Abilitare l'analisi nella gestione dei rischi Insider

L'abilitazione dell'analisi Gestione dei rischi Insider Microsoft Purview offre diversi vantaggi importanti. Quando l'analisi è abilitata, è possibile:

• Eseguire una valutazione dei potenziali rischi Insider nell'organizzazione senza configurare criteri di rischio Insider.
• Ricevere indicazioni in tempo reale sulla configurazione delle impostazioni di soglia dell'indicatore.
• Generare la gravità del rischio Insider e il riepilogo delle attività utente per gli utenti che non fanno parte dei criteri. Condividere queste informazioni di riepilogo con Prevenzione della perdita dei dati, Conformità delle comunicazioni e Microsoft Defender.

Eseguire una valutazione dei rischi Insider nell'organizzazione

Gestione dei rischi Insider Microsoft Purview l'analisi consente di eseguire una valutazione dei potenziali rischi Insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree a rischio utente più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che potrebbe essere necessario configurare. Le analisi di analisi offrono i vantaggi seguenti per l'organizzazione:

• Facile da configurare: per iniziare a usare le analisi di analisi, selezionare Esegui analisi quando richiesto dalla raccomandazione di analisi oppure passare a Impostazioni> di rischio InsiderAnalisi e abilitare l'analisi.
• Privacy per progettazione: i risultati e le informazioni dettagliate analizzati vengono restituiti come attività utente aggregate e anonime. I singoli nomi utente non sono identificabili dai revisori. Poiché la gestione dei rischi Insider non classifica alcuna identità nell'organizzazione per l'analisi, la soluzione tiene conto di tutti gli UPN/identità che potrebbero essere coinvolti nei dati che lasciano il limite dell'organizzazione. Ciò potrebbe interessare account utente, account di sistema, account guest e così via.
• Comprendere i potenziali rischi tramite informazioni dettagliate consolidate: i risultati dell'analisi consentono di identificare rapidamente le aree di rischio potenziali per gli utenti e quali criteri sarebbero più utili per mitigare questi rischi.

Vedere il video di Insider Risk Management Analytics per comprendere in che modo l'analisi può contribuire ad accelerare l'identificazione dei potenziali rischi insider.

Aree analizzate

Analisi analizza l'attività di gestione dei rischi da diverse origini per identificare le informazioni dettagliate sulle potenziali aree di rischio. A seconda della configurazione corrente, l'analisi cerca le attività di rischio idonee nelle aree seguenti:

• Log di controllo di Microsoft 365: incluso in tutte le analisi, questa è l'origine principale per identificare la maggior parte delle attività potenzialmente rischiose.
• Exchange Online: inclusa in tutte le analisi, Exchange Online attività consente di identificare le attività in cui i dati negli allegati vengono recapitati tramite posta elettronica a contatti o servizi esterni.
• Microsoft Entra ID: inclusa in tutte le analisi, Microsoft Entra cronologia consente di identificare le attività rischiose associate agli utenti con account utente eliminati.
• Connettore dati Di Microsoft 365 HR: se configurato, gli eventi del connettore HR consentono di identificare le attività rischiose associate agli utenti con dimissioni o date di chiusura imminenti.

Le informazioni dettagliate di analisi dalle analisi si basano sugli stessi segnali di attività di gestione dei rischi usati dai criteri di gestione dei rischi Insider e segnalano i risultati in base alle attività utente singole e in sequenza. Tuttavia, il punteggio di rischio per l'analisi si basa su un massimo di 10 giorni di attività, mentre i criteri di rischio Insider usano l'attività giornaliera per le informazioni dettagliate. Quando si abilitano ed eseguono l'analisi per la prima volta nell'organizzazione, vengono visualizzati i risultati dell'analisi per un giorno. Se si lascia abilitata l'analisi, vengono visualizzati i risultati di ogni analisi giornaliera aggiunta ai report di informazioni dettagliate per un intervallo massimo dei 10 giorni di attività precedenti.

Ricevere indicazioni in tempo reale sulla configurazione delle impostazioni di soglia dell'indicatore

L'ottimizzazione manuale dei criteri per ridurre il "rumore" può essere un'esperienza che richiede molto tempo per la valutazione e il test degli errori per determinare la configurazione desiderata per i criteri. Se l'analisi è attivata, è possibile ottenere informazioni dettagliate in tempo reale che consentono di modificare in modo efficiente la selezione degli indicatori e delle soglie di occorrenza dell'attività in modo da non ricevere troppi o pochi avvisi dei criteri. Altre informazioni sull'uso dell'analisi in tempo reale per gestire il volume degli avvisi.

Abilitare l'analisi e avviare un'analisi dei potenziali rischi Insider nell'organizzazione

Per abilitare l'analisi dei rischi Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Passare alla soluzione Gestione dei rischi Insider .
3. Nella scheda Panoramica scorrere verso il basso fino alla scheda Analisi dei rischi Insider e quindi in Analisi dei rischi Insider nell'organizzazione selezionare Esegui analisi. In questo modo viene attivata l'analisi analitica per l'organizzazione. I risultati dell'analisi analitica possono richiedere fino a 48 ore prima che le informazioni dettagliate siano disponibili come report da esaminare.

Visualizzare informazioni dettagliate sull'analisi dopo la prima analisi analitica

Per visualizzare i risultati dell'analisi analitica nell'organizzazione, passare a Insider Risk Management ReportsAnalytics.To view the results of analytics scanning in your organization, go to Insider Risk Management>Reports> Analytics. Per altre informazioni sui report, vedere Usare i report in Gestione dei rischi Insider.

Disattivare l'analisi

Per disattivare l'analisi dei rischi Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Selezionare Impostazioni nell'angolo superiore destro della pagina.
3. Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
4. In Impostazioni di rischio Insider selezionare Analisi e quindi disattivare l'impostazione.

Dopo aver disabilitato l'analisi:

• I report analitici delle informazioni dettagliate rimangono statici e non vengono aggiornati per nuovi rischi.
• Non è possibile visualizzare l'analisi in tempo reale quando si personalizzano le impostazioni di soglia degli indicatori per i criteri.

Abilitare l'analisi a livello di utente nell'organizzazione

Insider Risk Management genera riepilogo delle attività utente e informazioni dettagliate sulla gravità dei rischi Insider per comportamenti potenzialmente rischiosi a livello di utente. Queste informazioni dettagliate vengono visualizzate nelle esperienze seguenti:

• Avvisi di prevenzione della perdita dei dati (DLP)
• Criteri di conformità delle comunicazioni
• Microsoft Defender pagine di entità utente e avvisi

L'analisi degli utenti copre tutti gli utenti idonei dell'organizzazione, inclusi gli utenti che non rientrano nell'ambito dei criteri di gestione dei rischi Insider. Quando si analizzano gli avvisi in Microsoft Defender, DLP o Conformità delle comunicazioni, gli analisti hanno automaticamente accesso alle informazioni degli utenti che consentono di migliorare le valutazioni dei rischi. Gli analisti possono anche usare la gravità del rischio Insider per identificare rapidamente gli avvisi più gravi e sensibili al tempo e assegnare priorità a questi avvisi per l'analisi e la correzione.

Per abilitare l'analisi a livello di utente del rischio Insider, è necessario essere membri del gruppo di ruoli Insider Risk Management, Insider Risk Management Admins o Microsoft 365 Global Admin .

1. Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
2. Selezionare Impostazioni nell'angolo superiore destro della pagina.
3. Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
4. In Impostazioni di gestione dei rischi Insider selezionare Analisi e quindi attivare l'impostazione "Mostra informazioni dettagliate a livello di utente".
5. In Impostazioni di gestione dei rischi Insider selezionare Condivisione dati e quindi attivare l'impostazione "Condividi i dettagli dei rischi utente con altre soluzioni di sicurezza".