Partager via


En savoir plus sur la collecte de preuves pour les activités de fichier sur les appareils

Lorsque vous examinez un incident de Protection contre la perte de données Microsoft Purview (DLP) ou que vous dépanner une stratégie DLP, il peut être utile d’avoir une copie complète de l’élément correspondant à la stratégie à laquelle faire référence. DLP peut copier l’élément qui correspond à une stratégie DLP à partir d’appareils Windows intégrés vers un compte de stockage Azure. Les enquêteurs et les administrateurs d’incidents DLP auxquels les autorisations appropriées ont été accordées sur l’objet blob de stockage Azure peuvent ensuite accéder aux fichiers.

Pour commencer à configurer et à utiliser la fonctionnalité, consultez Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données des appareils.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles dont vous avez besoin lorsque vous implémentez DLP :

  1. Unités administratives
  2. En savoir plus sur Protection contre la perte de données Microsoft Purview : cet article vous présente la discipline de protection contre la perte de données et l’implémentation de la protection contre la perte de données par Microsoft.
  3. Planifier la protection contre la perte de données (DLP) : en suivant cet article, vous allez :
    1. Identifier les parties prenantes
    2. Décrire les catégories d’informations sensibles à protéger
    3. Définir des objectifs et une stratégie
  4. Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et explique comment chacun d’eux influence le comportement d’une stratégie.
  5. Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
  6. Créer et déployer des stratégies de protection contre la perte de données : cet article présente certains scénarios d’intention de stratégie courants que vous mapperez aux options de configuration, puis vous guide dans la configuration de ces options.

Emplacement de la collecte de preuves pour les activités de fichier sur les appareils dans Purview

Endpoint DLP fait partie de l’offre DLP plus large et de la plus grande gamme de services proposés dans Microsoft Purview. Vous devez comprendre comment la collecte de preuves pour les activités de fichiers sur les appareils s’intègre dans l’ensemble plus large d’offres de services.

Collecte de preuves pour les activités de fichiers sur les appareils et eDiscovery

Cette fonctionnalité effectue des copies des éléments qui correspondent aux stratégies DLP sur les appareils Windows intégrés et les place dans un compte de stockage Azure. Ces copies ne sont pas conservées dans un état sans modification et ne sont pas des preuves au sens juridique du terme. Si vous avez besoin de rechercher et de conserver des éléments à des fins juridiques, vous devez utiliser les solutions Microsoft Purview eDiscovery. La découverte électronique, ou eDiscovery, est le processus d'identification et de livraison d'informations électroniques qui peuvent être utilisées comme preuves dans des affaires juridiques.

Collecte de preuves pour les activités de fichier sur les appareils et résumé contextuel

Lorsqu’un élément et l’activité qu’un utilisateur effectue sur cet élément correspondent aux conditions définies dans une stratégie DLP, un événement DLPRuleMatch s’affiche dans l’Explorateur d’activités. Cela est vrai pour chaque emplacement pris en charge par DLP. L’événement DLPRuleMatch contient une quantité limitée du texte qui entoure le contenu correspondant. Cette quantité limitée de texte est appelée résumé contextuel.

Il est important de comprendre la différence entre la collecte de preuves pour les activités de fichier sur les appareils et un résumé contextuel. La collecte de preuves pour les activités de fichier sur les appareils n’est disponible que pour les appareils Windows intégrés. Il enregistre une copie de l’élément entier qui correspond à une stratégie au compte de stockage Azure. Un résumé contextuel est capturé pour chaque correspondance de règle de stratégie DLP et contient uniquement une quantité limitée du texte qui entoure le texte cible qui a déclenché la correspondance.

Activités utilisateur couvertes

Vous pouvez configurer la collecte de preuves pour les activités de fichier sur les appareils afin d’enregistrer une copie d’un élément correspondant dans le compte de stockage Azure lorsqu’un utilisateur tente d’effectuer l’une de ces activités sur un élément correspondant :

  • Copier sur une clé USB amovible
  • Copier dans le partage réseau
  • Imprimer
  • Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
  • Copier ou parcourir rdp
  • Charger vers des domaines de service cloud ou accéder à partir d’un navigateur non autorisé
  • Coller dans les navigateurs pris en charge

La détection de ces activités est configurée dans la stratégie DLP. Pour plus d’informations sur la création d’une stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données et Utilisation de la protection contre la perte de données de point de terminaison.

Actions couvertes

Lorsque vous activez la collecte de preuves pour les activités de fichiers sur les appareils dans les paramètres DLP du point de terminaison et que vous configurez une stratégie DLP pour utiliser cette fonctionnalité, elle enregistre une copie d’un élément correspondant pour ces actions :

  • Auditer uniquement
  • Bloc avec remplacement
  • Bloquer

Ces actions sont configurées dans la stratégie DLP. Pour plus d’informations sur la création d’une stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données et Utilisation de la protection contre la perte de données de point de terminaison.

Considérations relatives à la conception

Régions pour vos comptes de stockage Azure

Pour vous conformer aux exigences réglementaires, assurez-vous que les comptes de stockage Azure que vous utilisez se trouvent dans les mêmes limites géopolitiques ou réglementaires que les appareils dont ils sont copiés. En outre, tenez compte de l’emplacement géopolitique des enquêteurs DLP qui accéderont aux éléments sensibles une fois qu’ils seront enregistrés. Envisagez d’utiliser des unités d’administration pour étendre l’administration des utilisateurs et des appareils de manière appropriée pour chaque stratégie DLP. Pour savoir comment utiliser la protection contre la perte de données afin de se conformer aux réglementations en matière de confidentialité des données, consultez Déployer la protection des informations pour les réglementations en matière de confidentialité des données avec Microsoft Purview. La collecte de preuves pour les activités de fichiers sur les appareils prend en charge jusqu’à 10 comptes de stockage Azure.

Pour savoir comment utiliser la protection contre la perte de données afin de se conformer aux réglementations en matière de confidentialité des données, consultez Déployer la protection des informations pour les réglementations en matière de confidentialité des données avec Microsoft Purview.

Stockage local et bande passante

Par défaut, les copies des éléments correspondants sont enregistrées de façon asynchrone dans le compte de stockage Azure configuré via la connexion réseau existante. Si l’appareil n’a pas de connectivité, les éléments correspondants sont enregistrés localement, jusqu’à la limite de 500 Mo. Vous pouvez enregistrer des éléments localement jusqu’à 60 jours.

Bien que l’appareil dispose d’une connectivité à l’URL du compte de stockage Azure, l’utilisation de la bande passante n’est pas limitée. La bande passante utilisée par la collecte de preuves pour les activités de fichiers sur les appareils n’affecte pas les limites de bande passante par défaut ou configurées pour l’analyse et la protection avancées de la classification.

Comptes de stockage Azure

Les clients sont responsables de la création et de la gestion de leurs propres comptes de stockage Azure. Si vous débutez avec le stockage Azure, consultez :

Les éléments qui correspondent à une stratégie sont copiés de l’appareil des utilisateurs vers l’objet blob du compte de stockage Azure dans le contexte de sécurité de l’utilisateur connecté. Par conséquent, tous les utilisateurs qui sont dans l’étendue de la stratégie doivent disposer des autorisations de lecture et d’écriture sur le stockage d’objets blob. Pour plus d’informations, consultez Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données à partir d’appareils.

De même, tous les administrateurs qui examinent les éléments enregistrés doivent avoir read l’autorisation d’accéder à l’objet blob du compte de stockage Azure. Pour plus d’informations, consultez Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données des appareils.

Stockage des preuves lorsque des informations sensibles sont détectées (préversion)

Types de fichiers pris en charge

Pour plus d’informations sur les types de fichiers pris en charge, consultez Types de fichiers pris en charge pour le stockage et l’aperçu des preuves.

Types de stockage pris en charge

Vous avez deux options pour stocker les preuves collectées par Purview lorsqu’il détecte des informations sensibles dans votre contenu. Vous pouvez utiliser un magasin de données géré par le client ou un magasin de données géré par Microsoft (préversion). L’option que vous devez utiliser dépend de vos besoins et de vos cas d’usage. Pour vous aider à décider, passez en revue le tableau de comparaison qui suit.

Comparaison des types de stockage

Les fichiers correspondants continuent d’être inclus dans les résultats d’alerte même après la modification de votre type de stockage tant que les autorisations de contrôle d’accès en fonction du rôle (RBAC) restent intactes. Étant donné que le stockage géré par le client appartient aux clients, les administrateurs DLP peuvent continuer à télécharger des fichiers directement à partir du stockage par fichier.

Le tableau suivant identifie les différences entre le stockage géré par le client et le stockage géré par Microsoft pour la collecte des preuves des informations sensibles détectées dans votre contenu.

Feature, élément Géré par le client Microsoft Managed (préversion)
Conservation des fichiers Vous pouvez conserver les fichiers aussi longtemps que vous le souhaitez. Les fichiers sont conservés pendant un maximum de 120 jours.
Paramètres de point de terminaison Vous devez ajouter le stockage d’objets blob (URL de conteneur) dans les paramètres de point de terminaison, puis utiliser la centre d’administration Microsoft Entra pour configurer des autorisations utilisateur explicites sur l’objet blob pour les utilisateurs dans l’étendue. L’ensemble de la configuration et des autorisations sont gérés d’un simple clic lors de la configuration de vos paramètres de point de terminaison.
Configuration de la stratégie et de l’emplacement Vous devez ajouter et configurer des objets blob de stockage par stratégie pour chaque emplacement où une stratégie est appliquée. Aucune sélection de stockage n’est nécessaire pour des emplacements de stratégie spécifiques.
Emplacement/région du magasin de données Choisi par le client La même région que votre locataire Microsoft Purview.
Frais Les frais de stockage sont facturés en plus du coût de votre abonnement Entra. Aujourd’hui, le coût de stockage est inclus dans E5. Toutefois, Microsoft surveille l’utilisation du stockage et peut facturer en outre en fonction de l’utilisation excessive. Cela sera communiqué aux clients séparément en cas de changement dans le modèle d’entreprise.
Configuration réseau Vous devez autoriser les URL de conteneur pour vos objets blob de stockage à passer par votre pare-feu réseau. Vous devez inclure compliancedrive.microsoft.com dans une liste « autoriser » afin qu’elle puisse passer par le pare-feu réseau.

Modification des types de stockage

Les clients peuvent basculer entre les types de stockage à tout moment. Toutefois, la meilleure pratique consiste à planifier soigneusement le type de stockage dont vous aurez besoin à long terme et à sélectionner l’option appropriée pour votre cas d’usage. Pour plus d’informations sur les différences entre les deux types de stockage, consultez le tableau de comparaison des types de stockage.

Remarque

Lorsque vous changez de type de stockage, vous devez actualiser vos stratégies pour vous assurer qu’elles sont appliquées aux fichiers dans le nouveau magasin de données.

Impact de la modification des types de stockage sur les fichiers de preuve

Les fichiers correspondants continuent d’être inclus dans les résultats des alertes, même après avoir modifié le type de gestion du stockage, à condition que les autorisations de contrôle d’accès en fonction du rôle (RBAC) ne changent pas.

Étant donné que vous êtes propriétaire de votre solution de stockage gérée par le client, vos administrateurs DLP peuvent continuer à télécharger des fichiers directement par fichier une fois qu’ils ont été déplacés vers la solution de stockage gérée par Microsoft.

Étape suivante

L’étape suivante consiste à configurer la collecte des preuves pour les activités de fichier sur les appareils.

Pour plus d’informations, consultez Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données des appareils.