Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser la recherche dans Enquêtes sur la sécurité des données (préversion) pour rechercher du contenu Microsoft 365 tel que des e-mails, des documents et des conversations de messagerie instantanée dans votre organization qui sont pertinents pour un incident de sécurité. Utilisez la recherche pour rechercher du contenu dans ces sources de données Microsoft 365 basées sur le cloud :
| Source de données | Type de contenu recherché | Exemples de contenu à risque |
|---|---|---|
| Exchange Online | E-mails et pièces jointes dans les boîtes aux lettres utilisateur | Informations d’identification ou secrets envoyés dans un e-mail, fichiers sensibles partagés en externe. |
| Microsoft Copilot | Invites et réponses ia | Données sensibles dans Copilot ou les invites IA. |
| Microsoft Teams | Messages de conversation (1:1 et conversations de groupe) et messages de canal | Secrets inclus dans les conversations, informations confidentielles dans les conversations Teams. |
| OneDrive | Fichiers utilisateur | Fichiers utilisateur avec des clés d’accès sécurisées, exportation de bases de données, etc. |
| SharePoint | Documents et fichiers dans les sites | Documents contenant des mots de passe, des données client ou des plans confidentiels. |
Vous pouvez créer et exécuter différentes recherches associées à une investigation. Utilisez des conditions telles que des mots clés, des types de fichiers, des incidents, etc. pour créer des requêtes de recherche qui retournent des résultats de recherche avec les données les plus pertinentes pour l’examen. Vous pouvez également :
- Affichez les statistiques de recherche qui vous aident à affiner une requête de recherche pour affiner les résultats.
- Affichez un aperçu des résultats de la recherche pour vérifier rapidement si vous trouvez les données pertinentes.
- Modifiez une requête et réexécutez la recherche.
Considérez les activités qui ont déclenché l’examen. Par exemple, le partage ou la fuite de mot de passe signalé, un fichier suspect, travailler avec une équipe de développement externe ou une alerte concernant l’exfiltration de données ou des personnes ou équipes spécifiques qui peuvent être impliquées. Utilisez ces informations pour développer votre requête de recherche initiale. Par exemple, si un administrateur a signalé que les mots de passe peuvent être stockés en texte brut dans SharePoint, commencez par rechercher des mots clés de mot de passe connus ou des noms de fichiers dans SharePoint et OneDrive, ou des sites SharePoint spécifiques gérés par des équipes d’ingénierie.
Lorsque vous êtes satisfait des résultats d’une recherche et que vous êtes prêt à examiner et analyser les résultats, ajoutez-les à une étendue d’investigation dans l’enquête. L’ajout de copies des données d’origine à une étendue d’investigation facilite également le processus d’analyse et de révision de l’IA en vous fournissant des outils avancés de catégorisation, d’examen et de recherche vectorielle.
Accéder aux outils de recherche
Sélectionnez Résumé dans les options de navigation en haut d’une page dans une investigation spécifique pour accéder aux outils de recherche.
Les outils de recherche incluent le sélecteur de source de données, le générateur de requêtes et les options de recherche par fichier. Vous pouvez affiner les sources de données et les conditions de requête de recherche à tout moment pendant l’examen et ajouter les résultats à une étendue d’investigation.
Sources de données
Dans Microsoft 365, les données sont stockées sur trois plateformes : Exchange, Teams et SharePoint. Ces plateformes servent de base pour l’organisation et la gestion des données dans les applications Microsoft 365.
Importante
Si vous définissez un site status sur Verrouillé et que vous définissez le site sur NoAccess, Enquêtes sur la sécurité des données (préversion) ne retourne pas de résultats de recherche. Pour plus d’informations sur la gestion des états de verrouillage de site, consultez Verrouiller et déverrouiller des sites. En outre, si vous limitez un document dans le magasin de contenu, l’enquêteur Enquêtes sur la sécurité des données doit être un administrateur de site, un propriétaire de site ou le propriétaire ou le dernier modificateur du document restreint pour y accéder dans Enquêtes sur la sécurité des données (préversion). Pour plus d’informations sur le contenu restreint, consultez Informations de référence sur la stratégie de protection contre la perte de données.
La plupart des applications Microsoft 365 stockent des données dans un ou plusieurs des conteneurs suivants :
- Utilisateurs : données associées à des utilisateurs individuels, telles que leur messagerie, les messages Teams 1:1 et les fichiers OneDrive.
- Groupes : données détenues par le organization ou un groupe d’utilisateurs au sein d’un organization. Ces groupes sont souvent appelés groupes unifiés ou Teams.
Dans Enquêtes sur la sécurité des données (préversion), le concept de sources de données simplifie le processus d’identification et de gestion des données sur les plateformes Microsoft 365. Les analystes sélectionnent un utilisateur ou un groupe et étendent les recherches à ces sources de données. Les analystes peuvent affiner l’étendue en sélectionnant ou en excluant des emplacements spécifiques.
Les analystes peuvent également utiliser des sources organization pour effectuer des recherches dans votre organization. Les sources à l’échelle de l’organisation sont les suivantes :
- Toutes les personnes et groupes : inclut tous les utilisateurs et tous les groupes de votre organization.
- Tous les dossiers publics : inclut tout le contenu des boîtes aux lettres de dossiers publics Exchange.
Générateur de requêtes
L’option Générateur de requêtes dans la recherche fournit une expérience de filtrage visuel lorsque vous créez des requêtes de recherche dans Enquêtes sur la sécurité des données (préversion). Étant donné que vous allez utiliser des outils d’analyse IA pour identifier rapidement les données applicables dans les éléments retournés par votre recherche, une stratégie consiste à élargir l’étendue de votre recherche pour inclure davantage de sources de données. Cela permet de réduire le risque d’exclure tout contenu pertinent pour révision.
Utilisez le générateur de requêtes pour construire des requêtes complexes avec des fonctionnalités supplémentaires, notamment AND, OR et le regroupement de conditions. Ces fonctionnalités du Générateur de requêtes vous aident à créer des requêtes plus efficacement, fournissent une interface visuelle pour le regroupement des sous-requêtes et fournissent un espace supplémentaire pour la construction et la révision des requêtes mot clé complexes.
Utilisation du générateur de requêtes
Pour créer une requête et un filtrage personnalisé pour votre recherche, utilisez les contrôles suivants :
- AND/OR : ces opérateurs logiques conditionnels vous aident à choisir la condition de requête qui s’applique à des filtres et sous-groupes de filtres spécifiques. Utilisez ces opérateurs pour inclure plusieurs filtres ou sous-groupes connectés à un seul filtre dans votre requête.
- Sélectionner un filtre : choisissez des filtres pour les sources de données et le contenu d’emplacement spécifiques que vous sélectionnez pour la collection.
- Ajouter un filtre : ajoutez plusieurs filtres à votre requête. Cette option devient disponible une fois que vous avez défini au moins un filtre de requête.
- Sélectionner un opérateur : selon le filtre sélectionné, vous pouvez choisir parmi les opérateurs compatibles. Par exemple, si vous sélectionnez le filtre Date , vous pouvez choisir entre Avant, Après et Entre. Si vous sélectionnez le filtre Taille (en octets), vous pouvez choisir entre Supérieur à, Supérieur ou égal, Inférieur à, Inférieur ou égal, Entre et Égal.
- Valeur : En fonction du filtre sélectionné, entrez des valeurs compatibles. Certains filtres prennent en charge plusieurs valeurs, tandis que d’autres prennent en charge une seule valeur spécifique. Par exemple, si vous sélectionnez le filtre Date , entrez des valeurs de date. Si vous sélectionnez le filtre Taille (en octets), entrez une valeur pour octets.
- Ajouter un sous-groupe : après avoir défini un filtre, ajoutez un sous-groupe pour affiner les résultats retournés par le filtre. Vous pouvez également ajouter un sous-groupe à un sous-groupe pour l’affinement des requêtes multicouches.
- Supprimer une condition de filtre : pour supprimer un filtre ou un sous-groupe individuel, sélectionnez l’icône supprimer à droite de chaque ligne ou sous-groupe de filtre.
- Effacer tout : pour effacer l’intégralité de la requête de tous les filtres et sous-groupes, sélectionnez Effacer tout.
Exemple de scénario
Un analyste Enquêtes sur la sécurité des données (préversion) doit créer une requête pour tout élément qui inclut le mot clé confidentiel utilisé entre le 1er janvier 2025 et le 16 mars 2025*. Pour cet exemple, l’analyste crée la requête suivante à l’aide du générateur de requêtes :
- Pour le premier filtre, l’analyste sélectionne Mot clé, puis l’opérateur Equal , puis entre confidentiel dans le contrôle Valeur .
- Ensuite, l’analyste sélectionne Ajouter un sous-groupe et l’opérateur AND , puis le filtre Ajouter.
- L’analyste sélectionne le filtre Date , l’opérateur Between et les dates de début et de fin pour la valeur.
- L’analyste sélectionne Enregistrer pour enregistrer la requête, puis Examiner l’étendue pour exécuter la requête de recherche.
Créer une requête de recherche avec Microsoft Security Copilot
L’option Requête avec Copilot dans la recherche vous permet d’utiliser le langage naturel et Microsoft Security Copilot pour générer rapidement une requête personnalisée dans le générateur de requêtes. Utilisez cette option pour construire des requêtes complexes avec des fonctionnalités supplémentaires, notamment AND, OR et le regroupement de conditions, tout en utilisant des invites en langage naturel.
Cette fonctionnalité vous permet également de créer des requêtes plus facilement en utilisant des invites prédéfinies pour les scénarios courants. Il vous permet également d’affiner et d’améliorer les invites personnalisées pour des requêtes de recherche plus précises. Vous pouvez également choisir d’utiliser des suggestions d’invite comme point de départ pour créer et affiner des requêtes Langage de requête par mots-clés (KeyQL) pour des scénarios de recherche courants ou personnalisés.
Pour créer une requête de recherche avec Copilot, procédez comme suit :
- Sélectionnez des sources de données pour votre requête, puis sélectionnez Interroger avec Copilot.
- Entrez votre question de requête de recherche dans le champ Décrire ce que vous souhaitez trouver . Vous pouvez inclure l’utilisateur, la source de données et d’autres détails de contenu, le cas échéant.
- Sélectionnez Afficher les invites pour sélectionner l’une des suggestions d’invite suivantes :
- Rechercher tous les e-mails contenant les mots budget et finance et avoir des pièces jointes
- Rechercher des fichiers de type .docx qui contiennent les mots confidentiel et budget
- Sélectionnez Examiner l’étendue pour afficher les estimations et les statistiques de la recherche ou ajoutez les résultats directement à votre étendue d’investigation. Si vous souhaitez enregistrer les paramètres de requête que vous définissez et exécuter la requête ultérieurement, sélectionnez Enregistrer.
Rechercher à partir d’un fichier
L’option À partir du fichier vous permet de charger un ou plusieurs fichiers pour rechercher du contenu associé pour une investigation spécifique. Utilisez un fichier d’activité d’audit .csv pour rechercher les messages et les fichiers associés pour un utilisateur spécifique dans un laps de temps spécifique. Chaque fichier est limité à une taille maximale de 10 Mo et les fichiers peuvent être .csv. Le Générateur de requêtes est désactivé lors de la recherche par fichier.
Enquêtes sur la sécurité des données (préversion) prend uniquement en charge les types d’opérations d’activité d’audit spécifiques lors de la recherche par fichier. Si un fichier journal d’audit chargé ne contient aucun des types d’opérations pris en charge suivants, la recherche utilise une requête vide et ne retourne aucun élément correspondant.
- FileAccessed
- FileDownloaded
- FileUploaded
- MessageRead
- MessageSent
- SearchQueryInitiatedExchange
- Envoyer
- SubscribedToMessages
- ThreadViewed
- TranscriptionsExported
Tableau de bord d’étendue
L’onglet Recherche affiche des statistiques et des métriques pour les résultats de données inclus dans la requête de recherche. Cette vue vous permet de déterminer si les résultats de la requête de recherche sont prêts à être ajoutés à l’étendue d’investigation ou si vous devez affiner votre requête pour obtenir des résultats plus larges ou plus étroits.
Les résultats de la recherche pour le tableau de bord Étendue sont inclus dans les sections suivantes :
Résumé : affiche le nombre d’accès à la recherche, les emplacements, les sources de données et la taille totale du fichier des éléments partiellement indexés.
- Nombre total de correspondances : affiche le nombre total d’accès à la recherche et le volume de tous les éléments correspondant aux critères de requête à partir des emplacements recherchés.
- Emplacements : affiche la fraction d’emplacements avec des accès hors de tous les emplacements recherchés. Le numérateur affiche les emplacements avec des accès et le dénominateur indique le nombre d’emplacements recherchés. Les emplacements contenant des erreurs apparaissent en rouge. Pour afficher des détails complets sur tous les emplacements et les correspondances et erreurs associées, sélectionnez Télécharger le rapport pour télécharger le rapport de .csv complet.
- Sources de données : affiche la fraction des sources de données avec des correspondances de toutes les sources de données recherchées. Le numérateur affiche les sources de données avec des correspondances et le dénominateur indique le nombre de sources de données incluses dans la recherche. Cette source de données est cohérente avec la source de données dans le flux de conception de recherche et doit correspondre au nombre de personnes ou de groupes inclus dans la recherche. Une source de données à l’échelle du locataire de Toutes les personnes et tous les groupes est une source de données unique.
- Éléments partiellement indexés ou « Accès avancés aux éléments indexés » : affiche le nombre et le volume d’éléments partiellement et non indexés retournés dans le cadre de la recherche. Le nombre d’accès indexé avancé provient d’un échantillon de statistiques sur les éléments partiellement indexés. Les résultats réels peuvent être plus nombreux et vous pouvez confirmer à l’aide des actions Ajouter à un jeu de révision et exporter les résultats de recherche.
- Principales sources de données : affiche les cinq principales sources de données qui composent le plus d’accès à la recherche correspondant à votre requête. Les noms de ces sources de données (noms d’utilisateurs, de groupes ou d’emplacements à l’échelle de organization) sont répertoriés avec le nombre d’accès. Ces sources de données doivent correspondre à ce que vous avez sélectionné dans le flux de travail des sources de données lors de la création de la requête de recherche.
- Indexation status : répartition des éléments de données non indexés (y compris partiellement indexés) et entièrement indexés.
- Type d’emplacement supérieur : nombre d’accès par type d’emplacement (boîte aux lettres ou site).
Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger le rapport pour combiner tous les résultats de l’étendue dans un seul fichier .csv. Lorsque vous affichez les 100 premiers résultats d’une zone de tendance, sélectionnez Télécharger le rapport pour un fichier .csv des 100 premiers résultats de la tendance sélectionnée.
Exemples de tableau de bord
Les exemples vous permettent d’inspecter un sous-ensemble représentatif d’éléments individuels et de détails pour chaque élément retourné pour la recherche. Le nombre d’échantillons par emplacement et le nombre d’emplacements définis dans la recherche déterminent le nombre d’exemples d’éléments et la représentation de l’emplacement dans les exemples d’éléments.
Les résultats de la recherche pour les colonnes du tableau de bord Exemples contiennent les informations suivantes pour chaque élément :
- Objet/Titre : objet ou titre des éléments inclus dans l’exemple.
- Date : date à laquelle l’élément a été créé ou envoyé.
- Expéditeur/auteur : expéditeur ou auteur de l’élément.
Sélectionnez un exemple d’élément pour afficher les informations source de l’élément. S’il est disponible pour l’élément, cet affichage affiche une vue enrichie d’un élément sélectionné afin que vous puissiez évaluer la pertinence de l’élément en ce qui concerne la source de données de recherche et les conditions définies.
Sélectionnez Télécharger les rapports pour combiner tous les exemples de résultats dans un seul fichier .csv. Sélectionnez Afficher les paramètres pour afficher les paramètres appliqués à l’exemple de génération d’affichage.