Configurer les paramètres de la Gestion des risques internes

  • 8 minutes

La Gestion des risques internes Microsoft Purview permet aux organisations d’identifier et d’atténuer les risques internes en détectant les activités potentiellement dangereuses. Les paramètres constituent une partie fondamentale de cette solution, définissant la façon dont les risques sont détectés, évalués et gérés au sein de votre organisation. Comprendre ces paramètres et leur fonctionnement garantit que vos stratégies s’alignent sur les besoins de l’organisation tout en réduisant les alertes et le bruit inutiles.

Fonctionnement des paramètres de la Gestion des risques internes

Les paramètres de la Gestion des risques internes fonctionnent globalement, affectant toutes les stratégies, quel que soit le modèle que vous choisissez. Ces paramètres vous permettent de :

  • Personnaliser la façon dont les activités utilisateur sont analysées et évaluées.
  • Hiérarchiser les activités d’évaluation pour des utilisateurs ou des groupes spécifiques.
  • Vérifier la conformité aux exigences de confidentialité et de gestion des données.
  • Réduisez les faux positifs en affinant les critères de détection.

En personnalisant ces paramètres, vous pouvez vous concentrer sur les risques les plus pertinents pour votre organisation tout en conservant l’efficacité opérationnelle.

Comprendre les paramètres de la Gestion des risques internes

Les paramètres de la Gestion des risques internes fournissent des outils configurables pour aligner les stratégies avec les besoins uniques de votre organisation en matière de conformité et de sécurité. Ces paramètres s’appliquent globalement à toutes les stratégies et aident à affiner les mécanismes de détection, d’évaluation et d’alerte.

Pour accéder à ces paramètres et les configurer :

  1. Connectez-vous au portail Microsoft Purview.
  2. Sélectionnez Paramètres>Gestion des risques internes.
  3. Sélectionnez la catégorie de paramètres que vous souhaitez configurer.

Confidentialité

Indiquez si les noms d’utilisateur dans les alertes et les cas sont anonymisés ou affichés. L’anonymisation des noms d’utilisateur peut aider les organisations à maintenir la confidentialité des employés pendant les enquêtes.

Indicateurs de stratégie

Activez et ajustez les indicateurs qui suivent les activités telles que le téléchargement de fichiers sensibles ou le transfert d’e-mails. La configuration des seuils pour ces indicateurs garantit que les alertes reflètent la tolérance aux risques de l’organisation.

Groupes de détection

Créez des groupes de détection pour appliquer des seuils ou des critères spécifiques à différents ensembles d’utilisateurs. Par exemple, vous pouvez affecter des seuils plus personnalisés pour les utilisateurs dans des rôles à haut risque, tels que les administrateurs informatiques ou les cadres.

Exclusions globales (préversion)

Excluez des utilisateurs, groupes ou activités spécifiques dans les détections de stratégie. Par exemple, les comptes de service ou les tâches administratives de routine peuvent être exclus pour réduire les alertes inutiles.

Périodes de stratégie

Définissez la période pendant laquelle les activités sont examinées lorsqu’une stratégie est déclenchée. Ce paramètre permet aux organisations de se concentrer sur les périodes d’activité pertinentes, telles que les 30 jours suivant une violation de stratégie.

Détections intelligentes

Utilisez des détections intelligentes pour identifier les activités inhabituelles, ajuster les volumes d’alertes et incorporer des alertes à partir d’outils externes tels que Microsoft Defender for Endpoint. Ce paramètre permet également aux organisations de hiérarchiser les risques liés à des domaines ou activités spécifiques.

Groupes d’utilisateurs prioritaires

Affectez des seuils de score de risque plus élevés aux utilisateurs dans des rôles critiques ou ceux disposant d’un accès élevé. Par exemple, les utilisateurs ayant accès à des données sensibles peuvent avoir besoin d’évaluations d’activité plus détaillées.

Ressources physiques prioritaires

Identifiez et suivez les activités liées aux emplacements sensibles, tels que les centres de données ou les installations sécurisées. La corrélation de ces activités avec d’autres événements utilisateur peut fournir des informations supplémentaires sur les risques.

Notifications

Configurez les notifications par e-mail pour les administrateurs et d’autres groupes de rôle de la Gestion des risques internes. Les notifications peuvent être déclenchées pour les nouvelles alertes, les avertissements non résolus ou les cas de gravité élevée.

Partage des données

Activez l’exportation d’alertes vers des outils externes tels que les plate-formes SIEM ou SOAR. À l’aide de l’API Activité de gestion Office 365, cette intégration permet l’agrégation et l’enquête centralisées des alertes.

Analyse

Exécutez des recherches analytiques pour évaluer les tendances des risques et identifier les domaines potentiels de préoccupation avant de créer des stratégies. Cette fonctionnalité fournit des informations sans nécessiter de déploiement de stratégie.

Personnalisation des alertes insérées

Ajustez les seuils des stratégies directement à partir du tableau de bord d’alerte. Cette fonctionnalité permet le réglage en temps réel des critères de détection en fonction des spécificités d’une alerte.

Flux Power Automate (préversion)

Automatisez les tâches telles que le partage des mises à jour de cas ou la publication de notes de cas à l’aide de flux Power Automate. Cela peut simplifier les flux de travail et améliorer l’efficacité pendant les enquêtes.

Microsoft Teams

Activez les canaux Teams privés afin de faciliter la collaboration entre les enquêteurs. Vous pouvez utiliser Teams pour partager en toute sécurité des preuves, coordonner les actions et suivre les réponses.

Configurer les paramètres de risque interne

Procédez comme suit pour configurer efficacement les paramètres :

  1. Définir les objectifs de l’organisation : Identifiez les types de risques internes que votre organisation souhaite résoudre, comme l’exfiltration de données ou l’utilisation abusive d’informations sensibles.
  2. Ajuster les paramètres de confidentialité : Déterminez s’il faut anonymiser les noms d’utilisateur dans les cas et les alertes en fonction des besoins de confidentialité et de conformité de votre organisation.
  3. Exécuter des recherches analytiques : Utilisez l’analytique pour obtenir des informations sur les risques potentiels au sein de votre organisation et ajustez vos configurations avant de déployer des stratégies.
  4. Activer les indicateurs pertinents : Sélectionnez des indicateurs qui s’alignent sur les risques identifiés par votre organisation et définissez les seuils appropriés pour réduire les alertes inutiles.
  5. Créer des groupes de détection : Personnalisez les seuils pour les utilisateurs ou les services à haut risque afin de garantir une évaluation des risques précise et ciblée.
  6. Établir des notifications d’administrateur : Configurez des notifications pour informer les parties prenantes clés des alertes et des cas à priorité élevée.
  7. Intégrer des outils externes : Si nécessaire, configurez les paramètres d’exportation pour envoyer des données d’alerte à des plateformes SIEM ou SOAR.
  8. Tester et affiner les paramètres : Passez régulièrement en revue les alertes, ajustez les seuils et mettez à jour les paramètres à mesure que les besoins de l’organisation évoluent.

Une fois les paramètres configurés, vous pouvez développer les fonctionnalités de la Gestion des risques internes en l’intégrant à d’autres outils et sources de données. Ces intégrations permettent d’améliorer la détection, d’affiner les stratégies et de simplifier les enquêtes.