Criteri di avviso nel Centro sicurezza e conformità di Office 365

Nota:  Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l' articolo in lingua inglese per riferimento.

È possibile utilizzare gli strumenti di dashboard degli avvisi e i nuovi criteri di avviso in Centro sicurezza e conformità di Office 365 per creare criteri di avviso e quindi visualizzare gli avvisi che vengono generati quando gli utenti eseguono attività che soddisfano le condizioni di un criterio di avviso. Avviso per i criteri basano su ed espandere la funzionalità di avvisi attività grazie alla possibilità di categorizzare i criteri di avviso, applicare il criterio a tutti gli utenti dell'organizzazione, impostare un livello di soglia per quando viene generato un avviso e decidere se si desidera ricevere posta elettronica notifiche. È inoltre disponibile un avvisi visualizzazione pagina in Centro sicurezza e conformità nel punto in cui è possibile visualizzare e filtrare gli avvisi, impostare ai problemi di stato che consentono di gestire avvisi e quindi chiudere avvisi dopo aver risolto o risolti sottostante. Sono state espanso anche il tipo di eventi che è possibile creare avvisi per. Ad esempio, è possibile creare criteri degli avvisi per tenere traccia delle attività di software dannoso e interventi di perdita di dati. Infine, abbiamo inoltre incluso un numero di predefinita avviso criteri che consentono di eseguire il monitoraggio assegnazione i privilegi di amministratore in Exchange Online, attacchi malware e insoliti livelli di eliminazione di file e la condivisione esterna.

Nota: Avviso criteri sono disponibili per le organizzazioni con un abbonamento Enterprise E1, E3 o E5 Office 365. Tuttavia, alcune delle funzionalità avanzate è disponibile solo per le organizzazioni con un abbonamento a E5 o per le organizzazioni con un abbonamento a E1 o E3 e Office 365 Intelligence minacce o un abbonamento di componente aggiuntivo Office 365 conformità avanzate. La funzionalità che richiedono un abbonamento a E5 o il componente aggiuntivo viene evidenziato in questo argomento.

Sommario

Come funzionano i criteri di avviso

Impostazioni dei criteri di avviso

Criteri di avviso predefiniti

Visualizzazione degli avvisi

Gestione degli avvisi

Come funzionano i criteri di avviso

Ecco una breve panoramica del funzionamento dei criteri di avviso e degli avvisi che vengono generati quando un'attività di un utente o di un amministratore corrisponde alle condizioni di un criterio di avviso.

Panoramica del funzionamento dei criteri di avviso
  1. Un amministratore dell'organizzazione crea, configura e attiva un criterio di avviso usando la pagina Criteri di avviso nel Centro sicurezza e conformità. Si possono creare criteri di avviso anche con il cmdlet New-ProtectionAlert di PowerShell.

  2. Un utente esegue un'attività che corrisponde alle condizioni di un criterio di avviso. Nel caso di un attacco malware, i messaggi di posta elettronica infetti inviati a utenti dell'organizzazione generano un avviso.

  3. Office 365 genera un avviso che viene visualizzato nella pagina Visualizza avvisi del Centro sicurezza e conformità. Inoltre, se le notifiche tramite posta elettronica sono abilitate per il criterio di avviso, Office 365 invia una notifica a un elenco di destinatari.

  4. Un amministratore gestisce gli avvisi nel Centro sicurezza e conformità. La gestione degli avvisi consiste nell'assegnare uno stato di avviso per monitorare e gestire qualsiasi indagine.

Inizio pagina

Impostazioni dei criteri di avviso

Un criterio di avviso è costituito da un set di regole e condizioni che definiscono l'attività di un utente o amministratore che genererà un avviso, un elenco di utenti che genereranno l'avviso se eseguono l'attività e la soglia che definisce quante volte deve essere eseguita l'attività prima che venga generato un avviso. Ai livelli si può anche assegnare una categoria e un livello di gravità. Queste due impostazioni facilitano la gestione dei criteri di avviso (e degli avvisi generati quando vengono soddisfatte le condizioni dei criteri), in quanto è possibile applicare filtri in base a queste impostazioni quando si gestiscono i criteri e si visualizzano gli avvisi nel Centro sicurezza e conformità. Ad esempio, è possibile visualizzare gli avvisi che soddisfano le condizioni della stessa categoria o gli avvisi con lo stesso livello di gravità.

Per visualizzare e creare criteri di avviso, scegliere Avvisi > Criteri di avviso nel Centro sicurezza e conformità.

Nel Centro sicurezza e conformità fare clic su Avvisi e quindi su Criteri di avviso per visualizzare e creare criteri di avviso

Un criterio di avviso è costituito dalle impostazioni e le condizioni seguenti.

  • Attività monitorata dall'avviso   Si crea un criterio per tenere traccia di un'attività o in alcuni casi di alcune attività correlate, come la condivisione di un file con un utente esterno, l'assegnazione di autorizzazioni di accesso o la creazione di un collegamento anonimo. Quando un utente esegue l'attività definita dal criterio, viene generato un avviso in base alle impostazioni della soglia di avviso.

    Nota: Le attività che è possibile tenere traccia dipendono, Office 365 sottoscrizione dell'organizzazione dall'organizzazione. In generale, le attività correlate a malware campagne e attacchi di phishing richiedono un abbonamento E5 o un abbonamento E1 o E3 con una sottoscrizione di componente aggiuntivo di Business Intelligence di rischio.

  • Condizioni delle attività   Per la maggior parte delle attività è possibile definire ulteriori condizioni che devono essere soddisfatte affinché venga generato un avviso. Le condizioni più comuni includono gli indirizzi IP (in modo che un avviso venga generato quando l'utente esegue l'attività su un computer con un indirizzo IP specifico o un indirizzo incluso in un determinato intervallo di indirizzi IP), la generazione o meno di un avviso se uno o più utenti specifici eseguono l'attività in questione e l'esecuzione dell'attività su un nome file o un URL specifico. Si può anche configurare una condizione che genera un avviso quando l'attività viene eseguita da un qualsiasi utente dell'organizzazione. Tenere presente che le condizioni disponibili dipendono dall'attività selezionata.

  • Quando viene generato l'avviso    È possibile configurare un'impostazione che consente di definire con quale frequenza può verificarsi un'attività prima che venga generato un avviso. Consente di impostare un criterio per generare un avviso ogni volta che un'attività soddisfa le condizioni del criterio, quando si supera una determinata soglia o quando l'occorrenza dell'attività dell'avviso tiene traccia delle diventa insolito dell'organizzazione.

    Configurare la modalità vengono attivati gli avvisi, in base a cui si verifica l'attività, soglia o insolito attività per l'organizzazione

    Se si seleziona l'impostazione in base all'attività insolito, Office 365 stabilisce un valore di base che definisce la frequenza normale per l'attività selezionata. richiede un massimo di 7 giorni per stabilire la linea di base, durante il quale non generati avvisi. Dopo avere stabilita la previsione, verrà generato un avviso quando la frequenza dell'attività verrà registrata dai criteri di avviso notevolmente superiore a quello previsto. Per attività correlate al controllo (ad esempio attività file e cartelle), è possibile stabilire una previsione in base a un singolo utente o in base a tutti gli utenti dell'organizzazione. per le attività correlate al software dannoso, è possibile stabilire una previsione in base a una famiglia di malware singola, un singolo destinatario o tutti i messaggi all'interno dell'organizzazione.

    Nota: La possibilità di configurare i criteri di avviso in base a una determinata soglia o in base all'attività insolito richiede una sottoscrizione E5 o un abbonamento a E1 o E3 con una sottoscrizione di componente aggiuntivo Intelligence minacce o conformità avanzate. Le organizzazioni con un abbonamento a E1 ed E3 solo possono creare criteri di avviso in cui viene attivato ogni volta che si verifica un'attività un avviso.

  • Categoria di avviso   Per monitorare e gestire più facilmente gli avvisi generati da un criterio, è possibile assegnare una delle categorie seguenti a un criterio:

    • Governance dei dati

    • Protezione dalla perdita di dati

    • Autorizzazioni

    • Gestione delle minacce

    • Altre

    Quando viene eseguita un'attività che corrisponde alle condizioni del criterio di avviso, l'avviso generato viene contrassegnato con la categoria definita in questa impostazione. In questo modo è possibile monitorare e gestire gli avvisi della stessa categoria nella pagina Visualizza avvisi del Centro sicurezza e conformità, in quanto gli avvisi possono essere ordinati e filtrati in base alla categoria.

  • Gravità dell'avviso   Analogamente alla categoria di avviso, è possibile assegnare un attributo di gravità (Bassa, Media o Alta) ai criteri di avviso. Alo stesso modo della categoria di avviso, quando viene eseguita un'attività che corrisponde alle condizioni del criterio di avviso, l'avviso generato viene contrassegnato con lo stesso livello di gravità impostato per il criterio di avviso. In questo modo è possibile monitorare e gestire gli avvisi con lo stesso livello di gravità nella pagina Visualizza avvisi. Ad esempio, è possibile filtrare l'elenco degli avvisi in modo da visualizzare solo gli avvisi con gravità Alta.

    Suggerimento: durante la configurazione di un criterio di avviso è consigliabile assegnare un livello di gravità superiore alle attività che possono avere conseguenze estremamente negative, come il rilevamento di malware dopo il recapito agli utenti, la visualizzazione di dati riservati o classificati, la condivisione di dati con utenti esterni o altre attività che possono causare la perdita di dati o compromettere la sicurezza. In questo modo è più facile assegnare priorità agli avvisi e alle azioni da intraprendere per identificare e risolvere le cause alla base.

  • Notifiche tramite posta elettronica    È possibile configurare il criterio in modo che vengano inviate o meno notifiche tramite posta elettronica a un elenco di utenti quando viene generato un avviso. Si può anche impostare un limite giornaliero per le notifiche in modo che, una volta raggiunto il numero massimo di notifiche consentito, non vengano inviate altre notifiche per l'avviso durante la giornata. Oltre alle notifiche tramite posta elettronica, gli amministratori possono visualizzare gli avvisi generati da un criterio nella pagina Visualizza avvisi. È consigliabile abilitare le notifiche tramite posta elettronica per i criteri di avviso di una categoria specifica o con un livello di gravità elevato.

Inizio pagina

Criteri di avviso predefiniti

Office 365 include criteri di avviso predefiniti che permettono di individuare abusi di autorizzazioni amministratore di Exchange, malware attività e dati governance rischi. Nella pagina criteri di avviso, il nome di questi criteri predefiniti sono in grassetto e il tipo di criteri è definito come sistema. Questi criteri sono attivati per impostazione predefinita. È possibile disattivare questi criteri oppure accedere nuovamente, impostare un elenco dei destinatari a cui inviare notifiche tramite posta elettronica e impostare un giorno limite di notifica. Le altre impostazioni per i criteri non possono essere modificate.

Nella tabella seguente elenca e descrive i criteri di avviso predefiniti disponibili e indica Office 365 sottoscrizione dell'organizzazione necessaria per ognuno di essi. Si noti che alcuni criteri predefiniti per il messaggio sono disponibili se l'organizzazione ha la sottoscrizione di componente aggiuntivo appropriato oltre a un abbonamento a E1 o E3.

Criteri di avviso predefiniti

Descrizione

Abbonamento a Office 365 Enterprise

Creazione di regole di reindirizzamento o inoltro   

Genera un avviso quando un utente dell'organizzazione crea una regola posta in arrivo per la cassetta postale che inoltra o reindirizza i messaggi a un altro account di posta elettronica. Questo criterio solo tiene traccia delle regole posta in arrivo creati con Outlook Web App o Exchange Online PowerShell. Questo criterio è impostato gravità bassa. Per ulteriori informazioni sull'utilizzo di regole posta in arrivo per l'inoltro e il reindirizzamento di posta elettronica in Outlook Web App, vedere usare le regole in Outlook Web App per inoltrare automaticamente i messaggi a un altro account.

E1, E3 o E5

Elevazione dei privilegi di amministratore di Exchange   

Genera un avviso quando un utente verrà assegnato autorizzazioni amministrative all'interno dell'organizzazione Exchange Online; ad esempio, se un utente viene aggiunto al gruppo di ruoli Gestione organizzazione in Exchange Online. Questo criterio è impostato gravità bassa.

E1, E3 o E5

I messaggi sono in ritardo   

Genera un avviso quando Office 365 non è possibile inviare messaggi di posta elettronica per l'organizzazione locale o un partner server tramite un connettore. Quando questa viene eseguita, il messaggio è accodato in Office 365. Questo avviso viene attivato quando sono presenti 2.000 messaggi o altre accodate per più di un'ora. Questo criterio è impostato gravità elevato.

E1, E3 o E5

Campagna di malware rilevata dopo recapito   

Genera un avviso quando un numero particolarmente elevato di messaggi che contiene malware vengono inviato alle cassette postali nell'organizzazione. Se si verifica questo evento, Office 365 rimuove i messaggi contenenti virus dalle cassette postali Exchange Online. Questo criterio è impostato gravità elevato.

E5 o Office 365 abbonamento componente aggiuntivo di Business Intelligence di rischio

Campagna di malware rilevato e bloccato   

Genera un avviso quando un utente ha tentato di inviare un numero particolarmente elevato di messaggi di posta elettronica contenente un determinato tipo di software dannoso agli utenti dell'organizzazione. Se si verifica questo evento, i messaggi contenenti virus vengono bloccati da Office 365 e non recapitati alle cassette postali. Questo criterio è impostato gravità bassa.

E5 o Office 365 abbonamento componente aggiuntivo di Business Intelligence di rischio

Campagna di malware rilevata in SharePoint e OneDrive   

Genera un avviso quando un numero particolarmente elevato di malware o virus vengono rilevati nel file che si trovano in siti SharePoint o OneDrive account dell'organizzazione. Questo criterio è impostato gravità elevato.

E5 o Office 365 abbonamento componente aggiuntivo di Business Intelligence di rischio

Attività di file insolito degli utenti esterni   

Genera un avviso quando un numero in genere elevato di attività vengono eseguito nel file di SharePoint o OneDrive dagli utenti all'esterno dell'organizzazione. Sono incluse le attività, ad esempio accesso ai file, il download dei file ed eliminazione di file. Questo criterio è impostato gravità elevato.

E5 o Office 365 abbonamento componente aggiuntivo Intelligence minacce o conformità avanzate

Volume insolito della condivisione di file esterni   

Genera un avviso quando un numero in genere elevato di file SharePoint o OneDrive è condivise con gli utenti all'esterno dell'organizzazione. Questo criterio è impostato gravità medio.

E5 o Office 365 abbonamento componente aggiuntivo Intelligence minacce o conformità avanzate

Volume insolito di eliminazione dei file   

Genera un avviso quando un numero particolarmente elevato di file vengono eliminato in SharePoint o OneDrive all'interno di un intervallo di tempo breve. Questo criterio è impostato gravità medio.

E5 o Office 365 abbonamento componente aggiuntivo Intelligence minacce o conformità avanzate

Aumento insolito tramite posta elettronica segnalato come per attività di phishing   

Genera un avviso quando si verifica un significativo aumento del numero di utenti dell'organizzazione tramite il componente aggiuntivo di report Outlook ai messaggi di report tramite posta elettronica di phishing. Questo criterio è impostato gravità elevato. Per ulteriori informazioni su questo componente aggiuntivo, vedere utilizzare il componente aggiuntivo di report.

E5 o Office 365 abbonamento componente aggiuntivo di Business Intelligence di rischio

Si noti che l'attività anomala monitorata da alcuni dei criteri incorporati si basa sullo stesso processo come la soglia di avviso impostazione che è stato descritto in precedenza. Office 365 stabilisce un valore di base che definisce la frequenza normale per l'attività "comune". Gli avvisi sono attivati quindi quando la frequenza di attività monitorate dai criteri di avviso predefiniti notevolmente superiore a quello previsto.

Inizio pagina

Visualizzazione degli avvisi

Quando un'attività eseguita da utenti dell'organizzazione corrisponde alle impostazioni di un criterio di avviso, viene generato un avviso che viene visualizzato nella pagina Visualizza avvisi del Centro sicurezza e conformità. A seconda delle impostazioni di un criterio di avviso, quando viene generato un avviso viene anche inviata una notifica tramite posta elettronica a un elenco di utenti specificati. Per ogni avviso, il dashboard nella pagina Visualizza avvisi mostra il nome del criterio di avviso corrispondente, la gravità e la categoria dell'avviso (definita nel criterio stesso) e il numero di occorrenze di un'attività che ha causato la generazione dell'avviso; questo valore è basato sulla soglia impostata per il criterio di avviso. Il dashboard mostra anche lo stato di ogni avviso. Per altre informazioni sull'uso della proprietà di stato per la gestione degli avvisi, vedere la sezione Gestione degli avvisi.

Per visualizzare gli avvisi, scegliere Avvisi > Visualizza avvisi nel Centro sicurezza e conformità.

Nel Centro sicurezza e conformità fare clic su Avvisi e quindi su Visualizza avvisi per visualizzare gli avvisi

È possibile usare i filtri seguenti per visualizzare un sottoinsieme di tutti gli avvisi nella pagina Visualizza avvisi.

  • Stato   Usare questo filtro per visualizzare gli avvisi a cui è assegnato un determinato stato. Lo stato predefinito è Attivo. Gli amministratori possono cambiare il valore di stato.

  • Criteri   Usare questo filtro per visualizzare gli avvisi che corrispondono all'impostazione di uno o più criteri di avviso. Si possono anche visualizzare tutti gli avvisi di tutti i criteri di avviso.

  • Intervallo di tempo   Usare questo filtro per visualizzare gli avvisi generati in una specifica data e in un determinato intervallo di tempo.

  • Gravità   Usare questo filtro per visualizzare gli avvisi a cui è assegnato un livello di gravità specifico.

  • Categoria   Usare questo filtro per visualizzare gli avvisi di una o più categorie di avviso.

Inizio pagina

Gestione degli avvisi

Dopo che gli avvisi sono stati generati e visualizzati nella pagina Visualizza avvisi del Centro sicurezza e conformità, è possibile valutarli, esaminarli e risolverli. Ecco alcune attività che è possibile eseguire per gestire gli avvisi.

  • Assegnare uno stato agli avvisi   È possibile assegnare uno degli stati seguenti agli avvisi: Attivo (valore predefinito), Analisi in corso, Risolto o Ignorato. Si può quindi applicare un filtro in base a questa impostazione per visualizzare gli avvisi con lo stesso stato. L'impostazione dello stato può essere utile per tenere traccia del processo di gestione degli avvisi.

  • Visualizzare i dettagli degli avvisi   è possibile fare clic su un avviso per visualizzare una pagina a comparsa con i dettagli dell'avviso. Il dettaglio delle informazioni dipende dal criterio di avviso corrispondente, ma in genere include: nome dell'operazione che ha generato l'avviso (ad esempio un cmdlet), una descrizione dell'attività che ha generato l'avviso, l'utente o gli utenti che hanno generato l'avviso e il nome del criterio di avviso corrispondente con il relativo collegamento.

    • Nome dell'operazione che ha generato l'avviso, ad esempio un cmdlet o un'operazione del log di controllo.

    • Descrizione dell'attività che ha generato l'avviso.

    • Utente che ha generato l'avviso. Questa informazione viene inclusa solo per i criteri di avviso configurati per monitorare un singolo utente o una singola attività.

    • Numero di esecuzioni dell'attività monitorata dal criterio di avviso. Si noti che questo numero potrebbe non corrispondere al numero effettivo di avvisi correlati elencati nella pagina Visualizza avvisi in quanto potrebbero essere stati generati ulteriori avvisi.

    • Collegamento a un elenco di attività che include una voce per ogni attività eseguita che ha generato l'avviso. Ogni voce in questo elenco identifica il momento in cui è stata eseguita l'attività, il nome dell'operazione effettiva (ad esempio "FileEliminato") e l'utente che ha eseguito l'attività, l'oggetto (come un file, un caso eDiscovery o una cassetta postale) su cui è stata eseguita l'attività e l'indirizzo IP del computer dell'utente. Per gli avvisi relativi a malware, il collegamento rimanda a un elenco di messaggi.

    • Nome del criterio di avviso corrispondente con il relativo collegamento.

  • Disattivare le notifiche tramite posta elettronica   È possibile disattivare (o non visualizzare) le notifiche tramite posta elettronica nella pagina a comparsa di un avviso. Quando si disattivano le notifiche tramite posta elettronica, Office 365 non invia alcuna notifica quando rileva attività o eventi che soddisfano le condizioni del criterio di avviso. Gli avvisi continuano comunque a essere generati per ogni attività eseguita dagli utenti corrispondente alle condizioni del criterio di avviso. È possibile disattivare le notifiche tramite posta elettronica anche modificando il criterio di avviso.

  • Risolvere gli avvisi   È possibile contrassegnare un avviso come risolto nella relativa pagina a comparsa, impostando lo stato su Risolto. A meno che non si cambi il filtro, gli avvisi risolti non vengono visualizzati nella pagina Visualizza avvisi.

Inizio pagina

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×