Guido Imperatore

Microsoft Purview: Compliance Manager

Visualizzazioni: 1.826

Microsoft Purview Compliance Manager è una soluzione che consente di valutare e gestire automaticamente la conformità nell’ambiente multi-cloud.

Compliance Manager può quindi aiutare l’utente durante tutto il percorso di conformità, dall’inventario dei rischi per la protezione dei dati alla sua gestione, semplificando l’implementazione dei controlli e dell’aggiornamento alle normative e revisioni delle certificazioni in base anche alle segnalazioni dei revisori.

Compliance Manager contribuisce quindi a semplificare la conformità e ridurre i rischi fornendo:

  • Valutazioni predefinite per standard e normative comuni di settore e regionali o valutazioni personalizzate per soddisfare le esigenze di conformità specifiche
  • Funzionalità del flusso di lavoro che consentono di completare in modo efficiente la valutazione dei rischi tramite un singolo strumento
  • Istruzioni dettagliate su azioni di miglioramento suggerite che possono essere eseguite dall’utente e da Microsoft per garantire la conformità agli standard e alle normative più rilevanti per l’organizzazione
  • Un punteggio di conformità basato sul rischio, che ci aiuta a comprendere il proprio profilo di conformità misurando lo stato di avanzamento delle azioni di miglioramento

E’ bene specificare che per avere all’interno del portale di Microsoft Purview la componente di Compliance Manager si rende necessario avere a disposizione delle licenze Microsoft 365 E5

Punteggio di Conformità

Compliance Manager assegna i punti per completare le azioni di miglioramento intraprese per rispettare un regolamento, uno standard o un criterio e combina questi punteggi fornendo un unico punteggio complessivo.

Ogni azione ha un impatto diverso sul punteggio a seconda dei potenziali rischi coinvolti. Il punteggio di conformità può aiutare a definire la priorità dell’azione su cui concentrarsi per migliorare il comportamento complessivo di conformità. Compliance Manager offre un punteggio iniziale basato sulle baseline di protezione dei dati di Microsoft 365. Questa “set” iniziale di controlli include normative standard e di governance generale dei dati.

Per eventuali approfondimenti in merito al punteggio di conformità vi rimando ai link ufficiale Microsoft:

Elementi chiave: controlli, valutazioni, normative, azioni di miglioramento

Compliance Manager usa diversi elementi per gestire le attività di conformità. Quando si usa Compliance Manager per assegnare, testare e monitorare le attività di conformità, è utile avere una conoscenza di base degli elementi chiave che vengono utilizzati dallo strumento, per eventuali approfondimenti vi consiglio di prendere visione del documento ufficiale Microsoft Glossary of terms for Microsoft Purview Compliance Manager | Microsoft Learn

Controlli

Un controllo è un requisito di una regola, standard o di un criterio. Definisce come valutare e gestire la configurazione di sistema, il processo organizzativo e le persone responsabili della soddisfazione di uno specifico requisito di una regola, di uno standard o di un criterio. Compliance Manager tiene traccia dei tipi di controlli seguenti:

  1. Controlli gestiti da Microsoft: controlli per i servizi cloud di Microsoft di cui la casa di Redmond è responsabile
  2. Controlli: sono i controlli creati e gestiti dall’organizzazione
  3. Controlli condivisi: sono appunto dei controlli condivisi tra l’organizzazione e Microsoft

Per approfondimenti sui controlli vi rimando all’articolo ufficiale Microsoft Build and manage assessments in Microsoft Purview Compliance Manager | Microsoft Learn

Valutazioni

Una valutazione è un “raggruppamento” di controlli. Completare le azioni che rientrano in una valutazione permette di soddisfare i requisiti di uno standard, di una regola di legge. Ad esempio è possibile avere una valutazione che, quando si completano tutte le azioni al suo interno, consente di allineare le impostazioni di Microsoft 365 ai requisiti ISO 27001.

Le valutazioni sono composte da diverse componenti:

  • In-scope Services: è l’insieme specifico di servizi Microsoft applicabili alla valutazione
  • Microsoft Managed Controls: controlli specifici per i servizi cloud di Microsoft, implementati dalla casa di Redmond per conto dell’utente
  • Your Controls: si tratta di controlli che vengono implementati dalle organizzazioni
  • Shared Controls: si tratta di controlli che l’organizzazione e Microsoft condividono la responsabilità dell’implementazione
  • Assesment Scores: mostra i progressi compiuti nel raggiungimento del totale dei punti possibili dalla azioni all’interno della valutazione gestite sia da Microsoft che dall’organizzazione

Per eventuali approfondimenti sulla creazione vi riporto il link ufficiale Microsoft Build and manage assessments in Microsoft Purview Compliance Manager | Microsoft Learn

Normative

Compliance Manager offre oltre 360 modelli normativi che consentono di creare rapidamente le valutazioni, le azioni di miglioramento consentono di centralizzare le attività di conformità.

Ogni azione di miglioramento fornisce indicazioni consigliate per aiutarti ad allinearti alle normative e agli standard di protezione dei dati. Le azioni di miglioramento possono essere assegnate agli utenti dell’organizzazione per eseguire il lavoro di implementazione e di eventuali test.

Lingue disponibili

Compliance Manager attualmente è disponibile nelle seguenti lingue:

  • English
  • Bahasa Indonesian
  • Bahasa Malay
  • Chinese (Simplified)
  • Chinese (Traditional)
  • Czech
  • Danish
  • Dutch
  • Finnish
  • French
  • German
  • Hebrew
  • Hungarian
  • Italian
  • Japanese
  • Korean
  • Norwegian
  • Polish
  • Portuguese (Brazilian)
  • Russian
  • Spanish
  • Swedish
  • Thai
  • Turkish

Ruoli

Vi riporto i ruoli necessari per poter utilizzare questa funzionalità:

User can: Compliance Manager role Microsoft Entra role
Read but not edit data Compliance Manager Reader Microsoft Entra Global reader, Security reader
Edit data and create assessments – for example, can edit improvement action status, enter notes, upload evidence; can create assessments Compliance Manager Contribution Compliance Administrator
Edit data only – can’t create assessments Compliance Manager Assessor Compliance Administrator
Manage assessments, regulatory templates, and tenant data; assign improvement actions Compliance Manager Administration Compliance Administrator, Compliance Data Administrator, Security Administrator

Come posso accedere al portale di Compliance Manager?

Vorrei cominciare a darvi evidenza delle licenze che utilizzo per l’utilizzo di questa funzionalità

Figura 1: Licenze Microsoft 365 E5 utilizzate per l’uso della funzionalità di Compliance Manager

Successivamente si rende necessario di accedere al portale Microsoft Purview

Figura 2: Accesso al portale di Microsoft Purview nella sezione Compliance Manager

Figura 3: Overview della sezione di Compliance Manager base senza policy attualmente impostate

Figura 4: Policy Default imposta da Microsoft all’interno del portale di Compliance Manager

Ora vorrei procedere in questo ordine a darvi evidenza di tutte le funzionalità di Compliance Manager:

  • Creazione Policy nuova per l’organizzazione
  • Overview Regulations
  • Creazione nuovo Assesment
  • Overview Solutions
  • Improvement Actions
  • Alerts
  • Reports

Creazione Policy

Figura 5: Creazione Nuova policy all’interno del portale di Compliance Manager

Figura 6: Fornite un nome ed una descrizione per la policy, come sempre nome e descrizione parlanti per una più facile individuazione in futuro

Figura 7: Scegliamo in base a quale condizione far “scattare” un Alert, nel mio caso selezionerò tutte le condizioni

Figura 8: Condizioni inserito e proseguiamo con la configurazione

Figura 9: Selezioniamo la Severity dell’Alert e se vogliamo ricevere la mail ad ogni match della regola o quando viene raggiunta una certa soglia di Match, nel mio caso seleziono la prima

Figura 10: Selezioniamo i Recipients che riceveranno la notifica, nel mio caso il mio utente, e proseguiamo con la configurazione

Figura 11: Review della configurazione e creazione della Policy

Figura 12: Policy creata correttamente

Regulations

Figura 13: Sezione Regulations del portale di Compliance Manager e totale Regulations Free Usate e quantità di quelle acquistate

NB: Le organizzazioni che possiedono Licenze A5/E5/G5 oltre alla baseline hanno la possibilità di scegliere altre 3 Regluations Premium

Per eventuali approfondimenti sulla parte Premium vi rimando al link ufficiale di casa Redmond Microsoft Purview Compliance Manager regulations list | Microsoft Learn

Figura 14: Overview della regolamentazione Gratuita messa a disposizione da Microsoft con i relativi punteggi che concorrono a fare il punteggio di Compliance dell’intera organizzazione

Se volete attivare una nuova regolamentazione, anche a pagamento, basterà selezionarla e cliccare su “customize”

Figura 15: Attivazione regolamentazione a pagamento (Premium)

Creazione Assessment

Figura 16: Assesment creato di Default da casa Microsoft con la baseline compresa nel prezzo

Per visionare i dettagli cliccate sull’Assessment

Figura 17: Progresso dell’Assesment generale

Figura 18: Overview dei controlli che sono stati implementati

Figura 19: Azioni correttive con il punteggio “impattante” sul punteggio finale di Score

Figura 20: Azioni correttive messe in campo da Microsoft Stessa

Potete comunque creare anche un Assesment basato sui regolamenti visti in precedenza, naturalmente consumerete una licenza se sono connettori premium

Figura 21: Creazione Nuovo Assessment

Figura 22: Selezioniamo quello della NIS 2 visto che è un tema molto attuale

Figura 23: Overview della selezione ci viene indicato che è un connettore premium

Figura 24: Scegliamo un nome e a quale gruppo applicarlo, io lascio quello di Default

Figura 25: Selezioniamo il servizio a cui applicarlo, in questo caso Microsoft 365

Figura 26: Creazione Nuovo Assessment

Da questo momento verranno applicati tutti i controlli e verrà una volta ultimato fornito un report con quanto viene riscontrato.

Solutions

Figura 27: Soluzioni Microsoft che vengono utilizzate per contribuire al punteggio di Score generale

Cliccando sulla relativa voce “open” viene aperto il portale corrispondente ad esempio “Attack Simulation Training”

Figura 28: Apertura portale Attack Simulation Training

Figura 29: Aperto portale corrispondente alla Solution selezionata

Improvement Actions

In questa sezione del portale vengono riportate tutte le azioni correttive consigliati basate su tutti i controlli che vengono fatti dal sistema.

Figura 30: Tutte le Azioni correttive consigliate

Come potete notare sono presenti molte informazioni:

  • Improvement Action: Nome dell’azione correttiva
  • Point: Punteggio ottenuto sul punteggio massimo disponibile
  • Service: servizio Microsoft “impattato” dall’azione
  • Regulation: Regolamentazione di cui fa parte l’azione correttiva
  • Group: gruppo a cui è assegnata l’azione
  • Solutions: Solutions a cui l’azione appartiene (Defender,Exchange Online ecc…)
  • Assestment: Assestment che ha estratto quella determinata azione correttiva
  • Categories: Categoria come ad esempio Protezione Dati, Protezione Email ecc
  • Status: lo stato di avanzamento dell’azzione
  • Action Type: differenziata tra Tecnica e Operational
  • Assigned to: a quale Admin risulta assegnata
  • Testing: Se è un’azione che viene fatta automaticamente in base alla creazione delle policy nei differenti Workload o deve essere contrassegnata completata in modo manuale
  • Role Type: se può essere fatta da un utente o da un Admin

Inoltre è bene specificare che è possibile esportare in un file CSV tutte queste azioni così da averne una copia o organizzare all’interno di un proprio tools di gestione le attività, inoltre è possibile anche importarle le azioni correttive.

Figura 31: Export delle azioni correttive

NB: è possibile modificare direttamente il file Excel e successivamente importarlo per aggiornare le modifiche sul portale

Il cambio dell’assegnazione o lo score possono richiedere fino a 24 ore dall’applicazione

Alerts

Gli Alert vengono generati dalla policy che abbiamo creato insieme all’inizio di questo articolo, quindi ogni volta che viene generata un’azione generata dalla policy il destinatario della notifica riceverà una mail e l’alert in questione sarà presente nella sezione corrispondente

Figura 32: Esempio di E-mail che viene inviata in caso in cui la Policy Compliance Manager esegue un match

Figura 33: Alert Presente anche all’interno del portale di Compliance Manager

È possibile ora:

  • Rimandare la mail di Alert al destinatario
  • Assegnare l’Alert ad una persona specifica
  • Cambiarne lo Status

Figura 34: Risolvere l’Incident Segnalato

Reports

La sezione Reports a mio è molto importante in quanto avete a disposizione tutte le azioni che sono state eseguite e che hanno portato alla diminuzione o all’aumento del punteggio di compliance

Figura 35: Sezione Report di Compliance Manager

Conclusioni

Disporre di uno strumento pienamente integrato nell’ecosistema aziendale rappresenta oggi un requisito imprescindibile. Le normative in materia di security e compliance sono sempre più articolate e in continua evoluzione, spingendo i reparti IT a intervenire rapidamente per adeguarsi agli standard richiesti. Grazie a Microsoft Purview, con pochi e semplici passaggi è possibile individuare le aree da ottimizzare e comprendere come configurare correttamente le impostazioni per garantire la conformità.

Inoltre, ogni nuova normativa viene tempestivamente resa disponibile all’interno del portale, consentendo non solo un supporto concreto a livello tecnico, ma anche un utilizzo strategico da parte dei reparti Legal e Compliance, che possono ottenere una chiara e aggiornata visione dello stato di conformità dell’organizzazione.