Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données à partir d’appareils (préversion)
Cet article vous guide tout au long des conditions préalables et des étapes de configuration pour la collecte de preuves pour les activités de fichiers sur les appareils et explique comment afficher les éléments qui sont copiés et enregistrés.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Voici les étapes générales de configuration et d’utilisation de la collecte de preuves pour les activités de fichiers sur les appareils.
- Intégrer des appareils
- Configurer le stockage Azure
- Définir des autorisations sur le stockage d’objets blob Azure
- Configuration des paramètres DLP de point de terminaison
- Configuration de la stratégie
- Afficher les fichiers enregistrés
Avant de commencer
Avant de commencer ces procédures, vous devez consulter En savoir plus sur la collecte de preuves pour les activités de fichiers sur les appareils (préversion).
Licences et abonnements
Consultez les conditions de licence pour Information Protection pour plus d’informations sur les abonnements qui prennent en charge DLP. Vous n’avez pas besoin de licences supplémentaires sur ce qui est nécessaire pour la DLP de point de terminaison.
Autorisations
Des autorisations Protection contre la perte de données Microsoft Purview standard (DLP) sont requises. Pour plus d’informations, voir Autorisations.
Intégration des appareils
Avant de pouvoir utiliser la copie des éléments correspondants dont vous avez besoin pour intégrer des appareils Windows 10/11 à Purview, consultez Vue d’ensemble de l’intégration d’appareils Windows 10 et Windows 11 dans Microsoft 365
Configurer le stockage Azure
Importante
Les conteneurs héritent des autorisations du compte de stockage dans lequel ils se trouvent. Vous ne pouvez pas définir d’autorisations différentes par conteneur. Si vous devez configurer des autorisations différentes pour différentes régions, vous devez créer plusieurs comptes de stockage, et non plusieurs conteneurs.
Vous devez avoir des réponses à ces questions avant de configurer votre stockage Azure et d’étendre la fonctionnalité aux utilisateurs.
Avez-vous besoin de compartimenter les éléments et d’y accéder selon les lignes de rôle ou de service ?
Par exemple, si votre organization souhaite avoir un ensemble d’administrateurs ou d’enquêteurs d’événements DLP qui peuvent afficher les éléments enregistrés de votre direction et un autre ensemble d’administrateurs ou d’enquêteurs d’événements DLP pour les éléments enregistrés à partir des ressources humaines, vous devez créer un compte de stockage Azure pour la direction et un autre pour les ressources humaines. Cela garantit que les administrateurs de stockage Azure ou les enquêteurs d’événements DLP peuvent uniquement voir les éléments qui correspondent aux stratégies DLP de leurs groupes respectifs.
Voulez-vous utiliser des conteneurs pour organiser les éléments enregistrés ?
Vous pouvez créer plusieurs conteneurs de preuves différents dans le même compte de stockage dans lequel trier les éléments enregistrés. Par exemple, un pour les éléments enregistrés à partir du service RH et un pour le service informatique.
Quelle est votre stratégie de protection contre la suppression ou la modification des éléments enregistrés ?
Dans le stockage Azure, la protection des données fait référence à des stratégies visant à protéger le compte de stockage et les données qu’il contient contre toute suppression ou modification, ou à la restauration des données après leur suppression ou leur modification. Stockage Azure offre également des options de récupération d’urgence, notamment plusieurs niveaux de redondance pour protéger vos données contre les pannes de service dues à des problèmes matériels ou des catastrophes naturelles, et un basculement géré par le client si le centre de données de la région primaire devient indisponible. Pour plus d’informations, consultez Vue d’ensemble de la protection des données.
Vous pouvez également configurer des stratégies d’immuabilité pour vos données blob qui protègent contre les éléments enregistrés qui sont remplacés ou supprimés. Pour plus d’informations, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable.
Créer un compte de stockage Azure
Les procédures de configuration de votre compte de stockage Azure, de votre conteneur et de vos objets blob sont documentées dans l’ensemble de documents Azure. Voici des liens vers des articles pertinents que vous pouvez consulter pour vous aider à commencer :
- Introduction à Stockage Blob Azure
- Créer un compte de stockage
- Gérer les conteneurs d’objets blob à l’aide du Portail Azure
- Gérer des objets blob de blocs avec PowerShell
Veillez à enregistrer le nom et l’URL du conteneur d’objets blob Azure. Pour afficher l’URL, ouvrez le portail > de stockage Azure **Home >Storage Accounts>Container>Properties
Définir des autorisations sur le stockage d’objets blob Azure
Vous devez configurer deux ensembles d’autorisations sur les objets blob, un pour les administrateurs et les enquêteurs afin qu’ils puissent afficher et gérer les preuves et un autre pour les utilisateurs dont les appareils doivent charger des éléments sur Azure. Vous devez créer des groupes de rôles personnalisés dans la conformité Microsoft Purview pour appliquer le moins de privilèges et leur attribuer des comptes.
Autorisations sur un objet blob Azure pour les administrateurs et les enquêteurs
Une fois que vous avez créé le groupe de rôles que les enquêteurs des incidents DLP utiliseront, il doit disposer de ces autorisations sur l’objet blob Azure. Pour plus d’informations sur la configuration de l’accès aux objets blob, consultez Comment autoriser l’accès aux données d’objets blob dans le Portail Azure et Attribuer des autorisations au niveau du partage.
Actions de l’enquêteur
Configurez ces autorisations pour ces actions pour les enquêteurs :
| Objet | Autorisations |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices | Lecture : Répertorier les services d’objets blob |
| Microsoft.Storage/storageAcccounts/blobServices | Lecture : Obtenir des propriétés ou des statistiques du service d’objets blob |
| Microsoft.Storage/storageAccounts/blobServices/containers | Lecture : Obtenir un conteneur d’objets blob |
| Microsoft.Storage/storageAccounts/blobServices/containers | Lecture : Liste des conteneurs d’objets blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Lecture : Objet blob de lecture |
Actions des données de l’enquêteur
| Objet | Autorisations |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Lecture : Objet blob de lecture |
Le json du groupe de rôles d’enquêteur doit ressembler à ceci :
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
Autorisations sur un objet blob Azure pour les utilisateurs
Attribuez ces autorisations à l’objet blob Azure pour le rôle d’utilisateurs :
Actions de l’utilisateur
| Objet | Autorisations |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices | Lecture : Répertorier les services d’objets blob |
| Microsoft.Storage/storageAccounts/blobServices/containers | Lecture : Obtenir un conteneur d’objets blob |
| Microsoft.Storage/storageAccounts/blobServices/containers | Écriture : Placer un conteneur d’objets blob |
Actions des données utilisateur
| Objet | Autorisations |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Écriture : Objet blob d’écriture |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Autre : Ajouter du contenu d’objet blob |
Le json pour le groupe de rôles d’utilisateur doit ressembler à ceci :
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
Configuration des paramètres DLP de point de terminaison
Connectez-vous au portail de conformité Microsoft Purview.
Dans le portail de conformité Microsoft Purview > de navigation > de gauche Solutions Protection>contre la> perte de donnéesParamètres> DLP du point de terminaisonConfiguration de la collecte de preuves pour les activités de fichier sur les appareils.
Définissez le bouton bascule sur Activé.
Définissez la durée pendant laquelle vous souhaitez que les éléments soient mis en cache sur les appareils s’ils ne peuvent pas accéder au compte de stockage Azure. Vous pouvez choisir 7, 30 ou 60 jours.
Sélectionnez + Ajouter un stockage et indiquez le nom et l’URL du compte de stockage Azure.
Configuration de la stratégie
Créez une stratégie DLP comme vous le feriez normalement. Reportez-vous à Créer et déployer des stratégies de protection contre la perte de données pour obtenir des exemples de configuration de stratégie.
Configurez votre stratégie à l’aide des paramètres suivants :
- Assurez-vous que Appareils est le seul emplacement sélectionné.
- Dans Rapports d’incidents, basculez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.
- Dans Rapports d’incidents, sélectionnez Collecter le fichier d’origine comme preuve pour toutes les activités de fichier sélectionnées sur le point de terminaison.
- Sélectionnez le compte de stockage souhaité.
- Sélectionnez les activités (Copier sur un périphérique USB amovible, Copier sur un partage réseau, Imprimer, Copier ou déplacer à l’aide d’une application Bluetooth non autorisée, Copier ou déplacer à l’aide du protocole RDP) pour lesquelles vous souhaitez copier les éléments correspondants dans le stockage Azure.
Afficher les fichiers enregistrés
Connectez-vous au portail de conformité Microsoft Purview.
Dans le portail de conformité Microsoft Purview > navigation > de gauche Explorateurd’activités Classification >des données.
Sélectionnez un événement de correspondance de règle DLP qui a été généré par une activité que vous surveillez.
Dans le volet volant, sélectionnez le lien nom de fichier sous Fichier de preuve. Notez le type de fichier.
Pendant cette préversion, le lien retourne cette erreur :
This XML file does not appear to have any style information associated with it. The document tree is shown below
Au cours de cette préversion, vous devez copier la valeur de hachage complète à partir de l’URL dans la barre d’adresse du navigateur.
Connectez-vous au portail Microsoft Azure .
Dans le Portail Azure > comptes >de stockaged’accueil> conteneur >>Nom d’objet blob du navigateur de<stockage>.<>
Ouvrez l’objet blob et recherchez la valeur hachée que vous avez copiée à l’étape 6 ci-dessus.
Téléchargez le fichier et ouvrez-le avec l’application appropriée pour le type de fichier.