Serie di soluzioni eDiscovery: scenario di spillage dei dati - Ricerca ed eliminazione

Che cos'è la perdita di dati e perché è necessario preoccuparsi? La fuga di dati avviene quando un documento riservato viene rilasciato in un ambiente non attendibile. Quando viene rilevato un evento imprevisto di spillage dei dati, è importante valutare rapidamente le dimensioni e le posizioni della fuoriuscita, esaminare le attività degli utenti intorno ad esso e quindi eliminare definitivamente i dati spillati dal sistema.

Scenario di spillage dei dati

L'utente è un responsabile della sicurezza delle informazioni di Contoso. Si viene informati di una situazione di spillage dei dati in cui un dipendente ha inconsapevolmente condiviso un documento altamente riservato con più persone tramite posta elettronica. Si vuole valutare rapidamente chi ha ricevuto questo documento internamente ed esternamente. Una volta identificati, si desidera condividere i risultati del caso con altri investigatori da esaminare e quindi rimuovere definitivamente i dati da Office 365. Al termine dell'indagine, generare un report con le prove della rimozione permanente e altri dettagli del caso per qualsiasi consultazione futura.

Ambito di questo articolo

Questo documento fornisce un elenco di istruzioni su come rimuovere definitivamente un messaggio da Microsoft 365 in modo che non sia accessibile o recuperabile. Per eliminare un messaggio e renderlo recuperabile fino alla scadenza del periodo di conservazione degli elementi eliminati, vedere Cercare ed eliminare i messaggi di posta elettronica nell'organizzazione.

Flusso di lavoro per la gestione degli eventi imprevisti di spillage dei dati

Ecco come gestire un evento imprevisto di spillage dei dati:

Passaggio 1: Gestire chi può accedere al caso e impostare limiti di conformità (facoltativo)
Passaggio 2: Creare un caso di eDiscovery
Passaggio 3: Cercare i dati spillati
Passaggio 4: Esaminare e convalidare i risultati del caso
Passaggio 5: Usare il log di traccia dei messaggi per controllare come sono stati condivisi i dati spilled
Passaggio 6: Preparare le cassette postali
Passaggio 7: Eliminare definitivamente i dati spillati
Passaggio 8: Verificare, fornire una prova di eliminazione e controllo

Cose da sapere prima di iniziare

• Il flusso di lavoro di spillage dei dati descritto in questo articolo non elimina i messaggi di chat in Microsoft Teams. Per cercare ed eliminare i messaggi di chat di Teams, vedere Cercare ed eliminare i messaggi di chat in Teams.
• Quando una cassetta postale è in attesa, un messaggio eliminato rimane nella cartella Elementi ripristinabili fino alla scadenza del periodo di conservazione o al rilascio del blocco. Il passaggio 6 descrive come rimuovere il blocco dalle cassette postali. Verificare con la gestione dei record o i reparti legali prima di rimuovere il blocco. L'organizzazione potrebbe avere un criterio che definisce se una cassetta postale in attesa o un evento imprevisto di spillage dei dati ha la priorità.
• Per controllare quali cassette postali utente un investigatore di spillage dati può cercare e gestire chi può accedere al caso, è possibile configurare i limiti di conformità e creare un gruppo di ruoli personalizzato, descritto nel passaggio 1. A tale scopo, è necessario essere membri del gruppo di ruoli Gestione organizzazione o essere assegnati al ruolo di gestione dei ruoli. Se l'utente o un amministratore dell'organizzazione ha già impostato limiti di conformità, è possibile ignorare il passaggio 1.
• Per creare un caso, è necessario essere un membro del gruppo di ruoli di eDiscovery Manager o essere un membro di un gruppo di ruoli personalizzato a cui è assegnato il ruolo Gestione casi. Se non si è membri, chiedere a un amministratore di Microsoft 365 di aggiungersi al gruppo di ruoli di gestione di eDiscovery.
• Per creare ed eseguire una ricerca di contenuto, è necessario essere un membro del gruppo di ruoli di gestione di eDiscovery o disporre del ruolo di gestione della ricerca di conformità. Per eliminare i messaggi, è necessario essere un membro del gruppo di ruoli Gestione organizzazione o disporre del ruolo di gestione di ricerca ed eliminazione. Per informazioni su come aggiungere gli utenti a un gruppo di ruoli, vedere Assegnare le autorizzazioni di eDiscovery.
• Per eseguire ricerche nelle attività eDiscovery del log di controllo nel passaggio 8, il controllo deve essere attivato per l'organizzazione. È possibile cercare le attività eseguite negli ultimi 90 giorni. Per altre informazioni su come abilitare e usare il controllo, vedere la sezione Controllo del processo di analisi della perdita di dati nel passaggio 8.

(Facoltativo) Passaggio 1: Gestire chi può accedere al caso e impostare limiti di conformità

A seconda della pratica aziendale, è necessario controllare chi può accedere al caso di eDiscovery usato per analizzare un evento imprevisto di spillage dei dati e configurare i limiti di conformità. Il modo più semplice per eseguire questa operazione consiste nell'aggiungere gli investigatori come membri di un gruppo di ruoli esistente nel portale di Microsoft Purview e quindi aggiungere il gruppo di ruoli come membro del caso eDiscovery. Per informazioni sui gruppi di ruoli predefiniti di eDiscovery e su come aggiungere membri a un caso di eDiscovery, vedere Assegnare autorizzazioni di eDiscovery.

È anche possibile creare un nuovo gruppo di ruoli che sia in linea con le esigenze dell'organizzazione. Ad esempio, è possibile che un gruppo di investigatori di spillage di dati nell'organizzazione accenga e collabori a tutti i casi di spillage dei dati. È possibile eseguire questa operazione creando un gruppo di ruoli "Data Spillage Investigator", assegnando i ruoli appropriati (Esportazione, Decrittografia RMS, Revisione, Anteprima, Ricerca conformità e Gestione casi), aggiungendo gli investigatori di spillage dei dati al gruppo di ruoli e quindi aggiungendo il gruppo di ruoli come membro del caso di spillage dei dati eDiscovery. Per istruzioni dettagliate su come eseguire questa operazione, vedere Configurare i limiti di conformità per le indagini di eDiscovery in Office 365.

Passaggio 2: Creare un caso di eDiscovery

Un caso di eDiscovery offre un modo efficace per gestire l'indagine sulla fuga di dati. È possibile aggiungere membri al gruppo di ruoli creato nel passaggio 1, aggiungere il gruppo di ruoli come membro di un nuovo caso di eDiscovery, eseguire ricerche iterative per trovare i dati spillati, esportare un report da condividere, tenere traccia dello stato del caso e quindi fare riferimento ai dettagli del caso, se necessario. Valutare la possibilità di stabilire una convenzione di denominazione per i casi di eDiscovery usati per gli eventi imprevisti di spillage dei dati e fornire il maggior numero di informazioni possibile nel nome e nella descrizione del caso in modo da poter individuare e fare riferimento in futuro, se necessario.

Per creare un nuovo caso, è possibile usare eDiscovery nel portale di Microsoft Purview. Vedere "Creare un nuovo caso" in Introduzione a eDiscovery (Standard).

Passaggio 3: Cercare i dati spillati

Dopo aver creato un caso e l'accesso gestito, è possibile usare il caso per cercare in modo iterativo i dati spilled e identificare le cassette postali che contengono i dati spilled. Si userà la stessa query di ricerca usata per trovare i messaggi di posta elettronica per eliminare gli stessi messaggi nel passaggio 7.

Per creare una ricerca di contenuto associata a un caso di eDiscovery, vedere Cercare contenuto in un caso di eDiscovery (Standard).

Passaggio 4: Esaminare e convalidare i risultati del caso

Dopo aver creato una ricerca di contenuto, è necessario verificare e verificare che i risultati della ricerca siano costituiti solo dai messaggi di posta elettronica che devono essere eliminati. In una ricerca contenuto è possibile visualizzare in anteprima un campionamento casuale di 1.000 messaggi di posta elettronica, senza esportare i risultati della ricerca per evitare ulteriori perdite di dati. Per altre informazioni sulle limitazioni di anteprima, vedere Limiti per ricerca contenuto.

Se sono presenti più di 1.000 cassette postali o più di 100 messaggi di posta elettronica per cassetta postale da esaminare, è possibile dividere la ricerca iniziale in più ricerche usando parole chiave o condizioni aggiuntive, ad esempio intervallo di date o mittente/destinatario, ed esaminare singolarmente i risultati di ogni ricerca. Assicurarsi di prendere nota di tutte le query di ricerca da usare quando si eliminano i messaggi nel passaggio 7.

Quando si trova un messaggio di posta elettronica che contiene dati distribuiti, controllare i destinatari del messaggio per determinare se è stato condiviso esternamente. Per tracciare ulteriormente un messaggio, è possibile raccogliere informazioni sul mittente e intervalli di date in modo da poter usare i log di traccia dei messaggi. Questo processo è descritto nel passaggio 5.

Dopo aver verificato i risultati della ricerca, è possibile condividere i risultati con altri utenti per una revisione secondaria. Le persone assegnate al caso nel passaggio 1 possono esaminarne il contenuto sia in eDiscovery che in Microsoft Purview eDiscovery (Premium), e approvare i risultati del caso. È anche possibile generare un report senza esportare il contenuto effettivo. È anche possibile usare questo stesso report come prova di eliminazione, descritto nel passaggio 8.

Per generare un report statistico:

1. Passare alla pagina Cerca nel caso di eDiscovery e selezionare la ricerca per cui si vuole generare un report.

2. Nella pagina a comparsa selezionare Altro > report di esportazione.

   Viene visualizzata la pagina Esporta report.

   

3. Selezionare Tutti gli elementi, inclusi quelli con formato non riconosciuto, sono crittografati o non sono stati indicizzati per altri motivi e quindi selezionare Genera report.

4. Nel caso di eDiscovery selezionare Esporta per visualizzare l'elenco dei processi di esportazione. Potrebbe essere necessario selezionare Aggiorna per aggiornare l'elenco per visualizzare il processo di esportazione creato.

5. Selezionare il processo di esportazione e quindi selezionare Scarica report nella pagina a comparsa.

   

Il report Riepilogo esportazione contiene il numero di posizioni trovate con i risultati e le dimensioni dei risultati della ricerca. È possibile usarlo per eseguire il confronto con il report generato dopo l'eliminazione e fornire come prova di eliminazione. Il report Risultati contiene un riepilogo più dettagliato dei risultati della ricerca, tra cui l'oggetto, il mittente, i destinatari, se il messaggio è stato letto, le date e le dimensioni di ogni messaggio. Se uno dei dettagli di questo report contiene i dati effettivamente spillati, assicurarsi di eliminare definitivamente il file Results.csv al termine dell'indagine.

Per altre informazioni sull'esportazione di report, vedere Esportare un report di Ricerca contenuto.

Passaggio 5: Usare il log di traccia dei messaggi per controllare come sono stati condivisi i dati spilled

Per analizzare ulteriormente se il messaggio di posta elettronica con dati spillati è stato condiviso, è possibile facoltativamente eseguire query sui log di traccia dei messaggi con le informazioni sul mittente e le informazioni sull'intervallo di date raccolte nel passaggio 4. Il periodo di conservazione per la traccia messaggio è di 30 giorni per i dati in tempo reale e di 90 giorni per i dati storici.

È possibile usare La traccia messaggi nel portale di Microsoft Purview o i cmdlet corrispondenti in Exchange Online PowerShell. È importante notare che la traccia messaggio non offre garanzie complete sulla completezza dei dati restituiti. Per altre informazioni sull'uso della traccia dei messaggi, vedere:

• Traccia dei messaggi nel Centro sicurezza e conformità
• Nuova traccia messaggi nel Centro conformità & sicurezza

Passaggio 6: Preparare le cassette postali

Dopo aver esaminato e verificato che i risultati della ricerca contengano solo i messaggi che devono essere eliminati, è necessario raccogliere un elenco degli indirizzi di posta elettronica delle cassette postali interessate da usare nel passaggio 7 quando si eliminano i dati spilled. Potrebbe anche essere necessario preparare le cassette postali prima di poter eliminare definitivamente i messaggi di posta elettronica a seconda che sia abilitato il ripristino di un singolo elemento nelle cassette postali che contengono i dati spillati o se una di queste cassette postali è in attesa.

Ottenere un elenco di indirizzi di cassette postali con dati spillati

Esistono due modi per raccogliere un elenco di indirizzi di posta elettronica delle cassette postali con dati spillati.

Opzione 1: Ottenere un elenco di indirizzi di cassette postali con dati spillati

1. Aprire il caso di eDiscovery, passare alla pagina Cerca e selezionare la ricerca di contenuto appropriata.

2. Nella pagina a comparsa selezionare Visualizza risultati.

3. Nell'elenco a discesa Singoli risultati selezionare Statistiche di ricerca.

4. Nell'elenco a discesa Tipo selezionare Posizioni principali.

   

   Viene visualizzato un elenco di cassette postali che contengono i risultati della ricerca. Viene visualizzato anche il numero di elementi in ogni cassetta postale che corrispondono alla query di ricerca.

5. Copiare le informazioni nell'elenco e salvarle in un file o selezionare Scarica per scaricare le informazioni in un file CSV.

Opzione 2: Ottenere i percorsi delle cassette postali dal report di esportazione

Aprire il report Di riepilogo esportazione scaricato nel passaggio 4. Nella prima colonna del report, l'indirizzo di posta elettronica di ogni cassetta postale è elencato in Percorsi.

Preparare le cassette postali in modo da poter eliminare i dati spillati

Se il ripristino di un singolo elemento è abilitato o se una cassetta postale viene messa in attesa, un messaggio eliminato definitivamente (eliminato) verrà conservato nella cartella Elementi ripristinabili. Quindi, prima di poter eliminare i dati spillati, è necessario controllare le configurazioni delle cassette postali esistenti e disabilitare il ripristino di un singolo elemento e rimuovere eventuali criteri di conservazione o blocco. Tenere presente che è possibile preparare una cassetta postale alla volta, quindi eseguire lo stesso comando in cassette postali diverse o creare uno script di PowerShell per preparare più cassette postali contemporaneamente.

• Vedere "Passaggio 1: Raccogliere informazioni sulla cassetta postale" in Elimina elementi nella cartella Elementi ripristinabili delle cassette postali basate sul cloud in attesa per istruzioni su come verificare se il ripristino di un singolo elemento è abilitato o se la cassetta postale è stata messa in attesa o se è assegnata a un criterio di conservazione.
• Vedere "Passaggio 2: Preparare la cassetta postale" in Elimina elementi nella cartella Elementi ripristinabili delle cassette postali basate sul cloud in attesa per istruzioni sulla disabilitazione del ripristino di un singolo elemento.
• Vedere "Passaggio 3: Rimuovere tutti i blocchi dalla cassetta postale" in Elimina elementi nella cartella Elementi ripristinabili delle cassette postali basate sul cloud in attesa per istruzioni su come rimuovere un criterio di blocco o conservazione da una cassetta postale.
• Vedere "Passaggio 4: Rimuovere il blocco ritardato dalla cassetta postale" in Elimina elementi nella cartella Elementi ripristinabili delle cassette postali basate sul cloud in attesa per istruzioni sulla rimozione del blocco posticipo che viene inserito nella cassetta postale dopo la rimozione di qualsiasi tipo di blocco.

Assicurarsi di ripristinare le configurazioni precedenti della cassetta postale dopo aver verificato che i dati spillati siano stati eliminati definitivamente. Vedere i dettagli nel passaggio 7.

Passaggio 7: Eliminare definitivamente i dati spillati

Usando le posizioni delle cassette postali raccolte e preparate nel passaggio 6 e la query di ricerca creata e perfezionata nel passaggio 3 per trovare i messaggi di posta elettronica contenenti i dati spilled, è ora possibile eliminare definitivamente i dati spilled. Come spiegato in precedenza, per eliminare i messaggi, è necessario essere membri del gruppo di ruoli Gestione organizzazione o essere assegnati al ruolo di gestione Ricerca ed eliminazione. Per informazioni su come aggiungere gli utenti a un gruppo di ruoli, vedere Assegnare le autorizzazioni di eDiscovery.

Per eliminare i messaggi spillati, vedere Cercare ed eliminare i messaggi di posta elettronica.

Quando si eliminano dati spillati, tenere presenti i limiti seguenti:

• Il numero massimo di cassette postali in una ricerca che è possibile usare per eliminare gli elementi eseguendo un'azione di ricerca ed eliminazione è 50.000. Se la ricerca creata nel passaggio 3 cerca più di 50.000 cassette postali, l'azione di eliminazione avrà esito negativo. La ricerca in più di 50.000 cassette postali in un'unica operazione può in genere verificarsi quando si configura la ricerca in modo da includere tutte le cassette postali dell'organizzazione. Questa restrizione si applica inoltre quando meno di 50.000 cassette postali contengono elementi che corrispondono alla query di ricerca.

• È possibile rimuovere al massimo 10 elementi per ogni cassetta postale alla volta. Poiché la possibilità di cercare e di rimuovere i messaggi è uno strumento di intervento, questo limite garantisce che i messaggi vengano rimossi rapidamente dalle cassette postali. Lo scopo di questa funzionalità non è svuotare le cassette postali degli utenti.

Passaggio 8: Verificare, fornire una prova di eliminazione e controllo

Il passaggio finale del flusso di lavoro per gestire un evento imprevisto di spillage dei dati consiste nel verificare che i dati spillati siano stati rimossi definitivamente dalla cassetta postale passando al caso eDiscovery ed eseguendo nuovamente la stessa query di ricerca usata per eliminare tali dati per verificare che non vengano restituiti risultati. Dopo aver verificato che i dati distribuiti sono stati rimossi definitivamente, è possibile esportare un report e includerlo come prova di eliminazione, unitamente al report originale. Quindi è possibile chiudere il caso che ti permetterà di riaprirlo se devi farvi riferimento in futuro. È anche possibile ripristinare lo stato precedente delle cassette postali, eliminare la query di ricerca usata per trovare i dati spilled e cercare i record di controllo delle attività eseguite durante la gestione dell'evento imprevisto di spillage dei dati.

Ripristino dello stato precedente delle cassette postali

Se nel passaggio 6 è stata modificata una configurazione delle cassette postali per preparare le cassette postali prima dell'eliminazione dei dati propagati, sarà necessario ripristinarle allo stato precedente. Vedere "Passaggio 6: Ripristinare lo stato precedente della cassetta postale" in Elimina elementi nella cartella Elementi ripristinabili delle cassette postali basate sul cloud in attesa.

Eliminazione della query di ricerca

Se le parole chiave nella query di ricerca create e usate nel passaggio 3 contengono alcuni di tutti i dati spillati effettivi, è necessario eliminare la query di ricerca per evitare ulteriori perdite di dati.

1. Nel portale di Microsoft Purview aprire il caso eDiscovery, passare alla pagina Ricerca e selezionare la ricerca di contenuto appropriata.

2. Nella pagina a comparsa selezionare Elimina.

   

Controllo del processo di analisi della perdita di dati

È possibile cercare nel log di controllo le attività di eDiscovery eseguite durante l'indagine. È anche possibile cercare nel log di controllo per restituire i record di controllo per il comando New-ComplianceSearchAction -Purge eseguito nel passaggio 7 per eliminare i dati spilled. Per altre informazioni, vedere:

• Eseguire ricerche nel log di controllo
• Cercare le attività di eDiscovery nel log di controllo