Partager via

Limites de la gestion des risques internes

  • Article

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

La gestion des risques internes utilise les limites intégrées suivantes pour optimiser l’expérience utilisateur.

Limitations des éléments

Les tableaux suivants fournissent des limites par zone de produit.

Paramètres globaux

Option Limite
Limites de la période de recherche arrière (Exchange Online) 10 jours
Limites de période de recherche pour tous les autres signaux 90 jours
Nombre maximal d’éléments dans chaque liste d’exclusion globale (domaines, sites SharePoint, chemins d’accès aux fichiers, mots clés et types de fichiers) 500 pour chaque liste
Nombre maximal d’éléments dans un groupe de détection 200
Nombre maximal d’indicateurs personnalisés 10
Nombre maximal de champs par indicateur personnalisé 20
Nombre maximal de variantes par indicateur 3
Nombre maximal d’utilisateurs pouvant être ajoutés à un groupe d’utilisateurs prioritaires 10 000

Déclencheurs (par jour calendrier UTC)

Option Limite
Compte d’utilisateur supprimé de Microsoft Entra ID 15K
Tous les signaux collectés via le connecteur RH 15K
Indicateurs personnalisés 15K
Tous les autres déclencheurs 5K
Volume de déclencheur maximal pour un organization 50 000

Remarque

Les limitations sont par type de déclencheur individuel.

Nombre maximal d’utilisateurs dans l’étendue d’un modèle de stratégie

Nom du modèle Limite
Vol de données par des employés quittant votre organisation 20 000
Fuites de données 15K
Fuites de données par des utilisateurs prioritaires 1K
Fuites de données par des utilisateurs à risque 7,5 Ko
Violations de stratégie de sécurité (préversion) 1K
Mauvaise utilisation des données des patients (préversion) 5K
Utilisation risquée du navigateur (préversion) 7K
Violations de stratégie de sécurité par des utilisateurs sortants (préversion) 15K
Violations de la stratégie de sécurité par des utilisateurs prioritaires (préversion) 1K
Violations de stratégie de sécurité par les utilisateurs à risque (préversion) 7,5 Ko
Preuve d’investigation Illimité

Remarque

Il n’existe aucune limite au nombre maximal d’utilisateurs que vous pouvez ajouter à une stratégie. La limite s’applique aux utilisateurs dans l’étendue d’un modèle de stratégie (utilisateurs introduits dans l’étendue après un événement de déclenchement).

Autres limites de stratégie

Option Limite
Nombre maximal de stratégies pouvant être créées par type de modèle 20
Nombre maximal de sites prioritaires 50
Nombre maximal d’étiquettes de confidentialité de priorité 50
Nombre maximal de types d’informations sensibles prioritaires 50
Nombre maximal d’extensions de fichier prioritaires 50
Nombre maximal de classifieurs pouvant être formés en priorité 5

Protection adaptative

|Nombre maximal d’utilisateurs pouvant être limités à une stratégie DLP pour chaque niveau de risque|10 000|

Scoring utilisateur manuel

Option Limite
Nombre maximal d’utilisateurs pouvant être notés manuellement 4K

Cas

Option Limite
Nombre maximal de cas actifs 100

Exportation

Option Limite
Nombre maximal d’utilisateurs pouvant être exportés à partir de la page Utilisateurs 1000
Nombre maximal d’alertes pouvant être exportées à partir de la page Alertes 1000
Nombre maximal de journaux pouvant être exportés vers un fichier CSV à partir de l’Explorateur d’activités 100 000

Limites de rétention pour les alertes, les cas et les artefacts associés

À mesure que les alertes de gestion des risques internes vieillissent, leur valeur pour réduire les activités potentiellement risquées diminue pour la plupart des organisations. À l’inverse, les cas actifs et les artefacts associés (alertes, insights, activités) sont toujours précieux pour les organisations et ne doivent pas avoir de date d’expiration automatique. Cela inclut toutes les alertes et artefacts futurs dans un status actif pour tout utilisateur associé à un cas actif.

Pour réduire le nombre d’éléments plus anciens qui fournissent une valeur actuelle limitée, les limites de rétention suivantes s’appliquent aux alertes, cas et rapports utilisateur de gestion des risques internes :

Élément Période de rétention
Alertes avec besoins status de révision 120 jours après la création de l’alerte, puis automatiquement supprimée
Cas actifs (et artefacts associés) Rétention indéfinie, n’expire jamais
Cas résolus (et artefacts associés) 120 jours à partir de la résolution du cas, puis supprimé automatiquement
Rapports d’activités utilisateur 120 jours après la création du rapport, puis automatiquement supprimé

Connecteurs

Option Limite
Nombre maximal d’enregistrements dans le fichier JSON pouvant être traités par l’API 50 000