Prise en main du tableau de bord Alertes de protection contre la perte de données
les stratégies Protection contre la perte de données Microsoft Purview (DLP) peuvent prendre des mesures de protection pour empêcher le partage involontaire d’éléments sensibles. Vous pouvez être averti lorsqu’une action est effectuée sur un élément sensible en configurant des alertes pour DLP. Cet article explique comment configurer des alertes dans vos stratégies de protection contre la perte de données (DLP). Vous verrez comment utiliser le tableau de bord de gestion des alertes DLP dans le portail Microsoft Purview pour afficher les alertes, les événements et les métadonnées associées pour les violations de stratégie DLP.
Si vous débutez avec les alertes DLP, consultez Bien démarrer avec les alertes de protection contre la perte de données.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Le portail Microsoft Purview affiche des alertes pour les stratégies DLP appliquées aux charges de travail suivantes :
- La messagerie électronique Exchange
- Sites SharePoint
- Les comptes OneDrive
- conversation et messages de canal Teams
- Appareils
- Cas
- Référentiels locaux
- Infrastructure et Power BI
Avant de commencer
Avant de commencer, vérifiez que vous disposez des prérequis nécessaires :
- Gestion des licences pour le tableau de bord de gestion des alertes DLP
- Gestion des licences pour les options de configuration des alertes
- Rôles requis
Gestion des licences pour le tableau de bord de gestion des alertes DLP
Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.
Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.
Les clients qui utilisent endpoint DLP et qui sont éligibles pour teams DLP voient leurs alertes de stratégie DLP de point de terminaison et leurs alertes de stratégie DLP Teams dans le tableau de bord de gestion des alertes DLP.
Gestion des licences pour les options de configuration des alertes
Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.
Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.
Rôles et Groupes de rôles
Si vous souhaitez afficher le tableau de bord de gestion des alertes DLP ou modifier les options de configuration des alertes dans une stratégie DLP, vous devez être membre de l’un des groupes de rôles suivants :
- Administrateur de conformité
- Administrateur de conformité des données
- Administrateur de sécurité
- Opérateur de sécurité
- Lecteur de sécurité
- Administrateur Information Protection
- Analyste Information Protection
- Enquêteur Information Protection
- Lecteur Information Protection
Pour en savoir plus à leur sujet, consultez Autorisations dans le portail de conformité Microsoft Purview
Voici une liste des groupes de rôles applicables. Pour en savoir plus, consultez Autorisations dans la portail de conformité Microsoft Purview.
- Protection des informations
- Administrateurs Information Protection
- Analystes Information Protection
- Enquêteurs Information Protection
- Lecteurs Information Protection
Pour accéder au tableau de bord de gestion des alertes DLP, vous avez besoin du rôle Gérer les alertes et de l’un de ces deux rôles :
- Gestion de la conformité DLP
- View-Only gestion de la conformité DLP
Pour accéder à la fonctionnalité d’aperçu du contenu et aux fonctionnalités de contenu sensible et de contexte mis en correspondance, vous devez être membre du groupe de rôles Visionneuse de contenu Explorer de contenu, dont le rôle visionneuse de contenu classification des données est préassigné.
Configuration de l’alerte DLP
Pour savoir comment configurer une alerte dans votre stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données.
Importante
La configuration de la stratégie de rétention du journal d’audit de votre organization contrôle la durée pendant laquelle une alerte reste visible dans la console. Pour plus d’informations, consultez Gérer les stratégies de rétention des journaux d’audit .
Configuration des alertes d’événement d’agrégation
Si votre organization dispose d’une licence pour les options de configuration des alertes agrégées, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP.
Cette configuration vous permet de configurer une stratégie pour générer une alerte chaque fois qu’une activité correspond aux conditions de stratégie ou lorsqu’un certain seuil est dépassé, en fonction du nombre d’activités ou du volume de données exfiltrées.
Configuration d’une alerte d’événement unique
Si votre organization dispose d’une licence pour les options de configuration des alertes à événement unique, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP. Utilisez cette option pour créer une alerte qui est déclenchée chaque fois qu’une correspondance de règle DLP se produit.
Examiner une alerte DLP
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Pour utiliser le tableau de bord de gestion des alertes DLP :
- Connectez-vous au portail >Microsoft PurviewProtection contre la perte de données.
- Sélectionnez Alertes pour afficher le tableau de bord Alertes DLP .
- Utilisez les champs Filtrer pour affiner la liste des alertes.
- Choisissez Personnaliser les colonnes pour répertorier les propriétés que vous souhaitez afficher.
- Pour trier les résultats par ordre croissant ou décroissant, double-cliquez sur l’en-tête de colonne.
- Double-cliquez sur une alerte pour plus d’informations sur celle-ci.
- L’onglet Détails s’ouvre par défaut et fournit des informations générales sur l’alerte.
- Sélectionnez Résumer avec Copilot. Le Security Copilot génère alors un résumé de l’alerte. Le résumé de l’alerte contient les éléments suivants :
- gravité de l’alerte
- titre de l’alerte
- nom de la stratégie qui a été correspondante
- le fichier de nom impliqué et un lien vers le fichier
- status d’alerte
- adresse e-mail de l’utilisateur qui a effectué l’action correspondant à la stratégie
- Sélectionnez les points de suspension dans le résumé Security Copilot pour :
- copier le résumé dans le Presse-papiers
- régénérer le résumé
- ouvrez l’alerte dans l’expérience autonome Security Copilot.
- Sélectionnez Afficher les détails pour ouvrir l’onglet Vue d’ensemble . L’onglet Vue d’ensemble fournit un résumé des informations suivantes :
- Que s’est-il passé
- Qui a effectué les actions à l’origine de la correspondance de stratégie
- Informations supplémentaires sur la correspondance de stratégie
- L’onglet Événements répertorie tous les événements associés à l’alerte. Sélectionnez un événement dans la liste pour obtenir des informations détaillées sur l’événement. Pour chaque événement, choisissez la liste déroulante Actions pour obtenir la liste des actions que vous pouvez effectuer sur l’alerte, par exemple vérifier si l’alerte a identifié une correspondance vraie ou un faux positif.
- L’onglet Résumé de l’activité utilisateur nécessite que le partage soit activé dans les paramètres de gestion des risques internes Une fois activé, l’onglet Résumé de l’activité utilisateur fournit toutes les activités d’exfiltration que l’utilisateur a effectuées (jusqu’aux 120 derniers jours). Les utilisateurs doivent être dans l’étendue d’une stratégie de gestion des risques internes pour afficher l’onglet Résumé de l’activité des utilisateurs .
- Après avoir examiné l’alerte, revenez à l’onglet Vue d’ensemble où vous pouvez Afficher les détails pour trier et gérer la destruction de l’alerte, ajouter des commentaires et attribuer la propriété de l’alerte. (Pour afficher l’historique de la gestion des flux de travail.)
- Après avoir pris l’action requise pour l’alerte, définissez l’État de l’alerte sur Résolu.
Autres conditions correspondantes
Microsoft Purview prend en charge l’affichage des conditions correspondantes dans un événement DLP pour révéler la cause exacte d’une stratégie DLP avec indicateur. Ces informations s’affichent dans :
- Console Alertes DLP
- Explorateur d’activités
- portail Microsoft Defender pour entreprises
Sous l’onglet Événements , ouvrez Détails pour afficher Autres conditions correspondantes.
Configuration requise
- Doit être en cours d’exécution Windows 10 x64 (build 1809 ou ultérieure) ou Windows 11.
- Consultez 21 mars 2023 — KB5023773 (builds du système d’exploitation 19042.2788, 19044.2788 et 19045.2788) Preview pour connaître les builds minimales requises du système d’exploitation Windows.
- Les données des conditions correspondantes sont disponibles pour les titulaires de licenceS E3 et E5 valides.
- Activez l’audit.
- Activez l’analyse et la protection avancées de la classification.
Les informations sur les événements correspondants sont prises en charge pour ces conditions
Condition | Exchange | Sharepoint | Teams | Point de terminaison |
---|---|---|---|---|
L’expéditeur est | Oui | Non | Oui | Non |
Le domaine de l’expéditeur est | Oui | Non | Oui | Non |
L’adresse de l’expéditeur contient des mots | Oui | Non | Non | Non |
L’adresse de l’expéditeur correspond aux modèles | Oui | Non | Non | Non |
L’expéditeur est membre de | Oui | Non | Non | Non |
L’adresse IP de l’expéditeur est | Oui | Non | Non | Non |
L’expéditeur a remplacé le conseil de stratégie | Oui | Non | Non | Non |
SenderAdAttribute Contient des mots | Oui | Non | Non | Non |
Modèles SenderAdAttribute Correspond | Oui | Non | Non | Non |
Le destinataire est | Oui | Non | Oui | Non |
Le domaine du destinataire est | Oui | Non | Oui | Non |
L'adresse du destinataire contient les mots | Oui | Non | Non | Non |
L’adresse du destinataire correspond aux modèles | Oui | Non | Non | Non |
Le destinataire est membre de | Oui | Non | Non | Non |
RecipientAdAttribute Contient des mots | Oui | Non | Non | Non |
Modèles De correspondances RecipientAdAttribute | Oui | Non | Non | Non |
Le document est protégé par mot de passe | Oui | Non | Non | Non |
Impossible d’analyser le document | Oui | Non | Non | Non |
L’analyse du document n’a pas été terminée | Oui | Non | Non | Non |
Le nom du document contient des mots | Oui | Oui | Non | Non |
Le nom du document correspond aux modèles | Oui | Non | Non | Non |
La propriété du document est | Oui | Oui | Non | Non |
Taille du document sur | Oui | Oui | Non | Non |
Le contenu du document contient des mots | Oui | Non | Non | Non |
Le contenu du document correspond aux modèles | Oui | Non | Non | Non |
Le type de document est | Non | Non | Non | Oui |
L’extension de document est | Oui | Oui | Non | Oui |
Le contenu est partagé à partir de M365 | Oui | Oui | Oui | Non |
Le contenu est reçu à partir de | Oui | Non | Non | Non |
Le jeu de caractères de contenu contient des mots | Oui | Non | Non | Non |
L’objet contient des mots | Oui | Non | Non | Non |
L’objet correspond aux modèles | Oui | Non | Non | Non |
L’objet ou le corps contient des mots | Oui | Non | Non | Non |
L’objet ou le corps correspond aux modèles | Oui | Non | Non | Non |
L’en-tête contient des mots | Oui | Non | Non | Non |
L’en-tête correspond aux modèles | Oui | Non | Non | Non |
Taille du message sur | Oui | Non | Non | Non |
Le type de message est | Oui | Non | Non | Non |
L’importance du message est | Oui | Non | Non | Non |
Limitation lors du téléchargement d’e-mails à partir d’une alerte DLP
En général, lorsque vous utilisez le tableau de bord de gestion des alertes DLP, vous pouvez télécharger des e-mails spécifiques à partir d’une alerte. Toutefois, les e-mails qui ont été supprimés dans l’un des scénarios suivants ne peuvent pas être téléchargés.
Expéditeur | Destinataire | état de Email |
---|---|---|
Interne | Externe | Supprimé par l’expéditeur |
Externe | Interne | Supprimé par destinataire |
Interne | Interne | Supprimé par les deux parties |