Condividi tramite


Introduzione al dashboard Avvisi per la prevenzione della perdita dei dati

I criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) possono intraprendere azioni protettive per impedire la condivisione involontaria di elementi sensibili. È possibile ricevere una notifica quando viene eseguita un'azione su un elemento sensibile configurando gli avvisi per la prevenzione della perdita dei dati. Questo articolo illustra come configurare gli avvisi nei criteri di prevenzione della perdita dei dati. Si vedrà come usare il dashboard di gestione degli avvisi DLP nel portale di Microsoft Purview per visualizzare avvisi, eventi e metadati associati per le violazioni dei criteri DLP.

Se non si ha familiarita' con gli avvisi DLP, è consigliabile consultare Introduzione agli avvisi di prevenzione della perdita dei dati.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Il portale di Microsoft Purview mostra gli avvisi per i criteri DLP applicati ai carichi di lavoro seguenti:

  • Posta elettronica di Exchange
  • Siti di SharePoint
  • Account di OneDrive
  • Messaggi di chat e canali di Teams
  • Dispositivi
  • Istanze
  • Repository locali
  • Fabric e Power BI

Prima di iniziare

Prima di iniziare, assicurarsi di avere i prerequisiti necessari:

  • Licenze per il dashboard di gestione degli avvisi DLP
  • Licenze per le opzioni di configurazione degli avvisi
  • Ruoli obbligatori

Licenze per il dashboard di gestione degli avvisi DLP

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

I clienti che usano endpoint DLP idonei per la prevenzione della perdita dei dati di Teams visualizzano gli avvisi dei criteri DLP degli endpoint e gli avvisi dei criteri DLP di Teams nel dashboard di gestione degli avvisi DLP.

Licenze per le opzioni di configurazione degli avvisi

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

Ruoli e Gruppi di ruolo

Se si vuole visualizzare il dashboard di gestione degli avvisi DLP o modificare le opzioni di configurazione degli avvisi in un criterio DLP, è necessario essere membri di uno di questi gruppi di ruoli:

  • Amministratore di conformità
  • Amministratore dati di conformità
  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Amministratore di Information Protection
  • Analista di Information Protection
  • Investigatore di Information Protection
  • Lettore di Information Protection

Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview

Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.

  • Azure Information Protection
  • Amministratori di Information Protection
  • Analisti di Information Protection
  • Investigatori di Information Protection
  • Lettori di Information Protection

Per accedere al dashboard di gestione degli avvisi DLP, sono necessari il ruolo Gestisci avvisi e uno di questi due ruoli:

  • Gestione della conformità DLP
  • View-Only gestione della conformità DLP

Per accedere alla funzionalità anteprima contenuto e alle funzionalità di contesto e contenuto sensibili corrispondenti, è necessario essere un membro del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto , con il ruolo Visualizzatore contenuto classificazione dati preassegnato.

Configurazione degli avvisi DLP

Per informazioni su come configurare un avviso nei criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.

Importante

La configurazione dei criteri di conservazione dei log di controllo dell'organizzazione controlla per quanto tempo un avviso rimane visibile nella console. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo .

Configurazione dell'avviso di evento di aggregazione

Se l'organizzazione ha una licenza per le opzioni di configurazione degli avvisi aggregati, queste opzioni vengono visualizzate quando si creano o si modificano criteri di prevenzione della perdita dei dati.

Screenshot che mostra le opzioni per i report degli eventi imprevisti per gli utenti idonei per le opzioni di configurazione degli avvisi aggregati.

Questa configurazione consente di configurare un criterio per generare un avviso ogni volta che un'attività corrisponde alle condizioni dei criteri o quando viene superata una determinata soglia, in base al numero di attività o in base al volume di dati esfiltrati.

Configurazione dell'avviso di un singolo evento

Se l'organizzazione ha una licenza per le opzioni di configurazione degli avvisi a evento singolo, queste opzioni vengono visualizzate quando si creano o si modificano criteri DLP. Usare questa opzione per creare un avviso generato ogni volta che si verifica una corrispondenza di regola DLP.

Screenshot che mostra le opzioni per i report degli eventi imprevisti per gli utenti idonei per le opzioni di configurazione degli avvisi a singolo evento.

Analizzare un avviso DLP

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Per usare il dashboard di gestione degli avvisi DLP:

  1. Accedere al portale >di Microsoft PurviewPrevenzione della perdita di dati.
  2. Selezionare Avvisi per visualizzare il dashboard Avvisi DLP .
  3. Usare i campi Filtro per perfezionare l'elenco degli avvisi.
  4. Scegliere Personalizza colonne per elencare le proprietà che si desidera visualizzare.
  5. Per ordinare i risultati in ordine crescente o decrescente, fare doppio clic sull'intestazione di colonna.
  6. Fare doppio clic su un avviso per altre informazioni.
  7. La scheda Dettagli viene aperta per impostazione predefinita e fornisce informazioni generali sull'avviso.
  8. Selezionare Riepilogo con Copilot. In questo modo il Security Copilot genera un riepilogo dell'avviso. Il riepilogo degli avvisi conterrà:
    • gravità dell'avviso
    • titolo avviso
    • nome del criterio corrispondente
    • il file del nome coinvolto e un collegamento al file
    • stato avviso
    • l'indirizzo di posta elettronica dell'utente che ha eseguito l'azione corrispondente ai criteri
  9. Selezionare i puntini di sospensione nel riepilogo Security Copilot per:
    • copiare il riepilogo negli Appunti
    • rigenerare il riepilogo
    • aprire l'avviso nell'esperienza autonoma Security Copilot.
  10. Selezionare Visualizza dettagli per aprire la scheda Panoramica . La scheda Panoramica fornisce un riepilogo delle informazioni seguenti:
    • Cos'è successo
    • Chi ha eseguito le azioni che hanno causato la corrispondenza dei criteri
    • Informazioni aggiuntive sulla corrispondenza dei criteri
  11. Nella scheda Eventi sono elencati tutti gli eventi associati all'avviso. Selezionare qualsiasi evento nell'elenco per ottenere informazioni dettagliate sull'evento. Per ogni evento, scegliere l'elenco a discesa Azioni per un elenco di azioni che è possibile eseguire sull'avviso, ad esempio verificare se l'avviso ha identificato o meno una corrispondenza vera o un falso positivo.
    1. La scheda Riepilogo attività utente richiede che la condivisione sia attivata nelle impostazioni di gestione dei rischi Insider Una volta abilitata, la scheda Riepilogo attività utente fornisce tutte le attività di esfiltrazione eseguite dall'utente (fino agli ultimi 120 giorni). Gli utenti devono essere inclusi nell'ambito di un criterio di gestione dei rischi Insider per visualizzare la scheda Riepilogo attività utente .
    2. Dopo aver eseguito l'analisi dell'avviso, tornare alla scheda Panoramica in cui è possibile visualizzare i dettagli per valutare e gestire l'eliminazione dell'avviso, aggiungere commenti e assegnare la proprietà dell'avviso. Per visualizzare la cronologia della gestione del flusso di lavoro.
    3. Dopo aver eseguito l'azione necessaria per l'avviso, impostare Stato dell'avviso su Risolto.

Altre condizioni corrispondenti

Microsoft Purview supporta la visualizzazione di condizioni corrispondenti in un evento DLP per rivelare la causa esatta di un criterio DLP contrassegnato. Queste informazioni vengono visualizzate in:

Nella scheda Eventi aprire Dettagli per visualizzare Altre condizioni corrispondenti.

Prerequisiti

Le informazioni sugli eventi corrispondenti sono supportate per queste condizioni

Condizione Exchange SharePoint Teams Endpoint
Il mittente è No No
Il dominio del mittente è No No
L'indirizzo del mittente contiene parole No No No
L'indirizzo del mittente corrisponde ai criteri No No No
Il mittente è un membro di No No No
L'indirizzo IP del mittente è No No No
Il mittente ha sostituito il suggerimento per i criteri No No No
SenderAdAttribute Contiene parole No No No
Modelli di corrispondenza di SenderAdAttribute No No No
Il destinatario è No No
Il dominio del destinatario è No No
L'indirizzo del destinatario contiene parole No No No
L'indirizzo del destinatario corrisponde ai criteri No No No
Il destinatario è un membro di No No No
RecipientAdAttribute Contiene parole No No No
Modelli di corrispondenza di RecipientAdAttribute No No No
Il documento è protetto da password No No No
Impossibile analizzare il documento No No No
Il documento non ha completato l'analisi No No No
Il nome del documento contiene parole No No
Il nome del documento corrisponde ai modelli No No No
La proprietà del documento è No No
Dimensioni del documento su No No
Il contenuto del documento contiene parole No No No
Il contenuto del documento corrisponde ai modelli No No No
Il tipo di documento è No No No
L'estensione del documento è No
Il contenuto viene condiviso da M365 No
Il contenuto viene ricevuto da No No No
Il set di caratteri di contenuto contiene parole No No No
L'oggetto contiene parole No No No
Il soggetto corrisponde ai criteri No No No
Oggetto o corpo contiene parole No No No
Soggetto o corpo corrisponde ai modelli No No No
L'intestazione contiene parole No No No
L'intestazione corrisponde ai criteri No No No
Dimensioni del messaggio su No No No
Il tipo di messaggio è No No No
L'importanza del messaggio è No No No

Limitazione durante il download di messaggi di posta elettronica dall'interno di un avviso DLP

In generale, quando si usa il dashboard di gestione degli avvisi DLP, è possibile scaricare messaggi di posta elettronica specifici dall'interno di un avviso. Tuttavia, i messaggi di posta elettronica eliminati in uno degli scenari seguenti non possono essere scaricati.

Mittente Destinatario Stato Email
Interno Esterno Eliminato dal mittente
Esterno Interno Eliminato dal destinatario
Interno Interno Eliminato da entrambe le parti

Strumenti aggiuntivi per l'analisi degli avvisi