Configurare i rilevamenti intelligenti nella gestione dei rischi Insider
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
Nota
Le impostazioni di esclusioni globali incluse in precedenza nell'impostazione Rilevamenti intelligenti sono ora incluse nell'impostazione Esclusioni globali (anteprima).
L'uso può usare l'impostazione Rilevamenti intelligenti in Gestione dei rischi Insider Microsoft Purview per:
- Aumentare il punteggio per le attività di download di file insolite immettendo un numero minimo di eventi giornalieri.
- Aumentare o ridurre il volume e la distribuzione degli avvisi alti, medi e bassi.
- Importare e filtrare gli avvisi di Defender per endpoint per le attività usate nei criteri creati dai modelli di gestione dei rischi Insider.
- Specificare domini non consentiti per aumentare il punteggio di rischio per le attività potenzialmente rischiose.
- Specificare domini di terze parti per generare avvisi per attività di download potenzialmente rischiose.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Rilevamento attività file
È possibile usare questa sezione per specificare il numero di eventi giornalieri necessari per aumentare il punteggio di rischio per l'attività di download considerata insolita per un utente. Ad esempio, se si immette "25", se un utente scarica in media 10 file nei 30 giorni precedenti, ma un criterio rileva che hanno scaricato 20 file in un giorno, il punteggio per tale attività non verrà aumentato anche se è insolito per tale utente perché il numero di file scaricati quel giorno era inferiore a 25.
Volume degli avvisi
Alle attività potenzialmente rischiose rilevate dai criteri di rischio Insider viene assegnato un punteggio di rischio specifico, che a sua volta determina la gravità dell'avviso (bassa, media, alta). Per impostazione predefinita, la gestione dei rischi Insider genera una certa quantità di avvisi di gravità bassa, media e alta, ma è possibile aumentare o ridurre il volume di un livello specifico di avvisi in base alle proprie esigenze.
Per modificare il volume degli avvisi per tutti i criteri di gestione dei rischi Insider, scegliere una delle impostazioni seguenti:
- Meno avvisi: verranno visualizzati tutti gli avvisi con gravità elevata, meno avvisi di gravità media e nessun avviso di gravità bassa. Se si sceglie questo livello di impostazione, si potrebbero perdere alcuni veri positivi.
- Volume predefinito: verranno visualizzati tutti gli avvisi con gravità elevata e una quantità bilanciata di avvisi di gravità media e gravità bassa.
- Altri avvisi: verranno visualizzati tutti gli avvisi di gravità media e alta e la maggior parte degli avvisi con gravità bassa. Questo livello di impostazione potrebbe generare più falsi positivi.
Microsoft Defender per endpoint stati degli avvisi
Importante
Per importare gli avvisi di violazione della sicurezza, è necessario configurare Microsoft Defender per endpoint nell'organizzazione e abilitare l'integrazione di Defender per endpoint per la gestione dei rischi Insider nel Centro sicurezza di Defender. Per altre informazioni sulla configurazione di Defender per Endpoint per l'integrazione della gestione dei rischi Insider, vedere Configurare le funzionalità avanzate in Defender per endpoint.
Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per aiutare le reti aziendali a prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Per avere una migliore visibilità delle violazioni della sicurezza nell'organizzazione, è possibile importare e filtrare gli avvisi di Defender per endpoint per le attività usate nei criteri creati dai modelli di criteri di violazione della sicurezza della gestione dei rischi Insider.
A seconda dei tipi di segnali a cui si è interessati, è possibile scegliere di importare avvisi nella gestione dei rischi Insider in base allo stato di valutazione degli avvisi di Defender per endpoint. È possibile definire uno o più stati di valutazione degli avvisi seguenti nelle impostazioni globali da importare:
- Unknown
- New
- In corso
- Risolti
Gli avvisi da Defender per endpoint vengono importati ogni giorno. A seconda dello stato di valutazione scelto, è possibile che vengano visualizzate più attività utente per lo stesso avviso delle modifiche dello stato di valutazione in Defender per endpoint.
Ad esempio, se si seleziona Nuovo, In corso e Risolto per questa impostazione, quando viene generato un avviso di Microsoft Defender per endpoint e lo stato è Nuovo, viene importata un'attività di avviso iniziale per l'utente nella gestione dei rischi Insider. Quando lo stato di valutazione di Defender per endpoint viene modificato in In corso, viene importata una seconda attività per questo avviso. Quando viene impostato lo stato finale di valutazione di Defender per endpoint di Risolto , viene importata una terza attività per questo avviso. Questa funzionalità consente agli investigatori di seguire la progressione degli avvisi di Defender per endpoint e di scegliere il livello di visibilità richiesto dall'indagine.
Domini
È possibile specificare domini non consentiti e di terze parti per migliorare i rilevamenti:
- Domini non consentiti: Quando si specifica un dominio non consentito, l'attività di gestione dei rischi che si svolge con tale dominio avrà un punteggio di rischio più alto. Ad esempio, è possibile specificare le attività che implicano la condivisione di contenuti con un utente (ad esempio l'invio di messaggi di posta elettronica a un utente con un indirizzo di gmail.com) o le attività che coinvolgono gli utenti che scaricano contenuto in un dispositivo da un dominio non consentito. È possibile aggiungere fino a 500 domini non consentiti.
- Domini di terze parti: Se l'organizzazione usa domini di terze parti per scopi aziendali (ad esempio l'archiviazione cloud), includerli nella sezione Domini di terze parti per ricevere avvisi per attività potenzialmente rischiose correlate all'indicatore del dispositivo Usare un browser per scaricare contenuto da un sito di terze parti. È possibile aggiungere fino a 500 domini di terze parti.
Consiglio
È anche possibile specificare i domini da escludere dal punteggio dei criteri di gestione dei rischi Insider.
Aggiungere un dominio non consentito
Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.
Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
Selezionare Impostazioni nell'angolo in alto a destra della pagina e quindi selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
In Impostazioni di rischio Insider selezionare Rilevamenti intelligenti.
Scorrere verso il basso fino alla sezione Domini non consentiti e quindi selezionare Aggiungi domini.
Immettere un dominio.
Consiglio
Se non si vuole immettere domini uno alla volta, è possibile importarli come file CSV selezionando Importa domini da file CSV nella pagina precedente.
Se si desidera includere tutti i sottodomini all'interno del dominio immesso, selezionare la casella di controllo Includi sottodomini a più livelli .
[! NOTA È possibile usare caratteri jolly per trovare una corrispondenza con le varianti dei domini radice o dei sottodomini. Ad esempio, per specificare sales.wingtiptoys.com e support.wingtiptoys.com, usare la voce con caratteri jolly "*.wingtiptoys.com" per corrispondere a questi sottodomini (e a qualsiasi altro sottodominio allo stesso livello). Per specificare sottodomini a più livelli per un dominio radice, è necessario selezionare la casella di controllo Includi sottodomini a più livelli .
Premere INVIO. Ripetere questo processo per ogni dominio da aggiungere.
Selezionare Aggiungi domini.
Aggiungere un dominio di terze parti
Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.
Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
Selezionare Impostazioni nell'angolo in alto a destra della pagina e quindi selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
In Impostazioni di rischio Insider selezionare Rilevamenti intelligenti.
Scorrere verso il basso fino alla sezione Domini di terze parti e quindi selezionare Aggiungi domini.
Immettere un dominio.
Consiglio
Se non si vuole immettere domini uno alla volta, è possibile importarli come file CSV selezionando Importa domini da file CSV nella pagina precedente.
Se si desidera includere tutti i sottodomini all'interno del dominio immesso, selezionare la casella di controllo Includi sottodomini a più livelli .
[! NOTA È possibile usare caratteri jolly per trovare una corrispondenza con le varianti dei domini radice o dei sottodomini. Ad esempio, per specificare sales.wingtiptoys.com e support.wingtiptoys.com, usare la voce con caratteri jolly "*.wingtiptoys.com" per corrispondere a questi sottodomini (e a qualsiasi altro sottodominio allo stesso livello). Per specificare sottodomini a più livelli per un dominio radice, è necessario selezionare la casella di controllo Includi sottodomini a più livelli .
Premere INVIO. Ripetere questo processo per ogni dominio da aggiungere.
Selezionare Aggiungi domini.