Affiner les exclusions dans la gestion des risques internes en créant des groupes de détection (préversion)
Importante
Microsoft Purview Insider Risk Management met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Vous pouvez exclure les éléments d’un score par des stratégies de gestion des risques internes à l’aide du paramètre Exclusions globales. Ces types d’exclusions s’appliquent à chaque déclencheur et indicateur pour toutes les stratégies que vous créez au sein d’un locataire. En utilisant des groupes de détection, vous pouvez modifier une exclusion globale intégrée pour la rendre spécifique aux besoins de votre organisation.
Vous pouvez également utiliser des groupes de détection pour modifier les indicateurs de risque internes intégrés afin d’adapter les détections pour différents ensembles d’utilisateurs au niveau de la stratégie. Par exemple, pour réduire le nombre de faux positifs pour les activités de messagerie, vous pouvez créer une variante de l’indicateur intégré Envoi d’e-mails avec pièces jointes à des destinataires en dehors de l’organisation pour détecter uniquement les e-mails envoyés à des domaines personnels.
Processus de création et d’utilisation des groupes de détection
Pour utiliser un groupe de détection dans le cadre d’une exclusion globale, vous devez créer le groupe de détection comme décrit dans cet article, puis le sélectionner dans le cadre de l’exclusion globale.
L’utilisation d’un groupe de détection pour modifier un indicateur intégré comprend les étapes suivantes :
- Créez le groupe de détection comme décrit dans cet article. Vous sélectionnez ce groupe de détection lorsque vous créez la variante.
- Créez la variante.
- Utilisez la variante dans une stratégie nouvelle ou existante.
- Passez en revue les alertes liées aux activités spécifiées dans la variante.
Créer un groupe de détection
Un groupe de détection vous aide à limiter un indicateur intégré ou une exclusion globale pour vous concentrer sur les activités importantes importantes pour votre organisation.
Types de détection pour les indicateurs de stratégie
Chaque indicateur de stratégie inclut certains types de détection applicables à cet indicateur. Par exemple, pour l’indicateur Partage de fichiers SharePoint avec des personnes extérieures à l’organisation , l’un des types de détection est les domaines. Lorsque vous partagez un fichier SharePoint, vous choisissez un domaine avec lequel partager le fichier. Tous les indicateurs n’ont pas les mêmes types de détection. Par exemple, les domaines sont un type de détection de l’indicateur Partage de fichiers SharePoint avec des personnes extérieures à l’organisation , mais il ne s’agit pas d’un type de détection de l’indicateur Création ou copie de fichiers sur USB , car il n’est pas applicable dans ce cas.
La gestion des risques internes prend actuellement en charge sept types de détection :
- Domaines
- Chemins d’accès
- Types de fichiers
- Mots-clés
- Types d’informations sensibles
- Sites SharePoint
- Classifieurs avec capacité d’apprentissage
Conseil
Lorsque vous créez un groupe de détection, vous pouvez voir tous les indicateurs applicables pour une détection particulière en sélectionnant le lien Afficher les indicateurs applicables dans le texte d’introduction du type de groupe.
Les procédures suivantes montrent comment créer un groupe de détection pour chaque type de groupe.
Créer un groupe de détection de domaines
Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
Dans le panneau de droite, sous Type, sélectionnez Domaines.
Dans le panneau de droite, sélectionnez Nouveau groupe de domaines.
Dans le volet Nouveau groupe de domaines , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultative).
Dans le champ Ajouter des domaines , entrez un domaine, puis appuyez sur Entrée. Continuez à ajouter d’autres domaines de la même façon ou, si vous avez une longue liste de domaines à ajouter, vous pouvez les importer en tant que fichier CSV en sélectionnant Importer des domaines à partir d’un fichier CSV. Les domaines que vous ajoutez sont répertoriés en bas du volet. Vous pouvez créer jusqu’à 10 groupes de détection de domaine et chaque groupe peut avoir jusqu’à 200 éléments.
Remarque
Pour spécifier des sous-domaines à plusieurs niveaux pour un domaine racine, cochez la case Inclure les sous-domaines multiniveaux , ajoutez un domaine, puis appuyez sur Entrée pour ajouter le domaine à la liste. Tous les sous-domaines inclus dans ce domaine seront inclus. Répétez le même processus pour ajouter d’autres domaines, puis sélectionnez Ajouter des domaines lorsque vous avez terminé.
Conseil
Vous pouvez utiliser des caractères génériques pour aider à faire correspondre des variantes de domaines racines ou de sous-domaines. Par exemple, pour spécifier sales.wingtiptoys.com et support.wingtiptoys.com, utilisez l’entrée générique « *.wingtiptoys.com » pour faire correspondre ces sous-domaines (et tout autre sous-domaine au même niveau).
Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.
Comment le groupe de domaines publics gratuits détecte l’exfiltration de données métier vers des domaines de messagerie personnels
Le groupe de détection Domaines inclut un groupe de domaines spécial appelé Domaines publics gratuits qui se compose d’une liste de fournisseurs de messagerie gratuits (gmail.com ou yahoo.com, par exemple) qui peuvent être utilisés pour créer un ID de messagerie personnel. Cette liste est utilisée pour mettre automatiquement en évidence l’exfiltration des données métier vers des domaines de messagerie personnels pour l’insight de messagerie électronique sous les onglets Activité utilisateur et Explorateur d’activités. L’insight répertorie le nombre d’e-mails envoyés à des domaines publics gratuits par un utilisateur dans l’étendue. La liste est également utilisée pour l’algorithme qui identifie les e-mails envoyés à soi-même (envoyés au compte de messagerie personnel de l’utilisateur dans l’étendue). L’insight d’e-mail répertorie le nombre d’e-mails envoyés à soi-même.
Vous pouvez utiliser ce groupe de domaines intégré comme n’importe quel autre groupe de domaines pour créer une variante d’un indicateur intégré pour vos stratégies. Ce groupe de domaines s’applique uniquement à l’indicateur Envoi d’e-mails avec des pièces jointes à des destinataires en dehors de l’organisation . Pour l’instant, vous ne pouvez pas modifier ou supprimer le groupe de domaines publics gratuits . En savoir plus sur la création d’une variante d’un indicateur intégré
Créer un groupe de détection de chemins d’accès aux fichiers
- Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
- Dans le panneau de droite, sous Type, sélectionnez Chemins d’accès aux fichiers.
- Dans le panneau de droite, sélectionnez Nouveau groupe de chemins d’accès aux fichiers.
- Dans le volet Nouveau groupe de chemin d’accès aux fichiers, ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultative).
- Sélectionnez Ajouter des chemins d’accès aux fichiers, sélectionnez les chemins d’accès aux fichiers que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de détection de chemin d’accès de fichier et chaque groupe peut avoir jusqu’à 200 éléments.
- Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.
Créer un groupe de détection de types de fichiers
- Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
- Dans le panneau de droite, sous Type, sélectionnez Types de fichiers.
- Dans le panneau de droite, sélectionnez Nouveau groupe de types de fichiers.
- Dans le volet Nouveau groupe de types de fichiers , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
- Dans le champ Ajouter un type de fichier , entrez une extension de fichier, puis appuyez sur Entrée. Continuez à ajouter d’autres extensions de fichier de la même façon. Les extensions que vous ajoutez sont répertoriées en bas du volet. Vous pouvez créer jusqu’à 10 groupes de détection de types de fichiers et chaque groupe peut avoir jusqu’à 200 éléments.
- Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.
Créer un groupe de détection de mots clés
- Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
- Dans le panneau de droite, sous Type, sélectionnez Mots clés.
- Dans le panneau de droite, sélectionnez Nouveau groupe de mots clés.
- Dans le volet Nouveau groupe de mots clés , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
- Dans le champ Ajouter des mots clés , entrez un mot clé, puis appuyez sur Entrée. Répétez ce processus pour chaque mot clé que vous souhaitez ajouter. Les mots clés que vous ajoutez sont répertoriés en bas du volet. Vous pouvez créer jusqu’à 10 groupes de détection de mots clés et chaque groupe peut avoir jusqu’à 200 éléments.
- Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.
Créer un groupe de détection des types d’informations sensibles
Remarque
La liste d’exclusion des types d’informations sensibles est prioritaire sur la liste de contenu prioritaire .
- Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
- Dans le panneau de droite, sous Type, sélectionnez Types d’informations sensibles.
- Dans le panneau de droite, sélectionnez Nouveau groupe de types d’informations sensibles.
- Dans le volet Nouveau groupe de type d’informations sensibles , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
- Sélectionnez Ajouter des types d’informations sensibles, sélectionnez les types d’informations sensibles que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de types d’informations sensibles et chaque groupe peut avoir jusqu’à 200 éléments.
- Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.
Créer un groupe de détection de sites SharePoint
- Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
- Dans le panneau de droite, sous Type, sélectionnez Sites SharePoint.
- Dans le panneau de droite, sélectionnez Nouveau groupe de sites SharePoint.
- Dans le volet Nouveau groupe de sites SharePoint , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
- Sélectionnez Ajouter des sites, sélectionnez les sites SharePoint que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de détection de sites SharePoint et chaque groupe peut avoir jusqu’à 200 éléments.
- Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.
Créer un groupe de détection de classifieur pouvant être formé
- Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
- Dans le panneau de droite, sous Type, sélectionnez Classifieurs pouvant être formés.
- Dans le panneau de droite, sélectionnez Nouveau groupe de classifieurs pouvant être entraînés.
- Dans le volet de groupe Nouveaux classifieurs pouvant être entraînés , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultative).
- Sélectionnez Ajouter des classifieurs pouvant être entraînés, sélectionnez les classifieurs pouvant être formés que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de détection de classifieur pouvant être entraînés et chaque groupe peut avoir jusqu’à 200 éléments.
- Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.