Prise en main de l’explorateur d’activités
L’Explorateur d’activités vous permet de surveiller ce qui est fait avec votre contenu étiqueté. L’Explorateur d’activités fournit une vue historique des activités sur votre contenu étiqueté. Les informations d’activité sont collectées à partir des journaux d’audit unifiés Microsoft 365, transformées, puis mises à disposition dans l’interface utilisateur de l’Explorateur d’activités. L’Explorateur d’activités signale jusqu’à 30 jours de données.
L’Explorateur d’activités vous offre plusieurs façons de trier et d’afficher les données.
Filtres
Les filtres sont les blocs de construction de l’Explorateur d’activités, chacun se concentrant sur une dimension différente des données collectées. Il existe environ 50 filtres individuels différents disponibles, dont certains sont :
- Plage de dates
- Type d’activité
- Emplacement
- Étiquette de confidentialité
- Utilisateur
- Client IP
- Nom du périphérique
- Est protégé
Pour les afficher tous, ouvrez le volet filtre dans l’Explorateur d’activités et examinez la liste déroulante.
Jeux de filtres
L’Explorateur d’activités est fourni avec des ensembles prédéfinis de filtres pour vous aider à gagner du temps lorsque vous souhaitez vous concentrer sur une activité spécifique. Utilisez des jeux de filtres pour vous fournir rapidement une vue des activités de niveau supérieur à celle des filtres individuels. Voici quelques-uns des jeux de filtres prédéfinis :
- Activités DLP de point de terminaison
- Étiquettes de sensibilité appliquées, modifiées ou supprimées
- Activités de sortie
- Stratégies DLP qui ont détecté des activités
- Activités DLP réseau
- Navigateur protégé
Vous pouvez également créer et enregistrer vos propres jeux de filtres en combinant des filtres individuels.
Security Copilot dans l’Explorateur d’activités (préversion)
En préversion, Microsoft Security Copilot dans Microsoft Purview est incorporé dans l’Explorateur d’activités. Il peut vous aider à explorer efficacement les données d’activité et à identifier les activités, les fichiers avec des informations sensibles, les utilisateurs et les détails supplémentaires pertinents pour une investigation.
Importante
Veillez à case activée les réponses de Security Copilot à des fins d’exactitude et d’exhaustivité avant de prendre des mesures en fonction des informations fournies. Vous pouvez fournir des commentaires pour améliorer l’exactitude des réponses.
Chasse aux données
Security Copilot compétences d’utilisation de toutes les données disponibles pour Microsoft Purview, filtres et jeux de filtres disponibles dans l’Explorateur d’activités et utilise le Machine Learning pour vous fournir des insights sur l’activité (parfois appelée chasse aux données) sur vos données qui est la plus importante pour vous.
- Montrez-moi le top 5 des activités de la semaine dernière
- Filtrer et examiner les activités
- Rechercher des fichiers utilisés dans des activités spécifiques
La sélection d’une invite ouvre automatiquement le carte côté Security Copilot et affiche les résultats de la requête. Vous pouvez ensuite affiner davantage la requête.
Génération d’un jeu de filtres en langage naturel
Vous pouvez utiliser la zone d’invite pour entrer des requêtes en langage naturel complexes afin de générer des jeux de filtres. Par exemple, vous pouvez entrer :
« Filtrez et examinez les fichiers copiés dans le cloud avec le carte de crédit de type d’informations sensibles pour les 30 derniers jours. »
Security Copilot générerez un jeu de filtres pour votre requête. Vous devez ensuite examiner le filtre pour vous assurer qu’il s’agit de ce que vous souhaitez, puis vous pouvez l’appliquer aux données.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Configuration requise
Licences SKU/abonnements
Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.
Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.
Autorisations
Un compte doit se voir attribuer explicitement l’appartenance à l’un de ces groupes de rôles, ou le rôle doit être explicitement attribué.
Rôles et Groupes de rôles
Il existe des rôles et des groupes de rôles que vous pouvez utiliser pour affiner vos contrôles d’accès. Pour en savoir plus, consultez Autorisations dans la portail de conformité Microsoft Purview.
Rôles Microsoft Purview
- Administrateur Information Protection
- Analyste Information Protection
- Enquêteur Information Protection
- Lecteur Information Protection
Groupes de rôle Microsoft Purview
- Protection des informations
- Administrateurs Information Protection
- Enquêteurs Information Protection
- Analystes Information Protection
- Lecteurs Information Protection
Rôles Microsoft 365
- Administrateurs de conformité
- Administrateurs de la sécurité
- Administrateurs des données de conformité
Groupes de rôle Microsoft 365
- Administrateur de conformité
- Administrateur de sécurité
- Lecteur de sécurité
Types d’activité
L’Explorateur d’activités collecte des informations à partir des journaux d’audit de plusieurs sources d’activités.
Voici quelques exemples d’activités d’étiquette de confidentialité et d’activités d’étiquetage de rétention à partir d’applications natives de Microsoft Office, du client et du scanneur Microsoft Information Protection, de SharePoint, d’Exchange (étiquettes de confidentialité uniquement) et de OneDrive :
- Étiquette appliqué
- Étiquette modifiée (mise à niveau, rétrogradée ou supprimé)
- Simulation d'étiquetage automatique
- Fichier lu
Pour obtenir la liste actuelle des activités répertoriées dans l’Explorateur d’activités, accédez à Explorateur d’activités et ouvrez le filtre d’acitivity. La liste des activités est disponible dans la liste déroulante.
L’activité d’étiquetage spécifique au client et au scanneur Microsoft Information Protection qui entre dans l’Explorateur d’activités comprend les éléments suivants :
- Protection appliquée
- Protection modifiée
- Protection supprimée
- Fichiers découverts
Pour plus d’informations sur l’activité d’étiquetage dans l’Explorateur d’activités, consultez Étiquetage des événements disponibles dans l’Explorateur d’activités.
En outre, à l’aide de la protection contre la perte de données de point de terminaison (DLP), l’Explorateur d’activités rassemble des stratégies DLP qui correspondent aux événements d’Exchange, SharePoint, OneDrive, Teams Chat and Channel, aux dossiers et bibliothèques SharePoint locaux, aux partages de fichiers locaux et aux appareils exécutant Windows 10, Windows 11 et l’une des trois versions principales de macOS les plus récentes. Voici quelques exemples d’événements collectés à partir de Windows 10 appareils :
- Suppression
- Création
- Copier dans le Presse-papiers
- Modifier
- Lecture
- Renommer
- Copier dans le partage réseau
- Accès par une application non autorisée
Comprendre les actions effectuées sur le contenu avec des étiquettes de confidentialité vous aide à déterminer si les contrôles que vous avez en place, tels que les stratégies de Protection contre la perte de données Microsoft Purview, sont efficaces. Si ce n’est pas le cas, ou si vous découvrez quelque chose d’inattendu (par exemple, un grand nombre d’éléments étiquetés highly confidential qui sont rétrogradés à general), vous pouvez gérer vos stratégies et prendre de nouvelles mesures pour limiter le comportement indésirable.
Remarque
L’Explorateur d’activités ne surveille pas actuellement les activités de rétention pour Exchange.
Remarque
Si le verdict DLP Teams est signalé comme faux positif par l’utilisateur, l’activité s’affiche en tant qu’informations DLPdans la liste de l’Explorateur d’activités. L’entrée n’a pas de détails de règle et de correspondance de stratégie présents, mais affiche des valeurs synthétiques. Aucun rapport d’incident n’est également généré pour les rapports de faux positifs.
Événements et alertes de type d’activité
Ce tableau présente les événements déclenchés dans activity Explorer pour trois exemples de configurations de stratégie, selon qu’une correspondance de stratégie est détectée ou non.
| Configuration de la stratégie | Événement Explorer d’activité déclenché pour ce type d’action | Événement Explorer d’activité déclenché lorsqu’une règle DLP est mise en correspondance | Alerte Explorer d’activité déclenchée |
|---|---|---|---|
| La stratégie contient une seule règle autorisant l’activité sans l’auditer. | Oui | Non | Non |
| La stratégie contient deux règles : les correspondances pour la règle n° 1 sont autorisées ; les correspondances de stratégie pour la règle n° 2 sont auditées. | Oui (Règle n°2 uniquement) |
Oui (Règle n°2 uniquement) |
Oui (Règle n°2 uniquement) |
| La stratégie contient deux règles : les correspondances indiquent que les deux règles sont autorisées et non auditées. | Oui | Non | Non |