Informazioni e configurazione del rilevamento dei segnali del browser per la gestione dei rischi Insider
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
In Gestione dei rischi Insider Microsoft Purview viene usato il rilevamento del segnale del browser per:
- I modelli seguenti:
- Prove forensi
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Browser e modelli
I Web browser vengono spesso usati dagli utenti per accedere a file sensibili e non sensibili all'interno di un'organizzazione. La gestione dei rischi Insider consente all'organizzazione di rilevare e agire sui segnali di esfiltrazione del browser per tutti i file non eseguibili visualizzati nei browser Microsoft Edge e Google Chrome . Con questi segnali, gli analisti e gli investigatori possono agire rapidamente quando una delle seguenti attività rischiose viene eseguita dagli utenti dei criteri nell'ambito quando usano questi browser:
- File copiati nell'archiviazione cloud personale
- File stampati in dispositivi locali o di rete
- File trasferiti o copiati in una condivisione di rete
- File copiati in dispositivi USB
- Esplorazione di siti Web potenzialmente rischiosi
I segnali per questi eventi vengono rilevati in Microsoft Edge usando le funzionalità predefinite del browser e il componente aggiuntivo Microsoft Compliance Extension . In Google Chrome, i clienti usano l'estensione di conformità Microsoft per il rilevamento del segnale.
La tabella seguente riepiloga le attività di rischio identificate e il supporto delle estensioni per ogni browser:
Attività rilevate | Microsoft Edge | Google Chrome |
---|---|---|
File copiati nell'archiviazione cloud personale | Nativo | Extension |
File stampati in dispositivi locali o di rete | Nativo | Extension |
File trasferiti o copiati in una condivisione di rete | Extension | Extension |
File copiati in dispositivi USB | Extension | Extension |
Esplorazione di siti Web potenzialmente rischiosi | Extension | Extension |
La tabella seguente riepiloga le attività in base al modello:
Attività rilevate | Furto di dati da parte di utenti che lasciano l'organizzazione | Violazioni dei dati | Utilizzo del browser rischioso |
---|---|---|---|
File copiati nell'archiviazione cloud personale | Sì | Sì | No |
File stampati in dispositivi locali o di rete | Sì | Sì | No |
File trasferiti o copiati in una condivisione di rete | Sì | Sì | No |
File copiati in dispositivi USB | Sì | Sì | No |
Esplorazione di siti Web potenzialmente rischiosi | No | No | Sì |
Consiglio
Se non sei cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare la tua organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Inizia subito dall'hub delle versioni di valutazione del portale di conformità di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Prove forensi
Per le prove forensi, è possibile acquisire tutti i tipi di attività di esplorazione; non si è limitati agli indicatori di esplorazione del modello di utilizzo del browser rischioso. È possibile specificare le app desktop e i siti Web da includere o escludere. Per acquisire l'attività di esplorazione per le prove forensi, è necessario installare le estensioni come descritto in questo argomento ed è anche necessario attivare almeno un indicatore di esplorazione rischioso nelle impostazioni di rischio Insider.
Requisiti comuni
Prima di installare il componente aggiuntivo Microsoft Edge o l'estensione Google Chrome, assicurarsi che i dispositivi per gli utenti dei criteri nell'ambito soddisfino i requisiti seguenti:
- È consigliata la build Windows 10 x64 più recente, almeno Windows 10 x64 build 1809 per il supporto del rilevamento del segnale. Il rilevamento del segnale del browser non è attualmente supportato nei dispositivi non Windows.
- Sottoscrizione corrente di Microsoft 365 con supporto per la gestione dei rischi Insider.
- È necessario eseguire l'onboarding dei dispositivi nel Portale di conformità di Microsoft Purview.
Per requisiti di configurazione del browser specifici, vedere le sezioni di Microsoft Edge e Google Chrome più avanti in questo articolo.
Requisiti aggiuntivi
Se si usano criteri basati sul modello di utilizzo del browser rischioso, è necessario selezionare almeno un indicatore di esplorazione inIndicatori dei criteridi>gestione> dei rischi Insider.
Configurare il rilevamento del segnale del browser per Microsoft Edge
Requisiti del browser Microsoft Edge
- Soddisfare i requisiti comuni
- Versione più recente di Microsoft Edge x64 (91.0.864.41 o successiva)
- Componente aggiuntivo Microsoft Compliance Extension più recente (1.0.0.44 o versione successiva)
- Edge.exe non è configurato come browser non consentito
Opzione 1: configurazione di base (consigliata per il test con Edge)
Usare questa opzione per configurare un singolo auto-host del computer per ogni dispositivo dell'organizzazione durante il test del rilevamento del segnale del browser.
- Passare all'estensione di conformità Microsoft.
- Installare l'estensione.
Opzione 2: Intune configurazione per Edge
Usare questa opzione per configurare l'estensione e i requisiti per l'organizzazione usando Intune.
- Accedere all'interfaccia di amministrazione Microsoft Intune.
- Passare aProfili di configurazionedei dispositivi>.
- Selezionare Crea profilo.
- Selezionare Windows 10 e versioni successive come piattaforma.
- Selezionare Catalogo impostazioni come tipo di profilo.
- Selezionare Personalizzato come nome del modello.
- Selezionare Crea.
- Immettere un nome e una descrizione facoltativa nella scheda Informazioni di base e quindi selezionare Avanti.
- Selezionare Aggiungi impostazioni nella scheda Impostazioni di configurazione .
- Selezionare Modelli> amministrativiEstensionidi Microsoft Edge>.
- Selezionare Controlla quali estensioni vengono installate in modo invisibile all'utente.
- Impostare l'interruttore su Abilitato.
- Immettere il valore seguente per le estensioni e gli ID app e l'URL di aggiornamento: lcmcgbabdcbngcbcfabdncmoppkajglo**.**
- Seleziona Avanti.
- Aggiungere o modificare i tag di ambito nella scheda Tag ambito in base alle esigenze e quindi selezionare Avanti.
- Aggiungere gli utenti, i dispositivi e i gruppi di distribuzione necessari nella scheda Assegnazioni e quindi selezionare Avanti.
- Selezionare Crea.
Opzione 3: Criteri di gruppo configurazione per Edge
Usare questa opzione per configurare l'estensione e i requisiti a livello di organizzazione usando Criteri di gruppo.
Passaggio 1: Importare il file con estensione admx del modello amministrativo di Microsoft Edge più recente.
I dispositivi devono essere gestibili usando Criteri di gruppo e tutti i modelli amministrativi di Microsoft Edge devono essere importati nell'archivio centrale Criteri di gruppo. Per altre informazioni, vedere Come creare e gestire l'archivio centrale per i modelli amministrativi di Criteri di gruppo in Windows.
Passaggio 2: Aggiungere il componente aggiuntivo Microsoft Compliance Extension all'elenco Forza installazione .
- Nella Editor di gestione Criteri di gruppo passare all'unità organizzativa.
- Espandere il percorso seguente Criteri di configurazione> computer/utenteModelli>amministrativi Modelli>>amministrativi classiciEstensionidi Microsoft Edge>. Questo percorso può variare a seconda della configurazione dell'organizzazione.
- Selezionare Configura le estensioni installate in modo invisibile all'utente.
- Fare clic con il pulsante destro del mouse e scegliere Modifica.
- Selezionare Abilitato.
- Selezionare Visualizza.
- Per Valore aggiungere la voce seguente: lcmcgbabdcbngcbcfabdncmoppkajglo;https://edge.microsoft.com/extensionwebstorebase/v1/crx
- Selezionare OK e quindi Applica.
Configurare il rilevamento del segnale del browser per Google Chrome
Il supporto del rilevamento dei segnali del browser di gestione dei rischi Insider per Google Chrome è abilitato tramite l'estensione microsoft per la conformità. Questa estensione supporta anche la prevenzione della perdita dei dati degli endpoint in Chrome. Per altre informazioni sul supporto della prevenzione della perdita dei dati degli endpoint, vedere Introduzione all'estensione microsoft per la conformità (anteprima).
Requisiti del browser Google Chrome
- Soddisfare i requisiti comuni
- Ultima versione di Google Chrome x64
- Versione più recente dell'estensione di conformità Microsoft (2.0.0.183 o successiva)
- Chrome.exe non è configurato come browser non consentito
Opzione 1: configurazione di base (consigliata per il test con Chrome)
Usare questa opzione per configurare un singolo auto-host del computer per ogni dispositivo dell'organizzazione durante il test del rilevamento del segnale del browser.
- Passare all'estensione di conformità Microsoft.
- Installare l'estensione.
Opzione 2: Intune configurazione per Chrome
Usare questa opzione per configurare l'estensione e i requisiti per l'organizzazione usando Intune.
- Accedere all'Interfaccia di amministrazione di Microsoft Intune.
- Passare aProfili di configurazionedei dispositivi>.
- Selezionare Crea profilo.
- Selezionare Windows 10 e versioni successive come piattaforma.
- Selezionare Catalogo impostazioni come tipo di profilo.
- Selezionare Personalizzato come nome del modello.
- Selezionare Crea.
- Immettere un nome e una descrizione facoltativa nella scheda Informazioni di base e quindi selezionare Avanti.
- Selezionare Aggiungi impostazioni nella scheda Impostazioni di configurazione .
- Selezionare Modelli> amministrativiGoogle>Chrome>Extensions.
- Selezionare Configura l'elenco delle app e delle estensioni installate forzatamente.
- Impostare l'interruttore su Abilitato.
- Immettere il valore seguente per le estensioni e gli ID app e l'URL di aggiornamento:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
- Seleziona Avanti.
- Aggiungere o modificare i tag di ambito nella scheda Tag ambito in base alle esigenze e quindi selezionare Avanti.
- Aggiungere gli utenti, i dispositivi e i gruppi di distribuzione necessari nella scheda Assegnazioni e quindi selezionare Avanti.
- Selezionare Crea.
Opzione 3: configurazione Criteri di gruppo per Chrome
Usare questa opzione per configurare l'estensione e i requisiti a livello di organizzazione usando Criteri di gruppo.
Passaggio 1: Importare il file del modello amministrativo di Chrome
I dispositivi devono essere gestibili usando Criteri di gruppo e tutti i modelli amministrativi di Chrome devono essere importati nello store centrale Criteri di gruppo. Per altre informazioni, vedere Come creare e gestire l'archivio centrale per i modelli amministrativi di Criteri di gruppo in Windows.
Passaggio 2: Aggiungere l'estensione Chrome all'elenco Di forza installazione
- Nel Criteri di gruppo Management Editor passare all'unità organizzativa.
- Espandere il percorso seguente Configurazione computer/utente>Criteri>Modelli amministrativi>Modelli amministrativi classici>Google>Google Chrome>Estensioni. Questo percorso può variare a seconda della configurazione dell'organizzazione.
- Selezionare Configura l'elenco delle estensioni forzate installate.
- Fare clic con il pulsante destro del mouse e scegliere Modifica.
- Selezionare bAbilitato.
- Selezionare Visualizza.
- Per Valore aggiungere la voce seguente: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
- Selezionare OK e quindi Applica.
Testare e verificare i rilevamenti dei segnali del browser di gestione dei rischi Insider
Creare criteri di gestione dei rischi Insider con gli indicatori di dispositivo abilitati.
Per testare il rilevamento dei segnali per i file copiati nell'archiviazione cloud personale, completare i passaggi seguenti da un dispositivo Windows supportato:
- Aprire un sito Web di condivisione file (Microsoft OneDrive, Google Drive e così via) con il tipo di browser configurato per il rilevamento del segnale.
- Con il browser caricare un file non eseguibile nel sito Web.
Per testare il rilevamento dei segnali per i file stampati in dispositivi locali o di rete, i file trasferiti o copiati in una condivisione di rete e i file copiati nei dispositivi USB, completare i passaggi seguenti da un dispositivo Windows supportato:
- Aprire un file non eseguibile direttamente nel browser. Il file deve essere aperto direttamente tramite Esplora file o aperto in una nuova scheda del browser per la visualizzazione anziché una pagina Web.
- Stampare il file.
- Salvare il file in un dispositivo USB.
- Salvare il file in un'unità di rete.
Dopo aver creato il primo criterio di gestione dei rischi Insider, si inizierà a ricevere avvisi dagli indicatori di attività dopo circa 24 ore. Controllare il dashboard Avvisi per gli avvisi di gestione dei rischi Insider per le attività testate.