Partager via


En savoir plus sur les modèles de stratégie de gestion des risques internes

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Modèles de stratégie

Les modèles de gestion des risques internes sont des conditions de stratégie prédéfinies qui définissent les types d’indicateurs de risque et le modèle d’attribution de scores de risque utilisés par la stratégie. Chaque stratégie doit avoir un modèle affecté dans l’Assistant de création de stratégie avant la création de celle-ci. La gestion des risques internes prend en charge jusqu’à vingt stratégies pour chaque modèle de stratégie. Lorsque vous créez une stratégie de risque interne avec l’Assistant Stratégie, choisissez l’un des modèles de stratégie suivants :

Conseil

Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.

Vol de données par des employés quittant votre organisation

Lorsque les utilisateurs quittent votre organization, des indicateurs de risque spécifiques sont généralement associés au vol de données potentiel par les utilisateurs sortants. Cet modèle de stratégie utilise des indicateurs d’exfiltration pour l’attribution du scores de risque et se concentre sur la détection et les alertes dans cette zone à risque. Le vol de données pour les utilisateurs sortants peut inclure le téléchargement de fichiers à partir de SharePoint Online, l’impression de fichiers et la copie de données vers des services de stockage et de messagerie cloud personnels près de leur date de fin d’emploi. Lorsque vous utilisez le connecteur Microsoft HR ou l’option pour case activée automatiquement la suppression de compte d’utilisateur dans Microsoft Entra pour votre organization, ce modèle commence à évaluer les indicateurs de risque liés à ces activités et à la façon dont ils sont corrélés avec les status d’emploi des utilisateurs. Cela peut inclure des indicateurs cloud pour des services tels que Box, Dropbox, Google Drive, Amazon S3 et Azure.

Importante

Lors de l’utilisation de ce modèle, vous pouvez configurer un connecteur Microsoft 365 RH pour importer périodiquement les informations sur la date de démission et la date de licenciement des utilisateurs dans votre organisation. Consultez l’article Importer des données avec le connecteur RH pour obtenir des instructions détaillées sur la configuration du connecteur Microsoft 365 HR. Si vous choisissez de ne pas utiliser le connecteur RH, vous devez sélectionner l’option Compte d’utilisateur supprimé de Microsoft Entra lors de la configuration des événements déclencheurs dans l’Assistant Stratégie.

Fuites de données

La protection des données et la prévention des fuites de données constituent un défi constant pour la plupart des organisations, en particulier avec la croissance rapide des nouvelles données créées par les utilisateurs, les appareils et les services. Les utilisateurs peuvent créer, stocker et partager des informations sur tous les services et appareils qui rendent la gestion des fuites de données de plus en plus complexe et difficile. Les fuites de données peuvent inclure le partage à outrance et accidentel d’informations en dehors de votre organisation ou le vol de données à des fins malveillantes. Ce modèle évalue les détections en temps réel des téléchargements de données SharePoint Online suspects, le partage de fichiers et de dossiers, l’impression de fichiers et la copie de données vers des services de stockage et de messagerie cloud personnels.

Lors de l’utilisation d’un modèle de Fuites de données, vous pouvez attribuer une stratégie DLP pour déclencher des indicateurs dans la stratégie de risque interne pour les alertes à gravité élevée au sein de votre organisation. Chaque fois qu’une alerte à gravité élevée générée par une règle de stratégie DLP est ajoutée au journal d’audit d’Office 365, les stratégies de risque interne créées à l’aide de ce modèle examinent automatiquement l’alerte DLP à gravité élevée. Si l’alerte contient un utilisateur dans l’étendue définie dans la stratégie de risque interne, l’alerte est traitée par la stratégie de risque interne en tant que nouvelle alerte et un score de risque et une gravité de risque interne lui sont attribués. Vous pouvez également choisir d’affecter des indicateurs sélectionnés comme déclencheur d’événements pour une stratégie. Cette flexibilité et cette personnalisation permettent d’étendre la stratégie aux seules activités couvertes par les indicateurs. Cette stratégie vous permet d’évaluer cette alerte dans le contexte avec d’autres activités incluses dans le cas.

Ce modèle peut également inclure des indicateurs cloud pour des services tels que Box, Dropbox, Google Drive, Amazon S3 et Azure.

Conseils sur la stratégie de fuite de données

Lorsque vous créez ou modifiez des stratégies de protection contre la perte de données à utiliser avec des stratégies de gestion des risques internes, tenez compte des instructions suivantes :

  • Hiérarchisez les événements d’exfiltration de données et montrez-vous sélectif quand vous attribuez les paramètres des Rapports d’incident sur Élevé lors de la configuration de règles dans vos stratégies DLP. Par exemple, l’envoi de documents sensibles à un concurrent connu doit être un événement d’exfiltration de niveau d’alerte Élevé. L’attribution à outrance du niveau Élevé dans les paramètres de Rapports d’incident d’autres règles de stratégie DLP peut augmenter l’attention dans le flux de travail de l’alerte de gestion des risques internes et compliquer la tâche de vos enquêteurs et analystes en données pour évaluer correctement ces alertes. Par exemple, l’attribution de niveaux d’alerte Élevé pour accéder aux activités de refus dans les stratégies DLP peut rendre plus difficile l’évaluation des activités et du comportement utilisateur réellement risqués.

  • Lorsque vous utilisez une stratégie DLP comme événement déclencheur, veillez à comprendre et à configurer correctement les utilisateurs dans l’étendue dans les stratégies de gestion des risques internes et DLP. Seuls les utilisateurs définis comme étant dans l’étendue pour les stratégies de gestion des risques internes utilisant le modèle Fuites de données auront des alertes de stratégies DLP à gravité élevée traitées. En outre, seuls les utilisateurs définis comme dans l’étendue dans une règle pour une alerte DLP de gravité élevée seront analysés par la stratégie de gestion des risques internes pour être pris en compte. Il est important de ne pas configurer sans le savoir les utilisateurs dans l’étendue de vos stratégies de risque interne et DLP de manière conflictuelle.

    Par exemple, si vos règles de stratégie DLP sont limitées aux utilisateurs de l’équipe commerciale et que la stratégie de risque interne créée à partir du modèle Fuites de données a défini tous les utilisateurs comme étant inclus dans l’étendue, la stratégie de risque interne traite uniquement les alertes DLP de gravité élevée pour les utilisateurs de l’équipe commerciale. La stratégie de risque interne ne recevra aucune alerte DLP à gravité élevée pour les utilisateurs à traiter qui ne sont pas définis dans les règles DLP pour cet exemple. Inversement, si votre stratégie de gestion des risques internes créée à partir des modèles Fuites de données est définie sur les utilisateurs de l’équipe Ventes uniquement et que la stratégie DLP attribuée est définie sur tous les utilisateurs, la stratégie de risque interne ne traitera que les alertes DLP à gravité élevée pour les membres de l’équipe Ventes. La stratégie de gestion des risques internes ignorera les alertes DLP à gravité élevée pour tous les utilisateurs qui ne sont pas dans l’équipe Ventes.

  • Vérifiez que le paramètre de règle des Rapports d’incident dans la stratégie DLP utilisée pour ce modèle de gestion des risques internes est paramétré pour les alertes à niveau de gravité Élevé. Le niveau de gravité Élevé est l’événement déclencheur et les alertes de gestion des risques internes ne sont pas générées à partir des règles dans les stratégies DLP ayant le champ Rapports d’incident défini sur Faible ou Moyen.

    Paramètre d’alerte de stratégie DLP.

    Remarque

    Lorsque vous créez une stratégie DLP à l’aide de modèles intégrés, vous devez sélectionner l’option Créer ou personnaliser des règles DLP avancées pour configurer le paramètre Rapports d’incident pour le niveau de gravité Élevé.

Chaque stratégie de gestion des risques internes créée à partir du modèle Fuites de données ne peut avoir qu’une seule stratégie DLP affectée lors de l’utilisation de cette option d’événement de déclenchement. Envisagez de créer une stratégie DLP dédiée qui combine les différentes activités que vous souhaitez détecter et agit comme déclencheur d’événements pour les stratégies de risque interne qui utilisent le modèle Fuites de données .

Consultez l’article Créer et déployer des stratégies de protection contre la perte de données pour obtenir des instructions détaillées sur la configuration des stratégies DLP pour votre organization.

Fuites de données par des utilisateurs prioritaires

La protection des données et la prévention des fuites de données pour les utilisateurs de votre organization peuvent dépendre de leur position, de leur niveau d’accès aux informations sensibles ou de leur historique des risques. Les fuites de données peuvent inclure le partage accidentel et à outrance d’informations hautement sensibles en dehors de votre organisation ou le vol de données à des fins malveillantes. Avec une stratégie de protection contre la perte de données (DLP) affectée comme option de déclenchement d’événement, ce modèle commence à évaluer les détections en temps réel des activités suspectes et entraîne une augmentation de la probabilité d’alertes à risque interne et d’alertes avec des niveaux de gravité plus élevés. Les utilisateurs prioritaires sont définis dans les groupes d’utilisateurs prioritaires configurés dans la zone des paramètres de la gestion des risques internes.

Comme avec le modèle Fuites de données, vous pouvez choisir une stratégie DLP pour déclencher des indicateurs dans la stratégie de risque interne pour les alertes de gravité élevée dans votre organization. Suivez les instructions de stratégie de fuites de données pour les stratégies DLP lors de la création d’une stratégie avec l’option DLP lors de l’utilisation de ce modèle. Vous pouvez également choisir d’affecter des indicateurs sélectionnés comme déclencheur d’événements pour une stratégie. Cette flexibilité et cette personnalisation permettent d’étendre la stratégie uniquement aux activités couvertes par les indicateurs. En outre, vous devez affecter des groupes d’utilisateurs prioritaires créés dansParamètres>de gestion des> risques internesGroupes d’utilisateurs prioritaires à la stratégie.

Fuites de données par des utilisateurs à risque (préversion)

Lorsque les utilisateurs rencontrent des facteurs de stress de l’emploi, ils peuvent devenir des utilisateurs à risque, ce qui peut augmenter les risques d’activité à risque interne. Ce modèle démarre le scoring de l’activité utilisateur lorsqu’un indicateur associé à un utilisateur à risque est identifié. Par exemple, les notifications d’amélioration des performances, les révisions de performances médiocres, les modifications apportées au niveau du travail status, les e-mails et autres messages susceptibles de signaler les activités à risque. Les fuites de données pour les utilisateurs à risque peuvent inclure le téléchargement de fichiers à partir de SharePoint Online et la copie de données vers des services de messagerie cloud et de stockage personnels.

Lorsque vous utilisez ce modèle, vous devez configurer un connecteur RH, sélectionner l’option pour intégrer les signaux de risque de conformité des communications provenant des messages utilisateur, ou effectuer les deux. Le connecteur RH permet l’importation périodique de notifications d’amélioration des performances, d’états d’évaluation des performances médiocres ou d’informations de modification de niveau de travail pour les utilisateurs de votre organization. L’intégration des risques de conformité des communications importe des signaux pour les messages utilisateur qui peuvent contenir du contenu potentiellement menaçant, harcelant ou discriminatoire. Les alertes associées générées dans La conformité des communications n’ont pas besoin d’être triées, corrigées ou modifiées dans status pour être intégrées à la stratégie de gestion des risques internes.

Pour configurer un connecteur RH, consultez l’article Importer des données avec le connecteur RH . Pour configurer l’intégration à la conformité des communications, sélectionnez cette option dans l’Assistant lorsque vous configurez la stratégie.

Violations de stratégie de sécurité (préversion)

Dans de nombreuses organisations, les utilisateurs sont autorisés à installer des logiciels sur leur appareil ou à modifier les paramètres d’appareil pour faciliter leurs tâches. Par inadvertance ou avec une intention malveillante, les utilisateurs peuvent installer des programmes malveillants ou désactiver des fonctionnalités de sécurité importantes qui aident à protéger les informations sur leur appareil ou sur vos ressources réseau. Ce modèle de stratégie utilise les alertes de sécurité de Microsoft Defender pour point de terminaison pour commencer l’attribution de scores sur ces activités et concentrer la détection et les alertes sur cette zone à risque. Utilisez ce modèle pour fournir des insights sur les violations de stratégie de sécurité dans les scénarios où les utilisateurs peuvent avoir un historique des violations de stratégie de sécurité pouvant être un indicateur de risque interne.

Vous devez configurer Microsoft Defender pour point de terminaison dans votre organization et activer Defender pour point de terminaison pour l’intégration de la gestion des risques internes dans Defender Security Center pour importer des alertes de violation de sécurité. Pour plus d’informations sur la configuration de Microsoft Defender pour point de terminaison pour l’intégration de la gestion des risques internes, consultez Configurer des fonctionnalités avancées dans Defender pour le point de terminaison.

Mauvaise utilisation des données des patients (préversion)

La protection des données des dossiers médicaux et la prévention de l’utilisation abusive des données personnelles des patients constituent une préoccupation importante pour les organisations du secteur de la santé. Cette mauvaise utilisation peut inclure des fuites de données confidentielles à des personnes non autorisées, la modification frauduleuse des dossiers de patients ou le vol des dossiers de soins de santé des patients. La prévention de cette utilisation abusive des données des patients permet de répondre aux exigences réglementaires de la loi HIPAA (Health Insurance Portability and Accountability Act) et de la loi HITECH (Health Information Technology for Economic and Clinical Health). Ces deux lois établissent les exigences relatives à la protection de l’information médicale protégée par les patients (PHI).

Ce modèle de stratégie permet le scoring des risques pour les utilisateurs internes qui détectent les activités suspectes associées aux enregistrements hébergés sur des systèmes de dossiers médicaux électroniques (EMR) existants. La détection se concentre sur l’accès non autorisé, l’affichage, la modification et l’exportation des données des patients. Vous devez configurer un connecteur le connecteur Microsoft Healthcare ou le connecteur Epic pour prendre en charge la détection des activités d’accès, d’exfiltration ou d’obfuscation dans votre système EMR.

Lorsque vous utilisez ce modèle, vous devez également configurer un connecteur Rh Microsoft pour importer régulièrement organization données de profil pour les utilisateurs de votre organization. Consultez l’article Configurer un connecteur pour importer des données RH pour obtenir des instructions détaillées sur la configuration du connecteur Microsoft 365 HR.

Utilisation risquée du navigateur (préversion)

L’identification de la visite des utilisateurs sur des sites Web potentiellement inappropriés ou inacceptables sur des appareils et réseaux organization est un élément important de la réduction des risques de sécurité, juridiques et réglementaires. Les utilisateurs qui visitent par inadvertance ou délibérément ces types de sites web peuvent exposer le organization à des actions en justice d’autres utilisateurs, enfreindre les exigences réglementaires, augmenter les risques de sécurité réseau ou compromettre les opérations et opportunités commerciales actuelles et futures. Cette mauvaise utilisation est souvent définie dans la stratégie d’utilisation acceptable d’un organization pour les appareils utilisateur et organization ressources réseau, mais il est souvent difficile d’identifier et d’agir rapidement.

Pour vous protéger contre ces risques, cette stratégie peut vous aider à détecter et à activer le scoring des risques pour la navigation web qui peut être en violation de la stratégie d’utilisation acceptable de votre organization, par exemple visiter des sites qui posent une menace (sites de hameçonnage, par exemple) ou qui contiennent du contenu pour adultes. Plusieurs types de catégories sont disponibles pour la catégorisation automatique des activités de navigation web par les utilisateurs dans l’étendue.

Ce modèle de stratégie a plusieurs prérequis. Pour plus d’informations, consultez En savoir plus sur et configurer la détection des signaux du navigateur de gestion des risques internes.

Violations de stratégie de sécurité par des utilisateurs sortants (préversion)

Les utilisateurs sortants, qu’ils partent en termes positifs ou négatifs, peuvent constituer des risques plus élevés pour les violations de la stratégie de sécurité. Pour vous protéger contre des violations de sécurité malveillantes ou accidentelles de la part d’utilisateurs sortants, ce modèle de stratégie utilise les alertes de Microsoft Defender pour point de terminaison pour fournir des informations sur des activités liées à la sécurité. Ces activités incluent l’installation d’un programme malveillant ou d’autres applications potentiellement dangereuses par un utilisateur et la désactivation de fonctionnalités de sécurité sur son appareil. Lorsque vous utilisez le connecteur Microsoft HR ou l’option pour case activée automatiquement la suppression de compte d’utilisateur dans Microsoft Entra pour votre organization, ce modèle commence à évaluer les indicateurs de risque liés à ces activités de sécurité et à la façon dont ils sont corrélés avec les status d’emploi des utilisateurs.

Vous devez configurer Microsoft Defender pour point de terminaison dans votre organization et activer Defender pour point de terminaison pour l’intégration de la gestion des risques internes dans Defender Security Center pour importer des alertes de violation de sécurité. Pour plus d’informations sur la configuration de Microsoft Defender pour point de terminaison pour l’intégration de la gestion des risques internes, consultez Configurer des fonctionnalités avancées dans Defender pour le point de terminaison.

Violations de la stratégie de sécurité par des utilisateurs prioritaires (préversion)

La protection contre les violations de sécurité pour les utilisateurs de votre organization peut dépendre de leur position, de leur niveau d’accès aux informations sensibles ou de leur historique des risques. Étant donné que les violations de sécurité par les utilisateurs prioritaires peuvent avoir un impact significatif sur les domaines critiques de votre organization, ce modèle de stratégie commence à évaluer ces indicateurs et utilise des alertes Microsoft Defender pour point de terminaison pour fournir des insights sur les activités liées à la sécurité pour ces utilisateurs. Ces activités peuvent inclure les utilisateurs prioritaires qui installent des programmes malveillants ou d’autres applications potentiellement dangereuses et désactivent les fonctionnalités de sécurité sur leurs appareils. Les utilisateurs prioritaires sont définis dans les groupes d’utilisateurs prioritaires configurés dans la zone des paramètres de la gestion des risques internes.

Vous devez configurer Microsoft Defender pour point de terminaison dans votre organization et activer Defender pour point de terminaison pour l’intégration de la gestion des risques internes dans Defender Security Center pour importer des alertes de violation de sécurité. Pour plus d’informations sur la configuration de Microsoft Defender pour point de terminaison pour l’intégration de la gestion des risques internes, consultez Configurer des fonctionnalités avancées dans Defender pour le point de terminaison. En outre, vous devez affecter des groupes d’utilisateurs prioritaires créés dansParamètres>de gestion des> risques internesGroupes d’utilisateurs prioritaires à la stratégie.

Violations de stratégie de sécurité par les utilisateurs à risque (préversion)

Les utilisateurs qui subissent des facteurs de stress de l’emploi peuvent être plus à risque de violations de stratégie de sécurité par inadvertance ou malveillante. Ces facteurs de stress peuvent inclure un utilisateur placé sur un plan d’amélioration des performances, avoir une mauvaise évaluation des performances ou subir une rétrogradation. Ce modèle de stratégie démarre le scoring des risques en fonction de ces indicateurs et activités associés à ces types d’événements.

Lorsque vous utilisez ce modèle, vous devez configurer un connecteur RH ou sélectionner l’option pour intégrer les signaux de risque de conformité des communications provenant des messages utilisateur, ou les deux. Le connecteur RH permet l’importation périodique de notifications d’amélioration des performances, d’états d’évaluation des performances médiocres ou d’informations de modification de niveau de travail pour les utilisateurs de votre organization. L’intégration des risques de conformité des communications importe des signaux pour les messages utilisateur qui peuvent contenir du contenu potentiellement menaçant, harcelant ou discriminatoire. Les alertes associées générées dans la conformité des communications n’ont pas besoin d’être triées, corrigées ou modifiées dans status pour être intégrées à la stratégie de gestion des risques internes. Pour configurer un connecteur RH, consultez l’article Importer des données avec le connecteur RH . Pour configurer l’intégration à la conformité des communications, sélectionnez cette option dans l’Assistant lorsque vous configurez la stratégie.

Vous devez également configurer Microsoft Defender pour point de terminaison dans votre organization et activer Defender pour point de terminaison pour l’intégration de la gestion des risques internes dans Defender Security Center pour importer les alertes de violation de sécurité. Pour plus d’informations sur la configuration de Microsoft Defender pour point de terminaison pour l’intégration de la gestion des risques internes, consultez Configurer des fonctionnalités avancées dans Defender pour le point de terminaison.

Conditions requises du modèle de stratégie et événements déclencheurs

En fonction du modèle choisi pour une stratégie de gestion des risques internes, les événements déclencheurs et les conditions requises de la stratégie varient. Les événements déclencheurs sont des conditions requises qui déterminent si un utilisateur est actif pour une stratégie de gestion des risques internes. Si un utilisateur est ajouté à une stratégie de gestion des risques internes mais n’a pas d’événement déclencheur, l’activité de l’utilisateur n’est pas évaluée par la stratégie, sauf s’il est ajouté manuellement dans le tableau de bord Utilisateurs. Les conditions requises de stratégie sont des éléments obligatoires pour que la stratégie reçoive les signaux ou les activités nécessaires pour évaluer les risques.

Le tableau suivant répertorie les événements déclencheurs et les conditions requises pour les stratégies créées à partir de chaque modèle de stratégie de gestion des risques internes :

Modèle de stratégie Événements déclencheurs pour les stratégies Conditions préalables
Vol de données par des employés quittant votre organisation Indicateur de date de démission ou d’arrêt du connecteur RH ou de la suppression de compte Microsoft Entra (facultatif) Connecteur Microsoft 365 RH configuré pour les indicateurs de date de démission ou de licenciement
Fuites de données L’activité de stratégie de fuite de données qui crée une alerte de Gravité élevée ou des événements déclencheurs d’exfiltration intégrés Stratégie DLP configurée pour les alertes de gravité élevée

OR

Indicateurs de déclenchement personnalisés
Fuites de données par des utilisateurs prioritaires L’activité de stratégie de fuite de données qui crée une alerte de Gravité élevée ou des événements déclencheurs d’exfiltration intégrés Stratégie DLP configurée pour les alertes de gravité élevée

OR

Indicateurs de déclenchement personnalisés

Groupes d’utilisateurs prioritaires configurés dans les paramètres de risque interne
Fuites de données par des utilisateurs à risque - Indicateurs d’amélioration des performances, de performances médiocres ou de changement de niveau de travail à partir du connecteur RH.
- Messages contenant des propos potentiellement menaçants, harcelants ou discriminatoires
Connecteur Microsoft 365 RH configuré pour les indicateurs de mécontentement

AND/OR

Intégration de la conformité des communications et stratégie de désintégration dédiée
Violations de stratégie de sécurité Évasion de défense des contrôles de sécurité ou logiciels indésirables détectés par Microsoft Defender pour point de terminaison Abonnement actif Microsoft Defender pour point de terminaison

Configuration de l’intégration de Microsoft Defender pour point de terminaison avec portail de conformité Microsoft Purview
Mauvaise utilisation des données des patients Évasion de défense des contrôles de sécurité à partir de systèmes EMR

Indicateurs de correspondance des adresses des utilisateurs et des patients des systèmes RH
Indicateurs d’accès aux soins de santé sélectionnés dans les paramètres de stratégie ou de risque interne

Connecteur Microsoft 365 HR configuré pour la correspondance d’adresse

Connecteur Microsoft Healthcare ou Epic configuré
Utilisation risquée du navigateur Activité de navigation utilisateur liée à la sécurité qui correspond à au moins un indicateur de navigation sélectionné Consultez la liste complète des prérequis dans l’article détection des signaux du navigateur
Violations de stratégie de sécurité par des utilisateurs quittant l’entreprise Indicateurs de date de démission ou d’arrêt du connecteur RH ou de la suppression de compte Microsoft Entra (facultatif) Connecteur Microsoft 365 RH configuré pour les indicateurs de date de démission ou de licenciement

Abonnement actif Microsoft Defender pour point de terminaison

Configuration de l’intégration de Microsoft Defender pour point de terminaison avec portail de conformité Microsoft Purview
Violations de la stratégie de sécurité par des utilisateurs prioritaires Évasion de défense des contrôles de sécurité ou logiciels indésirables détectés par Microsoft Defender pour point de terminaison Abonnement actif Microsoft Defender pour point de terminaison

Configuration de l’intégration de Microsoft Defender pour point de terminaison avec portail de conformité Microsoft Purview

Groupes d’utilisateurs prioritaires configurés dans les paramètres de risque interne
Violations de stratégie de sécurité par les utilisateurs à risque - Indicateurs d’amélioration des performances, de performances médiocres ou de changement de niveau de travail à partir du connecteur RH.
- Messages contenant des propos potentiellement menaçants, harcelants ou discriminatoires
Connecteur Microsoft 365 HR configuré pour les indicateurs de risque

AND/OR

Intégration de la conformité des communications et stratégie d’utilisateur à risque dédiée

AND

Abonnement actif Microsoft Defender pour point de terminaison

Configuration de l’intégration de Microsoft Defender pour point de terminaison avec portail de conformité Microsoft Purview

Limites du modèle de stratégie

Les modèles de stratégie de gestion des risques internes utilisent des limites pour gérer le volume et le taux de traitement des activités à risque utilisateur dans l’étendue et pour l’intégration avec les services Microsoft 365 de prise en charge. Chaque modèle de stratégie a un nombre maximal d’utilisateurs qui peuvent se voir attribuer activement des scores de risque pour la stratégie qu’il peut prendre en charge, traiter et signaler efficacement les activités potentiellement risquées. Les utilisateurs dans l’étendue sont des utilisateurs avec événements déclencheurs for la stratégie.

La limite de chaque stratégie est calculée en fonction du nombre total d’utilisateurs uniques recevant des scores de risque par type de modèle de stratégie. Si le nombre d’utilisateurs pour un type de modèle de stratégie est proche ou dépasse la limite utilisateur, les performances de la stratégie seront réduites. Pour afficher le nombre actuel d’utilisateurs pour une stratégie, naviguez vers l’onglet Stratégie et la colonne Utilisateurs dans l’étendue. Vous pouvez avoir jusqu’à cinq stratégies pour n’importe quel modèle de stratégie. Ces limites maximales s’appliquent aux utilisateurs sur toutes les stratégies utilisant un modèle de stratégie donné.

Vous pouvez avoir jusqu’à 20 stratégies pour n’importe quel modèle de stratégie.

Utilisez le tableau suivant pour déterminer le nombre maximal d’utilisateurs dans l’étendue pris en charge pour chaque modèle de stratégie. Ces limites maximales s’appliquent aux utilisateurs sur toutes les stratégies utilisant un modèle de stratégie donné.

Modèle de stratégie Nombre maximal d’utilisateurs dans l’étendue
Fuite de données générales 15 000
Fuite de données par des utilisateurs à risque 7 500
Fuite de données par des utilisateurs prioritaires 1 000
Vol de données par des employés quittant votre organisation 20 000
Violations de stratégie de sécurité 1 000
Mauvaise utilisation des données des patients 5,000
Utilisation risquée du navigateur 7,000
Violation de la stratégie de sécurité par des utilisateurs prioritaires 1 000
Violations de stratégie de sécurité par des utilisateurs quittant l’entreprise 15 000
Violations de stratégie de sécurité par les utilisateurs à risque 7 500
Preuve d’investigation Illimité

Remarque

Le nombre d’utilisateurs dans l’étendue d’une stratégie s’affiche dans la colonne Utilisateurs dans l’étendue sous l’onglet Stratégies .