Descrivere la gestione dei rischi Insider in Microsoft Purview

Completato

La gestione dei rischi Insider di Microsoft Purview è una soluzione che consente di ridurre al minimo i rischi interni consentendo a un'organizzazione di rilevare attività rischiose e dannose, eseguire indagini e agire.

La gestione e il massimo contenimento dei rischi in un'organizzazione partono dalla comprensione dei tipi di rischi presenti negli spazi di lavoro moderni. Alcuni rischi sono basati su eventi e fattori esterni e sono al di fuori del controllo diretto di un'organizzazione. Altri rischi derivano da eventi interni e attività dei dipendenti che possono essere eliminati ed evitati. Alcuni esempi includono:

  • Perdite di dati sensibili e fughe di dati
  • Violazioni della riservatezza
  • Furto di proprietà intellettuale
  • Frode
  • Insider trading
  • Violazioni della conformità alle normative

La gestione dei rischi Insider è incentrata sui principi seguenti:

  • Trasparenza: trovare il giusto equilibrio tra privacy degli utenti e rischio per l'organizzazione con un'architettura in cui la privacy è integrata nella progettazione, nota anche come "privacy-by-design".
  • Configurabile: criteri configurabili in base al settore, all'area geografica e ai gruppi aziendali.
  • Integrazione: flusso di lavoro integrato tra le soluzioni Microsoft Purview.
  • Utilità pratica: fornisce informazioni dettagliate a supporto di notifiche per gli utenti, indagini sui dati e indagini sugli utenti.

Flusso di lavoro di gestione dei rischi Insider

La gestione dei rischi Insider consente alle organizzazioni di identificare i rischi interni, condurre indagini e risolverli. Con modelli di criteri mirati, la segnalazione di attività completa per l'intera soluzione Microsoft 365 e un flusso di lavoro flessibile, le organizzazioni possono sfruttare le informazioni dettagliate di utilità pratica per identificare e risolvere rapidamente comportamenti rischiosi. L'identificazione e la risoluzione di attività rischiose interne e di problemi di conformità con la gestione dei rischi Insider in Microsoft Purview vengono ottenute con il flusso di lavoro seguente:

Diagramma del flusso di lavoro di gestione dei rischi Insider.

  • Criteri - I criteri di gestione dei rischi Insider vengono creati usando modelli predefiniti e condizioni di criteri che definiscono quali indicatori di rischio vengono esaminati nelle aree funzionali di Microsoft 365. Queste condizioni includono il modo in cui gli indicatori vengono usati per gli avvisi, quali utenti vengono inclusi nei criteri, quali servizi sono prioritari e il periodo di tempo di monitoraggio.

  • Avvisi : gli avvisi vengono generati automaticamente dagli indicatori di rischio che soddisfano le condizioni dei criteri e vengono visualizzati nella pagina degli avvisi, che offre una rapida visualizzazione di tutti gli avvisi da revisionare, degli avvisi aperti nel tempo e delle statistiche degli avvisi per l'organizzazione. Gli avvisi DLP possono anche essere visualizzati nel portale di Microsoft Defender, in cui vengono combinati automaticamente in eventi imprevisti che offrono una visualizzazione completa delle potenziali violazioni dei criteri e strumenti avanzati per l'analisi e la correzione.

  • Valutazione - Le nuove attività che richiedono indagini generano automaticamente avvisi a cui viene assegnato lo stato Da rivedere. I revisori nell'organizzazione possono identificare rapidamente questi avvisi ed esaminarli per valutare la situazione. Per risolvere gli avvisi, è possibile aprire un nuovo caso, assegnare l'avviso a un caso esistente o ignorare l'avviso. Come parte del processo di valutazione, i revisori possono visualizzare i dettagli dell'avviso in caso di corrispondenza dei criteri, visualizzare l'attività dell'utente associata alla corrispondenza, vedere la gravità dell'avviso ed esaminare le informazioni del profilo utente.

  • Indagini - Vengono creati casi per gli avvisi che richiedono una revisione e indagini più approfondite dei dettagli e delle circostanze in riferimento alla corrispondenza dei criteri. La pagina dei casi offre una visualizzazione di riepilogo di tutti i casi attivi, dei casi aperti nel tempo e delle statistiche dei casi per l'organizzazione. Quando si seleziona un caso, questo viene aperto per le indagini e la revisione. Questa è l'area in cui le attività rischiose, le condizioni dei criteri, i dettagli degli avvisi e i dettagli degli utenti vengono sintetizzati in una visualizzazione integrata per i revisori. Gli strumenti di indagine principali in questa area sono:

    • Attività utente: l'attività di rischio dell'utente viene visualizzata automaticamente in un grafico interattivo che traccia le attività nel tempo e in base al livello di rischio per le attività di rischio correnti o passate. I revisori possono filtrare e visualizzare rapidamente l'intera cronologia dei rischi dell'utente ed esaminare attività specifiche per altri dettagli.
    • Esplora contenuto: tutti i file di dati e i messaggi di posta elettronica associati alle attività di avviso vengono acquisiti automaticamente e visualizzati in Esplora contenuto. I revisori possono filtrare e visualizzare file e messaggi in base all'origine dati, al tipo di file, ai tag, alla conversazione e a molti altri attributi.
    • Note sul caso: i revisori possono fornire note per un caso nella sezione Note sul caso. Questo elenco raggruppa tutte le note in una vista centrale e include le informazioni relative al revisore e alla data di invio.
  • Azione - Dopo aver esaminato i casi, i revisori possono agire rapidamente per risolvere il caso o collaborare con altri stakeholder che si occupano dei rischi nell'organizzazione. Le azioni possono essere semplici come l'invio di una notifica quando i dipendenti violano inavvertitamente o accidentalmente le condizioni dei criteri. In casi più gravi, è possibile che i revisori debbano condividere le informazioni del caso di gestione dei rischi Insider con altri revisori nell'organizzazione. L'escalation di un caso per ulteriori indagini consente di trasferire i dati e la gestione del caso a eDiscovery in Microsoft Purview.

La gestione dei rischi Insider consente di rilevare, eseguire indagini e intervenire per mitigare i rischi interni dell'organizzazione in diversi scenari comuni. Questi scenari includono il furto dei dati da parte dei dipendenti, la divulgazione intenzionale o accidentale di informazioni riservate, comportamenti offensivi e altro ancora.

Integrazione con Microsoft Copilot per la sicurezza

Gestione dei rischi Insider Microsoft Purview supporta l'integrazione con Microsoft Copilot per la sicurezza, tramite l'esperienza autonoma e incorporata.

Per usufruire dell'integrazione di Copilot, le organizzazioni devono aver eseguito l'onboarding in Copilot, aver abilitato Copilot all'accesso ai dati dai servizi di Microsoft 365 e gli utenti devono disporre delle autorizzazioni di ruolo appropriate.

Le funzionalità di Microsoft Purview, che è possibile visualizzare nell'esperienza autonoma selezionando l'icona della richiesta e selezionando tutte le funzionalità, sono richieste predefinite che è possibile usare, ma è anche possibile immettere richieste personalizzate in base alle funzionalità supportate.

Screenshot delle funzionalità di Microsoft Purview disponibili in Microsoft Copilot per la sicurezza.

Nell'esperienza incorporata, Copilot in Gestione dei rischi Insider Microsoft Purview supporta il riepilogo degli avvisi. Per accedere a Copilot dall'interno di Gestione dei rischi Insider Microsoft Purview, passare alla coda degli avvisi per selezionare l'avviso da esaminare. Vengono visualizzate le informazioni sull'avviso e l'opzione di riepilogo dell'avviso. Selezionare Riepilogo per fare in modo che Copilot generi il riepilogo degli avvisi.