En savoir plus sur la collecte de preuves pour les activités de fichier sur les appareils
Article
Lorsque vous examinez un incident de Protection contre la perte de données Microsoft Purview (DLP) ou que vous dépanner une stratégie DLP, il peut être utile d’avoir une copie complète de l’élément correspondant à la stratégie à laquelle faire référence. DLP peut copier l’élément qui correspond à une stratégie DLP à partir d’appareils Windows intégrés ou macOS (préversion) vers un compte de stockage Azure. Les enquêteurs et les administrateurs d’incidents DLP auxquels les autorisations appropriées ont été accordées sur l’objet blob de stockage Azure peuvent ensuite accéder aux fichiers.
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles dont vous avez besoin lorsque vous implémentez DLP :
Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
Emplacement de la collecte de preuves pour les activités de fichier sur les appareils dans Purview
Endpoint DLP fait partie de l’offre DLP plus large et de la plus grande gamme de services proposés dans Microsoft Purview. Vous devez comprendre comment la collecte de preuves pour les activités de fichiers sur les appareils s’intègre dans l’ensemble plus large d’offres de services.
Collecte de preuves pour les activités de fichiers sur les appareils et eDiscovery
Cette fonctionnalité effectue des copies des éléments qui correspondent aux stratégies DLP sur les appareils Windows intégrés ou macOS (préversion) et place ces copies dans un compte de stockage Azure. Ces copies ne sont pas conservées dans un état sans modification et ne sont pas des preuves au sens juridique du terme. Si vous avez besoin de rechercher et de conserver des éléments à des fins juridiques, vous devez utiliser les solutions Microsoft Purview eDiscovery. La découverte électronique, ou eDiscovery, est le processus d'identification et de livraison d'informations électroniques qui peuvent être utilisées comme preuves dans des affaires juridiques.
Collecte de preuves pour les activités de fichier sur les appareils et résumé contextuel
Lorsqu’un élément et l’activité qu’un utilisateur effectue sur cet élément correspondent aux conditions définies dans une stratégie DLP, un événement DLPRuleMatch s’affiche dans l’Explorateur d’activités. Cela est vrai pour chaque emplacement pris en charge par DLP. L’événement DLPRuleMatch contient une quantité limitée du texte qui entoure le contenu correspondant. Cette quantité limitée de texte est appelée résumé contextuel.
Il est important de comprendre la différence entre la collecte de preuves pour les activités de fichier sur les appareils et un résumé contextuel. La collecte de preuves pour les activités de fichier sur les appareils est disponible pour les appareils Windows intégrés ou les appareils macOS (préversion). Il enregistre une copie de l’élément entier qui correspond à une stratégie au compte de stockage Azure. Un résumé contextuel est capturé pour chaque correspondance de règle de stratégie DLP et contient uniquement une quantité limitée du texte qui entoure le texte cible qui a déclenché la correspondance.
Activités utilisateur couvertes
Vous pouvez configurer la collecte de preuves pour les activités de fichier sur les appareils afin d’enregistrer une copie d’un élément correspondant dans le compte de stockage Azure lorsqu’un utilisateur tente d’effectuer l’une de ces activités sur un élément correspondant :
Copier sur une clé USB amovible
Copier dans le partage réseau
Imprimer
Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
Copier ou parcourir rdp
Charger vers des domaines de service cloud ou accéder à partir d’un navigateur non autorisé
Lorsque vous activez la collecte de preuves pour les activités de fichiers sur les appareils dans les paramètres DLP du point de terminaison et que vous configurez une stratégie DLP pour utiliser cette fonctionnalité, elle enregistre une copie d’un élément correspondant pour ces actions :
Pour vous conformer aux exigences réglementaires, assurez-vous que les comptes de stockage Azure que vous utilisez se trouvent dans les mêmes limites géopolitiques ou réglementaires que les appareils dont ils sont copiés. En outre, tenez compte de l’emplacement géopolitique des enquêteurs DLP qui accéderont aux éléments sensibles une fois qu’ils seront enregistrés. Envisagez d’utiliser des unités d’administration pour étendre l’administration des utilisateurs et des appareils de manière appropriée pour chaque stratégie DLP. Pour savoir comment utiliser la protection contre la perte de données afin de se conformer aux réglementations en matière de confidentialité des données, consultez Déployer la protection des informations pour les réglementations en matière de confidentialité des données avec Microsoft Purview. La collecte de preuves pour les activités de fichiers sur les appareils prend en charge jusqu’à 10 comptes de stockage Azure.
Par défaut, les copies des éléments correspondants sont enregistrées de façon asynchrone dans le compte de stockage Azure configuré via la connexion réseau existante. Si l’appareil n’a pas de connectivité, les éléments correspondants sont enregistrés localement, jusqu’à la limite de 500 Mo. Vous pouvez enregistrer des éléments localement jusqu’à 60 jours.
Bien que l’appareil dispose d’une connectivité à l’URL du compte de stockage Azure, l’utilisation de la bande passante n’est pas limitée. La bande passante utilisée par la collecte de preuves pour les activités de fichiers sur les appareils n’affecte pas les limites de bande passante par défaut ou configurées pour l’analyse et la protection avancées de la classification.
Comptes de stockage Azure
Les clients sont responsables de la création et de la gestion de leurs propres comptes de stockage Azure. Si vous débutez avec le stockage Azure, consultez :
Vous avez deux options pour stocker les preuves collectées par Purview lorsqu’il détecte des informations sensibles dans votre contenu. Vous pouvez utiliser un magasin de données géré par le client ou un magasin de données géré par Microsoft (préversion). L’option que vous devez utiliser dépend de vos besoins et de vos cas d’usage. Pour vous aider à décider, passez en revue le tableau de comparaison qui suit.
Comparaison des types de stockage
Les fichiers correspondants continuent d’être inclus dans les résultats d’alerte même après la modification de votre type de stockage tant que les autorisations de contrôle d’accès en fonction du rôle (RBAC) restent intactes.
Étant donné que le stockage géré par le client appartient aux clients, les administrateurs DLP peuvent continuer à télécharger des fichiers directement à partir du stockage par fichier.
Le tableau suivant identifie les différences entre le stockage géré par le client et le stockage géré par Microsoft pour la collecte des preuves des informations sensibles détectées dans votre contenu.
Feature, élément
Géré par le client
Géré par Microsoft
Conservation des fichiers
Vous pouvez conserver les fichiers aussi longtemps que vous le souhaitez.
Les fichiers sont conservés pendant un maximum de 180 jours.
Limite de chargement
Vous pouvez charger des fichiers en fonction de vos paramètres de taille de stockage d’objets blob.
Vous pouvez charger jusqu’à 5 Go par jour au niveau du locataire global.
Paramètres de point de terminaison
Vous devez ajouter le stockage d’objets blob (URL de conteneur) dans les paramètres de point de terminaison, puis utiliser la centre d’administration Microsoft Entra pour configurer des autorisations utilisateur explicites sur l’objet blob pour les utilisateurs dans l’étendue.
L’ensemble de la configuration et des autorisations sont gérés d’un simple clic lors de la configuration de vos paramètres de point de terminaison.
Configuration de la stratégie et de l’emplacement
Vous devez ajouter et configurer des objets blob de stockage par stratégie pour chaque emplacement où une stratégie est appliquée.
Aucune sélection de stockage n’est nécessaire pour des emplacements de stratégie spécifiques.
Accès au stockage
Les utilisateurs disposant des autorisations appropriées sur l’objet blob de stockage peuvent accéder à la preuve
Aucun accès humain au stockage. La preuve est chargée et rendue par le système.
Emplacement/région du magasin de données
Choisi par le client
La même région que votre locataire Microsoft Purview.
Frais
Les frais de stockage sont facturés en plus du coût de votre abonnement Entra.
Aujourd’hui, le coût de stockage est inclus dans E5. Toutefois, Microsoft surveille l’utilisation du stockage et peut facturer en outre en fonction de l’utilisation excessive. Cela sera communiqué aux clients séparément en cas de changement dans le modèle d’entreprise.
Configuration réseau
Vous devez autoriser les URL de conteneur pour vos objets blob de stockage à passer par votre pare-feu réseau.
Vous devez inclure compliancedrive.microsoft.com dans une liste « autoriser » afin qu’elle puisse passer par le pare-feu réseau.
Rétention
Les clients peuvent archiver et vider de manière sélective pour libérer du stockage)
30 jours sur Purview et 180 jours sur Defender XDR
Autorisations d’aperçu et de téléchargement
Accès en lecture sur les objets blob de stockage, rôles RBAC Visionneuse de contenu de classification des données pour afficher un aperçu de la preuve et Téléchargement du contenu de classification des données pour télécharger la preuve
Rôles RBAC Visionneuse de contenu de classification des données pour afficher un aperçu de la preuve et Contenu de classification des données Télécharger pour télécharger la preuve
Modification des types de stockage
Les clients peuvent basculer entre les types de stockage à tout moment. Toutefois, la meilleure pratique consiste à planifier soigneusement le type de stockage dont vous aurez besoin à long terme et à sélectionner l’option appropriée pour votre cas d’usage. Pour plus d’informations sur les différences entre les deux types de stockage, consultez le tableau de comparaison des types de stockage.
Note
Lorsque vous changez de type de stockage, vous devez actualiser vos stratégies pour vous assurer qu’elles sont appliquées aux fichiers dans le nouveau magasin de données.
Impact de la modification des types de stockage sur les fichiers de preuve
Les fichiers correspondants continuent d’être inclus dans les résultats des alertes, même après avoir modifié le type de gestion du stockage, à condition que les autorisations de contrôle d’accès en fonction du rôle (RBAC) ne changent pas.
Étant donné que vous êtes propriétaire de votre solution de stockage gérée par le client, vos administrateurs DLP peuvent continuer à télécharger des fichiers directement par fichier une fois qu’ils ont été déplacés vers la solution de stockage gérée par Microsoft.
Étape suivante
L’étape suivante consiste à configurer la collecte des preuves pour les activités de fichier sur les appareils.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.