Partager via

Bien démarrer avec Protection contre la perte de données Microsoft Purview protection juste-à-temps

Vous pouvez utiliser la protection juste-à-temps (JIT ) de la protection contre la perte de données de point de terminaison (DLP) pour détecter et bloquer les activités de sortie sur les fichiers surveillés en attendant la fin de l’évaluation de la stratégie.

JIT audite et bloque ces activités utilisateur sur les fichiers protégés :

  • Copier sur un support amovible
  • Copier vers un partage réseau
  • Print
  • Copier ou déplacer à l’aide du protocole RDP (Remote Desktop Protocol)
  • Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
  • Copier dans le Presse-papiers : audit JIT par défaut
  • Charger dans un domaine de service cloud restreint

Lorsque l’accès JIT est activé pour les appareils, toutes les activités des utilisateurs sont auditées, même les activités des utilisateurs qui ne sont pas dans l’étendue de la stratégie. Les activités de sortie sont auditées et bloquées pour les utilisateurs qui se trouvent dans l’étendue de la stratégie.

Petits caractères

Vous devez vous familiariser avec ces termes :

  • Fichier candidat JIT : il s’agit de fichiers qui ne sont pas classifiés ou de fichiers qui sont classés pour la dernière fois avec une stratégie obsolète.
  • Audit JIT : pour le fichier candidat JIT, le point de terminaison DLP génère un événement dans l’Explorateur d’activités où le déclencheur JIT est défini sur true et le mode d’application est défini sur Audit.

Capture d’écran d’un événement de l’Explorateur d’activités JIT montrant que le JIT a déclenché défini sur true et que le mode d’application est défini sur audit

La DLP du point de terminaison ne :

  • bloquer l’activité de l’utilisateur

  • ne génère pas d’événement DLPRuleMatch

  • générer une alerte

  • Bloc JIT : pour le fichier candidat JIT, point de terminaison DLP bloque l’activité et génère un événement dans l’Explorateur d’activités si le déclencheur JIT est défini sur true et que le mode d’application est défini sur Bloquer. DLP de point de terminaison, mais ne génère pas d’événement DLPRuleMatch et ne génère pas d’alerte.

Capture d’écran d’un événement de l’Explorateur d’activités JIT montrant que j’ai déclenché défini sur true et que le mode d’application est défini sur bloquer

  • Notification JIT en cours : lorsque des utilisateurs qui sont dans l’étendue de JIT tentent une activité de sortie sur un fichier candidat JIT, endpoint DLP peut bloquer l’activité de sortie et afficher une notification toast. Ce toast est appelé toast JIT en cours.
  • Notification complète de l’évaluation JIT : lorsque la DLP de point de terminaison termine l’évaluation de stratégie pour un fichier candidat JIT, endpoint DLP affiche une notification toast pour informer l’utilisateur. Cette notification est appelée toast complet d’évaluation JIT.

Capture d’écran de la notification complète de l’évaluation JIT

S’applique à

La protection JIT pour endpoint DLP est prise en charge en mode natif sur les appareils suivants :

  • Windows 10
  • Windows 11
  • macOS (trois versions les plus récentes)

Bonne pratique pour le déploiement de la protection juste-à-temps

Remarque

Autorisez au moins une heure pour les mises à jour des paramètres JIT, y compris la désactivation de L’accès JIT pour qu’il soit envoyé aux appareils clients.

Étape 1 : Préparer votre environnement

Avant de pouvoir déployer la protection juste-à-temps, vous devez d’abord déployer le client anti-programme malveillant version 4.18.23080 ou ultérieure. L’expérience utilisateur de la protection juste-à-temps a été améliorée dans la version 4.18.25080 ou ultérieure.

Intégration page_Defender version de Mocamp

Remarque

Pour les machines avec une version obsolète du client Antimalware, nous vous recommandons de désactiver la protection juste-à-temps en installant l’une des bases de connaissances suivantes :

  1. Pour savoir quels appareils disposent du client anti-programme malveillant nécessaire, accédez à Enquête du portail> de sécurité& réponse>Repérage avancé, puis exécutez cette requête.

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

Voici un exemple de sortie de la requête.

Image de la sortie de la requête qui montre la liste du nombre d’appareils qui ont la version du client anti-programme malveillant

Vous pouvez également accéder à lapage Diagnostics de protection contre la> perte de données et sélectionner Endpoint DLP qui ne fonctionne pas carte pour case activée si un appareil spécifique a satisfait aux conditions préalables JIT ou non.

Capture d’écran du menu volant de révision diagnostics montrant la version du client anti-programme malveillant pour l’appareil sélectionné

Étape 2 : Déployer la protection JIT

  1. Connectez-vous au portail Microsoft Purview.

  2. Sélectionnez Paramètres> Protectionjuste-à-temps contrela> perte de données.

  3. Sous Choisir les emplacements à surveiller, cochez la case en regard de Appareils.

  4. Sous Action de secours en cas d’échec, sélectionnez Autoriser les utilisateurs à effectuer des actions. Cela permet à l’utilisateur d’effectuer l’action en cas d’échec de la classification.

Remarque

La DLP du point de terminaison crée des événements d’audit JIT pour toutes les activités de sortie de l’utilisateur, qu’elles soient dans l’étendue ou non.

  1. Sous Action de secours en cas d’échec, sélectionnez Autoriser les utilisateurs à effectuer des actions. Cela permet à l’utilisateur d’effectuer l’action en cas d’échec de la classification.

Attention

Ne choisissez PAS l’option Empêcher les utilisateurs d’effectuer des actions tant que vous n’avez pas pleinement compris l’impact de cette fonctionnalité.

Vous devez valider vos paramètres à chaque étape jusqu’à ce que le nombre d’événements soit stable et que vous compreniez bien la taille possible du groupe d’utilisateurs auquel vous souhaitez appliquer le mode Appliquer, en fonction des calculs de télémétrie suivants.

Étape 3 : Estimer le nombre d’événements de protection JIT pour votre déploiement

Estimez l’impact du déploiement de la protection JIT en effectuant le calcul suivant en fonction des événements dans l’explorateur d’activités :

  • N = Nombre de machines uniques qui déclenchent des événements de protection JIT.
  • S = Nombre total de machines dans l’étendue de votre déploiement.

N/S génère un pourcentage de machines qui peuvent rencontrer un événement de « blocage » de protection JIT.

Avec ces informations, vous devez savoir combien de machines seront affectées par l’implémentation du mode de blocage JIT lorsque vous étendez l’étendue, et combien de tickets de support possibles vous pouvez voir. Ensuite, vous pouvez décider d’étendre ou non l’étendue.

Étape 4 : Affiner la protection JIT via d’autres paramètres supplémentaires

En plus de revenir en cas de défaillance, comme décrit à l’étape 1, vous pouvez également utiliser les paramètres suivants pour affiner la protection JIT :

  • Contrôler la copie dans le Presse-papiers : activez cette option si vous souhaitez empêcher les utilisateurs de copier du contenu dans le Presse-papiers pendant que la protection JIT évalue le fichier.

Remarque

L’activation du contrôle de copie dans le Presse-papiers peut avoir un impact sur la productivité de l’utilisateur. Veillez à tester l’impact sur la productivité avant d’activer ce paramètre.

  • Exclusions d’applications pour Windows : les applications que vous incluez ici ne sont pas évaluées par la protection JIT sur les appareils Windows.
  • Exclusions d’applications pour Mac : les applications que vous incluez ici ne sont pas évaluées par la protection JIT sur les appareils macOS.
  • Exclusions d’extensions de fichier : les fichiers avec des extensions ajoutées ici ne sont pas évalués par la protection JIT.
  • Exclusions de chemin d’accès aux fichiers pour Windows : les fichiers situés à ces emplacements ne seront pas évalués par la protection JIT.
  • Exclusions de chemin d’accès de fichier pour Mac : les fichiers situés à ces emplacements ne sont pas évalués par la protection JIT.

Si vous souhaitez modifier l’étendue de la protection JIT après avoir paramétré tous ces paramètres, vous pouvez revenir à l’étape 2.

La différence entre le paramètre d’exclusions de chemin d’accès de fichier ici et le paramètreParamètresde protection> contre la perte de donnéesParamètres>> de point determinaison Exclusions de chemin d’accès de fichier pour Windows est la suivante :

  • Le paramètre d’exclusions de chemin d’accès de fichier exclut uniquement les chemins d’accès spécifiques de la protection JIT. Dans tous les autres cas, Microsoft Purview applique toujours la classification et la protection DLP du point de terminaison pour les fichiers de ces dossiers.
  • Le paramètre Exclusions de chemin d’accès de fichier pour Windows trouvé via la protection contre la> perte de donnéesParamètres>Paramètres> de point de terminaisonExclusions de chemin d’accès de fichier pour Windows empêche Purview d’appliquer la classification DLP du point de terminaison et la protection pour les fichiers sous les dossiers spécifiés.
  • Exclusions d’extension de fichier : les fichiers avec ces extensions ne sont pas évalués par la protection JIT.

Étape 5 : Déployer la protection JIT dans « Empêcher les utilisateurs d’effectuer des actions » pour le paramètre « Action de secours en cas d’échec »

Cette configuration contrôle le mode d’application appliqué par DLP en cas d’échec de la classification. Il ne contrôle pas le bloc JIT ou l’audit JIT pour les fichiers candidats JIT, le bloc JIT ou l’audit JIT est contrôlé par l’étendue. Quelle que soit la valeur que vous sélectionnez ici, les données de télémétrie appropriées s’affichent dans l’Explorateur d’activités.

Expérience utilisateur de la protection juste-à-temps

Il s’agit de l’expérience utilisateur avec le client anti-programme malveillant version 4.18.25080 ou ultérieure.

Reprendre la prise en charge de chaque activité

La DLP du point de terminaison reprend automatiquement ces activités si l’évaluation de la stratégie se termine dans un délai de 3 secondes :

  • Copier sur un support amovible
  • Copier vers un partage réseau

Si l’évaluation de la stratégie prend plus de 3 secondes, l’utilisateur doit répéter l’activité après l’affichage du toast complet de l’évaluation de la stratégie JIT.

L’utilisateur doit répéter ces activités une fois que endpoint DLP a terminé l’évaluation de la stratégie :

  • Print
  • Copier ou déplacer à l’aide du protocole RDP (Remote Desktop Protocol)
  • Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
  • Copier dans le Presse-papiers : audit JIT par défaut

L’utilisateur doit répéter ces activités une fois que endpoint DLP a terminé l’évaluation de la stratégie :

  • Print
  • Copier ou déplacer à l’aide du protocole RDP (Remote Desktop Protocol)
  • Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
  • Copier dans le Presse-papiers : audit JIT par défaut

Effectuer une activité sur un fichier unique

Lorsqu’un utilisateur effectue une activité sur un seul fichier DLP de point de terminaison, effectuez l’action d’audit JIT dans les cas suivants :

  • l’utilisateur n’est pas dans le paramètre Étendue JIT
  • il n’y a pas de bloc ou de bloc avec remplacement pour l’activité
  • l’activité concerne une imprimante autorisée, un média amovible autorisé, un partage réseau autorisé ou un site web autorisé
  • l’évaluation de la stratégie pour le fichier se termine dans les 5 secondes pour l’activité pour laquelle endpoint DLP prend en charge la reprise JIT. Ou si l’évaluation du fichier se termine dans les 2 secondes pour les activités pour lesquelles endpoint DLP ne prend pas en charge la reprise JIT.

La DLP de point de terminaison bloque l’activité avec notification (toujours pas d’alerte) et applique le bloc JIT uniquement lorsque l’évaluation de la stratégie prend plus de 5 secondes.

Effectuer une activité sur plusieurs fichiers

Lorsqu’un utilisateur effectue une activité sur plusieurs fichiers simultanément, le point de terminaison DLP effectue l’action d’audit JIT dans les cas suivants :

  • l’utilisateur n’est pas dans le paramètre Étendue JIT
  • il n’existe aucun bloc ou bloc avec remplacement pour l’activité effectuée
  • l’activité s’effectue sur une imprimante autorisée, sur un support amovible autorisé ou sur un partage réseau autorisé

Pour les fichiers candidats JIT, la DLP de point de terminaison déclenche l’évaluation de la stratégie et regroupe toutes les notifications pour les fichiers qui terminent l’évaluation de la stratégie dans un délai de 5 secondes pour les activités qui prennent en charge la reprise, et la DLP de point de terminaison reprend automatiquement l’activité. Si l’activité ne prend pas en charge la reprise, la DLP de point de terminaison déclenche l’évaluation de la stratégie et regroupe toutes les notifications pour les fichiers qui terminent l’évaluation de la stratégie dans les 2 secondes. Dans les deux cas, endpoint DLP ne déclenche pas de toast JIT in-progress, il affiche uniquement le verdict de stratégie final dans le toast consolidé.

  • Last updated on