Partager via

Prendre des mesures sur les cas de gestion des risques internes

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Les cas sont au cœur de la gestion des risques internes. Ils vous permettent d’examiner et d’agir sur les problèmes générés par les indicateurs de risque dans vos stratégies. Créez manuellement des cas à partir d’alertes lorsque vous devez prendre des mesures supplémentaires pour résoudre un problème lié à la conformité pour un utilisateur. Chaque cas se concentre sur un utilisateur, et vous pouvez ajouter plusieurs alertes pour cet utilisateur à un cas existant ou en démarrer un nouveau.

Après avoir examiné les détails d’un cas, vous pouvez prendre les mesures suivantes :

  • Envoi d’une notification à l’utilisateur
  • Résolution du cas comme étant sans gravité
  • Partage du cas avec votre instance ServiceNow ou avec un destinataire de l’e-mail
  • Escalade du cas pour une enquête eDiscovery (Premium)

Pour obtenir une vue d’ensemble de la façon dont vous examinez et gérez les cas dans la gestion des risques internes, consultez la vidéo Investigation et escalade des risques internes.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Tableau de bord des cas

Conseil

Pour afficher les rapports sur les cas, accédez à la page Rapports . Chaque widget de rapport de la page Rapports affiche des informations pour les 30 derniers jours :

  • Cas actifs : nombre total de cas actifs en cours d’investigation.
  • Cas au cours des 30 derniers jours : nombre total de cas créés, triés par status actif et fermé.
  • Statistiques : durée moyenne des cas actifs, exprimée en heures, en jours ou en mois.

Le tableau de bord Cas de gestion des risques internes vous permet d’afficher et d’agir sur les cas. La file d’attente de cas répertorie tous les cas actifs et fermés pour votre organization, ainsi que la status actuelle des attributs de cas suivants :

  • ID de cas : ID du cas.
  • Nom du cas : nom du cas, défini lorsque vous confirmez une alerte et créez le cas.
  • État : status du cas, Actif ou Fermé.
  • Utilisateur : l’utilisateur pour le cas. Si vous activez l’anonymisation pour les noms d’utilisateur, le portail affiche des informations anonymes.
  • Heure d’ouverture : délai qui s’écoule depuis l’ouverture du cas.
  • Nombre total d’alertes de stratégie : nombre de correspondances de stratégie incluses dans le cas. Ce nombre peut augmenter si vous ajoutez de nouvelles alertes au cas.
  • Dernière mise à jour de la casse : le temps qui s’écoule depuis que vous ajoutez une note de cas ou modifiez l’état de la casse.
  • Dernière mise à jour par : nom de l’analyste ou de l’enquêteur de gestion des risques internes qui a mis à jour le cas pour la dernière fois.

Remarque

Si vous limitez vos stratégies à une ou plusieurs unités administratives, vous ne pouvez attribuer la propriété d’un cas qu’aux utilisateurs de gestion des risques internes disposant des autorisations de groupe de rôles appropriées. L’utilisateur mis en surbrillance dans l’alerte doit être dans l’étendue de l’unité d’administration. Par exemple, si une étendue administrative s’applique uniquement aux utilisateurs en Allemagne, l’utilisateur Insider Risk Management peut uniquement voir les alertes pour les utilisateurs en Allemagne. Les administrateurs non restreints peuvent voir tous les cas pour tous les utilisateurs dans le organization.

Utilisez le contrôle De recherche pour rechercher un ID de cas ou pour rechercher un texte spécifique dans les noms de cas. Utilisez le filtre de cas pour trier les cas selon les attributs suivants :

  • Statut
  • Heure d'ouverture du cas, date de début et la date de fin
  • Dernière mise à jour, date de début et la date de fin

Affecter un cas

Si vous êtes administrateur disposant des autorisations appropriées, vous pouvez attribuer la propriété d’un cas à vous-même ou à un utilisateur de gestion des risques internes avec le rôle Gestion des risques internes, Analyste de gestion des risques internes ou Enquêteur en gestion des risques internes. Une fois que vous avez attribué un cas, vous pouvez le réaffecter à un utilisateur ayant l’un des mêmes rôles. Vous ne pouvez attribuer un cas qu’à un seul administrateur à la fois.

Si vous affectez un administrateur à un cas, vous pouvez filtrer par administrateur.

Attribuer un cas à partir du tableau de bord Cas

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Dans le tableau de bord Cas, sélectionnez les cas que vous souhaitez attribuer.
  5. Dans la barre de commandes de la file d’attente des cas, sélectionnez Attribuer.
  6. Dans le volet Affecter un propriétaire sur le côté droit de l’écran, recherchez un administrateur disposant des autorisations appropriées, puis cochez la case pour cet administrateur.
  7. Sélectionnez Affecter.

Attribuer un cas à partir de la page détails des cas

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Sélectionnez un cas.
  5. Dans le volet d’informations du cas, sélectionnez Attribuer.
  6. Dans la liste Contacts suggérés , sélectionnez l’administrateur approprié.

Filtrer les cas

Selon le nombre et le type de stratégies de gestion des risques internes actives dans votre organization, l’examen d’une grande file d’attente de cas peut être difficile. En utilisant des filtres de cas, les analystes et les enquêteurs peuvent trier les cas selon plusieurs attributs. Pour filtrer les alertes dans le tableau de bord Cas, sélectionnez le contrôle Filtrer . Vous pouvez filtrer les cas par un ou plusieurs attributs :

  • État : sélectionnez une ou plusieurs valeurs status pour filtrer la liste des cas. Les options sont Actif et Fermé.
  • Heure d’ouverture du cas : sélectionnez les dates de début et de fin de l’ouverture du cas.
  • Dernière mise à jour : sélectionnez les dates de début et de fin de la mise à jour du cas.

Filtrer les cas, enregistrer une vue d’un jeu de filtres, personnaliser des colonnes ou rechercher des alertes

Selon le nombre et le type de stratégies de gestion des risques internes actives dans votre organization, l’examen d’une grande file d’attente de cas peut être difficile. Pour vous aider à suivre les cas, vous pouvez :

  • Filtrer les cas par différents attributs.
  • Enregistrez une vue d’un jeu de filtres à réutiliser ultérieurement.
  • Afficher ou masquer des colonnes.
  • Recherchez une alerte.

Filtrer les cas

  1. Sélectionnez Ajouter un filtre.

  2. Sélectionnez un ou plusieurs des attributs suivants :

    Attribut Description
    Affectée à Administrateur auquel l’alerte est affectée pour le triage (le cas échéant).
    Dernière mise à jour du cas Dates de début et de fin de la dernière mise à jour du cas.
    État Status actuelle du cas. Les options sont Actif et Fermé.
    Cas d’heure d’ouverture Dates de début et de fin de l’ouverture du dossier.

    La barre de filtre affiche les attributs que vous sélectionnez.

  3. Sélectionnez un attribut dans la barre de filtre, puis sélectionnez une valeur par laquelle filtrer. Par exemple, sélectionnez l’attribut Date de la dernière activité , entrez ou sélectionnez les dates dans les champs Date de début et Date de fin , puis sélectionnez Appliquer.

    Conseil

    Pour recommencer à tout moment, sélectionnez Réinitialiser tout dans la barre de filtre.

Enregistrer une vue d’un jeu de filtres à réutiliser ultérieurement

  1. Après avoir appliqué les filtres décrits dans la procédure précédente, sélectionnez Enregistrer sur la barre de filtres, entrez un nom pour le jeu de filtres, puis sélectionnez Enregistrer.

    Le jeu de filtres apparaît sous la forme d’un carte sur la barre de filtre. Il inclut un nombre qui indique le nombre de cas qui répondent aux critères du jeu de filtres.

    Remarque

    Vous pouvez enregistrer jusqu’à cinq jeux de filtres. Pour supprimer un jeu de filtres, sélectionnez les points de suspension (trois points) dans le coin supérieur droit du carte, puis sélectionnez Supprimer.

  2. Pour réappliquer un jeu de filtres enregistré, sélectionnez le carte pour le jeu de filtres.

Afficher ou masquer des colonnes

  1. Sur le côté droit de la page, sélectionnez Personnaliser les colonnes.

  2. Activez ou désactivez les cases à cocher pour les colonnes que vous souhaitez afficher ou masquer.

Les paramètres de colonne sont enregistrés entre les sessions et les navigateurs.

Rechercher des alertes

Utilisez le contrôle De recherche pour rechercher un nom d’utilisateur principal (UPN), un nom d’administrateur attribué ou un ID d’alerte.

Examiner un cas

Une investigation plus approfondie des alertes de gestion des risques internes est essentielle pour prendre les mesures correctives appropriées. Les cas de gestion des risques internes sont l’outil de gestion central qui permet d’approfondir l’historique des activités à risque des utilisateurs, les détails des alertes, la séquence des événements à risque et d’explorer le contenu et les messages exposés aux risques. Les analystes des risques et les enquêteurs utilisent également des cas pour centraliser les commentaires et les notes de révision et pour traiter la résolution des cas.

La sélection d’un cas ouvre les outils de gestion des cas et permet aux analystes et aux enquêteurs d’approfondir les détails des cas.

Présentation du cas

L’onglet Vue d’ensemble des cas résume les détails du cas pour les analystes des risques et les enquêteurs. Il inclut les informations suivantes dans la zone À propos de ce cas :

  • ID de cas : ID du cas.
  • État : le status actuel du cas, Actif ou Fermé.
  • Case created on : date et heure de création du cas.
  • Score de risque de l’utilisateur : niveau de risque calculé actuel de l’utilisateur pour le cas. Le système calcule ce score toutes les 24 heures et utilise les scores de risque d’alerte de toutes les alertes actives associées à l’utilisateur. Lorsque l’utilisateur est détecté comme un utilisateur potentiel à fort impact ou que l’utilisateur est membre d’un groupe d’utilisateurs prioritaires le rappel des risques est activé en tant que boosters de score de risque dans la section Indicateurs de stratégie de la page des paramètres Gestion des risques internes, la page Détails de l’utilisateur inclut des informations détaillées sur le niveau de risque calculé de l’utilisateur.
  • Email : alias d’e-mail de l’utilisateur pour le cas.
  • Organisation ou service : organization ou service auquel l’utilisateur est affecté.
  • Nom du gestionnaire : nom du responsable de l’utilisateur.
  • Adresse e-mail du responsable : alias d’e-mail du responsable de l’utilisateur.

Détails du cas de gestion des risques internes

L’onglet Vue d’ensemble des cas inclut également une section Alertes qui inclut les informations suivantes sur les alertes de correspondance de stratégie associées au cas :

  • Correspondances de stratégie : nom de la stratégie de gestion des risques internes associée aux alertes de correspondance pour les activités potentiellement risquées des utilisateurs susceptibles d’entraîner un incident de sécurité.
  • État : état de l’alerte.
  • Gravité : gravité de l’alerte.
  • Heure détectée : temps écoulé depuis la génération de l’alerte.

Alertes

L’onglet Alertes récapitule les alertes actuelles incluses dans le cas. Vous pouvez ajouter de nouvelles alertes à un cas existant. Lorsque vous attribuez de nouvelles alertes, la file d’attente d’alertes les inclut. La file d’attente répertorie les attributs d’alerte suivants :

  • Alerte
  • ID d’alerte
  • État
  • Severity
  • Heure détectée

Sélectionnez une alerte dans la file d’attente pour afficher la page détails de l’alerte .

Utilisez le contrôle de recherche pour rechercher un ID d’alerte ou un texte spécifique dans les noms d’alerte. Utilisez le filtre d’alerte pour trier les cas selon les attributs suivants :

  • État
  • Severity
  • Heure détectée, la date de début et la date de fin

Utilisez le contrôle de filtre pour filtrer les alertes selon plusieurs attributs, notamment :

  • État : sélectionnez une ou plusieurs valeurs status pour filtrer la liste des alertes. Les options sont Confirmé, Fermé, Révision requiseet Résolu.
  • Gravité : sélectionnez un ou plusieurs niveaux de gravité de risque d’alerte pour filtrer la liste des alertes. Les options disponibles sont Élevée, Moyenneet Faible.
  • Heure détectée : sélectionnez les dates de début et de fin de la création de l’alerte.
  • Stratégie : sélectionnez une ou plusieurs stratégies pour filtrer les alertes générées par les stratégies sélectionnées.

Activité utilisateur

L’onglet Activité de l’utilisateur permet aux analystes des risques et aux enquêteurs d’examiner les détails de l’activité des utilisateurs. Il fournit une représentation visuelle de toutes les activités potentiellement risquées associées aux alertes et aux cas à risque. Utilisez ces informations pour déterminer si ces activités à risque peuvent entraîner un incident de sécurité. Par exemple, dans le cadre du processus de triage des alertes, les analystes peuvent avoir besoin d’examiner toutes les activités à risque associées au cas pour plus de détails. Dans les cas, les enquêteurs sur les risques peuvent examiner les détails de l’activité des utilisateurs et le graphique en bulles pour mieux comprendre l’étendue globale des activités à risque associées au cas. Pour plus d’informations sur le graphique d’activité utilisateur, consultez l’article Activités de gestion des risques internes .

Explorateur d’activités (préversion)

L’onglet Explorateur d’activités permet aux analystes des risques et aux enquêteurs d’examiner les détails de l’activité de cas associées aux alertes à risque. Par exemple, dans le cadre des mesures de gestion de cas, les enquêteurs et les analystes peuvent avoir besoin d’examiner toutes les activités à risque associées au cas pour plus de détails. Avec l’Explorateur d’activités, les réviseurs peuvent rapidement examiner une chronologie d’activités potentiellement à risque détectées et identifier et filtrer toutes les activités à risque associées aux alertes.

Pour plus d’informations sur l’Explorateur d’activités, consultez l’article Activités de gestion des risques internes .

Preuve d’investigation

L’onglet Preuves judiciaires permet aux enquêteurs sur les risques d’examiner les captures visuelles associées aux activités à risque incluses dans les cas. Par exemple, dans le cadre des actions de gestion de cas, les enquêteurs peuvent avoir besoin d’aider à clarifier le contexte de l’activité des utilisateurs en cours d’examen. L’affichage des clips réels de l’activité peut aider l’enquêteur à déterminer si l’activité de l’utilisateur est potentiellement risquée et peut entraîner un incident de sécurité.

Pour plus d’informations sur les preuves d’investigation, consultez l’article En savoir plus sur les preuves d’investigation de gestion des risques internes.

Explorateur de contenu

L’onglet Explorateur de contenu permet aux enquêteurs des risques d’examiner des copies de tous les fichiers et messages électroniques associés aux alertes à risque. Par exemple, si une alerte est créée lorsqu’un utilisateur télécharge des centaines de fichiers à partir de SharePoint Online et que l’activité déclenche une alerte de stratégie, le cas capture et copie tous les fichiers téléchargés pour l’alerte dans le cas De gestion des risques internes à partir de sources de stockage d’origine.

L’Explorateur de contenu est un outil puissant avec des fonctionnalités de recherche et de filtrage de base et avancées. Pour en savoir plus sur l’utilisation de l’Explorateur de contenu, consultez Explorateur de contenu gestion des risques internes.

Explorateur de contenu dans le cas de gestion des risques internes.

Notes sur le cas

Les analystes des risques et les enquêteurs utilisent l’onglet Notes de cas dans un cas pour partager des commentaires, des commentaires et des insights sur leur travail pour le cas. Les notes sont des ajouts permanents à un cas. Après avoir enregistré une note, vous ne pouvez pas la modifier ou la supprimer. Lorsque vous créez un cas à partir d’une alerte, les commentaires que vous entrez dans la boîte de dialogue Confirmer l’alerte et créer un cas à risque interne deviennent automatiquement une note de cas.

Le tableau de bord des notes de cas affiche les notes de l’utilisateur qui a créé la note et le temps qui s’écoule depuis l’enregistrement de la note. Pour rechercher un mot clé spécifique dans le champ de texte de note de cas, utilisez Rechercher dans le tableau de bord de cas et entrez un mot clé spécifique.

Ajouter une note de cas

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Sélectionnez un cas, puis sélectionnez l’onglet Notes de cas .
  5. Sélectionnez Ajouter une note de casse.
  6. Dans la boîte de dialogue Ajouter une note de casse , tapez la note.
  7. Sélectionnez Enregistrer pour ajouter la note au cas.

Contributeurs

L’onglet Contributeurs dans le cas est l’endroit où les analystes et les enquêteurs peuvent ajouter d’autres réviseurs au cas. Par défaut, tous les utilisateurs auxquels sont attribués les rôles Enquêteurs de gestion des risquesinternes et Gestion des risques internes sont répertoriés en tant que contributeurs pour chaque cas actif et fermé.

Vous pouvez accorder un accès temporaire à un cas en ajoutant un utilisateur en tant que contributeur, mais avec les restrictions suivantes :

  • Les analystes et les enquêteurs peuvent ajouter des contributeurs.
  • Vous ne pouvez pas ajouter d’analystes en tant que contributeurs.
  • Les contributeurs ne peuvent pas ajouter de contributeurs.

Les contributeurs disposent de tous les contrôles de gestion de cas sur le cas spécifique, à l’exception des éléments suivants :

  • Autorisation de confirmer ou d’ignorer les alertes.
  • Autorisation de modifier les contributeurs pour les cas.

Ajouter un contributeur à un cas

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Sélectionnez un cas, puis sélectionnez l’onglet Contributeurs .
  5. Sélectionnez Ajouter contributeur.
  6. Dans la boîte de dialogue Ajouter contributeur, commencez à taper le nom de l’utilisateur que vous souhaitez ajouter, puis sélectionnez l’utilisateur dans la liste des utilisateurs suggérés. Cette liste provient de l’ID Microsoft Entra de votre abonnement client.
  7. Sélectionnez Ajouter pour ajouter l’utilisateur en tant que contributeur.

Actions de cas

Les enquêteurs sur les risques peuvent agir sur un cas selon l’une des méthodes suivantes, en fonction de la gravité du cas, de l’historique des risques de l’utilisateur et des directives relatives aux risques de votre organization. Dans certains cas, vous devrez peut-être faire remonter un cas à un utilisateur ou une enquête sur les données pour collaborer avec d’autres zones de votre organization et approfondir les activités à risque. La gestion des risques internes est étroitement intégrée à d’autres solutions Microsoft Purview pour vous aider à gérer la résolution de bout en bout.

Envoyer une notification par e-mail

Dans la plupart des cas, les actions utilisateur qui créent des alertes à risque interne sont accidentelles ou accidentelles. L’envoi d’un avis de rappel à l’utilisateur par e-mail est une méthode efficace pour documenter l’examen et l’action de cas. Cette méthode rappelle aux utilisateurs les stratégies d’entreprise ou les oriente vers une formation de mise à jour. Vous générez des avis à partir de modèles de notification que vous créez pour votre infrastructure de gestion des risques internes.

N’oubliez pas que l’envoi d’un avis par e-mail à un utilisateur ne résout pas le cas comme étant Fermé. Dans certains cas, vous pouvez laisser un cas ouvert après avoir envoyé un avis à un utilisateur pour rechercher d’autres activités à risque sans ouvrir de nouveau cas. Si vous souhaitez résoudre un cas après l’envoi d’une notification, sélectionnez Résoudre le cas comme étape de suivi après l’envoi d’un avis.

Envoyer une notification à l’utilisateur affecté à un cas

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Sélectionnez un cas, puis sélectionnez Envoyer une notification par e-mail dans la barre d’outils de l’action de cas.
  5. Dans la boîte de dialogue Envoyer une notification par e-mail , sélectionnez le contrôle de liste déroulante Choisir un modèle d’avis pour sélectionner le modèle d’avis pour l’avis. Cette sélection préremplit les autres champs de l’avis.
  6. Passez en revue les champs d’avis et mettez à jour le cas échéant. Les valeurs que vous entrez remplacent les valeurs du modèle.
  7. Sélectionnez Envoyer pour envoyer l’avis à l’utilisateur. Tous les avis envoyés sont ajoutés à la file d’attente des notes de cas dans le tableau de bord Notes de cas.

Réaffecter pour examen

Augmentez le cas pour l’enquête de l’utilisateur lorsque vous avez besoin d’un examen juridique supplémentaire pour l’activité à risque de l’utilisateur. Cette escalade ouvre un nouveau cas Microsoft Purview eDiscovery (Premium) dans votre organization Microsoft 365. La découverte électronique (Premium) fournit un flux de travail de bout en bout pour préserver, collecter, examiner, analyser et exporter le contenu qui répond aux enquêtes juridiques internes et externes de votre organisation. Il permet également à votre équipe juridique de gérer l’ensemble du flux de travail de notification de conservation légale pour communiquer avec les conservateurs impliqués dans un cas. L’escalade à un cas eDiscovery (Premium) à partir d’un cas de gestion des risques internes aide votre équipe juridique à prendre les mesures appropriées et à gérer la conservation du contenu. Pour plus d’informations sur les cas eDiscovery (Premium), consultez Vue d’ensemble de Microsoft Purview eDiscovery (Premium).

Faire remonter un cas à une enquête utilisateur

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Sélectionnez un cas, puis sélectionnez Escalader pour investigation dans la barre d’outils d’action de cas.
  5. Dans la boîte de dialogue Escalader pour l’examen , entrez un nom pour la nouvelle investigation utilisateur. Si nécessaire, entrez des notes sur le cas, puis sélectionnez Escalader.
  6. Passez en revue les champs d’avis et mettez à jour le cas échéant. Les valeurs que vous entrez remplacent les valeurs du modèle.
  7. Sélectionnez Confirmer pour créer le cas d’investigation utilisateur.

Après avoir fait remonter le cas de gestion des risques internes à un nouveau cas d’enquête utilisateur, vous pouvez examiner le nouveau cas dans la zone eDiscovery>Advanced du portail Microsoft Purview.

Exécuter des tâches automatisées avec des flux Power Automate pour le cas

À l’aide des flux Power Automate recommandés, les enquêteurs et les analystes des risques peuvent rapidement prendre des mesures pour :

  • Demander des informations aux RH ou à l’entreprise sur un utilisateur dans un cas de risque interne.
  • Avertir le responsable lorsqu’un utilisateur a une alerte de risque interne.
  • Créez un enregistrement pour un cas de gestion des risques internes dans ServiceNow.
  • Avertir les utilisateurs lorsqu’ils sont ajoutés à une stratégie de risque interne.

Pour exécuter, gérer ou créer des flux Power Automate pour un cas de gestion des risques internes :

  1. Sélectionnez Automatiser dans la barre d’outils de l’action de cas.
  2. Choisissez le flux Power Automate à exécuter, puis sélectionnez Exécuter le flux.
  3. Une fois le flux terminé, sélectionnez Terminé.

Pour plus d’informations sur les flux Power Automate pour la gestion des risques internes, consultez Prise en main des paramètres de gestion des risques internes.

Afficher ou créer une équipe Microsoft Teams pour le cas

Lorsque vous activez l’intégration de Microsoft Teams pour la gestion des risques internes dans les paramètres, la solution crée automatiquement une équipe Microsoft Teams chaque fois que vous confirmez une alerte et créez un cas. Les enquêteurs et analystes des risques peuvent rapidement ouvrir Microsoft Teams et accéder directement à l’équipe pour un cas en sélectionnant Afficher l’équipe Microsoft Teams dans la barre d’outils d’action de cas.

Pour les cas que vous ouvrez avant d’activer l’intégration de l’équipe Microsoft, les enquêteurs et les analystes des risques peuvent créer une équipe Microsoft Teams pour un cas en sélectionnant Créer une équipe Microsoft Teams dans la barre d’outils action de cas.

Lorsque vous résolvez un cas, la solution archive automatiquement l’équipe Microsoft associée (la masque et la transforme en lecture seule).

Pour plus d’informations sur Microsoft Teams pour la gestion des risques internes, consultez Prise en main des paramètres de gestion des risques internes.

Résoudre le cas

Une fois que les analystes des risques et les enquêteurs ont terminé leur examen et leur enquête, résolvez un cas pour agir sur toutes les alertes actuellement incluses dans le cas. La résolution d’un cas ajoute une classification de résolution, modifie l’status de cas sur Fermé et ajoute automatiquement les raisons de l’action de résolution à la file d’attente des notes de cas dans le tableau de bord Notes de cas. Résolvez les cas comme suit :

  • Inoffensif : classification des cas où les alertes de correspondance de stratégie sont évaluées comme étant à faible risque, non graves ou faux positifs.
  • Violation de stratégie confirmée : classification pour les cas où les alertes de correspondance de stratégie sont évaluées comme risquées, graves ou le résultat d’une intention malveillante.

Résoudre un cas

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
  2. Accédez à la solution de gestion des risques internes .
  3. Sélectionnez Cas dans le volet de navigation de gauche.
  4. Sélectionnez un cas, puis sélectionnez Résoudre le cas dans la barre d’outils d’action de cas.
  5. Dans la boîte de dialogue Résoudre le cas , sélectionnez le contrôle de liste déroulante Résoudre en tant que pour sélectionner la classification de résolution du cas. Les options sont Une violation de stratégie sans gravité ou Une violation de stratégie confirmée.
  6. Dans la boîte de dialogue Résoudre le cas , entrez les raisons de la classification de résolution dans le champ de texte Action entreprise .
  7. Sélectionnez Résoudre pour fermer le cas.
  • Last updated on