Microsoft Purview: Insider Risk Management

Microsoft Purview Insider Risk Management correla vari segnali per identificare potenziali rischi interni dannosi o involontari come ad esempio perdita di dati e violazioni della sicurezza.

La gestione dei rischi Insider consente alle organizzazioni di creare dei criteri per gestire la sicurezza e la conformità.

Insider Risk Management quindi è una soluzione di conformità che consente di ridurre al minimo i rischi interni consentendo di rilevare, analizzare e agire su attività dannose e involontarie dell’organizzazione.

I criteri di rischio insider consento di definire la tipologia di rischi da rilevare e potrebbe capitare di eseguire escalation a eDiscovery (premium).

Per un dettaglio preciso e puntuale di cosa è Microsoft Purview vi invito a leggere il mio articolo scritto per la community Microsoft Purview: Information Protection e Sensitivity Labels – ICT Power

Quali sono i punti deboli per cui è utile Insider Risk Management?

La gestione e la riduzione al minimo dei rischi nell’organizzazione iniziano con la comprensione dei tipi di rischi presenti all’interno dell’organizzazione stessa. Alcuni dei rischi sono determinati da eventi e fattori che purtroppo sfuggono al controllo degli IT Admin e sono ad essi indipendenti. Alcuni rischi invece dipendono da comportanti e azioni illegali da parti di utenti o comunque comportamenti inappropriati e non autorizzati tra questi possiamo trovare:

  • Fughe di dati sensibili
  • Violazione della riservatezza aziendale
  • Furto di proprietà intellettuale (IP)
  • Frode
  • Insider Trading
  • Violazione della conformità normativa

Al giorno d’oggi gli utenti di un’organizzazione hanno accesso alla creazione, alla gestione e alla condivisione di dati su un’ampia gamma di piattaforme e di servizi e le organizzazioni purtroppo non dispongono di tutti gli strumenti atti a difendersi da questa tipologia di rischio.

Microsoft quindi mette a disposizione questo servizio, che attraverso i log di Audit di Microsoft 365 e Microsoft Graph permette di gestire e identificare in modo grafico la potenziali violazione dei punti sopra indicati.

Specifico inoltre che la gestione dei rischi insider si sviluppo sui seguenti principi fondamentali:

  • Trasparenza: rispetto della privacy attraverso un’architettura privacy-by-design
  • Configurabile: criteri configurabili in base al settore, alla zona geografica.
  • Integrato: flusso integrato in Microsoft Purview
  • Interattivo: fornisce informazioni dettagliata per abilitare notifiche verso i revisori

In quale scenari quotidiani si introduce questo servizio?

Prima di passare alla configurazione di questo servizio Microsoft, vorrei darvi evidenza dei casi d’uso della vita reale in questo Insider Risk Management vi aiuta.

Furto di dati da parte di persone dimissionarie

Quando un dipendente rassegna le proprie dimissioni, volontariamente o in seguito a cessazione, ci sono legittime preoccupazioni che i dati dell’azienda, di clienti siano a rischio.

Gli utenti in questione possono pensare che i dati di un determinato progetto non siano proprietari dell’azienda oppure possono ad esempio acquisire questi dati per “guadagno” personale.

All’interno delle policy di Insider Risk c’è una configurazione volta ad eseguire il discover proprio di questa tipologia di furto di dati.

Fuga di dati intenzionale / non intenzione di informazioni sensibili o riservate

Di solito gli utenti fanno del loro meglio per la gestione dei dati sensibili, ma alcune volte per errori non voluti possono verificarsi delle “fughe” di dati sensibili verso l’esterno dell’organizzazione, così come queste esfiltrazione di dati possono essere intenzionali e il servizio ci aiuta a identificare questa tipologia di attività.

I due metodi descritti sono quelli di solito più “utilizzati” e per cui il servizio di Insider Risk Management interviene in modo rapido veloce ed efficiente.

Per eventuali approfondimenti potete prendere visione della documentazione Microsoft Learn about insider risk management | Microsoft Learn

Pianificazione Implementazione Insider Risk Management

Prima di procedere con qualsiasi attività di Onboarding e di attivazione del servizio è utile un’attenta pianificazione e presa visione di tutti i regolamenti di Privacy e Compliance della Country dove risiede la vostra organizzazione.

Per spiegarvi ancora di più nel dettaglio vi mostro il Workflow, in quanto è bene collaborare con tutte le persone dell’organizzazione che hanno “potere” in caso di Insider Risk che per comodità vi riporto:

  • Reparto Informatico
  • Reparto di Conformità
  • Reparto Privacy
  • Reparto Sicurezza Informatica
  • Reparto Risorse Umano
  • Reparto Legal

Figura 1: Flusso Insider Risk Management

Dopo aver ingaggiato le persone di ogni ogni reparto è bene determinare:

  • Determinare eventuali requisiti di conformità a livello di area
  • Pianificare le autorizzazioni per supportare il flusso di lavoro di revisione e indagine
  • Comprendere i requisiti e le licenze necessarie
  • Eseguire un test su un gruppo ristretto di utenti in un ambiente di produzione

Licenze

Per poter utilizzare la funzionalità di Insider Risk Management è necessario possedere una licenza Microsoft 365 E5 Microsoft 365 E5 | M365 Maps oppure una di queste licenze che lo prevedano:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance e F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Insider Risk Management

Per approfondimenti rimando all’articolo ufficiale Microsoft Descrizione del servizio Microsoft Purview – Service Descriptions | Microsoft Learn

Ruoli per implementare la funzionalità

Di seguito vi riporto i ruoli necessari per poter sfruttare queste funzionalità

  • Microsoft Entra ID Global Administrator role
  • Microsoft Entra ID Compliance Administrator role
  • Microsoft Purview Organization Management role group
  • Microsoft Purview Compliance Administrator role group
  • Insider Risk Management role group
  • Insider Risk Management Admins role group

Per poter scegliere il ruolo corretto potete basarvi sulla seguente tabella:

Actions Insider Risk Management Insider Risk Management Admins Insider Risk Management Analysts Insider Risk Management Investigators Insider Risk Management Auditors Insider Risk Management Approvers
Configure policies and settings Yes Yes No No No No
Access analytics insights Yes Yes Yes No No No
Access & investigate alerts Yes No Yes Yes No No
Access & investigate cases Yes No Yes Yes No No
Access & view the Content Explorer Yes No No Yes No No
Configure notice templates Yes No Yes Yes No No
View & export audit logs Yes No No No Yes No
Access & view forensic evidence captures Yes No No Yes No No
Create forensic evidence capturing request Yes Yes No No No No
Approve forensic evidence capturing requests Yes No No No No Yes
Configure Adaptive Protection Yes Yes No No No No
View Adaptive Protection users tab Yes No Yes Yes No No

Svolgimento

Per questo specifico argomento avere una visione globale è di fondamentale importanza per acquisire consapevolezza e poter sviluppare il progetto nel migliore dei modi.

Accediamo al portale di Microsoft Purview

Figura 2: Accesso al portale di Purview con richiesta se visualizzare il nuovo portale o quello legacy

Figura 3: Scelgo di passare al nuovo portale visto il rolout previsto per il mese di Novembre 2024

Figura 4: Accesso dal portale di Microsoft Purview alla sezione relativa agli Audit Log

Figura 5: Audit Log di Microsoft 365 Risultano correttamente abilitata in quanto non presente il banner di attivazione

A livello di Ruoli, nel mio caso sono un Global Admin quindi ho tutti i diritti per procedere con ulteriori Step

Figura 6: Ruolo di Global Administrator assegnato al mio utente

E se il nostro utente non fosse Global Admin e quindi dobbiamo assegnare i permessi?

Figura 7: Entriamo in modalità “edit” sul ruolo per inserire il nostro utente

Figura 8: Assegniamo al nostro utente il permesso di Insider Risk Management Admins

Figura 9: Proseguiamo con la configurazione per accedere alla parte di Review di assegnazione del ruolo

Figura 10: Review e salvataggio della configurazione relativa all’assegnazione del ruolo

Figura 11: Salvataggio eseguito in modo corretto, per rendere effettiva la modifica saranno necessari 30 minuti

Ora potete procedere ad attivare Insider Risk Management direttamente dal portale di Microsoft Purview

Figura 12: Rechiamoci nel servizio di Microsoft Purview di Insiser Risk Management

Figura 13: Attivazione della prima scansione, ci vorranno 48 ore prima che sia completa

Figura 14: Scansione schedulata in modo corretto

Una volta che è stata configurata la prima scansione del servizio di Insider Risk Management, non è obbligatorio ma è estremamente consigliato, create una policy, che vi permette con le future scansioni di avere un focus su un utente specifico e sui dati a voi più “sensibili”

Figura 15: Creazione Policy di Insider Risk Management

Figura 16: Possibilità di scegliere una policy da template nel mio caso sceglierò di andare avanti per creare una policy custom

Figura 17: Scegliete un nome ed una description e proseguiamo con la configurazione, io creerò una policy per “tracciare” le attività di Utente Demo ([email protected])

Figura 18: Aggiungiamo l’utente che sarà soggetto all’applicazione della policy di Insider Risk, nel mio caso Utente Demo

Figura 19: Scelta se dare priorità a Determinate informazione o non dare priorità, io sceglio di dare priorità a tutti per darvi evidenza delle singole configurazioni

Figura 20: Selezionare i siti Sharepoint a cui dare priorità nell’analisi Insider

Figura 21: Selezionare le Etichette a cui dare priorità di Analisi

Figura 22: Selezionare le “Sensitive Type” a cui dare priorità nel mio caso ho selezionare quelle relative alla comunità Europea, le riconoscete da “EU” posto davanti

Figura 23: Inserite le estensioni a cui volete dare prirotà, nel mio caso ho selezionato PDF,XLSX, e DOCX questo perchè i documenti sensibili di test hanno queste estensioni

Figura 24: Selezionate i “Trainable Classifiers” a cui volete dare priorità nella scansione Insider

Figura 25: Selezionare se generare un Alert per tutte le attività o solo per le attività che sono “oggetto” del contenuto prioritario selezionato, io scelgo per tutte le attività

Figura 26: Possibilità di selezionare il connettore HR (Risorse Umane) o Quando un utente viene cancellato da Entra ID nel mio caso non posso procedere all’abilitazione

Figura 27: Abilitate gli indicatori per procedere con la creazione della Policy

Figura 28: Abilitare tutti i connettori presenti nel tenant o eventualmente scegliere solo quelli a voi necessari

Figura 29: Configurare le Detection Option relative alla policy di Insider Risk Management

Figura 30: Scegliamo di applicare le impostazioni fornite direttamente da Microsoft

Figura 31: Salvataggio della Policy Insider appena creata

Figura 32: Prima di vedere risultati potrebbero essere necessarie fino a 24 ore

Ora potete dire di applicare la Policy direttamente dal portale di Microsoft Purview

Figura 33: Eseguire la policy creata in precedenza

Figura 34: Scegliere un nome della scansione, un lasso temporale di ricerca e gli utenti oggetti della ricerca, nel mio caso il mio utente ed Utente Demo

Lo start impiegherà diverse ore prima che sia effettivo e che vi fornisca risultati, in questo momento il sistema comincerà ad analizzare il comportamento degli utenti secondo quando indicato all’interno della policy.

Per simulare ora un’azione non consentita dalla policy procederò a condividere con un account hotmail.it (quindi esterno all’organizzazione) un documento docx che risiede in un Teams (sito Sharepoint) oggetto della policy

Figura 35: Download del documento per simulare un’esfiltrazione di dati dalla nostra organizzazione

Figura 36: Inviamo il link per test verso l’indirizzo hotmail.it e quindi esterno all’organizzazione

Figura 37: Email di invito ricevuta correttamente dal destinatario esterno all’organizzazione

Cosa succede la amministrativo dal portale di Purview Insider Risk Management ?

Figura 38: Overview degli utenti a cui è applicata la policy di Insider Risk Management, avete una visione completa con le policy ad essi applicata

Figura 39: Cronistoria di tutte le volte che viene eseguito il match di una policy di Insider Risk Management

Inoltre ad ogni scansione viene inviata direttamente agli utenti con il permesso corretto di Insider Risk Management una mail con i risultati

Figura 40: Mail di riepilogo della scansione di Insider Risk Management

Se volete approfondire nella Timeline cosa effettivamente l’utente ha fatto basta cliccare su “X event”

Figura 41: Visualizzaziamo il dettaglio dell’evento che ha eseguito il match con l’indicatore, in questo caso di cancellazione file dal recycle bin di Sharepoint Online

Figura 42: Dettaglio con l’evento, include il file eliminato, l’IP Pubblico da cui è stata eseguito l’attività ed una serie di informazioni utili all’analisi

Conclusioni

Una funzionalità veramente utile, che permette di poter evitare spiacevoli esfiltrazioni di dati.

La funzionalità prevende una configurazione iniziale, di startup con configurazione delle relative policy, ma una volta creata la scansione è del tutto automatizzata e viene schedulata giornalmente, questo permette in casi di indagini di aver un report chiaro e puntuale di quale persona ha potenzialmente “portato” al di fuori dell’organizzazione dati e contenuti sensibili, uno strumento utile e adatto alle aziende per non perdere la proprietà intellettuale.

I dati al giorno oggi per le Aziende sono la cosa più preziosa perché senza di essi il Business aziendale non avanza e la potenziale perdita di essi (o venduti alla concorrenza) potrebbe essere un danno enorme.