Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Les fonctionnalités utilisées dans ce scénario sont en préversion.
Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de protection contre la perte de données (DLP) Microsoft Purview qui permet d’empêcher le partage d’informations sensibles avec des applications IA non managées via la sécurité des données réseau à l’aide d’une solution SASE intégrée, telle que Microsoft Entra accès Internet GSA. Utilisez ce scénario dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.
Importante
Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.
La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.
Conditions préalables et hypothèses
- Pour Microsoft Entra applications GSA Internet Access, l’appareil doit être joint à l’ID Entra.
- Pour Microsoft Entra applications GSA Internet Access, vous avez configuré une stratégie de fichier pour le filtrage de contenu réseau dans Microsoft Entra accès Internet GSA.
- Pour les fournisseurs SASE tiers, vérifiez que vous avez effectué les étapes d’intégration décrites dans la documentation de votre fournisseur.
- Cette procédure utilise des groupes de distribution hypothétiques, l’un nommé Équipe finance et un autre groupe pour l’équipe de sécurité. Vous devez créer ces groupes dans votre environnement ou remplacer vos propres groupes.
Mappage et instruction d’intention de stratégie
Nous voulons adopter une utilisation responsable de l’IA au sein de notre organization tout en protégeant les données sensibles des clients et de l’organisation contre toute exposition intentionnelle ou accidentelle. Étant donné que le service Finance gère régulièrement des informations hautement sensibles, nous devons créer une stratégie qui empêche les utilisateurs finance de partager du contenu sensible avec toute application d’IA générative non approuvée. Étant donné que bon nombre de nos utilisateurs disposent de la flexibilité dans le navigateur qu’ils choisissent d’utiliser, ainsi que de la possibilité d’utiliser des applications IA installées localement et des compléments Office, nous devons garantir une large couverture des points de terminaison grâce à la protection de la sécurité des données réseau. Compte tenu de la sensibilité de l’accès aux données du service Finance, nous devons empêcher les données financières, les informations d’identification personnelle (PII) ou les documents confidentiels d’être partagés via des invites texte ou des fichiers chargés. Ensuite, pour garantir une gestion efficace et rapide des incidents, nous devons générer des alertes et nous assurer que notre équipe de sécurité est avertie par e-mail chaque fois qu’un blocage se produit. Enfin, nous voulons que cette stratégie prenne effet immédiatement pour commencer à protéger les données de l’entreprise dès que possible.
| Statement | Réponse à la question de configuration et mappage de configuration |
|---|---|
| Étant donné que le service Finance gère régulièrement des informations hautement sensibles, nous devons créer une stratégie qui empêche les utilisateurs finance de partager du contenu sensible avec toute application d’IA générative non approuvée. | Choisissez les applications cloud pour appliquer la stratégie : - Sélectionnez + Ajouter des applications cloud- Sélectionnez l’onglet Étendues des applications adaptatives- Choisissez Toutes les applications IA non managées et sélectionnez Ajouter - Sélectionner Modifier l’étendue - Sélectionner Inclure uniquement spécifique - Choisissez le groupe de services financiers |
| Étant donné que bon nombre de nos utilisateurs disposent de la flexibilité dans le navigateur qu’ils choisissent d’utiliser, ainsi que de la possibilité d’utiliser des applications IA installées localement et des compléments Office, nous devons garantir une large couverture des points de terminaison grâce à la protection de la sécurité des données réseau. | Choisissez l’emplacement où appliquer la stratégie : - Activer le réseau |
| Compte tenu de la sensibilité de l’accès du service Financier aux données, nous devons empêcher les données financières, les informations d’identification personnelle (PII) ou les documents confidentiels... | Personnaliser les règles DLP avancées : - Sélectionner + Créer une règle - Sélectionner + Ajouter une condition et choisir Contenu contient - Sélectionner Ajouter et choisir des types d’informations sensibles- Sélectionnez numéro de routage ABA, numéro de compte bancaire américain, numéro de carte de crédit, numéro de sécurité sociale (SSN) des États-Unis, puis sélectionnez Ajouter - Sélectionnez Ajouter et choisissez Étiquettes de confidentialité- Choisir Confidentiel et sélectionnez Ajouter - Vérifiez que l’opérateur Group est défini sur N’importe lequel de ces éléments |
| ... d’être partagé par le biais d’invites texte ou de fichiers chargés. | Actions : - Sélectionnez + Ajouter une action et choisissez Restreindre les activités du navigateur et du réseau- Sélectionnez Texte envoyé ou partagé avec des applications cloud ou IA et Fichier chargé ou partagé avec des applications cloud ou IA- Sélectionnez Bloquer pour les deux. |
| Ensuite, pour garantir une gestion efficace et rapide des incidents, nous devons générer des alertes et nous assurer que notre équipe de sécurité est avertie par e-mail chaque fois qu’un blocage se produit. | Rapports d’incidents : - Définissez le niveau de gravité sur Haute-Vérifiez que l’option Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit est Activée - Sélectionnez + Ajouter ou supprimer des utilisateurs et choisissez le groupe de distribution SecurityOps- Vérifiez que l’option Envoyer une alerte chaque fois qu’une activité correspond à la règle est sélectionnée, puis Enregistrer la règle |
| Enfin, nous voulons que cette stratégie prenne effet immédiatement pour commencer à protéger les données de l’entreprise dès que possible. | Mode de stratégie : - Sélectionnez Activer immédiatement la stratégie |
Intégration du fournisseur SASE
Importante
Vous devez disposer d’un fournisseur SASE intégré à Purview pour commencer à découvrir et à protéger le contenu partagé sur le réseau.
- Connectez-vous au portail Microsoft Purview.
- Ouvrir les paramètres (dans le coin supérieur droit) >Intégrations de protection contre la> perte de données
- Sélectionnez Prise en main de Microsoft Global Secure Access (préversion) .
- Effectuez les étapes fournies dans l’Assistant Intégration.
Étapes de création d’une stratégie
- Connectez-vous au portail Microsoft Purview.
- Sélectionnez Stratégies de protection contre la>> perte de données + Créer une stratégie.
- Sélectionnez Trafic web inline.
- Sélectionnez Personnalisé dans la liste Catégories , puis stratégie personnalisée dans la liste Réglementations .
- Cliquez sur Suivant.
- Entrez un nom de stratégie et fournissez une description facultative. Vous pouvez utiliser l’instruction d’intention de stratégie ici.
- Cliquez sur Suivant.
- Sélectionnez + Ajouter des applications cloud.
- Sélectionnez l’onglet Étendues d’application adaptatives , puis choisissez Toutes les applications IA non managées et sélectionnez Ajouter (1) .
- Sélectionnez Modifier l’étendue sur Toutes les applications IA non managées.
- Sélectionnez l’option Inclure uniquement surAjouter ou modifier l’étendue de Toutes les applications IA non managées.
- Sélectionnez + Ajouter des inclusions.
- Sélectionnez Utilisateurs et groupes spécifiques.
- Recherchez et sélectionnez le groupe De services financiers , puis sélectionnez Ajouter.
- Sélectionnez Enregistrer et fermer.
- Cliquez sur Suivant.
- Dans la page Choisir où appliquer la stratégie , vérifiez que Réseau est Activé, puis sélectionnez Suivant.
Remarque
Vous pouvez sélectionner le réseau uniquement lorsque la facturation du paiement à l’utilisation est configurée. En savoir plus sur la facturation avec paiement à l’utilisation.
- Dans la page Définir les paramètres de stratégie, vérifiez que Créer ou personnaliser des règles DLP avancées est sélectionné, puis sélectionnez Suivant.
- Dans la page Personnaliser les règles DLP avancées , sélectionnez + Créer une règle.
- Donnez à la règle un nom unique et une description facultative.
- Sous conditions
- Sélectionnez + Ajouter une condition , puis choisissez Contenu contient.
- Sélectionnez Ajouter et choisissez Types d’informations sensibles.
- Choisissez Aba Routing Number, U.S. Bank Account Number, Credit Card Number, U.S. Social Security Number (SSN) et sélectionnez Ajouter.
- Sélectionnez Ajouter et choisissez Étiquettes de confidentialité.
- Choisissez Confidentiel , puis sélectionnez Ajouter.
- Vérifiez que l’opérateur Group est défini sur L’un de ces éléments pour le groupe Contenu contient.
- Sous Actions
- Sélectionnez + Ajouter une action et choisissez Restreindre les activités du navigateur et du réseau.
- Sélectionnez Texte envoyé à ou partagé avec des applications cloud ou IA et **Fichier chargé ou partagé avec des applications cloud ou IA.
- Sélectionnez Bloquer pour les deux.
Importante
Microsoft Entra GSA Internet Access prend uniquement en charge les activités de fichiers
- Sous Rapports d’incidents
- Définissez le niveau de gravité dans les alertes et rapports d’administration sur Élevé
- Vérifiez que l’option Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit est Activée
- Sélectionnez + Ajouter ou supprimer des utilisateurs, puis choisissez le groupe de distribution SecurityOps.
- Vérifiez que l’option Envoyer une alerte chaque fois qu’une activité correspond à la règle est sélectionnée
- Sélectionnez Enregistrer.
- Passez en revue la configuration de la règle, vérifiez qu’elle est status est Activée, puis sélectionnez Suivant.
- Dans la page Mode stratégie , choisissez Activer immédiatement la stratégie , puis sélectionnez Suivant.
- Passez en revue les informations de stratégie, puis sélectionnez Envoyer pour créer la stratégie.