Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Vous pouvez partager des données à partir de la gestion des risques internes des manières suivantes :
- Exportez les informations d’alerte vers des solutions SIEM.
- Partagez les alertes et les niveaux de gravité des risques utilisateur avec Microsoft Defender XDR.
- Partagez les niveaux de gravité des risques utilisateur avec les alertes de protection contre la perte de données (DLP).
Exporter des informations d’alerte vers des solutions SIEM
Vous pouvez exporter Gestion des risques internes Microsoft Purview informations d’alerte vers des solutions SIEM (Security Information and Event Management) et SOAR (Security Orchestration Automated Response) à l’aide du schéma de l’API Activité de gestion Office 365. Utilisez les API d’activité de gestion Office 365 pour exporter des informations d’alerte vers d’autres applications que votre organization utilise pour gérer ou agréger les informations sur les risques internes. Les informations d’alerte sont exportées et disponibles toutes les 60 minutes via les API d’activité de gestion Office 365.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Si votre organization utilise Microsoft Sentinel, vous pouvez également utiliser le connecteur de données gestion des risques internes prête à l’emploi pour importer des informations d’alerte de risque interne dans Microsoft Sentinel. Pour plus d’informations, consultez Gestion des risques internes dans l’article Microsoft Sentinel.
Importante
Pour maintenir l’intégrité référentielle pour les utilisateurs qui ont des alertes ou des cas de risque interne dans Microsoft 365 ou d’autres systèmes, l’anonymisation des noms d’utilisateur n’est pas conservée pour les alertes exportées lors de l’utilisation de l’API d’exportation ou lors de l’exportation vers Microsoft Purview eDiscovery solutions. Les alertes exportées affichent les noms d’utilisateur de chaque alerte dans ce cas. Si vous exportez vers des fichiers CSV à partir d’alertes ou de cas, l’anonymisation est conservée.
Utiliser les API pour passer en revue les informations d’alerte de risque interne
- Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
- Sélectionnez Paramètres dans le coin supérieur droit de la page.
- Sélectionnez Gestion des risques internes pour accéder aux paramètres de gestion des risques internes.
- Sélectionnez Exporter les alertes. Par défaut, ce paramètre est désactivé pour votre organization Microsoft 365.
- Activez le paramètre.
- Filtrez les activités d’audit Office 365 courantes par SecurityComplianceAlerts.
- Filtrez SecurityComplianceAlerts par la catégorie InsiderRiskManagement .
Les informations d’alerte contiennent des informations provenant du schéma des alertes de sécurité et de conformité de l’API activité de gestion Office 365 et du schéma commun. Les champs et valeurs suivants sont exportés pour les alertes de gestion des risques internes pour le schéma commun :
- CreationTime
- ID
- Opération
- OrganizationId
- RecordType
- UserId
- UserKey
- UserType
Partager les niveaux de gravité des alertes avec d’autres solutions de sécurité Microsoft
Vous pouvez partager les niveaux de gravité des alertes à partir de La gestion des risques internes pour apporter un contexte utilisateur unique aux expériences d’investigation d’alerte dans les solutions de sécurité Microsoft suivantes :
- Microsoft Defender XDR
- Conformité des communications Microsoft Purview
- Protection contre la perte de données Microsoft Purview (DLP)
Insider Risk Management analyse les activités des utilisateurs sur une période de 90 à 120 jours et recherche les comportements anormaux au cours de cette période. L’ajout de ces données à d’autres solutions de sécurité améliore les données disponibles dans ces solutions pour aider les analystes à hiérarchiser les alertes.
Conseil
Les niveaux de gravité des alertes dans La gestion des risques internes sont différents des niveaux de risque internes définis dans la protection adaptative.
- Les niveaux de gravité des alertes (faible, moyen ou élevé) sont attribués aux utilisateurs en fonction de l’activité détectée dans les stratégies de gestion des risques internes. Le système calcule ces niveaux à partir des scores de risque d’alerte attribués à toutes les alertes actives associées à l’utilisateur. Ces niveaux aident les analystes des risques internes et les enquêteurs à hiérarchiser l’activité des utilisateurs et à y répondre en conséquence.
- Les niveaux de risque internes (élevés, modérés ou mineurs) dans la protection adaptative mesurent le risque déterminé par des conditions définies par l’administrateur, telles que le nombre d’activités d’exfiltration effectuées par les utilisateurs au cours d’une journée ou si leur activité a généré une alerte de risque interne de gravité élevée.
Configuration requise
Pour partager les niveaux de risque utilisateur de gestion des risques internes avec d’autres solutions de sécurité Microsoft, l’utilisateur doit remplir les conditions suivantes :
- Faire partie d’une stratégie de gestion des risques internes.
- Effectuez des activités d’exfiltration qui amènent l’utilisateur dans l’étendue de la stratégie.
- Pour le partage avec DLP : disposez d’autorisations d’alerte DLP. Une fois le paramètre De partage de données activé, les utilisateurs disposant d’autorisations d’alerte DLP peuvent accéder au contexte De gestion des risques internes pour l’investigation des alertes DLP et pour la page Utilisateurs Microsoft Defender XDR. Les utilisateurs disposant d’autorisations De gestion des risques internes peuvent également accéder à ces données.
- Pour le partage avec la conformité des communications : vous devez attribuer le rôle Analyste de conformité des communications ou Enquêteur de conformité des communications pour afficher les niveaux de gravité des risques utilisateur et l’historique des activités dans Conformité des communications.
Conseil
Si vous avez accès aux alertes DLP dans Microsoft Purview et/ou Microsoft Defender, vous pouvez afficher le contexte utilisateur à partir de La gestion des risques internes partagé avec ces solutions.
Partager des données avec d’autres solutions de sécurité Microsoft
Vous pouvez partager les niveaux de gravité des alertes de gestion des risques internes avec d’autres solutions de sécurité Microsoft en activant un seul paramètre.
- Dans Paramètres de gestion des risques internes, sélectionnez le paramètre Partage de données .
- Sous la section Partage de données avec d’autres solutions de sécurité Microsoft , activez le paramètre .
Remarque
Si vous n’activez pas ce paramètre, la valeur affichée dans la colonne Gravité des risques internes des alertes DLP est « Les données utilisateur ne sont pas disponibles » et s’affiche sous la forme « Activité à risque interne non disponible » dans Conformité des communications.
Que se passe-t-il lorsque vous partagez les niveaux de gravité des alertes De gestion des risques internes ?
En Microsoft Defender XDR
Le partage des données d’alerte dans le portail Microsoft Defender est essentiel pour protéger les informations sensibles de votre organization et maintenir la sécurité. Les analystes du centre des opérations de sécurité (SOC) peuvent :
- Examinez les alertes de gestion des risques internes dans la file d’attente d’alertes Microsoft Defender.
- Examinez les alertes de gestion des risques internes corrélées avec les alertes provenant d’autres sources de détection telles que la protection contre la perte de données, Microsoft Defender pour Identity, Microsoft Defender pour Office, etc. dans la file d’attente des incidents Microsoft Defender XDR.
- Exécutez des requêtes de repérage avancé sur deux nouvelles tables contenant des données d’alerte de gestion des risques internes.
- Exportez des données d’alerte de gestion des risques internes enrichies via Microsoft API Graph.
- Afficher la gravité de la gestion des risques internes pour un utilisateur pendant le tri de votre alerte. Un champ Gravité des risques internes est ajouté à la page Utilisateurs pour les utilisateurs qui ont un niveau de risque élevé, moyen ou faible dans la gestion des risques internes. Ces données sont disponibles pour tous les utilisateurs disposant d’une alerte de gestion des risques internes active. Un résumé de l’activité à risque interne et un chronologie d’activité pour cet utilisateur s’affichent sur le côté droit de la page Utilisateurs.
Migration des API d’activité de gestion Office 365 vers les API Microsoft Graph
Vous pouvez accéder aux métadonnées d’alerte de gestion des risques internes via l’API d’activité de gestion des Office 365. Toutefois, API Graph fournit des métadonnées plus riches et une prise en charge bidirectionnelle. Nous vous recommandons de migrer vers API Graph pour intégrer des données de gestion des risques internes à vos systèmes d’entreprise.
Le tableau suivant récapitule les paramètres d’API d’activité de gestion Office 365 les plus courants et le paramètre microsoft API Graph équivalent :
| Paramètre de l’API d’activité de gestion Office 365 | Paramètre microsoft API Graph |
|---|---|
| Paramètre d’alerte | Aucun paramètre équivalent |
| AlertId | ID |
| Catégorie | ServiceSource |
| Commentaires | Aucun paramètre équivalent |
| Data | Evidence.useraccount.userPrincipalName(avec suffixe) |
| Nom | AlertPolicyName |
| PolicyId | AlertPolicyId |
| Severity | Severity |
| Source | DetectionSource |
| Statut | Statut |
| Version | Aucun paramètre équivalent |
Pour un mappage de schéma détaillé, consultez le schéma Defender XDR dans l’API d’activité de gestion des Office 365 et Microsoft API Graph.
Intégration de la gestion des risques internes aux opérations de sécurité ServiceNow
ServiceNow fournit des intégrations pour se connecter aux technologies de sécurité Microsoft à l’aide de Microsoft Graph. Ces solutions incluent Microsoft Sentinel, Microsoft Defender Advanced Threat Protection et Azure Advanced Threat Protection. Cette intégration vous permet d’accéder à des informations précieuses à partir des produits Microsoft et vous aide à gérer efficacement les incidents de sécurité et à y répondre de manière centralisée à l’aide de la plateforme ServiceNow. Les données d’alerte Insider Risk Management sont accessibles en dehors de l’environnement Microsoft Purview via l’API de sécurité Microsoft Graph.
Pour partager des données d’alerte de gestion des risques internes avec ServiceNow, procédez comme suit :
- Obtenir l’intégration de l’ingestion des alertes microsoft Graph API de sécurité pour les opérations de sécurité
- Suivez la documentation ServiceNow pour configurer ou créer un profil pour l’intégration de l’ingestion d’alerte Microsoft Graph API de sécurité.
Pour plus d’informations, consultez Examiner les menaces à risque internes dans le portail Microsoft Defender.
Dans Alertes de conformité des communications
Pour chaque correspondance de stratégie de conformité des communications , vous pouvez afficher la gravité des risques liés à l’utilisateur associée à l’expéditeur. Affichez ces informations sous l’onglet Activité de l’utilisateur dans communication pour l’alerte. Cette vue fournit le profil de risque, les correspondances de stratégie et les activités utilisateur capturées par la gestion des risques internes et la conformité des communications.
Les niveaux de gravité sont classés comme élevé, moyen, faible ou aucun.
Pour les niveaux de gravité de risque de None, la raison peut être l’un des scénarios suivants :
- L’utilisateur n’est pas inclus dans une stratégie de risque interne.
- Aucun score de risque n’est attribué aux activités de l’utilisateur, ce qui signifie que l’utilisateur n’est pas dans l’étendue active de la stratégie.
- L’utilisateur est inclus dans une stratégie de gestion des risques internes, mais ne s’est pas impliqué dans une activité à risque.
- Le organization n’a pas de stratégie de gestion des risques internes active.
Si la gravité du risque utilisateur n’est pas disponible, le partage de données n’est pas activé à partir de la gestion des risques internes.
Vous pouvez afficher les activités liées aux risques internes pendant 120 jours dans la section Afficher les détails sous l’onglet Historique utilisateur de la gestion des risques internes. Actuellement, le résumé de l’activité utilisateur dans Communication Compliance affiche uniquement les données des indicateurs d’exfiltration.
Dans les alertes DLP
Pour la stratégie de gestion des risques internes associée à l’alerte DLP, la file d’attente des alertes DLP inclut une colonne de gravité des risques internes avec les valeurs High, Medium, Low ou None. Si plusieurs utilisateurs ont des activités qui correspondent à la stratégie, la file d’attente affiche l’utilisateur avec le niveau de risque interne le plus élevé.
La valeur None peut signifier l’une des valeurs suivantes :
L’utilisateur ne fait partie d’aucune stratégie de gestion des risques internes.
L’utilisateur fait partie d’une stratégie de gestion des risques internes, mais il n’a pas effectué d’activités risquées qui l’amènent dans l’étendue de la stratégie (il n’y a pas de données d’exfiltration).
Vous pouvez sélectionner le niveau de risque interne dans la file d’attente des alertes DLP pour accéder à l’onglet Résumé de l’activité de l’utilisateur, qui affiche une chronologie de toutes les activités d’exfiltration pour cet utilisateur au cours des 90 à 120 derniers jours. Comme la file d’attente des alertes DLP, l’onglet Résumé de l’activité de l’utilisateur affiche l’utilisateur avec le niveau de risque interne le plus élevé. Ce contexte approfondi de ce qu’un utilisateur a fait au cours des 90 à 120 derniers jours fournit une vue plus large des risques présentés par cet utilisateur.
Seules les données des indicateurs d’exfiltration apparaissent dans le résumé de l’activité de l’utilisateur. Les données d’autres indicateurs sensibles, tels que les ressources humaines, la navigation, etc., ne partagent pas avec les alertes DLP.
Une section Détails de l’acteur est ajoutée à la page détails de l’alerte DLP. Vous pouvez utiliser cette page pour voir tous les utilisateurs impliqués dans l’alerte DLP spécifique. Pour chaque utilisateur impliqué dans l’alerte DLP, vous pouvez afficher toutes les activités d’exfiltration des 90 à 120 derniers jours.
Si vous sélectionnez Obtenir un résumé à partir de Security Copilot dans une alerte DLP, le résumé d’alerte fourni par Microsoft Security Copilot inclut le niveau de gravité gestion des risques internes en plus des informations de synthèse DLP, si l’utilisateur se trouve dans l’étendue d’une stratégie de gestion des risques internes.
Conseil
Vous pouvez également utiliser Security Copilot pour examiner les alertes DLP. Si le paramètre de partage des données de gestion des risques internes est activé, vous pouvez alors effectuer une investigation combinée DLP/Insider Risk Management. Par exemple, vous pouvez commencer par demander à Copilot de résumer une alerte DLP, puis demander à Copilot d’afficher le niveau de risque interne associé à l’utilisateur marqué dans l’alerte. Ou vous pouvez demander pourquoi l’utilisateur est considéré comme un utilisateur à haut risque. Dans ce cas, les informations sur les risques de l’utilisateur proviennent de la gestion des risques internes. Security Copilot intègre en toute transparence la gestion des risques internes à DLP pour faciliter les enquêtes. En savoir plus sur l’utilisation de la version autonome de Copilot pour les enquêtes combinées DLP/Insider Risk Management.