Partager via


Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données à partir d’appareils

Cet article vous guide tout au long des conditions préalables et des étapes de configuration pour la collecte de preuves pour les activités de fichiers sur les appareils et explique comment afficher les éléments qui sont copiés et enregistrés.

Conseil

Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.

Voici les étapes générales de configuration et d’utilisation de la collecte de preuves pour les activités de fichiers sur les appareils.

  1. Intégrer des appareils
  2. Comprendre vos besoinsCréer votre compte de stockage Azure managé
  3. Ajouter un objet blob de stockage Azure à votre compte
  4. Activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft (préversion)
  5. Configurer votre stratégie DLP
  6. Afficher un aperçu de la preuve

Avant de commencer

Avant de commencer ces procédures, consultez En savoir plus sur la collecte de preuves pour les activités de fichier sur les appareils.

Licences et abonnements

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Consultez les conditions de licence requises pour Microsoft Entra ID P1 ou P2 nécessaires pour créer un contrôle d’accès en fonction du rôle (RBAC) personnalisé.

Autorisations

Des autorisations Protection contre la perte de données Microsoft Purview standard (DLP) sont requises. Pour plus d’informations, voir Autorisations.

Intégration des appareils

Avant de pouvoir utiliser la copie des éléments correspondants que vous devez intégrer des appareils Windows 10/11 à Purview, consultez Vue d’ensemble de l’intégration d’appareils Windows dans Microsoft 365.

Comprendre vos besoins

Importante

Chaque conteneur hérite des autorisations du compte de stockage dans lequel il se trouve. Vous ne pouvez pas définir d’autorisations différentes par conteneur. Si vous devez configurer différentes autorisations pour différentes régions, vous devez créer plusieurs comptes de stockage, et non plusieurs conteneurs.

Vous devez avoir des réponses à la question suivante avant de configurer votre stockage Azure et d’étendre la fonctionnalité aux utilisateurs.

Avez-vous besoin de compartimenter les éléments et d’y accéder selon les lignes de rôle ou de service ?

Par exemple, si votre organization souhaite avoir un ensemble d’administrateurs ou d’enquêteurs d’événements DLP qui peuvent afficher les fichiers enregistrés de votre direction et un autre ensemble d’administrateurs ou d’enquêteurs d’événements DLP pour les éléments enregistrés à partir des ressources humaines, vous devez créer un compte de stockage Azure pour la direction de votre organization et un autre pour le service des ressources humaines. Cela garantit que les administrateurs de stockage Azure ou les enquêteurs d’événements DLP peuvent uniquement voir les éléments qui correspondent aux stratégies DLP de leurs groupes respectifs.

Voulez-vous utiliser des conteneurs pour organiser les éléments enregistrés ?

Vous pouvez créer plusieurs conteneurs de preuves dans le même compte de stockage pour trier les fichiers enregistrés. Par exemple, un pour les fichiers enregistrés à partir du service RH et un autre pour ceux du service informatique.

Quelle est votre stratégie de protection contre la suppression ou la modification des éléments enregistrés ?

Dans stockage Azure, la protection des données fait référence à la fois aux stratégies de protection du compte de stockage et des données qu’il contient contre la suppression ou la modification, et à la restauration des données après leur suppression ou leur modification. Le stockage Azure offre également des options de récupération d’urgence, notamment plusieurs niveaux de redondance, pour protéger vos données contre les pannes de service dues à des problèmes matériels ou à des catastrophes naturelles. Il peut également protéger vos données à l’aide d’un basculement géré par le client si le centre de données de la région primaire devient indisponible. Pour plus d’informations, consultez Vue d’ensemble de la protection des données.

Vous pouvez également configurer des stratégies d’immuabilité pour vos données blob qui protègent contre les éléments enregistrés qui sont remplacés ou supprimés. Pour plus d’informations, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable.

Types de fichiers pris en charge pour le stockage et l’aperçu des preuves

Peut être stocké Peut être prévisualisé
Tous les types de fichiers surveillés par endpoint DLP Tous les types de fichiers pris en charge pour l’aperçu des fichiers dans OneDrive, SharePoint et Teams

Enregistrer les éléments correspondants dans votre stockage préféré

Pour enregistrer la preuve que Microsoft Purview détecte quand vos stratégies de protection contre la perte de données sont appliquées, vous devez configurer le stockage. Il existe deux méthodes pour y parvenir :

  1. Créer un stockage géré par le client
  2. Créer un stockage géré par Microsoft (préversion)

Pour plus d’informations et une comparaison de ces deux types de stockage, consultez [Stockage de preuves lorsque des informations sensibles sont détectées (préversion)](dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview).

Créer un stockage géré par le client

Les procédures de configuration de votre compte de stockage Azure, de votre conteneur et de vos objets blob sont documentées dans l’ensemble de documents Azure. Voici des liens vers des articles pertinents que vous pouvez consulter pour vous aider à commencer :

  1. Introduction à Stockage Blob Azure
  2. Créer un compte de stockage
  3. La valeur par défaut est et autorise l’accès aux objets blob à l’aide de Microsoft Entra ID
  4. Gérer les conteneurs d’objets blob à l’aide du Portail Azure
  5. Gérer des objets blob de blocs avec PowerShell

Remarque

Veillez à sélectionner Activer l’accès public à partir de tous les réseaux lors de la création du compte de stockage. La prise en charge des réseaux virtuels et des adresses IP et l’utilisation de l’accès privé ne sont pas disponibles

Veillez à enregistrer le nom et l’URL du conteneur d’objets blob Azure. Pour afficher l’URL, ouvrez lespropriétés duconteneur> du portail > de stockage Accueil>des comptes> de stockage.

Le format de l’URL du conteneur d’objets blob Azure est :https://storageAccountName.blob.core.windows.net/containerName .

Ajouter un objet blob de stockage Azure à votre compte

Il existe plusieurs façons d’ajouter un objet blob de stockage Azure à votre compte. Choisissez l’une des méthodes ci-dessous.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Pour ajouter le stockage d’objets blob Azure à l’aide du portail Microsoft Purview :

  1. Connectez-vous au portail Microsoft Purview et choisissez l’engrenage Paramètres dans la barre de menus.
  2. Choisissez Protection contre la perte de données.
  3. Sélectionnez Paramètres DLP du point de terminaison.
  4. Développez Configurer la collecte de preuves pour les activités de fichier sur les appareils.
  5. Changez le bouton bascule de Off à Activé.
  6. Dans le champ Définir le cache des preuves sur l’appareil , sélectionnez la durée pendant laquelle la preuve doit être enregistrée localement lorsque l’appareil est hors connexion. Vous pouvez choisir 7, 30 ou 60 jours.
  7. Sélectionnez un type de stockage (Magasin géré par le client ou Magasin géré Par Microsoft (préversion)), puis sélectionnez + Ajouter un stockage.
    1. Pour le stockage géré par le client :
      1. Choisissez Magasin géré par le client : puis + Ajouter un stockage.
      2. Entrez donnez un nom au compte et entrez l’URL de l’objet blob de stockage.
      3. Cliquez sur Enregistrer.
    2. Pour le stockage géré par Microsoft :
      1. Choisir le magasin géré Microsoft (préversion)

Définir des autorisations sur le stockage d’objets blob Azure

À l’aide de l’autorisation Microsoft Entra, vous devez configurer deux ensembles d’autorisations (groupes de rôles) sur les objets blob :

  1. Un pour les administrateurs et les enquêteurs afin qu’ils puissent afficher et gérer les preuves
  2. Un pour les utilisateurs qui doivent charger des éléments sur Azure à partir de leurs appareils

La meilleure pratique consiste à appliquer le privilège minimum pour tous les utilisateurs, quel que soit le rôle. En appliquant le privilège minimum, vous vous assurez que les autorisations utilisateur sont limitées uniquement aux autorisations nécessaires pour leur rôle. Pour configurer les autorisations des utilisateurs, créez des rôles et des groupes de rôles dans Microsoft Defender pour Office 365 et Microsoft Purview.

Autorisations sur un objet blob Azure pour les administrateurs et les enquêteurs

Une fois que vous avez créé le groupe de rôles pour les enquêteurs d’incidents DLP, vous devez configurer les autorisations décrites dans les sections Actions de l’enquêteur et Actions de données de l’enquêteur qui suivent.

Pour plus d’informations sur la configuration de l’accès aux objets blob, consultez les articles suivants :

Actions de l’enquêteur

Configurez ces autorisations d’objet et d’action pour le rôle d’enquêteur :

Objet Autorisations
Microsoft.Storage/storageAccounts/blobServices Lecture : Répertorier les services d’objets blob
Microsoft.Storage/storageAccounts/blobServices Lecture : Obtenir des propriétés ou des statistiques du service d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers Lecture : Obtenir un conteneur d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers Lecture : Liste des conteneurs d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lecture : Objet blob de lecture
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Autre : générer une clé de délégation d’utilisateur
Actions des données de l’enquêteur
Objet Autorisations
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lecture : Objet blob de lecture

Votre json pour le groupe de rôles investigateur doit ressembler à ceci :

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

Autorisations sur un objet blob Azure pour les utilisateurs

Attribuez ces autorisations d’objet et d’action à l’objet blob Azure pour le rôle d’utilisateur :

Actions de l’utilisateur
Objet Autorisations
Microsoft.Storage/storageAccounts/blobServices Lecture : Répertorier les services d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers Lecture : Obtenir un conteneur d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers Écriture : Placer un conteneur d’objets blob
Actions des données utilisateur
Objet Autorisations
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Écriture : Objet blob d’écriture
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Autre : Ajouter du contenu d’objet blob

Le json pour le groupe de rôles d’utilisateur doit ressembler à ceci :

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft (préversion)

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Pour activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft à partir du portail Microsoft Purview :

  1. Connectez-vous à l’engrenageParamètres du portail> Microsoft Purview dans la barre de menus.
  2. Choisissez Protection contre la perte de données.
  3. Sélectionnez Paramètres DLP du point de terminaison.
  4. Développez Configurer la collecte de preuves pour les activités de fichier sur les appareils et définissez le bouton bascule sur Activé.
  5. Sous Sélectionner un type de stockage, choisissez Stockage géré par Microsoft.

Configurer votre stratégie DLP

Créez une stratégie DLP comme vous le feriez normalement. Pour obtenir des exemples de configuration de stratégie, consultez Créer et déployer des stratégies de protection contre la perte de données.

Configurez votre stratégie à l’aide des paramètres suivants :

  • Assurez-vous que Appareils est le seul emplacement sélectionné.
  • Dans Rapports d’incidents, basculez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.
  • Dans Rapports d’incidents, sélectionnez Collecter le fichier d’origine comme preuve pour toutes les activités de fichier sélectionnées sur le point de terminaison.
  • Sélectionnez le compte de stockage souhaité.
  • Sélectionnez les activités pour lesquelles vous souhaitez copier les éléments correspondants dans le stockage Azure, par exemple :
    • Coller dans les navigateurs pris en charge
    • Charger dans des domaines de service cloud ou accéder à des navigateurs non autorisés
    • Copier sur un périphérique USB amovible
    • Copier dans un partage réseau
    • Print
    • Copier ou déplacer à l’aide d’une application Bluetooth non autorisée
    • Copier ou déplacer à l’aide de RDP

Afficher un aperçu de la preuve

Il existe différentes façons d’afficher un aperçu de vos preuves, selon le type de stockage que vous sélectionnez.

Type de stockage Options d’aperçu
Géré par le client - Utiliser l’Explorateur d’activités
- Utiliser le portail de conformité
Microsoft Managed (préversion) - Utiliser l’Explorateur d’activités
- Utiliser le portail de conformité

Aperçu des preuves via l’Explorateur d’activités

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

  1. Connectez-vous au portail >Microsoft PurviewProtection contre la> perte de donnéesExplorateur d’activités.
  2. Dans la liste déroulante Date , sélectionnez les dates de début et de fin de la période qui vous intéresse.
  3. Dans la liste des résultats, double-cliquez sur l’élément de ligne de l’activité que vous souhaitez examiner.
  4. Dans le volet volant, le lien vers l’objet blob Azure où la preuve est stockée s’affiche sous Fichier de preuve.
  5. Sélectionnez le lien Stockage Blob Azure pour afficher le fichier correspondant.

Aperçu des preuves via la page Alertes du portail de conformité

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

  1. Connectez-vous au portail >Microsoft PurviewAlertes de protection contre la> perte de données.
  2. Dans la liste déroulante Date , sélectionnez les dates de début et de fin de la période qui vous intéresse.
  3. Dans la liste des résultats, double-cliquez sur l’élément de ligne de l’activité que vous souhaitez examiner.
  4. Dans le volet volant, sélectionnez Afficher les détails.
  5. Sélectionnez l’onglet Événements .
  6. Dans le volet Détails , sélectionnez l’onglet Source. Le fichier correspondant s’affiche.

Remarque

Si le fichier qui a été mis en correspondance existe déjà dans l’objet blob de stockage Azure, il n’est pas chargé à nouveau tant que des modifications ne sont pas apportées au fichier et qu’un utilisateur n’effectue une action sur celui-ci.

Comportements connus

  • Les fichiers stockés dans le cache de l’appareil ne sont pas conservés si le système se bloque ou redémarre.
  • La taille maximale des fichiers qui peuvent être chargés à partir d’un appareil est de 500 Mo.
  • Si la protection juste-à-temps est déclenchée sur un fichier analysé, OU si le fichier est stocké sur un partage réseau, le fichier de preuve n’est pas collecté.
  • Lorsque plusieurs fichiers sont ouverts dans le même processus (applications hors bureau) et que l’un des fichiers correspondant à une stratégie est sortant, des événements DLP sont déclenchés pour tous les fichiers. Aucune preuve n’est capturée.
  • Si plusieurs règles de stratégie sont détectées dans un seul fichier, le fichier de preuve est stocké uniquement si la règle de stratégie la plus restrictive est configurée pour collecter des preuves.