Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le graphe des risques liés aux données dans Enquêtes sur la sécurité des données (préversion) fournit une expérience d’investigation visuelle qui combine les données de ressources et d’activités dans une seule vue. Grâce à Microsoft Sentinel’intégration, il résume les 30 jours d’activité précédents pour tous les fichiers inclus dans votre investigation. Il vous permet d’identifier les comptes d’utilisateur à risque qui ont interagi avec le contenu d’intérêt et d’analyser la séquence d’événements menant à des incidents récents. En enrichissant l’analyse avec des insights d’activité, les graphiques de risque de données peuvent vous aider à résoudre vos incidents de sécurité des données plus rapidement et avec plus de confiance.
Pour plus d’informations sur l’intégration Microsoft Sentinel, consultez En savoir plus sur Microsoft Sentinel dans Microsoft Purview.
Remarque
Administration unités ne sont pas prises en charge dans le graphique des risques de données. Si vous êtes limité à une unité d’administration, les données n’apparaissent pas dans les graphiques de risque de données.
Activités prises en charge dans le graphique des risques liés aux données
Le graphe des risques de données prend actuellement en charge les activités d’exfiltration suivantes :
- Liens anonymes créés dans SharePoint ou OneDrive
- Liens anonymes utilisés via SharePoint ou OneDrive
- Liens d’entreprise créés dans SharePoint ou OneDrive
- Téléchargements de fichiers à partir de SharePoint et OneDrive
- Fichiers renommés dans SharePoint et OneDrive
Avant de commencer
Avant de pouvoir utiliser des graphiques de risque de données dans Enquêtes sur la sécurité des données (préversion), effectuez les étapes suivantes :
- Découvrez la facturation avec paiement à l’utilisation dans Microsoft Sentinel pour votre organization.
- Configurer les prérequis pour Microsoft Sentinel lac de données et Microsoft Sentinel graphe
- Passez en revue les modifications apportées lors de l’intégration à Microsoft Sentinel lac de données et Microsoft Sentinel graphe
- Créez une investigation dans Enquête sur la sécurité des données (préversion).
Configurer le graphe des risques liés aux données
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
Une fois les prérequistites terminées, procédez comme suit pour configurer le graphe de risque de données dans Enquêtes sur la sécurité des données (préversion) :
Accédez au portail Microsoft Purview avec un compte affecté au rôle Administrateur général ou Administrateur de la sécurité .
Sélectionnez la solution Enquêtes sur la sécurité des données (préversion) carte, puis sélectionnez Vue d’ensemble dans la navigation de gauche.
Dans la section Tâches d’installation , sélectionnez Configurer le lac de données et le graphe des risques liés aux données.
Si vous ne disposez pas des autorisations appropriées pour configurer le lac de données, une notification s’affiche pour contacter un administrateur global ou de facturation dans votre organization.
Sous l’onglet Configuration de Configurer data lake & risk graph (préversion), configurez les paramètres suivants :
- Abonnement : entrez l’abonnement Azure que vous souhaitez utiliser. Votre abonnement sélectionné doit être valide et accessible. Vous devez être propriétaire de l’abonnement.
- Groupe de ressources : entrez le groupe de ressources que vous souhaitez utiliser. Le groupe de ressources sélectionné doit être valide et accessible.
Importante
Une fois le lac de données approvisionné pour un abonnement et un groupe de ressources Azure spécifiques, vous ne pouvez pas le migrer vers un autre abonnement ou groupe de ressources.
Sélectionnez Configuration.
Importante
Lorsque le graphique des risques de données est créé pour la première fois, il inclut les sept derniers jours de données. À mesure que le graphique des risques de données s’actualise au fil du temps, la fenêtre de recherche arrière s’étend jusqu’à un maximum de 30 jours. Le graphique des risques liés aux données peut prendre un certain temps pour atteindre la fenêtre complète de 30 jours. Par conséquent, attendez-vous à une croissance progressive après la configuration initiale.
Le processus de configuration commence et l’intégration peut prendre jusqu’à 60 minutes. Vous pouvez fermer le panneau d’installation pendant que le processus est en cours d’exécution. Une fois le processus d’intégration terminé, vous voyez Terminer sur Configurer data lake & graphe des risques (préversion). Le graphique des risques liés aux données montre les événements qui se produisent après la création ou l’intégration de votre lac de données Microsoft Sentinel.
Le traitement initial de la disponibilité des données et des données à risque pour une investigation peut prendre 24 à 48 heures.
Importante
Vous avez toujours un lac de données. Si vous avez déjà intégré au lac de données avec un autre service Microsoft, votre lac de données existant est utilisé. Si vous n’avez jamais intégré au lac de données, l’intégration dans Enquêtes sur la sécurité des données (préversion) permet d’Microsoft Sentinel lac de données et le graphe dans le portail Defender.
Utiliser le graphique des risques liés aux données
Le graphique du risque de données dans Enquêtes sur la sécurité des données (préversion) visualise de manière unique les corrélations entre les données impactées, les utilisateurs et leurs activités. Il fournit un contexte critique pour guider l’atténuation et les étapes suivantes. Par exemple, lors de la découverte d’un document très sensible, les graphiques de risque de données vous donnent une visibilité sur les utilisateurs qui l’ont téléchargé ou s’ils y ont accédé à partir d’une adresse IP à risque. Cette visibilité vous permet de découvrir de nouveaux nœuds pour un incident de sécurité des données, comme des utilisateurs supplémentaires ou du nouveau contenu qui nécessite une investigation.
Pour afficher le graphique des risques de données pour une investigation, vous devez être affecté à au moins un groupe de rôles intégré Enquêtes sur la sécurité des données (préversion) :
- administrateurs Enquêtes sur la sécurité des données
- enquêteurs Enquêtes sur la sécurité des données
- réviseurs Enquêtes sur la sécurité des données
Pour plus d’informations sur les groupes de rôles, consultez Attribuer des autorisations dans Enquêtes sur la sécurité des données .
Pour utiliser le graphique de risque des données dans Enquêtes sur la sécurité des données (préversion), procédez comme suit :
Accédez au portail Microsoft Purview avec un compte affecté à un groupe de rôles Enquêtes sur la sécurité des données (préversion).
Sélectionnez la solution Enquêtes sur la sécurité des données (préversion) carte, puis sélectionnez Cas dans la navigation de gauche.
Sélectionnez une investigation à examiner, puis sélectionnez l’une des options suivantes :
- Dans Résumé, sélectionnez Gérer l’étendue dans la carte Étendue d’investigation.
- Sélectionnez l’onglet Analyse pour répertorier les éléments inclus dans l’étendue Investigation.
Sélectionnez les éléments (jusqu’à 100) inclus dans l’étendue, puis sélectionnez Explorer les insights.
Remarque
Explorer les insights n’est pas disponible, sauf si vous configurez Enquêtes sur la sécurité des données (préversion) pour Microsoft Sentinel lac de données et graphe.
Filtrez l’heure selon le cas et sélectionnez des nœuds de graphe de risque de données individuels pour plus d’informations sur chaque connexion lors du triage.
Développez les relations dans le graphique en sélectionnant l’icône + sur les utilisateurs ou les ressources.
Le graphique des risques liés aux données contient plusieurs nœuds. La sélection d’un nœud affiche des détails sur le nœud :
- Détails de l’utilisateur : affiche des informations sur les utilisateurs associés à l’examen. Ces informations incluent des informations organization pour chaque utilisateur, notamment le nom d’utilisateur principal (UPN), les étiquettes, l’emplacement, le poste et bien plus encore.
- Relations : affiche des informations sur le démarrage et la fin des connexions entre les nœuds. Ces informations incluent les dates de début et de dernière connexion, les types de relation, etc.
- Adresses IP : affiche des informations sur chaque nœud d’adresse IP.
- Détails des données : affiche des informations sur les fichiers et les sites. Ces informations incluent l’emplacement de l’objet, le type, les étiquettes, etc.
Vous pouvez afficher les informations du graphique des risques de données pour les utilisateurs en fonction des 30 derniers jours d’activité. Cette durée est fixe et ne peut pas être prolongée.