Altre informazioni sulla raccolta di prove per le attività sui file nei dispositivi
Quando si analizza un evento imprevisto Prevenzione della perdita dei dati Microsoft Purview (DLP) o si risolve un criterio DLP, può essere utile avere una copia completa dell'elemento corrispondente ai criteri a cui fare riferimento. La prevenzione della perdita dei dati può copiare l'elemento corrispondente a un criterio DLP dai dispositivi Windows caricati in un account di archiviazione di Azure. Gli investigatori e gli amministratori degli eventi imprevisti DLP a cui sono state concesse le autorizzazioni appropriate nel BLOB di archiviazione di Azure possono quindi accedere ai file.
Per iniziare a configurare e usare la funzionalità, vedere Introduzione alla raccolta di file che corrispondono ai criteri di prevenzione della perdita dei dati dai dispositivi.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:
- Unità amministrative
- Informazioni su Prevenzione della perdita dei dati Microsoft Purview: questo articolo presenta la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati.
- Pianificare la prevenzione della perdita dei dati ( DLP) : seguendo questo articolo:
- Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio.
- Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
- Creare e distribuire criteri di prevenzione della perdita dei dati : questo articolo presenta alcuni scenari comuni di finalità dei criteri che verranno mappati alle opzioni di configurazione, quindi illustra come configurare tali opzioni.
Dove la raccolta di prove per le attività dei file nei dispositivi si adatta a Purview
La prevenzione della perdita dei dati degli endpoint fa parte dell'offerta DLP più ampia e fa parte della più ampia gamma di servizi offerti in Microsoft Purview. È consigliabile comprendere in che modo la raccolta di prove per le attività dei file nei dispositivi si inserisce nel set più ampio di offerte di servizi.
Raccolta di prove per le attività di file nei dispositivi ed eDiscovery
Questa funzionalità crea copie di elementi che corrispondono ai criteri di prevenzione della perdita dei dati nei dispositivi Windows di cui è stato eseguito l'onboarding e li inserisce in un account di archiviazione di Azure. Queste copie non sono conservate in uno stato senza modifiche e non sono prove nel senso legale del termine. Se è necessario trovare e conservare elementi per scopi legali, è consigliabile usare le soluzioni Microsoft Purview eDiscovery. Il rilevamento elettronico o eDiscovery, è il processo di identificazione e consegna di dati elettronici che possono essere utilizzati come prove in casi legali.
Raccolta di prove per le attività di file nei dispositivi e riepilogo contestuale
Quando un elemento e l'attività eseguita da un utente su tale elemento corrispondono alle condizioni definite in un criterio DLP, un evento DLPRuleMatch viene visualizzato in Esplora attività. Questo vale per ogni posizione supportata dalla prevenzione della perdita dei dati. L'evento DLPRuleMatch contiene una quantità limitata di testo che circonda il contenuto corrispondente. Questa quantità limitata di testo è denominata riepilogo contestuale.
È importante comprendere la differenza tra la raccolta di prove per le attività dei file nei dispositivi e un riepilogo contestuale. La raccolta di prove per le attività dei file nei dispositivi è disponibile solo per i dispositivi Windows di cui è stato eseguito l'onboarding. Salva una copia dell'intero elemento corrispondente a un criterio all'account di archiviazione di Azure. Un riepilogo contestuale viene acquisito per ogni corrispondenza delle regole dei criteri DLP e contiene solo una quantità limitata di testo che racchiude il testo di destinazione che ha attivato la corrispondenza.
Attività utente coperte
È possibile configurare la raccolta di prove per le attività dei file nei dispositivi per salvare una copia di un elemento corrispondente nell'account di archiviazione di Azure quando un utente tenta di eseguire una di queste attività in un elemento corrispondente:
- Copiare in un dispositivo USB rimovibile
- Copia nella condivisione di rete
- Stampa
- Copia o sposta usando un'app Bluetooth non consentita
- Copiare o spostarsi tramite RDP
- Caricare nei domini del servizio cloud o accedere da un browser non consentito
- Incolla nei browser supportati
Il rilevamento di queste attività è configurato nei criteri DLP. Per altre informazioni su come creare criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati e Uso della prevenzione della perdita di dati degli endpoint.
Azioni coperte
Quando si abilita la raccolta di prove per le attività di file nei dispositivi nelle impostazioni di prevenzione della perdita dei dati degli endpoint e si configura un criterio DLP per l'uso di questa funzionalità, viene salvata una copia di un elemento corrispondente per queste azioni:
- Solo controllo
- Blocca con override
- Blocca
Queste azioni sono configurate nei criteri DLP. Per altre informazioni su come creare criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati e Uso della prevenzione della perdita di dati degli endpoint.
Considerazioni sulla progettazione
Aree per gli account di archiviazione di Azure
Per rispettare i requisiti normativi, assicurarsi che gli account di archiviazione di Azure usati si trovino negli stessi limiti geopolitici o normativi dei dispositivi da cui vengono copiati. Inoltre, tenere presente la posizione geopolitica degli investigatori DLP che accederanno agli elementi sensibili una volta salvati. Prendere in considerazione l'uso di unità amministrative per definire l'ambito di amministrazione degli utenti e dei dispositivi in modo appropriato per ogni criterio DLP. Per informazioni su come usare la prevenzione della perdita dei dati per rispettare le normative sulla privacy dei dati, vedere Distribuire la protezione delle informazioni per le normative sulla privacy dei dati con Microsoft Purview. La raccolta di prove per le attività dei file nei dispositivi supporta fino a 10 account di archiviazione di Azure.
Per informazioni su come usare la prevenzione della perdita dei dati per rispettare le normative sulla privacy dei dati, vedere Distribuire la protezione delle informazioni per le normative sulla privacy dei dati con Microsoft Purview.
Archiviazione e larghezza di banda locali
Per impostazione predefinita, le copie degli elementi corrispondenti vengono salvate in modo asincrono nell'account di archiviazione di Azure configurato tramite la connessione di rete esistente. Se il dispositivo non ha connettività, gli elementi corrispondenti vengono salvati in locale, fino al limite di 500 MB. È possibile salvare gli elementi in locale fino a 60 giorni.
Anche se il dispositivo ha connettività all'URL dell'account di archiviazione di Azure, non esiste alcun limite per l'utilizzo della larghezza di banda. La larghezza di banda usata dalla raccolta di evidenze per le attività dei file nei dispositivi non influisce sui limiti di larghezza di banda predefiniti o configurati per l'analisi e la protezione della classificazione avanzata.
Account di archiviazione di Azure
I clienti sono responsabili della creazione e della gestione dei propri account di archiviazione di Azure. Se non si ha familiarita' con Archiviazione di Azure, vedere:
- Che cos'è l'archiviazione BLOB di Azure
- Introduzione ad Archiviazione di Azure
- Creare un account di archiviazione
Gli elementi che corrispondono a un criterio vengono copiati dal dispositivo degli utenti nel BLOB dell'account di archiviazione di Azure nel contesto di sicurezza dell'utente connesso. Tutti gli utenti inclusi nell'ambito dei criteri devono quindi disporre dell'autorizzazione di lettura e scrittura per l'archiviazione BLOB. Per altre informazioni, vedere Introduzione alla raccolta di file che corrispondono ai criteri di prevenzione della perdita di dati dai dispositivi
Analogamente, tutti gli amministratori che esaminano gli elementi salvati devono disporre read
dell'autorizzazione per il BLOB dell'account di archiviazione di Azure. Per altre informazioni, vedere Introduzione alla raccolta di file che corrispondono ai criteri di prevenzione della perdita di dati dai dispositivi.
Archiviazione dell'evidenza quando vengono rilevate informazioni riservate (anteprima)
Tipi di file supportati
Per altre informazioni sui tipi di file supportati, vedere Tipi di file supportati per l'archiviazione e l'anteprima delle prove.
Tipi di archiviazione supportati
Sono disponibili due opzioni per archiviare l'evidenza raccolta da Purview quando rileva informazioni sensibili nel contenuto. È possibile usare un archivio dati gestito dal cliente o un archivio dati gestito da Microsoft (anteprima). L'opzione da usare dipende dai requisiti e dai casi d'uso. Per facilitare la decisione, esaminare la tabella di confronto seguente.
Confronto tra i tipi di archiviazione
I file corrispondenti continuano a essere inclusi nei risultati degli avvisi anche dopo aver modificato il tipo di archiviazione, purché le autorizzazioni di controllo degli accessi in base al ruolo rimangano invariate. Poiché l'archiviazione gestita dai clienti è di proprietà dei clienti, gli amministratori DLP possono continuare a scaricare i file direttamente dall'archiviazione in base ai file.
La tabella seguente identifica le differenze tra l'archiviazione gestita dal cliente e l'archiviazione gestita da Microsoft per la raccolta di prove delle informazioni sensibili rilevate nel contenuto.
Elemento Feature | Gestito dal cliente | Gestito da Microsoft (anteprima) |
---|---|---|
Conservazione dei file | È possibile mantenere i file per tutto il tempo necessario o desiderato. | I file vengono conservati per un massimo di 120 giorni. |
Impostazioni endpoint | È necessario aggiungere l'archiviazione BLOB (URL del contenitore) nelle impostazioni dell'endpoint e quindi usare il Interfaccia di amministrazione di Microsoft Entra per configurare autorizzazioni utente esplicite nel BLOB per gli utenti nell'ambito. | Tutte le autorizzazioni e la configurazione vengono gestite con un solo clic quando si configurano le impostazioni dell'endpoint. |
Configurazione dei criteri e della posizione | È necessario aggiungere e configurare BLOB di archiviazione in base ai criteri per ogni posizione in cui viene applicato un criterio. | Non è necessaria alcuna selezione di archiviazione per posizioni di criteri specifiche. |
Percorso/area dell'archivio dati | Scelta dal cliente | La stessa area del tenant di Microsoft Purview. |
Addebiti | I costi di archiviazione vengono addebitati oltre al costo della sottoscrizione Entra. | Il costo di archiviazione è attualmente incluso in E5. Tuttavia, Microsoft monitorerà l'utilizzo dell'archiviazione e potrebbe addebitare costi aggiuntivi in base a un utilizzo eccessivo. Questa operazione verrà comunicata ai clienti separatamente in caso di modifica del modello di business. |
Configurazione di rete | È necessario consentire agli URL del contenitore per i BLOB di archiviazione di passare attraverso il firewall di rete. | È necessario includere compliancedrive.microsoft.com in un elenco "consenti", in modo che possa passare attraverso il firewall di rete. |
Modifica dei tipi di archiviazione
I clienti possono passare da un tipo di archiviazione all'altro in qualsiasi momento. Tuttavia, è consigliabile pianificare attentamente il tipo di archiviazione necessario a lungo termine e selezionare l'opzione appropriata per il caso d'uso. Per altre informazioni sulle differenze tra i due tipi di archiviazione, vedere la tabella di confronto dei tipi di archiviazione.
Nota
Quando si cambiano i tipi di archiviazione, è necessario aggiornare i criteri per assicurarsi che vengano applicati ai file nel nuovo archivio dati.
Impatto della modifica dei tipi di archiviazione sui file di prova
I file corrispondenti continuano a essere inclusi nei risultati degli avvisi, anche dopo aver modificato il tipo di gestione dell'archiviazione, a condizione che le autorizzazioni di controllo degli accessi in base al ruolo non cambino.
Poiché si è proprietari della soluzione di archiviazione gestita dal cliente, gli amministratori DLP possono continuare a scaricare i file direttamente in base al file dopo essere stati spostati nella soluzione di archiviazione gestita da Microsoft.
Passaggio successivo
Il passaggio successivo consiste nel configurare la raccolta di prove per le attività dei file nei dispositivi.
Per altre informazioni, vedere Introduzione alla raccolta di file che corrispondono ai criteri di prevenzione della perdita di dati dai dispositivi.