Partager via

Limites de la gestion des risques internes

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Cet article décrit les limites dans Gestion des risques internes Microsoft Purview.

Paramètres globaux

Option Limite
Limites de la période de recherche arrière (Exchange Online). 10 jours
Limites de période de recherche pour tous les autres signaux. 90 jours
Nombre maximal d’indicateurs personnalisés. 10
Nombre maximal de champs par indicateur personnalisé. 20
Nombre maximal d’éléments dans un groupe de détection 200
Nombre maximal d’éléments dans chaque liste d’exclusion globale (domaines, sites SharePoint, chemins d’accès aux fichiers, mots clés et types de fichiers). 500 pour chaque liste
Nombre maximal d’utilisateurs que vous pouvez ajouter à un groupe d’utilisateurs prioritaire. 10 000
Nombre maximal de variantes par indicateur. 3

Déclencheurs (par jour calendrier UTC)

Option Limite
Indicateurs personnalisés 15 000
Tous les autres déclencheurs 5,000
Tous les signaux collectés via le connecteur RH 15 000
Volume de déclencheur maximal pour un organization 50 000
Compte d’utilisateur supprimé de Microsoft Entra ID 15 000

Remarque

Les limitations s’appliquent à chaque type de déclencheur individuel.

Nombre maximal d’utilisateurs dans l’étendue d’un modèle de stratégie

Nom du modèle Limite
Fuites de données par des utilisateurs prioritaires 1 000
Fuites de données par des utilisateurs à risque 7 500
Fuites de données 15 000
Vol de données par des employés quittant votre organisation 20,000
Preuve d’investigation Illimité
Mauvaise utilisation des données des patients (préversion) 5,000
Utilisation risquée de l’IA 10 000
Utilisation risquée du navigateur (préversion) 7 000
Violations de stratégie de sécurité par des utilisateurs quittant l’entreprise 15 000
Violations de la stratégie de sécurité par des utilisateurs prioritaires 1 000
Violations de stratégie de sécurité par les utilisateurs à risque 7 500
Violations de stratégie de sécurité 1 000

Remarque

Vous pouvez ajouter un nombre quelconque d’utilisateurs à une stratégie. La limite s’applique aux utilisateurs dans l’étendue d’un modèle de stratégie (utilisateurs placés dans l’étendue après un événement de déclenchement).

Autres limites de stratégie

Option Limite
Nombre maximal de stratégies que vous pouvez créer par type de modèle. 100
Nombre maximal d’extensions de fichier prioritaires. 50
Nombre maximal de types d’informations sensibles prioritaires. 50
Nombre maximal d’étiquettes de confidentialité de priorité. 50
Nombre maximal de sites prioritaires. 50
Nombre maximal de classifieurs pouvant être formés en priorité. 5

Remarque

La colonne Utilisateurs dans l’étendue sous l’onglet Stratégies indique le nombre d’utilisateurs inclus pour une stratégie.

Protection adaptative

Option Limite
Nombre maximal d’utilisateurs que vous pouvez inclure dans une stratégie de protection contre la perte de données (DLP) pour chaque niveau de risque. 10 000

Scoring utilisateur manuel

Option Limite
Nombre maximal d’utilisateurs que vous pouvez noter manuellement. 4 000

Cas

Option Limite
Nombre maximal de cas actifs. 100

Exportation

Option Limite
Nombre maximal d’alertes que vous pouvez exporter à partir de la page Alertes . 1 000
Nombre maximal de journaux que vous pouvez exporter vers un fichier CSV à partir de l’Explorateur d’activités. 100 000
Nombre maximal d’utilisateurs que vous pouvez exporter à partir de la page Utilisateurs . 1 000

Limites de rétention pour les alertes, les cas et les artefacts associés

À mesure que les alertes de gestion des risques internes vieillissent, leur valeur pour réduire les activités potentiellement risquées diminue pour la plupart des organisations. À l’inverse, les cas actifs et les artefacts associés (alertes, insights, activités) sont toujours précieux pour les organisations et ne doivent pas avoir de date d’expiration automatique. Cette valeur inclut toutes les alertes et artefacts futurs dans un status actif pour tout utilisateur associé à un cas actif.

Pour réduire le nombre d’éléments plus anciens qui fournissent une valeur actuelle limitée, les limites de rétention suivantes s’appliquent pour les alertes, les cas et les rapports utilisateur de gestion des risques internes :

Option Période de rétention
Cas actifs (et artefacts associés) Rétention indéfinie, n’expire jamais.
Alertes avec des besoins en révision ou des status ignorées 120 jours après la création de l’alerte, puis automatiquement supprimée.
Cas résolus (et artefacts associés) 120 jours après la résolution de l’incident, puis automatiquement supprimé.
Rapports d’activités utilisateur 120 jours après la création du rapport, puis automatiquement supprimé.

Connecteurs

Option Limite
Nombre maximal d’enregistrements dans le fichier JSON que l’API traite 50 000
  • Last updated on