Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I criteri di raccolta sono uno strumento di raccolta e filtro degli eventi in Microsoft Purview che consente il monitoraggio e la classificazione degli eventi da app e posizioni che si trovano sia all'interno che all'esterno dei limiti di attendibilità delle organizzazioni. Consentono di filtrare gli eventi provenienti da origini non attendibili e attendibili che vengono inseriti in Purview. Una volta inseriti, tali dati possono essere classificati e usati da varie soluzioni di utilizzo dei segnali di Microsoft Purview, ad esempio Microsoft Purview Activity Explorer, Gestione dei rischi Insider Microsoft Purview, Microsoft Purview eDiscovery, Gestione del ciclo di vita dei dati di Microsoft Purview.
I criteri di raccolta consentono di ottenere questi risultati di sicurezza dei dati:
Inserire solo gli eventi desiderati
Lo scopo principale dei criteri di raccolta è quello di consentire di definire gli eventi che l'organizzazione vuole introdurre in Microsoft Purview, in modo da poter concentrarsi sui dati di cui si è interessati. Ecco alcuni esempi di come questa funzionalità può essere utile.
Conformità alle normative in base alla posizione geopolitica
L'organizzazione può estendersi ai limiti geopolitici e normativi con aree diverse con requisiti di sicurezza e privacy dei dati diversi. Uno può richiedere l'inserimento di tutti gli eventi in Purview, mentre un'altra area può essere soggetta a restrizioni sugli eventi che possono essere raccolti. I criteri di raccolta consentono di definire gli eventi raccolti per ogni area. In questo modo è possibile soddisfare i requisiti di sicurezza e privacy dei dati di ogni area, pur avendo un'unica visualizzazione consolidata delle informazioni sensibili dell'organizzazione.
Filtrare gli eventi non necessari
L'organizzazione può avere molti eventi che vengono raccolti, ma si vogliono visualizzare solo gli eventi rilevanti per le proprie esigenze. Ad esempio, si supponga che l'organizzazione abbia eseguito l'onboarding di tutti i dispositivi e abilitato l'attività Del file di controllo sempre per i dispositivi nelle impostazioni di prevenzione della perdita dei dati degli endpoint. Ciò significa che tutte le attività dei file vengono raccolte e inserite in Esplora attività. L'analisi di tutti gli eventi potrebbe rallentare l'analisi degli eventi quando si ordinano i dati indesiderati per ottenere i dati necessari. Con i criteri di raccolta, è possibile filtrare gli eventi che non si desidera visualizzare prima che arrivino a Esplora attività. Ciò consente di ridurre il rumore e semplificare la ricerca degli eventi rilevanti per l'organizzazione.
Funzionamento dei criteri di raccolta
La chiave per comprendere i criteri di raccolta è sapere cos'è un evento.
Un evento è costituito da due elementi:
- Una condizione, ad esempio Contenuto contiene, o Estensione file. Ciò richiede l'uso di classificatori, ad esempio tipi di informazioni riservate. Ad esempio, una condizione può essere Content contiene un tipo di informazioni riservate, ad esempio Il numero di previdenza sociale degli Stati Uniti o l'estensione File è.docx.
- Attività che un utente può eseguire su un elemento sensibile, ad esempio File copiato in supporti rimovibili
I criteri di raccolta filtrano gli eventi in base a:
- Corrispondenza di una o più condizioni e attività definite nell'evento.
- Corrispondenza con l'origine dati o la posizione in cui si verifica l'evento. Ad esempio, un criterio di raccolta può avere come ambito solo la raccolta di eventi dai dispositivi o solo la raccolta di eventi da Copilot in Fabric.
Un criterio viene considerato corrispondente quando vengono soddisfatte una o più condizioni (a meno che non si eseguano le condizioni) e l'attività viene confrontata nell'origine dati.
Più criteri di raccolta per una singola origine dati
È possibile che l'organizzazione debba creare più criteri di raccolta per una determinata origine dati. I criteri di raccolta gestiscono lo scenario di più criteri in modo diverso rispetto a DLP o ad altri criteri Purview, che assegnano una priorità alla valutazione dei criteri in base all'ordine in cui vengono creati i criteri.
Nella pagina Criteri di raccolta vengono visualizzati tutti i singoli criteri creati. Nel back-end, tuttavia, durante la valutazione dei criteri, Microsoft Purview combina tutti i criteri di raccolta per un'origine dati in un unico criterio di raccolta per tale origine dati. Pertanto, tutte le condizioni per un'origine dati vengono usate durante l'identificazione delle corrispondenze.
Accesso ai criteri di raccolta
I criteri di raccolta sono un componente della funzionalità Classificatori del portale Microsoft Purview. È possibile accedervi da qualsiasi punto del portale Purview in cui è disponibile la funzionalità Classificatori . Ad esempio,
Nel portale di Microsoft Purview selezionare Criteridi raccolta deiclassificatoridi prevenzione> della perdita dei > dati delle soluzioni>.
In alternativa, è possibile accedere ai criteri di raccolta nel portale di Microsoft Purview da Solutions Information Protection ClassifiersCollection policies.Alternately, you can access collection policies in the Microsoft Purview portal from Solutions>Information Protection>Classifiers> Collection policies.
Panoramica della configurazione dei criteri di raccolta
Si ha flessibilità nel modo in cui si creano e si configurano i criteri di raccolta. Tutti i criteri di raccolta richiedono le stesse informazioni dall'utente. È necessario conoscere queste informazioni prima di iniziare a creare un criterio di raccolta. Per altri dettagli su ogni passaggio, inclusa la configurazione supportata, vedere Informazioni di riferimento sui criteri di raccolta.
Definire i dati da rilevare configurando le condizioni necessarie per una corrispondenza dei criteri. Sono disponibili quattro condizioni supportate:
-
Il contenuto contiene classificatori, che usano tipi di informazioni sensibili e classificatori sottoponibili a training. Può essere limitato a tutti i classificatori, a tutti i classificatori tranne quelli selezionati o solo a classificatori specifici.
Nota
La posizione dei dispositivi non supporta l'uso di classificatori sottoponibili a training.
- Le dimensioni del documento sono uguali o maggiori di, misurate in byte, kilobyte (KB), megabyte (MB), gigabyte (GB) o terabyte (TB).
- Il documento è uguale o inferiore a, misurato in byte, kilobyte (KB), megabyte (MB), gigabyte (GB) o terabyte (TB).
- L'estensione di file è , che usa le estensioni di file.
-
Il contenuto contiene classificatori, che usano tipi di informazioni sensibili e classificatori sottoponibili a training. Può essere limitato a tutti i classificatori, a tutti i classificatori tranne quelli selezionati o solo a classificatori specifici.
Scegliere le attività necessarie per una corrispondenza di criteri: le attività supportate sono specifiche per l'origine dati. Per i dispositivi, sono supportate 19 attività, ad esempio File copiato in supporti rimovibili, Stampa file e File caricato nel cloud. Un elenco completo delle attività supportate è disponibile nel riferimento ai criteri di raccolta.
Scegliere dove applicare i criteri selezionando un'origine dati.
A seconda delle impostazioni dei criteri scelte, è possibile configurare impostazioni aggiuntive , ad esempio se abilitare o meno l'acquisizione del contenuto per le interazioni con intelligenza artificiale e il metodo di rilevamento delle app cloud.
Acquisizione del contenuto per le interazioni con intelligenza artificiale
Per rispettare i requisiti normativi, è possibile decidere se acquisire e archiviare tutte le richieste e le risposte rilevate da qualsiasi origine dati generativa di intelligenza artificiale aggiunta ai criteri. Ciò semplifica l'individuazione e la protezione del contenuto acquisito in un secondo momento con altri criteri e soluzioni di Microsoft Purview. Questa funzionalità non include contenuto nei file condivisi con intelligenza artificiale generativa e si applica solo a:
- Esperienze Copilot
- Intelligenza artificiale aziendale
- App cloud non gestite categorizzate come intelligenza artificiale generativa
- Ambito dell'app adattiva per tutte le app per intelligenza artificiale non gestite
Senza l'impostazione abilitata, il contenuto rilevato nelle richieste e nelle risposte è limitato solo alle informazioni riservate.
Nota
Per acquisire il contenuto di intelligenza artificiale, è necessario che la condizione "Contenuto contiene classificatori" sia impostata su "Tutto".
Criteri di raccolta e Gestione dei rischi Insider Microsoft Purview
A seconda della configurazione, Gestione dei rischi Insider Microsoft Purview comportamento dei criteri potrebbe essere influenzato dai criteri di raccolta. Quando un criterio di rischio Insider è configurato, monitora gli indicatori di servizio e di terze parti per identificare, valutare e agire rapidamente sulle attività di rischio. Usando i log di Microsoft 365 e Microsoft Graph, Insider Risk Management consente di definire criteri specifici per identificare gli indicatori di rischio. Questi criteri consentono di identificare le attività rischiose e di agire per mitigare questi rischi.
Avviso
Quando un criterio di raccolta dei dispositivi viene configurato e distribuito, se si verifica un conflitto tra ciò che i criteri di Gestione dei rischi Insider sono configurati per il monitoraggio e ciò per cui i criteri di raccolta sono configurati per filtrare, la configurazione dei criteri di raccolta ha la precedenza. Ciò significa che se un criterio di Gestione rischi Insider è configurato per monitorare un'attività specifica, ma i criteri di raccolta sono configurati per filtrare tale attività, l'attività non viene raccolta e non è disponibile per la revisione in Gestione dei rischi Insider. Questo vale solo per gli indicatori di dispositivo nei criteri di gestione dei rischi Insider e solo quando viene distribuito un criterio di raccolta dei dispositivi. Se un criterio di raccolta è configurato per raccogliere qualcosa per cui non è configurato un criterio di gestione dei rischi Insider, l'indicatore viene raccolto, ma Insider Risk Management lo ignora.
Criteri di raccolta e prevenzione della perdita di dati degli endpoint
Quando l'attività File di controllo sempre per i dispositivi è abilitata, tutte le attività per i file Office, PDF e CSV vengono raccolte per impostazione predefinita. Se si desidera modificare le attività raccolte per i dispositivi in questo caso, è possibile configurare un criterio di raccolta destinato ai dispositivi. Se l'attività File di controllo sempre per i dispositivi non è abilitata, le attività non vengono raccolte dai dispositivi, anche se un criterio di raccolta viene creato con ambito per i dispositivi.
I criteri di raccolta non possono influire sul comportamento dei criteri DLP, ma solo su ciò che viene raccolto e registrato per gli eventi dei file di controllo nei dispositivi.
Criteri di raccolta e Gestione della postura di sicurezza dei dati per l'intelligenza artificiale Gestione della postura di sicurezza dei dati di Microsoft Purview e Purview
Quando si usano criteri con un clic in Microsoft Gestione della postura di sicurezza dei dati o Microsoft Gestione della postura di sicurezza dei dati per l'intelligenza artificiale (DSPM per l'intelligenza artificiale), è possibile intervenire sulle raccomandazioni che creano automaticamente criteri di raccolta per conto dell'utente.
È possibile visualizzare e monitorare i risultati di questi criteri in esperienze personalizzate all'interno di DSPM e DSPM per l'intelligenza artificiale, nonché in Esplora attività. Questi criteri vengono denominati automaticamente dall'esperienza rapida dei criteri. Dopo la creazione, questi criteri di raccolta possono essere visualizzati e modificati allo stesso modo dei criteri di raccolta creati usando il flusso di lavoro.