En savoir plus sur les paramètres de gestion des risques internes
Importante
Microsoft Purview Insider Risk Management met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Avant de commencer à utiliser les stratégies de gestion des risques internes, il est important de comprendre et de choisir les paramètres de gestion des risques internes qui répondent le mieux aux besoins de conformité de votre organisation. Les paramètres de gestion des risques internes s’appliquent à toutes les stratégies de gestion des risques internes, quel que soit le modèle que vous choisissez lors de la création d’une stratégie.
Remarque
Utilisez le bouton Paramètres en haut de toute page de gestion des risques internes pour apporter des modifications aux paramètres.
Le tableau suivant décrit chaque paramètre de gestion des risques internes et fournit un lien pour en savoir plus sur le paramètre.
| Setting | Description |
|---|---|
| Confidentialité | Choisissez d’afficher les noms d’utilisateur ou les versions anonymes des noms d’utilisateur pour toutes les correspondances de stratégie actuelles et passées pour les alertes et les cas. |
| Indicateurs de stratégie | Chaque modèle de stratégie de gestion des risques internes est basé sur des indicateurs spécifiques qui correspondent à des déclencheurs et des activités à risque spécifiques. Tous les indicateurs globaux sont désactivés par défaut ; vous devez sélectionner un ou plusieurs indicateurs pour configurer une stratégie de gestion des risques internes. Les paramètres de niveau d’indicateur vous aident à contrôler la façon dont le nombre d’occurrences d’événements à risque dans votre organisation affecte le score de risque. |
| Groupes de détection | Utilisez le paramètre Groupes de détection pour créer des variantes d’indicateurs intégrés si vous souhaitez adapter les détections pour différents ensembles d’utilisateurs. La création de groupes de détection permet de réduire les faux positifs. |
| [Exclusions globales] | Utilisez le paramètre Exclusions globales pour spécifier les exclusions globales qui ne seront pas notées par vos stratégies de gestion des risques internes. |
| Délais de la stratégie | Le paramètre Délais de stratégie vous permet de définir des périodes de révision passées et futures déclenchées après des correspondances de stratégie basées sur des événements et des activités pour les modèles de stratégie de gestion des risques internes. |
| Détections intelligentes | Utilisez le paramètre Détections intelligentes pour augmenter le score des activités de téléchargement inhabituelles, contrôler le volume des alertes, importer et filtrer les alertes Microsoft Defender pour point de terminaison, et spécifier des domaines non autorisés et tiers pour le scoring des risques. |
| Exporter des alertes | Les informations d’alerte de gestion des risques internes sont exportables vers les solutions SIEM (Security Information and Event Management) et SOAR (Security Orchestration Automated Response) à l’aide du schéma de l’API Activité de gestion Office 365. Vous pouvez utiliser les API d’activité de gestion Office 365 pour exporter des informations d’alerte vers d’autres applications que votre organisation peut utiliser pour gérer ou agréger des informations sur les risques internes. |
| Partage de données | Utilisez le paramètre De partage de données pour effectuer l’une des opérations suivantes : 1) Exporter les informations d’alerte de gestion des risques internes vers des solutions SIEM à l’aide du schéma de l’API Activité de gestion Office 365 ; 2) Partagez les niveaux de risque utilisateur de gestion des risques internes avec les alertes Microsoft Defender et DLP. |
| Groupes d’utilisateurs prioritaires | Les utilisateurs de votre organisation peuvent avoir différents niveaux de risque en fonction de leur position, de leur niveau d’accès aux informations sensibles ou de leur historique des risques. La hiérarchisation de l’examen et du scoring des activités de ces utilisateurs peut vous aider à alerter sur les risques potentiels susceptibles d’avoir des conséquences plus élevées pour votre organisation. Utilisez le paramètre Groupes d’utilisateurs prioritaires pour définir les utilisateurs de votre organisation qui ont besoin d’une inspection plus approfondie et d’un scoring de risque plus sensible. |
| Ressources physiques prioritaires (préversion) | L’identification de l’accès aux ressources physiques prioritaires et la corrélation de l’activité d’accès aux événements utilisateur sont un composant important de votre infrastructure de conformité. Ces ressources physiques représentent des emplacements prioritaires dans votre organisation, tels que des bâtiments d’entreprise, des centres de données ou des salles de serveurs. Les activités à risque internes peuvent être associées à des utilisateurs qui travaillent à des heures inhabituelles, qui tentent d’accéder à ces zones sensibles ou sécurisées non autorisées et à des demandes d’accès à des zones de haut niveau sans besoins légitimes. |
| Flux Power Automate (préversion) | Microsoft Power Automate est un service de flux de travail qui automatise les actions entre les applications et les services. En utilisant des flux à partir de modèles ou créés manuellement, vous pouvez automatiser les tâches courantes associées à ces applications et services. Lorsque vous activez les flux Power Automate pour la gestion des risques internes, vous pouvez automatiser les tâches importantes pour les cas et les utilisateurs. Vous pouvez configurer des flux Power Automate pour récupérer des informations sur les utilisateurs, les alertes et les cas, et partager ces informations avec les parties prenantes et d’autres applications, ainsi que pour automatiser les actions dans la gestion des risques internes, telles que la publication de notes de cas. Les flux Power Automate s’appliquent aux cas et à tout utilisateur dans l’étendue d’une stratégie. |
| Microsoft Teams (préversion) | Vous pouvez activer le support Microsoft Teams afin que les analystes de conformité et les enquêteurs puissent utiliser Teams pour collaborer sur des cas de gestion des risques internes. Utilisez Teams pour : - Coordonner et examiner les activités de réponse pour les cas dans les canaux Teams privés - Partager et stocker en toute sécurité des fichiers et des preuves liés à des cas individuels - Détecter et examiner les activités de réponse par les analystes et les enquêteurs |
| Analyse | L’analyse des risques internes vous permet d’effectuer une évaluation des risques internes potentiels au sein de votre organisation sans aucune configuration de stratégie des risques internes. Cette évaluation peut permettre à votre organisation d’identifier des zones potentielles plus élevées de risque utilisateur et vous aider à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous pouvez envisager de configurer. |
| Notifications de l’administrateur | Utilisez le paramètre Notifications administrateur pour envoyer automatiquement une notification par e-mail aux groupes de rôles de gestion des risques internes sélectionnables. Vous pouvez : - Envoyer un e-mail de notification lorsque la première alerte est générée pour une nouvelle stratégie - Envoyer un e-mail quotidien lorsque de nouvelles alertes de gravité élevée sont générées - Envoyer un e-mail hebdomadaire résumant les stratégies qui ont des avertissements non résolus |
| Personnalisation de l’alerte inline | La personnalisation des alertes inline vous permet d’ajuster rapidement une stratégie de gestion des risques internes directement à partir du tableau de bord Alertes lors de l’examen de l’alerte. Des alertes sont générées lorsqu’une activité de gestion des risques atteint les seuils configurés dans la stratégie associée. Pour réduire le nombre d’alertes que vous recevez de ce type d’activité, vous pouvez modifier les seuils ou supprimer complètement l’activité de gestion des risques de la stratégie. |
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour