Affiner les exclusions dans la gestion des risques internes en créant des groupes de détection et des variantes d’indicateurs intégrés (préversion)

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Gestion des risques internes Microsoft Purview propose des dizaines d’indicateurs prêts à l’emploi. Mais la détection des risques internes peut ne pas être une solution unique pour tous les utilisateurs d’une organization. Vous pouvez utiliser le paramètre Détections intelligentes dans les stratégies de gestion des risques internes pour exclure globalement certaines activités d’être notées par vos stratégies. Toutefois, ces exclusions s’appliquent à chaque déclencheur et indicateur pour toutes les stratégies que vous créez au sein d’un locataire. Avec les groupes de détection et les variantes, les organisations peuvent modifier les indicateurs de risque internes intégrés et adapter les détections pour différents ensembles d’utilisateurs. Par exemple, pour réduire le nombre de faux positifs pour les activités de messagerie, vous pouvez créer une variante de l’indicateur intégré Envoi d’e-mails avec pièces jointes aux destinataires en dehors de l’indicateur intégré organization pour détecter uniquement les e-mails envoyés à des domaines personnels.

Processus global de création d’un groupe de détection et de son utilisation avec une variante d’indicateur intégrée

La création d’un groupe de détection et son utilisation avec une variante comprennent quatre étapes :

1. Créez un groupe de détection comme décrit dans cet article. Vous sélectionnez ce groupe de détection lorsque vous créez la variante.
2. Créez la variante.
3. Utilisez la variante dans une stratégie nouvelle ou existante.
4. Passez en revue les alertes liées aux activités spécifiées dans la variante.

Créer un groupe de détection

Pour créer une variante d’un indicateur intégré, commencez par créer un groupe de détection. Un groupe de détection vous permet de limiter un indicateur intégré pour vous concentrer sur les activités à valeur élevée importantes pour votre organization.

Chaque indicateur de stratégie inclut certains types de détection applicables à cet indicateur. Par exemple, pour le partage de fichiers SharePoint avec des personnes extérieures à l’indicateur organization, l’un des types de détection est les domaines. Lorsque vous partagez un fichier SharePoint, vous choisissez un domaine avec lequel partager le fichier. Tous les indicateurs n’ont pas les mêmes types de détection. Par exemple, les domaines sont un type de détection de l’indicateur Partage de fichiers SharePoint avec des personnes extérieures à l’indicateur organization, mais il ne s’agit pas d’un type de détection de l’indicateur Création ou copie de fichiers vers USB, car il n’est pas applicable dans ce cas.

La gestion des risques internes prend actuellement en charge sept types de détection :

• Domaines
• Chemins d’accès
• Types de fichiers
• Mots-clés
• Types d’informations sensibles
• Sites SharePoint
• Classifieurs avec capacité d’apprentissage

Conseil

Lorsque vous créez un groupe de détection, vous pouvez voir tous les indicateurs applicables pour une détection particulière en sélectionnant le lien Afficher les indicateurs applicables dans le texte d’introduction du type de groupe.

Les procédures suivantes montrent comment créer un groupe de détection pour chaque type de groupe.

Créer un groupe de détection de domaines

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .

2. Dans le panneau de droite, sous Type, sélectionnez Domaines.

3. Dans le panneau de droite, sélectionnez Nouveau groupe de domaines.

4. Dans le volet Nouveau groupe de domaines , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultative).

5. Dans le champ Ajouter des domaines , entrez un domaine, puis appuyez sur Entrée. Continuez à ajouter d’autres domaines de la même façon ou, si vous avez une longue liste de domaines à ajouter, vous pouvez les importer en tant que fichier CSV en sélectionnant Importer des domaines à partir d’un fichier CSV. Les domaines que vous ajoutez sont répertoriés en bas du volet. Vous pouvez créer jusqu’à 10 groupes de détection de domaine et chaque groupe peut avoir jusqu’à 200 éléments.

   Remarque

   Pour spécifier des sous-domaines à plusieurs niveaux pour un domaine racine, cochez la case Inclure les sous-domaines multiniveaux , ajoutez un domaine, puis appuyez sur Entrée pour ajouter le domaine à la liste. Tous les sous-domaines inclus dans ce domaine seront inclus. Répétez le même processus pour ajouter d’autres domaines, puis sélectionnez Ajouter des domaines lorsque vous avez terminé.

   Conseil

   Vous pouvez utiliser des caractères génériques pour aider à faire correspondre des variantes de domaines racines ou de sous-domaines. Par exemple, pour spécifier sales.wingtiptoys.com et support.wingtiptoys.com, utilisez l’entrée générique « *.wingtiptoys.com » pour faire correspondre ces sous-domaines (et tout autre sous-domaine au même niveau).

6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Créer un groupe de détection de chemins d’accès aux fichiers

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
2. Dans le panneau de droite, sous Type, sélectionnez Chemins d’accès aux fichiers.
3. Dans le panneau de droite, sélectionnez Nouveau groupe de chemins d’accès aux fichiers.
4. Dans le volet Nouveau groupe de chemin d’accès aux fichiers, ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultative).
5. Sélectionnez Ajouter des chemins d’accès aux fichiers, sélectionnez les chemins d’accès aux fichiers que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de détection de chemin d’accès de fichier et chaque groupe peut avoir jusqu’à 200 éléments.
6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Créer un groupe de détection de types de fichiers

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
2. Dans le panneau de droite, sous Type, sélectionnez Types de fichiers.
3. Dans le panneau de droite, sélectionnez Nouveau groupe de types de fichiers.
4. Dans le volet Nouveau groupe de types de fichiers , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
5. Dans le champ Ajouter un type de fichier , entrez une extension de fichier, puis appuyez sur Entrée. Continuez à ajouter d’autres extensions de fichier de la même façon. Les extensions que vous ajoutez sont répertoriées en bas du volet. Vous pouvez créer jusqu’à 10 groupes de détection de types de fichiers et chaque groupe peut avoir jusqu’à 200 éléments.
6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Créer un groupe de détection de mots clés

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
2. Dans le panneau de droite, sous Type, sélectionnez Mots clés.
3. Dans le panneau de droite, sélectionnez Nouveau groupe de mots clés.
4. Dans le volet Nouveau groupe de mots clés , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
5. Dans le champ Ajouter des mots clés, entrez une mot clé, puis appuyez sur Entrée. Répétez ce processus pour chaque mot clé que vous souhaitez ajouter. Les mots clés que vous ajoutez sont répertoriés en bas du volet. Vous pouvez créer jusqu’à 10 groupes de détection de mots clés et chaque groupe peut avoir jusqu’à 200 éléments.
6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Créer un groupe de détection des types d’informations sensibles

Remarque

La liste d’exclusion des types d’informations sensibles est prioritaire sur la liste de contenu prioritaire .

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
2. Dans le panneau de droite, sous Type, sélectionnez Types d’informations sensibles.
3. Dans le panneau de droite, sélectionnez Nouveau groupe de types d’informations sensibles.
4. Dans le volet Nouveau groupe de type d’informations sensibles , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
5. Sélectionnez Ajouter des types d’informations sensibles, sélectionnez les types d’informations sensibles que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de types d’informations sensibles et chaque groupe peut avoir jusqu’à 200 éléments.
6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Créer un groupe de détection de sites SharePoint

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
2. Dans le panneau de droite, sous Type, sélectionnez Sites SharePoint.
3. Dans le panneau de droite, sélectionnez Nouveau groupe de sites SharePoint.
4. Dans le volet Nouveau groupe de sites SharePoint , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultatif).
5. Sélectionnez Ajouter des sites, sélectionnez les sites SharePoint que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de détection de sites SharePoint et chaque groupe peut avoir jusqu’à 200 éléments.
6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Créer un groupe de détection de classifieur pouvant être formé

1. Dans les paramètres de gestion des risques internes, sélectionnez Groupes de détection (préversion) .
2. Dans le panneau de droite, sous Type, sélectionnez Classifieurs pouvant être formés.
3. Dans le panneau de droite, sélectionnez Nouveau groupe de classifieurs pouvant être entraînés.
4. Dans le volet de groupe Nouveaux classifieurs pouvant être entraînés , ajoutez un nom pour le groupe (ou acceptez le nom suggéré) et une description (facultative).
5. Sélectionnez Ajouter des classifieurs pouvant être entraînés, sélectionnez les classifieurs pouvant être formés que vous souhaitez exclure du scoring, puis sélectionnez Ajouter. Vous pouvez créer jusqu’à 10 groupes de détection de classifieur pouvant être entraînés et chaque groupe peut avoir jusqu’à 200 éléments.
6. Sélectionnez Enregistrer. Vous verrez une boîte de dialogue Étapes suivantes qui vous conseille sur l’étape suivante du processus, qui inclut l’utilisation de ce groupe de détection dans une variante.

Voir aussi

• Créez une variante d’un indicateur intégré.
• Utilisez une variante dans une stratégie nouvelle ou existante.
• Examinez les alertes liées aux activités spécifiées dans une variante.