Examiner les activités de gestion des risques internes

L’examen des activités potentiellement risquées des utilisateurs est une première étape importante pour réduire les risques internes pour vos organization. Ces risques peuvent être des activités qui génèrent des alertes à partir de stratégies de gestion des risques internes. Ils peuvent également être des risques liés aux activités liées à la conformité qui sont détectés par les stratégies, mais qui ne créent pas immédiatement des alertes de gestion des risques internes pour les utilisateurs. Vous pouvez examiner ces types d’activités à l’aide des rapports d’activité utilisateur (préversion) ou avec le tableau de bord Alerte.

Rapports d'activité des utilisateurs

Les rapports d’activité utilisateur vous permettent d’examiner les activités potentiellement risquées (pour des utilisateurs spécifiques et pour une période définie) sans avoir à affecter ces activités, temporairement ou explicitement, à une stratégie de gestion des risques internes. Dans la plupart des scénarios de gestion des risques internes, les utilisateurs sont explicitement définis dans les stratégies et peuvent avoir des alertes de stratégie (en fonction du déclenchement d’événements) et des scores de risque associés aux activités. Toutefois, dans certains scénarios, vous pouvez examiner les activités des utilisateurs qui ne sont pas explicitement définies dans une stratégie. Ces activités peuvent être destinées aux utilisateurs dont vous avez reçu un conseil sur l’utilisateur et les activités potentiellement à risque, ou aux utilisateurs qui n’ont généralement pas besoin d’être affectés à une stratégie de gestion des risques internes.

Une fois que vous avez configuré des indicateurs dans la page Paramètres de gestion des risques internes, l’activité de l’utilisateur est détectée pour les activités potentiellement à risque associées aux indicateurs sélectionnés. Cette configuration signifie que toutes les activités détectées pour les utilisateurs sont disponibles pour révision, qu’elle ait un événement déclencheur ou qu’elle crée une alerte. Les rapports sont créés par utilisateur et peuvent inclure toutes les activités pour une période personnalisée de 90 jours. Plusieurs rapports pour le même utilisateur ne sont pas pris en charge.

Après avoir examiné les activités potentiellement risquées, les enquêteurs peuvent ignorer les activités d’un utilisateur individuel comme étant sans gravité. Ils peuvent également partager ou envoyer par e-mail un lien vers le rapport avec d’autres enquêteurs, ou choisir d’affecter des utilisateurs (temporairement ou explicitement) à une stratégie de gestion des risques internes. Les utilisateurs doivent être affectés au groupe de rôles Enquêteurs de gestion des risques internes pour afficher la page Rapports d’activité des utilisateurs .

Pour commencer, sélectionnez Gérer les rapports dans la section Examiner l’activité des utilisateurs de la page Vue d’ensemble de la gestion des risques internes.

Pour afficher les activités d’un utilisateur, sélectionnez d’abord Créer un rapport d’activité utilisateur et renseignez les champs suivants dans le volet Nouveau rapport d’activité utilisateur :

• Utilisateur : Recherche d’un utilisateur par nom ou adresse e-mail.
• Date de début : utilisez le contrôle calendrier pour sélectionner la date de début des activités de l’utilisateur.
• Date de fin : utilisez le contrôle calendrier pour sélectionner la date de fin des activités de l’utilisateur. La date de fin sélectionnée doit être supérieure à deux jours après la date de début sélectionnée et pas plus de 90 jours à partir de la date de début sélectionnée.

Les données d’activité utilisateur sont disponibles pour les rapports environ 48 heures après l’activité. Par exemple, pour passer en revue les données d’activité des utilisateurs pour le 1er décembre, vous devez vous assurer qu’au moins 48 heures se sont écoulées avant de créer le rapport (vous devez créer un rapport le 3 décembre au plus tôt).

Les nouveaux rapports prennent généralement jusqu’à 10 heures avant d’être prêts à être examinés. Lorsque le rapport est prêt, le rapport est prêt s’affiche dans la colonne État de la page Rapport d’activité de l’utilisateur. Sélectionnez l’utilisateur pour afficher le rapport détaillé :

Le rapport d’activité de l’utilisateur pour l’utilisateur sélectionné contient les onglets Activité de l’utilisateur, Explorateur d’activités et Preuve d’investigation :

• Activité de l’utilisateur : utilisez cette vue de graphique pour examiner les activités potentiellement risquées et afficher les activités potentiellement associées qui se produisent par séquences. Cet onglet est structuré pour permettre une révision rapide d’un cas, y compris un chronologie historique de toutes les activités, les détails de l’activité, le score de risque actuel pour l’utilisateur dans le cas, la séquence d’événements à risque et les contrôles de filtrage pour faciliter les efforts d’investigation.
• Explorateur d’activités : cet onglet fournit aux enquêteurs des risques un outil d’analyse complet qui fournit des informations détaillées sur les activités. Avec l’Explorateur d’activités, les réviseurs peuvent rapidement passer en revue un chronologie d’activité à risque détectée et identifier et filtrer toutes les activités potentiellement à risque associées aux alertes. Pour en savoir plus sur l’utilisation de l’Explorateur d’activités, consultez la section Explorateur d’activités plus loin dans cet article.

Tableau de bord d’alerte

Les alertes de gestion des risques internes sont générées automatiquement par des indicateurs de risque définis dans les stratégies de gestion des risques internes. Ces alertes donnent aux analystes de conformité et aux enquêteurs une vue d’ensemble des risques actuels status et permettent à vos organization de trier et de prendre des mesures pour les risques potentiels découverts. Par défaut, les stratégies génèrent un certain nombre d’alertes de gravité faible, moyenne et élevée, mais vous pouvez augmenter ou diminuer le volume d’alertes en fonction de vos besoins. En outre, vous pouvez configurer le seuil d’alerte pour les indicateurs de stratégie lors de la création d’une stratégie avec l’outil de création de stratégie.

Regardez la vidéo Expérience de triage des alertes de gestion des risques internes pour obtenir une vue d’ensemble de la façon dont les alertes fournissent des détails, du contexte et du contenu associé pour les activités à risque, et comment rendre votre processus d’investigation plus efficace.

Le tableau de bord Alerte de risque interne vous permet d’afficher et d’agir sur les alertes générées par les stratégies de risque interne. Chaque widget de rapport affiche des informations pour les 30 derniers jours.

• Nombre total d’alertes nécessitant une révision : le nombre total d’alertes nécessitant une révision et un tri sont répertoriées, y compris une répartition par gravité de l’alerte.
• Alertes ouvertes au cours des 30 derniers jours : nombre total d’alertes créées par la stratégie correspond au cours des 30 derniers jours, triées par niveau de gravité d’alerte élevé, moyen et faible.
• Temps moyen de résolution des alertes : résumé des statistiques d’alerte utiles :
  • Délai moyen de résolution des alertes de gravité élevée, indiqué en heures, jours ou mois.
  • Délai moyen de résolution des alertes de gravité moyenne, indiqué en heures, jours ou mois.
  • Délai moyen de résolution des alertes de faible gravité, indiqué en heures, jours ou mois.

État de l’alerte et gravité

Vous pouvez trier les alertes dans l’un des états suivants :

• Confirmé : alerte confirmée et affectée à un cas nouveau ou existant.
• Ignoré : alerte ignorée comme étant sans gravité dans le processus de triage. Vous pouvez fournir une raison pour le rejet de l’alerte et inclure des notes qui sont disponibles dans l’historique des alertes de l’utilisateur afin de fournir un contexte supplémentaire pour une référence ultérieure ou pour d’autres réviseurs. Les raisons peuvent être des activités attendues, des événements non impactants, en réduisant simplement le nombre d’activités d’alerte pour l’utilisateur ou une raison liée aux notes d’alerte. Les choix de classification des motifs incluent l’activité est attendue pour cet utilisateur, l’activité est suffisamment percutante pour que j’examine plus en détail et les alertes pour cet utilisateur contiennent trop d’activité.
• Révision requise : nouvelle alerte dans laquelle les actions de triage n’ont pas encore été effectuées.
• Résolu : alerte qui fait partie d’un cas fermé et résolu.

Les scores de risque d’alerte sont automatiquement calculés à partir de plusieurs indicateurs d’activité à risque. Ces indicateurs incluent le type d’activité à risque, le nombre et la fréquence de l’occurrence de l’activité, l’historique de l’activité à risque des utilisateurs et l’ajout de risques d’activité susceptibles d’accroître la gravité de l’activité potentiellement à risque. Le score de risque d’alerte détermine l’attribution par programme d’un niveau de gravité de risque pour chaque alerte et ne peut pas être personnalisé. Si les alertes restent nontriées et que les activités à risque continuent de s’accumuler dans l’alerte, le niveau de gravité du risque peut augmenter. Les analystes des risques et les enquêteurs peuvent utiliser la gravité des risques d’alerte pour faciliter le tri des alertes conformément aux stratégies et normes de risque de votre organization.

Les niveaux de gravité des risques d’alerte sont les suivants :

• Gravité élevée : les activités potentiellement risquées et les indicateurs de l’alerte posent un risque significatif. Les activités à risque associées sont graves, répétitives et étroitement liées à d’autres facteurs de risque importants.
• Gravité moyenne : les activités potentiellement risquées et les indicateurs de l’alerte posent un risque modéré. Les activités de risque associées sont modérées, fréquentes et présentent une corrélation avec d’autres facteurs de risque.
• Gravité faible : les activités potentiellement risquées et les indicateurs de l’alerte posent un risque mineur. Les activités à risque associées sont mineures, plus peu fréquentes et ne sont pas associées à d’autres facteurs de risque importants.

Utiliser le bouton Copilot pour résumer une alerte

Vous pouvez utiliser le bouton Copilot pour résumer rapidement une alerte sans même l’ouvrir. Lorsque vous résumez une alerte avec Microsoft Copilot dans Purview (préversion), un volet Copilot s’affiche sur le côté droit de l’écran avec un résumé de l’alerte.

Le résumé de l’alerte inclut tous les détails essentiels sur l’alerte, tels que la stratégie qui a été déclenchée, l’activité qui a généré l’alerte, l’événement déclencheur, l’utilisateur impliqué, sa dernière date de travail (le cas échéant), les attributs utilisateur clés et les principaux facteurs de risque de l’utilisateur. Copilot dans Purview (préversion) regroupe les informations sur l’utilisateur à partir de toutes ses alertes et stratégies dans l’étendue, et met l’accent sur les principaux facteurs de risque de l’utilisateur.

Utilisez le bouton Copilot pour résumer rapidement chaque alerte dans la file d’attente Alertes et hiérarchiser les alertes qui nécessitent une investigation plus approfondie. Pour les faux positifs, vous pouvez sélectionner plusieurs alertes et les ignorer en bloc en sélectionnant Ignorer les alertes.

Filtrer les alertes, enregistrer une vue d’un jeu de filtres, personnaliser des colonnes ou rechercher des alertes

Selon le nombre et le type de stratégies de gestion des risques internes actif au sein de votre organisation, il peut être difficile de réviser une grande file d’alertes. Pour vous aider à effectuer le suivi des alertes, vous pouvez :

• Filtrez les alertes par différents attributs.
• Enregistrez une vue d’un jeu de filtres à réutiliser ultérieurement.
• Afficher ou masquer des colonnes.
• Recherche pour une alerte.

Filtrer les alertes

1. Sélectionnez Ajouter un filtre.

2. Sélectionnez un ou plusieurs des attributs suivants :

   Attribut	Description
   Activité qui a généré l’alerte	Affiche la correspondance la plus risquée de l’activité et de la stratégie pendant la période d’évaluation de l’activité qui a conduit à la génération de l’alerte. Cette valeur peut être mise à jour au fil du temps.
   Motif du rejet de l’alerte	Raison pour laquelle l’alerte a été ignorée.
   Affectée à	Administrateur auquel l’alerte est affectée pour le triage (le cas échéant).
   Stratégie	Nom de la stratégie.
   Facteurs de risque	Facteurs de risque qui aident à déterminer le risque de l’activité d’un utilisateur. Les valeurs possibles sont Activités d’exfiltration cumulatives, Activités incluent le contenu prioritaire, Activités de séquence, Activités incluent des domaines non autorisés, Membre d’un groupe d’utilisateurs prioritaire et Utilisateur potentiel à fort impact.
   Gravité	Niveau de gravité du risque de l’utilisateur. Les options disponibles sont Élevée, Moyenneet Faible.
   État	Statut de l’alerte. Les options sont Confirmé, Fermé, Révision requiseet Résolu.
   Heure détectée (UTC)	Dates de début et de fin de la création de l’alerte. Le filtre recherche les alertes entre UTC 00 :00 à la date de début et UTC 00 :00 à la date de fin.
   Déclenchement d’un événement	Événement qui a placé l’utilisateur dans l’étendue de la stratégie. L’événement de déclenchement peut changer au fil du temps.

   Les attributs que vous sélectionnez sont ajoutés à la barre de filtre.

3. Sélectionnez un attribut dans la barre de filtre, puis sélectionnez une valeur par laquelle filtrer. Par exemple, sélectionnez l’attribut Heure détectée (UTC), entrez ou sélectionnez les dates dans les champs Date de début et Date de fin , puis sélectionnez Appliquer.

   Conseil

   Si vous souhaitez recommencer à tout moment, sélectionnez Réinitialiser tout dans la barre de filtre.

Enregistrer une vue d’un jeu de filtres à réutiliser ultérieurement

1. Après avoir appliqué les filtres comme décrit dans la procédure précédente, sélectionnez Enregistrer au-dessus de la barre de filtres, entrez un nom pour le jeu de filtres, puis sélectionnez Enregistrer.

   Le jeu de filtres est ajouté en tant que carte au-dessus de la barre de filtre. Il inclut un nombre qui indique le nombre d’alertes qui répondent aux critères du jeu de filtres.

   Remarque

   Vous pouvez enregistrer jusqu’à cinq jeux de filtres. Si vous devez supprimer un jeu de filtres, sélectionnez le bouton de sélection (trois points) dans le coin supérieur droit du carte, puis sélectionnez Supprimer.

2. Pour réappliquer un jeu de filtres enregistré, sélectionnez simplement le carte pour le jeu de filtres.

Afficher ou masquer des colonnes

1. Sur le côté droit de la page, sélectionnez Personnaliser les colonnes.

2. Activez ou désactivez la ou les cases à cocher pour les colonnes que vous souhaitez afficher ou masquer.

Les paramètres de colonne sont enregistrés entre les sessions et les navigateurs.

Recherche pour les alertes

Utilisez le contrôle Recherche pour rechercher un nom d’utilisateur principal (UPN), un nom d’administrateur attribué ou un ID d’alerte.

Ignorer plusieurs alertes (préversion)

Cela peut permettre aux analystes et aux enquêteurs d’ignorer immédiatement plusieurs alertes à la fois. L’option Ignorer la barre de commandes des alertes vous permet de sélectionner une ou plusieurs alertes avec un status d’examen Des besoins dans le tableau de bord et d’ignorer rapidement ces alertes comme étant sans gravité, le cas échéant, dans votre processus de triage. Vous pouvez sélectionner jusqu’à 400 alertes à ignorer simultanément.

Ignorer une alerte de risque interne

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Affecter une alerte

Si vous êtes administrateur et que vous êtes membre du groupe de rôles Insider Risk Management, Insider Risk Management Analysts ou Insider Risk Management Investigate, vous pouvez attribuer la propriété d’une alerte à vous-même ou à un utilisateur de gestion des risques internes avec l’un des mêmes rôles. Une fois qu’une alerte est affectée, vous pouvez également la réaffecter à un utilisateur disposant des mêmes rôles. Vous ne pouvez affecter une alerte qu’à un seul administrateur à la fois.

Une fois qu’un administrateur est affecté, vous pouvez effectuer une recherche par administrateur.

Attribuer une alerte à partir du tableau de bord Alertes

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Attribuer une alerte à partir de la page détails des alertes

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Triage des alertes

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Section En-tête/Résumé

Cette section contient des informations générales sur l’utilisateur et l’alerte. Ces informations sont disponibles pour le contexte lors de l’examen d’informations détaillées sur l’activité de gestion des risques détectée incluse dans l’alerte pour l’utilisateur :

• Activité qui a généré cette alerte : affiche l’activité potentiellement risquée et la correspondance de stratégie la plus haute pendant la période d’évaluation de l’activité qui a conduit à la génération de l’alerte.
• Événement déclencheur : affiche l’événement déclencheur le plus récent qui a invité la stratégie à commencer à attribuer des scores de risque à l’activité de l’utilisateur. Si vous avez configuré l’intégration avec la conformité des communications pour les fuites de données par les utilisateurs à risque ou les violations de stratégie de sécurité par des stratégies d’utilisateurs à risque , l’événement de déclenchement de ces alertes est limité à l’activité de conformité des communications.
• Détails de l’utilisateur : affiche des informations générales sur l’utilisateur affecté à l’alerte. Si l’anonymisation est activée, les champs nom d’utilisateur, adresse e-mail, alias et organization sont rendus anonymes.
• Historique des alertes utilisateur : affiche une liste d’alertes pour l’utilisateur au cours des 30 derniers jours. Inclut un lien permettant d’afficher l’historique complet des alertes de l’utilisateur.

Les alertes générées à partir de stratégies limitées aux seules activités qui incluent du contenu prioritaire incluent l’option Seule l’activité avec du contenu prioritaire a été notée pour cette notification d’alerte dans cette section.

Tous les facteurs de risque

Cet onglet ouvre le résumé des facteurs de risque pour l’activité d’alerte de l’utilisateur. Les facteurs de risque peuvent vous aider à déterminer à quel point l’activité de gestion des risques de cet utilisateur est risquée pendant votre révision. Les facteurs de risque incluent des résumés pour :

• Principales activités d’exfiltration : affiche les activités d’exfiltration avec le nombre ou les événements les plus élevés pour l’alerte.
• Activités d’exfiltration cumulatives : affiche les événements associés aux activités d’exfiltration cumulatives.
• Séquences d’activités : affiche les activités potentiellement risquées détectées associées aux séquences de risques.
• Activité inhabituelle pour cet utilisateur : affiche des activités spécifiques pour l’utilisateur qui sont considérées comme potentiellement risquées, car elles sont inhabituelles et en rupture avec leurs activités typiques.
• Contenu prioritaire : affiche les activités potentiellement risquées associées au contenu prioritaire.
• Domaines non autorisés : affiche les activités potentiellement risquées pour les événements associés à des domaines non autorisés.
• Accès aux enregistrements d’intégrité : affiche les activités potentiellement risquées pour les événements associés à l’accès aux enregistrements d’intégrité.
• Utilisation risquée du navigateur : affiche les activités potentiellement risquées pour les événements associés à la navigation vers des sites web potentiellement inappropriés.

Avec ces filtres, vous voyez uniquement les alertes avec les facteurs de risque ci-dessus, mais l’activité qui a généré une alerte peut ne pas appartenir à l’une de ces catégories. Par exemple, une alerte contenant des activités de séquence peut avoir été générée simplement parce que l’utilisateur a copié un fichier sur un périphérique USB.

Contenu détecté

La section de l’onglet Tous les facteurs de risque inclut le contenu associé aux activités à risque pour l’alerte et résume les événements d’activité par domaines clés. La sélection d’un lien d’activité ouvre l’Explorateur d’activités et affiche plus de détails sur l’activité.

Explorateur d’activités

Cet onglet ouvre l’Explorateur d’activités. Pour plus d’informations, consultez la section Explorateur d’activités de cet article.

Activité utilisateur

Le graphique d’activité utilisateur est l’un des outils les plus puissants pour l’analyse des risques internes et l’investigation des alertes et des cas dans la solution de gestion des risques internes. Cet onglet est structuré de façon à permettre une révision rapide de toutes les activités d’un utilisateur, y compris un chronologie historique de toutes les alertes, les détails de l’alerte, le score de risque actuel pour l’utilisateur et la séquence d’événements à risque.

1. Actions de cas : les options de résolution du cas se trouvent dans la barre d’outils d’action de cas. Lors de l’affichage dans un cas, vous pouvez résoudre un cas, envoyer une notification par e-mail à l’utilisateur ou remonter le cas pour une enquête sur les données ou l’utilisateur.

2. Chronologie des activités à risque : la chronologie complète de toutes les alertes à risque associées au cas est répertoriée, y compris tous les détails disponibles dans la bulle d’alerte correspondante.

3. Filtres et tri (préversion) :

   • Catégorie de risque : Filtrez les activités selon les catégories de risque suivantes : Activités avec un score > de risque 15 (sauf dans une séquence) et Activités de séquence.
   • Type d’activité : Filtrez les activités selon les types suivants : Accès, Suppression, Collection, Exfiltration, Infiltration, Obfuscation et Sécurité.
   • Trier par : répertoriez les chronologie d’activités potentiellement risquées par Date de survenue ou Score de risque.

4. Filtres de temps : par défaut, les trois derniers mois d’activités potentiellement risquées sont affichés dans le graphique d’activité utilisateur. Vous pouvez facilement filtrer l’affichage graphique en sélectionnant les onglets 6 mois, 3 mois ou 1 mois sur le graphique en bulles.

5. Séquence de risques : L’ordre chronologique des activités potentiellement risquées est un aspect important de l’examen des risques et l’identification de ces activités connexes est une partie importante de l’évaluation du risque global pour votre organization. Les activités d’alerte associées sont affichées avec des lignes de connexion pour mettre en évidence que ces activités sont associées à une zone de risque plus grande. Les séquences sont également identifiées dans cette vue par une icône positionnée au-dessus des activités de séquence par rapport au score de risque pour la séquence. Pointez sur l’icône pour voir la date et l’heure de l’activité à risque associée à cette séquence. Cette vue des activités peut aider les enquêteurs littéralement à « connecter les points » pour les activités à risque qui auraient pu être vues comme des événements isolés ou ponctuels. Sélectionnez l’icône ou une bulle dans la séquence pour afficher les détails de toutes les activités à risque associées. Les détails sont les suivants :

   • Nom de la séquence.
   • Date ou Plage de dates de la séquence.
   • Score de risque pour la séquence. Ce score est le score numérique de la séquence des niveaux de gravité de risque d’alerte combinés pour chaque activité associée dans la séquence.
   • Nombre d’événements associés à chaque alerte dans la séquence. Des liens vers chaque fichier ou e-mail associé à chaque activité potentiellement à risque sont également disponibles.
   • Afficher les activités dans l’ordre. Affiche la séquence sous la forme d’une ligne de mise en surbrillance sur le graphique en bulles et développe les détails de l’alerte pour afficher toutes les alertes associées dans la séquence.

6. Activité d’alerte à risque et détails : les activités potentiellement risquées sont visuellement affichées sous forme de bulles colorées dans le graphique d’activité de l’utilisateur. Des bulles sont créées pour différentes catégories de risques. Sélectionnez une bulle pour afficher les détails de chaque activité potentiellement risquée. Les détails sont les suivants :

   • Date de l’activité de risque.
   • Catégorie d’activité à risque. Par exemple, Email avec des pièces jointes envoyées en dehors des organization ou fichiers téléchargés à partir de SharePoint Online.
   • Score de risque pour l’alerte. Ce score correspond au score numérique du niveau de gravité des risques d’alerte.
   • Nombre d’événements associés à l’alerte. Des liens vers chaque fichier ou e-mail associé à l’activité à risque sont également disponibles.

7. Activités d’exfiltration cumulatives : sélectionnez ce bouton pour afficher un graphique visuel de la façon dont l’activité se crée au fil du temps pour l’utilisateur.

8. Légende de l’activité à risque : en bas du graphique d’activité utilisateur, une légende codée en couleur vous permet de déterminer rapidement la catégorie de risque pour chaque alerte.

Explorateur d’activités

L’Explorateur d’activités fournit aux enquêteurs et aux analystes des risques un outil d’analyse complet qui fournit des informations détaillées sur les alertes. Avec l’Explorateur d’activités, les réviseurs peuvent rapidement passer en revue une chronologie d’activité potentiellement à risque détectée et identifier et filtrer toutes les activités à risque associées aux alertes.

Utiliser l’Explorateur d’activités

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Lors de l’examen des activités dans l’Explorateur d’activités, les enquêteurs et les analystes peuvent sélectionner une activité spécifique et ouvrir le volet détails de l’activité. Le volet affiche des informations détaillées sur l’activité que les enquêteurs et les analystes peuvent utiliser pendant le processus de triage des alertes. Des informations détaillées peuvent fournir un contexte pour l’alerte et aider à identifier l’étendue complète de l’activité à risque qui a déclenché l’alerte.

Lorsque vous sélectionnez les événements d’une activité dans le chronologie d’activité, le nombre d’activités affichées dans l’explorateur peut ne pas correspondre au nombre d’événements d’activité répertoriés dans le chronologie. Voici quelques exemples de raisons pour lesquelles cette différence peut se produire :

• Détection d’exfiltration cumulative : la détection d’exfiltration cumulative analyse les journaux des événements, mais applique un modèle qui inclut la déduplication d’activités similaires pour calculer le risque cumulé d’exfiltration. En outre, il peut également y avoir une différence dans le nombre d’activités potentiellement risquées affichées dans l’Explorateur d’activités si vous avez apporté des modifications à votre stratégie ou à vos paramètres existants. Par exemple, si vous modifiez des domaines autorisés/non autorisés ou ajoutez de nouvelles exclusions de type de fichier après la création d’une stratégie et que des correspondances d’activité potentiellement risquées se sont produites, les activités de détection d’exfiltration cumulatives diffèrent des résultats avant que la stratégie ou les paramètres ne changent. Les totaux d’activité de détection d’exfiltration cumulés sont basés sur la configuration de la stratégie et des paramètres au moment du calcul et n’incluent pas les activités antérieures aux modifications de la stratégie et des paramètres.
• E-mails aux destinataires externes : une activité potentiellement risquée pour les e-mails envoyés à des destinataires externes se voit attribuer un score de risque basé sur le nombre d’e-mails envoyés, qui peut ne pas correspondre aux journaux des événements d’activité.

Séquences qui contiennent des événements exclus du scoring des risques

Une séquence peut contenir un ou plusieurs événements exclus du scoring des risques en fonction de la configuration de vos paramètres. Par exemple, votre organization peut utiliser le paramètre Détections intelligentes pour exclure .png fichiers du scoring des risques, car .png fichiers ne sont normalement pas risqués. Mais un fichier .png peut être utilisé pour masquer une activité malveillante. Pour cette raison, si un événement exclu du scoring de risque fait partie d’une séquence en raison d’une activité d’obfuscation, l’événement est inclus dans la séquence, car il peut être intéressant dans le contexte de la séquence.

L’Explorateur d’activités affiche les informations suivantes pour les événements exclus par séquences :

• Si une séquence contient une étape où tous les événements sont exclus, l’insight inclut uniquement le nom et la date de l’activité. Sélectionnez le lien Afficher les événements exclus pour filtrer les événements exclus dans l’Explorateur d’activités. L’icône de nuage de points de l’activité utilisateur a un score de risque de 0 si tous les événements sont exclus.
• Si une séquence a un insight dans lequel certains événements sont exclus, les informations relatives aux événements non exclus s’affichent, mais le nombre d’événements n’inclut pas les événements exclus. Sélectionnez le lien Afficher les événements exclus pour filtrer les événements exclus dans l’Explorateur d’activités.
• Si vous sélectionnez un lien de séquence pour un insight, vous pouvez explorer la séquence d’événements dans le volet détails de l’activité, y compris tous les événements qui ont été exclus du scoring. Un événement exclu du scoring est marqué comme Exclu.

Filtrer les alertes dans l’Explorateur d’activités

Pour filtrer les alertes dans l’Explorateur d’activités pour les informations de colonne, sélectionnez Filtres. Vous pouvez filtrer les alertes par un ou plusieurs attributs répertoriés dans le volet d’informations de l’alerte. L’Explorateur d’activités prend également en charge les colonnes personnalisables pour aider les enquêteurs et les analystes à concentrer le tableau de bord sur les informations les plus importantes pour eux.

Utilisez les filtres Étendue d’activité, Facteur de risque et Révision status pour afficher et trier les activités et les insights pour les zones suivantes.

• Étendue de l’activité : filtre toutes les activités notées pour l’utilisateur.

  • Toutes les activités notées pour cet utilisateur
  • Activité notée uniquement dans cette alerte

• Facteur de risque : filtre l’activité du facteur de risque applicable à toutes les stratégies affectant des scores de risque Cela inclut toutes les activités de toutes les stratégies pour les utilisateurs dans l’étendue.

  • Activité inhabituelle
  • Inclut des événements avec du contenu prioritaire
  • Inclut des événements avec un domaine non autorisé
  • Activités de séquence
  • Activités d’exfiltration cumulatives
  • Activités d’accès aux enregistrements d’intégrité
  • Utilisation risquée du navigateur

• Vérifier status : filtre les status de révision de l’activité.

  • tous
  • Pas encore examiné (filtre toute activité faisant partie d’une alerte ignorée ou résolue)

Enregistrer une vue d’un filtre à réutiliser ultérieurement

Si vous créez un filtre et personnalisez les colonnes pour le filtre, vous pouvez enregistrer une vue de vos modifications afin que vous ou d’autres utilisateurs puissiez rapidement filtrer les mêmes modifications plus tard. Lorsque vous enregistrez une vue, vous enregistrez les filtres et les colonnes. Lorsque vous chargez la vue, elle charge les filtres et les colonnes enregistrés.

1. Créez un filtre et personnalisez les colonnes.

   Conseil

   Si vous souhaitez recommencer à tout moment, sélectionnez Réinitialiser. Pour modifier les colonnes que vous avez personnalisées, sélectionnez Réinitialiser les colonnes.

2. Lorsque vous avez le filtre comme vous le souhaitez, sélectionnez Enregistrer cet affichage, entrez un nom pour l’affichage, puis sélectionnez Enregistrer.

   Remarque

   La longueur maximale d’un nom d’affichage est de 40 caractères et vous ne pouvez pas utiliser de caractères spéciaux.

3. Pour réutiliser l’affichage du filtre ultérieurement, sélectionnez Affichages, puis sélectionnez l’affichage que vous souhaitez ouvrir sous l’onglet Affichages recommandés (affiche les affichages les plus utilisés) ou l’onglet Affichages personnalisés (les filtres les plus fréquemment utilisés sont affichés en haut de la liste).

Lorsque vous sélectionnez une vue de cette façon, il réinitialise tous les filtres existants et les remplace par la vue que vous avez sélectionnée.

Créer un cas pour une alerte

Vous pouvez créer un cas pour une alerte si vous souhaitez examiner plus en détail les activités potentiellement à risque.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Limites de rétention et d’élément

À mesure que les alertes de gestion des risques internes vieillissent, leur valeur pour réduire les activités potentiellement risquées diminue pour la plupart des organisations. À l’inverse, les cas actifs et les artefacts associés (alertes, insights, activités) sont toujours précieux pour les organisations et ne doivent pas avoir de date d’expiration automatique. Cela inclut toutes les alertes et artefacts futurs dans un status actif pour tout utilisateur associé à un cas actif.

Pour réduire le nombre d’éléments plus anciens qui fournissent une valeur actuelle limitée, la rétention et les limites suivantes s’appliquent aux alertes, cas et rapports utilisateur de gestion des risques internes :

Élément	Rétention/limite
Alertes avec besoins status de révision	120 jours après la création de l’alerte, puis automatiquement supprimée
Cas actifs (et artefacts associés)	Rétention indéfinie, n’expire jamais
Cas résolus (et artefacts associés)	120 jours à partir de la résolution du cas, puis supprimé automatiquement
Nombre maximal de cas actifs	100
Rapports d’activités utilisateur	120 jours après la création du rapport, puis automatiquement supprimé

Obtenir de l’aide sur la gestion de votre file d’attente d’alerte de risque interne

L’examen, l’examen et l’action sur les alertes internes potentiellement risquées sont des éléments importants de la réduction des risques internes dans votre organization. Prendre rapidement des mesures pour minimiser l’impact de ces risques peut potentiellement faire gagner du temps, de l’argent et des conséquences réglementaires ou juridiques pour votre organization. Dans ce processus de correction, la première étape de l’examen des alertes peut sembler la tâche la plus difficile pour de nombreux analystes et enquêteurs. Selon vos circonstances, vous pouvez rencontrer des obstacles mineurs lorsque vous agissez sur des alertes internes potentiellement risquées. Passez en revue les recommandations suivantes et découvrez comment optimiser le processus de révision des alertes.

Trop peu d’alertes à examiner

Si vous recevez trop peu d’alertes :

• Mettez à jour vos paramètres. Les modifications que vous apportez aux paramètres s’appliquent globalement à toutes vos stratégies.

  • Activez d’autres indicateurs. La sélection d’autres indicateurs donne à vos stratégies un plus grand groupe d’activités à détecter.

    Accédez à Paramètres>Indicateurs de stratégie, puis activez tous les indicateurs disponibles et pertinents.

  • Générez d’autres alertes en ajustant le curseur Volume de l’alerte . Utilisez ce curseur pour afficher toutes les alertes de gravité moyenne et élevée, ainsi que la plupart des alertes de gravité faible. Remarque : L’ajustement du curseur peut entraîner davantage de faux positifs.

    Accédez à Paramètres>Détections intelligentes>Volume d’alerte, puis déplacez le curseur sur Autres alertes.

• Identifiez la stratégie qui ne génère pas suffisamment d’alertes :

  • Augmentez la couverture utilisateur dans la stratégie. Les stratégies avec peu d’utilisateurs inclus dans l’étendue sont moins susceptibles de générer des alertes. Le cas échéant, envisagez d’augmenter le nombre d’utilisateurs dans l’étendue de votre stratégie.

    Sélectionnez une stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, puis accédez à la page Utilisateurs et groupes pour augmenter le nombre d’utilisateurs dans l’étendue.

  • Réduisez les seuils de déclencheur dans la stratégie. Les stratégies basées sur les fuites de données et les modèles Utilisation du navigateur à risque (préversion) vous permettent de personnaliser certains seuils de déclencheur. Ces seuils définissent le moment où vous allez commencer à détecter les activités des utilisateurs. Si vous réduisez les seuils de déclencheur, vous réduisez les critères permettant à un utilisateur de commencer à être évalué pour une activité à risque. Remarque : Si un utilisateur n’apparaît pas dans la page Utilisateurs et groupes , cela signifie que les critères d’événement de déclenchement n’ont pas encore été remplis.

    Accédez à la stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, accédez à la page Seuils de déclenchement, sélectionnez l’option Utiliser des seuils personnalisés , puis définissez vos seuils.

  • Modifier les indicateurs dans la stratégie. Les indicateurs sont les activités qu’un utilisateur doit effectuer pour être considéré comme risqué. Si vous n’avez pas beaucoup d’indicateurs (activités considérées comme risquées) sélectionnés dans votre stratégie, les alertes sont moins susceptibles d’être générées.

    Accédez à la stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, puis accédez à la page Indicateurs .

  • Seuils d’indicateur inférieurs dans la stratégie. Une fois que vos utilisateurs commencent à être évalués (ont un événement déclencheur), une alerte est générée uniquement pour ces utilisateurs s’ils effectuent des activités au-dessus d’un certain seuil qui peuvent indiquer que leur activité est risquée. L’abaissement des seuils d’indicateur réduit le seuil que les utilisateurs doivent dépasser pour générer une alerte.

    Accédez à la stratégie spécifique dans la page Stratégies , sélectionnez Modifier la stratégie, accédez à la page Seuils d’indicateur, sélectionnez l’option Personnaliser les seuils , puis définissez vos seuils.

Trop d’alertes à examiner

Si vous recevez trop d’alertes valides ou si vous avez trop d’alertes obsolètes à faible risque, envisagez d’effectuer les actions suivantes :

• Activer l’analytique : l’activation de l’analytique peut vous aider à identifier rapidement les zones de risque potentielles pour vos utilisateurs et à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous souhaiterez peut-être configurer. Pour en savoir plus sur les insights d’analytique, consultez Paramètres de gestion des risques internes : Analytique. Vous pouvez également obtenir des insights en temps réel à partir de l’analytique si vous souhaitez tirer parti d’une expérience de configuration de seuil guidée (pilotée par les données) pour vous aider à configurer les seuils appropriés lorsque vous créez une stratégie ou paramétrez une stratégie existante. Ces insights peuvent vous aider à ajuster efficacement la sélection des indicateurs et des seuils d’occurrence d’activité afin de ne pas recevoir trop ou trop d’alertes de stratégie. Pour plus d’informations, consultez Utiliser l’analytique en temps réel pour gérer le volume des alertes.

• Ajuster vos stratégies de risque interne : la sélection et la configuration de la stratégie de risque interne appropriée est la méthode la plus simple pour traiter le type et le volume des alertes. Le fait de commencer par le modèle de stratégie approprié permet de concentrer les types d’activités à risque et d’alertes que vous voyez. Les autres facteurs susceptibles d’avoir un impact sur le volume des alertes sont la taille de l’utilisateur et des groupes dans l’étendue, ainsi que le contenu et les canaux qui sont hiérarchisés. Envisagez d’ajuster les stratégies pour affiner ces domaines en fonction de ce qui est le plus important pour votre organization.

• Modifier vos paramètres de risque interne : les paramètres de risque interne incluent un large éventail d’options de configuration qui peuvent avoir un impact sur le volume et les types d’alertes que vous recevez. Veillez à examiner et à comprendre les paramètres suivants pour filtrer le bruit d’alerte :

  • Indicateurs de stratégie et seuils d’indicateurs
  • Détections intelligentes
  • Groupes de détection
  • Variantes des indicateurs intégrés
  • Délais de la stratégie

• Activer la personnalisation des alertes inline : l’activation de la personnalisation des alertes inline permet aux analystes et aux enquêteurs de modifier rapidement les stratégies lors de l’examen des alertes. Ils peuvent mettre à jour les seuils de détection d’activité avec les recommandations De Microsoft, configurer des seuils personnalisés ou choisir d’ignorer le type d’activité qui a créé l’alerte. Si ce n’est pas activé, seuls les utilisateurs affectés au groupe de rôles Gestion des risques internes peuvent utiliser la personnalisation des alertes inline.

• Suppression en bloc des alertes le cas échéant : cela peut vous aider à gagner du temps de tri pour que vos analystes et enquêteurs ignorent immédiatement plusieurs alertes à la fois. Vous pouvez sélectionner jusqu’à 400 alertes à ignorer simultanément.

Pas familiarisé avec le processus de triage des alertes

L’examen et l’action des alertes dans la gestion des risques internes sont simples :

1. Passez en revue le tableau de bord d’alerte pour les alertes avec un status de révision des besoins. Filtrez par état d’alerte si nécessaire pour vous aider à localiser ces types d’alertes.
2. Commencez par les alertes avec la gravité la plus élevée. Filtrez par gravité d’alerte si nécessaire pour vous aider à localiser ces types d’alertes.
3. Sélectionnez une alerte pour découvrir plus d’informations et passer en revue les détails de l’alerte. Si nécessaire, utilisez l’Explorateur d’activités pour passer en revue une chronologie du comportement potentiellement risqué associé et identifier toutes les activités à risque pour l’alerte.
4. Agir sur l’alerte. Vous pouvez confirmer et créer un cas pour l’alerte ou ignorer et résoudre l’alerte.

Contraintes de ressources dans mon organization

Les utilisateurs de l’espace de travail moderne ont souvent une grande variété de responsabilités et de demandes sur leur temps. Vous pouvez effectuer plusieurs actions pour résoudre les contraintes de ressources :

• Concentrez d’abord les efforts de l’analyste et de l’enquêteur sur les alertes à risque le plus élevé. Selon vos stratégies, vous pouvez capturer les activités des utilisateurs et générer des alertes avec différents degrés d’impact potentiel sur vos efforts d’atténuation des risques. Filtrez les alertes par gravité et hiérarchisez les alertes de gravité élevée .
• Affecter des utilisateurs en tant qu’analystes et enquêteurs. Le fait que l’utilisateur approprié soit affecté aux rôles appropriés est une partie importante du processus de révision des alertes de risque interne. Vérifiez que vous avez affecté les utilisateurs appropriés aux groupes de rôles Analystes de gestion des risques internes et Enquêteurs en gestion des risques internes .
• Utilisez les fonctionnalités automatisées de risque interne pour vous aider à découvrir les activités à risque le plus élevé.
  • Utilisez la détection de séquence de gestion des risques internes et la détection cumulative de l’exfiltration pour détecter rapidement les risques plus difficiles dans votre organization.
  • Envisagez de peaufiner vos boosters de score de risque et d’utiliser des détections intelligentes, desgroupes de détection et des variantes.
  • Ajustez les paramètres de seuil d’indicateur minimal pour vos stratégies.