Créer des alertes de sécurité et de conformité pour Microsoft Teams

Effectué

Vous pouvez utiliser la stratégie d’alerte pour surveiller les activités des utilisateurs. Les alertes sont générées lorsque les utilisateurs effectuent des activités qui correspondent aux conditions d’une stratégie d’alerte. Par exemple, les attaques de programmes malveillants, les campagnes de hameçonnage et les niveaux inhabituels de suppressions de fichiers et de partage externe. Vous pouvez créer et examiner le tableau de bord des alertes à partir du portail de conformité Microsoft Purview.

Les politiques d'alerte vous permettent de catégoriser les alertes déclenchées par une politique, d'appliquer cette politique à tous les utilisateurs de votre organisation, de définir un niveau de seuil pour le déclenchement d'une alerte et de décider si vous souhaitez recevoir des notifications par courriel lorsque des alertes sont déclenchées.

Capture d’écran de la stratégie d’alerte.

Fonctionnement des stratégies d’alerte

Le diagramme suivant montre le flux de travail de base du fonctionnement des stratégies d’alerte :

Capture d’écran du flux de travail de stratégie d’alerte.

  1. Les administrateurs créent ou modifient des stratégies existantes dans le portail de conformité Microsoft Purview qui surveillent les activités inhabituelles des utilisateurs ou des administrateurs.

  2. Un utilisateur ou un administrateur effectue des actions, qui correspondent aux conditions et déclenchent une politique d'alerte, comme la création d'un cas d'eDiscovery ou éventuellement l'ajout d'autorisations d'accès complet à une boîte aux lettres.

  3. Une alerte est générée et l'action d'alerte correspondante est déclenchée, comme l'envoi d'un courriel à tous les administrateurs globaux. En outre, une entrée d’alerte est créée dans le tableau de bord des alertes du portail de conformité Microsoft Purview.

  4. Les administrateurs examinent les alertes dans le tableau de bord des alertes et décident de reconnaître ou d’ignorer l’alerte.

Paramètres de stratégie d’alerte

Une politique d'alerte consiste en un ensemble de règles et de conditions qui définissent l'activité de l'utilisateur ou de l'administrateur qui génère une alerte, une liste d'utilisateurs qui déclenchent l'alerte s'ils effectuent l'activité, et un seuil qui définit combien de fois l'activité doit se produire avant qu'une alerte soit déclenchée. Vous classez également la stratégie et lui affectez un niveau de gravité.

Une stratégie d’alerte se compose des paramètres et conditions suivants :

  • Activité suivie par l'alerte : Vous créez une politique pour suivre une activité ou, dans certains cas, quelques activités connexes, comme le partage d'un fichier avec un invité en le partageant, en attribuant des autorisations d'accès ou en créant un lien anonyme. Lorsqu’un utilisateur effectue l’activité définie par la stratégie, une alerte est déclenchée en fonction des paramètres de seuil d’alerte.

  • Conditions d’activité : pour la plupart des activités, vous pouvez définir d’autres conditions qui doivent être remplies pour déclencher une alerte.

  • Lorsque l’alerte est déclenchée : vous pouvez configurer un paramètre qui définit la fréquence de déclenchement d’une activité avant le déclenchement d’une alerte.

    Capture d’écran de la configuration des alertes à déclencher, en fonction des occurrences d’activité, du seuil ou de l’activité inhabituelle.

  • Catégorie d’alerte : pour faciliter le suivi et la gestion des alertes générées par une stratégie, vous pouvez affecter l’une des catégories suivantes à une stratégie :

    • Protection contre la perte de données

    • Gouvernance des informations

    • Flux de messagerie

    • Autorisations

    • Gestion des menaces

    • Autres

    Lorsqu'une activité correspondant aux conditions de la politique d'alerte se produit, l'alerte qui est générée est étiquetée avec la catégorie définie dans le paramètre. Le balisage vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie sur la page Alertes du portail de conformité, car vous pouvez trier et filtrer les alertes en fonction de la catégorie.

  • Gravité de l’alerte : similaire à la catégorie d’alerte, vous affectez un attribut de gravité (Faible, Moyen, Élevé ou Informationnel) aux stratégies d’alerte. Comme pour la catégorie d'alerte, lorsqu'une activité correspondant aux conditions de la politique d'alerte se produit, l'alerte générée est étiquetée avec le même niveau de gravité que celui défini pour la politique d'alerte.

  • Notifications par courrier électronique : vous pouvez configurer la stratégie de sorte que les notifications par courrier électronique soient envoyées (ou non) à une liste d’utilisateurs lorsqu’une alerte est déclenchée.

Créer des alertes

Pour créer une stratégie d’alerte dans le portail de conformité Microsoft Purview et vérifier si la journalisation d’audit est activée, procédez comme suit :

  1. Connectez-vous au portail de conformité Microsoft Purview et sélectionnez Stratégies > Stratégies d’alerte.

  2. Sélectionnez + Nouvelle politique d'alerte dans le volet supérieur pour créer une nouvelle politique d'alerte.

  3. Sur la page Nommez votre alerte, catégorisez-la et choisissez un degré de gravité. , entrez les éléments suivants :

    • Nom permettant d’identifier l’utilisation de cette stratégie d’alerte.

    • Description pour que les autres administrateurs comprennent l’objectif de cette stratégie d’alerte.

    • Gravité pour un niveau d'importance pour les événements de ces alertes.

    • Catégorie permettant de configurer l'accès pour différents rôles dans votre organisation.

  4. Sélectionnez Suivant.

  5. Sur la page, Choisir une activité, des conditions et un moment pour déclencher l'alerte, sélectionnez une activité et une condition souhaitées pour l'alerte, puis sélectionnez Suivant.

  6. Sur la page Décider si vous voulez notifier les personnes lorsque cette alerte est déclenchée, vous pouvez spécifier les destinataires de la notification et la fréquence de la limite de notification quotidienne. Sélectionnez Suivant.

  7. Sur la page Réviser vos paramètres, vous pouvez revoir les paramètres d'alerte et décider d'activer la politique immédiatement ou plus tard. Sélectionnez Terminer lorsque tout est configuré comme vous le souhaitez.

    Capture d’écran de la création de la stratégie d’alerte.

Afficher les alertes

Les autorisations RBAC (Role Based Access Control) attribuées aux utilisateurs de votre organisation déterminent les alertes qu'un utilisateur peut voir sur la page Alertes. Voici quelques exemples :

  • Les membres du groupe de rôles Gestion des documents ne peuvent visualiser que les alertes générées par les politiques d'alerte auxquelles est attribuée la catégorie Gouvernance de l'information.

  • Les membres du groupe de rôles Administrateur de la conformité ne peuvent pas visualiser les alertes générées par les politiques d'alerte auxquelles est attribuée la catégorie Gestion des menaces.

  • Les membres du groupe de rôles eDiscovery Manager ne peuvent pas afficher d'alertes car aucun des rôles attribués ne permet d'afficher les alertes d'une quelconque catégorie d'alerte.