Configurer des détections intelligentes dans la gestion des risques internes

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Vous pouvez utiliser le paramètre Détections intelligentes dans Gestion des risques internes Microsoft Purview pour configurer des exclusions globales. Par exemple, vous souhaiterez peut-être exclure certains types de fichiers ou domaines de l’évaluation des risques. Vous pouvez également utiliser le paramètre Détections intelligentes pour ajuster le volume des alertes ou importer Microsoft Defender pour point de terminaison alertes.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Ignorer les pièces jointes de signature électronique (préversion)

L’une des main sources de « bruit » dans les stratégies de gestion des risques internes est les images dans les signatures d’e-mail, qui sont souvent détectées en tant que pièces jointes dans les e-mails. Cela peut entraîner des faux positifs des utilisateurs qui envoient des fichiers potentiellement confidentiels par e-mail. Si l’indicateur Envoi d’e-mails avec pièces jointes à des destinataires en dehors de la organization est sélectionné, la pièce jointe est notée comme toute autre pièce jointe envoyée en dehors du organization, même si la seule chose dans la pièce jointe est la signature de courrier électronique. Vous pouvez exclure le score des pièces jointes de signature électronique dans cette situation en activant le paramètre Ignorer les pièces jointes de signature électronique .

L’activation de ce paramètre élimine considérablement le bruit des pièces jointes de signature d’e-mail, mais n’élimine pas complètement tout le bruit. Cela est dû au fait que seule la pièce jointe de signature électronique de l’expéditeur de l’e-mail (la personne qui lance l’e-mail ou répond à l’e-mail) est exclue du scoring. Une pièce jointe de signature pour toute personne sur la ligne À, CC ou CCI sera toujours notée. En outre, si quelqu’un modifie sa signature de courrier électronique, la nouvelle signature doit être profilée, ce qui peut provoquer un bruit d’alerte pendant une courte période de temps.

Remarque

Le paramètre Ignorer les pièces jointes de signature électronique est désactivé par défaut.

Détection de l’activité de fichier

Pour exclure des types de fichiers spécifiques de toutes les stratégies de gestion des risques internes, entrez des extensions de type de fichier séparées par des virgules. Par exemple, pour exclure certains types de fichiers musicaux des correspondances de stratégie, entrez aac,mp3,wav,wma dans le champ Exclusions de type de fichier. Les fichiers avec ces extensions sont ignorés par toutes les stratégies de gestion des risques internes.

Volume d’alerte

Les activités potentiellement à risque détectées par les stratégies de risque interne se voient attribuer un score de risque spécifique, qui à son tour détermine la gravité de l’alerte (faible, moyen, élevé). Par défaut, la gestion des risques internes génère un certain nombre d’alertes de gravité faible, moyenne et élevée, mais vous pouvez augmenter ou diminuer le volume en fonction de vos besoins.

Pour ajuster le volume d’alertes pour toutes les stratégies de gestion des risques internes, choisissez l’un des paramètres suivants :

• Moins d’alertes : vous verrez toutes les alertes de gravité élevée, moins d’alertes de gravité moyenne et aucune alerte de gravité faible. Vous pourriez passer à côté de certains vrais positifs si vous choisissez ce niveau de paramètre.
• Volume par défaut : vous verrez toutes les alertes de gravité élevée et une quantité équilibrée d’alertes de gravité moyenne et faible.
• Autres alertes : vous verrez toutes les alertes de gravité moyenne et élevée, ainsi que la plupart des alertes de gravité faible. Ce niveau de paramètre peut entraîner davantage de faux positifs.

état des alertes Microsoft Defender pour point de terminaison

Importante

Vous devez configurer Microsoft Defender pour point de terminaison dans votre organization et activer Defender pour point de terminaison pour l’intégration de la gestion des risques internes dans Defender Security Center pour importer des alertes de violation de sécurité. Pour plus d’informations sur la configuration de Microsoft Defender pour point de terminaison pour l’intégration de la gestion des risques internes, consultez Configurer des fonctionnalités avancées dans Defender pour le point de terminaison.

Microsoft Defender pour point de terminaison est une plateforme de sécurité de point de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées. Pour avoir une meilleure visibilité des violations de sécurité dans votre organization, vous pouvez importer et filtrer les alertes Defender pour point de terminaison pour les activités utilisées dans les stratégies créées à partir de modèles de stratégie de violation de sécurité de gestion des risques internes.

Selon les types de signaux qui vous intéressent, vous pouvez choisir d’importer des alertes dans la gestion des risques internes en fonction du status de tri des alertes Defender pour point de terminaison. Vous pouvez définir un ou plusieurs des états de tri des alertes suivants dans les paramètres globaux à importer :

• Inconnu
• Nouveau
• En cours
• Résolu

Les alertes de Defender pour point de terminaison sont importées quotidiennement. En fonction de la status de tri que vous choisissez, vous pouvez voir plusieurs activités utilisateur pour la même alerte que le triage status modifications dans Defender pour point de terminaison.

Par exemple, si vous sélectionnez Nouveau, En cours et Résolu pour ce paramètre, lorsqu’une alerte Microsoft Defender pour point de terminaison est générée et que le status est Nouveau, une activité d’alerte initiale est importée pour l’utilisateur dans la gestion des risques internes. Lorsque le triage Defender pour point de terminaison status en cours, une deuxième activité pour cette alerte est importée. Lorsque le dernier status de triage Defender pour point de terminaison résolu est défini, une troisième activité pour cette alerte est importée. Cette fonctionnalité permet aux enquêteurs de suivre la progression des alertes Defender pour point de terminaison et de choisir le niveau de visibilité requis par leur investigation.

Domaines

Les paramètres de domaine vous aident à définir des niveaux de risque pour les activités de gestion des risques pour des domaines spécifiques. Ces activités incluent le partage de fichiers, l’envoi de messages électroniques, le téléchargement de contenu ou le chargement de contenu. En spécifiant des domaines dans ces paramètres, vous pouvez augmenter ou diminuer le score de risque pour l’activité de gestion des risques qui a lieu avec ces domaines.

Utilisez Ajouter un domaine pour définir un domaine pour chacun des paramètres de domaine. En outre, vous pouvez utiliser des caractères génériques pour aider à faire correspondre des variantes de domaines racines ou de sous-domaines. Par exemple, pour spécifier sales.wingtiptoys.com et support.wingtiptoys.com, utilisez l’entrée générique « *.wingtiptoys.com » pour faire correspondre ces sous-domaines (et tout autre sous-domaine au même niveau). Pour spécifier des sous-domaines multiniveaux pour un domaine racine, vous devez sélectionner la zone Inclure les sous-domaines multiniveaux case activée.

Pour chacun des paramètres de domaine suivants, vous pouvez entrer jusqu’à 500 domaines :

• Domaines non autorisés : Lorsque vous spécifiez un domaine non autorisé, l’activité de gestion des risques qui a lieu avec ces domaines a un score de risque plus élevé . Par exemple, vous pouvez spécifier des activités qui impliquent le partage de contenu avec quelqu’un (telles que l’envoi d’e-mails à une personne disposant d’une adresse gmail.com) ou des activités qui impliquent le téléchargement de contenu sur un appareil à partir d’un domaine non autorisé.

• Domaines autorisés : L’activité de gestion des risques liée à un domaine spécifié dans Domaines autorisés sera ignorée par vos stratégies et ne générera pas d’alertes. Ces activités sont les suivantes :

  • Email envoyées à des domaines externes
  • Fichiers, dossiers et sites partagés avec des domaines externes
  • Fichiers chargés vers des domaines externes (à l’aide du navigateur Microsoft Edge)

  Lorsque vous spécifiez un domaine autorisé, l’activité de gestion des risques avec ce domaine est traitée de la même manière que l’activité organization interne. Par exemple, un domaine ajouté dans Domaines autorisés peut inclure une activité qui implique le partage de contenu avec une personne extérieure à votre organization (par exemple, l’envoi d’e-mails à une personne disposant d’une adresse gmail.com).

• Domaines tiers : Si votre organization utilise des domaines tiers à des fins professionnelles (par exemple, le stockage cloud), incluez-les ici afin que vous puissiez recevoir des alertes pour les activités potentiellement à risque liées à l’indicateur d’appareil Utiliser un navigateur pour télécharger du contenu à partir d’un site tiers.

Exclusions de chemin d’accès de fichier

Lorsque vous spécifiez des chemins d’accès de fichier à exclure, les activités des utilisateurs qui correspondent à des indicateurs spécifiques et qui se produisent dans ces emplacements de chemin d’accès de fichier ne génèrent pas d’alertes de stratégie. Par exemple, la copie ou le déplacement de fichiers vers un dossier système ou un chemin d’accès de partage réseau. Vous pouvez entrer jusqu’à 500 chemins d’accès de fichier pour exclusion.

Ajouter des chemins d’accès aux fichiers à exclure

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Sélectionnez le bouton Paramètres dans le coin supérieur droit de la page.
3. Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
4. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.
5. Dans la section Exclusions de chemin d’accès de fichier, sélectionnez Ajouter des chemins d’accès de fichiers à exclure.
6. Dans le volet Ajouter un chemin d’accès de fichier , entrez un partage réseau ou un chemin d’appareil exact à exclure du scoring de risque.

Vous pouvez également utiliser * et *([0-9]) pour indiquer les dossiers et sous-dossiers génériques et spécifiques à exclure. Pour plus d’informations, consultez les exemples suivants.

Exemple	Description
\\ms.temp\LocalFolder\ ou C :\temp	Exclut les fichiers directement sous le dossier et tous les sous-dossiers pour chaque chemin de fichier commençant par le préfixe entré.
\public\local\	Exclut les fichiers de chaque chemin d’accès de fichier contenant la valeur entrée. Correspond à ' C :\Users\Public\local\', 'C :\Users\User1\Public\local' et '\\ms.temp\Public\local'.
C :\Users\*\Desktop	Correspond à « C :\Users\user1\Desktop » et « C :\Users\user2\Desktop ».
C :\Users\*(2)\Desktop	Correspond à « C :\Users\user1\Desktop » et « C :\Users\user2\Shared\Desktop ».

7. Sélectionnez Ajouter des chemins d’accès aux fichiers.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Paramètres>Détections intelligentes.
4. Dans la section Exclusion du chemin d’accès au fichier, sélectionnez Ajouter des chemins d’accès de fichiers à exclure.
5. Dans le volet Ajouter un chemin d’accès de fichier , entrez un partage réseau ou un chemin d’appareil exact à exclure du scoring de risque.

Vous pouvez également utiliser * et *([0-9]) pour indiquer les dossiers et sous-dossiers génériques et spécifiques à exclure. Pour plus d’informations, consultez les exemples suivants.

Exemple	Description
\\ms.temp\LocalFolder\ ou C :\temp	Exclut les fichiers directement sous le dossier et tous les sous-dossiers pour chaque chemin de fichier commençant par le préfixe entré.
\public\local\	Exclut les fichiers de chaque chemin d’accès de fichier contenant la valeur entrée. Correspond à ' C :\Users\Public\local\', 'C :\Users\User1\Public\local' et '\\ms.temp\Public\local'.
C :\Users\*\Desktop	Correspond à « C :\Users\user1\Desktop » et « C :\Users\user2\Desktop ».
C :\Users\*(2)\Desktop	Correspond à « C :\Users\user1\Desktop » et « C :\Users\user2\Shared\Desktop ».

6. Sélectionnez Ajouter des chemins d’accès aux fichiers.

Remarque

Pour supprimer une exclusion de chemin d’accès de fichier, sélectionnez l’exclusion de chemin d’accès de fichier, puis sélectionnez Supprimer.

Exclusions de chemin d’accès de fichier par défaut

Par défaut, plusieurs chemins d’accès aux fichiers sont automatiquement exclus de la génération d’alertes de stratégie. Les activités de ces chemins de fichier sont généralement sans gravité et peuvent potentiellement augmenter le volume d’alertes non exploitables. Si nécessaire, vous pouvez annuler la sélection de ces exclusions de chemin d’accès de fichier par défaut afin d’activer le scoring des risques pour les activités dans ces emplacements.

Les exclusions de chemin d’accès de fichier par défaut sont les suivantes :

• \Users\*\AppData
• \Users\*\AppData\Local
• \Users\*\AppData\Local\Roaming
• \Users\*\AppData\Local\Local\Temp

Les caractères génériques dans ces chemins indiquent que tous les niveaux de dossier entre \Users et \AppData sont inclus dans l’exclusion. Par exemple, les activités dans C :\Users\Test1\AppData\Local et C :\Users\Test2\AppData\Local, C :\Users\Test3\AppData\Local (et ainsi de suite) sont toutes incluses et non évaluées pour le risque dans le cadre de la sélection d’exclusion \Users\*\AppData\Local .

Exclusions de type d’informations sensibles (préversion)

Les types d’informations sensibles exclus sont mappés à des indicateurs et des déclencheurs impliquant des activités liées aux fichiers pour Point de terminaison, SharePoint, Teams, OneDrive et Exchange. Ces types exclus sont traités comme des types d’informations non sensibles. Si un fichier contient un type d’informations sensibles identifié dans cette section, le fichier sera évalué en tant qu’activités impliquant du contenu lié aux types d’informations sensibles. Pour obtenir la liste complète des types d’informations sensibles, consultez Définitions d’entité de type d’informations sensibles.

Vous pouvez sélectionner les types d’informations sensibles à exclure de la liste de tous les types disponibles (out-of-box et custom) disponibles dans le locataire. Vous pouvez choisir jusqu’à 500 types d’informations sensibles à exclure.

Remarque

La liste d’exclusion des types d’informations sensibles est prioritaire sur la liste de contenu prioritaire .

Exclure les types d’informations sensibles

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Sélectionnez le bouton Paramètres dans le coin supérieur droit de la page.
3. Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
4. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.
5. Dans la section Types d’informations sensibles , sélectionnez Ajouter des types d’informations sensibles à exclure.
6. Dans le volet Ajouter ou modifier un type d’informations sensibles , sélectionnez les types que vous souhaitez exclure.
7. Sélectionnez Ajouter.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Paramètres>Détections intelligentes.
4. Dans la section Types d’informations sensibles , sélectionnez Ajouter des types d’informations sensibles à exclure.
5. Dans le volet Ajouter ou modifier un type d’informations sensibles , sélectionnez les types que vous souhaitez exclure.
6. Sélectionnez Ajouter.

Remarque

Pour supprimer une exclusion de type d’informations sensibles, sélectionnez l’exclusion, puis sélectionnez Supprimer.

Exclusion du classifieur pouvant être formé (préversion)

Les classifieurs trainable exclus sont mappés à des indicateurs et des déclencheurs impliquant des activités liées aux fichiers pour SharePoint, Teams, OneDrive et Exchange. Si un fichier contient un classifieur pouvant être entraîné identifié dans cette section, le fichier est évalué sur le risque, mais n’est pas affiché en tant qu’activité impliquant du contenu lié aux classifieurs pouvant être entraînés. Pour obtenir la liste complète des classifieurs préentraînés, consultez Définitions des classifieurs pouvant être formés.

Vous pouvez sélectionner les classifieurs pouvant être formés à exclure de la liste de tous les types disponibles (out-of-box et custom) disponibles dans le locataire. La gestion des risques internes exclut certains classifieurs pouvant être formés par défaut, notamment les menaces, les blasphèmes, le harcèlement ciblé, le langage offensant et la discrimination. Vous pouvez choisir jusqu’à 500 classifieurs pouvant être formés à exclure.

Remarque

Si vous le souhaitez, vous pouvez choisir des classifieurs pouvant être entraînés à inclure dans la liste de contenu prioritaire .

Exclure les classifieurs pouvant être formés

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Sélectionnez le bouton Paramètres dans le coin supérieur droit de la page.
3. Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
4. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.
5. Dans la section Classifieurs pouvant être formés , sélectionnez Ajouter des classifieurs pouvant être formés à exclure.
6. Dans le volet Ajouter ou modifier des classifieurs pouvant être formés , sélectionnez les classifieurs que vous souhaitez exclure.
7. Sélectionnez Ajouter.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Paramètres>Détections intelligentes.
4. Dans la section Classifieurs pouvant être formés , sélectionnez Ajouter des classifieurs pouvant être formés à exclure.
5. Dans le volet Ajouter ou modifier des classifieurs pouvant être formés , sélectionnez les classifieurs que vous souhaitez exclure.
6. Sélectionnez Ajouter.

Remarque

Pour supprimer une exclusion de classifieurs pouvant être formés, sélectionnez l’exclusion, puis sélectionnez Supprimer.

Exclusions de site

Configurez des exclusions d’URL de site pour empêcher les activités potentiellement risquées qui se produisent dans SharePoint (et les sites SharePoint associés aux sites de canal Teams) de générer des alertes de stratégie. Vous pouvez envisager d’exclure les sites et les canaux qui contiennent des fichiers et des données non sensibles qui peuvent être partagés avec les parties prenantes ou le public. Vous pouvez entrer jusqu’à 500 chemins d’URL de site à exclure.

Ajouter des chemins d’URL de site à exclure

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Sélectionnez le bouton Paramètres dans le coin supérieur droit de la page.
3. Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
4. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.
5. Dans la section Exclusion de l’URL du site , sélectionnez Ajouter ou modifier des sites SharePoint.
6. Dans le volet Ajouter ou modifier des sites SharePoint , entrez ou recherchez le site SharePoint à exclure du scoring des risques.
7. Sélectionnez Ajouter.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Paramètres>Détections intelligentes.
4. Dans la section Exclusion de l’URL du site , sélectionnez Ajouter ou modifier des sites SharePoint.
5. Dans le volet Ajouter ou modifier des sites SharePoint , entrez ou recherchez le site SharePoint à exclure du scoring des risques.
6. Sélectionnez Ajouter.

Remarque

• Pour modifier un chemin d’URL de site à exclure, sélectionnez Modifier dans le volet Ajouter ou modifier des sites SharePoint .
• Pour supprimer une exclusion d’URL de site, sélectionnez l’exclusion d’URL de site, puis sélectionnez Supprimer.

Exclusion de mot clé

Configurez des exclusions pour les mots clés qui apparaissent dans les noms de fichiers, les chemins d’accès aux fichiers ou les lignes d’objet des messages électroniques. Cela permet aux organisations qui doivent réduire la fréquence des alertes potentielles en raison de l’indicateur des termes bénins spécifiés pour votre organization. Ces activités liées aux fichiers ou aux sujets de courrier contenant les mot clé sont ignorées par vos stratégies de gestion des risques internes et ne génèrent pas d’alertes. Vous pouvez entrer jusqu’à 500 mots clés à exclure.

Utilisez le champ Exclure uniquement s’il ne contient pas de champ pour définir des regroupements spécifiques de termes à ignorer pour l’exclusion. Par exemple, si vous souhaitez exclure l’mot clé « formation », mais pas « formation de conformité », entrez « conformité » (ou « formation de conformité ») dans le champ Exclure uniquement s’il ne contient pas et « training » dans le champ Mais contient.

Si vous souhaitez simplement exclure des termes autonomes spécifiques, entrez les termes dans le champ Mais ne contient que.

Ajouter des mots clés autonomes à exclure

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Sélectionnez le bouton Paramètres dans le coin supérieur droit de la page.
3. Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
4. Sous Paramètres de risque interne, sélectionnez Détections intelligentes.
5. Dans la section Exclusion de mot clé , entrez les mots clés autonomes dans le champ Mais ne contient pas.
6. Sélectionnez Enregistrer pour configurer les exclusions mot clé.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Paramètres>Détections intelligentes.
4. Dans la section Exclusion de mot clé , entrez les mots clés autonomes dans le champ Mais ne contient pas.
5. Sélectionnez Enregistrer pour configurer les exclusions mot clé.

Pour supprimer un mot clé autonome à exclure :

1. Dans la section Exclusion de mot clé, sélectionnez le X pour le mot clé autonome spécifique dans le champ Mais ne contient. Répétez cette opération si nécessaire pour supprimer plusieurs mots clés.
2. Sélectionnez Enregistrer.