Activer l’analytique dans la gestion des risques internes
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
L’activation de Gestion des risques internes Microsoft Purview analytics offre deux avantages importants. Lorsque l’analytique est activée, vous pouvez :
- Effectuez une évaluation des risques internes potentiels dans votre organization sans configurer de stratégies de risque interne.
- Recevez des conseils en temps réel sur la configuration des paramètres de seuil d’indicateur.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Effectuer une évaluation des risques internes dans votre organization
Gestion des risques internes Microsoft Purview analytics vous permet d’évaluer les risques internes potentiels dans votre organization sans configurer de stratégies de risque interne. Cette évaluation peut aider vos organization à identifier les zones potentielles à risque utilisateur plus élevé et à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous souhaiterez peut-être configurer. Les analyses analytiques offrent les avantages suivants pour votre organization :
- Facile à configurer : pour commencer à utiliser les analyses analytiques, sélectionnez Exécuter l’analyse lorsque vous y êtes invité par la recommandation d’analyse ou accédez à Paramètres > de risque internesAnalytics et activer l’analytique.
- Confidentialité par conception : les résultats et les insights analysés sont retournés en tant qu’activité utilisateur agrégée et anonyme. Les noms d’utilisateur individuels ne sont pas identifiables par les réviseurs. Étant donné que la gestion des risques internes ne classe aucune identité dans le organization pour l’analytique, la solution prend en compte tous les UPN/identités susceptibles d’être impliqués dans les données quittant la limite organization. Cela peut impliquer des comptes d’utilisateur, des comptes système, des comptes invités, etc.
- Comprendre les risques potentiels à l’aide d’insights consolidés : les résultats de l’analyse peuvent vous aider à identifier rapidement les zones de risque potentielles pour vos utilisateurs et la stratégie la mieux adaptée à l’atténuation de ces risques.
Regardez la vidéo Insider Risk Management Analytics pour comprendre comment l’analytique peut aider à accélérer l’identification des risques internes potentiels.
Zones analysées
Analytics analyse l’activité de gestion des risques à partir de plusieurs sources pour aider à identifier des insights sur les zones de risque potentielles. Selon votre configuration actuelle, l’analytique recherche les activités à risque éligibles dans les domaines suivants :
- Journaux d’audit Microsoft 365 : inclus dans toutes les analyses, il s’agit de la source principale pour identifier la plupart des activités potentiellement risquées.
- Exchange Online : inclus dans toutes les analyses, l’activité Exchange Online permet d’identifier les activités où les données des pièces jointes sont envoyées par e-mail à des contacts ou services externes.
- Microsoft Entra ID : inclus dans toutes les analyses, l’historique Microsoft Entra permet d’identifier les activités à risque associées aux utilisateurs avec des comptes d’utilisateur supprimés.
- Connecteur de données RH Microsoft 365 : s’il est configuré, les événements du connecteur RH permettent d’identifier les activités à risque associées aux utilisateurs qui ont des dates de démission ou d’arrêt à venir.
Les insights d’analyse des analyses sont basés sur les mêmes signaux d’activité de gestion des risques que les stratégies de gestion des risques internes et les résultats des rapports basés sur des activités utilisateur uniques et séquentielle. Toutefois, le scoring des risques pour l’analytique est basé sur jusqu’à 10 jours d’activité, tandis que les stratégies de risque interne utilisent l’activité quotidienne pour les insights. Lorsque vous activez et exécutez l’analytique pour la première fois dans votre organization, les résultats de l’analyse s’affichent pendant une journée. Si vous laissez l’analytique activée, vous verrez les résultats de chaque analyse quotidienne ajoutées aux rapports d’insights pour une plage maximale des 10 jours d’activité précédents.
Recevoir des conseils en temps réel sur la configuration des paramètres de seuil d’indicateur
Le réglage manuel des stratégies pour réduire le « bruit » peut prendre beaucoup de temps et vous oblige à effectuer beaucoup d’essais et d’erreurs pour déterminer la configuration souhaitée pour vos stratégies. Si l’analytique est activée, vous pouvez obtenir des insights en temps réel pour vous aider à ajuster efficacement la sélection des indicateurs et des seuils d’occurrence d’activité afin de ne pas recevoir trop ou trop d’alertes de stratégie. En savoir plus sur l’utilisation de l’analytique en temps réel pour gérer le volume des alertes.
Activez l’analytique et démarrez une analyse des risques internes potentiels dans votre organization
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
Pour activer l’analyse des risques internes, vous devez être membre du groupe de rôles Gestion des risques internes, Administrateurs de gestion des risques internes ou Administrateur général Microsoft 365 .
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
- Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
- Accédez à la solution de gestion des risques internes .
- Sous l’onglet Vue d’ensemble, faites défiler jusqu’à la carte Analyse des risques internes, puis sous Rechercher les risques internes dans votre organization, sélectionnez Exécuter l’analyse. Cela active l’analyse analytique de votre organization. Les résultats de l’analyse analytique peuvent prendre jusqu’à 48 heures avant que les insights ne soient disponibles sous forme de rapports à examiner.
Conseil
Vous pouvez également activer l’analyse dans votre organization via Paramètres en haut de toute page de gestion des risques internes. Sélectionnez Analytique, puis activez le paramètre.
Afficher les insights d’analyse après la première analyse analytique
Une fois la première analyse analytique terminée pour votre organization, les membres du groupe de rôles Administrateurs de gestion des risques internes reçoivent automatiquement une notification par e-mail et peuvent afficher les insights et recommandations initiaux pour les activités potentiellement risquées de vos utilisateurs. Les analyses quotidiennes continuent, sauf si vous désactivez l’analytique pour votre organization. Email notifications aux administrateurs sont fournies pour chacune des trois catégories d’analyse dans l’étendue (fuites de données, vol et exfiltration) après la première instance d’activité potentiellement risquée dans votre organization. Email notifications ne sont pas envoyées aux administrateurs pour le suivi de la détection des activités de gestion des risques résultant des analyses quotidiennes.
Remarque
Si le paramètre Analytics est désactivé, puis réactivé, les Notifications par e-mail automatiques sont réinitialisées et Notifications par e-mail sont envoyées aux membres du groupe de rôles Administrateurs de gestion des risques internes pour obtenir de nouveaux insights d’analyse.
Pour afficher les risques potentiels pour votre organization, accédez à l’onglet Vue d’ensemble, puis dans le carte d’analyse des risques internes, sélectionnez Afficher les résultats.
Remarque
Si l’analyse de votre organization n’est pas terminée, vous verrez un message indiquant que l’analyse est toujours active.
Pour les analyses terminées, vous verrez les risques potentiels découverts dans votre organization, ainsi que des insights et des recommandations pour y remédier. Les risques identifiés et les insights spécifiques sont inclus dans les rapports regroupés par zone, le nombre total d’utilisateurs (tous les types de comptes Microsoft Entra, y compris l’utilisateur, l’invité, le système, etc.) avec des risques identifiés, le pourcentage de ces utilisateurs ayant des activités potentiellement risquées et une stratégie de risque interne recommandée pour aider à atténuer ces risques. Les rapports sont les suivants :
- Insights sur les fuites de données : pour tous les utilisateurs qui peuvent inclure un surpartage accidentel d’informations en dehors de votre organization ou des fuites de données par des utilisateurs ayant une intention malveillante.
- Informations sur le vol de données : pour les utilisateurs sortants ou avec des comptes Microsoft Entra supprimés qui peuvent inclure le partage à risque d’informations en dehors de votre organization ou le vol de données par des utilisateurs ayant une intention malveillante.
- Principaux insights d’exfiltration : pour tous les utilisateurs qui peuvent inclure le partage de données en dehors de votre organization.
Pour afficher plus d’informations sur un insight, sélectionnez Afficher les détails afin d’afficher le volet d’informations de l’insight. Le volet d’informations inclut les résultats complets des insights, une recommandation de stratégie de risque interne et créer une stratégie pour vous aider à créer rapidement la stratégie recommandée. Si vous sélectionnez Créer une stratégie , vous accédez à l’Assistant Stratégie et sélectionne automatiquement le modèle de stratégie recommandé lié à l’insight. Par exemple, si l’insight analytique concerne l’activité Vol de données , le modèle de stratégie Vol de données est pré-sélectionné dans l’Assistant Stratégie pour vous.
Désactiver l’analytique
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
Pour désactiver l’analyse des risques internes, vous devez être membre du groupe de rôles Gestion des risques internes, Administrateurs de gestion des risques internes ou Administrateur général Microsoft 365.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
- Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
- Sélectionnez Paramètres dans le coin supérieur droit de la page.
- Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
- Sous Paramètres de risque interne, sélectionnez Analytique, puis désactivez le paramètre.
Après avoir désactivé l’analytique :
- Les rapports d’insights analytiques resteront statiques et ne seront pas mis à jour pour les nouveaux risques.
- Vous ne pourrez pas voir l’analytique en temps réel lorsque vous personnalisez les paramètres de seuil d’indicateur pour vos stratégies.