Informazioni sulle impostazioni di gestione dei rischi Insider
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
Prima di iniziare a usare i criteri di gestione dei rischi Insider, è importante comprendere e scegliere le impostazioni di gestione dei rischi Insider che meglio soddisfano le esigenze di conformità per l'organizzazione. Le impostazioni di gestione dei rischi Insider si applicano a tutti i criteri di gestione dei rischi Insider, indipendentemente dal modello scelto durante la creazione di un criterio.
Nota
Usare il pulsante Impostazioni nella parte superiore di qualsiasi pagina di gestione dei rischi Insider per apportare modifiche alle impostazioni.
La tabella seguente descrive ogni impostazione di gestione dei rischi Insider e fornisce un collegamento per altre informazioni sull'impostazione.
| Impostazione | Descrizione |
|---|---|
| Privacy | Scegliere se visualizzare i nomi utente o le versioni anonime dei nomi utente per tutte le corrispondenze dei criteri correnti e precedenti per avvisi e casi. |
| Indicatori dei criteri | Ogni modello di criteri di gestione dei rischi Insider si basa su indicatori specifici che corrispondono a trigger e attività di rischio specifici. Tutti gli indicatori globali sono disabilitati per impostazione predefinita; è necessario selezionare uno o più indicatori per configurare un criterio di gestione dei rischi Insider. Le impostazioni del livello di indicatore consentono di controllare il modo in cui il numero di occorrenze di eventi di rischio nell'organizzazione influisce sul punteggio di rischio. |
| Gruppi di rilevamento | Usare l'impostazione Gruppi di rilevamento per creare varianti di indicatori predefiniti se si desidera personalizzare i rilevamenti per diversi set di utenti. La creazione di gruppi di rilevamento consente di ridurre i falsi positivi. |
| Timeframe dei criteri | L'impostazione Intervalli di tempo dei criteri consente di definire periodi di revisione passati e futuri attivati dopo le corrispondenze dei criteri in base agli eventi e alle attività per i modelli di criteri di gestione dei rischi Insider. |
| Rilevamenti intelligenti | Usare l'impostazione Rilevamenti intelligenti per escludere a livello globale determinati tipi di file, domini, percorsi di file, tipi di informazioni sensibili, classificatori sottoponibili a training, siti o parole chiave dal punteggio per il rischio. È anche possibile usare l'impostazione Rilevamenti intelligenti per controllare il volume degli avvisi e importare e filtrare Microsoft Defender per endpoint avvisi. |
| Condivisione dati | Usare l'impostazione Condivisione dati per eseguire una delle operazioni seguenti: 1) Esportare le informazioni sugli avvisi di gestione dei rischi Insider nelle soluzioni SIEM usando lo schema dell'API dell'attività di gestione Office 365; 2) Condividere i livelli di rischio utente di gestione dei rischi Insider con avvisi Microsoft Defender e DLP. |
| Gruppi di utenti con priorità | Gli utenti dell'organizzazione possono avere livelli di rischio diversi a seconda della posizione, del livello di accesso alle informazioni sensibili o della cronologia dei rischi. La priorità dell'esame e del punteggio delle attività di questi utenti può essere utile per avvisare l'utente di potenziali rischi che potrebbero avere conseguenze più elevate per l'organizzazione. Usare l'impostazione Gruppi di utenti con priorità per definire gli utenti dell'organizzazione che necessitano di un'ispezione più approfondita e di un punteggio di rischio più sensibile. |
| Asset fisici prioritari (anteprima) | Identificare l'accesso agli asset fisici prioritari e correlare l'attività di accesso agli eventi utente è un componente importante dell'infrastruttura di conformità. Questi asset fisici rappresentano posizioni prioritarie nell'organizzazione, ad esempio edifici aziendali, data center o sale server. Le attività di rischio Insider possono essere associate agli utenti che lavorano ore insolite, che tentano di accedere a queste aree sensibili o sicure non autorizzate e alle richieste di accesso ad aree di alto livello senza esigenze legittime. |
| Flussi di Power Automate (anteprima) | Microsoft Power Automate è un servizio del flusso di lavoro che automatizza le azioni tra applicazioni e servizi. Usando i flussi dei modelli o creati manualmente, è possibile automatizzare le attività comuni associate a queste applicazioni e servizi. Quando si abilitano i flussi di Power Automate per la gestione dei rischi Insider, è possibile automatizzare le attività importanti per case e utenti. È possibile configurare i flussi di Power Automate per recuperare informazioni su utenti, avvisi e casi e condividere queste informazioni con stakeholder e altre applicazioni, nonché automatizzare le azioni nella gestione dei rischi Insider, ad esempio la pubblicazione nelle note del caso. I flussi di Power Automate sono applicabili ai casi e a qualsiasi utente nell'ambito di un criterio. |
| Microsoft Teams (anteprima) | È possibile abilitare il supporto di Microsoft Teams in modo che gli analisti e gli investigatori della conformità possano usare Teams per collaborare ai casi di gestione dei rischi Insider. Usare Teams per: - Coordinare ed esaminare le attività di risposta per i casi nei canali privati di Teams - Condividere e archiviare in modo sicuro i file e le prove relative ai singoli casi - Rilevare ed esaminare le attività di risposta di analisti e investigatori |
| Analisi | L'analisi del rischio Insider consente di condurre una valutazione dei potenziali rischi insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree con rischio utente più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che può essere opportuno configurare. |
| notifiche Amministrazione | Usare l'impostazione Amministrazione notifiche per inviare automaticamente una notifica tramite posta elettronica ai gruppi di ruoli di gestione dei rischi Insider selezionabili. È possibile: - Inviare un messaggio di posta elettronica di notifica quando viene generato il primo avviso per un nuovo criterio - Inviare un messaggio di posta elettronica giornaliero quando vengono generati nuovi avvisi con gravità elevata - Inviare un messaggio di posta elettronica settimanale che riepiloga i criteri con avvisi non risolti |
| Personalizzazione degli avvisi inline | La personalizzazione degli avvisi inline consente di ottimizzare rapidamente i criteri di gestione dei rischi Insider direttamente dal dashboard Avvisi durante la revisione dell'avviso. Gli avvisi vengono generati quando un'attività di gestione dei rischi soddisfa le soglie configurate nei criteri correlati. Per ridurre il numero di avvisi ottenuti da questo tipo di attività, è possibile modificare le soglie o rimuovere completamente l'attività di gestione dei rischi dai criteri. |
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per