Stratégies des alertes dans le centre de conformité Office 365 sécurité

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Vous pouvez utiliser les outils de tableau de bord alerte et de règle d’alertes dans le Centre de sécurité et conformité Office 365 pour créer des stratégies d’alerte puis afficher les alertes qui sont générés lorsque les utilisateurs effectuent des activités qui correspondent aux conditions d’une stratégie d’alerte. Alerte empiler et d’étendre les fonctionnalités des alertes d’activité en vous permettant de classer la stratégie d’alerte, appliquer la stratégie à tous les utilisateurs de votre organisation, définir un niveau seuil de déclenche d’une alerte, des stratégies et décider de recevoir des courriers électroniques ou non notifications. Il existe également un affichage des alertes alertes de page dans Centre de sécurité et conformité dans laquelle vous pouvez afficher et filtrer, définir le statut d’un alert pour vous aider à gérer les alertes et ignorer puis alertes une fois que vous avez adressé ou résolus sous-jacent incidents. Nous avons également élargi le type d’événements que vous pouvez créer des alertes pour. Par exemple, vous pouvez créer des stratégies des alertes pour suivre les activités des logiciels malveillants et incidents de perte de données. Pour finir, nous avons également inclus un certain nombre de par défaut alerte stratégies pour vous aider à surveiller les privilèges d’administrateur affectation dans Exchange Online, attaques de programmes malveillants et inhabituels niveaux de suppressions de fichier et le partage externe.

Remarque : Stratégies des alertes nécessitent un Office 365 E5 abonnement pour votre organisation. Par ailleurs, vous devez un Office 365 E3 abonnement avec une Office 365 menaces ou Office 365 abonnement de module complémentaire de conformité avancées à utiliser les stratégies d’alerte. Notez qu’un abonnement conformité avancées non prises en charge les stratégies des alertes liées à attaques de programmes malveillants et les messages de phishing.

Contenu

Comment alerte stratégies travail

Paramètres de stratégie d’alerte

Stratégies des alertes par défaut

Affichage des alertes

Gestion des alertes

Comment alerte stratégies travail

Voici un bref aperçu de travail stratégies comment alerte et les alertes qui sont des déclencheurs lors de l’activité utilisateur ou administrateur répondent aux conditions d’une stratégie d’alerte.

Vue d’ensemble du travail de stratégies comment alerte
  1. Un administrateur de votre organisation crée, configure et Active une stratégie d’alerte à l’aide de la page stratégies des alertes dans la Centre de sécurité et conformité. Vous pouvez également créer des stratégies des alertes à l’aide de l’applet de commande New-ProtectionAlert dans PowerShell.

  2. Un utilisateur effectue une activité répondant aux conditions d’une stratégie d’alerte. Dans le cas d’attaques de programmes malveillants, les messages électroniques infectés envoyés aux utilisateurs de votre organisation peuvent déclencher une alerte.

  3. Office 365 génère une alerte qui s’affiche dans la page Afficher les alertes dans la Centre de sécurité et conformité. En outre, si les notifications par courrier électronique sont activées pour la stratégie d’alerte, Office 365 envoie une notification à une liste de destinataires.

  4. Un administrateur gère les alertes dans la Centre de sécurité et conformité. Gestion des alertes se compose de l’affectation d’un état d’alerte pour aider à effectuer le suivi et gérer une enquête.

Revenir au début

Paramètres de stratégie d’alerte

Une stratégie d’alerte est constitué d’un ensemble de règles et les conditions qui définissent l’utilisateur ou l’activité d’administration qui génère une alerte, une liste des utilisateurs qui se déclenche l’alerte si elles effectuent l’activité, et seuil qui définit la fréquence à laquelle l’activité doit avoir lieu avant un alerte n se déclenche. Classer la stratégie de vous attribuez un niveau de gravité. Ces deux paramètres vous aident à gérer les stratégies des alertes (et les alertes qui sont déclenchés lorsque les conditions de stratégie correspondent), car vous pouvez filtrer sur ces paramètres lors de la gestion des stratégies et affichage des alertes dans la Centre de sécurité et conformité. Par exemple, vous pouvez afficher les alertes répondant aux conditions de la même catégorie ou afficher les alertes avec le même niveau de gravité.

Pour afficher et créer des stratégies d’alerte, accédez aux alertes > stratégies des alertes dans la Centre de sécurité et conformité.

Dans la sécurité et Complinace centre, cliquez sur alertes, puis cliquez sur Stratégies des alertes pour afficher et créer des stratégies des alertes

Une stratégie d’alerte se compose des conditions et les paramètres suivants.

  • Suivi des activités l’alerte    Vous créez une stratégie pour effectuer le suivi d’une activité ou dans certains cas, quelques rubriques connexes, tels un partage d’un fichier avec un utilisateur externe en le partageant, attribution d’autorisations d’accès ou en créant un lien anonyme. Lorsqu’un utilisateur effectue les activités définies par la stratégie, une alerte est déclenchée en fonction des paramètres seuil d’alerte.

  • Conditions d’activité    Pour la plupart des activités, vous pouvez définir des conditions supplémentaires qui doivent être réunies pour une alerte pour être déclenchées. Conditions courantes incluent IP adresses (de sorte qu’une alerte est déclenchée lorsque l’utilisateur effectue l’activité sur un ordinateur avec une adresse IP spécifique ou à une plage d’adresses IP), si une alerte est déclenchée si un ou plusieurs utilisateurs spécifiques effectuer cette activité et si l’activité est exécutée sur un nom de fichier spécifique ou une URL. Vous pouvez également configurer une condition qui se déclenche une alerte lorsque l’activité est exécutée par les utilisateurs de votre organisation. Notez que les conditions disponibles dépendent de l’activité sélectionnée.

  • Seuil d’alerte    Vous pouvez configurer un paramètre de seuil qui définit la fréquence à laquelle une activité peut se produire avant le déclenche d’une alerte. Cela vous permet de définir une stratégie pour générer une alerte chaque fois qu’une activité correspond à ces conditions de stratégie ou uniquement quand un certain seuil est dépassé. Le seuil définit le nombre de fois une activité peut se produire dans une plage horaire qu’une alerte est générée.

    Vous pouvez également attribuer un seuil d’alerte basé sur une activité inhabituelle . Si vous sélectionnez ce type de paramètre seuil, Office 365 établit une valeur de référence qui définit la fréquence normale pour l’activité sélectionnée ; Il faut jusqu'à sept jours pour établir cette référence, pendant laquelle les alertes ne peut pas être générées. Une fois le planning de référence est établie, une alerte sera déclenchée lorsque la fréquence de l’activité suivie par la stratégie d’alerte considérablement dépasse la valeur de référence. Pour les activités liées à l’audit (par exemple, les activités de fichier et de dossier), vous pouvez définir un planning de référence basée sur un seul utilisateur ou sur tous les utilisateurs de votre organisation ; pour les activités liées aux logiciels malveillants, vous pouvez définir un planning de référence basée sur une famille de logiciels malveillants unique, un seul destinataire ou tous les messages dans votre organisation.

  • Catégorie d’alerte    Pour aider à suivre et à gérer les alertes générées par une stratégie, vous pouvez affecter une des catégories suivantes à une stratégie.

    • Gouvernance des données

    • Protection contre la perte de données

    • Autorisations

    • Gestion des menaces

    • Autres

    Lorsqu’une activité se produit répondant aux conditions de la stratégie d’alerte, l’alerte est généré balisé par la catégorie définie dans ce paramètre. Cela permet d’effectuer le suivi et de gérer les alertes qui ont le même paramètre de catégorie dans la page Afficher les alertes dans la Centre de sécurité et conformité parce que vous pouvez trier et filtrer les alertes selon la catégorie.

  • Gravité d’alerte    Similaire à la catégorie d’alerte, vous affectez un attribut gravité (faible, moyenne ou grande ) à stratégies des alertes. Comme la catégorie d’alerte, lorsqu’une activité se produit répondant aux conditions de la stratégie d’alerte, l’alerte est généré balisé avec le même niveau de gravité est défini pour la stratégie d’alerte. Là encore, cela permet d’effectuer le suivi et de gérer les alertes qui ont le même paramètre gravité dans la page Afficher les alertes. Par exemple, vous pouvez filtrer la liste des alertes afin que seules les alertes gravité est élevé sont affichent.

    Conseil : Lorsque vous configurez une stratégie d’alerte, vous pouvez affecter une gravité aux activités pouvant entraîner de conséquences strictement négatives, telles que la détection de logiciels malveillants après leur livraison aux utilisateurs, l’affichage des données sensibles ou confidentielles, partage de données avec des utilisateurs externes, ou d’autres activités pouvant entraîner menaces de perte ou de sécurité des données. Cela peut vous aider à hiérarchiser les alertes et les actions à qu'entreprendre pour identifier et résoudre les causes sous-jacentes.

  • Notifications par courrier électronique    Vous pouvez configurer la stratégie afin que les notifications par courrier électronique sont envoyées (ou ne pas envoyer) à une liste des utilisateurs lorsqu’une alerte est déclenchée. Vous pouvez également définir une limite de notification quotidienne afin qu’une fois que le nombre maximal de notifications a été atteinte, aucun plus notifications ne sont envoyées pour l’alerte pendant ce jour. Dans supplémentaires pour les notifications, de messagerie que vous ou autres administrateurs peuvent afficher les alertes qui sont déclenchés par une stratégie dans la page Afficher les alertes. Pensez à activer les notifications par courrier électronique pour les stratégies des alertes d’une catégorie spécifique ou qui ont un paramètre de gravité plus élevé.

Revenir au début

Stratégies des alertes par défaut

Office 365 fournit les règles d’alerte intégrées suivantes qui permettent d’identifier abuse d’autorisations d’administration Exchange, les activités des logiciels malveillants et les risques de gouvernance données. Ces politiques sont activées par défaut. Désactiver ces politiques (ou vice versa sur), configurer une liste de destinataires à envoyer des notifications par courrier électronique à et définir une limite de notification quotidienne. Les autres paramètres de ces stratégies ne peuvent pas être modifiés.

Dans la page stratégies des alertes, le nom de ces stratégies intégrées apparaissent en gras et le type de stratégie est défini comme système.

  • Création d’une règle de transfert de/redirection    Génère une alerte lorsqu’une personne de votre organisation crée une règle de boîte de réception de leur boîte aux lettres qui transfère ou redirige les messages vers un autre compte de messagerie. Cette stratégie suit uniquement les règles de boîte de réception sont créées à l’aide de Outlook Web App ou Exchange Online PowerShell. Cette stratégie a un paramètre de gravité faible. Pour plus d’informations à l’aide de règles de boîte de réception à transférer et rediriger les messages dans Outlook Web App, voir utiliser des règles dans Outlook Web App pour transférer automatiquement des messages vers un autre compte.

  • Privilèges d’administrateur élévation d’Exchange    Génère une alerte lorsqu’une personne reçoit des autorisations d’administration dans votre organisation Exchange Online; par exemple, si un utilisateur est ajouté au groupe de rôles gestion de l’organisation dans Exchange Online. Cette stratégie a un paramètre de gravité faible.

  • Les programmes malveillants campagne détecté après remise    Génère une alerte lorsqu’un inhabituelle grand nombre de messages contiennent des logiciels malveillants est remis aux boîtes aux lettres de votre organisation. Si cet événement se produit, Office 365 supprime les messages infectés Exchange Online boîtes aux lettres. Cette stratégie a un paramètre de gravité élevé.

  • Campagne de logiciels malveillants détectés et bloqués    Génère une alerte lorsqu’une personne a tenté d’envoyer un inhabituelle grand nombre de messages électroniques contenant un certain type de logiciels malveillants aux utilisateurs de votre organisation. Si cet événement se produit, les messages infectés sont bloqués par Office 365 et pas été remis aux boîtes aux lettres. Cette stratégie a un paramètre de gravité faible.

  • Campagne de logiciels malveillants détectée dans SharePoint and OneDrive   génère une alerte lorsqu’un grand volume de logiciels malveillants ou virus sont détectées dans les fichiers situés dans des sites SharePoint ou OneDrive comptes dans votre organisation. Cette stratégie a un paramètre de gravité élevé.

  • Activité du fichier d’utilisateur externe inhabituels    Génère une alerte lorsqu’un généralement grand nombre d’activités est effectué sur des fichiers dans SharePoint ou OneDrive par les utilisateurs externes à votre organisation. Cela inclut les activités telles que l’accès aux fichiers, téléchargement de fichiers et suppression de fichiers. Cette stratégie a un paramètre de gravité élevé.

  • Partage de volume inhabituel de fichier externe    Génère une alerte lorsqu’un généralement grand nombre de fichiers dans SharePoint ou OneDrive est partagé avec des utilisateurs externes à votre organisation. Cette stratégie a un paramètre de gravité moyenne.

  • Volume inhabituel de suppression des fichiers    Génère une alerte lorsqu’un inhabituelle grand nombre de fichiers est supprimé dans SharePoint ou OneDrive dans un court délai. Cette stratégie a un paramètre de gravité moyenne.

  • Inhabituelle augmenter par courrier électronique signalé comme hameçonnage    Génère une alerte lorsqu’il y a une augmentation significative du nombre de personnes de votre organisation à l’aide de la macro complémentaire Message du rapport dans Outlook aux messages de rapport en tant que courrier hameçonnage. Cette stratégie a un paramètre de gravité élevé. Pour plus d’informations sur ce complément, voir utiliser le complément Message du rapport.

Notez que l’activité inhabituelle contrôlée par certaines stratégies intégrées est basée sur la même procédure que le seuil d’alerte qui a déjà été décrite. Office 365 établit une valeur de référence qui définit la fréquence normale pour l’activité « habituelle ». Alertes sont alors déclenchées lors de la fréquence des activités suivies par la stratégie d’alerte intégrée considérablement dépasse la valeur de référence.

Revenir au début

Affichage des alertes

Lorsqu’une activité effectuée par les utilisateurs de votre organisation correspondent aux paramètres d’une stratégie d’alerte, une alerte est générée et affichée dans la page Afficher les alertes dans la Centre de sécurité et conformité. Selon les paramètres d’une stratégie d’alerte, une notification par courrier électronique est également envoyée à une liste d’utilisateurs spécifiés lorsqu’une alerte est déclenchée. Pour chaque alerte, le tableau de bord dans la page Afficher les alertes affiche le nom de la stratégie d’alerte correspondante, la catégorie et la gravité de l’alerte (défini dans la stratégie d’alerte) et le nombre de fois qu'une activité s’est produite qui a donné lieu dans l’alerte en cours généré ; Cette valeur est basée sur le paramètre de seuil de la stratégie d’alerte. Le tableau de bord affiche également l’état de chaque alerte. Consultez la section Gestion des alertes pour plus d’informations sur l’utilisation de la propriété status pour gérer les alertes.

Pour afficher les alertes, accédez aux alertes > Afficher les alertes dans la Centre de sécurité et conformité.

Dans la sécurité et Complinace centre, cliquez sur alertes, puis cliquez sur Afficher les alertes pour afficher les alertes

Vous pouvez utiliser les filtres suivants pour afficher un sous-ensemble de toutes les alertes dans la page Afficher les alertes.

  • État    Utilisez ce filtre pour afficher les alertes affectés un statut particulier ; l’état par défaut est actif. Vous ou autres administrateurs peuvent modifier la valeur de statut.

  • Stratégies    Utilisez ce filtre pour afficher les alertes qui correspondent à la configuration de stratégies alertes un ou plusieurs. Ou bien, vous pouvez simplement afficher toutes les alertes pour tous les stratégies des alertes.

  • Laps de temps    Utilisez ce filtre pour afficher les alertes qui ont été générés au sein d’une date spécifique et la plage horaire.

  • Gravité    Utilisez ce filtre pour afficher les alertes affectés une gravité spécifique.

  • Catégorie    Utilisez ce filtre pour afficher les alertes à partir d’une ou plusieurs catégories d’alerte.

Revenir au début

Gestion des alertes

Une fois les alertes ont été générés et affichés dans la page Afficher les alertes dans la Centre de sécurité et conformité, vous pouvez trier, étudier et les résoudre. Voici certaines tâches que vous pouvez effectuer pour gérer les alertes.

  • Affecter un statut aux alertes    Vous pouvez affecter un des statuts suivants aux alertes : Active (la valeur par défaut), Investigating, résolu ou Dismissed. Ensuite, vous pouvez filtrer ce paramètre pour afficher les alertes avec le même paramètre d’état. Ce paramètre de statut permettent de suivre le processus de gestion des alertes.

  • Afficher les détails d’alerte    Vous pouvez cliquer sur une alerte pour afficher une page volant avec des détails sur l’alerte. Les informations détaillées dépendant de la stratégie d’alerte correspondante, mais il comprend généralement les éléments suivants : nom de l’opération réelle qui a déclenché l’alerte (par exemple, une applet de commande), une description de l’activité qui a déclenché l’alerte, l’utilisateur (ou la liste des utilisateurs) qui a déclenché l’alerte, et le nom (et le lier) du correspondant avertit stratégie.

    • Le nom de l’opération réelle qui a déclenché l’alerte, par exemple une applet de commande ou une opération de journal d’audit.

    • Une description de l’activité qui a déclenché l’alerte.

    • L’utilisateur qui a déclenché l’alerte ; Il s’agit inclus uniquement pour les stratégies d’alerte qui sont configurés pour effectuer le suivi d’un utilisateur unique ou une seule activité.

    • Le nombre de fois l’activité suivie par l’alerte a été effectué. Notez que ce numéro peut correspond pas à ce nombre réel d’alertes connexes répertorié dans la page Afficher les alertes car des alertes supplémentaires ont été déclenchées.

    • Un lien vers une liste d’activités qui inclut un élément pour chaque activité qui a été exécutée qui a déclenché l’alerte. Chaque entrée de cette liste identifie lorsque l’activité s’est produite, le nom de l’opération réelle, (par exemple, « FileDeleted ») et l’utilisateur ayant effectué l’activité, l’objet (par exemple, un fichier, un cas eDiscovery ou une boîte aux lettres) l’activité a été réalisée sur et l’adresse IP adresse de l’ordinateur de l’utilisateur. Pour les programmes malveillants associées alertes, cette fournit des liens vers une liste de messages.

    • Nom (et lien vers) de la stratégie d’alerte correspondante.

  • Supprimer les notifications de messagerie    Vous pouvez désactiver (ou supprimer) les notifications par courrier électronique à partir de la page volant d’une alerte. Lorsque vous supprimez des notifications par courrier électronique, Office 365 ne sont pas envoyer de notifications lorsque les activités ou des événements qui remplissent les conditions de la stratégie d’alerte. Toutefois, des alertes continueront d’être déclencheur lorsque activités effectuées par les utilisateurs répondent aux conditions de la stratégie d’alerte. Vous pouvez également désactiver les notifications par courrier électronique en modifiant la stratégie d’alerte.

  • Résoudre les alertes    Vous pouvez marquer une alerte comme résolu dans la page volant d’une alerte (qui définit l’état de l’alerte à résolu ). Sauf si vous modifiez le filtre, alertes résolues ne sont pas affichées dans la page Afficher les alertes.

Revenir au début

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×