Configurer des exclusions globales pour les stratégies de gestion des risques internes
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Utilisez le paramètre Exclusions globales (préversion) dans Gestion des risques internes Microsoft Purview pour exclure les éléments des stratégies de gestion des risques internes. Par exemple, pour réduire le « bruit » dans vos stratégies, vous pouvez exclure certains types de fichiers ou domaines de la notation à risque si ces types de fichiers ou domaines ne présentent pas de risque pour votre organization.
Lorsque vous configurez des exclusions globales, vous pouvez également tirer parti des groupes de détection pour adapter les détections à différents ensembles d’utilisateurs. Les groupes de détection peuvent vous aider à réduire les faux positifs pour vos stratégies.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Configurer une exclusion de domaine
Vous pouvez exclure des domaines spécifiques liés aux activités des utilisateurs d’être notés par vos stratégies de gestion des risques internes. Ces activités sont les suivantes :
- Email envoyées à des domaines externes.
- Fichiers, dossiers et sites partagés avec des domaines externes.
- Fichiers chargés vers des domaines externes (à l’aide du navigateur Microsoft Edge).
Les domaines autorisés sont ignorés par vos stratégies et ne génèrent pas d’alertes.
Configurer une exclusion de domaine
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le panneau Type à droite, sélectionnez Domaines.
Dans le panneau Domaines à droite, sélectionnez l’un des onglets suivants :
Domaines individuels. Pour ajouter des domaines un par un :
Sélectionnez Ajouter des domaines, puis entrez un domaine exact dans le champ Domaine ou utilisez un astérisque générique (*) pour détecter un sous-domaine (par exemple, *.contoso.com). Le fait de précéder le nom de domaine avec un caractère générique détecte au maximum un sous-domaine (par exemple, support.contoso.com).
Pour inclure tous les sous-domaines dans le domaine, cochez la case Inclure les sous-domaines multiniveaux .
Remarque
Vous pouvez utiliser des caractères génériques pour aider à faire correspondre des variantes de domaines racines ou de sous-domaines. Par exemple, pour spécifier sales.wingtiptoys.com et support.wingtiptoys.com, utilisez l’entrée générique « *.wingtiptoys.com » pour faire correspondre ces sous-domaines (et tout autre sous-domaine au même niveau). Pour spécifier des sous-domaines multiniveaux pour un domaine racine, vous devez cocher la case Inclure des sous-domaines à plusieurs niveaux.
Appuyez sur Entrée.
Répétez ce processus pour chaque domaine que vous souhaitez ajouter.
Chaque domaine que vous entrez est ajouté à la colonne Domaine et Oui ou Non est ajouté à la liste Sous-domaines à plusieurs niveaux inclus .
Conseil
Si vous ne souhaitez pas ajouter de domaines un par un, vous pouvez importer une liste de domaines à partir d’un fichier CSV en sélectionnant Importer des domaines à partir d’un fichier CSV dans la page précédente.
Sélectionnez Ajouter des domaines.
Groupes de domaines. Pour sélectionner un groupe de détection de domaine que vous avez déjà créé :
Sélectionnez Ajouter un groupe de domaines.
Sélectionnez le ou les groupes de domaines appropriés dans la liste. Le nombre de domaines inclus dans chaque groupe de domaines est répertorié dans la colonne Domaines inclus .
Sélectionnez Enregistrer.
Configurer une exclusion de pièces jointes de signature d’e-mail
L’une des main sources de « bruit » dans les stratégies de gestion des risques internes est les images dans les signatures d’e-mail, qui sont souvent détectées en tant que pièces jointes dans les e-mails. Si l’indicateur Envoi d’e-mails avec pièces jointes à des destinataires en dehors de la organization est sélectionné, la pièce jointe est notée comme toute autre pièce jointe envoyée en dehors du organization, même si la seule chose dans la pièce jointe est la signature de courrier électronique. Vous pouvez utiliser le paramètre Ignorer les pièces jointes de signature électronique (préversion) pour exclure ces pièces jointes du scoring.
L’activation de ce paramètre élimine considérablement le bruit des pièces jointes de signature électronique, mais n’élimine pas complètement tout le bruit. Cela est dû au fait que seule la pièce jointe de signature électronique de l’expéditeur de l’e-mail (la personne qui lance l’e-mail ou répond à l’e-mail) est exclue du scoring. Une pièce jointe de signature pour toute personne sur la ligne À, CC ou CCI sera toujours notée. En outre, si quelqu’un modifie sa signature de courrier électronique, la nouvelle signature doit être profilée, ce qui peut provoquer un bruit d’alerte pendant une courte période de temps.
Configurer une exclusion de pièces jointes de signature d’e-mail
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le volet Type à droite, sélectionnez Email pièces jointes de signature.
Dans le panneau Ignorer les pièces jointes de signature électronique (préversion) à droite, définissez le paramètre sur Activé.
Sélectionnez Enregistrer.
Configurer une exclusion de chemin d’accès de fichier
Lorsque vous excluez les chemins d’accès aux fichiers, les activités des utilisateurs qui correspondent à des indicateurs spécifiques et qui se produisent dans ces emplacements de chemin d’accès de fichier ne génèrent pas d’alertes de stratégie. Par exemple, la copie ou le déplacement de fichiers vers un dossier système ou un chemin d’accès de partage réseau. Vous pouvez entrer jusqu’à 500 chemins d’accès de fichier pour exclusion.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le panneau Type à droite, sélectionnez Chemins d’accès aux fichiers.
Dans le panneau Chemins d’accès aux fichiers à droite, sélectionnez l’un des onglets suivants :
Chemins d’accès individuels aux fichiers. Pour ajouter un chemin d’accès de fichier individuel, sélectionnez Ajouter des chemins d’accès de fichiers à exclure, entrez un chemin de fichier de partage réseau ou d’appareil exact, puis sélectionnez Ajouter des chemins d’accès de fichiers à exclure. Répétez ce processus pour chaque chemin d’accès de fichier que vous souhaitez exclure. Exemples :
Exemple Description \ms.temp\LocalFolder\ ou C :\temp Exclut les fichiers directement sous le dossier et tous les sous-dossiers pour chaque chemin de fichier commençant par le préfixe entré. \public\local\ Exclut les fichiers de chaque chemin d’accès de fichier contenant la valeur entrée. Correspond à « C :\Users\Public\local\ », « C :\Users\User1\Public\local » et « \ms.temp\Public\local ».
C :\Users*\Desktop Correspond à « C :\Users\user1\Desktop » et « C :\Users\user2\Desktop ». C :\Users*(2)\Desktop Les wilcards avec des nombres sont pris en charge. Correspond à « C :\Users\user1\Desktop » et « C :\Users\user2\Shared\Desktop ». Chaque chemin d’accès de fichier que vous entrez est ajouté à la colonne Chemin d’accès au fichier sur la page.
Remarque
Consultez Chemins d’accès aux fichiers par défaut pour les chemins d’accès aux fichiers qui sont automatiquement exclus de la génération d’alertes de stratégie.
Groupes de chemins d’accès aux fichiers. Pour sélectionner un groupe de détection de chemin d’accès de fichier que vous avez déjà créé, sélectionnez Ajouter un groupe de chemins d’accès de fichiers, puis sélectionnez le ou les groupes de chemins d’accès de fichiers appropriés. Le nombre de chemins d’accès aux fichiers inclus dans chaque groupe est répertorié dans la colonne Chemins d’accès de fichiers inclus .
Sélectionnez Enregistrer.
Chemins d’accès aux fichiers par défaut
Par défaut, plusieurs chemins d’accès aux fichiers sont automatiquement exclus de la génération d’alertes de stratégie. Les activités de ces chemins de fichier sont généralement sans gravité et peuvent potentiellement augmenter le volume d’alertes non exploitables. Si nécessaire, vous pouvez annuler la sélection de ces exclusions de chemin d’accès de fichier par défaut afin d’activer le scoring des risques pour les activités dans ces emplacements.
Les exclusions de chemin d’accès de fichier par défaut sont les suivantes :
- \Users*\AppData
- \Users*\AppData\Local
- \Users*\AppData\Roaming
- \Users*\AppData\Local\Temp
Les caractères génériques dans ces chemins indiquent que tous les niveaux de dossier entre \Users et \AppData sont inclus dans l’exclusion. Par exemple, les activités dans C :\Users\Test1\AppData\Local et C :\Users\Test2\AppData\Local, C :\Users\Test3\AppData\Local (et ainsi de suite) sont toutes incluses et non évaluées pour le risque dans le cadre de la sélection d’exclusion \Users*\AppData\Local .
Configurer une exclusion de type de fichier
Vous pouvez exclure des types de fichiers spécifiques de toutes les stratégies de gestion des risques internes correspondants. Par exemple, vous pouvez exclure tous les fichiers .wav. Les fichiers avec cette extension sont ignorés pour le scoring des risques par toutes les stratégies de gestion des risques internes.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le panneau Type à droite, sélectionnez Types de fichiers.
Dans le panneau Types de fichiers à droite, sélectionnez l’un des onglets suivants :
Types de fichiers individuels. Pour ajouter des types de fichiers un à la fois, sélectionnez Ajouter un type de fichier, entrez un type de fichier, puis appuyez sur Entrée. Répétez ce processus pour chaque type de fichier que vous souhaitez ajouter. Chaque type de fichier que vous entrez est ajouté à la page.
Groupes de types de fichiers. Pour sélectionner un groupe de détection de type de fichier que vous avez déjà créé, sélectionnez Ajouter un groupe de types de fichiers, puis sélectionnez le ou les groupes de types de fichiers appropriés dans la liste.
Sélectionnez Enregistrer.
Configurer une exclusion mot clé
Vous pouvez configurer des exclusions pour les mots clés qui apparaissent dans les noms de fichiers, les chemins d’accès de fichier ou les lignes d’objet des e-mails. Cela permet aux organisations qui doivent réduire la fréquence des alertes potentielles en raison de l’indicateur de termes bénins. Ces activités liées aux fichiers ou aux sujets de courrier contenant les mot clé sont ignorées par vos stratégies de gestion des risques internes et ne génèrent pas d’alertes. Vous pouvez exclure jusqu’à 500 mots clés.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le panneau Type à droite, sélectionnez Mots clés.
Dans le panneau Mots clés à droite, sélectionnez l’un des onglets suivants :
Mots clés individuels. Pour ajouter des mots clés un à la fois, entrez un mot clé dans le champ Exclure ces mots clés, puis appuyez sur Entrée. Répétez ce processus pour chaque mot clé que vous souhaitez ajouter. Pour supprimer un mot clé que vous avez ajouté à la liste, sélectionnez le X en regard du mot clé.
Conseil
Si vous souhaitez exclure un mot clé du scoring, mais que vous souhaitez noter ce mot clé lorsqu’il est utilisé en combinaison avec d’autres mots clés ou une expression, entrez le mot clé que vous souhaitez exclure dans le champ Exclure ces mots clés, puis entrez le ou les mots qui font partie de l’expression que vous souhaitez noter dans le champ Exclure les mots clés ci-dessus uniquement si ces termes ne sont pas également présents. Par exemple, si vous ajoutez le mot clé « conformité » au champ Exclure ces mots clés, mais que vous entrez le mot clé « training » dans le champ Exclure les mots clés ci-dessus uniquement si ces termes ne sont pas également présents, le mot « compliance » est exclu du scoring, mais l’expression « formation de conformité » est notée.
Groupes de mots clés. Pour sélectionner un groupe de détection mot clé que vous avez déjà créé, sélectionnez Ajouter mot clé groupe, puis sélectionnez le ou les groupes mot clé appropriés dans la liste. Le nombre de mots clés inclus dans chaque groupe s’affiche sous l’en-tête Mots clés inclus .
Sélectionnez Enregistrer.
Configurer une exclusion de type d’informations sensibles (préversion)
Les types d’informations sensibles exclus sont mappés à des indicateurs et des déclencheurs impliquant des activités liées aux fichiers pour Point de terminaison, SharePoint, Teams, OneDrive et Exchange. Ces types exclus sont traités comme des types d’informations non sensibles. Si un fichier contient un type d’informations sensibles identifié dans cette section, le fichier sera évalué en tant qu’activités impliquant du contenu lié aux types d’informations sensibles. Pour obtenir la liste complète des types d’informations sensibles, consultez Définitions d’entité de type d’informations sensibles.
Vous pouvez sélectionner les types d’informations sensibles à exclure de la liste de tous les types disponibles (out-of-box et custom) disponibles dans le organization. Vous pouvez choisir jusqu’à 500 types d’informations sensibles.
Remarque
La liste d’exclusion des types d’informations sensibles est prioritaire sur la liste de contenu prioritaire .
Configurer une exclusion de type d’informations sensibles
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le panneau Type à droite, sélectionnez Types d’informations sensibles.
Dans le panneau Types d’informations sensibles à droite, sélectionnez l’un des onglets suivants :
Types d’informations sensibles individuels. Pour ajouter des types d’informations sensibles un par un, sélectionnez Ajouter ou modifier des types d’informations sensibles à exclure, sélectionnez les types d’informations sensibles que vous souhaitez exclure, puis sélectionnez Ajouter. Vous pouvez également utiliser la zone de recherche pour rechercher un type d’informations sensibles.
Groupes SIT. Pour sélectionner un groupe de détection de type d’informations sensibles que vous avez déjà créé, sélectionnez Ajouter un groupe de types d’informations sensibles, puis sélectionnez le ou les groupes appropriés dans la liste. Le nombre de types d’informations sensibles inclus dans un groupe de types d’informations sensibles s’affiche sous l’en-tête Types d’informations sensibles inclus . Lorsque vous avez terminé, sélectionnez Enregistrer.
Configurer une exclusion de site Sharepoint
Vous pouvez configurer des exclusions de site SharePoint pour empêcher les activités qui se produisent dans SharePoint (et les sites SharePoint associés aux sites de canal Teams) de générer des alertes de stratégie. Par exemple, vous pouvez exclure les sites ou canaux qui contiennent des fichiers et des données non sensibles qui peuvent être partagés avec des parties prenantes ou le public. Vous pouvez entrer jusqu’à 500 chemins d’URL de site SharePoint.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le volet Type à droite, sélectionnez Sites SharePoint.
Dans le panneau Sites SharePoint à droite, sélectionnez l’un des onglets suivants :
Sites individuels. Pour ajouter des sites SharePoint un par un, sélectionnez Ajouter ou modifier des sites à exclure, sélectionnez les sites que vous souhaitez exclure, puis sélectionnez Modifier. Vous pouvez également utiliser la zone de recherche pour rechercher un site.
Groupes de sites. Pour sélectionner un groupe de détection de site SharePoint que vous avez déjà créé, sélectionnez Ajouter un groupe de sites SharePoint, puis sélectionnez le ou les groupes appropriés dans la liste. Le nombre de sites inclus dans un groupe de sites s’affiche sous l’en-tête Sites inclus . Lorsque vous avez terminé, sélectionnez Enregistrer.
Configurer une exclusion de classifieur pouvant être formé (préversion)
Les classifieurs entraînés exclus sont mappés aux indicateurs et aux déclencheurs impliquant des activités liées aux fichiers pour SharePoint, Teams, OneDrive et Exchange. Si un fichier contient un classifieur pouvant être formé identifié comme une exclusion, le fichier est évalué en tant que risque, mais n’est pas affiché en tant qu’activité impliquant du contenu lié aux classifieurs pouvant être entraînés. Pour obtenir la liste complète des classifieurs préentraînés, consultez Définitions des classifieurs pouvant être formés.
Vous pouvez sélectionner les classifieurs pouvant être entraînés à exclure de la liste de tous les types disponibles (out-of-box et custom) disponibles dans le organization. La gestion des risques internes exclut certains classifieurs pouvant être formés par défaut, notamment les menaces, les blasphèmes, le harcèlement ciblé, le langage offensant et la discrimination. Vous pouvez choisir jusqu’à 500 classifieurs pouvant être formés.
Remarque
Si vous le souhaitez, vous pouvez choisir des classifieurs pouvant être entraînés à inclure dans la liste de contenu prioritaire .
Configurer une exclusion de classifieur pouvant être formé
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
Sous Paramètres de risque interne, sélectionnez Exclusions globales (préversion) .
Dans le panneau Type à droite, sélectionnez Classifieurs pouvant être formés.
Dans le panneau Classifieurs pouvant être formés à droite, sélectionnez l’un des onglets suivants :
Classifieur individuel pouvant être entraîné. Pour sélectionner les classifieurs pouvant être entraînés un par un, sélectionnez Ajouter ou modifier des classifieurs pouvant être formés à exclure, sélectionnez le ou les classifieurs pouvant être entraînés appropriés dans la liste, puis sélectionnez Ajouter. Vous pouvez utiliser la zone de recherche pour rechercher un classifieur pouvant être formé.
Groupes de classifieur pouvant être formés. Pour sélectionner un groupe de détection de classifieur pouvant être formé que vous avez déjà créé, sélectionnez Ajouter un groupe de classifieur pouvant être formé, puis sélectionnez le ou les groupes appropriés dans la liste. Le nombre de classifieurs pouvant être entraînés inclus dans un groupe de classifieurs pouvant être entraînés s’affiche sous le titre Classifieurs pouvant être entraînés inclus . Lorsque vous avez terminé, sélectionnez Enregistrer.