Introduzione a Esplora attività
Esplora attività consente di monitorare le operazioni eseguite con il contenuto etichettato. Esplora attività offre una visualizzazione cronologica delle attività nel contenuto etichettato. Le informazioni sulle attività vengono raccolte dai log di controllo unificati di Microsoft 365, trasformate e quindi rese disponibili nell'interfaccia utente di Esplora attività. Esplora attività segnala fino a 30 giorni di dati.
Esplora attività offre diversi modi per ordinare e visualizzare i dati.
Filtri
I filtri sono i blocchi predefiniti di Esplora attività, ognuno incentrato su una dimensione diversa dei dati raccolti. Sono disponibili circa 50 filtri singoli diversi per l'uso, alcuni dei quali sono:
- Intervallo di date
- Tipo di attività
- Posizione
- Etichetta di riservatezza
- Utente
- Client IP
- Nome dispositivo
- È protetto
Per visualizzarli tutti, aprire il riquadro dei filtri in Esplora attività e esaminare l'elenco a discesa.
Nota
Le opzioni di filtro vengono generate in base ai primi 500 record per garantire prestazioni ottimali. Ciò potrebbe comportare la mancata visualizzazione di alcuni valori nell'elenco a discesa del filtro.
Set di filtri
Esplora attività include set predefiniti di filtri che consentono di risparmiare tempo quando si vuole concentrarsi su un'attività specifica. Usare i set di filtri per fornire rapidamente una visualizzazione delle attività di livello superiore rispetto ai singoli filtri. Alcuni dei set di filtri predefiniti sono:
- Attività di prevenzione della perdita dei dati degli endpoint
- Etichette di riservatezza applicate, modificate o rimosse
- Attività in uscita
- Criteri DLP che hanno rilevato attività
- Attività DLP di rete
- Browser protetto
È anche possibile creare e salvare set di filtri personalizzati combinando singoli filtri.
Security Copilot in Esplora attività (anteprima)
In anteprima, Microsoft Security Copilot in Microsoft Purview è incorporato in Esplora attività. Consente di eseguire in modo efficiente il drill-down dei dati delle attività e di identificare attività, file con informazioni sensibili, utenti e dettagli aggiuntivi rilevanti per un'indagine.
Importante
Assicurarsi di controllare le risposte da Security Copilot per l'accuratezza e la completezza prima di intraprendere qualsiasi azione in base alle informazioni fornite. È possibile fornire commenti e suggerimenti per migliorare l'accuratezza delle risposte.
Ricerca dei dati
Security Copilot l'uso delle competenze di tutti i dati disponibili per Microsoft Purview, filtri e set di filtri disponibili in Esplora attività e usa l'apprendimento automatico per fornire informazioni dettagliate sull'attività (talvolta definita ricerca dei dati) sui dati più importanti per l'utente.
- Mostrami le prime 5 attività dell'ultima settimana
- Filtrare e analizzare le attività
- Trovare i file usati in attività specifiche
Selezionando un prompt verrà aperta automaticamente la scheda laterale Security Copilot e verranno visualizzati i risultati della query. È quindi possibile perfezionare ulteriormente la query.
Linguaggio naturale per filtrare la generazione di set
È possibile usare la casella di richiesta per immettere query in linguaggio naturale complesse per generare set di filtri. Ad esempio, è possibile immettere:
"Filtrare ed analizzare i file copiati nel cloud con il numero di carta di credito del tipo di informazioni sensibili negli ultimi 30 giorni."
Security Copilot genererà un set di filtri per la query. È quindi consigliabile esaminare il filtro per assicurarsi che sia quello desiderato e quindi applicarlo ai dati.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare subito dall'hub delle versioni di valutazione del Portale di conformità di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Prerequisiti
Licenze per SKU/abbonamenti
Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.
Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.
Autorizzazioni
A un account deve essere assegnata in modo esplicito l'appartenenza a uno di questi gruppi di ruoli o deve essere concesso in modo esplicito al ruolo.
Ruoli e Gruppi di ruolo
Esistono ruoli e gruppi di ruoli che è possibile usare per ottimizzare i controlli di accesso. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.
Ruoli di Microsoft Purview
- Amministratore di Information Protection
- Analista di Information Protection
- Investigatore di Information Protection
- Lettore di Information Protection
Gruppi del ruolo Microsoft Purview
- Azure Information Protection
- Amministratori di Information Protection
- Investigatori di Information Protection
- Analisti di Information Protection
- Lettori di Information Protection
Ruoli di Microsoft 365
- Amministratori della conformità
- Amministratori della sicurezza
- Amministratori dei dati di conformità
Gruppi del ruolo di Microsoft 365
- Amministratore di conformità
- Amministratore della sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
Tipi di attività
Esplora attività raccoglie informazioni dai log di controllo di più origini di attività.
Alcuni esempi delle attività relative alle etichette di riservatezza e alle attività di etichettatura di conservazione da applicazioni native a Microsoft Office, client e scanner di Microsoft Information Protection, SharePoint, Exchange (solo etichette di riservatezza) e OneDrive includono:
- Etichetta applicata
- Etichetta modificata (sottoposta a upgrade o downgrade oppure rimossa)
- Simulazione di etichettatura automatica
- File letto
Per l'elenco corrente delle attività elencate in Esplora attività, passare a Esplora attività e aprire il filtro di aattività. L'elenco delle attività è disponibile nell'elenco a discesa.
L'attività di etichettatura specifica per il client e lo scanner di Microsoft Information Protection che entra in Esplora attività include:
- Protezione applicata
- Protezione modificata
- Protezione rimossa
- File individuati
Per informazioni più dettagliate sull'attività di etichettatura che lo rende in Esplora attività, vedere Etichettatura degli eventi disponibili in Esplora attività.
Inoltre, usando la prevenzione della perdita dei dati degli endpoint, Esplora attività raccoglie i criteri DLP corrispondenti agli eventi di Exchange, SharePoint, OneDrive, Teams Chat e Canale, alle raccolte e alle cartelle di SharePoint locali, alle condivisioni file locali e ai dispositivi che eseguono Windows 10, Windows 11 e una delle tre versioni principali di macOS più recenti. Alcuni eventi di esempio raccolti da dispositivi Windows 10 includono le azioni seguenti eseguite sui file:
- Eliminazione
- Creazione
- Copia negli Appunti
- Modifica
- Lettura
- Stampa
- Ridenominazione
- Copia nella condivisione di rete
- Accesso da parte di un'app non consentita
Comprendere le azioni eseguite sul contenuto con etichette di riservatezza consente di determinare se i controlli esistenti, ad esempio i criteri di Prevenzione della perdita dei dati Microsoft Purview, sono efficaci. In caso contrario, o se si rileva qualcosa di imprevisto (ad esempio un numero elevato di elementi etichettati highly confidential con downgrade a general), è possibile gestire i criteri ed eseguire nuove azioni per limitare il comportamento indesiderato.
Nota
Esplora attività attualmente non monitora le attività di conservazione per Exchange.
Nota
Nel caso in cui il verdetto DLP di Teams venga segnalato come falso positivo dall'utente, l'attività verrà visualizzata come informazioni DLPnell'elenco in Esplora attività. La voce non includerà i dettagli delle corrispondenze tra regole e criteri, ma mostrerà valori sintetici. Non verrà inoltre generato alcun report sugli eventi imprevisti per la segnalazione di falsi positivi.
Eventi e avvisi relativi al tipo di attività
Questa tabella illustra gli eventi attivati in Esplora attività per tre configurazioni di criteri di esempio, a seconda che venga rilevata o meno una corrispondenza dei criteri.
| Configurazione dei criteri | Evento di Esplora attività attivato per questo tipo di azione | Evento di Esplora attività attivato quando viene trovata una corrispondenza con una regola DLP | Avviso di Esplora attività attivato |
|---|---|---|---|
| I criteri contengono una singola regola che consente l'attività senza controllarla. | Sì | No | No |
| I criteri contengono due regole: le corrispondenze per la regola 1 sono consentite; Vengono controllate le corrispondenze dei criteri per la regola 2. | Sì (Solo regola 2) |
Sì (Solo regola 2) |
Sì (Solo regola 2) |
| I criteri contengono due regole: le corrispondenze per entrambe le regole sono consentite e non controllate. | Sì | No | No |