Bonnes pratiques pour gérer le volume d’alertes dans la conformité des communications
Importante
Conformité des communications Microsoft Purview fournit des outils pour aider les organisations à détecter la conformité réglementaire (par exemple, SEC ou FINRA) et les violations de conduite commerciale, telles que des informations sensibles ou confidentielles, des propos harcelants ou menaçants, et le partage de contenu pour adultes. Conçu avec la confidentialité par défaut, les noms d’utilisateur sont pseudonymisés par défaut, les contrôles d’accès en fonction du rôle sont intégrés, les enquêteurs sont activés par un administrateur et les journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Après avoir configuré Conformité des communications Microsoft Purview, certains ajustements peuvent vous aider à gérer le volume d’alertes que vous recevez. Utilisez la liste des meilleures pratiques de cet article pour créer des stratégies qui couvrent le plus d’utilisateurs possible tout en réduisant le nombre d’alertes non exploitables.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Comprendre mot clé volumes de liste
De nombreux clients utilisent des listes de mot clé personnalisées pour les scénarios de conformité. Comprendre le volume de correspondances de stratégie pour chaque mot clé peut vous aider à optimiser vos stratégies. Utilisez le rapport Type d’informations sensibles par emplacement pour analyser mot clé listes afin de voir quels mots clés déclenchent le plus de correspondances. Vous pouvez ensuite examiner plus en détail si ces mots clés ont des taux de faux positifs élevés. Vous pouvez également utiliser les rapports détails du message pour obtenir des données sur mot clé correspond à une stratégie spécifique.
Utiliser le tableau de bord de classification des données
Il est important de comprendre le volume d’éléments classés par classifieurs pouvant être entraînés et les types d’informations sensibles. Vous pouvez utiliser l’Explorateur de contenu dans le tableau de bord de classification des données pour vous aider à comprendre le volume auquel vous pouvez vous attendre pour votre organization.
Lorsque vous commencez à utiliser des classifieurs pouvant être entraînés pour la première fois, vous risquez de ne pas obtenir suffisamment de correspondances ou d’obtenir trop de correspondances. Le tableau suivant indique le niveau de volume à attendre pour différents types de classifieurs pouvant être formés.
Classifieur pouvant être formé | Volume |
---|---|
Discrimination | Faible |
Harcèlement ciblé | Faible |
Menaces | Faible |
Images pour adultes | Faible |
Plaintes des clients | Moyen |
Vulgarité | Moyen |
Images racé | Moyen |
Images gory | Moyen |
Cadeaux & divertissement | Moyen |
Blanchiment | Moyen |
Collusion réglementaire | Moyen |
Manipulation de stock | Moyen |
Divulgation non autorisée | Élevé |
Envisagez d’utiliser le classifieur d’images adultes au lieu du classifieur d’images Racy , car le classifieur d’images adultes détecte une image plus explicite. Vous pouvez utiliser l’Explorateur de contenu pour vous aider à comprendre le volume que vous pouvez attendre pour votre organization pour chacun des classifieurs pouvant être entraînés.
Filtrer les envois d’e-mails
Vous pouvez filtrer les messages électroniques qui sont génériques et destinés à la communication de masse. Par exemple, le filtrage du courrier indésirable, des bulletins d’informations, etc. Pour plus d’informations, consultez En savoir plus sur le rapport des expéditeurs de Email.
Filtrer les signatures/exclusions de responsabilité des e-mails
Les types d’informations sensibles peuvent être déclenchés à partir de pieds de page dans les e-mails, tels que les clauses d’exclusion de responsabilité. Si la plupart de vos alertes non exploitables proviennent d’un ensemble spécifique de phrases ou d’expressions dans une signature électronique ou une clause d’exclusion de responsabilité, vous pouvez filtrer la signature de l’e-mail ou l’exclusion de responsabilité.
Utiliser l’évaluation des sentiments
Les messages dans les alertes incluent l’évaluation des sentiments pour vous aider à hiérarchiser rapidement les messages potentiellement plus risqués à traiter en premier. L’utilisation de l’évaluation des sentiments ne réduit pas vos volumes de détection, mais facilite la hiérarchisation des détections. Les messages sont marqués comme sentiment positif, négatif ou neutre . Pour certaines organisations, les messages avec un sentiment positif peuvent être déterminés comme étant une priorité inférieure, ce qui vous permet de passer plus de temps sur d’autres alertes de message.
Signaler les messages comme mal classés
Le signalement de faux positifs comme étant mal classés permet d’améliorer les modèles de Microsoft et de réduire le nombre de faux positifs que vous verrez à l’avenir.
Filtrer des expéditeurs spécifiques à l’aide d’une condition
Si vous avez des expéditeurs qui déclenchent systématiquement des détections, vous pouvez filtrer ces expéditeurs particuliers à l’aide du paramètre conditionnel suivant :
Certains exemples de détections de déclenchement cohérent peuvent se produire par le biais de bulletins d’informations, de messages électroniques automatisés, etc. Pour plus d’informations sur les scénarios, consultez Scénarios de création de conditions dans les stratégies de conformité des communications.
Utiliser le sens de communication pour cibler un ensemble particulier d’utilisateurs
Si vous détectez les normes des scénarios de conduite de l’entreprise et que vous vous souciez uniquement des communications de vos utilisateurs (et non des invités), envisagez d’utiliser une stratégie qui détecte uniquement les communications sortantes. Si vous placez l’ensemble de la organization dans l’étendue, vous pouvez vous assurer que tous les utilisateurs de votre organization sont couverts, mais exclure les utilisateurs en dehors de votre organization.
Combiner des classifieurs pouvant être entraînés
Envisagez de combiner au moins deux classifieurs pouvant être entraînés . Par exemple, combinez les classifieursmenaces et grossièretés ou les classifieurs Harcèlement ciblé et Profanité pour augmenter le seuil des messages capturés.
Réduire le pourcentage de communications examinées
Si vous souhaitez simplement échantillonner un sous-ensemble de tous les messages qui déclenchent des alertes, spécifiez un pourcentage de communications à examiner.