Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans l’environnement réglementaire rigoureux d’aujourd’hui, il est important que les organisations surveillent et analysent la façon dont les utilisateurs interagissent avec les produits de sécurité. Les organisations peuvent avoir besoin de suivre les actions, les transactions et les paramètres de configuration sur une plateforme pour s’assurer qu’elles respectent les réglementations de conformité et les normes réglementaires.
Security Copilot permet aujourd’hui d’accéder aux journaux d’audit via le journal d’audit unifié (UAL) Microsoft Purview, Gestion de la posture de sécurité des données Microsoft Purview (DSPM) pour l’IA et l’API de gestion Office pour vous aider à répondre aux exigences réglementaires et de conformité. La connexion utilisateur de Purview vous donne une visibilité sur les informations telles que les événements d’administration et les métadonnées d’activité, tandis que DSPM pour l’IA fournit des insights sur les paires d’invite/réponse.
- événements Administration : actions privilégiées telles que les modifications apportées aux paramètres au niveau du locataire ou les modifications administratives (par exemple, le partage de données, les configurations d’agent, de déclencheur d’agent, de plug-in et de promptbook).
- Métadonnées d’activité : journaux des interactions utilisateur au sein de la plateforme Security Copilot (par exemple, un utilisateur a demandé une invite à un moment spécifique avec des informations sur le type d’activité).
- Paires de réponse d’invite : l’activité dans Security Copilot peut contenir une invite à une compétence, ce qui produit une paire de réponses. La paire et son contenu constituent une fonctionnalité de base de la plateforme et un point d’inspection critique à des fins d’audit.
Remarque
Le contenu client tel que celui contenu dans la paire d’invite et de réponse est actuellement inclus uniquement via Microsoft Purview DSPM pour l’IA. Pour plus d’informations, consultez Microsoft Purview pour DSPM.
En effectuant le suivi de ces interactions, vous pouvez potentiellement identifier les risques, garantir un fonctionnement stable des workflows importants et protéger les données de production.
Activer Security Copilot pour les solutions d’audit et de DSPM Purview
Pour activer Purview DSPM pour les solutions IA et UAL pour Security Copilot, la fonctionnalité doit être activée dans Security Copilot et configurée dans les solutions Purview respectives. Il existe deux options pour activer les fonctionnalités dans Security Copilot. Au départ, lors de la première exécution, un administrateur de sécurité peut choisir d’autoriser Microsoft Purview à accéder, traiter, copier et stocker des actions d’administrateur, des actions utilisateur et des réponses Copilot. Pour plus d’informations sur la prise en main de Security Copilot consultez Prise en main de Security Copilot.
En outre, les administrateurs de sécurité peuvent également accéder à cette option via la page Paramètres du propriétaire. Pour plus d’informations sur les types de rôles, consultez Comprendre l’authentification.
Procédez comme suit pour mettre à jour les paramètres du journal d’audit :
Connectez-vous à Security Copilot (https://securitycopilot.microsoft.com).
Sélectionnez l’icône du menu Accueil.
Accédez auxparamètres>Propriétaire De> lajournalisation des données d’audit dans Microsoft Purview.
Importante
Microsoft Purview stocke vos données client dans la région où vos données Microsoft 365 sont stockées. Pour plus d’informations, consultez Confidentialité et sécurité des données. La période de rétention par défaut pour les journaux d’audit est de 180 jours, mais peut être prolongée à l’aide de stratégies de rétention des journaux d’audit. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.
Vous pouvez activer ou désactiver le bouton bascule.
Accéder aux journaux d’audit Security Copilot via le journal d’audit unifié dans Microsoft Purview
Avant de commencer
Cette section fournit une vue d’ensemble des prérequis pour accéder au journal d’audit.
Vous devez suivre la procédure suivante :
- Vérifiez que vous avez choisi d’autoriser l’accès Microsoft Purview dans Security Copilot. Pour plus d’informations, consultez Activer la fonctionnalité de journal d’audit.
- Vérifiez que la fonctionnalité de journal d’audit est active dans Microsoft Purview. Pour plus d’informations, consultez Avant de rechercher dans le journal d’audit.
Remarque
Vous aurez besoin des autorisations appropriées pour accéder au journal d’audit dans Microsoft Purview. Pour plus d’informations, consultez Autorisations dans le portail Microsoft Purview. Ces droits d’accès peuvent être différents de ceux de Security Copilot.
Options d’accès au journal d’audit unifié dans Microsoft Purview
Vous pouvez effectuer les actions suivantes pour accéder au journal d’audit dans Microsoft Purview :
- Rechercher dans le journal d’audit : article qui fournit des instructions sur la façon d’accéder aux données des événements du journal d’audit et de les parcourir pour obtenir des insights et examiner plus en détail les activités des utilisateurs.
- Rechercher dans les activités du journal d’audit : article qui décrit les activités capturées dans le journal d’audit.
- Activités Références de nom d’opération pour Security Copilot : liste des noms d’opérations d’activité pour la gestion des Security Copilot, la gestion des agents et les interactions IA, telles que les invites.
- Rechercher dans le journal d’audit à l’aide d’un script PowerShell : article qui fournit des instructions sur la façon d’exécuter un script PowerShell pour rechercher dans le journal d’audit afin de vous aider à examiner les incidents de sécurité et les problèmes de conformité.
- Surveillez les activités des utilisateurs et les événements système avec Security Copilot et Microsoft Sentinel - Blog qui fournit des informations sur la façon de tirer parti de l’envoi de journaux d’audit Security Copilot à votre SIEM natif cloud pour obtenir des informations plus approfondies sur l’utilisation et prendre des mesures proactives pour atténuer les risques.
Accéder au contenu de la paire réponse d’invite dans Microsoft Purview DSPM pour l’IA
Avant de commencer
Cette section fournit une vue d’ensemble des conditions préalables à l’accès au contenu de la paire réponse rapide via Purview DSPM pour l’IA.
Vous devez suivre la procédure suivante :
- Vérifiez que vous avez choisi d’autoriser l’accès Microsoft Purview dans Security Copilot. Pour plus d’informations, consultez Activer la fonctionnalité de journal d’audit.
- Vérifiez que les étapes d’installation nécessaires sont terminées, consultez Learn | DSPM pour la configuration de l’IA.
- Vérifiez que tout administrateur nécessitant la création d’une stratégie ou la possibilité d’afficher le contenu capturé dans les invites et les réponses répond aux niveaux d’autorisation minimaux. Les configurations de rôle et d’autorisation sont détaillées dans Learn | DSPM pour l’IA
- Vérifiez que les stratégies DSPM pour la capture de contenu Copilot ont été configurées. Consultez DSPM pour les stratégies par défaut d’IA sur Learn.
Une fois les conditions préalables remplies, différentes façons d’appliquer la protection des informations, et l’affichage du contenu dans les paires d’invite et de réponse est possible.
- Passez en revue les fonctionnalités du DSPM purview pour la solution IA Microsoft Purview protections de la sécurité et de la conformité des données pour les applications d’IA générative
- Protéger les informations auxquelles accèdent les différentes expériences Copilot Considérations relatives à la protection des informations pour Copilot
- Afficher et rechercher du contenu dans les événements de l’Explorateur d’activités pour Purview DSPM pour les événements de l’Explorateur d’activités IA