En savoir plus sur la protection contre la perte de données
Cet article présente le flux d’investigation des alertes et les outils que vous pouvez utiliser pour examiner les alertes DLP.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Avant de commencer
Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles que vous devez connaître lorsque vous implémentez votre pratique de protection contre la perte de données :
- Unités administratives
- En savoir plus sur la protection contre la perte de données Microsoft Purview : l’article vous présente la discipline de protection contre la perte de données et l’implémentation de la protection contre la perte de données par Microsoft.
- Planifier la protection contre la perte de données (DLP) : en suivant cet article, vous allez :
- Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et explique comment chacun d’eux influence le comportement d’une stratégie.
- Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
- Créer et déployer des stratégies de protection contre la perte de données : présente certains scénarios d’intention de stratégie courants que vous mappez aux options de configuration. Il vous guide ensuite dans la configuration de ces options et fournit des conseils sur le déploiement d’une stratégie.
- En savoir plus sur l’examen des alertes de protection contre la perte de données : cet article que vous lisez présente maintenant le cycle de vie des alertes, de la création à la correction finale et au réglage des stratégies. Il vous présente également les outils que vous utilisez pour examiner les alertes.
Cycle de vie d’une alerte DLP
Toutes les alertes et votre interaction avec elles passent par les six étapes suivantes :
Déclencher
La durée de vie d’une alerte de protection contre la perte de données (DLP) Microsoft Purview commence lorsque les conditions définies dans la stratégie sont mises en correspondance. Lorsqu’une correspondance de stratégie se produit, les actions définies dans la stratégie sont déclenchées, ce qui peut inclure la génération d’une alerte si la stratégie est configurée pour le faire.
Les stratégies DLP sont généralement configurées pour surveiller et générer des alertes dans les cas suivants :
- Les informations sensibles, telles que les données d’identification personnelle ou la propriété intellectuelle, sont exfiltrées de votre organisation.
- Les informations sensibles sont partagées de manière inappropriée avec des personnes extérieures ou internes à votre organisation.
- Les utilisateurs s’engagent dans des activités à risque, telles que le téléchargement d’informations sensibles sur des supports amovibles.
Notification
Lorsqu’une alerte est générée, elle est envoyée au portail Microsoft Defender en tant qu’incident et au tableau de bord de gestion des alertes DLP. Les stratégies DLP peuvent être configurées pour envoyer des notifications aux utilisateurs, administrateurs et autres parties prenantes par e-mail.
Dans la phase de notification Microsoft Purview :
- Rapports sur les correspondances de stratégie DLP et les remplacements utilisateur.
- Vous pouvez utiliser l’Explorateur d’activités pour afficher les activités liées à la protection contre la perte de données et filtrer à des fins de génération de rapports.
Pour exporter des données d’activité à des fins de création de rapports, utilisez Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc à l’aide de l’API d’activité de gestion O365 ou de l’API d’incident.
Remarque
Le portail Microsoft Defender conserve les incidents pendant six mois. Le tableau de bord de gestion des alertes DLP conserve les alertes pendant 30 jours.
Triage
Dans cette étape, vous analysez une alerte et tous les journaux associés et déterminez si l’alerte est un vrai positif ou un faux positif. S’il s’agit d’un vrai positif, vous définissez la priorité de l’alerte en fonction de la gravité du problème et de son impact sur votre organisation et vous attribuez un propriétaire. S’il s’agit d’un faux positif, vous pouvez débloquer l’utilisateur et passer à l’alerte suivante.
Le portail Defender regroupe les événements DLP en incidents. Les incidents sont une collection d’alertes associées regroupées en fonction de tous les autres signaux reçus par Defender. Par exemple, lorsque vous disposez d’une stratégie DLP configurée pour surveiller et alerter les fichiers sensibles sur les sites SharePoint, et qu’un utilisateur télécharge un fichier à partir d’un site SharePoint, le charge sur un OneDrive personnel, puis le partage avec un utilisateur externe, Defender regroupe toutes ces alertes en un seul incident. Il s’agit d’une fonctionnalité puissante qui vous permet de vous concentrer d’abord sur les alertes les plus importantes.
Dans le portail Defender, vous pouvez commencer immédiatement à trier les incidents et utiliser des balises, des commentaires et d’autres fonctionnalités pour structurer votre gestion des incidents. Vous devez utiliser la page Incidents dans le portail Microsoft Defender pour gérer vos alertes DLP. Vous pouvez filtrer la file d’attente Incidents pour afficher tous les incidents avec les alertes DLP Microsoft Purview en sélectionnant Filtres et en choisissant Source de service : Protection contre la perte de données.
Si vous avez activé le partage des données de gestion des risques internes avec Microsoft Defender XDR (préversion), vous verrez le niveau de gravité de la stratégie de gestion des risques internes associée à un utilisateur dans la page alertes DLP. Les niveaux de gravité de la gestion des risques internes sont les suivants : Faible, Moyen, Élevé et Aucun. Vous pouvez utiliser ces informations pour hiérarchiser vos efforts d’investigation et de correction. Ces informations seront également disponibles dans le portail Microsoft 365 Defender dans les détails de l’incident.
Examiner
L’objectif principal de la phase d’investigation est que le propriétaire affecté met en corrélation les preuves, détermine la cause et l’impact complet de l’alerte et décide d’un plan de correction. Le propriétaire affecté est responsable d’une investigation et d’une correction plus approfondies de l’alerte. Les principaux outils d’investigation des alertes sont le portail Microsoft Defender et le tableau de bord de gestion des alertes DLP. Vous pouvez également utiliser l’Explorateur d’activités pour examiner les alertes. Vous pouvez également partager des alertes avec d’autres utilisateurs de votre organisation.
Vous pouvez tirer parti des fonctionnalités DLP telles que :
- La collecte de preuves pour les activités de fichiers sur les appareils rend les fichiers tels que les e-mails et les documents qui correspondent à une stratégie facilement accessibles.
- Utilisez l’Explorateur de contenu pour examiner en profondeur le contenu de l’incident.
Vous pouvez utiliser le portail Microsoft Defender et les outils Purview pour trier et examiner les alertes, mais le portail Microsoft Defender offre davantage de fonctionnalités pour gérer les alertes et les incidents, comme :
- Affichez toutes vos alertes DLP regroupées sous incidents dans la file d’attente d’incidents Microsoft Defender XDR.
- Affichez les alertes inter-solutions intelligentes (DLP-MDE, DLP-MDO) et intra-solution (DLP-DLP) corrélées sous un seul incident.
- Recherchez les journaux de conformité ainsi que la sécurité sous Repérage avancé.
- Actions de correction sur place de l’administrateur sur l’utilisateur, le fichier et l’appareil.
- Associez des balises personnalisées aux incidents DLP et filtrez-les.
- Filtrez par nom de stratégie DLP, balise, date, source du service, état de l’incident et utilisateur dans la file d’attente unifiée des incidents.
Si vous partagez des données de gestion des risques internes avec Defender (préversion), vous pouvez voir le résumé de l’activité de l’utilisateur de toutes les activités d’exfiltration que l’utilisateur a effectuées au cours des 120 derniers jours.
Corriger
Votre plan de correction est propre aux stratégies de votre organisation, au secteur d’activité, aux réglementations géopolitiques auxquelles il doit se conformer et aux pratiques commerciales. La façon dont votre organisation choisit de répondre à une alerte dépend de la précision de l’alerte (vrai positif, faux positif, faux négatif), de la gravité du problème et de l’impact sur votre organisation.
Les actions de correction peuvent inclure :
- Surveiller uniquement, aucune action supplémentaire n’est requise.
- Aucune autre action n’est nécessaire, car les actions prises par la stratégie ont suffisamment atténué le risque.
- Les risques sont atténués par des actions de stratégie automatisées, mais l’éducation des utilisateurs est nécessaire.
- Le problème n’a pas été entièrement atténué par la stratégie. Par conséquent, un nettoyage et une atténuation des risques supplémentaires sont nécessaires, ainsi qu’une formation supplémentaire de l’utilisateur.
- Via la protection adaptative dans la protection contre la perte de données (préversion) où DLP s’intègre à la gestion des risques internes, vous pouvez attribuer un niveau de risque à l’utilisateur pour une surveillance et des actions supplémentaires.
Avec le portail Defender, vous pouvez immédiatement prendre des mesures correctives sur les alertes et les incidents. Par exemple :
- Réinitialiser le mot de passe
- Désactiver le compte
- Afficher l’activité de l’utilisateur
- Actions sur les détections DLP
- Supprimer un document
- Appliquer une étiquette de confidentialité
- Annuler le partage
- Télécharger l’e-mail
- Repérage avancé
- Isoler l’appareil
- Collecter le pack d’investigation à partir de l’appareil
- Exécuter l’analyse AV
- Fichier de quarantaine
- Désactiver l’utilisateur
- Réinitialiser pwd
- Supprimer un e-mail
- Déplacer le courrier vers un autre dossier de boîte aux lettres
- Télécharger un fichier
Mélodie
En fonction de l’exactitude et de l’efficacité de votre stratégie, vous devrez peut-être la mettre à jour pour qu’elle reste efficace. Vous avez déjà paramétré votre stratégie pendant le processus de création et de déploiement de la stratégie, mais à mesure que votre patrimoine de données et vos besoins métier changent, les stratégies doivent être mises à jour pour continuer à être efficaces. Ces modifications sont mieux suivies dans l’instruction d’intention de stratégie et la configuration de la stratégie.
Éléments que vous réglez :
- Étendue de la stratégie.
- Conditions requises pour une correspondance de stratégie.
- Actions effectuées lorsqu’une correspondance de stratégie se produit.
- Notifications envoyées aux utilisateurs et aux administrateurs.
Pour plus d’informations sur le mappage des besoins de l’entreprise aux stratégies de conception et de test des stratégies, consultez :
- Concevoir une stratégie de protection contre la perte de données
- Tester vos stratégies de protection contre la perte de données
Ensembles d’outils
Il existe plusieurs outils que vous pouvez utiliser pour examiner et gérer les alertes de protection contre la perte de données (DLP) Microsoft Purview. Il existe :
- Portail Microsoft Defender
- Tableau de bord des alertes du portail de conformité Microsoft Purview
- Explorateur d’activités
- Explorateur de contenu
- Microsoft Copilot pour la sécurité dans l’expérience incorporée Purview
- Microsoft Copilot pour la sécurité dans l’expérience autonome Purview
Microsoft recommande d’utiliser la file d’attente unifiée des incidents dans le portail Microsoft Defender pour gérer vos alertes DLP. Toutefois, votre organisation peut avoir des besoins qui peuvent être satisfaits à l’aide du tableau de bord de gestion des alertes DLP en plus du portail Microsoft Defender.
Portail Microsoft Defender
- Les alertes DLP sont intégrées à d’autres événements et alertes dans une file d’attente d’incident unique, ce qui fournit une image plus complète de l’incident.
- Six mois d’historique des incidents sont disponibles.
- La chasse avancée est disponible.
- Examiner les incidents de perte de données avec Microsoft Defender XDR : vous pouvez gérer les incidents DLP ainsi que les incidents de sécurité à partir des incidents & alertes>Incidents lors du lancement rapide du portail Microsoft Defender.
- Réponse à votre premier incident dans Microsoft Defender XDR
- Réponse aux incidents avec Microsoft Defender XDR
- Hiérarchiser les incidents dans Microsoft Defender XDR
- Gérer les incidents dans Microsoft Defender XDR
- Examiner les incidents dans Microsoft Defender XDR
- Examiner les alertes dans Microsoft Defender XDR
- Rechercher de manière proactive les menaces avec la chasse avancée dans Microsoft Defender XDR
Portail de conformité Microsoft Purview
- Le tableau de bord des alertes, l’Explorateur d’activités et l’Explorateur de contenu sont tous disponibles dans le portail de conformité Microsoft Purview. Vous pouvez résumer les alertes à l’aide de Microsoft Copilot for Security Examiner une alerte DLP
- Vous pouvez définir un état d’alerte sur Examen.
- Vous pouvez partager des alertes avec d’autres utilisateurs de votre organisation.
- Télécharger des fichiers à partir de OneDrive et SharePoint (le rôle de visionneuse de contenu de classification des données est requis pour cette action)
Si vous débutez avec le tableau de bord Alertes DLP, lisez ces articles pour vous aider à commencer.
- Prise en main du tableau de bord Alertes de protection contre la perte de données
- Alertes de protection contre la perte de données de partage (préversion)
- Prise en main des alertes de protection contre la perte de données
- Prise en main de l’explorateur d’activités
- Prise en main de l’explorateur de contenu