Creare avvisi di sicurezza e conformità per Microsoft Teams

  • 7 minuti

È possibile utilizzare i criteri di avviso per monitorare le attività degli utenti. Gli avvisi vengono generati quando gli utenti eseguono attività che soddisfano le condizioni di un criterio di avviso. Ad esempio, attacchi malware, campagne di phishing e livelli insoliti di eliminazioni di file e condivisione esterna. È possibile creare ed esaminare il dashboard degli avvisi dal portale di conformità Microsoft Purview.

I criteri di avviso consentono di categorizzare gli avvisi attivati da un criterio, applicare il criterio a tutti gli utenti dell'organizzazione, impostare un livello di soglia per l'attivazione di un avviso e decidere se ricevere notifiche tramite posta elettronica quando vengono attivati gli avvisi.

Screenshot dei criteri di avviso.

Come funzionano i criteri di avviso

Il diagramma seguente mostra il flusso di lavoro di base del funzionamento dei criteri di avviso:

Screenshot del flusso di lavoro dei criteri di avviso.

  1. Gli amministratori creano nuovi o modificano i criteri esistenti nel portale di conformità diMicrosoft Purview che monitorano attività insolite dell'utente o dell'amministratore.

  2. Un utente o un amministratore esegue azioni che soddisfano le condizioni e attivano un criterio di avviso, ad esempio la creazione di un caso di eDiscovery o l'aggiunta di autorizzazioni di accesso completo a una cassetta postale.

  3. Viene generato un avviso e viene attivata l'azione di avviso, ad esempio l'invio di un messaggio di posta elettronica a tutti gli amministratori globali. Inoltre, viene creata una voce di avviso nella dashboard avvisi nel portale di conformità di Microsoft Purview.

  4. Gli amministratori esaminano gli avvisi nel dashboard degli avvisi e decidono di confermare o ignorare l'avviso.

Impostazioni dei criteri di avviso

Un criterio di avviso è costituito da un set di regole e condizioni che definiscono l'attività di un utente o amministratore che genererà un avviso, un elenco di utenti che genereranno l'avviso se eseguono l'attività e la soglia che definisce quante volte deve essere eseguita l'attività prima che venga generato un avviso. Ai livelli si può anche assegnare una categoria e un livello di gravità.

Un criterio di avviso è costituito dalle impostazioni e le condizioni seguenti:

  • Attività monitorate dall'avviso: si crea un criterio per tenere traccia di un'attività o in alcuni casi di alcune attività correlate, come la condivisione di un file con un utente esterno, l'assegnazione di autorizzazioni di accesso o la creazione di un collegamento anonimo. Quando un utente esegue l'attività definita dal criterio, viene generato un avviso in base alle impostazioni della soglia di avviso.

  • Condizioni attività: per la maggior parte delle attività, è possibile definire altre condizioni che devono essere soddisfatte per attivare un avviso.

  • Quando l’allarme è attivato: è possibile impostare una soglia che definisca quante volte può essere eseguita un'attività prima che venga generato un avviso.

    Screenshot di Configurare gli avvisi per l'attivazione, in base alle occorrenze, di soglie o attività insolite.

  • Categoria di avviso: per monitorare e gestire più facilmente gli avvisi generati da un criterio, è possibile assegnare una delle categorie seguenti a un criterio:

    • Prevenzione della perdita dei dati

    • Governance delle informazioni

    • Flusso di posta

    • Autorizzazioni

    • Gestione dei rischi

    • Altri

    Quando viene eseguita un'attività che corrisponde alle condizioni del criterio di avviso, l'avviso generato viene contrassegnato con la categoria definita in questa impostazione. Il tagging ti permette di tracciare e gestire gli avvisi che hanno la stessa categoria impostata nella pagina Avvisi nel portale di conformità, perché puoi ordinare e filtrare gli avvisi in base alla categoria.

  • Gravità avviso: analogamente alla categoria di avviso, si assegna un attributo di gravità (Basso,Medio,Alto o Informativo) ai criteri di avviso. Alo stesso modo della categoria di avviso, quando viene eseguita un'attività che corrisponde alle condizioni del criterio di avviso, l'avviso generato viene contrassegnato con lo stesso livello di gravità impostato per il criterio di avviso.

  • Notifiche tramite posta elettronica: è possibile configurare il criterio in modo che vengano inviate o meno notifiche tramite posta elettronica a un elenco di utenti quando viene generato un avviso.

Creare nuovi avvisi

Per creare un nuovo criterio di avviso nel portale di conformità Microsoft Purview e per verificare se la registrazione di controllo è attivata, attenersi alla seguente procedura:

  1. Passa al portale di conformità di Microsoft Purview e quindi seleziona Criteri > Criteri di avviso.

  2. Selezionare + Nuovo criterio di avviso nel riquadro superiore per creare un nuovo criterio di avviso.

  3. In Assegnare un nome all'avviso, categorizzarlo e scegliere una gravità. pagina, immettere quanto segue:

    • Nome per l'identificazione dell'utilizzo di questo criterio di avviso.

    • Descrizione per gli altri amministratori per comprendere lo scopo di questo criterio di avviso.

    • Gravità per un livello di importanza per gli eventi di questi avvisi.

    • Categoria per configurare l'accesso per i diversi ruoli dell'organizzazione.

  4. Selezionare Avanti.

  5. Nella pagina Scegliere un'attività, condizioni e quando attivare l'avviso, selezionare un'attività e una condizione desiderate per l'avviso, quindi selezionare Avanti.

  6. Nella pagina Decidi se vuoi inviare una notifica agli utenti quando viene attivato questo avviso, puoi specificare i destinatari della notifica e la frequenza del limite giornaliero di notifica. Selezionare Avanti.

  7. Nella pagina Rivedi le impostazioni, puoi esaminare le impostazioni degli avvisi e decidere di attivare il criterio subito o in un secondo momento. Selezionare Fine quando tutto è configurato come desiderato.

    Schermata della creazione di un criterio di avviso.

Visualizzare gli avvisi

Le autorizzazioni RBAC (Role Based Access Control) assegnate agli utenti dell'organizzazione determinano quali avvisi possono essere visualizzati da un utente nella pagina Avvisi. Ecco alcuni esempi:

  • I membri del gruppo di ruoli Gestione record possono visualizzare solo gli avvisi generati dai criteri di avviso assegnati alla categoria Governance delle informazioni.

  • I membri del gruppo di ruoli Amministratore conformità non possono visualizzare gli avvisi generati dai criteri di avviso assegnati alla categoria di gestione delle minacce.

  • I membri del gruppo di ruoli Manager eDiscovery non possono visualizzare alcun avviso perché nessuno dei ruoli assegnati fornisce l'autorizzazione per visualizzare gli avvisi da qualsiasi categoria di avviso.