafico della cronologia a livello di rischio Visualizza il livello di rischio degli utenti negli ultimi 30 giorni.The Risk level history chart displays the user risk level over the last 30 days. Il grafico a linee consente agli analisti e ai ricercatori di visualizzare rapidamente la tendenza del rischio globale degli utenti nel tempo.The line chart allows analysts and investigators to quickly see the trend in overall user risk over time.
  • Il widget contenuto attività di rischio riepiloga i tipi di dati e il contenuto contenuti negli avvisi aggiunti al caso.The Risk activity content widget summarizes the types of data and content contained in alerts added to the case. Questo widget fornisce una visualizzazione all-up dell'intero set di dati e di contenuto a rischio nel caso.This widget gives an all-up view of the entire data and content set at risk in the case.

Il riquadro dei Dettagli del case è disponibile in tutte le schede di gestione dei casi e riepiloga i dettagli del caso per analisti e ricercatori di rischio.The Case details pane is available on all case management tabs and summarizes the case details for risk analysts and investigators. Include le aree seguenti:It includes the following areas:

  • Nome del caso : il nome del caso, preceduto da un numero di sequenza di caso generato automaticamente e il nome del rischio associato al modello di criteri per il quale il primo avviso ha confermato la corrispondenza.Case name : The name of the case, prefixed with an autogenerated case sequence number and the name of the risk associated with the policy template that the first confirmed alert matches.
  • Stato del caso : lo stato corrente del caso, attivo o chiuso .Case status : The current status of the case, either Active or Closed .
  • Punteggio di rischio dell'utente : il livello di rischio calcolato corrente dell'utente per il caso.User's risk score : The current calculated risk level of the user for the case. Questo punteggio viene calcolato ogni 24 ore e utilizza i punteggi dei rischi di avviso provenienti da tutti gli avvisi attivi associati all'utente.This score is calculated every 24 hours and uses the alert risk scores from all active alerts associated to the user.
  • Avvisi confermati : elenco degli avvisi per l'utente confermati per il caso.Alerts confirmed : List of alerts for the user confirmed for the case.
  • Contenuto correlato : elenco di contenuti, ordinati in base a origini di contenuto e tipi.Related content : List of content, sorted by content sources and types. Ad esempio, nel caso di contenuto di avviso in SharePoint Online, è possibile che vengano visualizzati i nomi delle cartelle o dei file elencati associati all'attività di rischio per gli avvisi nel caso.For example, for case alert content in SharePoint Online, you may see folder or file names listed that are associated with the risk activity for alerts in the case.

Dettagli sul caso di gestione dei rischi Insider

AvvisiAlerts

La scheda avvisi riepiloga gli avvisi correnti inclusi nel caso.The Alerts tab summarizes the current alerts included in the case. È possibile aggiungere nuovi avvisi a un caso esistente e quindi aggiungerli alla coda di avviso quando vengono assegnati.New alerts may be added to an existing case and they will be added to the Alert queue as they are assigned. Gli attributi di avviso seguenti sono elencati nella coda:The following alert attributes are listed the queue:

  • StatoStatus
  • GravitàSeverity
  • Tempo rilevatoTime detected

Selezionare un avviso dalla coda per visualizzare la pagina dei Dettagli dell'avviso .Select an alert from the queue to display the Alert detail page.

Utilizzare il controllo di ricerca per cercare i nomi degli avvisi per il testo specifico e utilizzare il filtro avvisi per ordinare i casi in base ai seguenti attributi:Use the search control to search alert names for specific text and use the alert filter to sort cases by the following attributes:

  • StatoStatus
  • GravitàSeverity
  • Data e ora di inizio rilevataTime detected, start date, and end date

Utilizzare il controllo Filter per filtrare gli avvisi in base a diversi attributi, tra cui:Use the filter control to filter alerts by several attributes, including:

  • Stato : selezionare uno o più valori di stato per filtrare l'elenco degli avvisi.Status : Select one or more status values to filter the alert list. Le opzioni vengono confermate , ignorate , devono essere riesaminate e risolte .The options are Confirmed , Dismissed , Needs review , and Resolved .
  • Severity : selezionare uno o più livelli di gravità dei rischi di avviso per filtrare l'elenco degli avvisi.Severity : Select one or more alert risk severity levels to filter the alert list. Le opzioni sono High , medium e low .The options are High , Medium , and Low .
  • Tempo rilevato : selezionare le date di inizio e di fine per il momento in cui è stato creato l'avviso.Time detected : Select the start and end dates for when the alert was created.
  • Criterio : selezionare uno o più criteri per filtrare gli avvisi generati dai criteri selezionati.Policy : Select one or more policies to filter the alerts generated by the selected policies.

Attività dell'utenteUser activity

La scheda attività utente è uno degli strumenti più potenti per l'analisi dei rischi interni e l'indagine per i casi nella soluzione di gestione dei rischi Insider.The User activity tab is one of the most powerful tools for internal risk analysis and investigation for cases in the insider risk management solution. Questa scheda è strutturata per consentire la revisione rapida di un caso, tra cui una cronologia cronologica di tutti gli avvisi, tutti i dettagli sugli avvisi, il Punteggio di rischio corrente per l'utente nel caso e i controlli per intraprendere azioni efficaci per contenere i rischi nel caso.This tab is structured to enable quick review of a case, including a historical timeline of all alerts, all alerts details, the current risk score for the user in the case, and controls to take effective action to contain the risks in the case.

Attività utente Gestione rischi Insider

  1. Filtri temporali data e finestra : per impostazione predefinita, gli ultimi sei mesi di avvisi confermati nel caso vengono visualizzati nel grafico attività utente.Date and window time filters : By default, the last six months of alerts confirmed in the case are displayed in the User activity chart. È possibile filtrare facilmente la visualizzazione del grafico con i controlli Slider a entrambe le estremità della finestra del grafico oppure definendo date di inizio e fine specifiche nel controllo filtro grafico.You can easily filter the chart view with either the slider controls at both ends of the chart window, or by defining specific start and end dates in the chart filter control.
  2. Attività e dettagli dell'avviso di rischio : le attività a rischio sono visualizzate visivamente come bolle colorate nel grafico attività utente.Risk alert activity and details : Risk activities are visually displayed as colored bubbles in the User activity chart. Le bolle vengono create per diverse categorie di rischi e le dimensioni delle bolle sono proporzionali al numero di attività di rischio per la categoria.Bubbles are created for different categories of risk and bubble size is proportional to the number of risk activities for the category. Selezionare una bolla per visualizzare i dettagli di ogni attività di rischio.Select a bubble to display the details for each risk activity. I dettagli includono:Details include:
    • Data dell'attività di rischio.Date of the risk activity.
    • La Categoria attività di rischio .The risk activity category . Ad esempio, i messaggi di posta elettronica con allegati inviati al di fuori dell'organizzazione o dei file scaricati da SharePoint Online .For example, Email(s) with attachments sent outside the organization or File(s) downloaded from SharePoint Online .
    • Punteggio di rischio per l'avviso.Risk score for the alert. Questo punteggio è il punteggio numerico per il livello di gravità dei rischi di avviso.This score is the numerical score for the alert risk severity level.
    • Numero di eventi associati all'avviso.Number of events associated with the alert. Sono inoltre disponibili collegamenti a ogni file o indirizzo di posta elettronica associato all'attività di rischio.Links to each file or email associated with the risk activity is also available.
  3. Legenda attività rischio : nella parte inferiore del grafico attività utente, una legenda con codice a colori consente di determinare rapidamente la categoria dei rischi per ogni avviso.Risk activity legend : Across the bottom of the user activity chart, a color-coded legend helps you quickly determine risk category for each alert.
  4. Cronologia attività di rischio : sono elencate le cronologie complete di tutti gli avvisi di rischio associati al caso, inclusi tutti i dettagli disponibili nel corrispondente bolla di avviso.Risk activity chronology : The full chronology of all risk alerts associated with the case are listed, including all the details available in the corresponding alert bubble.
  5. Azioni del caso : le opzioni per la risoluzione del caso si trovano nella barra degli strumenti azione caso.Case actions : Options for resolving the case are on the case action toolbar. È possibile risolvere un caso, inviare un messaggio di posta elettronica all'utente oppure inoltrare il caso per una ricerca di dati o di utenti.You can resolve a case, send an email notice to the user, or escalate the case for a data or user investigation.

Esplora attività (anteprima)Activity explorer (preview)

Importante

La scheda Esplora attività è disponibile nell'area di gestione dei casi per gli utenti con eventi di attivazione dopo che questa funzionalità è disponibile nell'organizzazione.The Activity explorer tab is available in the case management area for users with triggering events after this feature is available in your organization.

La scheda Esplora attività consente agli analisti e ai ricercatori dei rischi di esaminare i dettagli relativi alle attività associati agli avvisi di rischio.The Activity explorer tab allows risk analysts and investigators to review activity details associated with risk alerts. Ad esempio, come parte delle azioni di gestione dei casi, gli investigatori e gli analisti potrebbero dover rivedere tutte le attività a rischio associate al caso per ulteriori dettagli.For example, as part of the case management actions, investigators and analysts may need to review all the risk activities associated with the case for more details. Con Esplora attività , i revisori possono esaminare rapidamente una sequenza temporale di attività di rischio rilevata e identificare e filtrare tutte le attività di rischio associate agli avvisi.With the Activity explorer , reviewers can quickly review a timeline of detected risky activity and identify and filter all risk activities associated with alerts.

Per ulteriori informazioni sull'attività Esplora risorse, vedere l'articolo Insider Risk Management Alerts .For more information about the Activity explorer, see the Insider risk management alerts article.

Esplora contenutoContent Explorer

La scheda Content Explorer consente agli analisti e ai ricercatori dei rischi di esaminare le copie di tutti i singoli file e messaggi di posta elettronica associati agli avvisi di rischio.The Content Explorer tab allows risk analysts and investigators to review copies of all individual files and email messages associated with risk alerts. Ad esempio, se viene creato un avviso quando un utente esegue il download di centinaia di file da SharePoint Online e l'attività attiva un avviso per i criteri, tutti i file scaricati per l'avviso vengono acquisiti e copiati nel caso di gestione dei rischi Insider provenienti da origini di archiviazione originali.For example, if an alert is created when a user downloads hundreds of files from SharePoint Online and the activity triggers a policy alert, all the downloaded files for the alert are captured and copied to the insider risk management case from original storage sources.

Content Explorer è uno strumento potente con funzionalità di ricerca e filtro di base e avanzate.The Content Explorer is a powerful tool with basic and advanced search and filtering features. Per ulteriori informazioni sull'utilizzo di Content Explorer, vedere Insider Risk Management Content Explorer.To learn more about using the Content Explorer, see Insider risk management Content Explorer.

Gestione dei contenuti del caso Insider Risk Management Explorer

Note del casoCase notes

La scheda Note del caso è il caso in cui gli analisti e gli investigatori del rischio condividono commenti, feedback e informazioni sul loro lavoro per il caso.The Case notes tab in the case is where risk analysts and investigators share comments, feedback, and insights about their work for the case. Le note sono aggiunte permanenti a un caso e non possono essere modificate o eliminate dopo il salvataggio della nota.Notes are permanent additions to a case and cannot be edited or deleted after the note is saved. Quando si crea un caso da un avviso, i commenti immessi nella finestra di dialogo conferma avviso e crea Insider Risk case vengono aggiunti automaticamente come nota del caso.When a case is created from an alert, the comments entered in the Confirm alert and create insider risk case dialog are automatically added as a case note.

Il dashboard note case Visualizza note dall'utente che ha creato la nota e l'ora passata dopo che la nota è stata salvata.The case notes dashboard displays notes by the user that created the note and the time that has passed since the note was saved. Per cercare una parola chiave specifica nel campo testo nota caso, utilizzare il pulsante Cerca nel dashboard del caso e immettere una parola chiave specifica.To search the case note text field for a specific keyword, use the Search button on the case dashboard and enter a specific keyword.

Per aggiungere una nota a un caso:To add a note to a case:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda case .In the Microsoft 365 compliance center, go to Insider risk management and select the Cases tab.
  2. Selezionare un caso, quindi selezionare la scheda note case .Select a case, then select the Case notes tab.
  3. Selezionare Add case note .Select Add case note .
  4. Nella finestra di dialogo Aggiungi nota caso Digitare la nota per il caso.On the Add case note dialog, type your note for the case. Fare clic su Salva per aggiungere la nota al caso oppure selezionare Annulla Chiudi senza salvare la nota nel caso.Select Save to add the note to the case or select Cancel close without saving the note to the case.

ContributoriContributors

La scheda Contributors nel caso in cui gli analisti e gli investigatori del rischio possono aggiungere altri revisori al caso.The Contributors tab in the case is where risk analysts and investigators can add other reviewers to the case. Per impostazione predefinita, tutti gli utenti assegnati agli analisti di gestione dei rischi Insider e ai ruoli investigatori di gestione dei rischi sono elencati come collaboratori per ogni caso attivo e chiuso.Be default, all users assigned the Insider Risk Management Analysts and Insider Risk Management Investigators roles are listed as contributors for each active and closed case.

Tutti i casi di gestione dei rischi Insider devono essere gestiti con i controlli di accesso adeguati per mantenere la riservatezza e l'integrità dell'indagine.All insider risk management cases must be managed with appropriate access controls in place to maintain confidentiality and integrity of the investigation. Per garantire il controllo dell'accesso dei casi, agli utenti viene assegnato uno dei due tipi di accesso ai casi:To help maintain access control of cases, users are assigned one of two types of access to cases:

  • Accesso permanente : l'accesso permanente viene concesso automaticamente agli utenti con gli analisti di gestione dei rischi Insider e i ruoli investigatori di gestione dei rischi Insider quando il caso viene creato da un avviso.Permanent access : Permanent access is automatically granted to users with the Insider Risk Management Analysts and Insider Risk Management Investigators roles when the case is created from an alert. L'accesso permanente garantisce il controllo completo del caso per tutta la durata del caso e garantisce la possibilità di aggiungere altri collaboratori del caso.Permanent access grants full control of the case for the lifetime of the case and grants the ability to add other case contributors.
  • Accesso temporaneo : l'accesso temporaneo è concesso solo agli utenti da collaboratori che hanno accesso permanente per il caso.Temporary access : Temporary access is only granted to users by contributors that have permanent access for the case. In genere, questo livello di accesso viene concesso all'utente che deve aggiungere note a un caso.Typically, this access level is granted to user that needs to add notes to a case. I collaboratori con accesso temporaneo dispongono di tutti i controlli di gestione dei casi, tranne:Contributors with temporary access have all case management control except:
    • Autorizzazione per confermare o ignorare gli avvisiPermission to confirm or dismiss alerts
    • Autorizzazione per la modifica dei collaboratori per i casiPermission to edit the contributors for cases
    • Autorizzazione per la visualizzazione di file e messaggi nell'Esplora contenutoPermission to view files and messages in the Content Explorer

Per aggiungere un collaboratore a un caso:To add a contributor to a case:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda case .In the Microsoft 365 compliance center, go to Insider risk management and select the Cases tab.
  2. Selezionare un caso, quindi selezionare la scheda Contributors .Select a case, then select the Contributors tab.
  3. Selezionare Aggiungi collaboratore .Select Add contributor .
  4. Nella finestra di dialogo Aggiungi collaboratore , iniziare a digitare il nome dell'utente che si desidera aggiungere, quindi selezionare l'utente dall'elenco degli utenti consigliato.On the Add contributor dialog, start typing the name of the user you want to add and then select the user from the suggested user list. Questo elenco viene generato da Azure Active Directory della sottoscrizione tenant.This list is generated from the Azure Active Directory of your tenant subscription.
  5. Nella finestra di dialogo Aggiungi collaboratore selezionare il livello di accesso per il collaboratore.On the Add contributor dialog, select the access level for the contributor. È possibile selezionare permanente o temporanea .You can select Permanent or Temporary .
  6. Selezionare Aggiungi per aggiungere l'utente come collaboratore o selezionare Annulla Chiudi la finestra di dialogo senza aggiungere l'utente come collaboratore.Select Add to add the user as a contributor or select Cancel close the dialog without adding the user as a contributor.

Azioni del casoCase actions

Gli analisti di rischio e gli investigatori possono intervenire su un caso in uno dei vari metodi, a seconda della gravità del caso, della cronologia del rischio dell'utente e delle linee guida per i rischi della propria organizzazione.Risk analysts and investigators can take action on a case in one of several methods, depending on the severity of the case, the history of risk of the user, and the risk guidelines of your organization. In alcuni casi, potrebbe essere necessario inoltrare un caso a un utente o a un'indagine dei dati per collaborare con altre aree dell'organizzazione e per approfondire le attività relative ai rischi.In some situations, you may need to escalate a case to a user or data investigation to collaborate with other areas of your organization and to dive deeper into risk activities. La gestione dei rischi Insider è strettamente integrata con altre soluzioni Microsoft 365 Compliance che consentono di gestire la risoluzione end-to-end.Insider risk management is tightly integrated with other Microsoft 365 compliance solutions to help you with end-to-end resolution management.

Invio di notifiche di posta elettronicaSend email notice

Nella maggior parte dei casi, le azioni degli utenti che creano avvisi di rischio Insider sono accidentali o casualiIn most cases, user actions that create insider risk alerts are inadvertent or accidental. L'invio di un avviso di sollecito all'utente tramite posta elettronica è un metodo efficace per documentare la revisione dei casi e l'azione, nonché un metodo per ricordare agli utenti i criteri aziendali o per indirizzarli all'aggiornamento.Sending a reminder notice to the user via email is an effective method for documenting case review and action, as well as a method to remind users of corporate policies or point them to refresher training. Gli avvisi vengono generati da modelli di avviso creati per l'infrastruttura di gestione dei rischi Insider.Notices are generated from notice templates that you create for your insider risk management infrastructure.

È importante tenere presente che l'invio di una notifica di posta elettronica a un utente * non consente di risolvere il caso come _Closed *.It's important to remember that sending an email notice to a user * does not _ resolve the case as _Closed*. In alcuni casi, è possibile che si desideri lasciare un caso aperto dopo aver inviato un avviso a un utente per cercare altre attività a rischio senza aprire un nuovo caso.In some cases, you may want to leave a case open after sending a notice to a user to look for additional risk activities without opening a new case. Se si desidera risolvere un caso dopo l'invio di un avviso, è necessario selezionare il caso di risoluzione come passaggio di follow-on dopo l'invio di un avviso.If you want to resolve a case after sending a notice, you must select the Resolve case as a follow-on step after sending a notice.

Per inviare un avviso all'utente assegnato a un caso:To send a notice to the user assigned to a case:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda case .In the Microsoft 365 compliance center, go to Insider risk management and select the Cases tab.
  2. Selezionare un caso, quindi selezionare il pulsante Invia avviso di posta elettronica sulla barra degli strumenti azione caso.Select a case, then select the Send email notice button on the case action toolbar.
  3. Nella finestra di dialogo Invia messaggio di posta elettronica , selezionare il controllo elenco a discesa scegliere un modello di avviso per selezionare il modello di avviso per l'avviso.On the Send e-mail notice dialog, select the Choose a notice template dropdown control to select the notice template for the notice. Questa selezione preriempie gli altri campi nell'avviso.This selection pre-fills the other fields on the notice.
  4. Esaminare i campi avvisi e aggiornarli in base alle esigenze.Review the notice fields and update as appropriate. I valori immessi qui sostituiranno i valori del modello.The values entered here will override the values on the template.
  5. Selezionare Invia per inviare l'avviso all'utente o selezionare Annulla Chiudi la finestra di dialogo senza inviare la notifica all'utente.Select Send to send the notice to the user or select Cancel close the dialog without sending the notice to the user. Tutte le notifiche inviate vengono aggiunte alla coda di note del caso nel dashboard di Notes del caso .All sent notices are added to the case notes queue on the Case notes dashboard.

Escalation per l'analisiEscalate for investigation

Escalation del caso per l'analisi degli utenti in situazioni in cui è necessaria una revisione legale supplementare per l'attività di rischio dell'utente.Escalate the case for user investigation in situations where additional legal review is needed for the user's risk activity. Questa escalation apre un nuovo caso di eDiscovery avanzato nell'organizzazione Microsoft 365.This escalation opens a new Advanced eDiscovery case in your Microsoft 365 organization. Advanced eDiscovery offre un flusso di lavoro end-to-end per conservare, raccogliere, rivedere, analizzare ed esportare contenuti rispondenti alle indagini legali interne ed esterne dell'organizzazione.Advanced eDiscovery provides an end-to-end workflow to preserve, collect, review, analyze, and export content that's responsive to your organization's internal and external legal investigations. Consente inoltre al team legale di gestire l'intero flusso di lavoro di notifica per la conservazione legale per comunicare con i depositari coinvolti in un caso.It also lets your legal team manage the entire legal hold notification workflow to communicate with custodians involved in a case. L'assegnazione di un revisore come custode in un caso avanzato di eDiscovery creato da un caso di gestione dei rischi Insider aiuta il team legale a prendere le misure appropriate e gestire la conservazione dei contenuti.Assigning a reviewer as a custodian in an Advanced eDiscovery case created from an insider risk management case helps your legal team take appropriate action and manage content preservation. Per ulteriori informazioni sui casi di eDiscovery avanzati, vedere Overview of Advanced eDiscovery in Microsoft 365.To learn more about Advanced eDiscovery cases, see Overview of Advanced eDiscovery in Microsoft 365.

Per inoltrare un caso a un'indagine dell'utente:To escalate a case to a user investigation:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda case .In the Microsoft 365 compliance center, go to Insider risk management and select the Cases tab.
  2. Selezionare un caso, quindi selezionare il pulsante escalation for investigation sulla barra degli strumenti azione case.Select a case, then select the Escalate for investigation button on the case action toolbar.
  3. Nella finestra di dialogo escalation for investigation immettere un nome per la nuova indagine utente.On the Escalate for investigation dialog, enter a name for the new user investigation. Se necessario, immettere le note relative al caso e selezionare escalation .If needed, enter notes about the case and select Escalate .
  4. Esaminare i campi avvisi e aggiornarli in base alle esigenze.Review the notice fields and update as appropriate. I valori immessi qui sostituiranno i valori del modello.The values entered here will override the values on the template.
  5. Selezionare conferma per creare il caso di indagine dell'utente oppure fare clic su Annulla per chiudere la finestra di dialogo senza creare un nuovo caso di indagine utente.Select Confirm to create the user investigation case or select Cancel to close the dialog without creating a new user investigation case.

Dopo che il caso di gestione dei rischi Insider è stato inoltrato a un nuovo caso di indagine dell'utente, è possibile esaminare il nuovo caso nell'area avanzata di eDiscovery > Advanced nel centro conformità di Microsoft 365.After the insider risk management case has been escalated to a new user investigation case, you can review the new case in the eDiscovery > Advanced area in the Microsoft 365 compliance center.

Eseguire attività automatizzate con flussi automatici di alimentazione per il casoRun automated tasks with Power Automate flows for the case

Utilizzando i flussi automatici di alimentazione automatizzati consigliati, gli investigatori e gli analisti del rischio possono intervenire rapidamente per:Using recommended Power Automate flows, risk investigators and analysts can quickly take action to:

  • Richiedere informazioni da HR o business su un utente in un caso di rischio InsiderRequest information from HR or business about a user in an insider risk case
  • Gestione notifiche quando un utente dispone di un avviso di rischio InsiderNotify manager when a user has an insider risk alert
  • Aggiungere un promemoria calendario per il follow-up di un caso di rischio InsiderAdd calendar reminder to follow up on an insider risk case

Per eseguire, gestire o creare flussi automatici di alimentazione per un caso di gestione dei rischi Insider:To run, manage, or create Power Automate flows for an insider risk management case:

  1. Selezionare automatizza sulla barra degli strumenti azione case.Select Automate on the case action toolbar.
  2. Scegliere il flusso Power automatizzate per l'esecuzione, quindi selezionare Esegui flusso .Choose the Power Automate flow to run, then select Run flow .
  3. Dopo il completamento del flusso, selezionare fine .After the flow has completed, select Done .

Per ulteriori informazioni sui flussi automatici di alimentazione per la gestione dei rischi Insider, vedere Introduzione alle impostazioni di gestione dei rischi Insider.To learn more about Power Automate flows for insider risk management, see Getting started with insider risk management settings.

Visualizzazione o creazione di un team di Microsoft teams per il casoView or create a Microsoft Teams team for the case

Quando l'integrazione di Microsoft teams per la gestione dei rischi Insider è abilitata in impostazioni, viene creato automaticamente un team di Microsoft teams ogni volta che viene confermato un avviso e viene creato un caso.When Microsoft Teams integration for insider risk management is enabled in settings, a Microsoft Teams team is automatically created every time an alert is confirmed and a case is created. Gli investigatori e gli analisti del rischio possono aprire rapidamente Microsoft teams e passare direttamente al team per un caso selezionando Visualizza team di Microsoft teams sulla barra degli strumenti azione caso.Risk investigators and analysts can quickly open Microsoft Teams and navigate directly to the team for a case by selecting View Microsoft Teams team on the case action toolbar.

Per i casi aperti prima di abilitare l'integrazione di Microsoft Team, gli investigatori e gli analisti del rischio possono creare un nuovo team Microsoft teams per un caso selezionando Crea team di Microsoft teams sulla barra degli strumenti azione caso.For cases opened before enabling Microsoft Team integration, risk investigators and analysts can create a new Microsoft Teams team for a case by selecting Create Microsoft Teams team on the case action toolbar.

Quando viene risolto un caso, il team Microsoft associato verrà archiviato automaticamente (nascosto e trasformato in sola lettura).When a case is resolved, the associated Microsoft Team will be automatically archive (hidden and turned to read-only).

Per ulteriori informazioni su Microsoft teams per la gestione dei rischi Insider, vedere Getting Started with Insider Risk Management Settings.To learn more about Microsoft Teams for insider risk management, see Getting started with insider risk management settings.

Condividere il casoShare the case

La condivisione di un caso di gestione dei rischi insider consente a ricercatori e analisti di rischi di collaborare facilmente con altre parti interessate della conformità nell'organizzazione.Sharing an insider risk management case allows risk investigators and analysts to easily collaborate with other compliance stakeholders in your organization. È possibile condividere rapidamente un collegamento a un caso di gestione dei rischi Insider con le parti interessate esterne dall'area di gestione dei casi.You can quickly share a link to an insider risk management case with external stakeholders from the case management area. Per accedere al caso di gestione dei rischi Insider dal collegamento, le parti interessate devono essere incluse in tutti i gruppi di ruoli di gestione dei rischi Insider.To access the insider risk management case from the link, stakeholders must be included in any of the insider risk management role groups.

Nota

Grazie per il feedback e il supporto durante l'anteprima del connettore ServiceNow.Thank you for your feedback and support during the preview of the ServiceNow connector. È stato deciso di terminare l'anteprima del connettore di ServiceNow e interrompere il supporto in gestione dei rischi Insider il 30 novembre 2020.We've decided to end the preview of ServiceNow connector and discontinue support in insider risk management on November 30, 2020. Stiamo valutando attivamente metodi alternativi per fornire ai clienti l'integrazione di ServiceNow nella gestione dei rischi Insider.We are actively evaluating alternative methods to provide customers with ServiceNow integration in insider risk management.

Sono disponibili le opzioni di condivisione seguenti:The following sharing options are available:

  • ServiceNow : dopo aver configurato il connettore Microsoft 365 ServiceNow per l'organizzazione Microsoft 365, è possibile condividere facilmente un collegamento al caso, aprire un evento imprevisto o richiedere una modifica all'organizzazione di ServiceNow.ServiceNow : After configuring the Microsoft 365 ServiceNow connector for your Microsoft 365 organization, you can easily share a link to the case, open an incident, or request a change with your ServiceNow organization. Per condividere il caso con ServiceNow, selezionare Condividi > ServiceNow dall'azione maiuscole/minuscole.To share the case with ServiceNow, select Share > ServiceNow from the case action. L'integrazione di ServiceNow con i supporti di gestione dei rischi Insider include le seguenti operazioni e informazioni sul caso:ServiceNow integration with insider risk management supports includes the following case information and actions:
    • Nome attività : il nome della nuova attività di ServiceNow.Task name : The name for the new ServiceNow task.
    • Descrizione attività : descrizione per la nuova attività ServiceNow.Task description : The description for the new ServiceNow task. Questo campo Descrizione modificabile include automaticamente un collegamento al caso di gestione dei rischi Insider.This editable description field automatically includes a link to the insider risk management case.
    • Tipo di attività: il tipo di attività per la nuova attività di ServiceNow, ovvero la richiesta di modifica o di incidente .Task type : The task type for the new ServiceNow task, either Incident or Change request .
    • Priorità : la priorità per la nuova attività di ServiceNow, ovvero pianificazione , bassa , moderata , elevata o critica .Priority : The priority for the new ServiceNow task, either Planning , Low , Moderate , High , or Critical .
    • Data scadenza: la data richiesta per il completamento dell'attività di ServiceNow.Due date : The requested date for completing the ServiceNow task.

Condivisione di gestione dei rischi Insider con ServiceNow

  • Posta elettronica : condivide un collegamento al caso di gestione dei rischi insider in un messaggio di posta elettronica.Email : Shares a link to the insider risk management case in an email. È possibile scegliere qualsiasi client di posta elettronica configurato localmente con questa opzione di condivisione.You can choose any locally configured email client with this sharing option. Per condividere il collegamento del caso con la posta elettronica, selezionare Condividi la > posta elettronica dalla barra degli strumenti azione caso.To share the case link with email, select Share > Email from the case action toolbar.
  • Copia collegamento : copia un collegamento al caso di gestione dei rischi Insider negli Appunti.Copy link : Copies a link to the insider risk management case to your clipboard. Per copiare il collegamento al caso negli Appunti, selezionare Condividi > copia collegamento dalla barra degli strumenti azione case.To copy the case link to your clipboard, select Share > Copy link from the case action toolbar.

Risolvere il casoResolve the case

Dopo che gli analisti e gli investigatori di rischio hanno completato la revisione e le indagini, è possibile risolvere un caso in cui agiscono tutti gli avvisi attualmente inclusi nel caso.After risk analysts and investigators have completed their review and investigation, a case can be resolved to act on all the alerts currently included in the case. La risoluzione di un caso aggiunge una classificazione di soluzione, modifica lo stato del caso in Closed e i motivi di azione di risoluzione vengono aggiunti automaticamente alla coda di note del caso nel dashboard di Notes del caso .Resolving a case adds a resolution classification, changes the case status to Closed , and the resolution action reasons are automatically added to the case notes queue on the Case notes dashboard. I casi vengono risolti in base a quanto segue:Cases are resolved as either:

  • Benigno : la classificazione dei casi in cui gli avvisi corrispondono ai criteri sono valutati come a basso rischio, non grave o falso positivo.Benign : The classification for cases where policy match alerts are evaluated as low risk, non-serious, or false positive.
  • Violazione dei criteri confermata : la classificazione dei casi in cui gli avvisi corrispondono ai criteri sono considerati rischiosi, gravi o il risultato di intenti dolosi.Confirmed policy violation : The classification for cases where policy match alerts are evaluated as risky, serious, or the result of malicious intent.

Per risolvere un caso:To resolve a case:

  1. Nel centro conformità di Microsoft 365accedere a gestione dei rischi Insider e selezionare la scheda case .In the Microsoft 365 compliance center, go to Insider risk management and select the Cases tab.
  2. Selezionare un caso, quindi selezionare il pulsante Risolvi caso sulla barra degli strumenti azione caso.Select a case, then select the Resolve case button on the case action toolbar.
  3. Nella finestra di dialogo Risolvi il caso , selezionare il controllo Risolvi come a discesa per selezionare la classificazione della risoluzione per il caso.On the Resolve case dialog, select the Resolve as dropdown control to select the resolution classification for the case. Le opzioni sono violazioni dei criteri benigne o confermate .The options are Benign or Confirmed policy violation .
  4. Nella finestra di dialogo Risolvi il caso , immettere i motivi della classificazione della risoluzione nel campo di testo azione .On the Resolve case dialog, enter the reasons for the resolution classification in the Action taken text field.
  5. Selezionare Risolvi per chiudere il caso o selezionare Annulla Chiudi la finestra di dialogo senza risolvere il caso.Select Resolve to close the case or select Cancel close the dialog without resolving the case.