Preparare l'organizzazione per Gestione dei rischi Insider

  • 10 minuti

La gestione dei rischi Insider consente alle organizzazioni di rilevare, identificare e rispondere ai rischi interni. Prima di usare questi strumenti, assicurarsi che l'organizzazione soddisfi tutti i prerequisiti e i requisiti di licenza.

Sottoscrizioni e licenze

Per usare Gestione dei rischi Insider Microsoft Purview, l'organizzazione deve soddisfare i requisiti di licenza e geografici seguenti:

  • licenza obbligatoria: sottoscrizione a Microsoft 365 E5, Microsoft 365 E5 Complianceo un piano equivalente che include funzionalità di gestione dei rischi Insider. I piani equivalenti possono includere componenti aggiuntivi come Microsoft 365 E5 Insider Risk Management se associati a un altro piano di base.
  • Opzioni di valutazione: le organizzazioni senza un piano E5 esistente possono esplorare le opzioni di valutazione nell'interfaccia di amministrazione di Microsoft 365.
  • Disponibilità geografica: la gestione dei rischi Insider è supportata nelle aree supportate da Azure. Verificare l'idoneità tramite la disponibilità delle dipendenze di Azure in base all'area.

Se l'organizzazione usa indicatori Premium, ad esempio l'analisi avanzata o i connettori personalizzati, potrebbe essere necessaria la fatturazione con pagamento in base al consumo per accedere a queste funzionalità.

La pagina Panoramica fornisce le azioni consigliate per guidare la configurazione iniziale della gestione dei rischi Insider. Questi passaggi assicurano che i prerequisiti siano soddisfatti e consentono di creare e gestire in modo efficace i criteri:

Screenshot che mostra gli elementi consigliati per la gestione dei rischi Insider.

  • Attivare il controllo: abilitare la registrazione di controllo per tenere traccia delle attività degli utenti e degli amministratori. Si tratta di un prerequisito fondamentale per rilevare i rischi Insider.
  • Attivare l'analisi per cercare potenziali rischi: usare l'analisi per identificare le tendenze e perfezionare i criteri. (opzionale)
  • Informazioni sulla gestione dei rischi Insider: informazioni sui concetti chiave, sulle procedure consigliate e sui casi d'uso per la gestione dei rischi Insider. (opzionale)
  • Configurare le impostazioni dei rischi Insider: modificare le impostazioni globali per privacy, esclusioni e indicatori di rischio per allinearsi alle esigenze dell'organizzazione.
  • Creare il primo criterio: usare modelli predefiniti per rilevare attività rischiose, ad esempio l'esfiltrazione dei dati o l'accesso non autorizzato.
  • Assicurarsi che il team possa svolgere il proprio lavoro: assegnare ruoli e autorizzazioni per garantire che gli amministratori e gli analisti abbiano accesso per gestire criteri e indagini.

La scheda Elementi consigliati fornisce altre azioni per l'ottimizzazione continua, ad esempio la revisione degli avvisi, il rilevamento dell'ottimizzazione e l'integrazione di strumenti come Microsoft Defender XDR.

Prerequisiti per la gestione dei rischi Insider

Seguire questa procedura per assicurarsi che tutti i prerequisiti siano soddisfatti prima di creare i criteri.

Passaggio 1: Abilitare le autorizzazioni per la gestione dei rischi Insider

Assegnare i ruoli seguenti per configurare e gestire la gestione dei rischi Insider:

  • Amministratore globale o amministratore di conformità: assegnare e supervisionare ruoli e accesso.
  • Amministratore della gestione dei rischi Insider: configurare le impostazioni globali e gestire i criteri.
  • Analisti della gestione dei rischi Insider: esaminare e analizzare gli avvisi.
  • Investigatori di Gestione dei rischi Insider: analizzare le attività e i casi dell'utente.

Assicurarsi sempre che almeno un utente abbia accesso amministratore per evitare uno scenario "zero administrator".

Aggiungere utenti a gruppi di ruoli

Per assegnare utenti a gruppi di ruoli:

  1. Accedere al portale di Microsoft Purview.
  2. passare a Impostazioni sulla barra laterale sinistra, quindi selezionare Ruoli e ambiti>Gruppi di ruoli.
  3. Selezionare il gruppo di ruoli appropriato, ad esempio Amministratore gestione rischi Insider, quindi selezionare Modifica.
  4. Selezionare Scegliere gli utenti, quindi selezionare le caselle di controllo per gli utenti da aggiungere al gruppo di ruoli.
  5. Selezionare Avantie quindi selezionare Salva per salvare le impostazioni.

Passaggio 2: abilitare i log di controllo di Microsoft 365

I log di controllo acquisiscono i dati essenziali delle attività per l'analisi e gli avvisi. Verificare che il controllo sia attivo eseguendo questo comando in PowerShell di Exchange Online:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

se la proprietà unifiedAuditLogIngestionEnabled restituisceTrue, il controllo è abilitato.

Assicurarsi di usare PowerShell per Exchange Online per ottenere risultati accurati. L'esecuzione in Sicurezza e conformità di PowerShell mostra sempre False, anche se il controllo è abilitato.

Per istruzioni dettagliate sull'abilitazione della registrazione di controllo in Microsoft 365, vedere Attivare o disattivare il controllo

Passaggio 3: abilitare l'analisi dei rischi Insider (facoltativo)

L'analisi fornisce informazioni dettagliate sulle attività degli utenti, consentendo di identificare tendenze e potenziali rischi prima di distribuire i criteri. L'analisi consiglia anche le impostazioni di soglia per perfezionare il rilevamento.

Per abilitare l'analisi dei rischi Insider:

  1. Accedere al portale di Microsoft Purview.

  2. passare alla soluzione Gestione dei rischi Insider.

  3. Nella scheda Panoramica nella scheda Scansione dei rischi insider nell'organizzazione selezionare Esegui analisi. Questa azione attiva l'analisi per l'organizzazione.

    È anche possibile attivare l'analisi passando a Analisi delle >Impostazioni di rischio Insider e abilitando Analizzare l'attività utente del tenant per identificare i potenziali rischi insider.

  4. Nel riquadro dei dettagli Analisi selezionare Esegui analisi per avviare l'analisi per l'organizzazione. I risultati dell'analisi potrebbero richiedere fino a 48 ore prima che le informazioni dettagliate siano disponibili come report per la revisione.

Passaggio 4: configurare i prerequisiti per gli indicatori dei criteri

Per garantire un rilevamento efficace, impostare le origini dati e configurare i criteri:

  • connettore HR: integra dati quali date di dimissioni e licenziamento, modelli di supporto come furto di dati da utenti che lasciano l'organizzazione.
  • Indicatori cloud: esaminare le attività in piattaforme come Google Drive, Dropbox e Azure per rischi come l'esfiltrazione dei dati o l'escalation dei privilegi.
  • Dati sanitari: importare log da sistemi come Epic per tenere traccia dell'accesso non corretto o della modifica dei record dei pazienti, supportando criteri come Uso improprio dei dati dei pazienti.
  • Sistemi di terze parti: usare strumenti come Microsoft Sentinel o Splunk per introdurre rilevamenti aggregati da sistemi esterni, arricchendo la copertura dei rischi dell'organizzazione.

Per altre informazioni sui connettori dati di terze parti, vedere Informazioni sui connettori per i dati di terze parti

Alcuni modelli di criteri richiedono anche configurazioni specifiche:

  • criteri di prevenzione della perdita dei dati (DLP): identificare l'esposizione dei dati sensibili per modelli come Fughe di dati, usando avvisi DLP con gravità elevata.
  • Microsoft Defender per endpoint: fornisce segnali di attività degli endpoint per modelli come le violazioni dei criteri di sicurezza .
  • Gruppi di utenti prioritari: aumentare il punteggio dei rischi per gli utenti in ruoli critici o con accesso con privilegi elevati, abilitando modelli come Fughe di dati da parte di utenti prioritari.

Passaggio 5: configurare le impostazioni dei rischi Insider

Le impostazioni consentono di definire il modo in cui vengono rilevati e gestiti i rischi in tutti i criteri. Le impostazioni principali includono:

  • privacy: garantire la conformità alle regole di gestione dei dati.
  • Indicatori: definire i segnali per rilevare le attività rischiose.
  • Esclusioni: ridurre il rumore escludendo utenti o attività specifici.
  • Gruppi di rilevamento: monitorare i gruppi di destinazione per ottenere informazioni dettagliate in evidenza.
  • Rilevamenti intelligenti: usare l'analisi per identificare i rischi in modo più accurato.

Per accedere alle impostazioni dei rischi Insider, passare al portale di Microsoft Purview e selezionare Impostazioni>Gestione dei rischi Insider.