Prise en main des preuves forensiques de gestion des risques internes
Importante
La preuve forensique est une fonctionnalité complémentaire d’adhésion dans la gestion des risques internes qui donne aux équipes de sécurité des insights visuels sur les incidents potentiels de sécurité des données internes, avec la confidentialité des utilisateurs intégrée. Les preuves d’investigation incluent des déclencheurs d’événements personnalisables et des contrôles intégrés de protection de la confidentialité des utilisateurs, ce qui permet aux équipes de sécurité de mieux examiner, comprendre et répondre aux risques potentiels liés aux données internes, comme l’exfiltration de données sensibles non autorisées.
Les organisations définissent les stratégies appropriées pour elles-mêmes, notamment les événements à risque qui sont prioritaires pour la capture des preuves d’investigation et les données les plus sensibles. La preuve forensique est désactivée par défaut, la création de stratégie nécessite une double autorisation et les noms d’utilisateur peuvent être masqués avec le pseudonyme (qui est activé par défaut pour la gestion des risques internes). La configuration de stratégies et l’examen des alertes de sécurité dans La gestion des risques internes tirent parti de contrôles d’accès en fonction du rôle (RBAC), garantissant que les personnes désignées dans le organization prennent les mesures appropriées avec des fonctionnalités d’audit supplémentaires.
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
La configuration des preuves forensiques dans votre organization est similaire à la configuration d’autres stratégies à partir de modèles de stratégie de gestion des risques internes. En général, vous allez suivre les mêmes étapes de configuration de base pour configurer les preuves d’investigation, mais il existe quelques domaines qui nécessitent des actions de configuration spécifiques aux fonctionnalités avant de commencer les étapes de configuration de base.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Étape 1 : Confirmer votre abonnement et configurer l’accès au stockage des données
Avant de commencer à utiliser les preuves forensiques, vous devez confirmer votre abonnement à la gestion des risques internes et tous les modules complémentaires.
En outre, vous devez ajouter les domaines suivants à votre pare-feu et à votre liste d’autorisation de serveur proxy pour prendre en charge le stockage de capture de preuves forensiques pour votre organization :
Dans le monde entier - Domaine
- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
GCC/GCC High - Domaine
- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
DOD - Domaine
- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
Pour plus d’informations sur ces points de terminaison, consultez Points de terminaison Microsoft 365.
Remarque
Les captures et les données de capture sont stockées dans ces domaines et sont affectées uniquement à votre organization. Aucun autre organization Microsoft 365 n’a accès aux captures de preuves forensiques pour votre organization.
Les données de preuve d’investigation sont stockées dans une région où votre Exchange Online Protection (EOP) ou votre région d’échange est définie.
Étape 2 : Configurer les appareils pris en charge
Les appareils utilisateur éligibles à la capture de preuves forensiques doivent être intégrés au portail de conformité Microsoft Purview et le client Microsoft Purview doit être installé.
Importante
Le client Microsoft Purview collecte automatiquement les données de diagnostic générales relatives à la configuration de l’appareil et aux métriques de performances. Cela inclut les données sur les erreurs critiques, la consommation de RAM, les échecs de processus et d’autres données. Ces données nous aident à évaluer l’intégrité du client et à identifier les éventuels problèmes. Pour plus d’informations sur la façon dont les données de diagnostic peuvent être utilisées, consultez utilisation de logiciels avec les services en ligne dans les Conditions du produit Microsoft.
Pour obtenir la liste des exigences relatives aux appareils et à la configuration, consultez En savoir plus sur les preuves d’investigation. Pour intégrer des appareils pris en charge, effectuez les étapes décrites dans l’article Vue d’ensemble Intégrer Windows 10 et Windows 11 appareils dans Microsoft 365.
Installer le client Microsoft Purview
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Accédez à la solution de gestion des risques internes .
Sélectionnez Forensic Evidence dans le volet de navigation de gauche, puis sélectionnez Installation du client.
Sélectionnez Télécharger le package d’installation (version x64) pour télécharger le package d’installation pour Windows.
Après avoir téléchargé le package d’installation, utilisez votre méthode préférée pour installer le client sur les appareils des utilisateurs. Ces options peuvent inclure l’installation manuelle du client sur des appareils ou des outils permettant d’automatiser l’installation du client :
- Microsoft Intune : Microsoft Intune est une solution intégrée pour la gestion de tous vos appareils. Microsoft réunit Configuration Manager et Intune, sans migration complexe et avec des licences simplifiées.
- Solutions de gestion d’appareils tierces : si votre organization utilise des solutions de gestion des appareils tierces, consultez la documentation de ces outils pour installer le client.
Étape 3 : Configurer les paramètres
La preuve d’investigation comporte plusieurs paramètres de configuration qui offrent une flexibilité pour les types d’activités utilisateur liées à la sécurité capturées, les paramètres de capture, les limites de bande passante et les options de capture hors connexion. La capture de preuves forensiques vous permet de créer des stratégies en fonction de vos besoins en quelques étapes seulement, et l’ajout d’utilisateurs à une stratégie nécessite une double autorisation.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Accédez à la solution de gestion des risques internes .
Sélectionnez Preuve d’investigation dans le volet de navigation gauche, puis sélectionnez Paramètres de preuve d’investigation.
Sélectionnez Capture des preuves forensiques pour activer la prise en charge de la capture dans vos stratégies de preuve d’investigation. Si cette option est désactivée ultérieurement, cela supprimera tous les utilisateurs précédemment ajoutés pour les stratégies de preuve d’investigation.
Importante
Le client Microsoft Purview utilisé pour capturer l’activité sur les appareils des utilisateurs est concédé sous licence utilisation du logiciel avec les services en ligne dans les Conditions du produit Microsoft. Notez que les clients sont seuls responsables de l’utilisation de la solution de gestion des risques internes, y compris le client Microsoft Purview, conformément à toutes les lois applicables.
Dans la section Fenêtre capture , définissez quand démarrer et arrêter la capture d’activité. Les valeurs disponibles sont 10 secondes, 30 secondes, 1 minute, 3 minutes ou 5 minutes.
Dans la section Limite de bande passante de chargement, définissez la quantité de données de capture à charger dans votre compte de stockage de données par utilisateur et par jour. Les valeurs disponibles sont 100 Mo, 250 Mo, 500 Mo, 1 Go ou 2 Go.
Dans la section Limite du cache de capture hors connexion , définissez la taille maximale du cache à stocker sur les appareils des utilisateurs lorsque la capture hors connexion est activée. Les valeurs disponibles sont 100 Mo, 250 Mo, 500 Mo, 1 Go ou 2 Go.
Sélectionnez Enregistrer.
Étape 4 : Créer une stratégie
Les stratégies de preuve d’investigation définissent l’étendue de l’activité utilisateur liée à la sécurité à capturer pour les appareils configurés. Il existe deux options pour capturer des preuves d’investigation :
- Capturer uniquement des activités spécifiques (telles que l’impression ou l’exfiltration de fichiers). Avec cette option, vous pouvez choisir les activités de l’appareil que vous souhaitez capturer et seules les activités sélectionnées seront capturées par la stratégie. Vous pouvez également choisir de capturer l’activité pour des applications de bureau et/ou des sites web spécifiques. De cette façon, vous pouvez vous concentrer uniquement sur les activités, les applications et les sites web qui présentent un risque.
- Capturez toutes les activités que les utilisateurs approuvés effectuent sur leurs appareils. Cette option est généralement utilisée pendant une période spécifique, par exemple, lorsqu’un utilisateur particulier est potentiellement impliqué dans une activité à risque susceptible d’entraîner un incident de sécurité. Tous les indicateurs de preuve d’investigation sont automatiquement inclus si vous sélectionnez cette option, y compris les indicateurs d’appareil et les indicateurs de protection renforcée contre le hameçonnage. Pour préserver la capacité et la confidentialité des utilisateurs, vous pouvez choisir d’exclure des applications de bureau et/ou des sites web spécifiques de la capture, comme décrit ci-dessous.
Après avoir créé une stratégie, vous l’incluez dans les demandes de preuve forensique pour contrôler l’activité à capturer pour les utilisateurs dont les demandes sont approuvées.
Remarque
Les stratégies d’investigation continue (capture de toutes les activités) sont prioritaires sur les stratégies de preuve d’investigation sélectives (capture uniquement d’activités spécifiques).
Capturer uniquement des activités spécifiques
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Accédez à la solution de gestion des risques internes .
Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis sélectionnez Stratégies de preuve d’investigation.
Sélectionnez Créer une stratégie de preuve d’investigation.
Dans la page Étendue , sélectionnez Activités spécifiques. Cette option capture uniquement les activités détectées par les stratégies auxquelles les utilisateurs sont inclus. Ces activités sont définies par les indicateurs sélectionnés dans les stratégies de preuves forensiques. Les captures de cette option peuvent être examinées sous l’onglet Preuves judiciaires (préversion) du tableau de bord Alertes ou Cas .
Sélectionnez Suivant.
Dans la page Nom et description, complétez les champs suivants :
- Nom (obligatoire) : entrez un nom convivial pour la stratégie de preuve d’investigation. Ce nom ne peut pas être modifié après la création de la stratégie.
- Description (facultatif) : entrez une description pour la stratégie de preuve d’investigation.
Sélectionnez Suivant.
Dans la page Choisir les activités de l’appareil à capturer :
- Sélectionnez les activités de l’appareil que vous souhaitez capturer. Seules les activités sélectionnées sont capturées par la stratégie.
Remarque
Si les indicateurs ne sont pas sélectionnables, vous êtes invité à les activer.
- Vous pouvez également choisir de capturer l’activité pour des applications de bureau et/ou des sites web particuliers dans votre stratégie en sélectionnant la zone Ouvrir une application ou un site web spécifique case activée sous Activités de navigation web et d’application à capturer.
Importante
Si vous souhaitez capturer des activités de navigation (pour inclure ou exclure des URL spécifiques dans vos stratégies de preuve d’investigation), veillez à installer les extensions de navigateur nécessaires. Vous devez également activer au moins un indicateur de navigation. Si vous n’avez pas encore activé un ou plusieurs indicateurs de navigation, vous serez invité à le faire si vous choisissez d’inclure ou d’exclure des applications de bureau ou des sites web. L’événement de déclenchement pour la capture des activités de navigation est une mise à jour d’URL dans la barre d’URL qui contient l’URL spécifiée.
- Sélectionnez Suivant.
- Sélectionnez les activités de l’appareil que vous souhaitez capturer. Seules les activités sélectionnées sont capturées par la stratégie.
(Facultatif) Si vous avez choisi de capturer l’activité pour des applications de bureau et des sites web particuliers, dans la page Ajouter des applications et des sites web pour lesquels vous souhaitez capturer l’activité :
- Pour ajouter une application de bureau, sélectionnez Ajouter des applications de bureau, entrez le nom d’un fichier exécutable (par exemple, teams.exe), puis sélectionnez Ajouter. Répétez ce processus pour chaque application de bureau que vous souhaitez ajouter (jusqu’à 25 applications). Pour trouver le nom d’un fichier exécutable pour l’application, ouvrez le Gestionnaire des tâches, puis affichez les propriétés de l’application. Voici une liste de noms d’exe pour certaines des applications courantes : Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), l’outil capture d’écran (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) et Bureau à distance Microsoft Connection (mstsc.exe).
Remarque
Parfois, les noms d’exe d’une application peuvent différer en fonction de l’appareil et des autorisations avec lesquelles l’application a été ouverte. Par exemple, sur un appareil d’entreprise Windows 11, quand Windows PowerShell est ouvert sans autorisations d’administrateur, le nom d’exe est WindowsTerminal.exe, mais lorsqu’il est ouvert avec des autorisations d’administrateur, le nom d’exe devient powershell.exe. Veillez à inclure/exclure les deux noms d’exe dans ces scénarios.
- Pour ajouter une application web ou un site web, sélectionnez Ajouter des applications web et des sites web, entrez une URL (par exemple, https://teams.microsoft.com), puis sélectionnez Ajouter. Répétez ce processus pour chaque application web ou site web que vous souhaitez ajouter. Vous pouvez ajouter jusqu’à 25 URL avec une longueur de caractères de 100 pour chaque URL.
Conseil
Si une application a une version de bureau et une version web, veillez à ajouter à la fois l’exécutable du bureau et l’URL web pour vous assurer que vous capturez l’activité pour les deux.
- Sélectionnez Suivant.
Dans la page Vérifier les paramètres et terminer , passez en revue les paramètres que vous avez choisis pour la stratégie et les suggestions ou avertissements pour vos sélections. Modifiez l’une des valeurs de stratégie ou sélectionnez Envoyer pour créer et activer la stratégie.
Une fois que vous avez terminé les étapes de configuration de la stratégie, passez à l’étape 5.
Capturer toutes les activités
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Accédez à la solution de gestion des risques internes .
Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis sélectionnez Stratégies de preuve d’investigation.
Sélectionnez Créer une stratégie de preuve d’investigation.
Dans la page Étendue , sélectionnez Toutes les activités. Cette option capture toutes les activités effectuées par les utilisateurs. Les captures de cette option peuvent être examinées sous l’onglet Preuves forensiques (préversion) du tableau de bord Rapports d’activité utilisateur (préversion).
Sélectionnez Suivant.
Dans la page Nom et description, complétez les champs suivants :
- Nom (obligatoire) : entrez un nom convivial pour la stratégie de preuve d’investigation. Ce nom ne peut pas être modifié après la création de la stratégie.
- Description (facultatif) : entrez une description pour la stratégie de preuve d’investigation.
Sélectionnez Suivant.
Dans la page Choisir les activités d’appareil à capturer, si vous souhaitez exclure certaines applications de bureau et/ou applications web ou sites web de la capture, sous Activités de navigation web et d’application à capturer, sélectionnez la zone Exclure des applications ou des sites web spécifiques case activée.
Sélectionnez Suivant.
Si vous avez choisi d’exclure des applications de bureau et des sites web particuliers de la capture, dans la page Exclure des applications/URL :
- Pour exclure une application de bureau de la capture, sélectionnez Exclure les applications de bureau, entrez le nom d’un fichier exécutable (par exemple, teams.exe), puis sélectionnez Ajouter. Répétez ce processus pour chaque application de bureau que vous souhaitez exclure (jusqu’à 25 applications). Pour trouver le nom d’un fichier exécutable pour une application, ouvrez le Gestionnaire des tâches, puis affichez les propriétés de l’application.
- Pour exclure une application web ou un site web, sélectionnez Exclure les applications web et les sites web, entrez une URL (par exemple, https://teams.microsoft.com), puis sélectionnez Ajouter. Répétez ce processus pour chaque application web ou site web que vous souhaitez exclure. Vous pouvez exclure jusqu’à 25 URL avec une longueur de caractères de 100 pour chaque URL.
Conseil
Si une application a une version de bureau et une version web, veillez à ajouter l’exécutable du bureau et l’URL web pour vous assurer d’exclure les deux.
Dans la page Vérifier les paramètres et terminer , passez en revue les paramètres que vous avez choisis pour la stratégie et les suggestions ou avertissements pour vos sélections. Modifiez l’une des valeurs de stratégie ou sélectionnez Envoyer pour créer et activer la stratégie.
Une fois que vous avez terminé les étapes de configuration de la stratégie, passez à l’étape 5.
Étape 5 : Définir et approuver les utilisateurs pour la capture
Avant que les activités des utilisateurs liées à la sécurité puissent être capturées, les administrateurs doivent suivre le processus de double autorisation dans la preuve d’investigation. Ce processus impose que l’activation de la capture visuelle pour des utilisateurs spécifiques soit définie et approuvée par les personnes concernées dans votre organization.
Vous devez demander que la capture des preuves forensiques soit activée pour des utilisateurs spécifiques. Lorsqu’une demande est envoyée, les approbateurs de votre organization sont avertis par e-mail et peuvent approuver ou rejeter la demande. S’il est approuvé, l’utilisateur s’affiche sous l’onglet Utilisateurs approuvés et peut être capturé. Pour plus d’informations, consultez ces liens :
- Demander l’approbation de la capture des preuves forensiques.
- Approuver (ou rejeter) les demandes de capture de preuves forensiques.
Étapes suivantes
Une fois que vous avez configuré votre stratégie de preuve d’investigation, l’application de la stratégie peut prendre jusqu’à deux heures, étant donné que les clients de preuve forensique (installés sur les appareils de point de terminaison) sont en ligne. Lorsqu’un clip est capturé par le client, il peut s’avérer nécessaire de mettre jusqu’à une heure avant que le clip ne soit disponible pour être examiné. Pour plus d’informations sur la gestion des preuves d’investigation et l’examen des captures clip, consultez l’article Gérer les preuves forensiques de gestion des risques des informations .