Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Les graphiques de risque de données dans la gestion des risques internes fournissent une expérience d’investigation visuelle qui combine les données des ressources et des activités dans une seule vue. Grâce à l’intégration Microsoft Sentinel, il résume l’activité liée aux alertes par un insider potentiel au cours des 30 derniers jours, ce qui aide les analystes à trier les alertes en révélant des connexions contextuelles masquées.
Pour plus d’informations sur l’intégration Microsoft Sentinel, consultez En savoir plus sur Microsoft Sentinel dans Microsoft Purview.
Importante
Vous ne pouvez pas utiliser cette fonctionnalité avec le paramètre de confidentialité des noms d’utilisateur anonymes activé. Si vous avez des noms d’utilisateur anonymes, le graphique ne se charge pas.
Remarque
Administration unités ne sont pas prises en charge dans le graphique des risques de données. Si vous êtes limité à une unité d’administration, les données n’apparaissent pas dans les graphiques de risque de données.
Activités prises en charge dans le graphique des risques liés aux données
Le graphe des risques de données prend actuellement en charge les activités d’exfiltration suivantes :
- Liens anonymes créés dans SharePoint ou OneDrive
- Liens anonymes utilisés via SharePoint ou OneDrive
- Liens d’entreprise créés dans SharePoint ou OneDrive
- Téléchargements de fichiers à partir de SharePoint et OneDrive
- Fichiers renommés dans SharePoint et OneDrive
Pour plus d’informations sur les indicateurs de détection d’exfiltration, consultez Configurer les indicateurs de stratégie dans la gestion des risques internes.
Avant de commencer
Avant de pouvoir utiliser des graphiques de risque de données dans La gestion des risques internes, procédez comme suit :
- Découvrez la facturation avec paiement à l’utilisation dans Microsoft Sentinel pour votre organization.
- Configurer les prérequis pour Microsoft Sentinel lac de données et Microsoft Sentinel graphe
- Passez en revue les modifications apportées lors de l’intégration à Microsoft Sentinel lac de données et Microsoft Sentinel graphe
- Configurez au moins une stratégie de gestion des risques internes pour les activités d’exfiltration de données prises en charge.
Configurer le graphe des risques liés aux données
Importante
Vous avez toujours un lac de données. Si vous avez déjà intégré au lac de données avec un autre service Microsoft, votre lac de données existant est utilisé. Si vous n’avez jamais intégré au lac de données, l’intégration dans La gestion des risques internes permet d’Microsoft Sentinel lac de données et de graphe dans le portail Defender.
Après avoir effectué les prérequis et compris les modifications apportées Microsoft Sentinel lac de données et au graphe à votre organization, effectuez les étapes suivantes pour configurer le graphe des risques liés aux données dans La gestion des risques internes :
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
Accédez au portail Microsoft Purview avec un compte affecté au rôle Administrateur général ou Administrateur de la sécurité .
Sélectionnez la solution gestion des risques internes carte, puis sélectionnez Actions recommandées dans la navigation de gauche.
Dans la section Protection complète , sélectionnez Configurer le lac de données et le graphe des risques liés aux données.
Si vous ne disposez pas des autorisations appropriées pour configurer le lac de données, une notification s’affiche pour contacter un administrateur global ou de facturation dans votre organization.
Sous l’onglet Configurationde Configurer data lake & risk graph, configurez les paramètres suivants :
- Abonnement : entrez l’abonnement Azure que vous souhaitez utiliser. Votre abonnement sélectionné doit être valide et accessible, et vous devez être le propriétaire de l’abonnement.
- Groupe de ressources : entrez le groupe de ressources que vous souhaitez utiliser. Le groupe de ressources sélectionné doit être valide et accessible.
Importante
Une fois le lac de données approvisionné pour un abonnement et un groupe de ressources Azure spécifiques, vous ne pouvez pas le migrer vers un autre abonnement ou groupe de ressources.
Sélectionnez Configuration.
Le processus de configuration commence et l’intégration peut prendre jusqu’à 60 minutes. Vous pouvez fermer le panneau d’installation pendant que le processus est en cours d’exécution. Une fois le processus d’intégration terminé, vous voyez Terminer sur Configurer le lac de données & graphique à risque. Le graphique des risques liés aux données montre les événements qui se produisent après la création ou l’intégration de votre lac de données Microsoft Sentinel.
Le traitement initial des données et la disponibilité du graphique à risque de données pour une investigation peut prendre 24 à 48 heures.
Importante
Lorsque le graphique des risques de données est créé pour la première fois, il inclut les sept derniers jours de données. À mesure que le graphique des risques de données s’actualise au fil du temps, la fenêtre de recherche arrière s’étend jusqu’à un maximum de 30 jours. Le graphique des risques liés aux données peut prendre un certain temps pour atteindre la fenêtre complète de 30 jours. Par conséquent, attendez-vous à une croissance progressive après la configuration initiale.
Utiliser le graphique des risques liés aux données
Le graphique du risque de données dans La gestion des risques internes visualise de manière unique les corrélations entre les données impactées, les utilisateurs et leurs activités. Il fournit un contexte critique pour guider l’atténuation et les étapes suivantes. Par exemple, lorsque vous découvrez une alerte liée à un document très sensible, les graphiques de risque de données vous permettent de savoir quels utilisateurs l’ont téléchargé ou s’ils y ont accédé à partir d’une adresse IP à risque. Cette visibilité vous permet de découvrir de nouveaux nœuds pour un incident de sécurité des données, comme des utilisateurs supplémentaires ou du nouveau contenu lié à une alerte.
Pour afficher le graphique des risques liés aux données d’une alerte, vous devez avoir le rôle Lecteur du graphe de gestion des risques internes . Ce rôle est inclus par défaut dans plusieurs groupes de rôles intégrés de gestion des risques internes. Pour plus d’informations, consultez Attribuer des autorisations dans la gestion des risques internes.
Importante
Tous les noms d’utilisateur sont visibles dans le graphique des risques de données, même si le pseudonyme est activé dans les paramètres de confidentialité de la gestion des risques internes.
Pour utiliser le graphique des risques liés aux données dans La gestion des risques internes, procédez comme suit :
- Accédez au portail Microsoft Purview avec un compte affecté au rôle Lecteur de graphique de gestion des risques internes .
- Sélectionnez la solution De gestion des risques internes carte, puis sélectionnez Alertes dans la navigation de gauche.
- Sélectionnez une alerte à examiner, puis sélectionnez l’onglet Graphe des risques liés aux données .
- Filtrez l’heure selon le cas et sélectionnez des nœuds de graphe de risque de données individuels pour plus d’informations sur chaque connexion lors du triage.
- Développez les relations dans le graphique en sélectionnant l’icône + sur les utilisateurs ou les ressources.
Le graphique des risques liés aux données contient plusieurs nœuds. La sélection d’un nœud affiche des détails sur le nœud :
- Détails de l’utilisateur : affiche des informations sur les utilisateurs associés à l’alerte. Ces informations incluent des informations organization pour chaque utilisateur, notamment le nom d’utilisateur principal (UPN), les étiquettes, l’emplacement, le poste et bien plus encore.
- Détails des données : affiche des informations sur les fichiers et les sites. Ces informations incluent l’emplacement de l’objet, le type, les étiquettes, etc.
Vous pouvez afficher les informations du graphique des risques de données pour les utilisateurs en fonction des 30 derniers jours d’activité. Cette durée fixe n’est pas extensible.