Partager via


Configurer des détections intelligentes dans la gestion des risques internes

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Remarque

Les paramètres d’exclusions globales qui étaient précédemment inclus dans le paramètre Détections intelligentes sont désormais inclus dans le paramètre Exclusions globales (préversion).

L’utilisation peut utiliser le paramètre Détections intelligentes dans Gestion des risques internes Microsoft Purview pour :

  • Augmentez le score pour les activités de téléchargement de fichiers inhabituelles en entrant un nombre minimal d’événements quotidiens.
  • Augmentez ou diminuez le volume et la distribution des alertes élevées, moyennes et faibles.
  • Importez et filtrez les alertes Defender pour point de terminaison pour les activités utilisées dans les stratégies créées à partir de modèles de gestion des risques internes.
  • Spécifiez des domaines non autorisés pour augmenter le score de risque pour les activités potentiellement à risque.
  • Spécifiez des domaines tiers pour générer des alertes pour une activité de téléchargement potentiellement risquée.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Détection de l’activité de fichier

Vous pouvez utiliser cette section pour spécifier le nombre d’événements quotidiens requis pour augmenter le score de risque pour l’activité de téléchargement considérée comme inhabituelle pour un utilisateur. Par exemple, si vous entrez « 25 », si un utilisateur télécharge en moyenne 10 fichiers au cours des 30 derniers jours, mais qu’une stratégie détecte qu’il a téléchargé 20 fichiers sur un jour, le score de cette activité ne sera pas augmenté, même si cela est inhabituel pour cet utilisateur, car le nombre de fichiers qu’il a téléchargés ce jour-là était inférieur à 25.

Volume d’alerte

Les activités potentiellement à risque détectées par les stratégies de risque interne se voient attribuer un score de risque spécifique, qui à son tour détermine la gravité de l’alerte (faible, moyen, élevé). Par défaut, la gestion des risques internes génère un certain nombre d’alertes de gravité faible, moyenne et élevée, mais vous pouvez augmenter ou diminuer le volume d’un niveau spécifique d’alertes en fonction de vos besoins.

Pour ajuster le volume d’alertes pour toutes les stratégies de gestion des risques internes, choisissez l’un des paramètres suivants :

  • Moins d’alertes : vous verrez toutes les alertes de gravité élevée, moins d’alertes de gravité moyenne et aucune alerte de gravité faible. Vous pourriez passer à côté de certains vrais positifs si vous choisissez ce niveau de paramètre.
  • Volume par défaut : vous verrez toutes les alertes de gravité élevée et une quantité équilibrée d’alertes de gravité moyenne et faible.
  • Autres alertes : vous verrez toutes les alertes de gravité moyenne et élevée, ainsi que la plupart des alertes de gravité faible. Ce niveau de paramètre peut entraîner davantage de faux positifs.

état des alertes Microsoft Defender pour point de terminaison

Importante

Pour importer des alertes de violation de sécurité, vous devez configurer Microsoft Defender pour point de terminaison dans votre organization et activer Defender pour point de terminaison pour l’intégration de la gestion des risques internes dans Defender Security Center. Pour plus d’informations sur la configuration de Microsoft Defender pour point de terminaison pour l’intégration de la gestion des risques internes, consultez Configurer des fonctionnalités avancées dans Defender pour le point de terminaison.

Microsoft Defender pour point de terminaison est une plateforme de sécurité de point de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées. Pour avoir une meilleure visibilité des violations de sécurité dans votre organization, vous pouvez importer et filtrer les alertes Defender pour point de terminaison pour les activités utilisées dans les stratégies créées à partir de modèles de stratégie de violation de sécurité de gestion des risques internes.

Selon les types de signaux qui vous intéressent, vous pouvez choisir d’importer des alertes dans la gestion des risques internes en fonction du status de tri des alertes Defender pour point de terminaison. Vous pouvez définir un ou plusieurs des états de tri des alertes suivants dans les paramètres globaux à importer :

  • Inconnu
  • Nouveau
  • En cours
  • Résolu

Les alertes de Defender pour point de terminaison sont importées quotidiennement. En fonction de la status de tri que vous choisissez, vous pouvez voir plusieurs activités utilisateur pour la même alerte que le triage status modifications dans Defender pour point de terminaison.

Par exemple, si vous sélectionnez Nouveau, En cours et Résolu pour ce paramètre, lorsqu’une alerte Microsoft Defender pour point de terminaison est générée et que le status est Nouveau, une activité d’alerte initiale est importée pour l’utilisateur dans la gestion des risques internes. Lorsque le triage Defender pour point de terminaison status en cours, une deuxième activité pour cette alerte est importée. Lorsque le dernier status de triage Defender pour point de terminaison résolu est défini, une troisième activité pour cette alerte est importée. Cette fonctionnalité permet aux enquêteurs de suivre la progression des alertes Defender pour point de terminaison et de choisir le niveau de visibilité requis par leur investigation.

Domaines

Vous pouvez spécifier des domaines non autorisés et tiers pour améliorer vos détections :

  • Domaines non autorisés : Lorsque vous spécifiez un domaine non autorisé, l’activité de gestion des risques qui a lieu avec ce domaine a un score de risque plus élevé. Par exemple, vous pouvez spécifier des activités qui impliquent le partage de contenu avec quelqu’un (telles que l’envoi d’e-mails à une personne disposant d’une adresse gmail.com) ou des activités qui impliquent le téléchargement de contenu sur un appareil à partir d’un domaine non autorisé. Vous pouvez ajouter jusqu’à 500 domaines non autorisés.
  • Domaines tiers : Si votre organization utilise des domaines tiers à des fins professionnelles (par exemple, le stockage cloud), incluez-les dans la section Domaines tiers pour recevoir des alertes pour les activités potentiellement risquées liées à l’indicateur d’appareil Utiliser un navigateur pour télécharger du contenu à partir d’un site tiers. Vous pouvez ajouter jusqu’à 500 domaines tiers.

Ajouter un domaine non autorisé

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

  1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

  2. Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.

  3. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.

  4. Faites défiler jusqu’à la section Domaines non autorisés , puis sélectionnez Ajouter des domaines.

  5. Entrez un domaine.

    Conseil

    Si vous ne souhaitez pas entrer de domaines un par un, vous pouvez les importer en tant que fichier CSV en sélectionnant Importer des domaines à partir d’un fichier CSV dans la page précédente.

  6. Si vous souhaitez inclure tous les sous-domaines dans le domaine que vous avez entré, cochez la case Inclure les sous-domaines multiniveaux .

    [! REMARQUE Vous pouvez utiliser des caractères génériques pour faire correspondre les variantes des domaines racines ou des sous-domaines. Par exemple, pour spécifier sales.wingtiptoys.com et support.wingtiptoys.com, utilisez l’entrée générique « *.wingtiptoys.com » pour faire correspondre ces sous-domaines (et tout autre sous-domaine au même niveau). Pour spécifier des sous-domaines multiniveaux pour un domaine racine, vous devez cocher la case Inclure des sous-domaines à plusieurs niveaux.

  7. Appuyez sur Entrée. Répétez ce processus pour chaque domaine que vous souhaitez ajouter.

  8. Sélectionnez Ajouter des domaines.

Ajouter un domaine tiers

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

  1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

  2. Sélectionnez Paramètres dans le coin supérieur droit de la page, puis sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.

  3. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.

  4. Faites défiler jusqu’à la section Domaines tiers , puis sélectionnez Ajouter des domaines.

  5. Entrez un domaine.

    Conseil

    Si vous ne souhaitez pas entrer de domaines un par un, vous pouvez les importer en tant que fichier CSV en sélectionnant Importer des domaines à partir d’un fichier CSV dans la page précédente.

  6. Si vous souhaitez inclure tous les sous-domaines dans le domaine que vous avez entré, cochez la case Inclure les sous-domaines multiniveaux .

    [! REMARQUE Vous pouvez utiliser des caractères génériques pour faire correspondre les variantes des domaines racines ou des sous-domaines. Par exemple, pour spécifier sales.wingtiptoys.com et support.wingtiptoys.com, utilisez l’entrée générique « *.wingtiptoys.com » pour faire correspondre ces sous-domaines (et tout autre sous-domaine au même niveau). Pour spécifier des sous-domaines multiniveaux pour un domaine racine, vous devez cocher la case Inclure des sous-domaines à plusieurs niveaux.

  7. Appuyez sur Entrée. Répétez ce processus pour chaque domaine que vous souhaitez ajouter.

  8. Sélectionnez Ajouter des domaines.