Partager via


En savoir plus sur les paramètres de gestion des risques internes

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Avant de commencer à utiliser les stratégies de gestion des risques internes, il est important de comprendre et de choisir les paramètres de gestion des risques internes qui répondent le mieux aux besoins de conformité de votre organization. Les paramètres de gestion des risques internes s’appliquent à toutes les stratégies de gestion des risques internes, quel que soit le modèle que vous choisissez lors de la création d’une stratégie.

Remarque

Utilisez Paramètres en haut de toute page de gestion des risques internes pour apporter des modifications aux paramètres.

Le tableau suivant décrit chaque paramètre de gestion des risques internes et fournit un lien pour en savoir plus sur le paramètre.

Setting Description
Confidentialité Choisissez d’afficher les noms d’utilisateur ou les versions anonymes des noms d’utilisateur pour toutes les correspondances de stratégie actuelles et passées pour les alertes et les cas.
Indicateurs de stratégie Chaque modèle de stratégie de gestion des risques internes est basé sur des indicateurs spécifiques qui correspondent à des déclencheurs et des activités à risque spécifiques. Tous les indicateurs globaux sont désactivés par défaut ; vous devez sélectionner un ou plusieurs indicateurs pour configurer une stratégie de gestion des risques internes. Les paramètres de niveau d’indicateur vous aident à contrôler la façon dont le nombre d’occurrences d’événements à risque dans votre organization affecter le score de risque.
Groupes de détection Utilisez le paramètre Groupes de détection pour créer des variantes d’indicateurs intégrés si vous souhaitez adapter les détections pour différents ensembles d’utilisateurs. La création de groupes de détection permet de réduire les faux positifs.
Exclusions globales Utilisez le paramètre Exclusions globales pour spécifier les exclusions globales qui ne seront pas notées par vos stratégies de gestion des risques internes.
Délais de la stratégie Le paramètre Délais de stratégie vous permet de définir des périodes de révision passées et futures déclenchées après des correspondances de stratégie basées sur des événements et des activités pour les modèles de stratégie de gestion des risques internes.
Détections intelligentes Utilisez le paramètre Détections intelligentes pour augmenter le score des activités de téléchargement inhabituelles, contrôler le volume des alertes, importer et filtrer les alertes Microsoft Defender pour point de terminaison et spécifier des domaines tiers et non autorisés pour le scoring des risques.
Exporter des alertes Les informations d’alerte de gestion des risques internes sont exportables vers les solutions SIEM (Security Information and Event Management) et SOAR (Security Orchestration Automated Response) à l’aide du schéma d’API activité de gestion Office 365. Vous pouvez utiliser les API d’activité de gestion Office 365 pour exporter des informations d’alerte vers d’autres applications que votre organization peut utiliser pour gérer ou agréger des informations sur les risques internes.
Partage des données Utilisez le paramètre De partage de données pour effectuer l’une des opérations suivantes : 1) Exporter les informations d’alerte de gestion des risques internes vers des solutions SIEM à l’aide du schéma d’API Activité de gestion des Office 365 ; 2) Partager les niveaux de risque utilisateur de gestion des risques internes avec des alertes Microsoft Defender et DLP.
Groupes d’utilisateurs prioritaires Les utilisateurs de votre organization peuvent avoir des niveaux de risque différents en fonction de leur position, de leur niveau d’accès aux informations sensibles ou de leur historique des risques. La hiérarchisation de l’examen et du scoring des activités de ces utilisateurs peut vous aider à vous avertir des risques potentiels susceptibles d’avoir des conséquences plus élevées pour votre organization. Utilisez le paramètre Groupes d’utilisateurs prioritaires pour définir les utilisateurs de votre organization qui nécessitent une inspection plus approfondie et un scoring de risque plus sensible.
Ressources physiques prioritaires (préversion) L’identification de l’accès aux ressources physiques prioritaires et la corrélation de l’activité d’accès aux événements utilisateur sont un composant important de votre infrastructure de conformité. Ces ressources physiques représentent des emplacements prioritaires dans votre organization, tels que des bâtiments d’entreprise, des centres de données ou des salles de serveurs. Les activités à risque internes peuvent être associées à des utilisateurs qui travaillent à des heures inhabituelles, qui tentent d’accéder à ces zones sensibles ou sécurisées non autorisées et à des demandes d’accès à des zones de haut niveau sans besoins légitimes.
Flux Power Automate (préversion) Microsoft Power Automate est un service de flux de travail qui automatise les actions entre les applications et les services. En utilisant des flux à partir de modèles ou créés manuellement, vous pouvez automatiser les tâches courantes associées à ces applications et services. Lorsque vous activez les flux Power Automate pour la gestion des risques internes, vous pouvez automatiser les tâches importantes pour les cas et les utilisateurs. Vous pouvez configurer des flux Power Automate pour récupérer des informations sur les utilisateurs, les alertes et les cas, et partager ces informations avec les parties prenantes et d’autres applications, ainsi que pour automatiser les actions dans la gestion des risques internes, telles que la publication de notes de cas. Les flux Power Automate s’appliquent aux cas et à tout utilisateur dans l’étendue d’une stratégie.
Microsoft Teams (préversion) Vous pouvez activer le support Microsoft Teams afin que les analystes de conformité et les enquêteurs puissent utiliser Teams pour collaborer sur des cas de gestion des risques internes. Utilisez Teams pour :
- Coordonner et examiner les activités de réponse pour les cas dans les canaux Teams privés
- Partager et stocker en toute sécurité des fichiers et des preuves liés à des cas individuels
- Détecter et examiner les activités de réponse par les analystes et les enquêteurs
Analyse L’analyse des risques internes vous permet d’effectuer une évaluation des risques internes potentiels au sein de votre organisation sans aucune configuration de stratégie des risques internes. Cette évaluation peut permettre à votre organisation d’identifier des zones potentielles plus élevées de risque utilisateur et vous aider à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous pouvez envisager de configurer.
notifications Administration Utilisez le paramètre de notifications Administration pour envoyer automatiquement une notification par e-mail aux groupes de rôles de gestion des risques internes sélectionnables. Vous pouvez :
- Envoyer un e-mail de notification lorsque la première alerte est générée pour une nouvelle stratégie
- Envoyer un e-mail quotidien lorsque de nouvelles alertes de gravité élevée sont générées
- Envoyer un e-mail hebdomadaire résumant les stratégies qui ont des avertissements non résolus
Personnalisation de l’alerte inline La personnalisation des alertes inline vous permet d’ajuster rapidement une stratégie de gestion des risques internes directement à partir du tableau de bord Alertes lors de l’examen de l’alerte. Des alertes sont générées lorsqu’une activité de gestion des risques atteint les seuils configurés dans la stratégie associée. Pour réduire le nombre d’alertes que vous recevez de ce type d’activité, vous pouvez modifier les seuils ou supprimer complètement l’activité de gestion des risques de la stratégie.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.