Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.
È possibile condividere i dati della gestione dei rischi Insider nei modi seguenti:
- Esportare informazioni sugli avvisi nelle soluzioni SIEM.
- Condividere avvisi e livelli di gravità del rischio utente con Microsoft Defender XDR.
- Condividere i livelli di gravità del rischio utente con gli avvisi di prevenzione della perdita dei dati .
Esportare informazioni sugli avvisi nelle soluzioni SIEM
Gestione dei rischi Insider Microsoft Purview informazioni sugli avvisi è esportabile nelle soluzioni siem (Security Information And Event Management) e SOAR (Security Orchestration Automated Response) usando lo schema dell'API attività di gestione Office 365. È possibile usare le API Office 365 Attività di gestione per esportare informazioni sugli avvisi in altre applicazioni che l'organizzazione potrebbe usare per gestire o aggregare le informazioni sui rischi Insider. Le informazioni sugli avvisi vengono esportate e disponibili ogni 60 minuti tramite le API dell'attività di gestione Office 365.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Se l'organizzazione usa Microsoft Sentinel, è anche possibile usare il connettore dati di gestione dei rischi Insider predefinito per importare le informazioni sugli avvisi di rischio Insider per Microsoft Sentinel. Per altre informazioni, vedere Insider Risk Management nell'articolo Microsoft Sentinel.
Importante
Per mantenere l'integrità referenziale per gli utenti che dispongono di avvisi o casi di rischio Insider in Microsoft 365 o in altri sistemi, l'anonimizzazione dei nomi utente non viene mantenuta per gli avvisi esportati quando si usa l'API di esportazione o quando si esporta in soluzioni Microsoft Purview eDiscovery. In questo caso, gli avvisi esportati visualizzano i nomi utente per ogni avviso. Se si esegue l'esportazione in file CSV da avvisi o casi, l'anonimizzazione viene mantenuta.
Usare le API per esaminare le informazioni sugli avvisi di rischio Insider
- Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione di Microsoft 365.
- Selezionare Impostazioni nell'angolo superiore destro della pagina.
- Selezionare Gestione dei rischi Insider per passare alle impostazioni di gestione dei rischi Insider.
- Selezionare Esporta avvisi. Per impostazione predefinita, questa impostazione è disabilitata per l'organizzazione di Microsoft 365.
- Attivare l'impostazione.
- Filtrare le attività comuni di controllo Office 365 in base a SecurityComplianceAlerts.
- Filtrare SecurityComplianceAlerts in base alla categoria InsiderRiskManagement .
Le informazioni sugli avvisi contengono informazioni dello schema comune e dello schema degli avvisi di sicurezza e conformità dell'API attività di gestione Office 365). I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema comune:
- UserId
- ID
- RecordType
- CreationTime
- Operazione
- OrganizationId
- Usertype
- UserKey
Condividere i livelli di gravità degli avvisi con altre soluzioni di sicurezza Microsoft
È possibile condividere i livelli di gravità degli avvisi dalla gestione dei rischi Insider per portare un contesto utente univoco alle esperienze di analisi degli avvisi nelle soluzioni di sicurezza Microsoft seguenti:
- Microsoft Defender XDR
- Conformità delle comunicazioni di Microsoft Purview
- Prevenzione della perdita dei dati Microsoft Purview (DLP)
La gestione dei rischi Insider analizza le attività degli utenti in un periodo di 90-120 giorni e cerca un comportamento anomalo in tale periodo di tempo. L'aggiunta di questi dati ad altre soluzioni di sicurezza migliora i dati disponibili in tali soluzioni per consentire agli analisti di assegnare priorità agli avvisi.
Consiglio
I livelli di gravità degli avvisi nella gestione dei rischi Insider sono diversi dai livelli di rischio Insider definiti in Protezione adattiva.
- I livelli di gravità degli avvisi (bassa, media o alta) vengono assegnati agli utenti in base alle attività rilevate nei criteri di gestione dei rischi Insider. Questi livelli vengono calcolati in base ai punteggi di rischio degli avvisi assegnati a tutti gli avvisi attivi associati all'utente. Questi livelli aiutano gli analisti e gli investigatori dei rischi Insider a dare priorità e a rispondere di conseguenza all'attività degli utenti.
- I livelli di rischio Insider (elevati, moderati o minori) in Protezione adattiva sono una misura del rischio determinata da condizioni definite dall'amministratore, ad esempio il numero di attività di esfiltrazione eseguite dagli utenti in un giorno o se l'attività ha generato un avviso di rischio Insider con gravità elevata.
Prerequisiti
Per condividere i livelli di rischio utente di gestione dei rischi Insider con altre soluzioni di sicurezza Microsoft, l'utente:
- Deve far parte di un criterio di gestione dei rischi Insider.
- Deve aver eseguito attività di esfiltrazione che portano l'utente nell'ambito dei criteri.
- (Per la condivisione con DLP): deve avere le autorizzazioni di avviso DLP. Dopo l'attivazione dell'impostazione Condivisione dati, gli utenti con autorizzazioni di avviso DLP possono accedere al contesto di gestione dei rischi Insider per l'analisi degli avvisi DLP e per la pagina utenti Microsoft Defender XDR. Anche gli utenti con autorizzazioni di gestione dei rischi Insider possono accedere a questi dati.
- (Per la condivisione con la conformità delle comunicazioni): agli utenti devono essere assegnati i ruoli Communication Compliance Analyst o Communication Compliance Investigator per visualizzare i livelli di gravità del rischio utente e la cronologia attività nella conformità delle comunicazioni.
Consiglio
Se si ha accesso agli avvisi DLP in Microsoft Purview e/o Microsoft Defender, è possibile visualizzare il contesto utente dalla gestione dei rischi Insider condivisa con tali soluzioni.
Condividere dati con altre soluzioni di sicurezza Microsoft
È possibile condividere i livelli di gravità degli avvisi di gestione dei rischi Insider con altre soluzioni di sicurezza Microsoft attivando una singola impostazione.
- Nelle impostazioni di gestione dei rischi Insider selezionare l'impostazione Condivisione dati .
- Nella sezione Condivisione di dati con altre soluzioni di sicurezza Microsoft attivare l'impostazione.
Nota
Se non si attiva questa impostazione, il valore visualizzato nella colonna Gravità del rischio Insider avvisi DLP è "Dati utente non disponibili" e viene visualizzato come "Attività di rischio Insider non disponibile" nella conformità delle comunicazioni.
Cosa accade quando si condividono i livelli di gravità degli avvisi di gestione dei rischi Insider?
In Microsoft Defender XDR
La condivisione dei dati degli avvisi nel portale di Microsoft Defender è fondamentale per proteggere le informazioni sensibili dell'organizzazione e mantenere la sicurezza. Gli analisti del Centro operativo di sicurezza (SOC) possono:
- Analizzare gli avvisi di gestione dei rischi Insider nella coda di avvisi Microsoft Defender.
- Analizzare gli avvisi di gestione dei rischi Insider correlati agli avvisi di altre origini di rilevamento, ad esempio Prevenzione della perdita dei dati, Microsoft Defender per identità, Microsoft Defender per Office e così via, nella coda degli eventi imprevisti Microsoft Defender XDR.
- Eseguire query di ricerca avanzata in due nuove tabelle contenenti i dati degli avvisi di gestione dei rischi Insider.
- Esportare dati avanzati sugli avvisi di gestione dei rischi Insider tramite Microsoft API Graph.
- Visualizzare la gravità della gestione dei rischi Insider per un utente durante la valutazione degli avvisi. Alla pagina Utenti viene aggiunto un campo di gravità del rischio Insider per gli utenti con un livello di rischio alto, medio o basso nella gestione dei rischi Insider. Questi dati sono disponibili per tutti gli utenti con un avviso di gestione dei rischi Insider attivo. Un riepilogo delle attività di rischio Insider e la sequenza temporale dell'attività per l'utente sono visualizzati sul lato destro della pagina Utenti .
Migrazione dalle API delle attività di gestione Office 365 alle API Microsoft Graph
I metadati degli avvisi di gestione dei rischi Insider sono disponibili tramite Office 365'API attività di gestione. Tuttavia, API Graph offre metadati più completi e supporto bidirezionale. È consigliabile eseguire la migrazione a API Graph per integrare i dati di gestione dei rischi Insider con i sistemi aziendali.
La tabella seguente riepiloga i parametri dell'API attività di gestione Office 365 più comuni e il parametro microsoft API Graph equivalente:
| Office 365 parametro DELL'API attività di gestione | Parametro di Microsoft API Graph |
|---|---|
| Parametro di avviso | Nessun parametro equivalente |
| AlertId | ID |
| Categoria | ServiceSource |
| Commenti | Nessun parametro equivalente |
| Dati | Evidence.useraccount.userPrincipalName(insieme al suffisso) |
| Nome | AlertPolicyName |
| PolicyId | AlertPolicyId |
| Gravità | Gravità |
| Origine | DetectionSource |
| Stato | Stato |
| Versione | Nessun parametro equivalente |
Per il mapping dettagliato dello schema, vedere lo schema Defender XDR nell'API attività di gestione Office 365 e microsoft API Graph.
Integrazione di Insider Risk Management con Le operazioni di sicurezza di ServiceNow
ServiceNow offre integrazioni per connettersi alle tecnologie di sicurezza Microsoft usando Microsoft Graph. Queste soluzioni includono Microsoft Sentinel, Microsoft Defender Advanced Threat Protection e Azure Advanced Threat Protection. Questa integrazione consente di accedere a informazioni dettagliate preziose dai prodotti Microsoft e consente di gestire e rispondere in modo efficiente agli eventi imprevisti di sicurezza in modo centralizzato usando la piattaforma ServiceNow. I dati degli avvisi di gestione dei rischi Insider sono accessibili all'esterno dell'ambiente Microsoft Purview tramite l'API di sicurezza di Microsoft Graph.
Per condividere i dati degli avvisi di gestione dei rischi Insider con ServiceNow, seguire questa procedura:
- Ottenere l'integrazione dell'inserimento degli avvisi di Microsoft Graph API Sicurezza per le operazioni di sicurezza
- Seguire la documentazione di ServiceNow per configurare o creare un profilo per l'integrazione dell'inserimento degli avvisi in Microsoft Graph API Sicurezza.
Per altre informazioni, vedere Analizzare le minacce di rischio Insider nel portale di Microsoft Defender.
Negli avvisi di conformità delle comunicazioni
Per ogni corrispondenza dei criteri di conformità delle comunicazioni , è possibile visualizzare la gravità del rischio utente associata al mittente. Visualizzare queste informazioni nella scheda Attività utente nella comunicazione per l'avviso. Questa visualizzazione fornisce profilo di rischio, corrispondenze ai criteri e attività utente acquisite dalla gestione dei rischi Insider e dalla conformità delle comunicazioni.
I livelli di gravità sono classificati come Alti, Medi, Bassi o Nessuno.
Per i livelli di gravità del rischio Nessuno, il motivo potrebbe essere uno degli scenari seguenti:
- L'utente non è incluso in un criterio di rischio Insider.
- Alle attività dell'utente non viene assegnato un punteggio di rischio, il che significa che l'utente non è nell'ambito attivo per i criteri.
- L'utente è incluso in un criterio di gestione dei rischi Insider, ma non si è impegnato in alcuna attività rischiosa.
- L'organizzazione non dispone di criteri di gestione dei rischi Insider attivi.
Se la gravità del rischio utente non è disponibile, la condivisione dei dati non è abilitata dalla gestione dei rischi Insider.
È possibile visualizzare le attività di rischio Insider per un massimo di 120 giorni nella sezione Visualizza dettagli nella scheda Cronologia utenti nella gestione dei rischi Insider. Attualmente, solo i dati degli indicatori di esfiltrazione vengono visualizzati nel riepilogo delle attività utente in conformità alle comunicazioni.
Negli avvisi DLP
Per i criteri di gestione dei rischi Insider associati all'avviso DLP, alla coda degli avvisi DLP viene aggiunta una colonna di gravità del rischio Insider con valori alti, medi, bassi o nessuno . Se sono presenti più utenti con attività che corrispondono ai criteri, viene visualizzato l'utente con il livello di rischio Insider più alto.
Il valore None può indicare uno dei valori seguenti:
L'utente non fa parte di alcun criterio di gestione dei rischi Insider.
L'utente fa parte di un criterio di gestione dei rischi Insider, ma non ha eseguito attività rischiose per entrare nell'ambito dei criteri (non sono presenti dati di esfiltrazione).
È possibile selezionare il livello di rischio Insider nella coda degli avvisi DLP per accedere alla scheda Riepilogo attività utente , che mostra una sequenza temporale di tutte le attività di esfiltrazione per l'utente negli ultimi 90-120 giorni. Analogamente alla coda degli avvisi DLP, la scheda Riepilogo attività utente mostra l'utente con il livello di rischio Insider più alto. Questo contesto profondo in ciò che un utente ha fatto negli ultimi 90-120 giorni offre una visione più ampia dei rischi presentati da tale utente.
Nel riepilogo delle attività utente vengono visualizzati solo i dati degli indicatori di esfiltrazione. I dati di altri indicatori sensibili, ad esempio risorse umane, esplorazione e così via, non vengono condivisi con gli avvisi DLP.
Una sezione Dettagli attore viene aggiunta alla pagina dei dettagli dell'avviso DLP. È possibile usare questa pagina per visualizzare tutti gli utenti coinvolti nell'avviso DLP specifico. Per ogni utente coinvolto nell'avviso DLP, è possibile visualizzare tutte le attività di esfiltrazione negli ultimi 90-120 giorni.
Se si seleziona Recupera un riepilogo da Security Copilot in un avviso DLP, il riepilogo degli avvisi fornito da Microsoft Security Copilot include il livello di gravità della gestione dei rischi Insider oltre alle informazioni di riepilogo della prevenzione della perdita dei dati, se l'utente è incluso nell'ambito di un criterio di gestione dei rischi Insider.
Consiglio
È anche possibile usare Security Copilot per analizzare gli avvisi DLP. Se l'impostazione Di condivisione dei dati per la gestione dei rischi Insider è attivata, è possibile eseguire un'indagine combinata sulla gestione dei rischi DLP/Insider. Ad esempio, è possibile iniziare chiedendo a Copilot di riepilogare un avviso DLP e quindi chiedere a Copilot di mostrare il livello di rischio Insider associato all'utente contrassegnato nell'avviso. In alternativa, è possibile chiedersi perché l'utente è considerato un utente ad alto rischio. Le informazioni sui rischi utente in questo caso provengono dalla gestione dei rischi Insider. Security Copilot integra perfettamente la gestione dei rischi Insider con la prevenzione della perdita dei dati per facilitare le indagini. Altre informazioni sull'uso della versione autonoma di Copilot per le indagini combinate sulla gestione dei rischi DLP/Insider.