Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vos stratégies de Protection contre la perte de données Microsoft Purview (DLP) peuvent être configurées pour générer des alertes lorsque les conditions d’une règle sont mises en correspondance. Les alertes sont configurées dans les règles de stratégie DLP.
Pour obtenir une brève vue d’ensemble des alertes, consultez :
Cet article inclut les détails des licences et des autorisations, ainsi que d’autres informations cruciales dont vous avez besoin lorsque vous utilisez des alertes.
Les alertes DLP peuvent être examinées et gérées dans le tableau de bord Microsoft Defender XDR et dans le portail Microsoft Purview. Le tableau de bord Microsoft Defender XDR est l’emplacement recommandé pour examiner et gérer les alertes DLP. Le portail Microsoft Purview est l’emplacement recommandé pour la création et la modification des stratégies DLP.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Types d’alertes
Les alertes peuvent être envoyées chaque fois qu’une activité correspond à une règle ou elles peuvent être agrégées pour réduire le bruit. Il existe deux types d’alertes qui peuvent être configurés dans les stratégies DLP.
Alertes à événement unique Les alertes à événement unique sont généralement utilisées dans les stratégies qui surveillent les événements hautement sensibles qui se produisent dans un faible volume, comme un seul e-mail avec au moins 10 numéros de carte de crédit client envoyés en dehors de votre organization. Par défaut, lorsque les événements d’une seule règle se produisent dans une fenêtre d’une minute les uns des autres, ils sont agrégés pour la licence E5 et 15 minutes pour la licence E3. En préversion, les alertes à événement unique peuvent être agrégées par règle et par utilisateur. C’est ce qu’on appelle l’agrégation d’alertes basée sur des règles et des utilisateurs.
Les alertes d’événement d’agrégation sont généralement utilisées dans les stratégies qui surveillent les événements qui se produisent dans un volume plus élevé sur une période donnée. Par exemple, une alerte agrégée peut être déclenchée lorsque 10 e-mails individuels avec chacun un numéro de carte de crédit client sont envoyés en dehors de votre organisation pendant 48 heures.
Avant de commencer
Avant de commencer, vérifiez que vous disposez des conditions préalables suivantes :
Gestion des licences pour les options de configuration des alertes
- Configuration des alertes à événement unique : toutes les organisations disposant d’un abonnement DLP (E1, E3, E5, F1, G1, E3, G3, E5, G5) peuvent configurer des stratégies pour générer une alerte pour chaque fois qu’une activité de déclenchement se produit.
-
Configuration des alertes agrégées : pour configurer des stratégies d’alerte agrégées en fonction d’un seuil, vous devez disposer de l’une des configurations suivantes :
- Un abonnement A5
- Un abonnement E5 ou G5
- Un abonnement E1, F1 ou G1 ou un abonnement E3 ou G3 qui inclut l’une des fonctionnalités suivantes :
- Office 365 – Protection avancée contre les menaces Plan 2
- Suite Microsoft Purview (anciennement appelé Microsoft 365 E5 Conformité)
- Licence du module complémentaire Microsoft 365 eDiscovery et Audit
Les clients qui utilisent la DLP de point de terminaison et qui sont éligibles pour teams DLP verront leurs alertes de stratégie DLP de point de terminaison et leurs alertes de stratégie DLP Teams dans le tableau de bord de gestion des alertes DLP.
Rôles et groupes de rôles
Si vous souhaitez afficher le tableau de bord de gestion des alertes DLP ou modifier les options de configuration des alertes dans une stratégie DLP, vous devez être membre de l’un des groupes de rôles suivants :
- Administrateur de conformité
- Administrateur de conformité des données
- Administrateur de sécurité
- Opérateur de sécurité
- Lecteur de sécurité
- Administrateur Information Protection
- Analyste Information Protection
- Enquêteur Information Protection
Pour en savoir plus à leur sujet, consultez Autorisations dans le portail Microsoft Purview
Voici une liste des groupes de rôles applicables. Pour en savoir plus à leur sujet, consultez Autorisations dans le portail Microsoft Purview.
- Protection des informations
- Administrateurs Information Protection
- Analystes Information Protection
- Enquêteurs Information Protection
Pour accéder au tableau de bord de gestion des alertes DLP, vous avez besoin du rôle Gérer les alertes et de l’un de ces deux rôles :
- Gestion de la conformité DLP
- View-Only gestion de la conformité DLP
Pour accéder à la fonctionnalité d’aperçu du contenu et aux fonctionnalités de contenu sensible et de contexte mis en correspondance, vous devez être membre du groupe de rôles Visionneuse de contenu Explorer de contenu, dont le rôle visionneuse de contenu classification des données est préassigné.
Conseil
Si l’administrateur a besoin d’accéder aux alertes, mais pas aux informations contextuelles/sensibles, vous pouvez créer et attribuer un rôle personnalisé qui n’inclut pas l’autorisation Visionneuse de contenu de classification des données.
Configuration de l’alerte DLP
Pour savoir comment configurer une alerte dans votre stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données. Il existe différentes expériences de configuration des alertes en fonction de votre licence.
Remarque
La génération d’alertes peut prendre jusqu’à 3 heures après avoir configuré ou modifié des alertes existantes dans une stratégie DLP.
Un e-mail d’alerte, un e-mail de rapport d’incident et une notification utilisateur ne seront envoyés qu’une seule fois par document. Si un document avec une condition Contenu est Partagé est partagé deux fois, il n’y aura toujours qu’une seule notification.
Configuration des alertes d’événement d’agrégation
Si vous disposez d’une licence pour les options de configuration des alertes agrégées, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP.
Cette configuration vous permet de configurer une stratégie pour générer une alerte :
- chaque fois qu’une activité correspond aux conditions d’une règle pour l’agrégation par défaut basée sur une règle ou d’une agrégation basée sur l’utilisateur et la règle.
- lorsque le seuil défini est atteint ou dépassé en fonction du nombre de correspondances ou du volume de ou du volume de données exfiltrées
- pour les activités qui répondent aux critères que vous définissez dans une fenêtre de temps
Configuration d’une alerte d’événement unique
Si vous disposez d’une licence pour les options de configuration d’alerte à événement unique, ces options s’affichent lorsque vous créez ou modifiez une stratégie DLP. Utilisez cette option pour créer une alerte qui est déclenchée chaque fois qu’une correspondance de règle DLP se produit.
Agrégation des alertes basées sur des utilisateurs et des règles (préversion)
Lorsque vous activez l’agrégation d’alertes basées sur l’utilisateur dans le paramètre DLP au niveau du locataire, les alertes d’événement unique sont agrégées en fonction des utilisateurs. Les événements de correspondance de règle doivent se produire dans la fenêtre de temps configurable (15, 30, 45 et 60 minutes). Les alertes sont générées par événement de correspondance de règle et par utilisateur.
Comparer les options d’agrégation d’alertes
| Je veux que DLP... | Fenêtre de temps | Type d’agrégation | Notes |
|---|---|---|---|
| ... générer une alerte unique lorsqu’un e-mail contenant des informations de crédit carte est envoyé par un nombre quelconque d’utilisateurs. | Ces fenêtres ne sont pas configurables par l’admin-E5 : 60 secondes-E3 : 15 minutes |
- L’agrégation des alertes basées sur l’utilisateur est définie sur Désactivé au niveau du locataire. - Agrégation d’alerte d’événement unique configurée au niveau de la règle et disponible si la correspondance se produit dans la fenêtre de temps. -Agréger les correspondances de règle DLP de plusieurs utilisateurs en une seule alerte. |
- S’applique à plusieurs utilisateurs pour une règle. |
| ... générer une alerte pour chaque expéditeur d’e-mail lorsqu’un e-mail contenant des informations de carte de crédit est envoyé. | Cette fenêtre de temps est configurable par l’administrateur au niveau du locataire. - 15 à 60 minutes |
- L’agrégation des alertes basées sur l’utilisateur est définie sur Activé au niveau du locataire.
- Agrégation d’alertes d’événement unique configurée au niveau de la règle. -Agréger les correspondances de règle DLP par utilisateur unique en une seule alerte. |
- Pour un seul utilisateur par règle.
- Attendez-vous à une augmentation du volume d’alertes. - Si l’alerte est fermée dans la fenêtre de temps d’agrégation et qu’une nouvelle correspondance se produit pour le même utilisateur et la même règle, la nouvelle correspondance de règle est agrégée dans la même alerte. |
| ... pour générer une alerte lorsque plusieurs utilisateurs accèdent à plus de 100 fichiers sensibles dans les 60 minutes. | - Configuré au niveau de la règle, 60 à 999 minutes. | - Agrégation basée sur les seuils - Agréger les correspondances de règle DLP en fonction du nombre de correspondances. - L’agrégation des alertes basées sur l’utilisateur n’est pas applicable. |
- pivots sur les règles : utilisez cette option pour plusieurs utilisateurs pour une règle. - Fonctionne uniquement pour l’option Tous les utilisateurs . |
| ... pour générer une alerte lorsque plus de 25 Mo de données sont exfiltrées par plusieurs utilisateurs dans les 60 minutes. | Configuré au niveau de la règle, de 60 à 999 minutes. | - Agrégation basée sur un seuil en fonction du volume de données. - l’agrégation des alertes basées sur l’utilisateur n’est pas applicable. |
- pivots sur les règles : utilisez cette option pour plusieurs utilisateurs pour une règle. - Fonctionne uniquement pour l’option Tous les utilisateurs . |
Types d’événements
Voici quelques-uns des événements associés à une alerte. Dans le tableau de bord Alerte, vous pouvez choisir un événement particulier pour afficher ses détails.
Détails de l'événement
| Nom de la propriété | Description | Types d’événements |
|---|---|---|
| ID | ID unique associé à l’événement | tous les événements |
| Lieu | charge de travail dans laquelle l’événement a été détecté | tous les événements |
| heure de l’activité | heure de l’activité de l’utilisateur correspondant aux critères de la stratégie DLP |
Entités affectées
| Nom de la propriété | Description | Types d’événements |
|---|---|---|
| user | utilisateur qui a effectué l’action à l’origine de la correspondance de stratégie | tous les événements |
| nom d’hôte | nom d’hôte de l’ordinateur sur lequel la correspondance de stratégie DLP s’est produite | événements d’appareil |
| Adresse IP | Adresse IP de l’ordinateur sur lequel la correspondance de stratégie DLP s’est produite | événements d’appareil |
| sha1 | Hachage SHA-1 du fichier | événements d’appareil |
| sha256 | Hachage SHA-256 du fichier | événements d’appareil |
| ID d’appareil MDATP | ID MDATP de l’appareil de point de terminaison | |
| taille du fichier | taille du fichier | Événements SharePoint, OneDrive et appareils |
| chemin d’accès du fichier | chemin d’accès absolu de l’élément impliqué dans la correspondance de stratégie DLP | Événements SharePoint, OneDrive et appareils |
| destinataires de l’e-mail | si un e-mail était l’élément sensible qui correspondait à la stratégie DLP, ce champ inclut les destinataires de cet e-mail | Événements Exchange |
| Objet de l’e-mail | objet de l’e-mail correspondant à la stratégie DLP | Événements Exchange |
| pièces jointes d’e-mail | noms des pièces jointes dans l’e-mail correspondant à la stratégie DLP | Événements Exchange |
| propriétaire du site | nom du propriétaire du site | Événements SharePoint et OneDrive |
| URL du site | pleine de l’URL du site SharePoint ou OneDrive où la correspondance de stratégie DLP s’est produite | Événements SharePoint et OneDrive |
| fichier créé | heure de création du fichier correspondant à la stratégie DLP | Événements SharePoint et OneDrive |
| dernière modification du fichier | la dernière fois que le fichier correspondant à la stratégie DLP a été modifié | Événements SharePoint et OneDrive |
| taille du fichier | taille du fichier correspondant à la stratégie DLP | Événements SharePoint et OneDrive |
| propriétaire du fichier | propriétaire du fichier correspondant à la stratégie DLP | Événements SharePoint et OneDrive |
Détails de la stratégie
| Nom de la propriété | Description | Types d’événements |
|---|---|---|
| Stratégie DLP correspondante | nom de la stratégie DLP correspondante | tous les événements |
| règle de correspondance | nom de la règle de stratégie DLP correspondante | tous les événements |
| types d’informations sensibles (SIT) détectés | Les SIT détectés dans le cadre de la stratégie DLP correspondent | tous les événements |
| actions prises | actions qui ont été effectuées à l’origine de la correspondance de la stratégie DLP | tous les événements |
| violation de l’action | sur l’appareil de point de terminaison qui a déclenché l’alerte DLP | événements d’appareil |
| stratégie de sur-érosion de l’utilisateur | l’utilisateur a-t-il substitué la stratégie via un conseil de stratégie ? | tous les événements |
| utiliser la justification de remplacement | texte de la raison fournie par l’utilisateur pour la substitution | tous les événements |
Importante
La stratégie de rétention du journal d’audit de votre organization contrôle la durée pendant laquelle une alerte reste visible dans la console. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.
Voir aussi
- Alertes dans les stratégies DLP : décrit les alertes dans le contexte d’une stratégie DLP.
- Prise en main des alertes de protection contre la perte de données : couvre la liscensing, les autorisations et les prérequis nécessaires pour les alertes DLP et les détails de référence des alertes.
- Créer et déployer des stratégies de protection contre la perte de données : inclut des conseils sur la configuration des alertes dans le contexte de la création d’une stratégie DLP.
- En savoir plus sur l’examen des alertes de protection contre la perte de données : couvre les différentes méthodes d’examen des alertes DLP.
- Examiner les incidents de perte de données avec Microsoft Defender XDR : Comment examiner les alertes DLP dans Microsoft Defender portail.