Criteri di avviso nel Centro sicurezza e conformità di Office 365

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

È possibile usare i nuovi strumenti per i criteri di avviso e il dashboard degli avvisi disponibili nel Centro sicurezza e conformità di Office 365 per creare criteri di avviso e quindi visualizzare gli avvisi generati quando gli utenti eseguono attività che corrispondono alle condizioni di un criterio. I criteri di avviso si basano sugli avvisi attività ampliandone le funzionalità. È infatti possibile suddividere in categorie i criteri di avviso, applicare i criteri a tutti gli utenti dell'organizzazione, impostare un livello di soglia per la generazione di un avviso e decidere se ricevere o meno notifiche tramite posta elettronica. Nel Centro sicurezza e conformità è anche disponibile una nuova pagina in cui è possibile visualizzare e filtrare gli avvisi, impostare uno stato di avviso per semplificare la gestione degli avvisi stessi ed eliminare un avviso dopo aver esaminato o risolto l'evento sottostante. Sono inoltre stati aumentati i tipi di eventi per cui è possibile creare avvisi. Ad esempio, è possibile creare criteri di avviso per tenere traccia delle attività di malware e degli eventi di perdita di dati. Infine, sono stati inclusi anche criteri di avviso predefiniti che aiutano a monitorare l'assegnazione dei privilegi di amministratore in Exchange Online, gli attacchi di malware e livelli insoliti di eliminazioni di file.

Attualmente per usare i criteri di avviso un'organizzazione deve avere un abbonamento a Office 365 E5. Se non si ha questo piano e si vuole provare questa caratteristica, è possibile iscriversi a una versione di valutazione gratuita di Office 365 Enterprise E5.

Sommario

Come funzionano i criteri di avviso

Impostazioni dei criteri di avviso

Criteri di avviso predefiniti

Visualizzazione degli avvisi

Gestione degli avvisi

Come funzionano i criteri di avviso

Ecco una breve panoramica del funzionamento dei criteri di avviso e degli avvisi che vengono generati quando un'attività di un utente o di un amministratore corrisponde alle condizioni di un criterio di avviso.

Panoramica del funzionamento dei criteri di avviso
  1. Un amministratore dell'organizzazione crea, configura e attiva un criterio di avviso usando la pagina Criteri di avviso nel Centro sicurezza e conformità. Si possono creare criteri di avviso anche con il cmdlet New-ProtectionAlert di PowerShell.

  2. Un utente esegue un'attività che corrisponde alle condizioni di un criterio di avviso. Nel caso di un attacco malware, i messaggi di posta elettronica infetti inviati a utenti dell'organizzazione generano un avviso.

  3. Office 365 genera un avviso che viene visualizzato nella pagina Visualizza avvisi del Centro sicurezza e conformità. Inoltre, se le notifiche tramite posta elettronica sono abilitate per il criterio di avviso, Office 365 invia una notifica a un elenco di destinatari.

  4. Un amministratore gestisce gli avvisi nel Centro sicurezza e conformità. La gestione degli avvisi consiste nell'assegnare uno stato di avviso per monitorare e gestire qualsiasi indagine.

Inizio pagina

Impostazioni dei criteri di avviso

Un criterio di avviso è costituito da un set di regole e condizioni che definiscono l'attività di un utente o amministratore che genererà un avviso, un elenco di utenti che genereranno l'avviso se eseguono l'attività e la soglia che definisce quante volte deve essere eseguita l'attività prima che venga generato un avviso. Ai livelli si può anche assegnare una categoria e un livello di gravità. Queste due impostazioni facilitano la gestione dei criteri di avviso (e degli avvisi generati quando vengono soddisfatte le condizioni dei criteri), in quanto è possibile applicare filtri in base a queste impostazioni quando si gestiscono i criteri e si visualizzano gli avvisi nel Centro sicurezza e conformità. Ad esempio, è possibile visualizzare gli avvisi che soddisfano le condizioni della stessa categoria o gli avvisi con lo stesso livello di gravità.

Per visualizzare e creare criteri di avviso, scegliere Avvisi > Criteri di avviso nel Centro sicurezza e conformità.

Nel Centro sicurezza e conformità fare clic su Avvisi e quindi su Criteri di avviso per visualizzare e creare criteri di avviso

Un criterio di avviso è costituito dalle impostazioni e le condizioni seguenti.

  • Attività monitorata dall'avviso   Si crea un criterio per tenere traccia di un'attività o in alcuni casi di alcune attività correlate, come la condivisione di un file con un utente esterno, l'assegnazione di autorizzazioni di accesso o la creazione di un collegamento anonimo. Quando un utente esegue l'attività definita dal criterio, viene generato un avviso in base alle impostazioni della soglia di avviso.

  • Condizioni delle attività   Per la maggior parte delle attività è possibile definire ulteriori condizioni che devono essere soddisfatte affinché venga generato un avviso. Le condizioni più comuni includono gli indirizzi IP (in modo che un avviso venga generato quando l'utente esegue l'attività su un computer con un indirizzo IP specifico o un indirizzo incluso in un determinato intervallo di indirizzi IP), la generazione o meno di un avviso se uno o più utenti specifici eseguono l'attività in questione e l'esecuzione dell'attività su un nome file o un URL specifico. Si può anche configurare una condizione che genera un avviso quando l'attività viene eseguita da un qualsiasi utente dell'organizzazione. Tenere presente che le condizioni disponibili dipendono dall'attività selezionata.

  • Soglia di avviso   È possibile impostare una soglia che definisca quante volte può essere eseguita un'attività prima che venga generato un avviso. Questo permette di configurare un criterio per generare un avviso ogni volta che un'attività soddisfa le condizioni del criterio o solo quando viene superata una determinata soglia. La soglia definisce quante volte può essere eseguita un'attività in un determinato intervallo di tempo prima che venga generato un avviso.

    Si può anche assegnare una soglia di avviso in base alle attività insolite. Se si seleziona questo tipo di soglia, Office 365 stabilisce una linea di base che definisce la normale frequenza dell'attività selezionata. Per stabilire questa linea di base sono necessari fino a 7 giorni, durante i quali non vengono generati avvisi. Una volta stabilita la linea di base, viene generato un avviso quando la frequenza dell'attività monitorata dal criterio di avviso supera abbondantemente il valore della linea di base. Per le attività correlate al controllo, come quelle su file e cartelle, è possibile stabilire una linea di base basata su un singolo utente o su tutti gli utenti dell'organizzazione. Per le attività correlate al malware, è possibile stabilire una linea di base basata su una singola famiglia di malware, su un singolo destinatario o su tutti i messaggi dell'organizzazione.

  • Categoria di avviso   Per monitorare e gestire più facilmente gli avvisi generati da un criterio, è possibile assegnare una delle categorie seguenti a un criterio:

    • Governance dei dati

    • Protezione dalla perdita di dati

    • Autorizzazioni

    • Gestione delle minacce

    • Altre

    Quando viene eseguita un'attività che corrisponde alle condizioni del criterio di avviso, l'avviso generato viene contrassegnato con la categoria definita in questa impostazione. In questo modo è possibile monitorare e gestire gli avvisi della stessa categoria nella pagina Visualizza avvisi del Centro sicurezza e conformità, in quanto gli avvisi possono essere ordinati e filtrati in base alla categoria.

  • Gravità dell'avviso   Analogamente alla categoria di avviso, è possibile assegnare un attributo di gravità (Bassa, Media o Alta) ai criteri di avviso. Alo stesso modo della categoria di avviso, quando viene eseguita un'attività che corrisponde alle condizioni del criterio di avviso, l'avviso generato viene contrassegnato con lo stesso livello di gravità impostato per il criterio di avviso. In questo modo è possibile monitorare e gestire gli avvisi con lo stesso livello di gravità nella pagina Visualizza avvisi. Ad esempio, è possibile filtrare l'elenco degli avvisi in modo da visualizzare solo gli avvisi con gravità Alta.

    Suggerimento : durante la configurazione di un criterio di avviso è consigliabile assegnare un livello di gravità superiore alle attività che possono avere conseguenze estremamente negative, come il rilevamento di malware dopo il recapito agli utenti, la visualizzazione di dati riservati o classificati, la condivisione di dati con utenti esterni o altre attività che possono causare la perdita di dati o compromettere la sicurezza. In questo modo è più facile assegnare priorità agli avvisi e alle azioni da intraprendere per identificare e risolvere le cause alla base.

  • Notifiche tramite posta elettronica    È possibile configurare il criterio in modo che vengano inviate o meno notifiche tramite posta elettronica a un elenco di utenti quando viene generato un avviso. Si può anche impostare un limite giornaliero per le notifiche in modo che, una volta raggiunto il numero massimo di notifiche consentito, non vengano inviate altre notifiche per l'avviso durante la giornata. Oltre alle notifiche tramite posta elettronica, gli amministratori possono visualizzare gli avvisi generati da un criterio nella pagina Visualizza avvisi. È consigliabile abilitare le notifiche tramite posta elettronica per i criteri di avviso di una categoria specifica o con un livello di gravità elevato.

Inizio pagina

Criteri di avviso predefiniti

Office 365 offre i criteri di avviso predefiniti descritti di seguito, che consentono di identificare più facilmente l'uso improprio delle autorizzazioni di amministratore di Exchange, le attività malware e i rischi per la governance dei dati. Questi criteri sono attivati per impostazione predefinita. È possibile disattivarli (o riattivarli), configurare un elenco di destinatari a cui inviare notifiche tramite posta elettronica e impostare un limite giornaliero per le notifiche. Le altre impostazioni per questi criteri non sono modificabili.

Nella pagina Criteri di avviso il nome di questi criteri predefiniti è indicato in grassetto e il tipo di criterio è definito come Sistema.

  • Privilegi di amministratore di elevazione dei privilegi di Exchange    Genera un avviso quando un utente verrà assegnato autorizzazioni amministrative dell'organizzazione Exchange Online. ad esempio, se un utente viene aggiunto al gruppo di ruoli Gestione organizzazione in Exchange Online. Questo criterio è impostato gravità bassa.

  • Campagna di malware rilevato dopo recapito    Genera un avviso quando un numero particolarmente elevato di messaggi che contiene malware vengono inviato alle cassette postali nell'organizzazione. Se si verifica questo evento, Office 365 rimuove i messaggi contenenti virus dalle cassette postali Exchange Online. Questo criterio è impostato gravità elevato.

  • Campagna di malware rilevato e bloccato    Genera un avviso quando un utente ha tentato di inviare un numero particolarmente elevato di messaggi contenenti un determinato tipo di software dannoso agli utenti dell'organizzazione. Se si verifica questo evento, i messaggi contenenti virus vengono bloccati da Office 365 e non recapitati alle cassette postali. Questo criterio è impostato gravità bassa.

  • Attività di file insolito degli utenti esterni    Genera un avviso quando un numero in genere elevato di attività vengono eseguito nel file di SharePoint o OneDrive dagli utenti all'esterno dell'organizzazione. Sono incluse le attività, ad esempio accesso ai file, il download dei file ed eliminazione di file. Questo criterio è impostato gravità medio.

  • Condivisione di insolito volume del file esterni    Genera un avviso quando un numero in genere elevato di file SharePoint o OneDrive è condivise con gli utenti all'esterno dell'organizzazione. Questo criterio è impostato gravità medio.

  • Volume insolito di eliminazione dei file    Genera un avviso quando un numero particolarmente elevato di file vengono eliminato in SharePoint o OneDrive all'interno di un intervallo di tempo breve. Questo criterio è impostato gravità medio.

Si noti che l'attività anomala monitorata da alcuni dei criteri incorporati si basa sullo stesso processo come la soglia di avviso impostazione che è stato descritto in precedenza. Office 365 stabilisce un valore di base che definisce la frequenza normale per l'attività "comune". Gli avvisi vengono quindi attivati quando la frequenza di attività monitorate dai criteri di avviso predefiniti notevolmente superiore a quello previsto.

Inizio pagina

Visualizzazione degli avvisi

Quando un'attività eseguita da utenti dell'organizzazione corrisponde alle impostazioni di un criterio di avviso, viene generato un avviso che viene visualizzato nella pagina Visualizza avvisi del Centro sicurezza e conformità. A seconda delle impostazioni di un criterio di avviso, quando viene generato un avviso viene anche inviata una notifica tramite posta elettronica a un elenco di utenti specificati. Per ogni avviso, il dashboard nella pagina Visualizza avvisi mostra il nome del criterio di avviso corrispondente, la gravità e la categoria dell'avviso (definita nel criterio stesso) e il numero di occorrenze di un'attività che ha causato la generazione dell'avviso; questo valore è basato sulla soglia impostata per il criterio di avviso. Il dashboard mostra anche lo stato di ogni avviso. Per altre informazioni sull'uso della proprietà di stato per la gestione degli avvisi, vedere la sezione Gestione degli avvisi.

Per visualizzare gli avvisi, scegliere Avvisi > Visualizza avvisi nel Centro sicurezza e conformità.

Nel Centro sicurezza e conformità fare clic su Avvisi e quindi su Visualizza avvisi per visualizzare gli avvisi

È possibile usare i filtri seguenti per visualizzare un sottoinsieme di tutti gli avvisi nella pagina Visualizza avvisi.

  • Stato   Usare questo filtro per visualizzare gli avvisi a cui è assegnato un determinato stato. Lo stato predefinito è Attivo. Gli amministratori possono cambiare il valore di stato.

  • Criteri   Usare questo filtro per visualizzare gli avvisi che corrispondono all'impostazione di uno o più criteri di avviso. Si possono anche visualizzare tutti gli avvisi di tutti i criteri di avviso.

  • Intervallo di tempo   Usare questo filtro per visualizzare gli avvisi generati in una specifica data e in un determinato intervallo di tempo.

  • Gravità   Usare questo filtro per visualizzare gli avvisi a cui è assegnato un livello di gravità specifico.

  • Categoria   Usare questo filtro per visualizzare gli avvisi di una o più categorie di avviso.

Inizio pagina

Gestione degli avvisi

Dopo che gli avvisi sono stati generati e visualizzati nella pagina Visualizza avvisi del Centro sicurezza e conformità, è possibile valutarli, esaminarli e risolverli. Ecco alcune attività che è possibile eseguire per gestire gli avvisi.

  • Assegnare uno stato agli avvisi   È possibile assegnare uno degli stati seguenti agli avvisi: Attivo (valore predefinito), Analisi in corso, Risolto o Ignorato. Si può quindi applicare un filtro in base a questa impostazione per visualizzare gli avvisi con lo stesso stato. L'impostazione dello stato può essere utile per tenere traccia del processo di gestione degli avvisi.

  • Visualizzare i dettagli degli avvisi   è possibile fare clic su un avviso per visualizzare una pagina a comparsa con i dettagli dell'avviso. Il dettaglio delle informazioni dipende dal criterio di avviso corrispondente, ma in genere include: nome dell'operazione che ha generato l'avviso (ad esempio un cmdlet), una descrizione dell'attività che ha generato l'avviso, l'utente o gli utenti che hanno generato l'avviso e il nome del criterio di avviso corrispondente con il relativo collegamento.

    • Nome dell'operazione che ha generato l'avviso, ad esempio un cmdlet o un'operazione del log di controllo.

    • Descrizione dell'attività che ha generato l'avviso.

    • Utente che ha generato l'avviso. Questa informazione viene inclusa solo per i criteri di avviso configurati per monitorare un singolo utente o una singola attività.

    • Numero di esecuzioni dell'attività monitorata dal criterio di avviso. Si noti che questo numero potrebbe non corrispondere al numero effettivo di avvisi correlati elencati nella pagina Visualizza avvisi in quanto potrebbero essere stati generati ulteriori avvisi.

    • Collegamento a un elenco di attività che include una voce per ogni attività eseguita che ha generato l'avviso. Ogni voce in questo elenco identifica il momento in cui è stata eseguita l'attività, il nome dell'operazione effettiva (ad esempio "FileEliminato") e l'utente che ha eseguito l'attività, l'oggetto (come un file, un caso eDiscovery o una cassetta postale) su cui è stata eseguita l'attività e l'indirizzo IP del computer dell'utente. Per gli avvisi relativi a malware, il collegamento rimanda a un elenco di messaggi.

    • Nome del criterio di avviso corrispondente con il relativo collegamento.

  • Disattivare le notifiche tramite posta elettronica   È possibile disattivare (o non visualizzare) le notifiche tramite posta elettronica nella pagina a comparsa di un avviso. Quando si disattivano le notifiche tramite posta elettronica, Office 365 non invia alcuna notifica quando rileva attività o eventi che soddisfano le condizioni del criterio di avviso. Gli avvisi continuano comunque a essere generati per ogni attività eseguita dagli utenti corrispondente alle condizioni del criterio di avviso. È possibile disattivare le notifiche tramite posta elettronica anche modificando il criterio di avviso.

  • Risolvere gli avvisi   È possibile contrassegnare un avviso come risolto nella relativa pagina a comparsa, impostando lo stato su Risolto. A meno che non si cambi il filtro, gli avvisi risolti non vengono visualizzati nella pagina Visualizza avvisi.

Inizio pagina

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×