Usare i report nella gestione dei rischi Insider
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
Usare i report in Gestione dei rischi Insider Microsoft Purview per comprendere il panorama del programma di rischio Insider. I report forniscono informazioni dettagliate e di riepilogo per tutte le aree relative al rischio Insider, inclusi avvisi, casi, attività utente e analisi generate da attività di rischio idonee nei servizi Microsoft per identificare le informazioni dettagliate sulle potenziali aree di rischio.
I report seguenti sono disponibili passando a Insider Risk Management>Reports nel portale Microsoft Purview:
- Avvisi (anteprima):visualizzare le tendenze per gli avvisi generati, le azioni eseguite sugli avvisi nel tempo e gli avvisi in base ai criteri.
- Analisi: visualizzare un riepilogo delle attività utente anonime rilevate nell'organizzazione.
- Case (anteprima):visualizzare le tendenze per i casi creati, le azioni eseguite sui casi nel tempo e lo stato dei casi in base ai criteri e all'area.
- Attività utente: esaminare l'attività utente recente, indipendentemente dal fatto che l'utente sia incluso in un criterio o in un avviso.
Usare i report
Per iniziare a visualizzare i report di Gestione rischi Insider, è necessario essere membri del ruolo o del gruppo di ruoli applicabile. I requisiti di autorizzazione sono diversi per la visualizzazione di report per avvisi e casi e le autorizzazioni necessarie per visualizzare i report per l'analisi. Se l'organizzazione usa unità amministrative, l'accesso può variare per questi report. Per altre informazioni, vedere:
- Autorizzazioni per la gestione dei rischi Insider
- Autorizzazioni per la gestione dei rischi Insider e le unità amministrative
Personalizzare i grafici
Per ogni area del report, sono disponibili controlli di filtro del report predefiniti e un selettore di data che consentono di definire rapidamente l'ambito delle informazioni dettagliate in base a criteri o intervalli di date specifici. Selezionare un filtro nella parte superiore della pagina per ogni area per definire rapidamente un'impostazione di filtro per tutti i report dell'area. Per le date di creazione report, selezionare un mese specifico o selezionare Ultimi 3 mesi per visualizzare tutti i dati per l'area del report.
È anche possibile selezionare e scegliere i report da visualizzare per impostazione predefinita in ogni area del report. Per personalizzare i report visualizzati in ogni area, selezionare Personalizza visualizzazione. Nel riquadro a comparsa Personalizza visualizzazione è possibile scegliere quali report visualizzare e quali report nascondere in ogni area.
Dettagli del grafico
Per approfondire i risultati contenuti in un report, selezionare Visualizza dettagli per il report. Nella visualizzazione dettagli è possibile definire l'ambito delle informazioni usando filtri e modificare la visualizzazione in base a date o criteri. Per esportare i dati contenuti in un report, selezionare Esporta per scaricare un'immagine del grafico a report o un file .csv con i valori del report.
Report di avviso (anteprima)
L'analisi delle attività utente potenzialmente rischiose è un primo passo importante per ridurre al minimo i rischi insider per l'organizzazione. Questi rischi possono essere attività che generano avvisi dai criteri di gestione dei rischi Insider. I report di avviso forniscono informazioni dettagliate sui volumi degli avvisi, sullo stato di gestione degli avvisi, sulle origini degli avvisi comuni e sul tempo impiegato per la valutazione. È possibile filtrare rapidamente tutti i report degli avvisi in base a Tutti gli avvisi, Avvisi confermati e Avvisi ignorati.
| Tipo di report | Report | Descrizione |
|---|---|---|
| Riepilogo | Avvisi generati | Visualizza il numero di avvisi di gravità bassa, media e alta generati durante l'intervallo di date specificato. |
| Avvisi attivati | Visualizza il numero di avvisi confermati in un caso o ignorati durante l'intervallo di date specificato. | |
| Motivi di licenziamento | Visualizza... | |
| Demografia | Principali paesi/aree geografiche con avvisi | Visualizza il numero di avvisi generati per gli utenti in base al paese o all'area geografica in cui si trovano. Non specificato significa che il paese o l'area geografica non è specificato in Microsoft Entra ID. |
| Avvisi generati dal reparto | Visualizza il numero di avvisi generati per gli utenti in base al reparto in cui si trovano. Non specificato significa che il reparto non è specificato in Microsoft Entra ID. | |
| Approfondimenti | Avvisi in base all'evento di trigger principale | Visualizza il numero di avvisi in base agli eventi di attivazione principali rilevati durante l'intervallo di date specificato. |
| Avvisi in base all'attività principale che ha generato l'avviso | Visualizza il numero di avvisi in base alle attività principali rilevate durante l'intervallo di date specificato. | |
| Produttività | Stato avviso per assegnazione | Visualizza il numero di avvisi assegnati a amministratori specifici, suddivisi per stato di avviso. |
| Gli avvisi relativi ai giorni medi sono in Needs Review | Visualizza il numero medio di giorni in cui gli avvisi sono rimasti in uno stato Di revisione delle esigenze durante l'intervallo di date specificato. | |
Report di analisi
Al termine della prima analisi analitica per l'organizzazione, i membri del gruppo di ruoli Insider Risk Management Admins riceveranno automaticamente una notifica tramite posta elettronica e potranno visualizzare le informazioni dettagliate iniziali e le raccomandazioni per le attività potenzialmente rischiose degli utenti. Le analisi giornaliere continuano a meno che non si disabiliti l'analisi per l'organizzazione. Email notifiche agli amministratori vengono fornite per ognuna delle tre categorie nell'ambito per l'analisi (perdite di dati, furto ed esfiltrazione) dopo la prima istanza di attività potenzialmente rischiose nell'organizzazione. Email notifiche non vengono inviate agli amministratori per il rilevamento delle attività di gestione dei rischi di follow-up risultanti dalle analisi giornaliere.
Nota
Se l'impostazione Analisi è disabilitata e quindi riabilitata, le notifiche automatiche tramite posta elettronica vengono reimpostate e le notifiche tramite posta elettronica vengono inviate ai membri del gruppo di ruoli Insider Risk Management Admins per ottenere nuove informazioni dettagliate sull'analisi.
Per visualizzare i potenziali rischi per l'organizzazione, passare a Insider Risk Management ReportsAnalytics.To view potential risks for your organization, go to Insider Risk Management>Reports> Analytics.
Nota
Se l'analisi dell'organizzazione non è completa, viene visualizzato un messaggio che informa che l'analisi è ancora attiva.
Per le analisi completate, verranno visualizzati i potenziali rischi individuati nell'organizzazione e informazioni dettagliate e consigli per affrontare questi rischi. I rischi identificati e le informazioni dettagliate specifiche sono inclusi nei report raggruppati per area, il numero totale di utenti (tutti i tipi di account Microsoft Entra, inclusi utente, guest, sistema e così via) con rischi identificati, la percentuale di questi utenti con attività potenzialmente rischiose e un criterio di rischio Insider consigliato per mitigare questi rischi. I report includono:
- Informazioni dettagliate sulle perdite di dati: per tutti gli utenti che possono includere la condivisione eccessiva accidentale di informazioni all'esterno dell'organizzazione o perdite di dati da parte di utenti con finalità dannose.
- Informazioni dettagliate sul furto di dati: per gli utenti in partenza o con account di Microsoft Entra eliminati che possono includere la condivisione rischiosa di informazioni all'esterno dell'organizzazione o il furto di dati da parte di utenti con finalità dannose.
- Informazioni dettagliate sull'esfiltrazione principali: per tutti gli utenti che possono includere la condivisione di dati all'esterno dell'organizzazione.
Per visualizzare altre informazioni per un'informazione dettagliata, selezionare Visualizza dettagli per visualizzare il riquadro dei dettagli per le informazioni dettagliate. Il riquadro dei dettagli include i risultati completi delle informazioni dettagliate, una raccomandazione sui criteri di rischio Insider e La creazione di criteri per semplificare rapidamente la creazione dei criteri consigliati. Selezionando Crea criterio si passa al flusso di lavoro dei criteri e si seleziona automaticamente il modello di criteri consigliato correlato alle informazioni dettagliate. Ad esempio, se le informazioni analitiche sono relative all'attività Furto dati, il modello di criterio Furto dati viene pre-selezionato nel flusso di lavoro dei criteri.
Report case (anteprima)
I casi consentono di analizzare e agire in modo approfondito sui problemi generati dagli indicatori di rischio definiti nei criteri. I casi vengono creati manualmente dagli avvisi in situazioni in cui è necessaria un'ulteriore azione per risolvere un problema correlato alla conformità per un utente. I report sui casi forniscono informazioni sulle tendenze per i casi che consentono di tenere traccia del tipo di casi, dello stato corrente dei casi, dei casi in base all'area o all'assegnazione e altro ancora. È possibile filtrare rapidamente tutti i report dei casi in base a Tutti i casi, Casi confermati e Casi benigni.
| Tipo di report | Report | Descrizione |
|---|---|---|
| Riepilogo | Casi creati | Visualizza il numero di case generati durante l'intervallo di date specificato. |
| Casi in cui è stato eseguita l'azione | Visualizza il numero di case con attività durante l'intervallo di date specificato. | |
| Demografia | Principali paesi/aree geografiche con casi | Visualizza il numero di casi generati per gli utenti in base al paese o all'area geografica in cui si trovano. Non specificato significa che il paese o l'area geografica non è specificato in Microsoft Entra ID. |
| Principali reparti con case | Visualizza il numero di casi generati per gli utenti in base al reparto in cui si trovano. Non specificato significa che il paese o l'area geografica non è specificato in Microsoft Entra ID. | |
| Produttività | Stato del case in base all'assegnazione | Visualizza il numero di casi assegnati a amministratori specifici, suddivisi per stato di avviso. |
| Giorni medi con stato attivo | Visualizza il numero medio di giorni in cui i casi sono rimasti in uno stato Attivo durante l'intervallo di date specificato. | |
Report sulle attività degli utenti
I report attività utente consentono di esaminare le attività potenzialmente rischiose (per utenti specifici e per un periodo di tempo definito) senza dover assegnare queste attività, temporaneamente o esplicitamente, a criteri di gestione dei rischi Insider. Nella maggior parte degli scenari di gestione dei rischi Insider, gli utenti sono definiti in modo esplicito nei criteri e possono avere avvisi dei criteri (a seconda degli eventi di attivazione) e punteggi di rischio associati alle attività. In alcuni scenari, tuttavia, è possibile esaminare le attività per gli utenti che non sono definiti in modo esplicito in un criterio. Queste attività possono essere destinate agli utenti che hanno ricevuto un suggerimento sull'utente e sulle attività potenzialmente rischiose oppure agli utenti che in genere non devono essere assegnati a criteri di gestione dei rischi Insider.
Dopo aver configurato gli indicatori nella pagina Impostazioni di gestione dei rischi Insider, viene rilevata l'attività utente per attività potenzialmente rischiose associate agli indicatori selezionati. Questa configurazione significa che tutte le attività rilevate per gli utenti sono disponibili per la revisione, indipendentemente dal fatto che abbia un evento di attivazione o se crea un avviso. I report vengono creati in base all'utente e possono includere tutte le attività per un periodo personalizzato di 90 giorni. Non sono supportati più report per lo stesso utente.
Dopo aver esaminato le attività potenzialmente rischiose, gli investigatori possono ignorare le attività dei singoli utenti come benigne. Possono anche condividere o inviare tramite posta elettronica un collegamento al report con altri investigatori o scegliere di assegnare utenti (temporaneamente o esplicitamente) a criteri di gestione dei rischi Insider. Gli utenti devono essere assegnati al gruppo di ruoli Insider Risk Management Investigators per visualizzare la pagina Report attività utente .
Creare un report attività utente
Per creare un report attività utente, seguire questa procedura:
- Passare a Insider Risk Management>Reports>Attività utente.
- Selezionare Crea report attività utente.
- Selezionare una data per la data di inizio.
- Selezionare una data per la data di fine.
- Nel campo Utenti cercare uno o più utenti in base al nome o al nome dell'entità utente.
- Selezionare Crea report.
I dati sulle attività utente sono disponibili per la creazione di report circa 48 ore dopo l'attività. Ad esempio, per esaminare i dati dell'attività utente per il 1° dicembre, è necessario assicurarsi che siano trascorsa almeno 48 ore prima di creare il report (si creerà un report il 3 dicembre al più presto).
I nuovi report in genere richiedono fino a 10 ore prima che siano pronti per la revisione. Quando il report è pronto, il report pronto viene visualizzato nella colonna Stato nella pagina Report attività utente
Visualizzare un report attività utente
Selezionare l'utente per visualizzare il report dettagliato:
Il report Attività utente per l'utente selezionato contiene le schede Attività utente, Esplora attività e Prove forensi :
- Attività utente: usare questa visualizzazione grafico per analizzare le attività potenzialmente rischiose e visualizzare le attività potenzialmente correlate che si verificano in sequenze. Questa scheda è strutturata per consentire una rapida revisione di un caso, inclusa una sequenza temporale cronologica di tutte le attività, i dettagli delle attività, il punteggio di rischio corrente per l'utente nel caso, la sequenza di eventi di rischio e i controlli di filtro per facilitare le attività investigative. Per altre informazioni, vedere Attività utente.
- Esplora attività: questa scheda fornisce agli investigatori dei rischi uno strumento di analisi completo che fornisce informazioni dettagliate sulle attività. Con Esplora attività, i revisori possono esaminare rapidamente una sequenza temporale delle attività rischiose rilevate e identificare e filtrare tutte le attività potenzialmente rischiose associate agli avvisi. Per altre informazioni, vedere Esplora attività.
- Prove forensi: questa scheda consente agli investigatori del rischio di esaminare le acquisizioni visive associate alle attività di rischio incluse nei casi dal rilevamento delle prove forensi.