Bonnes pratiques pour la gestion de votre volume d’alertes dans la gestion des risques internes

Importante

Microsoft Purview Insider Risk Management met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

L’examen, l’examen et l’action sur les alertes internes potentiellement risquées sont des éléments importants de la réduction des risques internes dans votre organisation. Prendre rapidement des mesures pour réduire l’impact de ces risques peut potentiellement faire gagner du temps, de l’argent et des conséquences réglementaires ou juridiques pour votre organisation. Dans ce processus de correction, la première étape de l’examen des alertes peut sembler la tâche la plus difficile pour de nombreux analystes et enquêteurs.

Cet article présente les meilleures pratiques pour gérer le volume d’alertes dans votre organisation afin que vous n’ayez pas trop ou trop peu d’alertes. Pour obtenir une présentation générale de la façon dont les alertes sont générées et des outils de gestion des alertes, consultez Examiner les activités à risque interne.

Trop peu d’alertes à examiner

Si vous recevez trop peu d’alertes de gestion des risques internes :

• Mettez à jour vos paramètres : Les modifications que vous apportez aux paramètres s’appliquent globalement à toutes vos stratégies.

  • Activez d’autres indicateurs : La sélection d’autres indicateurs donne à vos stratégies un plus grand groupe d’activités à détecter.

    Comment: Accédez à Paramètres>Indicateurs de stratégie, puis activez tous les indicateurs disponibles et pertinents.

  • Ajustez le curseur Volume de l’alerte : Utilisez ce curseur pour afficher toutes les alertes de gravité moyenne et élevée, ainsi que la plupart des alertes de gravité faible. Note: L’ajustement du curseur peut entraîner un plus grand nombre de faux positifs.

    Comment: Accédez à Paramètres>Détections intelligentes>Volume d’alerte, puis déplacez le curseur sur Autres alertes.

• Modifiez la stratégie : Identifiez la stratégie qui ne génère pas suffisamment d’alertes, puis envisagez les actions suivantes :

  • Augmentez la couverture utilisateur dans la stratégie : Les stratégies avec peu d’utilisateurs inclus dans l’étendue sont moins susceptibles de générer des alertes. Le cas échéant, envisagez d’augmenter le nombre d’utilisateurs dans l’étendue de votre stratégie.

    Comment: Sélectionnez une stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, puis accédez à la page Utilisateurs et groupes pour augmenter le nombre d’utilisateurs dans l’étendue.

  • Réduisez les seuils de déclencheur : Les stratégies basées sur les fuites de données et les modèles Utilisation du navigateur à risque (préversion) vous permettent de personnaliser certains seuils de déclencheur. Ces seuils définissent le moment où vous allez commencer à détecter les activités des utilisateurs. Si vous réduisez les seuils de déclencheur, vous réduisez les critères permettant à un utilisateur de commencer à être évalué pour une activité à risque. Note: Si un utilisateur n’apparaît pas dans la page Utilisateurs et groupes , cela signifie que les critères d’événement de déclenchement n’ont pas encore été remplis.

    Comment: Accédez à la stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, accédez à la page Seuils de déclenchement, sélectionnez l’option Utiliser des seuils personnalisés , puis ajustez vos seuils.

  • Ajoutez d’autres indicateurs : Les indicateurs sont les activités qu’un utilisateur doit effectuer pour être considéré comme risqué. Si vous n’avez pas beaucoup d’indicateurs (activités considérées comme risquées) sélectionnés dans votre stratégie, les alertes sont moins susceptibles d’être générées.

    Comment: Accédez à la stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, accédez à la page Indicateurs , puis sélectionnez d’autres indicateurs.

  • Seuils d’indicateur inférieurs : Une fois que vos utilisateurs commencent à être évalués (ont un événement déclencheur), une alerte est générée uniquement pour ces utilisateurs s’ils effectuent des activités au-dessus d’un certain seuil qui peuvent indiquer que leur activité est risquée. L’abaissement des seuils d’indicateur réduit le seuil que les utilisateurs doivent dépasser pour générer une alerte.

    Comment: Accédez à la stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, accédez à la page Seuils d’indicateur, sélectionnez l’option Personnaliser les seuils , puis définissez vos seuils. En savoir plus sur les recommandations relatives aux seuils d’indicateur

Trop d’alertes à examiner

Si vous recevez trop d’alertes valides ou si vous avez trop d’alertes obsolètes à faible risque, envisagez d’effectuer les actions suivantes :

• Activer l’analytique : L’activation de l’analytique peut vous aider à identifier rapidement les zones de risque potentielles pour vos utilisateurs et à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous souhaiterez peut-être configurer.

  Comment: Accédez à Paramètres>Analytics.

• Obtenez des insights en temps réel : Vous pouvez également obtenir des insights en temps réel à partir de l’analytique si vous souhaitez tirer parti des recommandations de seuil. Ces insights peuvent vous aider à ajuster efficacement la sélection des indicateurs et des seuils d’occurrence d’activité afin de ne pas recevoir trop ou trop d’alertes de stratégie.

  Comment: Consultez Utiliser l’analytique en temps réel pour gérer le volume des alertes.

• Ajustez vos stratégies : La sélection et la configuration de la stratégie de risque interne appropriée sont la méthode la plus simple pour traiter le type et le volume des alertes. Le fait de commencer par le modèle de stratégie approprié permet de concentrer les types d’activités à risque et d’alertes que vous voyez. Les autres facteurs susceptibles d’avoir un impact sur le volume des alertes sont la taille de l’utilisateur et des groupes dans l’étendue, ainsi que le contenu et les canaux qui sont hiérarchisés. Envisagez d’ajuster les stratégies pour affiner ces domaines en fonction de ce qui est le plus important pour votre organisation.

  Comment: Sélectionnez une stratégie spécifique dans la page Stratégies , puis sélectionnez Modifier la stratégie.

• Modifiez vos paramètres de risque interne : Les paramètres de risque interne incluent un large éventail d’options de configuration qui peuvent avoir un impact sur le volume et les types d’alertes que vous recevez. Veillez à examiner et à comprendre les paramètres suivants pour filtrer le bruit d’alerte :

  • Indicateurs de stratégie et seuils d’indicateurs
  • Exclusions globales
  • Groupes de détection
  • Variantes des indicateurs intégrés
  • Détections intelligentes
  • Délais de la stratégie

• Activer la personnalisation des alertes inline : L’activation de la personnalisation des alertes inline permet aux analystes et aux enquêteurs de modifier rapidement les stratégies lors de l’examen des alertes. Ils peuvent mettre à jour les seuils de détection d’activité avec les recommandations De Microsoft, configurer des seuils personnalisés ou choisir d’ignorer le type d’activité qui a créé l’alerte. Si ce n’est pas activé, seuls les utilisateurs affectés au groupe de rôles Gestion des risques internes peuvent utiliser la personnalisation des alertes inline.

  Comment: Accédez à Paramètres>Personnalisation de l’alerte en ligne.

• Alertes de suppression en bloc, le cas échéant : Cela peut aider à gagner du temps de triage pour que vos analystes et enquêteurs ignorent immédiatement plusieurs alertes en bloc. Vous pouvez sélectionner jusqu’à 400 alertes à ignorer simultanément.

Gestion des contraintes de ressources dans votre organisation

Les utilisateurs de l’espace de travail moderne ont souvent une grande variété de responsabilités et de demandes sur leur temps. Vous pouvez effectuer plusieurs actions pour résoudre les contraintes de ressources :

• Concentrez d’abord les efforts des analystes et des enquêteurs sur les alertes à risque le plus élevé : Selon vos stratégies, vous pouvez capturer les activités des utilisateurs et générer des alertes avec différents degrés d’impact potentiel sur vos efforts d’atténuation des risques. Filtrez les alertes par gravité et hiérarchisez les alertes de gravité élevée .
• Utiliser Microsoft Copilot : vous pouvez utiliser Microsoft Copilot dans Microsoft Purview pour résumer une alerte sans même l’ouvrir. Cela peut accélérer l’expérience de triage.
• Affecter des utilisateurs en tant qu’analystes et enquêteurs : Le fait que l’utilisateur approprié soit affecté aux rôles appropriés est une partie importante du processus de révision des alertes de risque interne. Vérifiez que vous avez affecté les utilisateurs appropriés aux groupes de rôles Analystes de gestion des risques internes et Enquêteurs en gestion des risques internes .
• Utilisez les fonctionnalités automatisées de risque interne pour vous aider à découvrir les activités à risque le plus élevé :
  • Utilisez la détection de séquence de gestion des risques internes et la détection cumulative de l’exfiltration pour détecter rapidement les risques plus difficiles dans votre organisation.
  • Envisagez de peaufiner vos boosters de score de risque et d’utiliser des exclusions globales, desgroupes de détection et des variantes.
  • Ajustez les paramètres de seuil d’indicateur minimal pour vos stratégies.

Voir aussi

Examiner les activités de gestion des risques internes