Introduzione al dashboard Avvisi per la prevenzione della perdita dei dati
I criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) possono intraprendere azioni protettive per impedire la condivisione involontaria di elementi sensibili. È possibile ricevere una notifica quando viene eseguita un'azione su un elemento sensibile configurando gli avvisi per la prevenzione della perdita dei dati. Questo articolo illustra come configurare gli avvisi nei criteri di prevenzione della perdita dei dati. Si vedrà come usare il dashboard di gestione degli avvisi DLP nel portale di Microsoft Purview per visualizzare avvisi, eventi e metadati associati per le violazioni dei criteri DLP.
Se non si ha familiarita' con gli avvisi DLP, è consigliabile consultare Introduzione agli avvisi di prevenzione della perdita dei dati.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Il portale di Microsoft Purview mostra gli avvisi per i criteri DLP applicati ai carichi di lavoro seguenti:
- Posta elettronica di Exchange
- Siti di SharePoint
- Account di OneDrive
- Messaggi di chat e canali di Teams
- Dispositivi
- Istanze
- Repository locali
- Fabric e Power BI
Prima di iniziare
Prima di iniziare, assicurarsi di avere i prerequisiti necessari:
- Licenze per il dashboard di gestione degli avvisi DLP
- Licenze per le opzioni di configurazione degli avvisi
- Ruoli obbligatori
Licenze per il dashboard di gestione degli avvisi DLP
Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.
Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.
I clienti che usano endpoint DLP idonei per la prevenzione della perdita dei dati di Teams visualizzano gli avvisi dei criteri DLP degli endpoint e gli avvisi dei criteri DLP di Teams nel dashboard di gestione degli avvisi DLP.
Licenze per le opzioni di configurazione degli avvisi
Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.
Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.
Ruoli e Gruppi di ruolo
Se si vuole visualizzare il dashboard di gestione degli avvisi DLP o modificare le opzioni di configurazione degli avvisi in un criterio DLP, è necessario essere membri di uno di questi gruppi di ruoli:
- Amministratore di conformità
- Amministratore dati di conformità
- Amministratore della sicurezza
- Operatore della sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
- Amministratore di Information Protection
- Analista di Information Protection
- Investigatore di Information Protection
- Lettore di Information Protection
Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview
Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.
- Azure Information Protection
- Amministratori di Information Protection
- Analisti di Information Protection
- Investigatori di Information Protection
- Lettori di Information Protection
Per accedere al dashboard di gestione degli avvisi DLP, sono necessari il ruolo Gestisci avvisi e uno di questi due ruoli:
- Gestione della conformità DLP
- View-Only gestione della conformità DLP
Per accedere alla funzionalità anteprima contenuto e alle funzionalità di contesto e contenuto sensibili corrispondenti, è necessario essere un membro del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto , con il ruolo Visualizzatore contenuto classificazione dati preassegnato.
Configurazione degli avvisi DLP
Per informazioni su come configurare un avviso nei criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.
Importante
La configurazione dei criteri di conservazione dei log di controllo dell'organizzazione controlla per quanto tempo un avviso rimane visibile nella console. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo .
Configurazione dell'avviso di evento di aggregazione
Se l'organizzazione ha una licenza per le opzioni di configurazione degli avvisi aggregati, queste opzioni vengono visualizzate quando si creano o si modificano criteri di prevenzione della perdita dei dati.
Questa configurazione consente di configurare un criterio per generare un avviso ogni volta che un'attività corrisponde alle condizioni dei criteri o quando viene superata una determinata soglia, in base al numero di attività o in base al volume di dati esfiltrati.
Configurazione dell'avviso di un singolo evento
Se l'organizzazione ha una licenza per le opzioni di configurazione degli avvisi a evento singolo, queste opzioni vengono visualizzate quando si creano o si modificano criteri DLP. Usare questa opzione per creare un avviso generato ogni volta che si verifica una corrispondenza di regola DLP.
Analizzare un avviso DLP
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Per usare il dashboard di gestione degli avvisi DLP:
- Accedere al portale >di Microsoft PurviewPrevenzione della perdita di dati.
- Selezionare Avvisi per visualizzare il dashboard Avvisi DLP .
- Usare i campi Filtro per perfezionare l'elenco degli avvisi.
- Scegliere Personalizza colonne per elencare le proprietà che si desidera visualizzare.
- Per ordinare i risultati in ordine crescente o decrescente, fare doppio clic sull'intestazione di colonna.
- Fare doppio clic su un avviso per altre informazioni.
- La scheda Dettagli viene aperta per impostazione predefinita e fornisce informazioni generali sull'avviso.
- Selezionare Riepilogo con Copilot. In questo modo il Security Copilot genera un riepilogo dell'avviso. Il riepilogo degli avvisi conterrà:
- gravità dell'avviso
- titolo avviso
- nome del criterio corrispondente
- il file del nome coinvolto e un collegamento al file
- stato avviso
- l'indirizzo di posta elettronica dell'utente che ha eseguito l'azione corrispondente ai criteri
- Selezionare i puntini di sospensione nel riepilogo Security Copilot per:
- copiare il riepilogo negli Appunti
- rigenerare il riepilogo
- aprire l'avviso nell'esperienza autonoma Security Copilot.
- Selezionare Visualizza dettagli per aprire la scheda Panoramica . La scheda Panoramica fornisce un riepilogo delle informazioni seguenti:
- Cos'è successo
- Chi ha eseguito le azioni che hanno causato la corrispondenza dei criteri
- Informazioni aggiuntive sulla corrispondenza dei criteri
- Nella scheda Eventi sono elencati tutti gli eventi associati all'avviso. Selezionare qualsiasi evento nell'elenco per ottenere informazioni dettagliate sull'evento. Per ogni evento, scegliere l'elenco a discesa Azioni per un elenco di azioni che è possibile eseguire sull'avviso, ad esempio verificare se l'avviso ha identificato o meno una corrispondenza vera o un falso positivo.
- La scheda Riepilogo attività utente richiede che la condivisione sia attivata nelle impostazioni di gestione dei rischi Insider Una volta abilitata, la scheda Riepilogo attività utente fornisce tutte le attività di esfiltrazione eseguite dall'utente (fino agli ultimi 120 giorni). Gli utenti devono essere inclusi nell'ambito di un criterio di gestione dei rischi Insider per visualizzare la scheda Riepilogo attività utente .
- Dopo aver eseguito l'analisi dell'avviso, tornare alla scheda Panoramica in cui è possibile visualizzare i dettagli per valutare e gestire l'eliminazione dell'avviso, aggiungere commenti e assegnare la proprietà dell'avviso. Per visualizzare la cronologia della gestione del flusso di lavoro.
- Dopo aver eseguito l'azione necessaria per l'avviso, impostare Stato dell'avviso su Risolto.
Altre condizioni corrispondenti
Microsoft Purview supporta la visualizzazione di condizioni corrispondenti in un evento DLP per rivelare la causa esatta di un criterio DLP contrassegnato. Queste informazioni vengono visualizzate in:
- Console avvisi DLP
- Esplora attività
- portale di Microsoft Defender for Business
Nella scheda Eventi aprire Dettagli per visualizzare Altre condizioni corrispondenti.
Prerequisiti
- Deve essere in esecuzione Windows 10 x64 (build 1809 o successiva) o Windows 11.
- Vedere 21 marzo 2023— KB5023773 (OS Builds 19042.2788, 19044.2788 e 19045.2788) Preview per le build minime del sistema operativo Windows necessarie.
- I dati relativi alle condizioni corrispondenti sono disponibili per i titolari di licenze E3 ed E5 validi.
- Abilitare il controllo.
- Abilitare l'analisi e la protezione della classificazione avanzata.
Le informazioni sugli eventi corrispondenti sono supportate per queste condizioni
Condizione | Exchange | SharePoint | Teams | Endpoint |
---|---|---|---|---|
Il mittente è | Sì | No | Sì | No |
Il dominio del mittente è | Sì | No | Sì | No |
L'indirizzo del mittente contiene parole | Sì | No | No | No |
L'indirizzo del mittente corrisponde ai criteri | Sì | No | No | No |
Il mittente è un membro di | Sì | No | No | No |
L'indirizzo IP del mittente è | Sì | No | No | No |
Il mittente ha sostituito il suggerimento per i criteri | Sì | No | No | No |
SenderAdAttribute Contiene parole | Sì | No | No | No |
Modelli di corrispondenza di SenderAdAttribute | Sì | No | No | No |
Il destinatario è | Sì | No | Sì | No |
Il dominio del destinatario è | Sì | No | Sì | No |
L'indirizzo del destinatario contiene parole | Sì | No | No | No |
L'indirizzo del destinatario corrisponde ai criteri | Sì | No | No | No |
Il destinatario è un membro di | Sì | No | No | No |
RecipientAdAttribute Contiene parole | Sì | No | No | No |
Modelli di corrispondenza di RecipientAdAttribute | Sì | No | No | No |
Il documento è protetto da password | Sì | No | No | No |
Impossibile analizzare il documento | Sì | No | No | No |
Il documento non ha completato l'analisi | Sì | No | No | No |
Il nome del documento contiene parole | Sì | Sì | No | No |
Il nome del documento corrisponde ai modelli | Sì | No | No | No |
La proprietà del documento è | Sì | Sì | No | No |
Dimensioni del documento su | Sì | Sì | No | No |
Il contenuto del documento contiene parole | Sì | No | No | No |
Il contenuto del documento corrisponde ai modelli | Sì | No | No | No |
Il tipo di documento è | No | No | No | Sì |
L'estensione del documento è | Sì | Sì | No | Sì |
Il contenuto viene condiviso da M365 | Sì | Sì | Sì | No |
Il contenuto viene ricevuto da | Sì | No | No | No |
Il set di caratteri di contenuto contiene parole | Sì | No | No | No |
L'oggetto contiene parole | Sì | No | No | No |
Il soggetto corrisponde ai criteri | Sì | No | No | No |
Oggetto o corpo contiene parole | Sì | No | No | No |
Soggetto o corpo corrisponde ai modelli | Sì | No | No | No |
L'intestazione contiene parole | Sì | No | No | No |
L'intestazione corrisponde ai criteri | Sì | No | No | No |
Dimensioni del messaggio su | Sì | No | No | No |
Il tipo di messaggio è | Sì | No | No | No |
L'importanza del messaggio è | Sì | No | No | No |
Limitazione durante il download di messaggi di posta elettronica dall'interno di un avviso DLP
In generale, quando si usa il dashboard di gestione degli avvisi DLP, è possibile scaricare messaggi di posta elettronica specifici dall'interno di un avviso. Tuttavia, i messaggi di posta elettronica eliminati in uno degli scenari seguenti non possono essere scaricati.
Mittente | Destinatario | Stato Email |
---|---|---|
Interno | Esterno | Eliminato dal mittente |
Esterno | Interno | Eliminato dal destinatario |
Interno | Interno | Eliminato da entrambe le parti |