Condividi tramite


Introduzione alle prove forensi per la gestione dei rischi Insider

Importante

Le prove forensi sono una funzionalità di componente aggiuntivo opt-in in Insider Risk Management che offre ai team di sicurezza informazioni visive sui potenziali incidenti di sicurezza dei dati Insider, con la privacy degli utenti integrata. Le prove forensi includono trigger di eventi personalizzabili e controlli predefiniti per la protezione della privacy degli utenti, consentendo ai team di sicurezza di analizzare, comprendere e rispondere meglio ai potenziali rischi dei dati insider, ad esempio l'esfiltrazione non autorizzata dei dati sensibili.

Le organizzazioni impostano automaticamente i criteri corretti, inclusi gli eventi rischiosi con la massima priorità per l'acquisizione di prove forensi e i dati più sensibili. L'evidenza forense è disattivata per impostazione predefinita, la creazione di criteri richiede la doppia autorizzazione e i nomi utente possono essere mascherati con pseudonimi (attiva per impostazione predefinita per Insider Risk Management). La configurazione dei criteri e la revisione degli avvisi di sicurezza all'interno di Insider Risk Management sfrutta controlli degli accessi in base al ruolo avanzati, assicurando che gli utenti designati nell'organizzazione stiano eseguendo le azioni corrette con funzionalità di controllo aggiuntive.

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

La configurazione delle prove forensi nell'organizzazione è simile alla configurazione di altri criteri da modelli di criteri di gestione dei rischi Insider. In generale, si seguiranno gli stessi passaggi di configurazione di base per configurare le prove forensi, ma esistono alcune aree che richiedono azioni di configurazione specifiche delle funzionalità prima di iniziare con i passaggi di configurazione di base.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Passaggio 1: Confermare la sottoscrizione e configurare l'accesso all'archiviazione dati

Prima di iniziare a usare le prove forensi, è necessario confermare la sottoscrizione di gestione dei rischi Insider e tutti i componenti aggiuntivi.

Inoltre, è necessario aggiungere i domini seguenti all'elenco di autorizzazioni del firewall e del server proxy per supportare l'archiviazione di acquisizione delle prove forensi per l'organizzazione:

Tutto il mondo - Dominio

- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

GCC/GCC High - Dominio

- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

DOD - Dominio

- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

Per altre informazioni su questi endpoint, vedere Endpoint di Microsoft 365.

Nota

Le acquisizioni e i dati di acquisizione vengono archiviati in questi domini e assegnati solo all'organizzazione. Nessun'altra organizzazione di Microsoft 365 ha accesso alle acquisizioni di prove forensi per l'organizzazione.

I dati delle prove forensi vengono archiviati in un'area in cui è impostata la Exchange Online Protection (EOP) o l'area di scambio.

Passaggio 2: Configurare i dispositivi supportati

I dispositivi utente idonei per l'acquisizione di prove forensi devono essere caricati nel Portale di conformità di Microsoft Purview e devono avere installato il client Microsoft Purview.

Importante

Il client Microsoft Purview raccoglie automaticamente i dati di diagnostica generali relativi alla configurazione del dispositivo e alle metriche delle prestazioni. Sono inclusi i dati relativi a errori critici, consumo di RAM, errori di processo e altri dati. Questi dati consentono di valutare l'integrità del client e identificare eventuali problemi. Per altre informazioni sull'uso dei dati di diagnostica, vedere l'articolo relativo all'uso del software con i servizi online nelle Condizioni del prodotto Microsoft.

Per un elenco dei requisiti di configurazione e dispositivo, vedere Informazioni sulle prove forensi. Per eseguire l'onboarding dei dispositivi supportati, completare i passaggi descritti nell'articolo Panoramica di Onboard Windows 10 e Windows 11 dispositivi in Microsoft 365.

Installare il client Microsoft Purview

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Installazione client.

  4. Selezionare Scarica pacchetto del programma di installazione (versione x64) per scaricare il pacchetto di installazione per Windows.

  5. Dopo aver scaricato il pacchetto di installazione, usare il metodo preferito per installare il client nei dispositivi degli utenti. Queste opzioni possono includere l'installazione manuale del client nei dispositivi o negli strumenti per automatizzare l'installazione del client:

    • Microsoft Intune: Microsoft Intune è una soluzione integrata per la gestione di tutti i dispositivi. Microsoft riunisce Configuration Manager e Intune, senza una migrazione complessa e con licenze semplificate.
    • Soluzioni di gestione dei dispositivi di terze parti: se l'organizzazione usa soluzioni di gestione dei dispositivi di terze parti, vedere la documentazione relativa a questi strumenti per installare il client.

Passaggio 3: Configurare le impostazioni

L'evidenza forense ha diverse impostazioni di configurazione che offrono flessibilità per i tipi di attività utente correlate alla sicurezza acquisite, i parametri di acquisizione, i limiti di larghezza di banda e le opzioni di acquisizione offline. L'acquisizione di prove forensi consente di creare criteri in base ai requisiti in pochi passaggi e l'aggiunta di utenti a un criterio richiede la doppia autorizzazione.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Impostazioni prove forensi.

  4. Selezionare Acquisizione di prove forensi per abilitare l'acquisizione del supporto nei criteri di prova forense. Se questa opzione viene disattivata in un secondo momento, verranno rimossi tutti gli utenti aggiunti in precedenza per i criteri di prova forense.

    Importante

    Il client Microsoft Purview usato per acquisire attività sui dispositivi degli utenti è concesso in licenza in base all'uso del software con i servizi online nelle Condizioni del prodotto Microsoft. Si noti che i clienti sono gli unici responsabili dell'uso della soluzione di gestione dei rischi Insider, incluso il client Microsoft Purview, in conformità a tutte le leggi applicabili.

  5. Nella sezione Finestra acquisizione definire quando avviare e arrestare l'acquisizione di attività. I valori disponibili sono 10 secondi, 30 secondi, 1 minuto, 3 minuti o 5 minuti.

  6. Nella sezione Upload bandwidth limit (Carica limite larghezza di banda ) definire la quantità di dati di acquisizione da caricare nell'account di archiviazione dati per utente al giorno. I valori disponibili sono 100 MB, 250 MB, 500 MB, 1 GB o 2 GB.

  7. Nella sezione Limite cache di acquisizione offline definire le dimensioni massime della cache da archiviare nei dispositivi degli utenti quando l'acquisizione offline è abilitata. I valori disponibili sono 100 MB, 250 MB, 500 MB, 1 GB o 2 GB.

  8. Seleziona Salva.

Passaggio 4: Creare un criterio

I criteri di prova forense definiscono l'ambito dell'attività utente correlata alla sicurezza da acquisire per i dispositivi configurati. Sono disponibili due opzioni per l'acquisizione di prove forensi:

  • Acquisire solo attività specifiche, ad esempio la stampa o l'esfiltrazione di file. Con questa opzione, è possibile scegliere le attività del dispositivo che si desidera acquisire e solo le attività selezionate verranno acquisite dai criteri. È anche possibile scegliere di acquisire attività per app desktop e/o siti Web specifici. In questo modo è possibile concentrarsi solo sulle attività, le app e i siti Web che presentano rischi.
  • Acquisire tutte le attività che gli utenti approvati eseguono nei propri dispositivi. Questa opzione viene in genere usata per un periodo di tempo specifico, ad esempio quando un utente specifico è potenzialmente coinvolto in attività rischiose che possono causare un evento imprevisto di sicurezza. Tutti gli indicatori di prova forense vengono inclusi automaticamente se si seleziona questa opzione, inclusi gli indicatori del dispositivo e gli indicatori di protezione avanzata dal phishing. Per mantenere la capacità e la privacy degli utenti, è possibile scegliere di escludere app desktop e/o siti Web specifici dall'acquisizione, come descritto di seguito.

Dopo aver creato un criterio, verrà incluso nelle richieste di prove forensi per controllare l'attività da acquisire per gli utenti le cui richieste sono approvate.

Nota

I criteri forensi continui (acquisizione di tutte le attività) hanno la precedenza sui criteri di prova forense selettivi (acquisizione solo di attività specifiche).

Acquisire solo attività specifiche

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Criteri di prova forense.

  4. Selezionare Crea criteri di prova forense.

  5. Nella pagina Ambito selezionare Attività specifiche. Questa opzione acquisisce solo le attività rilevate dai criteri in cui sono inclusi gli utenti. Queste attività sono definite dagli indicatori selezionati nei criteri di prova forense. Le acquisizioni per questa opzione saranno disponibili per la revisione nella scheda Prove forensi (anteprima) nel dashboard Avvisi o Casi .

  6. Seleziona Avanti.

  7. Nella pagina Nome e descrizione completare i campi seguenti:

    • Nome (obbligatorio): immettere un nome descrittivo per i criteri di prova forense. Questo nome non può essere modificato dopo la creazione dei criteri.
    • Descrizione (facoltativo): immettere una descrizione per i criteri di prova forense.
  8. Seleziona Avanti.

  9. Nella pagina Scegliere le attività del dispositivo da acquisire :

    1. Selezionare tutte le attività del dispositivo che si desidera acquisire. Solo le attività selezionate verranno acquisite dai criteri.

      Nota

      Se gli indicatori non sono selezionabili, verrà richiesto di attivarli.

    2. È anche possibile scegliere di acquisire attività per app desktop e/o siti Web specifici nei criteri selezionando la casella di controllo Apertura di un'app o di un sito Web specifico in App e attività di esplorazione Web da acquisire.

    Importante

    Se si vogliono acquisire le attività di esplorazione (per includere o escludere URL specifici nei criteri di prova forense), assicurarsi di installare le estensioni del browser necessarie. È anche necessario attivare almeno un indicatore di navigazione. Se non è già stato attivato uno o più indicatori di esplorazione, verrà richiesto di farlo se si sceglie di includere o escludere app desktop o siti Web. L'evento di attivazione per l'acquisizione delle attività di esplorazione è un aggiornamento dell'URL nella barra degli URL che contiene l'URL specificato.

    1. Seleziona Avanti.
  10. (Facoltativo) Se si sceglie di acquisire attività per app desktop e siti Web specifici, nella pagina Aggiungi app e siti Web per cui si vuole acquisire l'attività :

    1. Per aggiungere un'app desktop, selezionare Aggiungi app desktop, immettere il nome di un file eseguibile (ad esempio, teams.exe) e quindi selezionare Aggiungi. Ripetere questo processo per ogni app desktop da aggiungere (fino a 25 app). Per trovare il nome di un file eseguibile per l'app, aprire Gestione attività e quindi visualizzare le proprietà per l'app. Ecco un elenco di nomi exe per alcune delle applicazioni comuni: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), lo strumento di cattura (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) e connessione Desktop remoto Microsoft (mstsc.exe).

    Nota

    In alcuni casi, i nomi exe per un'app potrebbero differire in base al dispositivo e alle autorizzazioni con cui è stata aperta l'app. Ad esempio, in un Windows 11 dispositivo aziendale, quando Windows PowerShell viene aperto senza autorizzazioni di amministratore, il nome dell'exe viene WindowsTerminal.exe, ma quando viene aperto con autorizzazioni di amministratore, il nome dell'exe viene modificato in powershell.exe. Assicurarsi di includere/escludere entrambi i nomi exe in tali scenari.

    1. Per aggiungere un'app Web o un sito Web, selezionare Aggiungi app Web e siti Web, immettere un URL , ad esempio , https://teams.microsoft.come quindi selezionare Aggiungi. Ripetere questo processo per ogni app Web o sito Web da aggiungere. È possibile aggiungere fino a 25 URL con una lunghezza di carattere pari a 100 per ogni URL.

    Consiglio

    Se un'app ha una versione desktop e Web, assicurarsi di aggiungere sia il file eseguibile desktop che l'URL Web per assicurarsi di acquisire l'attività per entrambi.

    1. Seleziona Avanti.
  11. Nella pagina Rivedi impostazioni e fine esaminare le impostazioni scelte per i criteri e eventuali suggerimenti o avvisi per le selezioni. Modificare uno dei valori dei criteri o selezionare Invia per creare e attivare il criterio.

  12. Dopo aver completato i passaggi di configurazione dei criteri, passare al passaggio 5.

Acquisire tutte le attività

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Criteri di prova forense.

  4. Selezionare Crea criteri di prova forense.

  5. Nella pagina Ambito selezionare Tutte le attività. Questa opzione acquisisce qualsiasi attività eseguita dagli utenti. Le acquisizioni per questa opzione saranno disponibili per la revisione nella scheda Prove forensi (anteprima) nel dashboard Report attività utente (anteprima).

  6. Seleziona Avanti.

  7. Nella pagina Nome e descrizione completare i campi seguenti:

    • Nome (obbligatorio): immettere un nome descrittivo per i criteri di prova forense. Questo nome non può essere modificato dopo la creazione dei criteri.
    • Descrizione (facoltativo): immettere una descrizione per i criteri di prova forense.
  8. Seleziona Avanti.

  9. Nella pagina Scegliere le attività del dispositivo da acquisire , se si desidera escludere determinate app desktop e/o app Web o siti Web dall'acquisizione, in App e attività di esplorazione Web da acquisire selezionare la casella di controllo Escludi app o siti Web specifici .

  10. Seleziona Avanti.

  11. Se si è scelto di escludere determinate app desktop e siti Web dall'acquisizione, nella pagina Escludi applicazioni/URL :

    • Per escludere un'app desktop dall'acquisizione, selezionare Escludi app desktop, immettere il nome di un file eseguibile (ad esempio, teams.exe) e quindi selezionare Aggiungi. Ripetere questo processo per ogni app desktop da escludere (fino a 25 app). Per trovare il nome di un file eseguibile per un'app, aprire Gestione attività e quindi visualizzare le proprietà per l'app.
    • Per escludere un'app Web o un sito Web, selezionare Escludi app Web e siti Web, immettere un URL , ad esempio , https://teams.microsoft.come quindi selezionare Aggiungi. Ripetere questo processo per ogni app Web o sito Web da escludere. È possibile escludere fino a 25 URL con una lunghezza di carattere pari a 100 per ogni URL.

    Consiglio

    Se un'app ha una versione desktop e Web, assicurarsi di aggiungere sia il file eseguibile desktop che l'URL Web per assicurarsi di escludere entrambi.

  12. Nella pagina Rivedi impostazioni e fine esaminare le impostazioni scelte per i criteri e eventuali suggerimenti o avvisi per le selezioni. Modificare uno dei valori dei criteri o selezionare Invia per creare e attivare il criterio.

  13. Dopo aver completato i passaggi di configurazione dei criteri, passare al passaggio 5.

Passaggio 5: Definire e approvare gli utenti per l'acquisizione

Prima di poter acquisire le attività utente correlate alla sicurezza, gli amministratori devono seguire il processo di doppia autorizzazione in prove forensi. Questo processo impone che l'abilitazione dell'acquisizione visiva per utenti specifici sia definita che approvata dalle persone applicabili nell'organizzazione.

È necessario richiedere che l'acquisizione di prove forensi sia abilitata per utenti specifici. Quando viene inviata una richiesta, i responsabili approvazione dell'organizzazione ricevono una notifica tramite posta elettronica e possono approvare o rifiutare la richiesta. Se approvato, l'utente verrà visualizzato nella scheda Utenti approvati e sarà idoneo per l'acquisizione. Per altre informazioni, vedere questi collegamenti:

Passaggi successivi

Dopo aver configurato i criteri di prova forense, potrebbero essere richieste fino a due ore per l'applicazione dei criteri, dato che i client di prove forensi (installati nei dispositivi endpoint) sono online. Quando un clip viene acquisito dal client, potrebbe essere necessaria fino a un'ora prima che la clip sia disponibile per la revisione. Per altre informazioni sulla gestione delle prove forensi e sulla revisione delle acquisizioni di clip, vedere l'articolo Gestire le prove forensi sulla gestione dei rischi delle informazioni .