Condividi tramite


Esaminare i dati con Esplora contenuto di gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Gestione dei rischi Insider Esplora contenuto consente agli utenti assegnati al ruolo Insider Risk Management Investigators di esaminare il contesto e i dettagli del contenuto associato all'attività negli avvisi. I dati del caso in Esplora contenuto vengono aggiornati ogni giorno per includere nuove attività di rischio. Per tutti gli avvisi confermati in un caso, copie di dati e file di messaggi vengono archiviate come snapshot nel tempo degli elementi, mantenendo i file e i messaggi originali nelle origini di archiviazione. Se necessario, i file di dati del caso possono essere esportati come file di documento portabile (PDF) o nel formato di file originale.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Usare Esplora contenuto per visualizzare i dettagli per un caso specifico

Per esaminare i messaggi di posta elettronica e i file acquisiti dai criteri inclusi in un caso specifico, passare alla pagina Case di gestione dei rischi Insider e selezionare la riga del nome case nell'elenco per il caso per cui si desidera visualizzare i dettagli. Nella pagina dei dettagli del caso selezionare quindi la scheda Esplora contenuto per aprire Esplora contenuto.

Importante

Dopo la conferma di un avviso in un caso, Esplora contenuto non visualizzerà alcun dettaglio per tale caso se l'organizzazione non ha assegnato un utente al gruppo di ruoli Insider Risk Management Investigators o Insider Risk Management .

Esplora contenuto include attività utente correlate ai file di servizio di Microsoft 365, ad esempio attività utente in SharePoint, Exchange e OneDrive for Business. Per i nuovi casi, in genere sono necessarie circa un'ora prima che il contenuto venga popolato in Esplora contenuto. Per i casi con grandi quantità di contenuto, la creazione di uno snapshot potrebbe richiedere più tempo. Se il contenuto viene ancora caricato in Esplora contenuto, verrà visualizzato un indicatore di stato che visualizza la percentuale di completamento.

In alcuni casi, i dati associati a un caso potrebbero non essere disponibili come snapshot per la revisione in Esplora contenuto. Questa situazione può verificarsi quando i dati del caso sono stati eliminati o spostati o quando si verifica un errore temporaneo durante l'elaborazione dei dati del caso. In questo caso, selezionare Visualizza file nella barra di avviso per visualizzare i nomi dei file, il percorso del file e il motivo dell'errore per ogni file. Se necessario, queste informazioni possono essere esportate in un file .csv (valori delimitati da virgole).

Se il contenuto include autorizzazioni di Information Rights Management, queste autorizzazioni vengono mantenute per il contenuto copiato e gli utenti a cui è stato assegnato il ruolo Insider Risk Management Investigators avranno bisogno di queste autorizzazioni e diritti se devono aprire e visualizzare i file. A ogni file e messaggio viene assegnato automaticamente un ID file univoco nel caso di gestione dei rischi Insider a scopo di gestione. I documenti associati alle attività dell'indicatore del dispositivo non sono inclusi in Esplora contenuto.

Nota

Dopo che un caso è attivo per oltre 365 giorni, Esplora contenuto non viene aggiornato per riflettere le nuove attività. Per aggiornare Esplora contenuto con nuove attività per un utente in questo scenario, risolvere il caso e aprire un nuovo caso per l'utente.

Consiglio

Se non sei cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare la tua organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Inizia subito dall'hub delle versioni di valutazione del portale di conformità di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Opzioni colonna

Per semplificare agli analisti e agli investigatori del rischio la revisione dei dati e dei messaggi acquisiti e la revisione del contesto del caso, sono inclusi diversi strumenti di filtro e ordinamento in Esplora contenuto. Per l'ordinamento di base, le colonne della classe Date e File supportano l'ordinamento usando i titoli delle colonne nel riquadro della coda del contenuto. Altre colonne della coda sono disponibili per l'aggiunta alla visualizzazione per fornire pivot diversi su file e messaggi.

Per aggiungere o rimuovere intestazioni di colonna per la coda di contenuto, usare il controllo Modifica colonne e selezionare le opzioni di colonna seguenti. Queste colonne vengono mappate alle condizioni comuni, di posta elettronica e delle proprietà del documento supportate in Esplora contenuto ed elencate più avanti in questo articolo.

Opzione Colonna Descrizione
Author Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale.
Ccn Disponibile per i messaggi di posta elettronica, gli utenti nel campo Messaggio ccn.
Cc Disponibile per i messaggi di posta elettronica, gli utenti nel campo Cc message .available for email messages, the users in the Cc message field.
Percorso composto Percorso leggibile che descrive l'origine dell'elemento.
ID conversazione ID conversazione dal messaggio.
Indice della conversazione Indice della conversazione dal messaggio.
Ora di creazione Ora di creazione del file o del messaggio di posta elettronica.
Data (UTC) Per la posta elettronica, la data di un messaggio ricevuto da un destinatario o inviato da un mittente. Per i documenti, la data dell'ultima modifica apportata. La data è in formato UTC (Coordinated Universal Time).
Tema dominante Tema dominante calcolato per l'analisi.
EMAIL ID impostato ID gruppo per tutti i messaggi nello stesso set di posta elettronica.
ID famiglia L'ID famiglia raggruppa tutti gli elementi; per la posta elettronica, questa colonna include il messaggio e tutti gli allegati; per i documenti, questa colonna include il documento e tutti gli elementi incorporati.
Classe file Per il contenuto di SharePoint e OneDrive: Documento; per il contenuto di Exchange: Email o allegato.
File ID Identificatore del documento univoco all'interno del caso.
Icona tipo di file Estensione di un file; ad esempio docx, one, pptx o xlsx. Questo campo è la stessa proprietà della proprietà del sito FileExtension.
ID Identificatore GUID per il file.
ID non modificabile ID non modificabile archiviato in Office 365.
Tipo inclusivo Tipo inclusivo calcolato per l'analisi: 0 - non inclusivo; 1 - inclusi; 2 - inclusivo meno; 3 - copia inclusiva.
Data ultima modifica La data dell'ultima modifica di un documento.
Contrassegnato come rappresentativo Un documento di ogni set di duplicati esatti è contrassegnato come rappresentanti.
Tipo di messaggio Il tipo di messaggio di posta elettronica da cercare. Valori possibili: contatti, documenti, posta elettronica, dati esterni, fax, im, journal, riunioni, microsoft teams (restituisce elementi da chat, riunioni e chiamate in Microsoft Teams), note, post, feed RSS, attività, segreteria telefonica
Partecipanti Elenco di tutti i partecipanti a un messaggio; ad esempio Sender, To, Cc, Bcc.
Pivot ID ID di un pivot.
Received La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. Questo campo è la stessa proprietà della proprietà Posta elettronica ricevuta.
Destinatari Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn.
ID rappresentativo Identificatore numerico di ogni set di duplicati esatti.
Mittente Il mittente di un messaggio di posta elettronica.
Sender/Author Per la posta elettronica, l'utente che ha inviato un messaggio. Per i documenti, l'utente menzionato nel campo dell'autore dei documenti di Office. È possibile digitare più nomi, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.
Tipi di informazioni sensibili Tipi di informazioni sensibili identificati nel contenuto.
Etichette di riservatezza Etichette di riservatezza applicate al contenuto.
Posta inviata La data in cui un messaggio di posta elettronica viene inviato dal mittente. Questo campo è la stessa proprietà della proprietà Posta inviata.
Dimensioni Per la posta elettronica e i documenti, la dimensione dell'elemento (in byte).
Oggetto Il testo nella riga dell'oggetto di un messaggio di posta elettronica.
Subject/Title Per la posta elettronica, il testo nella riga dell'oggetto di un messaggio. Per i documenti, il titolo del documento. Come illustrato in precedenza, la proprietà Title è rappresentata dai metadati specificati nei documenti di Microsoft Office. È possibile digitare il nome di più di un soggetto/titolo, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.
Elenco temi Elenco di temi calcolato per l'analisi.
Titolo Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Office. È qualcosa di diverso dal nome file del documento.
To Destinatario di un messaggio di posta elettronica nel campo A.

Filtro

È possibile usare uno o più filtri per limitare l'ambito di una ricerca e restituire un set di risultati più perfezionato. Per impostare un filtro, selezionare Filtri nella parte superiore della coda di contenuto. Molti filtri includono opzioni di filtro aggiuntive per limitare i risultati restituiti dal filtro. Ad esempio, il filtro Data include controlli per configurare una data di inizio e una data di fine per il filtro Data . Selezionare uno o più elementi di filtro tra le categorie seguenti:

Filtri comuni

Filter Descrizione
Data (UTC) Per la posta elettronica, la data di un messaggio ricevuto da un destinatario o inviato da un mittente. Per i documenti, la data dell'ultima modifica apportata.
Sender/Author Per la posta elettronica, l'utente che ha inviato un messaggio. Per i documenti, la persona citata nel campo Autore dai documenti di Office. È possibile digitare più nomi, separati da virgole.
Source Posizione del documento nell'organizzazione. Ad esempio, un percorso del sito di SharePoint specifico.
Subject/Title Per la posta elettronica, il testo nella riga dell'oggetto di un messaggio. Per i documenti, il titolo del documento. La proprietà Title nei documenti è metadati specificati nei documenti di Microsoft Office. È possibile digitare il nome di più di un soggetto/titolo, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.

Inviare filtri

Filter Descrizione
Ccn Campo Ccn di un messaggio di posta elettronica.
Cc Campo Cc di un messaggio di posta elettronica.
Ha un allegato Indica se un messaggio contiene un allegato. I valori sono elencati come true o false.
Allegato di posta elettronica Se il documento è un allegato, il valore viene elencato come .
Documento incorporato Se il documento è incorporato nel messaggio di posta elettronica, il valore viene elencato come .
Allegato inline Se il documento è un allegato inline nel messaggio di posta elettronica, il valore viene elencato come .
Partecipanti Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, a, Cc e Ccn.
Received La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario.
Domini destinatario Elenco di tutti i domini dei destinatari di un messaggio.
Destinatari Destinatari del messaggio di posta elettronica.
Mittente Campo Mittente (da) per i tipi di messaggio. Il formato è DisplayName <SmtpAddress>.
Dominio del mittente Dominio del mittente.
To Il campo To (A) di un messaggio di posta elettronica.
Univoco nel set di posta elettronica False se è presente un duplicato dell'allegato nel relativo set di posta elettronica.

Filtri documento

Filtri Descrizione
Etichette di conformità Etichette di conformità applicate in Microsoft 365.
Ora di creazione (UTC) Data e ora di creazione del file o del messaggio di posta elettronica. La data e l'ora sono in formato UTC (Coordinated Universal Time).
Data ultima modifica (UTC) La data dell'ultima modifica di un documento. La data e l'ora sono in formato UTC (Coordinated Universal Time).
Estensione del file Tipo di estensione del file.
Eventi attività utente Attività per gli elementi correlati a un'attività utente specifica in un caso. Ad esempio, quando si seleziona un collegamento a "Esplora contenuto" per un'attività nella pagina Attività utente di un caso, questo filtro viene usato per visualizzare gli elementi correlati a tale attività.
Prodotto di lavoro Tipo di prodotto di lavoro per il documento. Ad esempio, annotazioni o tag nel documento.