Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Security Copilot agents sont des processus basés sur l’IA conçus pour vous aider avec des tâches spécifiques basées sur des rôles. Microsoft Purview propose un agent de triage Protection contre la perte de données Microsoft Purview (DLP) en préversion. Cet agent fournit une file d’attente d’alertes gérée par l’agent où les alertes sur les activités à risque le plus élevé sont identifiées et hiérarchisées. L’agent analyse le contenu et l’intention potentielle impliqués dans l’activité en fonction des paramètres choisis par l’organization et du niveau de tolérance au risque. L’agent fournit une explication complète de la logique derrière la catégorisation.
L’agent est disponible dans les expériences incorporées Microsoft Purview. Pour plus d’informations, consultez expériences incorporées.
Le triage et l’attribution d’une priorité aux alertes peuvent être complexes et fastidieux. Lorsque vous disposez d’un triage d’agent et de la hiérarchisation des alertes, selon les paramètres que vous définissez, le temps nécessaire à l’exécution de la tâche est réduit. L’agent vous aide à vous concentrer sur les alertes les plus importantes en les tamisant du bruit des alertes à moindre risque. Cela améliore votre temps de réponse et contribue à augmenter l’efficacité et l’efficacité de votre équipe.
Pour plus d’informations sur le déploiement, la configuration et l’utilisation des agents, consultez Prise en main des agents Microsoft Purview.
Avant de commencer
Si vous débutez avec Security Copilot ou Security Copilot agents, vous devez vous familiariser avec les informations contenues dans ces articles :
- Vue d’ensemble des agents Microsoft Security Copilot
- Qu’est-ce que Sécurité Microsoft Copilot ?
- Microsoft Security Copilot expériences
- Bien démarrer avec Microsoft Security Copilot
- Comprendre l’authentification dans Microsoft Security Copilot
- Invite dans Microsoft Security Copilot
- Configurer les paramètres du propriétaire
Concepts de l’agent Security Copilot
Les agents de triage Microsoft Purview s’exécutent sur des unités de calcul de sécurité (SCU). Vos organization doivent avoir des SKU approvisionnées pour que les agents s’exécutent. Pour plus d’informations, consultez Gestion des licences de référence SKU/abonnements.
Déclenche
Les déclencheurs sont des regroupements de paramètres dont les valeurs doivent être remplies pour que l’agent puisse trier une alerte donnée. Les déclencheurs sont les suivants :
- Délai : vous pouvez définir l’étendue de temps pendant laquelle les alertes sont générées pour le triage. Voir Sélectionner une période d’alerte.
- Stratégies : vous pouvez configurer l’agent pour trier les alertes à partir des stratégies que vous sélectionnez. Consultez Configurer les agents.
Importante
Les agents ne sont pas conscients de l’unité administrative. Toutefois, si l’agent s’exécute dans le contexte d’un administrateur restreint d’unité administrative et que des stratégies sont étendues à l’unité administrative à cet administrateur, l’agent voit uniquement les alertes des stratégies qui sont étendues à l’unité d’administration.
Exécuter automatiquement ou manuellement
Lorsque vous déployez un agent et que vous modifiez des déclencheurs, vous pouvez déterminer si l’agent s’exécutera automatiquement en fonction d’une planification définie ou s’exécutera manuellement sur une alerte à la fois . Si vous sélectionnez Exécuter automatiquement en fonction d’une planification définie, l’agent trie les alertes incluses dans le paramètre Sélectionner une période d’alerte .
Sélectionner une période d’alerte
Lorsque vous déployez un agent et que vous modifiez les déclencheurs d’un agent, vous pouvez choisir la période que l’agent utilisera pour définir l’étendue des alertes à trier. Les options disponibles sont les suivantes :
- Trier uniquement les nouvelles alertes
- Dernières 24 heures
- Dernières 48 heures
- Dernières 72 heures
- 7 derniers jours
- 14 derniers jours
- 21 derniers jours
- 30 derniers jours
Si vous sélectionnez Trier uniquement les nouvelles alertes, l’agent trie uniquement les alertes générées après le déploiement de l’agent. L’agent ne trie pas les alertes qui ont été générées avant le déploiement de l’agent. Cela signifie que toutes les options de nombre d’heures ou de derniers jours sont ignorées.
Si vous sélectionnez l’une des options Dernier nombre d’heures ou jours , l’agent trie les alertes qui ont été générées dans la période sélectionnée. Cela vous permet de trier tous ceux qui ont été générés avant le déploiement de l’agent. Toutes les alertes nouvellement générées sont également triées.
Importante
L’étendue du délai de triage des alertes est ancrée au moment de l’activation réussie de l’agent. Essentiellement, l’horloge commence à s’activer lorsque l’agent est activé. Par conséquent, le dernier nombre d’heures ou de jours fait référence à la période précédant le déploiement de l’agent. Il ne s’agit pas d’une période glissante.
Contexte de sécurité
Les agents s’exécutent dans le contexte de sécurité de l’utilisateur qui les a configurés en dernier. Le contexte de sécurité doit être renouvelé tous les 90 jours. L’agent cesse de s’exécuter si l’utilisateur est supprimé ou supprimé du locataire ou si l’utilisateur est désactivé.
Alertes triées
L’agent trie les alertes en fonction de la configuration du déclencheur. L’agent trie les alertes qui sont générées dans la période que vous avez sélectionnée et qui proviennent des stratégies que vous avez sélectionnées. Toutes les alertes ne sont pas triées. Pour plus d’informations, consultez Configurer les agents.
Les alertes triées sont regroupées en quatre catégories :
Tout : cette catégorie inclut toutes les alertes que l’agent a triées. Le nombre indiqué dans la catégorie peut ne pas refléter avec précision le nombre réel d’alertes tant que vous n’accédez pas à cette vue et que vous faites défiler vers le bas pour charger toutes les alertes. Si les conditions qui ont provoqué le déclenchement de l’alerte en premier lieu ont changé, ou si l’alerte n’a pas encore été triée, vous pouvez sélectionner l’alerte, puis sélectionner Exécuter l’agent pour exécuter manuellement l’agent sur l’alerte.
Nécessite une attention : il s’agit des alertes que l’agent a raisonnée et a déterminé qu’elles représentent le plus grand risque pour votre organization. Lorsque vous sélectionnez l’une de ces alertes, le menu volant détails s’ouvre pour afficher un résumé de l’alerte et d’autres détails.
Moins urgent : il s’agit des alertes sur lesquelles l’agent a raisonné et a déterminé qu’elles présentent un risque moindre pour votre organization. Lorsque vous sélectionnez l’une de ces alertes, le menu volant détails s’ouvre pour afficher un résumé de l’alerte et d’autres détails.
Non classé : il s’agit des alertes que l’agent n’a pas pu trier correctement. Cela peut se produire pour plusieurs raisons, notamment : - Erreur du serveur - En cours de révision - autre erreur - Erreur non prise en charge pour les alertes qui contiennent des activités que l’agent ne prend pas en charge.
Les agents trient les fichiers jusqu’à deux Mo.
Comment les agents hiérarchisent-ils
L’agent de triage DLP hiérarchise les alertes en fonction des facteurs de risque suivants :
- Risque de contenu : il s’agit du principal facteur de risque utilisé lors du triage de l’agent. Il couvre le contenu sensible basé sur les SIT fournis par Microsoft, les classifieurs pouvant être formés et les étiquettes de confidentialité par défaut. Pour plus d’informations, consultez Étiquettes de confidentialité par défaut.
- Risque d’exfiltration : exfiltration de données sensibles partagées en externe.
- Risque de stratégie : le mode de stratégie et les règles avec actions ont un impact sur la hiérarchisation des alertes.
- Risque de contenu : étiquette supprimée ou rétrogradée.
- Risque d’exfiltration : exfiltration de données sensibles.
Détails du triage des alertes
Importante
L’agent de triage DLP prend uniquement en charge les alertes des stratégies qui sont en mode actif. L’agent de triage des alertes DLP ne trie pas les alertes des stratégies DLP qui s’exécutent en mode simulation.
Les agents peuvent passer en revue les alertes générées jusqu’à 30 jours avant l’activation de l’agent si le locataire dispose de suffisamment de SKU. Les alertes qui ont été générées plus de 30 jours avant l’activation de l’agent sont hors de portée.
L’agent de triage DLP trie les alertes d’Exchange, SharePoint, OneDrive et Teams.
Dans DLP, l’agent ne trie pas les alertes déclenchées par des types d’informations sensibles (SIT) personnalisés et des conditions de classifieur pouvant être entraînés personnalisées uniquement. Les alertes déclenchées par des conditions de stratégie de classifieur non-SIT/non trainables uniquement telles que Email subject match ne sont pas triées.
Vous devez effectuer une analyse manuelle des alertes qui ne peuvent pas être entièrement évaluées par l’agent.
Alertes partiellement triées
Voici quelques exemples de situations où les alertes peuvent être partiellement triées.
- La règle DLP contient certaines conditions qui ne sont pas prises en charge, telles que
The user accessed a sensitive site from Edge - La règle DLP inclut certaines conditions, mais le système ne peut pas récupérer les propriétés correspondantes de l’e-mail ou des fichiers tels que
Document couldn't be scanned.
Analyse du contenu
Dans certains cas, l’analyse du contenu peut être limitée.
La hiérarchisation des risques de contenu d’une alerte est basée sur les SIT fournis par Microsoft, les classifieurs pouvant être formés et les étiquettes de confidentialité dans le contenu. Lorsqu’un agent évalue le risque de contenu, il recherche uniquement les SIT fournis par Microsoft et les classifieurs pouvant être entraînés qui sont définis dans la stratégie.
Lorsqu’une alerte DLP est associée de zéro à neuf fichiers, tous les fichiers sont analysés par l’agent et utilisés dans le résumé du contenu. Lorsqu’une alerte contient plus de 10 fichiers ou plus, les 10 fichiers potentiellement les plus importants sont utilisés pour générer le résumé des risques liés aux fichiers. Dans DLP, l’agent de triage sélectionne les 10 principaux fichiers à risque en fonction du nombre d’accès au classifieur de stratégie, de la taille du fichier et de la dernière fois que le fichier a été consulté. Lorsque cela se produit, l’agent fournit une note indiquant que tous les fichiers de l’alerte n’ont pas été inclus dans le résumé du contenu.