Condividi tramite


Gestire le prove forensi della gestione dei rischi Insider

Importante

Le prove forensi sono una funzionalità di componente aggiuntivo opt-in in Insider Risk Management che offre ai team di sicurezza informazioni visive sui potenziali incidenti di sicurezza dei dati Insider, con la privacy degli utenti integrata. Le prove forensi includono trigger di eventi personalizzabili e controlli predefiniti per la protezione della privacy degli utenti, consentendo ai team di sicurezza di analizzare, comprendere e rispondere meglio ai potenziali rischi dei dati insider, ad esempio l'esfiltrazione non autorizzata dei dati sensibili.

Le organizzazioni impostano automaticamente i criteri corretti, inclusi gli eventi rischiosi con la massima priorità per l'acquisizione di prove forensi e i dati più sensibili. L'evidenza forense è disattivata per impostazione predefinita, la creazione di criteri richiede la doppia autorizzazione e i nomi utente possono essere mascherati con pseudonimi (attiva per impostazione predefinita per Insider Risk Management). La configurazione dei criteri e la revisione degli avvisi di sicurezza all'interno di Insider Risk Management sfrutta controlli degli accessi in base al ruolo avanzati, assicurando che gli utenti designati nell'organizzazione stiano eseguendo le azioni corrette con funzionalità di controllo aggiuntive.

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Dopo aver completato i passaggi di configurazione e creato i criteri di prova forense, si inizierà a visualizzare avvisi per le attività utente potenzialmente rischiose correlate alla sicurezza che soddisfano le condizioni per gli indicatori definiti nei criteri.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Dashboard

Il dashboard delle prove forensi è la visualizzazione di riepilogo delle aree chiave della configurazione delle prove forensi nell'organizzazione. Per l'anteprima, il dashboard include solo una sezione Relativa all'integrità dei dispositivi di prova forense . Selezionare Visualizza report integrità dispositivo per aprire la scheda Integrità del dispositivo e il report. Altre sezioni saranno incluse nelle versioni future.

Gestione degli utenti

È necessario richiedere e approvare utenti specifici prima che siano idonei per l'acquisizione di prove forensi. La semplice aggiunta di utenti a un criterio di prova forense non rende automaticamente tali utenti idonei per l'acquisizione. È possibile richiedere e approvare gli utenti prima o dopo la creazione dei criteri di prova forense, ma le acquisizioni di clip associate agli indicatori dei criteri verranno create e disponibili per la revisione solo dopo l'approvazione degli utenti.

Gli utenti assegnati ai gruppi di ruoli Insider Risk Management o Insider Risk Management Admins possono inviare richieste di approvazione agli utenti assegnati al gruppo di ruoli Responsabili approvazione gestione rischi Insider .

Richiedere l'acquisizione di approvazioni

È necessario richiedere che l'acquisizione di prove forensi sia attivata per utenti specifici. Quando viene inviata una richiesta, i responsabili approvazione dell'organizzazione ricevono una notifica tramite posta elettronica e possono approvare o rifiutare la richiesta. Se approvato, l'utente o verrà visualizzato nella scheda Utenti approvati e sarà idoneo per l'acquisizione. Se non è stata eseguita, la richiesta scadrà 6 mesi dal giorno in cui è stata inviata.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Gestione utenti.

  4. Selezionare la scheda Gestisci richieste di prove forensi .

  5. Selezionare Crea richiesta.

  6. Nella pagina Utenti selezionare Aggiungi utenti.

  7. Usare Cerca per individuare un utente specifico o selezionare uno o più utenti dall'elenco. Selezionare Aggiungi, quindi Avanti.

  8. Nella pagina Criteri di prova forense selezionare un criterio di prova forense per gli utenti aggiunti. Il criterio scelto determina l'ambito dell'attività da acquisire per gli utenti.

  9. Seleziona Avanti.

  10. Nella pagina Giustificazione comunicare al revisore il motivo per cui si richiede che l'acquisizione sia abilitata per gli utenti aggiunti nella casella di testo Giustificazione per l'attivazione dell'acquisizione di prove forensi . Questo campo è obbligatorio. Al termine, selezionare Avanti.

  11. Nella pagina delle notifiche Email è possibile usare un modello di notifica per inviare un messaggio di posta elettronica agli utenti che informano che l'acquisizione di prove forensi verrà attivata per il dispositivo in base ai criteri dell'organizzazione. Il messaggio di posta elettronica verrà inviato agli utenti solo se la richiesta è approvata.

    Selezionare la casella di controllo Invia una notifica tramite posta elettronica agli utenti approvati . Scegliere un modello esistente o crearne uno nuovo. Per creare un nuovo modello, selezionare Crea un modello di notifica e completare i campi obbligatori seguenti nel riquadro Nuovo modello di notifica tramite posta elettronica .

  12. Seleziona Avanti.

  13. Nella pagina Fine esaminare le impostazioni prima di inviare la richiesta. Selezionare Modifica utenti o Modifica giustificazione per modificare uno dei valori della richiesta oppure selezionare Invia per creare e inviare la richiesta ai revisori.

Per visualizzare le richieste di approvazione in sospeso, passare a Gestione >dei rischi InsiderProve>forensi Richieste in sospeso. Qui verranno visualizzati gli utenti con richieste in sospeso, il loro indirizzo di posta elettronica, la data di invio della richiesta e chi ha inviato la richiesta di approvazione. Se non vengono visualizzati utenti, non sono presenti richieste di approvazione in sospeso per gli utenti.

Gli utenti assegnati al gruppo di ruoli Responsabili approvazione gestione rischi Insider possono selezionare un utente nella scheda Richiesta di prove forensi ed esaminare la richiesta. Dopo aver esaminato la richiesta, questi utenti possono approvare o rifiutare la richiesta di acquisizione delle prove forensi. L'approvazione o il rifiuto della richiesta di acquisizione rimuove la richiesta in sospeso per gli utenti da questa visualizzazione.

Approvare o rifiutare le richieste di acquisizione

Al termine delle richieste, gli utenti assegnati al gruppo di ruoli Responsabili approvazione gestione rischi Insider riceveranno una notifica tramite posta elettronica per la richiesta di approvazione.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Prove forensi nel riquadro di spostamento sinistro e quindi selezionare Richieste in sospeso.
  4. Selezionare un utente da rivedere.
  5. Nel riquadro Verifica la richiesta di prove forensi (anteprima) esaminare la giustificazione inviata dal richiedente. Selezionare Approva o Rifiuta come applicabile.
  6. Nella pagina Richiesta approvata o Richiesta rifiutata selezionare Chiudi.

Revocare le approvazioni di acquisizione

Se necessario, è possibile revocare l'approvazione per utenti specifici ed escluderli dall'acquisizione di prove forensi. La revoca dell'approvazione non elimina o rimuove le acquisizioni esistenti per questi utenti, ma solo l'acquisizione futura dell'attività per questi utenti è disabilitata.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview come membro del gruppo di ruoli Responsabili approvazione gestione rischi Insider .
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Gestione utenti.
  4. Selezionare la scheda Utenti approvati .
  5. Selezionare un utente e quindi selezionare Rimuovi.
  6. Nella pagina di conferma della rimozione selezionare Rimuovi per revocare l'approvazione dell'acquisizione.

Creazione e gestione di modelli di notifica

È possibile creare e usare un modello di notifica per inviare un messaggio di posta elettronica agli utenti che informano che l'acquisizione di prove forensi verrà attivata per il dispositivo in base ai criteri dell'organizzazione. Il messaggio di posta elettronica viene inviato agli utenti solo se la richiesta è approvata.

Notifica delle prove forensi della gestione dei rischi Insider.

Creare un nuovo modello di notifica

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Modelli di notifica.
  4. Selezionare Crea modello di notifica.
  5. Nel riquadro Nuovo modello di notifica di posta elettronica completare i campi obbligatori seguenti:
    • Nome modello
    • Invia da
    • Oggetto
    • Corpo del messaggio
  6. Seleziona Salva.

Nota

Per eliminare un modello di notifica esistente, selezionare il modello e quindi selezionare Elimina.

Visualizzazione di clip acquisite

È possibile visualizzare ed esplorare le clip acquisite selezionando la scheda Prove forensi quando si apre Gestione dei rischi Insider Microsoft Purview. È anche possibile selezionare la scheda Prove forensi da altre aree della soluzione per visualizzare un elenco di clip acquisite nel contesto:

  • Dashboard avvisi. Le clip accessibili dal dashboard Avvisi corrispondono all'opzione per acquisire attività utente specifiche quando vengono creati i criteri di prova forense. Le clip acquisite sono definite dagli indicatori selezionati nei criteri di prova forense.
  • Report attività utente. I clip accessibili dai report attività utente corrispondono all'opzione per acquisire qualsiasi attività correlata alla sicurezza eseguita dagli utenti inclusi nei criteri di prova forense.
  • Dashboard case. Le clip accessibili dal dashboard Case sono avvisi che sono stati inoltrati ai casi.

Nota

Se si è membri sia del gruppo di ruoli Insider Risk Management Investigators che del gruppo di ruoli Insider Risk Management Admins, quando si apre Gestione dei rischi Insider Microsoft Purview verranno visualizzate le clip acquisite. Se si seleziona Rivedi clip acquisite, viene modificato in Apri impostazioni prove forensi. Queste azioni devono andare avanti e indietro tra l'elenco di clip e impostazioni acquisite se si dispone di entrambi i ruoli. Altre informazioni sui gruppi di ruoli

Quando si seleziona la scheda Prove forensi , le clip acquisite e le informazioni associate vengono visualizzate in un elenco. Se selezioni un clip acquisito nell'elenco, viene visualizzato un lettore video al centro dello schermo e una trascrizione delle attività e degli eventi del clip viene visualizzata a destra del lettore video.

Insider risk management forensic evidence captured clips list .Insider risk management forensic evidence captured clips list.Insider risk management forensic evidence captured clips list.

Ogni clip acquisita include le informazioni seguenti:

  • Data/ora (UTC): data, ora (UTC) e durata dell'acquisizione. La durata dell'acquisizione è il tempo totale esteso dall'acquisizione. La lunghezza effettiva dell'acquisizione può essere più breve perché la gestione dei rischi Insider elimina automaticamente fotogrammi identici.
  • Dispositivo: nome del dispositivo in Windows 10/11.
  • Attività: tipo di attività di gestione dei rischi Insider incluso nell'acquisizione. Queste attività si basano su indicatori globali e di criteri assegnati ai criteri associati.
  • Utente: nome dell'utente.
  • URL (se applicabile): URL a cui l'utente stava accedendo al momento dell'attività.
  • Applicazione (se applicabile): l'applicazione a cui l'utente stava accedendo al momento dell'attività.
  • Titolo della finestra attiva: titolo della finestra a cui l'utente stava accedendo al momento dell'attività.

Per visualizzare un clip acquisito:

  1. Se necessario, configurare i filtri nella parte superiore dell'elenco.

  2. Selezionare una clip dall'elenco.

  3. Usando i controlli del lettore video, selezionare il controllo Riproduci per esaminare l'intero clip dall'inizio alla fine.

  4. Per definire l'ambito della revisione a un'attività o a un evento specifico nel clip, selezionare l'attività o l'evento nella trascrizione. È anche possibile usare la casella di ricerca sopra la trascrizione per cercare attività o eventi specifici.

    Nota

    Un triangolo rosso nella trascrizione indica un'attività.

Filtro dell'elenco di clip acquisite

È possibile usare i filtri sopra l'elenco di clip acquisite per filtrare le attività e le informazioni specifiche. Ogni filtro supporta fino a 10 ID univoci, pertanto, ad esempio, è possibile filtrare fino a 10 utenti contemporaneamente. Nella tabella seguente vengono descritti i diversi filtri.

Nome filtro Descrizione
Nome utente Filtrare in base a qualsiasi nome utente.
Attività Selezionare un'attività specifica su cui filtrare, ad esempio La stampa di file o La password usata per accedere al dispositivo è stata riutilizzata.
Nome dispositivo Filtrare in base a qualsiasi nome del dispositivo.
URL Filtrare per un nome di dominio o cercare qualsiasi parola chiave dopo aver filtrato per un nome di dominio. Esempio: l'immissione di "SharePoint" come parola chiave restituisce qualsiasi URL che include "SharePoint" in qualsiasi punto dell'URL.
App Filtrare in base al nome dell'app. È possibile selezionare Contiene uno oContiene tutto con questo filtro. Esempio: se si seleziona Contiene e si immette "Contoso.com,Contoso2.com", è possibile avere una clip che acquisisce Contoso.com e un'altra che acquisisce Contoso2.com. Se si seleziona Contiene tutto e si immette "Contoso.com,Contoso2.com", tutte le acquisizioni dovranno contenere entrambi i domini.
Titolo della finestra attiva Filtrare il titolo della finestra attiva. È possibile selezionare Contiene uno oContiene tutto per filtrare allo stesso modo del filtro app .

Eliminazione di clip

Gli utenti assegnati al gruppo di ruoli Insider Risk Management Investigators possono eliminare singole clip dall'elenco di clip acquisite. Procedura:

  1. Selezionare la casella di controllo accanto all'acquisizione.
  2. Selezionare Elimina.

Gli utenti assegnati al gruppo di ruoli Insider Risk Management Admins possono eseguire eliminazioni in blocco tramite le impostazioni.

Eseguire un'eliminazione in blocco

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview come membro del gruppo di ruoli Insider Risk Management Admins .
  2. Passare alla soluzione Gestione dei rischi Insider .
  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Impostazioni prove forensi.
  4. Assicurarsi che l'opzione Consenti l'eliminazione dei dati degli utenti forensi da parte di un amministratore o di un investigatore sia impostata su Attivato.
  5. In Elimina i dati di un utente scegliere Seleziona un utente e quindi selezionare l'utente per cui si desidera eliminare le clip.

Importante

Le clip di prove forensi vengono eliminate 120 giorni dopo l'acquisizione. È possibile esportare o trasferire clip di prove forensi prima che vengano eliminate.

Dashboard avvisi

Per gli avvisi generati dai criteri, è possibile esaminare le acquisizioni di prove forensi nella scheda Prove forensi nel dashboard Avvisi . Se sono disponibili una o più acquisizioni per l'avviso, nell'attività che genera un'intestazione dell'avviso verrà visualizzato anche un collegamento Visualizza notifica delle prove forensi . È possibile selezionare il collegamento di notifica o la scheda Prove forensi per esaminare un elenco di acquisizioni di attività.

Attività dell'utente di prove forensi della gestione dei rischi Insider.

La revisione di un avviso per attività potenzialmente rischiose che possono contenere acquisizioni di prove forensi equivale essenzialmente alla revisione di un avviso senza acquisizioni di prove forensi. La differenza significativa è l'inclusione di tutte le acquisizioni applicabili. La scheda Prove forensi consente di accedere a tutte le acquisizioni disponibili associate all'avviso.

Dashboard case

Se gli avvisi vengono inoltrati ai casi, tutte le acquisizioni di prove forensi associate vengono incluse come parte del caso. La revisione delle acquisizioni di prove forensi per i casi segue lo stesso processo di revisione delle acquisizioni per gli avvisi.

Report sulle attività degli utenti

I report attività utente consentono di esaminare le attività per utenti specifici per un periodo di tempo definito senza doverle assegnare temporaneamente o esplicitamente a criteri di gestione dei rischi Insider. Se queste attività utente includono attività supportate dall'acquisizione di prove forensi, le clip vengono incluse nell'attività utente.

Se sono state configurate prove forensi per acquisire tutte le attività degli utenti correlate alla sicurezza, indipendentemente dal fatto che siano incluse in un criterio di prova forense, per esaminare queste acquisizioni:

  1. Selezionare Panoramica della gestione> dei rischi Insider.
  2. Nella parte inferiore della schermata Panoramica selezionare Gestisci report in Analizza attività utente.
  3. Selezionare un utente specifico e quindi selezionare la scheda Prove forensi .
  4. Fare riferimento alle istruzioni precedenti.

Report sull'integrità dei dispositivi (anteprima)

Dopo aver configurato i dispositivi per supportare le prove forensi, è possibile esaminare lo stato di integrità del client Microsoft Purview per tutti i dispositivi dell'organizzazione passando alla gestione > dei rischi InsiderProve> forensiIntegrità del dispositivo.

Insider risk management forensic evidence device health (Integrità dei dispositivi per la gestione dei rischi Insider).

Per un elenco dei requisiti minimi di configurazione e dispositivo, vedere Informazioni sulle prove forensi. Per eseguire l'onboarding dei dispositivi supportati, completare i passaggi descritti nell'articolo Panoramica di Onboard Windows 10 e Windows 11 dispositivi in Microsoft 365.

Il report integrità del dispositivo consente di visualizzare lo stato e l'integrità di tutti i dispositivi in cui è installato l'agente prove forensi. Ogni widget report del report visualizza informazioni per le ultime 24 ore.

  • Dispositivi online: numero totale di dispositivi attualmente online.
  • Dispositivi offline: numero totale di dispositivi attualmente offline.
  • Dispositivi con avvisi: numero totale di dispositivi con un avviso.
  • Dispositivi con errori: numero totale di dispositivi con un errore.

La coda di integrità dei dispositivi elenca tutti i dispositivi in configurati per le prove forensi nell'organizzazione. Inoltre, il report elenca lo stato degli attributi del dispositivo seguenti:

  • Nome dispositivo: nome del dispositivo, definito dall'attributo ComputerName del dispositivo.
  • Stato del dispositivo: stato del client Microsoft Purview nel dispositivo. I valori di stato sono i seguenti:
    • Integro: il client nel dispositivo funziona correttamente e le funzionalità di acquisizione delle prove forensi sono completamente supportate.
    • Avviso: il client nel dispositivo dispone di un avviso e le funzionalità di acquisizione delle prove forensi potrebbero non essere completamente supportate.
    • Errore: il client nel dispositivo presenta un errore e le funzionalità di acquisizione delle prove forensi sono disabilitate o non completamente supportate.
  • Dettagli sullo stato: altre informazioni sullo stato del dispositivo.
  • Ultima sincronizzazione (UTC): data e ora dell'ultima sincronizzazione dello stato per il dispositivo.
  • Nome utente: nome utente per l'utente connesso al dispositivo quando è stata eseguita la sincronizzazione dello stato.
  • Versione di Windows: versione di Microsoft Windows installata nel dispositivo.
  • Versione client: versione del client Microsoft Purview installata nel dispositivo.

Lo stato di integrità del dispositivo fornisce informazioni dettagliate sui potenziali problemi con i dispositivi e il client Microsoft Purview. La colonna Stato dispositivo nella pagina Integrità dispositivo può avvisare l'utente dei problemi del dispositivo che potrebbero impedire l'acquisizione dell'attività utente o il motivo per cui il volume di acquisizione delle prove forensi è insolito. Lo stato di integrità del dispositivo può anche confermare che i dispositivi inclusi nell'acquisizione di prove forensi sono integri e non necessitano di attenzione o modifiche alla configurazione. La tabella seguente elenca i potenziali messaggi di dettaglio sullo stato e le azioni consigliate che è possibile eseguire per risolvere avvisi ed errori:

Dettagli stato Stato Azione suggerita
si è verificato un errore interno del server. Di conseguenza, i dati di acquisizione potrebbero non essere presenti. Error Creare un ticket di supporto con Microsoft per ulteriori indagini
La larghezza di banda di caricamento ha raggiunto il 90% del limite configurato per questo dispositivo. Le acquisizioni potrebbero essere sovrascritte a breve. Avviso Aumentare il limite di larghezza di banda di caricamento nella pagina Impostazioni prove forensi .
È stato raggiunto il limite di larghezza di banda di caricamento configurato nel dispositivo. Non verranno più caricate le acquisizioni per il giorno. Error Aumentare il limite di larghezza di banda di caricamento nella pagina Impostazioni prove forensi .
L'archiviazione offline ha raggiunto il 90% del limite configurato per questo dispositivo. Le acquisizioni potrebbero essere sovrascritte a breve. Avviso Aumentare il limite della cache di acquisizione offline nella pagina Impostazioni prove forensi .
È stato raggiunto il limite di archiviazione offline configurato nel dispositivo. Di conseguenza, le acquisizioni offline vengono sovrascritte. Error Aumentare il limite della cache di acquisizione offline nella pagina Impostazioni prove forensi .
L'utilizzo della CPU nel dispositivo ha superato la soglia massima. Error Il processo di acquisizione è stato arrestato e verrà riavviato in pochi minuti.
L'utilizzo della memoria nel dispositivo ha superato la soglia massima. Error Il processo di acquisizione è stato arrestato e verrà riavviato in pochi minuti.
L'utilizzo della GPU nel dispositivo ha superato la soglia massima. Error Il processo di acquisizione è stato arrestato e verrà riavviato in pochi minuti.
Il client Microsoft Purview installato nel dispositivo non è in grado di eseguire la sincronizzazione con i criteri di prova forense. Avviso Connettersi alla rete & reinstallare il client
Il client Microsoft Purview installato nel dispositivo non si è sincronizzato con i criteri delle prove forensi da oltre 24 ore. Error Connettersi alla rete & reinstallare il client
Il client Microsoft Purview non è in grado di acquisire l'attività perché non viene rilevata alcuna scheda grafica nel dispositivo. Error Aggiungere una scheda grafica o sostituire il dispositivo con una scheda grafica
Il client Microsoft Purview non è in grado di acquisire l'attività perché non vengono rilevati monitoraggi dello schermo nel dispositivo. Error Aggiungere monitoraggi dello schermo per questo dispositivo
Il client Microsoft Purview non è in grado di acquisire l'attività perché i monitoraggi dello schermo nel dispositivo sono stati disattivati o disconnessi. Error Connettere/attivare i monitoraggi dello schermo per il dispositivo
Il dispositivo non è in grado di accedere alla directory che archivia le acquisizioni di prove forensi. Error Reinstallare il client in questo dispositivo
Inizializzazione del codificatore non riuscita. Error Reinstallare il client in questo dispositivo.

Contattare supporto tecnico Microsoft se le azioni consigliate non risolvono i problemi con il client.

Capacità e fatturazione

Quando vengono configurate prove forensi, è possibile acconsentire esplicitamente all'acquisto del componente aggiuntivo per le prove forensi per Insider Risk Management per le clip acquisite. Il componente aggiuntivo è disponibile per le organizzazioni con una delle licenze seguenti: Microsoft 365 E5, Microsoft 365 E5 Compliance o Microsoft 365 E5 Insider Risk Management.

Le organizzazioni possono acquistare il componente aggiuntivo in unità di 100 GB al mese. La capacità acquistata si applica all'inserimento di prove forensi a partire dalla data di acquisto e alla reimpostazione del primo mese. La capacità inutilizzata non viene portata a termine. È consigliabile acquistare la licenza all'inizio del mese per ottimizzare il valore della licenza. 100 GB è approssimativamente uguale a circa 1.100 ore di acquisizioni di prove forensi per ogni tenant, con una risoluzione video di 1080p. È possibile scaricare il calcolatore di capacità per stimare il numero di GB necessari al mese.

Una volta che le prove forensi vengono ingerite, verranno conservate per 120 giorni. È possibile esportare prove forensi se necessario dopo il periodo di conservazione di 120 giorni.

Piani di pagamento

Quando si acquista il componente aggiuntivo tramite il interfaccia di amministrazione di Microsoft 365 sono disponibili due piani di pagamento:

  • Pagare ogni anno (disponibile in tutti i canali). L'opzione di impegno annuale consente di acquistare il numero di licenze specificate ogni mese per 12 mesi. È adatto ai clienti che vogliono assicurarsi di avere capacità disponibile ogni mese per inserire prove forensi senza interruzioni. Questo piano di pagamento reintegrerà automaticamente il numero di licenze acquistate ogni mese. La capacità acquistata si applica all'inserimento di prove forensi a partire dalla data di acquisto e alla reimpostazione del primo mese. La capacità inutilizzata non viene portata a termine. I clienti possono scegliere di essere fatturati una volta o dividere la fattura in 12 pagamenti mensili.
  • Pagare mensilmente (disponibile solo nel web diretto). Se non si vuole effettuare un impegno annuale, è possibile acquistare il numero di licenze necessarie ogni mese. La capacità acquistata si applica all'inserimento di prove forensi a partire dalla data di acquisto e alla reimpostazione del primo mese. La capacità inutilizzata non viene portata a termine.

È possibile provare la funzionalità forense prima di acquistarla?

Ogni tenant con una licenza di gestione dei rischi Insider Microsoft 365 E5, Microsoft 365 E5 Compliance o Microsoft 365 E5 può iscriversi a una licenza di valutazione da 20 GB per provare la funzionalità di prova forense.

Nota

La licenza di valutazione da 20 GB è disponibile solo per i clienti sulla piattaforma commerciale legacy.

La capacità di 20 GB disponibile tramite la licenza di valutazione è disponibile fino a quando non si usano i 20 GB completi o fino a un anno dall'attivazione della licenza di valutazione, a seconda di quale sia la versione precedente. Se si acquista una licenza per il componente aggiuntivo per prove forensi prima di usare la capacità di valutazione, sarà possibile usare la capacità di valutazione rimanente fino a quando non viene usata prima che il sistema inizi a controllare la capacità acquistata.

Se usi fino a 20 GB di capacità di valutazione e non acquisti successivamente il componente aggiuntivo forense per Insider Risk Management, potrai visualizzare eventuali clip che hai già inserito ma che non saranno in grado di inserire nuove clip.

Iscriversi alla licenza di valutazione da 20 GB

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.

  2. Passare alla soluzione Gestione dei rischi Insider .

  3. Selezionare Prove forensi nel riquadro di spostamento a sinistra e quindi selezionare Capacità e fatturazione.

    Nota

    È anche possibile iscriversi alla licenza di valutazione dalla schedaDashboardprove> forensi per la gestione> dei rischi Insider.

  4. Selezionare Attestazione 20 GB di capacità.

  5. Seguire i prompt nella interfaccia di amministrazione di Microsoft 365.