Informazioni sulle prove forensi della gestione dei rischi Insider
Importante
Le prove forensi sono una funzionalità di componente aggiuntivo opt-in in Insider Risk Management che offre ai team di sicurezza informazioni visive sui potenziali incidenti di sicurezza dei dati Insider, con la privacy degli utenti integrata. Le prove forensi includono trigger di eventi personalizzabili e controlli predefiniti per la protezione della privacy degli utenti, consentendo ai team di sicurezza di analizzare, comprendere e rispondere meglio ai potenziali rischi dei dati insider, ad esempio l'esfiltrazione non autorizzata dei dati sensibili.
Le organizzazioni impostano automaticamente i criteri corretti, inclusi gli eventi rischiosi con la massima priorità per l'acquisizione di prove forensi e i dati più sensibili. L'evidenza forense è disattivata per impostazione predefinita, la creazione di criteri richiede la doppia autorizzazione e i nomi utente possono essere mascherati con pseudonimi (attiva per impostazione predefinita per Insider Risk Management). La configurazione dei criteri e la revisione degli avvisi di sicurezza all'interno di Insider Risk Management sfrutta controlli degli accessi in base al ruolo avanzati, assicurando che gli utenti designati nell'organizzazione stiano eseguendo le azioni corrette con funzionalità di controllo aggiuntive.
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
La presenza di un contesto visivo è fondamentale per i team di sicurezza durante le indagini forensi per ottenere informazioni migliori sulle attività utente potenzialmente rischiose correlate alla sicurezza. Con trigger di eventi personalizzabili e controlli predefiniti per la protezione della privacy degli utenti, le prove forensi consentono l'acquisizione di attività visive personalizzabili tra dispositivi per aiutare l'organizzazione a mitigare, comprendere e rispondere ai potenziali rischi di dati, ad esempio l'esfiltrazione non autorizzata di dati sensibili. Si impostano i criteri corretti per l'organizzazione, inclusi gli eventi rischiosi che rappresentano la priorità più alta per l'acquisizione di prove forensi, quali dati sono più sensibili e se gli utenti ricevono notifiche quando viene attivata l'acquisizione forense. L'acquisizione di prove forensi è disattivata per impostazione predefinita e la creazione di criteri richiede la doppia autorizzazione.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Funzionalità
- L'acquisizione visiva consente alle organizzazioni di acquisire clip delle principali attività utente correlate alla sicurezza, consentendo una visibilità più sicura o conforme e soddisfare le esigenze dell'organizzazione.
- Includere o escludere applicazioni desktop e/o siti Web per configurare criteri di registrazione incentrati sulle applicazioni e sui siti Web che presentano il rischio maggiore. In questo modo vengono mantenuti lo spazio di archiviazione e la privacy degli utenti. Ad esempio, escludere gli account personali di posta elettronica e di social media.
- La protezione avanzata dal phishing (anteprima) consente alle organizzazioni di acquisire clip correlate alla protezione avanzata dal phishing in Microsoft Defender SmartScreen. Ad esempio, è possibile acquisire quando un utente immette la password Microsoft usata per accedere al dispositivo Windows 11 in un sito di phishing o in un'applicazione che si connette a un sito di phishing. Altre informazioni sulla protezione avanzata dal phishing in Microsoft Defender SmartScreen
- Privacy degli utenti protetta tramite più livelli di approvazione per l'attivazione della funzionalità di acquisizione.
- I trigger personalizzabili e le opzioni di acquisizione consentono ai team di sicurezza di configurare prove forensi per soddisfare le proprie esigenze, indipendentemente dal fatto che si tratti di eventi imprevisti (ad esempio, Acquisire 5 minuti prima e 10 minuti dopo che un utente ha scaricato "SecretResearchPlans.docx" o in base alle esigenze di acquisizione continua.
- La destinazione dei criteri incentrata sull'utente significa che i team di sicurezza e conformità possono concentrarsi sull'attività da parte dell'utente, non del dispositivo, per ottenere informazioni contestuali migliori.
- Il controllo degli accessi in base al ruolo (RBAC) avanzata significa che la possibilità di configurare e rivedere le clip forensi è strettamente controllata e disponibile solo per gli utenti dell'organizzazione con le autorizzazioni corrette.
- Integrazione completa con le attuali funzionalità di gestione dei rischi Insider, che semplificano l'onboarding e flussi di lavoro più familiari per gli amministratori di gestione dei rischi Insider e un approccio affidabile a piattaforma singola.
- Capacità di valutazione (fino a 20 GB) per le clip acquisite, con accesso rapido all'utilizzo della capacità e possibilità di acquistare capacità aggiuntiva.
Requisiti di configurazione e dispositivo
Le tabelle seguenti includono i requisiti minimi supportati per l'utilizzo di prove forensi per la gestione dei rischi Insider.
Piattaforme supportate
Sistema operativo | SKU | Processore |
---|---|---|
Windows 10 (inclusi i Windows 365) | Enterprise | 64 bit (Intel o AMD) |
Windows 11 (inclusi i Windows 365) | Enterprise | 64 bit (Intel o AMD) |
Dispositivi fisici
Hardware | Requisiti minimi |
---|---|
RAM | Minimo 8 GB (almeno 2 GB devono essere disponibili per l'utilizzo client) |
Processore CPU | Intel i5 o versione successiva e AMD Ryzen 5 o versione successiva |
Scheda video | Compatibile con DirectX 11 o versione successiva, con un driver WDDM 1.0 o versione successiva (attualmente sono supportate solo schede grafiche integrate) |
Spazio su disco | Almeno 10 GB di spazio di archiviazione su disco |
Visualizza | Risoluzione minima dello schermo di 1920 x 1080 |
Hyper-V e macchine virtuali
Hardware | Requisiti minimi |
---|---|
RAM | Minimo 16 GB (almeno 2 GB devono essere disponibili per l'utilizzo del client) |
Processore CPU | Minimo otto processori vCPU o equivalenti |
Spazio su disco | Almeno 10 GB di spazio di archiviazione su disco |
Visualizza | Risoluzione minima dello schermo di 1920 x 1080 |
Importante
Se i requisiti minimi non vengono soddisfatti, è probabile che gli utenti riscontrano problemi del client Microsoft Purview e la qualità delle acquisizioni forensi potrebbe non essere affidabile.
Opzioni di acquisizione
L'attivazione di eventi, indicatori globali e indicatori di criteri svolge un ruolo importante in tutti i criteri di gestione dei rischi Insider, inclusi i criteri di prova forense. Gli eventi di attivazione sono azioni utente che determinano se gli utenti vengono inseriti nell'ambito della valutazione nei criteri di gestione dei rischi Insider. Gli indicatori delle impostazioni globali vengono usati per determinare quali attività vengono raccolte dalla gestione dei rischi Insider. Gli indicatori dei criteri vengono usati per determinare un punteggio di rischio per un utente nell'ambito.
A seconda di come l'organizzazione decide di configurare le prove forensi, sono disponibili due opzioni di acquisizione:
- Attività specifiche: questa opzione di criterio acquisisce l'attività solo quando un evento di attivazione ha inserito un utente approvato nell'ambito dei criteri di prova forense e quando vengono rilevate le condizioni per un indicatore di criteri per l'utente. Ad esempio, un utente approvato per l'acquisizione di prove forensi viene inserito nell'ambito dei criteri di prova forense e l'utente copia i dati nei servizi di archiviazione cloud personali o nei dispositivi di archiviazione portatili. L'ambito dell'acquisizione è limitato all'intervallo di tempo configurato quando l'utente copia i dati nel servizio di archiviazione cloud personale o nel dispositivo di archiviazione portatile. Le acquisizioni per questa opzione sono disponibili per la revisione nella scheda Prove forensi del dashboard Avvisi .
- Tutte le attività: questa opzione dei criteri acquisisce qualsiasi attività eseguita dagli utenti. Ad esempio, l'organizzazione ha una necessità sensibile al tempo per l'acquisizione di attività per un utente approvato che è attivamente coinvolto in attività potenzialmente rischiose che possono portare a un evento imprevisto di sicurezza. Gli indicatori dei criteri potrebbero non aver raggiunto la soglia per generare un avviso dal criterio e l'attività potenzialmente rischiosa potrebbe non essere documentata. L'acquisizione continua impedisce che l'attività potenzialmente rischiosa venga persa o non rilevata. Le acquisizioni per questa opzione sono disponibili per la revisione nella scheda Prove forensi nel dashboard Report attività utente (anteprima).
Importante
Le clip di prova forense vengono eliminate 120 giorni dopo l'acquisizione o alla fine del periodo di anteprima, a seconda di quale sia prima. È possibile scaricare o trasferire clip di prove forensi prima che vengano eliminate.
Flusso di lavoro
Il flusso di lavoro complessivo per il rilevamento, l'analisi e la correzione degli avvisi che contengono l'acquisizione di clip segue gli stessi passaggi di base degli altri criteri di gestione dei rischi Insider. Esistono tuttavia alcune differenze rilevanti per le prove forensi quando sono configurate nell'organizzazione:
- Gli utenti soggetti all'acquisizione devono avere richieste e approvazioni di acquisizione esplicite: si tratta di un processo aggiuntivo non incluso nell'ambito della configurazione di altri criteri di gestione dei rischi Insider. Gli utenti assegnati ai gruppi di ruoli Insider Risk Management o Insider Risk Management Admins devono inviare una richiesta agli utenti assegnati al gruppo di ruoli Responsabili approvazione gestione rischi Insider prima che qualsiasi utente dell'organizzazione sia idoneo per le opzioni di acquisizione di clip. Ad esempio, questo requisito consente di supportare gli scenari aziendali in cui gli amministratori della gestione dei rischi Insider devono ottenere l'approvazione esplicita dal personale designato per le risorse legali o umane prima che sia abilitata l'acquisizione per qualsiasi utente.
- I dispositivi devono essere caricati e avere installato il client Microsoft Purview: prima che le prove forensi possano raccogliere e archiviare clip acquisite per gli utenti idonei, è necessario eseguire l'onboarding dei dispositivi nel Portale di conformità di Microsoft Purview. Inoltre, a ogni dispositivo deve essere installato il client Microsoft Purview. Questi prerequisiti consentono il supporto per l'acquisizione di dispositivi online e offline.
Pronti per iniziare?
- Per istruzioni dettagliate per configurare l'acquisizione di prove forensi nell'organizzazione, vedere Introduzione alle prove forensi per la gestione dei rischi Insider .
- Vedere Introduzione alla gestione dei rischi Insider per configurare i prerequisiti, creare criteri e iniziare a ricevere avvisi.