Alertes et stratégies d’alerte du Gestionnaire de conformité Microsoft Purview
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Le Gestionnaire de conformité peut vous avertir des modifications dès qu’elles se produisent afin que vous puissiez suivre vos objectifs de conformité. Par exemple, vous pouvez configurer des alertes pour vous informer quand la valeur de score d’une action d’amélioration a augmenté ou diminué en raison d’une modification de configuration dans votre locataire, ou lorsqu’une action d’amélioration a été affectée à un utilisateur pour effectuer un travail d’implémentation ou de test. Affichez les types d’événements pour lesquels vous pouvez créer des alertes.
Pour créer des alertes, vous devez d’abord configurer une stratégie d’alerte pour décrire les conditions qui déclenchent une alerte et la fréquence des notifications. Lorsque nous détectons une correspondance avec vos conditions de stratégie, vous recevez une notification par e-mail avec des détails vous permettant de déterminer s’il faut examiner ou prendre d’autres mesures.
Toutes les alertes sont répertoriées dans la page Alertes du Gestionnaire de conformité, et toutes les stratégies d’alerte sont répertoriées dans la page Stratégies (dans le portail de conformité Microsoft Purview classique, cette page est appelée Stratégies d’alerte). Toutes les organisations disposent déjà d’une stratégie de changement de score par défaut .
Important
Les utilisateurs doivent avoir le rôle Lecteur sécurité dans Microsoft Entra ID afin d’accéder aux pages Stratégies et Alertes. Des rôles de gestionnaire de sécurité et de conformité supplémentaires sont nécessaires pour utiliser des alertes et des stratégies d’alerte. Obtenez les détails ci-dessous dans Autorisations de stratégie d’alerte.
Sélectionnez Stratégies (ou Stratégies d’alerte si vous utilisez le portail classique) dans le Gestionnaire de conformité pour afficher et gérer vos stratégies d’alerte. La page Stratégies contient un tableau répertoriant toutes les stratégies créées par votre organization. À partir de cette page, vous pouvez créer des stratégies, modifier des stratégies existantes, modifier les status d’activation et supprimer des stratégies.
Dans la colonne État, Active signifie que la stratégie est en vigueur et déclenche des alertes lorsque les conditions sont remplies. Inactif signifie que la stratégie existe mais ne génère pas d’alertes. Le tableau stratégies indique également la gravité de la stratégie et la date de la dernière modification de la stratégie.
Pour afficher les détails d’une stratégie individuelle, sélectionnez sa ligne dans la table. Un volet volant qui affiche tous les détails s’affiche. Sélectionnez le bouton Action en bas du volet et sélectionnez parmi les options pour modifier la stratégie, afficher ses alertes ou la supprimer. Les commandes à ajouter, modifier, supprimer, activer et désactiver sont également disponibles en haut du tableau, au-dessus des filtres.
Pour commencer à créer une stratégie d’alerte, consultez Créer une stratégie d’alerte.
Sélectionnez Alertes dans le Gestionnaire de conformité pour afficher et gérer vos alertes. La page Alertes contient une table répertoriant chaque alerte générée par une stratégie d’alerte, ainsi que sa gravité et l’événement déclencheur (par exemple, la modification du score d’une action) et la date de l’alerte.
Pour afficher une alerte individuelle, sélectionnez sa ligne dans la table. Un volet volant s’affiche et affiche tous les détails sous l’onglet Vue d’ensemble du volet. L’onglet Journal des événements affiche les actions effectuées par les utilisateurs qui ont déclenché l’alerte.
Le bouton Actions en bas du volet fournit des options permettant d’affecter l’alerte à un utilisateur pour le suivi, d’envoyer un e-mail à l’utilisateur dont les actions ont généré l’alerte ou d’afficher les détails de la stratégie qui génère l’alerte. Vous pouvez également effectuer les mêmes actions en sélectionnant le bouton rond qui apparaît à gauche du nom de l’alerte lorsque vous pointez sur sa ligne, puis en sélectionnant l’un des boutons situés en haut du tableau, au-dessus des filtres.
Pour commencer à utiliser les alertes, consultez Affichage et gestion des alertes.
Le tableau ci-dessous décrit les utilisateurs qui peuvent créer et modifier des alertes et des stratégies d’alerte en fonction de leur type de rôle. En plus de détenir un rôle gestionnaire de conformité, les utilisateurs ont également besoin d’un rôle Microsoft Entra comme suit :
- Pour afficher les alertes et les stratégies d’alerte : le rôle Lecteur sécurité dans Microsoft Entra ID.
- Pour créer ou mettre à jour des stratégies d’alerte : le rôle Administrateur de conformité, Administrateur des données de conformité, Administrateur de la sécurité ou Opérateur de sécurité dans Microsoft Entra ID.
En savoir plus sur les rôles Azure dans le portail de conformité Microsoft Purview.
Important
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
Role | Peut créer et modifier des stratégies | Peut modifier les alertes |
---|---|---|
Administration du Gestionnaire de conformité | Oui | Oui |
Évaluateur du Gestionnaire de conformité | Oui | Oui |
Contributeur du Gestionnaire de conformité | Oui | Oui |
Lecteur du Gestionnaire de conformité | Non | Non |
Administrateur général | Oui | Oui |
Découvrez comment définir des autorisations utilisateur et attribuer des rôles pour le Gestionnaire de conformité.
Vous pouvez créer des stratégies pour vous alerter lorsque certains changements ou événements liés aux actions d’amélioration se produisent. Les types d’événements sont répertoriés ci-dessous.
- Changement de score : augmentation ou diminution des points attribués pour une action d’amélioration en raison de modifications de configuration apportées par une personne de votre organization. Par exemple, si votre organization crée une stratégie de gestion des risques internes, cela peut augmenter vos points pour une certaine action d’un certain montant.
- Changement d’affectation : une action d’amélioration a été affectée à un utilisateur, réaffectée à un autre utilisateur ou non attribuée à un utilisateur.
- Implémentation status modification : un utilisateur a modifié le status d’implémentation d’une action d’amélioration.
- Test status modification : un utilisateur a modifié la status de test d’une action d’amélioration.
- Modification des preuves : un utilisateur a chargé ou supprimé un document de preuve sous l’onglet Documents de l’action d’amélioration.
Le Gestionnaire de conformité configure une stratégie d’alerte par défaut pour surveiller les modifications de score dans les actions d’amélioration. La stratégie par défaut génère une alerte lorsque le score d’une action d’amélioration change. La plupart des paramètres de la stratégie par défaut ne peuvent pas être modifiés. Mais vous pouvez ajouter d’autres utilisateurs en tant que destinataires des notifications d’alerte, ce que nous vous recommandons.
Voici les paramètres de la stratégie par défaut :
Toutes les correspondances détectées dans un intervalle de 60 minutes sont regroupées en une seule alerte pour réduire les notifications excessives. Par exemple, si cinq actions d’amélioration subissent une modification de score dans l’heure, une alerte est générée.
Le niveau de gravité de ces alertes est moyen.
Le Administration global de votre organization est le destinataire par défaut des notifications d’alerte.
Vous pouvez ajouter d’autres destinataires d’alerte en procédant comme suit :
- Dans la page Stratégies , recherchez la stratégie d’alerte par défaut du Gestionnaire de conformité.
- Cochez la case à gauche de son nom et sélectionnez le bouton Modifier en haut, au-dessus des filtres.
- Sélectionnez le bouton Suivant jusqu’à ce que vous arriviez à la page Destinataires de l’alerte .
- Sélectionnez +Sélectionner les destinataires et case activée les zones en regard de chaque nom d’utilisateur du volet volant auquel vous souhaitez recevoir la notification par e-mail. Lorsque vous avez terminé, sélectionnez Ajouter un destinataire, puis Suivant.
- Dans la page Vérifier et terminer , sélectionnez Mettre à jour pour enregistrer vos modifications.
La stratégie par défaut ne peut pas être supprimée, mais vous pouvez la désactiver en suivant les étapes décrites ci-dessous.
Pour créer une stratégie afin de générer des alertes basées sur un ou plusieurs événements, suivez les étapes ci-dessous :
Dans le Gestionnaire de conformité, accédez à la page Stratégies et sélectionnez Ajouter pour démarrer l’Assistant Création de stratégie.
Conseil
Dans le nouveau portail Microsoft Purview, cette page est appelée Stratégies et se trouve dans le volet de navigation gauche au lieu d’être un onglet en haut.
Dans la page Nom et description , entrez un nom pour la stratégie et une description facultative, puis sélectionnez Suivant.
Dans la page Conditions , sélectionnez un ou plusieurs événements qui déclencheront une alerte. Sous l’en-tête d’activité De l’action d’amélioration, sélectionnez Ajouter des sous-conditions et case activée la zone qui s’affiche lorsque vous pointez à gauche de chaque nom de condition. Vous pouvez choisir une ou plusieurs conditions pour une stratégie : changement d’affectation, changement de preuve, implémentation status modification, changement de score, test status modification. Lorsque vous avez terminé, cliquez sur Suivant.
Dans la page Résultats , choisissez ce qui se passe lorsqu’une correspondance de stratégie est détectée :
- Sélectionnez un niveau de gravité pour l’alerte lorsqu’une correspondance est détectée : faible, moyen ou élevé.
- Sélectionnez la fréquence à laquelle vous souhaitez être averti par e-mail lorsqu’une correspondance est détectée. Vous pouvez choisir d’être informé de chaque correspondance, ou choisir un seuil d’un certain nombre de correspondances au-dessus de trois.
- Si vous choisissez d’être averti après trois correspondances ou plus, vous désignerez ensuite le nombre de minutes pendant lesquelles ce seuil doit être atteint (par exemple, 4 correspondances dans les 90 minutes).
Lorsque vous avez terminé, sélectionnez Suivant.
Dans la page Destinataire de l’alerte, sélectionnez des utilisateurs supplémentaires dans votre organization pour recevoir un e-mail lorsque les conditions de stratégie sont remplies. L’utilisateur qui crée la stratégie est le destinataire par défaut. Sélectionnez +Sélectionner les destinataires et case activée les zones en regard de chaque nom d’utilisateur du volet volant auquel vous souhaitez recevoir la notification par e-mail. Lorsque vous avez terminé, sélectionnez Ajouter des destinataires, puis Suivant.
Passez en revue toutes les sélections et apportez des modifications à chaque section en sélectionnant Modifier. Une fois l’examen terminé, sélectionnez Créer une stratégie.
Une fois votre stratégie créée, sélectionnez Terminé. Vous arrivez à votre page Stratégies avec le volet volant de la stratégie que vous venez de créer déjà ouverte.
Votre stratégie est active une fois que vous l’avez créée, ce qui signifie qu’elle commence à détecter les correspondances et à générer des alertes. Consultez la section Gestion des stratégies ci-dessous pour savoir comment activer ou supprimer des stratégies.
La création ou la mise à jour d’une stratégie peut prendre jusqu’à 24 heures avant que des alertes soient générées par cette stratégie. Consultez Afficher les détails des alertes ci-dessous pour en savoir plus sur le déclenchement d’événements et l’agrégation des alertes.
La page Stratégies contient un tableau répertoriant toutes vos stratégies. Consultez la page Stratégies pour mieux comprendre cette page. Tout utilisateur de votre organization peut afficher les stratégies, mais certaines actions sont limitées à certains rôles. Consultez Autorisations de stratégie d’alerte.
Conseil
Dans le nouveau portail Microsoft Purview, cette page est appelée Stratégies et se trouve dans le volet de navigation gauche au lieu d’être un onglet en haut.
Sélectionnez une stratégie à partir de sa ligne dans la page Stratégies pour afficher un panneau volant affichant les détails de la stratégie, notamment ses conditions de correspondance, si et quand des notifications d’alerte sont envoyées et à qui, ainsi que le niveau de gravité.
Le bouton Actions en bas du panneau vous permet de modifier la stratégie, de supprimer la stratégie ou d’afficher les alertes.
Dans le volet volant de la stratégie, sélectionnez Actions , puis Afficher les alertes. Vous êtes dirigé directement vers la page Alertes avec une vue filtrée de toutes les alertes générées par cette stratégie. Découvrez comment utiliser les alertes.
Vous pouvez modifier n’importe quel aspect d’une stratégie, à l’exception de son nom. Si vous souhaitez modifier son nom, vous devez créer une stratégie avec un nouveau nom.
Pour modifier une stratégie, sélectionnez le bouton arrondi qui apparaît à gauche de son nom lorsque vous pointez sur sa ligne dans la page Stratégies , puis sélectionnez le bouton Modifier en haut, au-dessus des filtres.
Vous êtes redirigé vers l’Assistant création de stratégie, où vous pouvez apporter et enregistrer des modifications à votre stratégie. Vous pouvez également sélectionner la stratégie pour afficher son panneau d’informations, puis, à partir du bouton Actions , sélectionnez Modifier la stratégie. Après avoir parcouru à nouveau l’Assistant, passez en revue vos sélections et, à la dernière étape, sélectionnez Mettre à jour pour enregistrer vos modifications.
Jusqu’à 24 heures peuvent être nécessaires avant que les alertes ne soient générées par la stratégie mise à jour.
Les stratégies sont activées par défaut dès qu’elles sont créées. Lorsqu’elle est active, une stratégie crée une alerte (affichée sur la page Alertes ) lorsque les conditions sont remplies et envoie un e-mail de notification aux destinataires désignés.
Pour passer d’une stratégie à un état inactif , ce qui signifie qu’elle ne génère pas d’alertes, sélectionnez le bouton arrondi qui apparaît à gauche du nom de la stratégie lorsque vous pointez sur sa ligne. Sélectionnez ensuite la commande Désactiver au-dessus du tableau. Le status de votre stratégie est désormais inactif. Pour réactiver la stratégie, suivez le même processus et sélectionnez le bouton Activer au-dessus des filtres.
Pour supprimer une stratégie, vous pouvez sélectionner le bouton en regard de son nom dans la page Stratégies , puis sélectionner Supprimer en haut de la page. Vous pouvez également sélectionner la stratégie pour afficher son panneau d’informations, puis, à partir du bouton Actions , sélectionnez Supprimer la stratégie.
La suppression est permanente. Une fois que vous supprimez une stratégie, elle ne génère plus d’alertes ni de Notifications par e-mail. En savoir plus sur les alertes connectées aux stratégies supprimées.
La page Alertes affiche un tableau avec toutes les alertes générées par toutes vos stratégies. Les alertes sont générées presque immédiatement après qu’un événement correspondant aux conditions de la stratégie s’est produit. Le nom de l’alerte est identique à celui de la stratégie qui a généré l’alerte.
Une alerte ne peut être générée qu’à partir d’une stratégie active. Une fois qu’une alerte est générée, elle reste répertoriée dans la page Alertes , que la stratégie soit active ou inactive.
Vous pouvez filtrer votre affichage des alertes en sélectionnant la commande Filtrer au-dessus du tableau de votre page Alertes . Dans le volet volant Filtre , sélectionnez parmi les options de filtre suivantes :
- Type d’événement
- Severity
- Statut
- Utilisateur affecté à
- Date de détection
- Nom de la stratégie
Après avoir effectué vos sélections, sélectionnez Appliquer. Le volet volant se ferme et votre page Alertes mise à jour affiche votre affichage filtré. Vos filtres sont affichés en haut du tableau, bien que toutes les colonnes de filtre ne s’affichent pas dans le tableau.
Pour afficher tous les détails de l’alerte, y compris les événements qui l’ont déclenchée, sélectionnez sa ligne dans la table. Un volet volant affiche les détails de l’alerte sous l’onglet Vue d’ensemble du panneau.
L’onglet Journal des événements du panneau volant répertorie les activités qui ont généré l’alerte, telles qu’un changement de score ou une modification d’affectation, ainsi que le nom de l’utilisateur associé à chaque action et la date de détection.
La colonne Événement de la page Alertes indique les conditions d’une stratégie qui ont été détectées ; en d’autres termes, l’activité qui a généré l’alerte. L’onglet Journal des événements du volet de détails de l’alerte répertorie chaque instance d’un événement, l’utilisateur associé et la date de détection. Les valeurs d’événement sont répertoriées ci-dessous :
- Changement de score : indique le nombre d’augmentations ou de diminutions de points
- Changement d’affectation : une action d’amélioration a été affectée à un utilisateur, réaffectée à un autre utilisateur ou non attribuée à un utilisateur
- Implémentation status modification : un utilisateur a modifié l’implémentation d’une action d’amélioration status
- Test status modification : un utilisateur a modifié la status de test d’une action d’amélioration.
- Modification des preuves : un utilisateur a chargé ou supprimé un document de preuve sous l’onglet Documents de l’action d’amélioration
- Multi-événement : plusieurs instances du même type d’événement ont été détectées ; par exemple, une seule action d’amélioration qui a été réaffectée plusieurs fois
- Conditions multiples : plusieurs conditions au sein d’une même stratégie ont été détectées
Lorsque plusieurs événements qui correspondent aux conditions d’une stratégie d’alerte se produisent avec une minute, ils sont ajoutés à une alerte existante par un processus appelé agrégation d’alertes.
Par exemple, lorsqu’un événement qui correspond à une stratégie se produit, une alerte est générée et affichée sur la page Alertes et une notification est envoyée. Si un autre événement correspondant à la même stratégie se produit dans la minute suivant le premier événement, le Gestionnaire de conformité ajoute des détails sur l’autre événement sous l’onglet Journal des événements de l’alerte existante au lieu de déclencher une nouvelle alerte. L’objectif de l’agrégation des alertes est de réduire la « fatigue » des alertes et de vous permettre de vous concentrer et d’agir sur moins d’alertes.
Quand l’une de vos stratégies génère une alerte, vous pouvez afficher les événements à l’origine de l’alerte et déterminer si vous devez vérifier ou examiner plus en détail les événements.
Pour effectuer une action sur une alerte, sélectionnez sa ligne dans la page Alertes pour afficher le panneau volant avec ses détails, sélectionnez le bouton Actions et choisissez parmi les options répertoriées ci-dessous. Vous pouvez également effectuer des actions en sélectionnant le bouton rond qui apparaît à gauche du nom de l’alerte lorsque vous pointez sur sa ligne, puis en sélectionnant l’un des boutons d’action situés en haut de la page, au-dessus des filtres.
Affecter une alerte : vous pouvez affecter l’alerte à un utilisateur pour examiner ou vérifier les événements qui ont provoqué l’alerte. Lorsque vous choisissez cette option, un panneau s’ouvre dans lequel vous pouvez sélectionner un utilisateur dans votre organization et lui affecter l’alerte. Vous pouvez filtrer votre affichage des alertes en sélectionnant Filtres dans la page Alertes et en entrant le nom de l’utilisateur dans le champ Affecté à .
Email alerte : vous pouvez envoyer un e-mail à l’utilisateur associé à l’activité de l’alerte pour confirmer qu’il a effectué l’action. Lorsque vous avez choisi cette option, un modèle d’e-mail contenant des informations de base sur l’alerte s’ouvre, que vous pouvez personnaliser avec des instructions supplémentaires et les envoyer à l’utilisateur.
Afficher les détails de la stratégie : vous souhaiterez peut-être passer en revue les paramètres de la stratégie qui a déclenché l’alerte. Lorsque vous sélectionnez cette option, vous accédez directement à la page Stratégies avec le panneau détails de la stratégie déjà ouvert. Vous ne serez plus sur votre page Alertes lorsque vous fermez le panneau détails de la stratégie.
Modifier status : vous pouvez mettre à jour status de votre alerte en fonction de votre examen de son impact et si elle doit être examinée. Pour en savoir plus sur les états des alertes, consultez la section suivante.
Lorsqu’une alerte est créée, son status est Actif. Lorsque vous passez en revue les détails de chaque alerte, vous pouvez mettre à jour son status vers l’un des états répertoriés ci-dessous :
- Actif : état par défaut de l’alerte jusqu’à ce que son status soit modifié
- Examen : l’alerte est en cours d’investigation
- Résolu : l’alerte ne nécessite pas d’examen ou de suivi plus approfondi
- Ignoré : l’alerte n’est pas pertinente ou n’a pas besoin d’investigation
Pour affecter ou modifier les status d’une alerte, sélectionnez une alerte dans sa ligne dans la table, sélectionnez Modifier status en haut de la page, au-dessus des filtres. Dans le volet de menu volant Mettre à jour l’alerte status, sélectionnez un status dans le menu déroulant, puis sélectionnez Mettre à jour l’alerte.
Une fois qu’une alerte est générée, son status est indépendant du status de la stratégie qui a généré l’alerte. Par exemple, il est possible d’avoir une alerte active associée à une stratégie inactive, et il est possible d’avoir une status d’examen sur une alerte générée par une stratégie qui a été ultérieurement désactivée ou supprimée.
Lorsqu’une stratégie est supprimée, toutes les alertes générées par cette stratégie restent sur votre page Alertes , mais aucune nouvelle alerte n’est générée.
Lorsque vous créez une stratégie, un e-mail est envoyé à l’utilisateur qui a créé la stratégie pour l’avertir qu’une correspondance a été détectée. Vous pouvez choisir d’envoyer ces Notifications par e-mail à d’autres utilisateurs de votre organization. Les alertes se produisent en quasi-temps réel et les Notifications par e-mail sont envoyées dès qu’une alerte est générée. L’e-mail contient le nom de l’événement, la gravité, l’heure détectée et un lien pour afficher l’alerte dans le Gestionnaire de conformité.
Si vous désignez des destinataires d’alerte, puis décidez ultérieurement de les supprimer, suivez les étapes ci-dessous. Le créateur de stratégie reçoit toujours Notifications par e-mail lorsque des correspondances de stratégie sont détectées.
- Commencez les étapes de modification de votre stratégie.
- Lorsque vous arrivez à l’écran Destinataires de l’alerte , sélectionnez +Sélectionner des destinataires.
- Dans le volet volant Sélectionner les destinataires , recherchez l’utilisateur que vous souhaitez supprimer des notifications et décochez la case à gauche de son nom, puis sélectionnez le bouton Ajouter des destinataires (qui a pour effet d’enregistrer votre sélection).
- Passez à l’Assistant et vérifiez que l’utilisateur n’apparaît pas sous Destinataires dans la page Vérifier et terminer. Sélectionnez Mettre à jour pour enregistrer vos paramètres et terminer.