Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les stratégies de regroupement sont un outil de collecte et de filtrage d’événements dans Microsoft Purview qui permet de surveiller et de classer les événements à partir d’applications et d’emplacements qui se trouvent à l’intérieur et au-delà des limites d’approbation de votre organisation. Ils vous permettent de filtrer les événements provenant de sources non approuvées et approuvées qui sont ingérés dans Purview. Une fois ingérées, ces données peuvent être classifiées et utilisées par diverses solutions de consommation de signaux Microsoft Purview, telles que l’Explorateur d’activités Microsoft Purview, Gestion des risques internes Microsoft Purview, Microsoft Purview eDiscovery, Gestion du cycle de vie des données Microsoft Purview.
Les stratégies de collecte peuvent vous aider à atteindre les résultats de sécurité des données suivants :
Ingérer uniquement les événements souhaités
L’objectif principal des stratégies de collecte est de vous permettre de définir les événements que votre organization souhaite intégrer dans Microsoft Purview, afin que vous puissiez vous concentrer sur les données qui vous intéressent. Voici quelques exemples de la façon dont cette fonctionnalité peut vous aider.
Conformité réglementaire par emplacement géopolitique
Votre organization peut s’étendre aux limites géopolitiques et réglementaires avec différentes régions ayant des exigences différentes en matière de sécurité et de confidentialité des données. L’une peut exiger que tous les événements soient ingérés dans Purview, tandis qu’une autre zone peut être soumise à des restrictions sur les événements pouvant être collectés. Les stratégies de regroupement vous permettent de définir les événements collectés pour chaque région. Cela vous permet de répondre aux exigences de sécurité et de confidentialité des données de chaque région tout en conservant une vue consolidée unique des informations sensibles de votre organization.
Filtrer les événements inutiles
Votre organization peut avoir de nombreux événements qui sont collectés, mais vous souhaitez uniquement voir les événements qui sont pertinents pour vos besoins. Par exemple, supposons que votre organization a intégré tous les appareils et activé l’activité toujours d’audit des fichiers pour les appareils dans les paramètres DLP du point de terminaison. Cela signifie que toute l’activité de fichier est collectée et placée dans l’Explorateur d’activités. Le fait de passer au crible tous les événements peut ralentir l’investigation des événements à mesure que vous triez les données indésirables pour accéder aux données dont vous avez besoin. Avec les stratégies de collection, vous pouvez filtrer les événements que vous ne souhaitez pas voir avant qu’ils ne soient dans l’Explorateur d’activités. Cela peut aider à réduire le bruit et à faciliter la recherche des événements pertinents pour votre organization.
Fonctionnement des stratégies de collection
La clé pour comprendre les stratégies de collection est de savoir ce qu’est un événement.
Un événement est constitué de deux éléments :
- Une condition, comme Content contains, ou File extension is. Cela nécessite l’utilisation de classifieurs, comme les types d’informations sensibles. Par exemple, une condition peut être Le contenu contient un type d’informations sensibles, comme le numéro de sécurité sociale américain ou l’extension de fichier est>.docx.
- Activité qu’un utilisateur peut effectuer sur un élément sensible, comme un fichier copié sur un support amovible
Les stratégies de collecte filtrent les événements en fonction des éléments suivants :
- Une correspondance à une ou plusieurs conditions et activités définies dans l’événement.
- Une correspondance à la source de données ou à l’emplacement où l’événement se produit. Par exemple, une stratégie de collecte peut être étendue pour collecter uniquement des événements à partir d’appareils ou uniquement pour collecter des événements à partir de Copilot dans Fabric.
Une stratégie est considérée comme correspondant lorsqu’une ou plusieurs des conditions sont remplies (sauf si vous ET les conditions) et que l’activité est mise en correspondance sur la source de données.
Stratégies de collecte multiples pour une seule source de données
Il est possible que votre organization devrez créer plusieurs stratégies de collecte pour une source de données donnée. Les stratégies de collection gèrent le scénario de stratégie multiple différemment de DLP ou d’autres stratégies Purview, qui attribuent une priorité à l’évaluation des stratégies en fonction de l’ordre dans lequel les stratégies sont créées.
Sur la page stratégies de collecte, vous voyez toutes les stratégies individuelles qui ont été créées. Mais sur le serveur principal, lors de l’évaluation de la stratégie, Microsoft Purview combine toutes les stratégies de collecte d’une source de données en une seule stratégie de collecte pour cette source de données. Ainsi, toutes les conditions d’une source de données sont utilisées lors de l’identification des correspondances.
Accès aux stratégies de collection
Les stratégies de collection sont un composant de la fonctionnalité Classifieurs du portail Microsoft Purview. Vous pouvez y accéder à partir de n’importe où dans le portail Purview où la fonctionnalité Classifieurs est disponible. Par exemple,
Dans le portail Microsoft Purview, sélectionnez Solutions> Stratégies de collecte desclassifieurs> deprotection contre la> pertede données.
Vous pouvez également accéder aux stratégies de collection dans le portail Microsoft Purview à partir des stratégies de collection Solutions>Information Protection>Classifiers>.
Vue d’ensemble de la configuration de la stratégie de regroupement
Vous disposez d’une certaine flexibilité dans la façon dont vous créez et configurez vos stratégies de regroupement. Toutes les stratégies de collecte nécessitent les mêmes informations de votre part. Vous devez connaître ces informations avant de commencer à créer une stratégie de collection. Pour plus d’informations sur chaque étape, y compris la configuration prise en charge, consultez Informations de référence sur les stratégies de regroupement.
Définissez les données à détecter en configurant les conditions requises pour une correspondance de stratégie. Quatre conditions sont prises en charge :
-
Le contenu contient des classifieurs, qui utilisent des types d’informations sensibles et des classifieurs pouvant être formés. Peut être limité à tous les classifieurs, à tous les classifieurs à l’exception des classifieurs sélectionnés, ou uniquement à des classifieurs spécifiques.
Remarque
L’emplacement des appareils ne prend pas en charge l’utilisation de classifieurs pouvant être entraînés.
- La taille du document est supérieure ou égale à, telle qu’elle est mesurée en octets, kilo-octets (Ko), mégaoctets (Mo), gigaoctets (Go) ou téraoctets (To).
- Le document est égal ou inférieur à, tel que mesuré en octets, kilo-octets (Ko), mégaoctets (Mo), gigaoctets (Go) ou téraoctets (To).
- L’extension de fichier est , qui utilise les extensions de fichier.
-
Le contenu contient des classifieurs, qui utilisent des types d’informations sensibles et des classifieurs pouvant être formés. Peut être limité à tous les classifieurs, à tous les classifieurs à l’exception des classifieurs sélectionnés, ou uniquement à des classifieurs spécifiques.
Choisissez les activités requises pour une correspondance de stratégie : les activités prises en charge sont spécifiques à la source de données. Pour les appareils, il existe 19 activités prises en charge, telles que Fichier copié sur un support amovible, Fichier imprimé et Fichier chargé dans le cloud. La liste complète des activités prises en charge est disponible dans la référence de stratégie stratégies de collection.
Choisissez où appliquer la stratégie en sélectionnant une source de données.
Selon les paramètres de stratégie que vous choisissez, vous pouvez avoir des paramètres supplémentaires à configurer, tels que l’activation ou non de la capture de contenu pour les interactions ia et la méthode de détection des applications cloud.
Capture de contenu pour les interactions ia
Pour vous conformer aux exigences réglementaires, vous pouvez décider de capturer et de stocker toutes les invites et réponses détectées à partir de toutes les sources de données d’IA génératives ajoutées à la stratégie. Cela facilite la découverte et la protection du contenu capturé ultérieurement avec des stratégies et solutions Microsoft Purview supplémentaires. Cette fonctionnalité n’inclut pas le contenu dans les fichiers partagés avec l’IA générative et s’applique uniquement aux éléments suivants :
- Expériences Copilot
- IA d’entreprise
- Applications cloud non managées classées comme ia générative
- Étendue d’application adaptative de toutes les applications IA non managées
Si le paramètre n’est pas activé, le contenu détecté dans les invites et les réponses est limité aux informations sensibles uniquement.
Remarque
Pour capturer du contenu IA, la condition Contenu contient des classifieurs doit être définie sur All.
Stratégies de collecte et Gestion des risques internes Microsoft Purview
Selon votre configuration, Gestion des risques internes Microsoft Purview comportement de stratégie peut être affecté par les stratégies de regroupement. Lorsqu’une stratégie de risque interne est configurée, elle surveille les indicateurs de service et tiers pour vous aider à identifier, trier et agir rapidement sur l’activité à risque. À l’aide des journaux de Microsoft 365 et de Microsoft Graph, la gestion des risques internes vous permet de définir des stratégies spécifiques pour identifier les indicateurs de risque. Ces stratégies vous permettent d’identifier les activités à risque et d’agir pour atténuer ces risques.
Avertissement
Lorsqu’une stratégie de regroupement d’appareils est configurée et déployée, en cas de conflit entre ce que la stratégie gestion des risques internes est configurée pour surveiller et ce que la stratégie de regroupement est configurée pour filtrer, la configuration de la stratégie de regroupement est prioritaire. Cela signifie que si une stratégie de gestion des risques internes est configurée pour surveiller une activité spécifique, mais que la stratégie de collecte est configurée pour filtrer cette activité, l’activité n’est pas collectée et n’est pas disponible pour révision dans La gestion des risques internes. Cela s’applique uniquement aux indicateurs d’appareil dans les stratégies de gestion des risques internes, et uniquement lorsqu’une stratégie de regroupement d’appareils est déployée. Si une stratégie de collecte est configurée pour collecter quelque chose pour lequel une stratégie de gestion des risques internes n’est pas configurée, l’indicateur est collecté, mais la gestion des risques internes l’ignore.
Stratégies de collecte et protection contre la perte de données de point de terminaison
Lorsque l’option Toujours auditer l’activité des fichiers pour les appareils est activée, toutes les activités pour Office, les fichiers PDF et CSV sont collectés par défaut. Si vous souhaitez modifier les activités collectées pour les appareils dans ce cas, vous pouvez le faire en configurant une stratégie de collecte ciblée sur les appareils. Si l’option Toujours auditer l’activité des fichiers pour les appareils n’est pas activée, les activités ne sont pas collectées à partir des appareils, même si une stratégie de regroupement est créée pour les appareils.
Les stratégies de collecte ne peuvent pas affecter le comportement des stratégies DLP, mais uniquement ce qui est collecté et enregistré pour les événements de fichier d’audit sur les appareils.
Stratégies et Gestion de la posture de sécurité des données Microsoft Purview de collection et Gestion de la posture de sécurité des données pour l’IA Purview
Lorsque vous utilisez des stratégies en un clic dans Microsoft Gestion de la posture de sécurité des données ou Microsoft Gestion de la posture de sécurité des données pour l’IA (DSPM pour l’IA), vous pouvez prendre des mesures sur les recommandations qui créent automatiquement des stratégies de collecte en votre nom.
Vous pouvez afficher et surveiller les résultats de ces stratégies dans des expériences personnalisées dans DSPM et DSPM pour l’IA, ainsi que dans l’Explorateur d’activités. Ces stratégies sont nommées automatiquement par l’expérience de stratégie rapide. Après la création, ces stratégies de collection peuvent être consultées et modifiées de la même manière que les stratégies de collection créées à l’aide du flux de travail.