Prendre des mesures d’atténuation dans Enquêtes sur la sécurité des données

Enquêtes sur la sécurité des données fournit plusieurs fonctionnalités pour vous aider à atténuer rapidement l’impact des incidents de sécurité des données dans votre organization.

Plan de mititgation

Le plan d’atténuation vous aide à connecter l’analyse à des actions d’atténuation spécifiques à partir d’outils d’examen et de révisions d’analystes. Le plan d’atténuation est semblable à une liste de tâches que vous pouvez utiliser pour gérer et suivre les actions d’atténuation des risques liés aux données dans votre investigation. Ce plan aide les analystes à centraliser tous les éléments qui nécessitent une attention ou une action pour atténuer les risques associés à l’enquête et à l’incident de sécurité des données.

À l’aide du plan d’atténuation, effectuez les actions suivantes :

• Hiérarchiser par niveau de risque : traitez immédiatement tout ce qui peut entraîner une violation active de la sécurité s’il n’est pas corrigé.

• Marquer des éléments pour le suivi : utilisez le plan d’atténuation pour suivre les activités de suivi.

• Consultez ou impliquez les parties prenantes concernées : assurez-vous que votre plan traite des responsabilités dans les domaines suivants :

  • Informations d’identification : identifiez qui réinitialise les informations d’identification et par quand.
  • Exposition des données : identifiez qui supprime les liens de partage externes ou déplace les fichiers vers un emplacement sécurisé.
  • Éducation des utilisateurs ou application de la loi : identifiez les personnes qui suivent les mesures de formation ou disciplinaires.
  • Examen approfondi : identifiez qui est responsable de tout élément qui suggère un problème de sécurité plus important dans votre organization.

Tableau de bord du plan d’atténuation

Le plan d’atténuation affiche tous les éléments que vous ajoutez au plan d’atténuation dans votre investigation. En utilisant cette vue, vous pouvez rapidement voir tous les éléments qui nécessitent une action dans votre investigation, les status pour chaque élément et d’autres informations importantes sur chaque élément du plan.

• Nom : objet ou titre de l’élément de données.
• Type : type de fichier de l’élément de données.
• Description : description de l’élément de données.
• État : status actuelle de l’élément de données. Les valeurs sont En cours ou Terminé.
• Dernière modification par : nom de l’analyste ou de l’enquêteur qui a mis à jour les dernières informations sur l’élément de données.
• Dernière mise à jour (UTC) : date et heure en temps universel coordonné (UTC) de la dernière mise à jour de l’élément de données.

Sélectionnez Personnaliser les colonnes pour personnaliser les colonnes affichées et l’ordre des colonnes dans le plan d’atténuation. Choisissez les colonnes à afficher ou à masquer. Sélectionnez Ajouter un filtre et choisissez un filtre disponible pour filtrer les éléments du plan d’atténuation.

Sélectionnez Télécharger la liste pour créer un fichier .csv contenant la liste des éléments de données et les informations de colonne dans le plan d’atténuation.

Vue détaillée de l’élément

Les analystes peuvent afficher des détails sur chaque élément de données inclus dans le plan d’atténuation dans le cadre du processus de révision et d’évaluation. Une fois que vous avez sélectionné un élément de données, un résumé de l’élément et des visionneuses sont disponibles pour que l’analyste affiche les métadonnées, la source et d’autres informations.

Mettre à jour le status de l’élément

Lorsque vous passez en revue les éléments de données et que vous travaillez à atténuer les risques pour chaque élément de données, gérez les status actuelles pour chaque élément. Mettez à jour le status pour des éléments individuels ou mettez à jour en bloc le status pour plusieurs éléments de données.

Pour mettre à jour le status d’un élément de données, procédez comme suit :

1. Accédez au portail Microsoft Purview et connectez-vous avec les informations d’identification d’un compte d’utilisateur affecté Enquêtes sur la sécurité des données autorisations.
2. Sélectionnez la solution Enquêtes sur la sécurité des données carte, puis sélectionnez Investigations dans la navigation de gauche.
3. Sélectionnez une investigation, puis atténuation.
4. Sélectionnez un ou plusieurs éléments de données dans le plan d’atténuation.
5. Sélectionnez Mettre à jour status, puis sélectionnez le status applicable.

Vous pouvez également modifier la status d’un élément de données à partir de l’affichage détaillé de l’élément. Dans l’affichage détaillé d’un élément, sélectionnez Terminer pour modifier le status de l’élément de données.

Implémenter le plan d’atténuation

Pour implémenter votre plan d’atténuation, suivez les étapes d’atténuation suivantes :

• Révoquer ou modifier immédiatement les informations d’identification : pour chaque mot de passe ou secret exposé, vérifiez que le propriétaire responsable le réinitialise. Cette action peut impliquer de forcer la réinitialisation du mot de passe pour les comptes d’utilisateur, la suppression ou la régénération des clés d’accès, ou la modification des informations d’identification du compte de service.

• Contenir l’exposition des données : si les fichiers étaient accessibles publiquement ou à un trop grand nombre de personnes, verrouillez immédiatement les autorisations. Supprimez l’accès invité externe sur les sites SharePoint si un fichier sensible a été partagé. Si un e-mail contenant des secrets a été envoyé en externe, contactez le destinataire pour le supprimer (le cas échéant) ou utilisez le rappel de message si possible.

• Corriger les documents : pour les fichiers qui ne doivent pas contenir certaines informations, décidez de les supprimer, de les éditer ou de les sécuriser. Souvent, il est conseillé de supprimer le contenu sensible de la source (ou de le chiffrer). Envisagez d’appliquer des étiquettes de confidentialité ou desstratégies de protection contre la perte de données pour empêcher le partage de fichiers.

• Suivre les activités et les insights : utilisez le chronologie d’activité pour les éléments. Ces informations peuvent identifier les activités associées des utilisateurs. Vérifiez si un comportement d’utilisateur à risque est en cours et si une investigation plus approfondie de cet utilisateur peut être justifiée.

• Documenter chaque action : dans l’historique des activités, chaque action de recherche, d’analyse et d’atténuation est journalisée. Ces informations sont utiles pour l’audit et l’examen post-incident. Vérifiez que le journal indique que tous les éléments à risque sont traités.

• Communiquer et résoudre l’incident : Mettez à jour toutes les parties prenantes sur les éléments suivants :

  • Vérifiez que les trous critiques (informations d’identification, liens publics et autres vulnérabilités) sont fermés.
  • Si nécessaire, préparez les notifications externes. Par exemple, informer les clients d’une violation de données et informer les autorités de réglementation applicables.
  • Effectuer un compte rendu avec toutes les parties prenantes. Les insights et les leçons apprises peuvent être utilisés pour améliorer les stratégies et prévenir les incidents futurs.

Purge (préversion)

Enquêtes sur la sécurité des données inclut désormais la nouvelle fonctionnalité de vidage (préversion) pour vous aider à identifier et à supprimer définitivement les éléments de votre organization. Ce besoin peut inclure l’identification des éléments associés à des informations hautement confidentielles ou sensibles sur des projets financiers, de marketing ou de vente, ou d’autres propriétés propriétaires. En utilisant la fonctionnalité de recherche intégrée pour les investigations, les enquêteurs peuvent rapidement créer une nouvelle requête de recherche et l’enregistrer en tant que requête de vidage que vous pouvez examiner et exécuter si nécessaire. La requête de vidage supprime définitivement tous les éléments inclus dans les résultats de la requête de tous les emplacements sources de votre organization.

Vous êtes facturé en fonction du traitement nécessaire pour vider le volume de données résultant de votre requête de recherche et utilise la nouvelle unité de calcul Enquêtes sur la sécurité des données . Pour plus d’informations sur l’unité de calcul, consultez Facturation dans Enquêtes sur la sécurité des données .

Vider le tableau de bord de file d’attente

La file d’attente de vidage affiche toutes les requêtes de vidage enregistrées dans votre investigation. À l’aide de cette vue, vous pouvez voir rapidement toutes les requêtes de vidage dans votre investigation, les status pour chaque requête et d’autres informations importantes sur chaque requête dans la file d’attente.

• Nom : nom de la requête de vidage.
• État : status actuelle de la requête de vidage. Les valeurs incluent Non démarré, En cours, Échec ou Terminé.
• Ajouté par : nom de l’enquêteur qui a ajouté la requête de vidage.
• Date d’ajout (UTC) : date et heure en temps universel coordonné (UTC) auxquelles la requête de vidage a été ajoutée à la file d’attente de vidage.

Sélectionnez Personnaliser les colonnes pour personnaliser les colonnes affichées et l’ordre des colonnes dans la file d’attente de vidage. Choisissez les colonnes à afficher ou à masquer. Sélectionnez Ajouter un filtre et choisissez un filtre disponible pour filtrer les éléments de la file d’attente de vidage.

Sélectionnez Télécharger la liste pour créer un fichier .csv contenant la liste des éléments de données et les informations de colonne dans la file d’attente de vidage.

Vider des éléments spécifiques

Pour vider des éléments spécifiques dans votre organization, procédez comme suit :

1. Accédez au portail Microsoft Purview et connectez-vous avec les informations d’identification d’un compte d’utilisateur affecté Enquêtes sur la sécurité des données autorisations.
2. Sélectionnez la solution Enquêtes sur la sécurité des données carte, puis sélectionnez Investigations dans la navigation de gauche.
3. Sélectionnez une investigation ou sélectionnez Créer une investigation pour créer une nouvelle investigation.
4. Sous l’onglet Recherche , sélectionnez les sources de données qui contiennent les éléments que vous souhaitez vider.

1. Créez une recherche pour identifier les éléments que vous souhaitez vider, puis sélectionnez Vérifier les estimations.
2. Dans la page Vérifier les estimations , vérifiez que les éléments retournés dans les estimations s’alignent sur les éléments que vous souhaitez vider. Vous pouvez vider jusqu’à 1 000 éléments par recherche.

Si vous devez modifier la recherche, sélectionnez Rechercher et mettez à jour les conditions de la recherche. Pour afficher les détails des correspondances de recherche, sélectionnez les points de suspension et Afficher les exemples ou sélectionnez Ajouter à l’étendue.

1. Sélectionnez Enregistrer pour vidage et entrez un nom unique pour la requête de vidage dans le champ Nom de la requête .
2. Sélectionnez Enregistrer pour enregistrer la requête et ajouter la requête à la file d’attente de vidage.

1. Sous l’onglet Atténuation de l’investigation, vous êtes automatiquement dirigé vers le tableau de bord Purger la file d’attente .
2. Sélectionnez la requête de vidage que vous souhaitez exécuter.
3. Dans la page détails de la requête de vidage, passez en revue les détails de la requête, puis sélectionnez Exécuter.
4. Dans la boîte de dialogue de confirmation de la requête de vidage, sélectionnez Supprimer définitivement.
5. Pour afficher les status de la requête de vidage, sélectionnez l’onglet Activités.

Une fois le vidage terminé, vous pouvez télécharger un rapport sous la forme d’un fichier .zip qui inclut l’élément, l’emplacement, les paramètres et les informations récapitulatives sur les éléments vidés.