Partager via


En savoir plus sur la protection contre la perte de données

Cet article présente le flux d’investigation des alertes et les outils que vous pouvez utiliser pour examiner les alertes DLP.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles que vous devez connaître lorsque vous implémentez votre pratique de protection contre la perte de données :

  1. Unités administratives
  2. En savoir plus sur Protection contre la perte de données Microsoft Purview : l’article vous présente la discipline de protection contre la perte de données et l’implémentation de la protection contre la perte de données par Microsoft.
  3. Planifier la protection contre la perte de données (DLP) : en suivant cet article, vous allez :
    1. Identifier les parties prenantes
    2. Décrire les catégories d’informations sensibles à protéger
    3. Définir des objectifs et une stratégie
  4. Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et explique comment chacun d’eux influence le comportement d’une stratégie.
  5. Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
  6. Créer et déployer des stratégies de protection contre la perte de données : présente certains scénarios d’intention de stratégie courants que vous mappez aux options de configuration. Il vous guide ensuite dans la configuration de ces options et fournit des conseils sur le déploiement d’une stratégie.
  7. En savoir plus sur l’examen des alertes de protection contre la perte de données : cet article que vous lisez présente maintenant le cycle de vie des alertes, de la création à la correction finale et au réglage des stratégies. Il vous présente également les outils que vous utilisez pour examiner les alertes.

Cycle de vie d’une alerte DLP

Toutes les alertes et votre interaction avec elles passent par les six étapes suivantes :

Déclencher

La durée de vie d’une alerte Protection contre la perte de données Microsoft Purview (DLP) commence lorsque les conditions définies dans la stratégie sont mises en correspondance. Lorsqu’une correspondance de stratégie se produit, les actions définies dans la stratégie sont déclenchées, ce qui peut inclure la génération d’une alerte si la stratégie est configurée pour le faire.

Les stratégies DLP sont généralement configurées pour surveiller et générer des alertes dans les cas suivants :

  • Les informations sensibles, telles que les données d’identification personnelle ou la propriété intellectuelle, sont exfiltrées de votre organization.
  • Les informations sensibles sont partagées de manière inappropriée avec des personnes à l’extérieur ou à l’intérieur de votre organization.
  • Les utilisateurs s’engagent dans des activités à risque, telles que le téléchargement d’informations sensibles sur des supports amovibles.

Notification

Lorsqu’une alerte est générée, elle est envoyée au portail Microsoft Defender en tant qu’incident et au tableau de bord de gestion des alertes DLP. Les stratégies DLP peuvent être configurées pour envoyer des notifications aux utilisateurs, administrateurs et autres parties prenantes par e-mail.

Dans la phase de notification Microsoft Purview :

  • Rapports sur les correspondances de stratégie DLP et les remplacements utilisateur.
  • Vous pouvez utiliser l’Explorateur d’activités pour afficher les activités liées à la protection contre la perte de données et filtrer à des fins de génération de rapports.

Pour exporter des données d’activité à des fins de création de rapports, utilisez Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc à l’aide de l’API d’activité de gestion O365 ou de l’API d’incident.

Remarque

Le portail Microsoft Defender conserve les incidents pendant six mois. Le tableau de bord de gestion des alertes DLP conserve les alertes pendant 30 jours.

Triage

Dans cette étape, vous analysez une alerte et tous les journaux associés et déterminez si l’alerte est un vrai positif ou un faux positif. S’il s’agit d’un vrai positif, vous définissez la priorité de l’alerte en fonction de la gravité du problème et de son impact sur votre organization et affectez un propriétaire. S’il s’agit d’un faux positif, vous pouvez débloquer l’utilisateur et passer à l’alerte suivante.

Le portail Defender regroupe les événements DLP en incidents. Les incidents sont une collection d’alertes associées regroupées en fonction de tous les autres signaux reçus par Defender. Par exemple, lorsque vous disposez d’une stratégie DLP configurée pour surveiller et alerter les fichiers sensibles sur les sites SharePoint, et qu’un utilisateur télécharge un fichier à partir d’un site SharePoint, le charge sur un OneDrive personnel, puis le partage avec un utilisateur externe, Defender regroupe toutes ces alertes en un seul incident. Il s’agit d’une fonctionnalité puissante qui vous permet de vous concentrer d’abord sur les alertes les plus importantes.

Dans le portail Defender, vous pouvez commencer immédiatement à trier les incidents et utiliser des balises, des commentaires et d’autres fonctionnalités pour structurer votre gestion des incidents. Vous devez utiliser la page Incidents du portail Microsoft Defender pour gérer vos alertes DLP. Vous pouvez filtrer la file d’attente Incidents pour afficher tous les incidents avec les alertes DLP Microsoft Purview en sélectionnant Filtres et en choisissant Source de service : Protection contre la perte de données.

Si vous avez activé le partage des données de gestion des risques internes avec Microsoft Defender XDR (préversion), vous verrez le niveau de gravité de la stratégie de gestion des risques internes associée à un utilisateur dans la page alertes DLP. Les niveaux de gravité de la gestion des risques internes sont les suivants : Faible, Moyen, Élevé et Aucun. Vous pouvez utiliser ces informations pour hiérarchiser vos efforts d’investigation et de correction. Ces informations seront également disponibles dans le portail Microsoft 365 Defender dans les détails de l’incident.

Examiner

L’objectif main de la phase d’investigation est que le propriétaire affecté met en corrélation les preuves, détermine la cause et l’impact complet de l’alerte et décide d’un plan de correction. Le propriétaire affecté est responsable d’une investigation et d’une correction plus approfondies de l’alerte. Les principaux outils d’investigation des alertes sont le portail Microsoft Defender et le tableau de bord de gestion des alertes DLP. Vous pouvez également utiliser l’Explorateur d’activités pour examiner les alertes. Vous pouvez également partager des alertes avec d’autres utilisateurs de votre organization.

Vous pouvez tirer parti des fonctionnalités DLP telles que :

Vous pouvez utiliser Microsoft Defender portail et les outils Purview pour trier et examiner les alertes, mais le portail Microsoft Defender offre davantage de fonctionnalités pour la gestion des alertes et des incidents, par exemple :

  • Affichez toutes vos alertes DLP regroupées sous incidents dans la file d’attente des incidents Microsoft Defender XDR.
  • Affichez les alertes inter-solution intelligentes (DLP-MDE, DLP-MDO) et intra-solution (DLP-DLP) corrélées sous un seul incident.
  • Recherchez les journaux de conformité ainsi que la sécurité sous Repérage avancé.
  • Actions de correction sur place de l’administrateur sur l’utilisateur, le fichier et l’appareil.
  • Associez des balises personnalisées aux incidents DLP et filtrez-les.
  • Filtrez par nom de stratégie DLP, balise, date, source de service, status d’incident et utilisateur sur la file d’attente unifiée des incidents.

Si vous partagez des données de gestion des risques internes avec Defender (préversion), vous pouvez voir le résumé de l’activité de l’utilisateur de toutes les activités d’exfiltration que l’utilisateur a effectuées au cours des 120 derniers jours.

Corriger

Votre plan de correction est propre aux stratégies de votre organization, au secteur d’activité, aux réglementations géopolitiques auxquelles il doit se conformer et aux pratiques commerciales. La façon dont votre organization choisit de répondre à une alerte dépend de la précision de l’alerte (vrai positif, faux positif, faux négatif), de la gravité du problème et de l’impact sur votre organization.

Les actions de correction peuvent inclure :

  • Surveiller uniquement, aucune action supplémentaire n’est requise.
  • Aucune autre action n’est nécessaire, car les actions prises par la stratégie ont suffisamment atténué le risque.
  • Les risques sont atténués par des actions de stratégie automatisées, mais l’éducation des utilisateurs est nécessaire.
  • Le problème n’a pas été entièrement atténué par la stratégie. Par conséquent, d’autres propre et une atténuation des risques sont nécessaires, ainsi qu’une formation supplémentaire de l’utilisateur.
  • Via la protection adaptative dans la protection contre la perte de données (préversion) où DLP s’intègre à la gestion des risques internes, vous pouvez attribuer un niveau de risque à l’utilisateur pour une surveillance et des actions supplémentaires.

Avec le portail Defender, vous pouvez immédiatement prendre des mesures correctives sur les alertes et les incidents. Par exemple :

  • Réinitialiser le mot de passe
  • Désactiver le compte
  • Afficher l’activité de l’utilisateur
  • Actions sur les détections DLP
  • Supprimer un document
  • Appliquer une étiquette de confidentialité
  • Annuler le partage
  • Télécharger l’e-mail
  • Repérage avancé
  • Isoler l’appareil
  • Collecter le pack d’investigation à partir de l’appareil
  • Exécuter l’analyse AV
  • Fichier de quarantaine
  • Désactiver l’utilisateur
  • Réinitialiser pwd
  • Supprimer un e-mail
  • Déplacer le courrier vers un autre dossier de boîte aux lettres
  • Télécharger un fichier

Mélodie

En fonction de l’exactitude et de l’efficacité de votre stratégie, vous devrez peut-être la mettre à jour pour qu’elle reste efficace. Vous avez déjà paramétré votre stratégie pendant le processus de création et de déploiement de la stratégie, mais à mesure que votre patrimoine de données et vos besoins métier changent, les stratégies doivent être mises à jour pour continuer à être efficaces. Ces modifications sont mieux suivies dans l’instruction d’intention de stratégie et la configuration de la stratégie.

Éléments que vous réglez :

  • Étendue de la stratégie.
  • Conditions requises pour une correspondance de stratégie.
  • Actions effectuées lorsqu’une correspondance de stratégie se produit.
  • Notifications envoyées aux utilisateurs et aux administrateurs.

Pour plus d’informations sur le mappage des besoins de l’entreprise aux stratégies de conception et de test des stratégies, consultez :

Ensembles d’outils

Vous pouvez utiliser plusieurs outils pour examiner et gérer les alertes Protection contre la perte de données Microsoft Purview (DLP). Il existe :

Microsoft recommande d’utiliser la file d’attente d’incidents unifiée dans Microsoft Defender portail pour gérer vos alertes DLP. Toutefois, votre organization peut avoir des besoins qui peuvent être satisfaits à l’aide du tableau de bord de gestion des alertes DLP en plus du portail Microsoft Defender.

Portail Microsoft Defender

Portail de conformité Microsoft Purview

  • Le tableau de bord des alertes, l’Explorateur d’activités et l’Explorateur de contenu sont tous disponibles dans le portail de conformité Microsoft Purview. Vous pouvez résumer les alertes à l’aide de Microsoft Security Copilot Examiner une alerte DLP
  • Vous pouvez définir une alerte status sur Examen.
  • Vous pouvez partager des alertes avec d’autres utilisateurs de votre organization.
  • Télécharger des fichiers à partir de OneDrive et SharePoint (le rôle de visionneuse de contenu de classification des données est requis pour cette action)

Si vous débutez avec le tableau de bord Alertes DLP, lisez ces articles pour vous aider à commencer.

Étapes suivantes