Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce scénario montre comment améliorer une stratégie DLP Microsoft Purview existante en activant les alertes en temps réel pour les correspondances de stratégie impliquant des données d’identification personnelle des États-Unis . Les alertes sont configurées pour avertir les administrateurs chaque fois qu’une correspondance se produit, ce qui améliore la visibilité et la préparation des réponses pendant que la stratégie continue de s’exécuter sans restreindre l’activité des utilisateurs.
Ce scénario s’adresse à un administrateur non restreint qui modifie une stratégie d’étendue de répertoire complet.
Conditions préalables et hypothèses
Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de Protection contre la perte de données Microsoft Purview (DLP). Parcourez ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.
Importante
Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.
La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.
Ce scénario utilise l’étiquette confidentialité . Il vous oblige donc à créer et à publier des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :
- En savoir plus sur les étiquettes de niveau de confidentialité
- Prise en main des étiquettes de confidentialité
- Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies
Cette procédure utilise un groupe de distribution hypothétique Ressources humaines et un groupe de distribution pour l’équipe de sécurité au Contoso.com.
Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données
Mappage et instruction d’intention de stratégie
Nous, Contoso, avons déjà déployé une stratégie pour surveiller l’activité des informations d’identification personnelle (PII) américaines sur les appareils de point de terminaison en mode audit. Après avoir examiné les résultats initiaux, nous voulons maintenant améliorer notre visibilité en veillant à ce que les administrateurs soient avertis de manière proactive lorsque des correspondances de stratégie se produisent. Pour ce faire, nous allons modifier la stratégie existante pour générer des alertes chaque fois qu’une activité liée aux informations d’identification personnelle de faible volume est détectée. Ces alertes seront envoyées en temps réel aux administrateurs afin qu’ils puissent rapidement examiner les risques potentiels et y répondre. La stratégie continuera de fonctionner sans restreindre l’activité des utilisateurs, en conservant l’approche d’audit d’abord tout en améliorant la sensibilisation aux incidents et la préparation à la réponse.
| Statement | Réponse à la question de configuration et mappage de configuration |
|---|---|
| « Nous voulons améliorer notre politique de surveillance existante sans modifier son étendue... » | - Étendue administrative : Répertoire complet (inchangé) - Où surveiller : Appareils (inchangés) - Stratégie existante réutilisée et modifiée |
| « Nous voulons générer des alertes lorsque les conditions de stratégie d’identification personnelle des États-Unis sont mises en correspondance... » | - Règle modifiée : Faible volume de contenu détecté scénarios de données piI américaines améliorées - Condition : la logique de détection des informations d’identification personnelle existante du modèle est conservée |
| « Nous voulons que les administrateurs soient avertis automatiquement lorsque des correspondances se produisent... » | - Rapports d’incident : activez « Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit » - Destinataires : administrateur par défaut et destinataires configurés supplémentaires |
| « Nous voulons une visibilité immédiate de chaque événement correspondant... » | - Fréquence de l’alerte : envoyer une alerte chaque fois qu’une activité correspond à la règle |
| « Nous voulons améliorer la préparation de la réponse sans perturber les utilisateurs... » | - Actions de protection : aucune modification de blocage ou de restriction - La stratégie continue dans le comportement d’audit/simulation |
| « Nous voulons valider le comportement d’alerte parallèlement au suivi de l’activité... » | - Surveillance : Explorateur d’activités utilisé pour mettre en corrélation les événements et les alertes - Test : déclencher une stratégie à l’aide d’un fichier de test avec le contenu piI correspondant |
Étapes de création d’une stratégie
Connectez-vous au portail >Microsoft PurviewStratégies de protection contre la> perte de données.
Choisissez la stratégie améliorée des données d’identification personnelle (PII) des États-Unis que vous avez créée dans le scénario 1.
Choisissez Modifier la stratégie.
Accédez à la page Personnaliser les règles DLP avancées et modifiez les scénarios U.S. PII Data Enhanced pour le faible volume de contenu détecté.
Faites défiler jusqu’à la section Rapports d’incidents et basculez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé. Email alertes sont automatiquement envoyées à l’administrateur et à toute autre personne que vous ajoutez à la liste des destinataires.
Dans le cadre de ce scénario, sélectionnez Envoyer une alerte chaque fois qu’une activité correspond à la règle.
Cliquez sur Enregistrer.
Conservez tous vos paramètres précédents en choisissant Suivant dans le reste de l’Assistant, puis Envoyer les modifications de stratégie.
Essayez de partager un élément de test contenant du contenu qui déclenchera la condition de données des informations d’identification personnelle (PII) américaines. Cette opération doit déclencher la stratégie.
Vérifiez l’événement dans l’Explorateur d’activités.