Intervenire con Gestione della postura di sicurezza dei dati raccomandazioni (anteprima)

Le raccomandazioni in Gestione della postura di sicurezza dei dati (DSPM) (anteprima) vengono generate direttamente dai dati elaborati, dallo stato corrente degli asset sensibili non protetti nell'organizzazione e dalle attività utente che mettono a rischio gli asset sensibili non protetti. Consigli specifici consentono di intervenire e di creare rapidamente criteri di prevenzione della perdita dei dati e di gestione dei rischi Insider per ridurre i rischi di sicurezza dei dati. DSPM raccomandazioni (anteprima) possono anche aiutare a identificare le lacune di copertura nei criteri di gestione dei rischi Insider e DLP esistenti.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Uso delle raccomandazioni

Per visualizzare ed esaminare le raccomandazioni, passare a Gestione della postura di sicurezza dei dati>Panoramica o Gestione della postura di sicurezza dei dati>Recommendations.

• Nella pagina Panoramica è possibile esaminare le prime due raccomandazioni sulla sicurezza dei dati o selezionare Visualizza tutte le raccomandazioni per un elenco completo di tutte le raccomandazioni.
• Dalla pagina Raccomandazioni è possibile esaminare direttamente un elenco completo di tutte le raccomandazioni.

Le raccomandazioni vengono generate dagli ultimi 30 giorni di attività dell'utente e dallo stato degli asset sensibili non protetti. Man mano che l'elaborazione continua, l'elenco di raccomandazioni viene aggiornato automaticamente e le raccomandazioni precedenti a 30 giorni vengono rimosse.

Ogni raccomandazione fornisce una breve descrizione dell'attività o dello stato rischioso dell'asset sensibile non protetto e include un criterio consigliato da configurare per ridurre i rischi di sicurezza dei dati continui e futuri. Per la raccomandazione vengono visualizzate le metriche per il numero di attività, il tipo di protezione associato e il numero di utenti coinvolti.

Selezionare Visualizza raccomandazione per intervenire e creare un nuovo criterio per ridurre i rischi per la sicurezza dei dati associati alla raccomandazione.

Creazione di criteri da raccomandazioni

Dopo aver selezionato Visualizza raccomandazione per una raccomandazione specifica, è possibile creare uno o più criteri nella prevenzione della perdita dei dati (DLP) e/o nella gestione dei rischi Insider per ridurre i rischi di sicurezza dei dati associati alla raccomandazione.

Ad esempio, se si ha una raccomandazione per impedire agli utenti di copiare file sensibili in condivisioni di rete, è consigliabile creare sia un criterio di gestione dei rischi Insider per rilevare quando determinati utenti eseguono attività rischiose contenenti dati sensibili che un criterio DLP per impedire agli stessi utenti di condividere i dati con altri utenti.

Per creare criteri da un consiglio, completare la procedura seguente:

1. Passare al portale di Microsoft Purview e accedere usando le credenziali per un account utente assegnato DSPM autorizzazioni (anteprima).
2. Selezionare la scheda Gestione della postura di sicurezza dei dati soluzione e quindi selezionare Raccomandazioni nel riquadro di spostamento a sinistra.
3. Selezionare una raccomandazione, quindi selezionare Visualizza raccomandazione.
4. Nel riquadro a comparsa raccomandazione scegliere l'opzione per creare un tipo di criteri o più criteri. Per impostazione predefinita, se alla raccomandazione si applicano più criteri, per impostazione predefinita viene selezionata l'opzione per creare più criteri.
5. Ogni tipo di criterio include una sezione dedicata per la configurazione delle opzioni dei criteri:
6. Per le opzioni della sezione Criteri di gestione dei rischi Insider , configurare le opzioni dei criteri seguenti:
   1. Nome criterio: immettere un nome di criterio univoco o accettare il nome del criterio suggerito.
   2. Ambito utente: selezionare Includi tutti gli utenti e i gruppi (consigliato per una copertura ottimale) oppure scegliere utenti e gruppi specifici. Se si sceglie di includere utenti o gruppi specifici, immettere i nomi di utenti e gruppi nel campo selezione.
   3. Impostazioni compilate per l'utente: le impostazioni per i criteri vengono automaticamente incluse nell'ambito del tipo di attività e delle informazioni dettagliate sugli asset di dati non protette associate alla raccomandazione. Questi includono l'uso di modelli di criteri specifici, l'attivazione di eventi e indicatori. Se le impostazioni suggerite richiedono modifiche, selezionare Personalizza> criteri dirischio Insider per creare i criteri nella procedura guidata dei criteri di gestione dei rischi Insider.
7. Per le opzioni della sezione Criteri di prevenzione della perdita dei dati , configurare le opzioni dei criteri seguenti:
   1. Nome criterio: immettere un nome di criterio univoco.
   2. Modalità: selezionare Simulazione o Attivato.
   3. Impostazioni compilate per l'utente: le impostazioni per i criteri vengono automaticamente incluse nell'ambito del tipo di attività e delle informazioni dettagliate sugli asset di dati non protette associate alla raccomandazione. Questi includono l'uso di tipi di informazioni sensibili specifici, azioni di imposizione, eventi di attivazione e posizioni dei dati. Se le impostazioni suggerite richiedono modifiche, selezionare Personalizza>criteri DLP per creare i criteri nella procedura guidata dei criteri DLP.
8. Se le opzioni dei criteri suggerite soddisfano le proprie esigenze, selezionare Crea criterio. In questo modo vengono creati uno o più criteri nelle soluzioni applicabili.

La creazione di ogni criterio richiede alcuni minuti. I nuovi criteri sono elencati nella scheda Criteri nelle soluzioni applicabili. Quando il criterio è attivo, potrebbero essere richieste almeno 24 ore prima che l'evento di attivazione si verifichi e assegnare un punteggio all'attività dell'utente, quindi viene generato il primo avviso. Se le notifiche di amministratore sono attivate, si riceve un messaggio di posta elettronica quando si verifica questo avviso.

È possibile valutare l'avviso e confermarlo in un caso per ulteriori indagini o ignorarlo come comportamento normale. Dopo aver esaminato alcuni avvisi, ottimizzare i criteri per controllare il numero di avvisi generati, le attività rilevate e altro ancora. È possibile generare raccomandazioni aggiuntive per questo tipo di attività che possono essere utili per gli aggiornamenti dei criteri.

Aggiornamento dei criteri in altre soluzioni

Per aggiornare i criteri creati da consigli, usare gli strumenti di gestione dei criteri in ogni soluzione. Gli strumenti nelle soluzioni consentono di personalizzare completamente i criteri oltre alle impostazioni rapide dei criteri incluse nelle raccomandazioni.

• Gestire i criteri di gestione dei rischi Insider
• Gestire i criteri DLP

Verifica della configurazione dei criteri esistenti

Se l'organizzazione dispone già di criteri di gestione dei rischi Insider o DLP configurati, le raccomandazioni in DSPM (anteprima) sono un ottimo modo per identificare e correggere eventuali lacune nelle configurazioni dei criteri correnti. Invece di usare le opzioni di creazione dei criteri direttamente nella raccomandazione, è possibile scegliere di usare le informazioni dettagliate associate alla raccomandazione per aggiornare o perfezionare i criteri di gestione dei rischi Insider o DLP esistenti.