Prise en main du tableau de bord Alertes de protection contre la perte de données

Article
09/01/2025

les stratégies Protection contre la perte de données Microsoft Purview (DLP) peuvent prendre des mesures de protection pour empêcher le partage involontaire d’éléments sensibles. Vous pouvez être averti lorsqu’une action est effectuée sur un élément sensible en configurant des alertes pour DLP. Cet article explique comment configurer des alertes dans vos stratégies de protection contre la perte de données (DLP). Vous verrez comment utiliser le tableau de bord de gestion des alertes DLP dans le portail Microsoft Purview pour afficher les alertes, les événements et les métadonnées associées pour les violations de stratégie DLP.

Si vous débutez avec les alertes DLP, consultez Bien démarrer avec les alertes de protection contre la perte de données.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Le portail Microsoft Purview affiche des alertes pour les stratégies DLP appliquées aux charges de travail suivantes :

La messagerie électronique Exchange
Sites SharePoint
Les comptes OneDrive
conversation et messages de canal Teams
Appareils
Cas
Référentiels locaux
Infrastructure et Power BI

Conseil

Un autre outil que vous pouvez utiliser pour trier les alertes qu’il Microsoft Security Copilot. Security Copilot est une plateforme d’IA basée sur le cloud qui peut aider les professionnels de la sécurité et de la conformité à protéger les données de leurs organization. Vous pouvez l’utiliser pour résumer les alertes Microsoft Purview, trier les alertes et explorer vos données Microsoft Puview. Il est disponible dans le tableau de bord Alertes DLP et dans Gestion de la posture de sécurité des données (préversion).

Avant de commencer

Avant de commencer, vérifiez que vous disposez des prérequis nécessaires :

Gestion des licences pour le tableau de bord de gestion des alertes DLP
Gestion des licences pour les options de configuration des alertes
Rôles requis

Gestion des licences pour le tableau de bord de gestion des alertes DLP

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Les clients qui utilisent endpoint DLP et qui sont éligibles pour teams DLP voient leurs alertes de stratégie DLP de point de terminaison et leurs alertes de stratégie DLP Teams dans le tableau de bord de gestion des alertes DLP.

Gestion des licences pour les options de configuration des alertes

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Rôles et Groupes de rôles

Si vous souhaitez afficher le tableau de bord de gestion des alertes DLP ou modifier les options de configuration des alertes dans une stratégie DLP, vous devez être membre de l’un des groupes de rôles suivants :

Administrateur de conformité
Administrateur de conformité des données
Administrateur de sécurité
Opérateur de sécurité
Lecteur de sécurité
Administrateur Information Protection
Analyste Information Protection
Enquêteur Information Protection
Lecteur Information Protection

Pour en savoir plus à leur sujet, consultez Autorisations dans le portail de conformité Microsoft Purview

Voici une liste des groupes de rôles applicables. Pour en savoir plus, consultez Autorisations dans la portail de conformité Microsoft Purview.

Protection des informations
Administrateurs Information Protection
Analystes Information Protection
Enquêteurs Information Protection
Lecteurs Information Protection

Pour accéder au tableau de bord de gestion des alertes DLP, vous avez besoin du rôle Gérer les alertes et de l’un de ces deux rôles :

Gestion de la conformité DLP
View-Only gestion de la conformité DLP

Pour accéder à la fonctionnalité d’aperçu du contenu et aux fonctionnalités de contenu sensible et de contexte mis en correspondance, vous devez être membre du groupe de rôles Visionneuse de contenu Explorer de contenu, dont le rôle visionneuse de contenu classification des données est préassigné.

Configuration de l’alerte DLP

Pour savoir comment configurer une alerte dans votre stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données.

Important

La configuration de la stratégie de rétention du journal d’audit de votre organization contrôle la durée pendant laquelle une alerte reste visible dans la console. Pour plus d’informations, consultez Gérer les stratégies de rétention des journaux d’audit .

Configuration des alertes d’événement d’agrégation

Si votre organization dispose d’une licence pour les options de configuration des alertes agrégées, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP.

Capture d’écran montrant les options de rapports d’incident pour les utilisateurs éligibles aux options de configuration d’alerte agrégées.

Cette configuration vous permet de configurer une stratégie pour générer une alerte chaque fois qu’une activité correspond aux conditions de stratégie ou lorsqu’un certain seuil est dépassé, en fonction du nombre d’activités ou du volume de données exfiltrées.

Configuration d’une alerte d’événement unique

Si votre organization dispose d’une licence pour les options de configuration des alertes à événement unique, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP. Utilisez cette option pour créer une alerte qui est déclenchée chaque fois qu’une correspondance de règle DLP se produit.

Capture d’écran montrant les options de rapports d’incident pour les utilisateurs éligibles aux options de configuration des alertes à événement unique.

Examiner une alerte DLP

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Selon votre plan Microsoft 365, le portail de conformité Microsoft Purview est mis hors service ou sera bientôt mis hors service.

Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview
Portail de conformité

Pour utiliser le tableau de bord de gestion des alertes DLP :

Connectez-vous au portail >Microsoft PurviewProtection contre la perte de données.
Sélectionnez Alertes pour afficher le tableau de bord Alertes DLP .
Utilisez les champs Filtrer pour affiner la liste des alertes.
Choisissez Personnaliser les colonnes pour répertorier les propriétés que vous souhaitez afficher.
Pour trier les résultats par ordre croissant ou décroissant, double-cliquez sur l’en-tête de colonne.
Double-cliquez sur une alerte pour plus d’informations sur celle-ci.
L’onglet Détails s’ouvre par défaut et fournit des informations générales sur l’alerte.
Sélectionnez Résumer avec Copilot. Le Security Copilot génère alors un résumé de l’alerte. Le résumé de l’alerte contient les éléments suivants :
- gravité de l’alerte
- titre de l’alerte
- nom de la stratégie qui a été correspondante
- le fichier de nom impliqué et un lien vers le fichier
- status d’alerte
- adresse e-mail de l’utilisateur qui a effectué l’action correspondant à la stratégie
Sélectionnez les points de suspension dans le résumé Security Copilot pour :
- copier le résumé dans le Presse-papiers
- régénérer le résumé
- ouvrez l’alerte dans l’expérience autonome Security Copilot.
Sélectionnez Afficher les détails pour ouvrir l’onglet Vue d’ensemble . L’onglet Vue d’ensemble fournit un résumé des informations suivantes :
- Que s’est-il passé
- Qui a effectué les actions à l’origine de la correspondance de stratégie
- Informations supplémentaires sur la correspondance de stratégie
L’onglet Événements répertorie tous les événements associés à l’alerte. Sélectionnez un événement dans la liste pour obtenir des informations détaillées sur l’événement. Pour chaque événement, choisissez la liste déroulante Actions pour obtenir la liste des actions que vous pouvez effectuer sur l’alerte, par exemple vérifier si l’alerte a identifié une correspondance vraie ou un faux positif.
1. L’onglet Résumé de l’activité utilisateur nécessite que le partage soit activé dans les paramètres de gestion des risques internes Une fois activé, l’onglet Résumé de l’activité utilisateur fournit toutes les activités d’exfiltration que l’utilisateur a effectuées (jusqu’aux 120 derniers jours). Les utilisateurs doivent être dans l’étendue d’une stratégie de gestion des risques internes pour afficher l’onglet Résumé de l’activité des utilisateurs .
2. Après avoir examiné l’alerte, revenez à l’onglet Vue d’ensemble où vous pouvez Afficher les détails pour trier et gérer la destruction de l’alerte, ajouter des commentaires et attribuer la propriété de l’alerte. (Pour afficher l’historique de la gestion des flux de travail.)
3. Après avoir pris l’action requise pour l’alerte, définissez l’État de l’alerte sur Résolu.

Créer un lien partageable vers un événement d’alerte

Les utilisateurs disposant des autorisations appropriées peuvent afficher les alertes Protection contre la perte de données Microsoft Purview (DLP) dans la console Alertes DLP. Toutefois, à mesure que les alertes sont triées et examinées, vous pouvez partager des événements d’alerte avec des utilisateurs qui n’ont pas accès à DLP et à la console d’alertes. En préversion, vous pouvez créer un lien partageable vers un événement d’alerte :

Dans le portail Purview, accédez à Protection contre la perte de données, puis sélectionnez Alertes.
Sélectionnez une alerte, puis sélectionnez Afficher les détails.
Dans l’écran Détails de l’alerte, sélectionnez l’onglet Événements juste en dessous du titre de l’alerte pour afficher les événements contenus dans cette alerte.
Sélectionnez l’événement que vous souhaitez partager, puis cliquez sur le bouton Actions en bas de l’écran pour afficher le menu Actions .
Sélectionnez Copier le lien de l’événement, puis Copier pour copier le lien partageable vers l’événement.
Vous pouvez maintenant coller le lien à partir de votre Presse-papiers pour partager le lien via une conversation, un e-mail ou d’autres moyens.

Autres conditions correspondantes

Microsoft Purview prend en charge l’affichage des conditions correspondantes dans un événement DLP pour révéler la cause exacte d’une stratégie DLP avec indicateur. Ces informations s’affichent dans :

Console Alertes DLP
Explorateur d’activités
portail Microsoft Defender pour entreprises

Sous l’onglet Événements , ouvrez Détails pour afficher Autres conditions correspondantes.

Configuration requise

Doit être en cours d’exécution Windows 10 x64 (build 1809 ou ultérieure) ou Windows 11.
- Consultez 21 mars 2023 — KB5023773 (builds du système d’exploitation 19042.2788, 19044.2788 et 19045.2788) Preview pour connaître les builds minimales requises du système d’exploitation Windows.
Les données des conditions correspondantes sont disponibles pour les titulaires de licenceS E3 et E5 valides.
Activez l’audit.
Activez l’analyse et la protection avancées de la classification.

Les informations sur les événements correspondants sont prises en charge pour ces conditions

Condition	Exchange	Sharepoint	Teams	Point de terminaison
L’expéditeur est	Oui	Non	Oui	Non
Le domaine de l’expéditeur est	Oui	Non	Oui	Non
L’adresse de l’expéditeur contient des mots	Oui	Non	Non	Non
L’adresse de l’expéditeur correspond aux modèles	Oui	Non	Non	Non
L’expéditeur est membre de	Oui	Non	Non	Non
L’adresse IP de l’expéditeur est	Oui	Non	Non	Non
L’expéditeur a remplacé le conseil de stratégie	Oui	Non	Non	Non
SenderAdAttribute Contient des mots	Oui	Non	Non	Non
Modèles SenderAdAttribute Correspond	Oui	Non	Non	Non
Le destinataire est	Oui	Non	Oui	Non
Le domaine du destinataire est	Oui	Non	Oui	Non
L'adresse du destinataire contient les mots	Oui	Non	Non	Non
L’adresse du destinataire correspond aux modèles	Oui	Non	Non	Non
Le destinataire est membre de	Oui	Non	Non	Non
RecipientAdAttribute Contient des mots	Oui	Non	Non	Non
Modèles De correspondances RecipientAdAttribute	Oui	Non	Non	Non
Le document est protégé par mot de passe	Oui	Non	Non	Non
Impossible d’analyser le document	Oui	Non	Non	Non
L’analyse du document n’a pas été terminée	Oui	Non	Non	Non
Le nom du document contient des mots	Oui	Oui	Non	Non
Le nom du document correspond aux modèles	Oui	Non	Non	Non
La propriété du document est	Oui	Oui	Non	Non
Taille du document sur	Oui	Oui	Non	Non
Le contenu du document contient des mots	Oui	Non	Non	Non
Le contenu du document correspond aux modèles	Oui	Non	Non	Non
Le type de document est	Non	Non	Non	Oui
L’extension de document est	Oui	Oui	Non	Oui
Le contenu est partagé à partir de M365	Oui	Oui	Oui	Non
Le contenu est reçu à partir de	Oui	Non	Non	Non
Le jeu de caractères de contenu contient des mots	Oui	Non	Non	Non
L’objet contient des mots	Oui	Non	Non	Non
L’objet correspond aux modèles	Oui	Non	Non	Non
L’objet ou le corps contient des mots	Oui	Non	Non	Non
L’objet ou le corps correspond aux modèles	Oui	Non	Non	Non
L’en-tête contient des mots	Oui	Non	Non	Non
L’en-tête correspond aux modèles	Oui	Non	Non	Non
Taille du message sur	Oui	Non	Non	Non
Le type de message est	Oui	Non	Non	Non
L’importance du message est	Oui	Non	Non	Non

Limitation lors du téléchargement d’e-mails à partir d’une alerte DLP

En général, lorsque vous utilisez le tableau de bord de gestion des alertes DLP, vous pouvez télécharger des e-mails spécifiques à partir d’une alerte. Toutefois, les e-mails qui ont été supprimés dans l’un des scénarios suivants ne peuvent pas être téléchargés.

Expéditeur	Destinataire	état de Email
Interne	Externe	Supprimé par l’expéditeur
Externe	Interne	Supprimé par destinataire
Interne	Interne	Supprimé par les deux parties

Outils d’investigation d’alerte supplémentaires

Ressources supplémentaires

Documentation

Prise en main des alertes de protection contre la perte de données

Informations de référence sur les alertes DLP.
En savoir plus sur la protection contre la perte de données

Découvrez les meilleures pratiques pour examiner les alertes DLP
Informations de référence sur la stratégie de protection contre la perte de données

Composant de stratégie DLP et informations de référence sur la configuration. Cet article fournit une anatomie détaillée d’une stratégie DLP.
En savoir plus En savoir plus sur le mode simulation de prévention des pertes de données

En savoir plus sur les concepts fondamentaux du mode de simulation de stratégie Protection contre la perte de données Microsoft Purview
Quels sont les modèles de stratégie DLP inclus

Découvrez ce que les modèles de stratégie de protection contre la perte de données (DLP) dans le portail de conformité Microsoft Purview incluent.
Créer et déployer une stratégie de protection contre la perte de données

Scénarios de création et de déploiement de stratégies DLP
Tester vos stratégies DLP.

Découvrez comment utiliser l’applet de commande Test-DlpPolicies sur des éléments dans SharePoint et OneDrive pour voir quelles stratégies DLP correspondent
Prise en main de l’Explorateur d’activités

L’Explorateur d’activités vous permet de voir et de filtrer les actions que les utilisateurs effectuent sur votre contenu étiqueté.

Entrainement

Module

Répondre aux alertes de protection contre la perte de données à l’aide de Microsoft 365 - Training

Répondre aux alertes de protection contre la perte de données à l’aide de Microsoft 365

Certification

Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications

Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.

Partager via