Partager via


Prise en main du tableau de bord Alertes de protection contre la perte de données

les stratégies Protection contre la perte de données Microsoft Purview (DLP) peuvent prendre des mesures de protection pour empêcher le partage involontaire d’éléments sensibles. Vous pouvez être averti lorsqu’une action est effectuée sur un élément sensible en configurant des alertes pour DLP. Cet article explique comment configurer des alertes dans vos stratégies de protection contre la perte de données (DLP). Vous verrez comment utiliser le tableau de bord de gestion des alertes DLP dans le portail Microsoft Purview pour afficher les alertes, les événements et les métadonnées associées pour les violations de stratégie DLP.

Si vous débutez avec les alertes DLP, consultez Bien démarrer avec les alertes de protection contre la perte de données.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Le portail Microsoft Purview affiche des alertes pour les stratégies DLP appliquées aux charges de travail suivantes :

  • La messagerie électronique Exchange
  • Sites SharePoint
  • Les comptes OneDrive
  • conversation et messages de canal Teams
  • Appareils
  • Cas
  • Référentiels locaux
  • Infrastructure et Power BI

Avant de commencer

Avant de commencer, vérifiez que vous disposez des prérequis nécessaires :

  • Gestion des licences pour le tableau de bord de gestion des alertes DLP
  • Gestion des licences pour les options de configuration des alertes
  • Rôles requis

Gestion des licences pour le tableau de bord de gestion des alertes DLP

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Les clients qui utilisent endpoint DLP et qui sont éligibles pour teams DLP voient leurs alertes de stratégie DLP de point de terminaison et leurs alertes de stratégie DLP Teams dans le tableau de bord de gestion des alertes DLP.

Gestion des licences pour les options de configuration des alertes

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Rôles et Groupes de rôles

Si vous souhaitez afficher le tableau de bord de gestion des alertes DLP ou modifier les options de configuration des alertes dans une stratégie DLP, vous devez être membre de l’un des groupes de rôles suivants :

  • Administrateur de conformité
  • Administrateur de conformité des données
  • Administrateur de sécurité
  • Opérateur de sécurité
  • Lecteur de sécurité
  • Administrateur Information Protection
  • Analyste Information Protection
  • Enquêteur Information Protection
  • Lecteur Information Protection

Pour en savoir plus à leur sujet, consultez Autorisations dans le portail de conformité Microsoft Purview

Voici une liste des groupes de rôles applicables. Pour en savoir plus, consultez Autorisations dans la portail de conformité Microsoft Purview.

  • Protection des informations
  • Administrateurs Information Protection
  • Analystes Information Protection
  • Enquêteurs Information Protection
  • Lecteurs Information Protection

Pour accéder au tableau de bord de gestion des alertes DLP, vous avez besoin du rôle Gérer les alertes et de l’un de ces deux rôles :

  • Gestion de la conformité DLP
  • View-Only gestion de la conformité DLP

Pour accéder à la fonctionnalité d’aperçu du contenu et aux fonctionnalités de contenu sensible et de contexte mis en correspondance, vous devez être membre du groupe de rôles Visionneuse de contenu Explorer de contenu, dont le rôle visionneuse de contenu classification des données est préassigné.

Configuration de l’alerte DLP

Pour savoir comment configurer une alerte dans votre stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données.

Importante

La configuration de la stratégie de rétention du journal d’audit de votre organization contrôle la durée pendant laquelle une alerte reste visible dans la console. Pour plus d’informations, consultez Gérer les stratégies de rétention des journaux d’audit .

Configuration des alertes d’événement d’agrégation

Si votre organization dispose d’une licence pour les options de configuration des alertes agrégées, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP.

Capture d’écran montrant les options de rapports d’incident pour les utilisateurs éligibles aux options de configuration d’alerte agrégées.

Cette configuration vous permet de configurer une stratégie pour générer une alerte chaque fois qu’une activité correspond aux conditions de stratégie ou lorsqu’un certain seuil est dépassé, en fonction du nombre d’activités ou du volume de données exfiltrées.

Configuration d’une alerte d’événement unique

Si votre organization dispose d’une licence pour les options de configuration des alertes à événement unique, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP. Utilisez cette option pour créer une alerte qui est déclenchée chaque fois qu’une correspondance de règle DLP se produit.

Capture d’écran montrant les options de rapports d’incident pour les utilisateurs éligibles aux options de configuration des alertes à événement unique.

Examiner une alerte DLP

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Pour utiliser le tableau de bord de gestion des alertes DLP :

  1. Connectez-vous au portail >Microsoft PurviewProtection contre la perte de données.
  2. Sélectionnez Alertes pour afficher le tableau de bord Alertes DLP .
  3. Utilisez les champs Filtrer pour affiner la liste des alertes.
  4. Choisissez Personnaliser les colonnes pour répertorier les propriétés que vous souhaitez afficher.
  5. Pour trier les résultats par ordre croissant ou décroissant, double-cliquez sur l’en-tête de colonne.
  6. Double-cliquez sur une alerte pour plus d’informations sur celle-ci.
  7. L’onglet Détails s’ouvre par défaut et fournit des informations générales sur l’alerte.
  8. Sélectionnez Résumer avec Copilot. Le Security Copilot génère alors un résumé de l’alerte. Le résumé de l’alerte contient les éléments suivants :
    • gravité de l’alerte
    • titre de l’alerte
    • nom de la stratégie qui a été correspondante
    • le fichier de nom impliqué et un lien vers le fichier
    • status d’alerte
    • adresse e-mail de l’utilisateur qui a effectué l’action correspondant à la stratégie
  9. Sélectionnez les points de suspension dans le résumé Security Copilot pour :
    • copier le résumé dans le Presse-papiers
    • régénérer le résumé
    • ouvrez l’alerte dans l’expérience autonome Security Copilot.
  10. Sélectionnez Afficher les détails pour ouvrir l’onglet Vue d’ensemble . L’onglet Vue d’ensemble fournit un résumé des informations suivantes :
    • Que s’est-il passé
    • Qui a effectué les actions à l’origine de la correspondance de stratégie
    • Informations supplémentaires sur la correspondance de stratégie
  11. L’onglet Événements répertorie tous les événements associés à l’alerte. Sélectionnez un événement dans la liste pour obtenir des informations détaillées sur l’événement. Pour chaque événement, choisissez la liste déroulante Actions pour obtenir la liste des actions que vous pouvez effectuer sur l’alerte, par exemple vérifier si l’alerte a identifié une correspondance vraie ou un faux positif.
    1. L’onglet Résumé de l’activité utilisateur nécessite que le partage soit activé dans les paramètres de gestion des risques internes Une fois activé, l’onglet Résumé de l’activité utilisateur fournit toutes les activités d’exfiltration que l’utilisateur a effectuées (jusqu’aux 120 derniers jours). Les utilisateurs doivent être dans l’étendue d’une stratégie de gestion des risques internes pour afficher l’onglet Résumé de l’activité des utilisateurs .
    2. Après avoir examiné l’alerte, revenez à l’onglet Vue d’ensemble où vous pouvez Afficher les détails pour trier et gérer la destruction de l’alerte, ajouter des commentaires et attribuer la propriété de l’alerte. (Pour afficher l’historique de la gestion des flux de travail.)
    3. Après avoir pris l’action requise pour l’alerte, définissez l’État de l’alerte sur Résolu.

Autres conditions correspondantes

Microsoft Purview prend en charge l’affichage des conditions correspondantes dans un événement DLP pour révéler la cause exacte d’une stratégie DLP avec indicateur. Ces informations s’affichent dans :

Sous l’onglet Événements , ouvrez Détails pour afficher Autres conditions correspondantes.

Configuration requise

Les informations sur les événements correspondants sont prises en charge pour ces conditions

Condition Exchange Sharepoint Teams Point de terminaison
L’expéditeur est Oui Non Oui Non
Le domaine de l’expéditeur est Oui Non Oui Non
L’adresse de l’expéditeur contient des mots Oui Non Non Non
L’adresse de l’expéditeur correspond aux modèles Oui Non Non Non
L’expéditeur est membre de Oui Non Non Non
L’adresse IP de l’expéditeur est Oui Non Non Non
L’expéditeur a remplacé le conseil de stratégie Oui Non Non Non
SenderAdAttribute Contient des mots Oui Non Non Non
Modèles SenderAdAttribute Correspond Oui Non Non Non
Le destinataire est Oui Non Oui Non
Le domaine du destinataire est Oui Non Oui Non
L'adresse du destinataire contient les mots Oui Non Non Non
L’adresse du destinataire correspond aux modèles Oui Non Non Non
Le destinataire est membre de Oui Non Non Non
RecipientAdAttribute Contient des mots Oui Non Non Non
Modèles De correspondances RecipientAdAttribute Oui Non Non Non
Le document est protégé par mot de passe Oui Non Non Non
Impossible d’analyser le document Oui Non Non Non
L’analyse du document n’a pas été terminée Oui Non Non Non
Le nom du document contient des mots Oui Oui Non Non
Le nom du document correspond aux modèles Oui Non Non Non
La propriété du document est Oui Oui Non Non
Taille du document sur Oui Oui Non Non
Le contenu du document contient des mots Oui Non Non Non
Le contenu du document correspond aux modèles Oui Non Non Non
Le type de document est Non Non Non Oui
L’extension de document est Oui Oui Non Oui
Le contenu est partagé à partir de M365 Oui Oui Oui Non
Le contenu est reçu à partir de Oui Non Non Non
Le jeu de caractères de contenu contient des mots Oui Non Non Non
L’objet contient des mots Oui Non Non Non
L’objet correspond aux modèles Oui Non Non Non
L’objet ou le corps contient des mots Oui Non Non Non
L’objet ou le corps correspond aux modèles Oui Non Non Non
L’en-tête contient des mots Oui Non Non Non
L’en-tête correspond aux modèles Oui Non Non Non
Taille du message sur Oui Non Non Non
Le type de message est Oui Non Non Non
L’importance du message est Oui Non Non Non

Limitation lors du téléchargement d’e-mails à partir d’une alerte DLP

En général, lorsque vous utilisez le tableau de bord de gestion des alertes DLP, vous pouvez télécharger des e-mails spécifiques à partir d’une alerte. Toutefois, les e-mails qui ont été supprimés dans l’un des scénarios suivants ne peuvent pas être téléchargés.

Expéditeur Destinataire état de Email
Interne Externe Supprimé par l’expéditeur
Externe Interne Supprimé par destinataire
Interne Interne Supprimé par les deux parties

Outils d’investigation d’alerte supplémentaires