Abilitare l'analisi nella gestione dei rischi Insider

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

L'abilitazione dell'analisi Gestione dei rischi Insider Microsoft Purview offre due vantaggi importanti. Quando l'analisi è abilitata, è possibile:

• Eseguire una valutazione dei potenziali rischi Insider nell'organizzazione senza configurare criteri di rischio Insider.
• Ricevere indicazioni in tempo reale sulla configurazione delle impostazioni di soglia dell'indicatore.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Eseguire una valutazione dei rischi Insider nell'organizzazione

Gestione dei rischi Insider Microsoft Purview l'analisi consente di eseguire una valutazione dei potenziali rischi Insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree a rischio utente più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che potrebbe essere necessario configurare. Le analisi di analisi offrono i vantaggi seguenti per l'organizzazione:

• Facile da configurare: per iniziare a usare le analisi di analisi, selezionare Esegui analisi quando richiesto dalla raccomandazione di analisi oppure passare a Impostazioni> di rischio InsiderAnalisi e abilitare l'analisi.
• Privacy per progettazione: i risultati e le informazioni dettagliate analizzati vengono restituiti come attività utente aggregate e anonime. I singoli nomi utente non sono identificabili dai revisori. Poiché la gestione dei rischi Insider non classifica alcuna identità nell'organizzazione per l'analisi, la soluzione tiene conto di tutti gli UPN/identità che potrebbero essere coinvolti nei dati che lasciano il limite dell'organizzazione. Ciò potrebbe interessare account utente, account di sistema, account guest e così via.
• Comprendere i potenziali rischi tramite informazioni dettagliate consolidate: i risultati dell'analisi consentono di identificare rapidamente le aree di rischio potenziali per gli utenti e quali criteri sarebbero più utili per mitigare questi rischi.

Vedere il video di Insider Risk Management Analytics per comprendere in che modo l'analisi può contribuire ad accelerare l'identificazione dei potenziali rischi insider.

Aree analizzate

Analisi analizza l'attività di gestione dei rischi da diverse origini per identificare le informazioni dettagliate sulle potenziali aree di rischio. A seconda della configurazione corrente, l'analisi cerca le attività di rischio idonee nelle aree seguenti:

• Log di controllo di Microsoft 365: incluso in tutte le analisi, questa è l'origine principale per identificare la maggior parte delle attività potenzialmente rischiose.
• Exchange Online: inclusa in tutte le analisi, Exchange Online attività consente di identificare le attività in cui i dati negli allegati vengono recapitati tramite posta elettronica a contatti o servizi esterni.
• Microsoft Entra ID: inclusa in tutte le analisi, Microsoft Entra cronologia consente di identificare le attività rischiose associate agli utenti con account utente eliminati.
• Connettore dati Di Microsoft 365 HR: se configurato, gli eventi del connettore HR consentono di identificare le attività rischiose associate agli utenti con dimissioni o date di chiusura imminenti.

Le informazioni dettagliate di analisi dalle analisi si basano sugli stessi segnali di attività di gestione dei rischi usati dai criteri di gestione dei rischi Insider e segnalano i risultati in base alle attività utente singole e in sequenza. Tuttavia, il punteggio di rischio per l'analisi si basa su un massimo di 10 giorni di attività, mentre i criteri di rischio Insider usano l'attività giornaliera per le informazioni dettagliate. Quando si abilita ed esegue l'analisi per la prima volta nell'organizzazione, verranno visualizzati i risultati dell'analisi per un giorno. Se si lascia abilitata l'analisi, verranno visualizzati i risultati di ogni analisi giornaliera aggiunti ai report di informazioni dettagliate per un intervallo massimo dei 10 giorni di attività precedenti.

Ricevere indicazioni in tempo reale sulla configurazione delle impostazioni di soglia dell'indicatore

L'ottimizzazione manuale dei criteri per ridurre il "rumore" può essere un'esperienza che richiede molto tempo per eseguire molte prove ed errori per determinare la configurazione desiderata per i criteri. Se l'analisi è attivata, è possibile ottenere informazioni dettagliate in tempo reale che consentono di modificare in modo efficiente la selezione degli indicatori e delle soglie di occorrenza dell'attività in modo da non ricevere troppi o pochi avvisi dei criteri. Altre informazioni sull'uso dell'analisi in tempo reale per gestire il volume degli avvisi.

Abilitare l'analisi e avviare un'analisi dei potenziali rischi Insider nell'organizzazione

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Per abilitare l'analisi dei rischi Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.

Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Nella scheda Panoramica scorrere verso il basso fino alla scheda Analisi dei rischi Insider e quindi in Analisi dei rischi Insider nell'organizzazione selezionare Esegui analisi. In questo modo viene attivata l'analisi analitica per l'organizzazione. I risultati dell'analisi analitica possono richiedere fino a 48 ore prima che le informazioni dettagliate siano disponibili come report da esaminare.

Portale di conformità

1. Accedere al portale di conformità usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Nella scheda Panoramica scorrere verso il basso fino alla scheda Analisi dei rischi Insider e quindi in Analisi dei rischi Insider nell'organizzazione selezionare Esegui analisi. In questo modo viene attivata l'analisi analitica per l'organizzazione. I risultati dell'analisi analitica possono richiedere fino a 48 ore prima che le informazioni dettagliate siano disponibili come report da esaminare.

Consiglio

È anche possibile attivare l'analisi nell'organizzazione tramite Impostazioni nella parte superiore di qualsiasi pagina di gestione dei rischi Insider. Selezionare Analisi e quindi attivare l'impostazione.

Visualizzare informazioni dettagliate sull'analisi dopo la prima analisi analitica

Per visualizzare i risultati dell'analisi analitica nell'organizzazione, passare a Insider Risk Management>Reports>Analytics. Per altre informazioni sui report, vedere Usare i report in Gestione dei rischi Insider.

Disattivare l'analisi

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Per disattivare l'analisi dei rischi Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.

Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Selezionare Impostazioni nell'angolo superiore destro della pagina.
3. Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
4. In Impostazioni di rischio Insider selezionare Analisi e quindi disattivare l'impostazione.

Portale di conformità

1. Accedere al portale di conformità usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Selezionare Impostazioni e quindi Analisi.
4. Nella pagina Analisi disattivare l'impostazione.

Dopo aver disabilitato l'analisi:

• I report analitici sulle informazioni dettagliate rimarranno statici e non verranno aggiornati per nuovi rischi.
• Non sarà possibile visualizzare l'analisi in tempo reale quando si personalizzano le impostazioni di soglia degli indicatori per i criteri.