Utiliser des rapports dans la gestion des risques internes
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Utilisez les rapports dans Gestion des risques internes Microsoft Purview pour comprendre le paysage de votre programme de risque interne. Les rapports fournissent des insights plus approfondis et des informations récapitulatives pour tous les domaines liés aux risques internes, notamment les alertes, les cas, l’activité des utilisateurs et les analyses générées à partir d’activités à risque éligibles dans les services Microsoft afin d’identifier des insights sur les zones de risque potentielles.
Les rapports suivants sont disponibles en accédant auxrapports de gestion des> risques internes dans le portail Microsoft Purview :
- Alertes (préversion) : affichez les tendances des alertes générées , les actions effectuées sur les alertes au fil du temps et les alertes par stratégie.
- Analytique : affichez un résumé des activités utilisateur anonymisées détectées dans votre organization.
- Cas (préversion) : affichez les tendances des cas créés, les actions effectuées sur les cas au fil du temps et les cas status par stratégie et région.
- Activité de l’utilisateur : passez en revue l’activité récente de l’utilisateur, que l’utilisateur soit inclus dans une stratégie ou une alerte.
Utiliser les rapports
Pour commencer et afficher les rapports de gestion des risques internes, vous devez être membre du rôle ou du groupe de rôles applicable. Les exigences d’autorisation sont différentes pour l’affichage des rapports pour les alertes et les cas et les autorisations requises pour afficher les rapports à des fins d’analytique. Si votre organization utilise des unités administratives, l’accès peut varier pour ces rapports. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Autorisations pour la gestion des risques internes
- Autorisations pour la gestion des risques internes et les unités administratives
Personnaliser des graphiques
Pour chaque zone de rapport, des contrôles de filtre de rapport prédéfinis et un sélecteur de date sont disponibles pour vous aider à étendre rapidement les insights à des critères ou des plages de dates spécifiques. Sélectionnez un filtre en haut de la page pour chaque zone afin d’étendre rapidement tous les rapports de la zone à un paramètre de filtre. Pour les dates de création de rapports, sélectionnez un mois spécifique ou sélectionnez 3 derniers mois pour afficher toutes les données de la zone de rapport.
Vous pouvez également choisir les rapports à afficher par défaut dans chaque zone de rapport. Pour personnaliser les rapports affichés dans chaque zone, sélectionnez Personnaliser l’affichage. Dans le volet volant Personnaliser l’affichage , vous pouvez choisir les rapports à afficher et les rapports à masquer dans chaque zone.
Détails du graphique
Pour approfondir les résultats contenus dans un rapport, sélectionnez Afficher les détails du rapport. Dans la vue détails, vous pouvez définir l’étendue des informations à l’aide de filtres et modifier votre affichage par dates ou stratégies. Pour exporter des données contenues dans un rapport, sélectionnez Exporter pour télécharger une image du graphique de rapport ou un fichier .csv avec les valeurs du rapport.
Rapports d’alerte (préversion)
L’examen des activités potentiellement risquées des utilisateurs est une première étape importante pour réduire les risques internes pour vos organization. Ces risques peuvent être des activités qui génèrent des alertes à partir de stratégies de gestion des risques internes. Les rapports d’alerte fournissent des insights sur les volumes d’alertes, la progression de la gestion des alertes, les sources d’alerte courantes et le temps passé à trier. Vous pouvez filtrer rapidement tous les rapports d’alerte par alertes Toutes les alertes, Alertes confirmées et Alertes ignorées.
| Type de rapport | Rapport | Description |
|---|---|---|
| Résumé | Alertes générées | Affiche le nombre d’alertes de gravité faible, moyenne et élevée générées pendant la plage de dates spécifiée. |
| Alertes activées | Affiche le nombre d’alertes confirmées dans un cas ou ignorées pendant la plage de dates spécifiée. | |
| Motifs de licenciement | Affiche... | |
| Démographie | Principaux pays/régions avec des alertes | Affiche le nombre d’alertes générées pour les utilisateurs en fonction du pays ou de la région dans lequel ils se trouve. Non spécifié signifie que leur pays ou région n’est pas spécifié dans Microsoft Entra ID. |
| Alertes générées par le service | Affiche le nombre d’alertes générées pour les utilisateurs en fonction du service dans lequel ils se trouve. Non spécifié signifie que leur service n’est pas spécifié dans Microsoft Entra ID. | |
| Informations | Alertes par événement de déclenchement principal | Affiche le nombre d’alertes en fonction des principaux événements de déclenchement détectés pendant la plage de dates spécifiée. |
| Alertes par activité principale qui a généré l’alerte | Affiche le nombre d’alertes en fonction des principales activités détectées pendant la plage de dates spécifiée. | |
| Productivité | Alerte status par affectation | Affiche le nombre d’alertes attribuées à des administrateurs spécifiques, réparties par status d’alerte. |
| Les alertes de jours moyens sont en révision des besoins | Affiche le nombre moyen de jours pendant lesquels les alertes sont restées dans un status de révision Des besoins au cours de la plage de dates spécifiée. | |
Rapports d’analyse
Une fois la première analyse analytique terminée pour votre organization, les membres du groupe de rôles Administrateurs de gestion des risques internes reçoivent automatiquement une notification par e-mail et peuvent afficher les insights et recommandations initiaux pour les activités potentiellement risquées de vos utilisateurs. Les analyses quotidiennes continuent, sauf si vous désactivez l’analytique pour votre organization. Email notifications aux administrateurs sont fournies pour chacune des trois catégories d’analyse dans l’étendue (fuites de données, vol et exfiltration) après la première instance d’activité potentiellement risquée dans votre organization. Email notifications ne sont pas envoyées aux administrateurs pour le suivi de la détection des activités de gestion des risques résultant des analyses quotidiennes.
Remarque
Si le paramètre Analytics est désactivé, puis réactivé, les Notifications par e-mail automatiques sont réinitialisées et Notifications par e-mail sont envoyées aux membres du groupe de rôles Administrateurs de gestion des risques internes pour obtenir de nouveaux insights d’analyse.
Pour afficher les risques potentiels pour votre organization, accédez à Insider Risk Management>Reports>Analytics.
Remarque
Si l’analyse de votre organization n’est pas terminée, vous voyez un message indiquant que l’analyse est toujours active.
Pour les analyses terminées, vous verrez les risques potentiels découverts dans votre organization, ainsi que des insights et des recommandations pour y remédier. Les risques identifiés et les insights spécifiques sont inclus dans les rapports regroupés par zone, le nombre total d’utilisateurs (tous les types de comptes Microsoft Entra, y compris l’utilisateur, l’invité, le système, etc.) avec des risques identifiés, le pourcentage de ces utilisateurs ayant des activités potentiellement risquées et une stratégie de risque interne recommandée pour aider à atténuer ces risques. Les rapports sont les suivants :
- Insights sur les fuites de données : pour tous les utilisateurs qui peuvent inclure un surpartage accidentel d’informations en dehors de votre organization ou des fuites de données par des utilisateurs ayant une intention malveillante.
- Informations sur le vol de données : pour les utilisateurs sortants ou avec des comptes Microsoft Entra supprimés qui peuvent inclure le partage à risque d’informations en dehors de votre organization ou le vol de données par des utilisateurs ayant une intention malveillante.
- Principaux insights d’exfiltration : pour tous les utilisateurs qui peuvent inclure le partage de données en dehors de votre organization.
Pour afficher plus d’informations sur un insight, sélectionnez Afficher les détails afin d’afficher le volet d’informations de l’insight. Le volet d’informations inclut les résultats complets des insights, une recommandation de stratégie de risque interne et créer une stratégie pour vous aider à créer rapidement la stratégie recommandée. Si vous sélectionnez Créer une stratégie , vous accédez au flux de travail de stratégie et sélectionnez automatiquement le modèle de stratégie recommandé lié à l’insight. Par exemple, si l’insight analytique concerne l’activité Vol de données , le modèle de stratégie Vol de données est pré-sélectionné dans le flux de travail de stratégie pour vous.
Rapports de cas (préversion)
Les cas vous permettent d’examiner et d’agir en profondeur sur les problèmes générés par les indicateurs de risque définis dans vos stratégies. Les cas sont créés manuellement à partir d’alertes dans les situations où une action supplémentaire est nécessaire pour résoudre un problème lié à la conformité pour un utilisateur. Les rapports de cas fournissent des informations sur les tendances pour les cas afin de vous aider à suivre le type de cas, la status actuelle des cas, les cas par région ou affectation, etc. Vous pouvez rapidement filtrer tous les cas signalés par Tous les cas, Cas confirmés et Cas bénins.
| Type de rapport | Rapport | Description |
|---|---|---|
| Résumé | Cas créés | Affiche le nombre de cas générés pendant la plage de dates spécifiée. |
| Cas traités | Affiche le nombre de cas avec activité pendant la plage de dates spécifiée. | |
| Démographie | Principaux pays/régions avec des cas | Affiche le nombre de cas générés pour les utilisateurs en fonction du pays ou de la région dans lequel ils se trouve. Non spécifié signifie que leur pays ou région n’est pas spécifié dans Microsoft Entra ID. |
| Principaux services avec des cas | Affiche le nombre de cas générés pour les utilisateurs en fonction du service dans lequel ils se trouve. Non spécifié signifie que leur pays ou région n’est pas spécifié dans Microsoft Entra ID. | |
| Productivité | Status de cas par affectation | Affiche le nombre de cas attribués à des administrateurs spécifiques, répartis par status d’alerte. |
| Nombre moyen de jours avec status actif | Affiche le nombre moyen de jours pendant lesquels les cas sont restés dans un status actif pendant la plage de dates spécifiée. | |
Rapports d'activité des utilisateurs
Les rapports d’activité utilisateur vous permettent d’examiner les activités potentiellement risquées (pour des utilisateurs spécifiques et pour une période définie) sans avoir à affecter ces activités, temporairement ou explicitement, à une stratégie de gestion des risques internes. Dans la plupart des scénarios de gestion des risques internes, les utilisateurs sont explicitement définis dans les stratégies et peuvent avoir des alertes de stratégie (en fonction du déclenchement d’événements) et des scores de risque associés aux activités. Toutefois, dans certains scénarios, vous pouvez examiner les activités des utilisateurs qui ne sont pas explicitement définies dans une stratégie. Ces activités peuvent être destinées aux utilisateurs dont vous avez reçu un conseil sur l’utilisateur et les activités potentiellement à risque, ou aux utilisateurs qui n’ont généralement pas besoin d’être affectés à une stratégie de gestion des risques internes.
Une fois que vous avez configuré des indicateurs dans la page Paramètres de gestion des risques internes, l’activité de l’utilisateur est détectée pour les activités potentiellement à risque associées aux indicateurs sélectionnés. Cette configuration signifie que toutes les activités détectées pour les utilisateurs sont disponibles pour révision, qu’elle ait un événement déclencheur ou qu’elle crée une alerte. Les rapports sont créés par utilisateur et peuvent inclure toutes les activités pour une période personnalisée de 90 jours. Plusieurs rapports pour le même utilisateur ne sont pas pris en charge.
Après avoir examiné les activités potentiellement risquées, les enquêteurs peuvent ignorer les activités d’un utilisateur individuel comme étant sans gravité. Ils peuvent également partager ou envoyer par e-mail un lien vers le rapport avec d’autres enquêteurs, ou choisir d’affecter des utilisateurs (temporairement ou explicitement) à une stratégie de gestion des risques internes. Les utilisateurs doivent être affectés au groupe de rôles Enquêteurs de gestion des risques internes pour afficher la page Rapports d’activité des utilisateurs .
Créer un rapport d’activité utilisateur
Pour créer un rapport d’activité utilisateur, procédez comme suit :
- Accédez àRapports>de gestion des> risques internesActivité de l’utilisateur.
- Sélectionnez Créer un rapport d’activité utilisateur.
- Sélectionnez une date pour la date de début.
- Sélectionnez une date pour la date de fin.
- Dans le champ Utilisateurs , recherchez un ou plusieurs utilisateurs par nom ou par nom d’utilisateur principal.
- Sélectionnez Créer un rapport.
Les données d’activité utilisateur sont disponibles pour les rapports environ 48 heures après l’activité. Par exemple, pour passer en revue les données d’activité des utilisateurs pour le 1er décembre, vous devez vous assurer qu’au moins 48 heures se sont écoulées avant de créer le rapport (vous devez créer un rapport le 3 décembre au plus tôt).
Les nouveaux rapports prennent généralement jusqu’à 10 heures avant d’être prêts à être examinés. Lorsque le rapport est prêt, rapport prêt s’affiche dans la colonne État de la page Rapport d’activité utilisateur
Afficher un rapport d’activité utilisateur
Sélectionnez l’utilisateur pour afficher le rapport détaillé :
Le rapport d’activité de l’utilisateur pour l’utilisateur sélectionné contient les onglets Activité de l’utilisateur, Explorateur d’activités et Preuve d’investigation :
- Activité de l’utilisateur : utilisez cette vue de graphique pour examiner les activités potentiellement risquées et afficher les activités potentiellement associées qui se produisent par séquences. Cet onglet est structuré pour permettre une révision rapide d’un cas, y compris un chronologie historique de toutes les activités, les détails de l’activité, le score de risque actuel pour l’utilisateur dans le cas, la séquence d’événements à risque et les contrôles de filtrage pour faciliter les efforts d’investigation. Pour plus d’informations, consultez Activité de l’utilisateur.
- Explorateur d’activités : cet onglet fournit aux enquêteurs des risques un outil d’analyse complet qui fournit des informations détaillées sur les activités. Avec l’Explorateur d’activités, les réviseurs peuvent rapidement passer en revue un chronologie d’activité à risque détectée et identifier et filtrer toutes les activités potentiellement à risque associées aux alertes. Pour en savoir plus, consultez Explorateur d’activités.
- Preuve forensique : cet onglet permet aux enquêteurs sur les risques d’examiner les captures visuelles associées aux activités à risque incluses dans les cas de détection de preuves d’investigation.