Contrôler les applications cloud avec des stratégies

  • Article

Les stratégies vous permettent de définir la manière dont les utilisateurs doivent se comporter dans le cloud. Elles vous permettent de détecter les comportements risqués, les violations ou les points de données et activités suspects dans votre environnement cloud. Si nécessaire, vous pouvez intégrer des flux de travail de correction afin d’atténuer les risques complets. Plusieurs types de stratégies correspondent aux différents types d’informations que vous voulez recueillir sur votre environnement cloud et les types d’actions de correction que vous pouvez effectuer.

Par exemple, si vous souhaitez mettre en quarantaine une menace de violation de données, vous avez besoin d’un autre type de stratégie que si vous souhaitiez empêcher une application cloud à risque d’être utilisée par votre organisation.

Types de stratégie

Lorsque vous examinez la page Gestion des stratégies, les différentes stratégies et les différents modèles peuvent être distingués par type et par icône pour savoir quelles stratégies sont disponibles. Les stratégies peuvent être affichées ensemble sous l’onglet Toutes les stratégies, ou dans leurs onglets de catégorie respectifs. Les stratégies disponibles dépendent de la source de données et de ce que vous avez activé dans Defender for Cloud Apps pour votre organisation. Par exemple, si vous avez chargé les journaux Découverte Cloud, les stratégies relatives à Découverte Cloud sont affichées.

Vous pouvez créer les types de stratégies suivants :

Icône de type de stratégie Type de stratégie Catégorie Option recommandée
activity policy icon. Stratégie d’activité Détection des menaces Avec les stratégies d’activité, vous pouvez appliquer une large gamme de processus automatisés en utilisant les API du fournisseur d’application. Ces stratégies vous permettent de surveiller des activités spécifiques effectuées par différents utilisateurs ou de suivre des taux d’activité élevés inattendus d’un certain type d’activité. En savoir plus
anomaly detection policy icon. Stratégie de détections d’anomalies Détection des menaces Les stratégies de détection des anomalies vous permettent de rechercher des activités inhabituelles sur votre cloud. La détection est basée sur les facteurs de risque que vous définissez pour vous alerter lorsque quelque chose se produit différemment de la base de référence de votre organisation ou de l’activité régulière de l’utilisateur. En savoir plus
OAuth app policy icon. Stratégie d’application OAuth Détection des menaces Les stratégies d’application OAuth vous permettent d’examiner les autorisations demandées par chaque application OAuth et de l’approuver ou de la révoquer automatiquement. Il s’agit des stratégies intégrées qui sont fournies avec Defender for Cloud Apps et qui ne peuvent pas être créées. En savoir plus
Malware detection policy icon. Stratégie de détections de programme malveillant Détection des menaces Les stratégies de détection des programmes malveillants vous permettent d’identifier les fichiers malveillants dans votre stockage cloud, puis de les approuver ou de les révoquer automatiquement. Il s’agit d’une stratégie intégrée disponible avec Defender for Cloud Apps, qui ne peut pas être créée. En savoir plus
file policy icon. Stratégie de fichier Protection des données Avec les stratégies de fichier, vous pouvez déterminer si vos applications cloud comportent certains fichiers ou types de fichiers (partagés, partagés avec des domaines externes), ou certaines données (informations propriétaires, informations personnelles, informations de carte de crédit et d’autres types de données), et appliquer des actions de gouvernance aux fichiers (les actions de gouvernance sont spécifiques aux applications cloud). En savoir plus
access policy icon. Ajouter une stratégie Accès conditionnel Les stratégies d’accès vous offrent une surveillance et un contrôle en temps réel des connexions utilisateur à vos applications cloud. En savoir plus
session policy icon. Stratégie de session Accès conditionnel Les stratégies de session vous offrent une surveillance et un contrôle en temps réel des activités utilisateur dans vos applications cloud. En savoir plus
cloud discovery policy icon. Stratégie de découverte d'application Informatique fantôme Les stratégies de découverte des applications vous permettent de définir des alertes qui vous avertissent lorsque de nouvelles applications sont détectées dans votre organisation. En savoir plus
anomaly detection policy icon. Stratégie de détections d’anomalies Cloud Discovery Informatique fantôme Les stratégies de détection des anomalies de Cloud Discovery examinent les journaux que vous utilisez pour découvrir les applications cloud et recherchent les occurrences inhabituelles. Par exemple, lorsqu’un utilisateur qui n’a jamais utilisé Dropbox avant de télécharger soudainement 600 Go dans Dropbox, ou lorsqu’il y a beaucoup plus de transactions que d’habitude sur une application particulière. En savoir plus

Identification des risques

Defender for Cloud Apps vous aide à atténuer les différents risques dans le cloud. Vous pouvez configurer n’importe quelle stratégie et alerte pour qu’elles soient associées à l’un des risques suivants :

  • Contrôle d’accès : Qui accède à quoi à partir d’où ?

    Surveillez le comportement et détectez les activités anormales en continu, notamment les attaques externes et internes à haut risque, et appliquez une stratégie d’alerte, de blocage ou de vérification d’identité pour toute application ou action spécifique dans une application. Active des stratégies de contrôle d’accès locales et mobiles basées sur l’utilisateur, l’appareil et la zone géographique avec un blocage approximatif et une vue granulaire, une modification et un blocage. Détectez les événements de connexion suspects, notamment les échecs d’authentification multifacteur, les échecs de connexion de compte désactivé et les événements d’emprunt d’identité.

  • Conformité : Vos contraintes de conformité sont-elles enfreintes ?

    Classez et identifiez les données sensibles ou réglementées, notamment les autorisations de partage pour chaque fichier, stockées dans des services de synchronisation de fichier pour assurer la conformité aux réglementations telles que PCI, SOX et HIPAA

  • Contrôle de configuration : Votre configuration fait-elle l’objet de modifications non autorisées ?

    Surveillez les modifications de configuration, notamment la manipulation de la configuration à distance.

  • Cloud Discovery : Des applications nouvelles sont-elles utilisées dans votre organisation ? Avez-vous un problème lié à l’utilisation d’applications informatiques fantôme que vous ne connaissez pas ?

    Évaluez le risque global pour chaque application cloud en fonction des certifications réglementaires et sectorielles et des meilleures pratiques. Vous permet de surveiller le nombre d’utilisateurs, d’activités, le volume de trafic et les heures d’utilisation standard pour chaque application cloud.

  • DLP : Des fichiers propriétaires sont-ils partagés publiquement ? Avez-vous besoin de mettre les fichiers en quarantaine ?

    L’intégration DLP locale fournit l’intégration et la correction en boucle fermée avec les solutions DLP locales existantes.

  • Comptes privilégiés : Devez-vous surveiller les comptes d’administrateur ?

    Surveillance et création de rapports d’activité en temps réel d’utilisateurs et d’administrateurs privilégiés.

  • Contrôle partagé : Comment les données sont-elles partagées dans votre environnement cloud ?

    Inspectez le contenu des fichiers et du contenu dans le cloud, et appliquez des stratégies de partage internes et externes. Surveillez la collaboration et appliquez des stratégies de partage, telles que le blocage du partage de fichiers en dehors de votre organisation.

  • Détection de menaces : Des activités suspectes menacent-elles votre environnement cloud ?

    Recevez des notifications en temps réel pour toute violation de stratégie ou seuil d’activité par e-mail. En appliquant des algorithmes d’apprentissage automatique, Defender for Cloud Apps vous permet de détecter un comportement qui pourrait indiquer qu’un utilisateur utilise mal les données.

Comment contrôler le risque

Procédez comme suit pour contrôle le risque avec des stratégies :

  1. Créez une stratégie à partir d’un modèle ou d’une requête.

  2. Affinez la stratégie pour atteindre les résultats attendus.

  3. Ajoutez des actions automatisées pour réagir et remédier aux risques automatiquement.

Créer une stratégie

Vous pouvez baser toutes vos stratégies sur les modèles de stratégie de Defender for Cloud Apps ou créer des stratégies à partir d’une requête.

Les modèles de stratégie vous aident à définir les filtres et configurations nécessaires pour détecter dans votre environnement des événements spécifiques dignes d’intérêt. Les modèles comprennent des stratégies de tous types et peuvent s’appliquer à divers services.

Pour créer une stratégie à partir de modèles de stratégie, effectuez les étapes suivantes :

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Modèles de stratégies.

    Create the policy from a template.

  2. Cliquez sur le signe Plus (+) tout à droite de la ligne du modèle à utiliser. Une page de création de stratégie s’ouvre, avec la configuration prédéfinie du modèle.

  3. Modifiez le modèle en fonction des besoins de votre stratégie personnalisée. Vous pouvez modifier librement chaque propriété et champ de cette nouvelle stratégie basée sur un modèle.

    Remarque

    Quand vous utilisez des filtres de stratégie, le filtre Contains (Contient) recherche uniquement des mots entiers, séparés par des virgules, points, espaces ou traits de soulignement. Par exemple, si vous recherchez malware ou virus, il trouve virus_malware_file.exe, mais pas malwarevirusfile.exe. Si vous recherchez malware.exe, vous obtenez TOUS les fichiers exe dont le nom contient malware ou exe, tandis que si vous recherchez "malware.exe" (avec les guillemets), vous n’obtenez que les fichiers dont le nom contient exactement « malware.exe ».
    Equals (Est égal à) recherche uniquement la chaîne complète ; par exemple, si vous recherchez malware.exe, il trouve malware.exe, mais pas malware.exe.txt.

  4. Une fois la stratégie basée sur un modèle créée, un lien vers celle-ci s’affiche dans la colonne Stratégies liées de la table des modèles de stratégie, en regard du modèle à partir duquel la stratégie a été créée. Vous pouvez créer autant de stratégies que vous le souhaitez à partir de chaque modèle : elles sont toutes liées au modèle d’origine. Cette liaison vous permet de suivre toutes les stratégies créées avec le même modèle.

Vous pouvez également créer une stratégie au cours d’un examen. Si vous examinez le Journal d’activité, les Fichiers ou les Identités à la recherche d’un élément spécifique, vous pouvez à tout moment créer une nouvelle stratégie basée sur les résultats de votre examen.

Par exemple, il se peut que vous vouliez en créer un si vous examinez le Journal d’activité et que vous constatez qu’une activité d’administration ne provient pas de la plage d’adresses IP de votre bureau.

Pour créer une stratégie basée sur les résultats d’un examen, effectuez les étapes suivantes :

  1. Dans le portail Microsoft Defender, accédez à l’un des éléments suivants :

    • Cloud Apps ->Journal d’activité
    • Applications cloud ->Fichiers
    • Ressources ->Identités

  2. Utilisez les filtres en haut de la page pour limiter les résultats de la recherche à la zone suspecte. Par exemple, dans la page Journal d’activité, sélectionnez Activité administrative et sélectionnez Vrai. Ensuite, sous Adresse IP, sélectionnez Catégorie et définissez la valeur de manière à ne pas inclure les catégories d’adresses IP que vous avez créées pour vos domaines reconnus, notamment les adresses IP de l’administrateur, de l’entreprise et du réseau privé virtuel.

    Create file from investigation.

  3. Sous la requête, sélectionnez Nouvelle stratégie provenant de la recherche.

    New policy from search button.

  4. Une page de création de stratégie s’ouvre, contenant les filtres que vous avez utilisés dans votre examen.

  5. Modifiez le modèle en fonction des besoins de votre stratégie personnalisée. Vous pouvez modifier librement chaque propriété et champ de cette nouvelle stratégie basée sur un examen.

    Remarque

    Quand vous utilisez des filtres de stratégie, le filtre Contains (Contient) recherche uniquement des mots entiers, séparés par des virgules, points, espaces ou traits de soulignement. Par exemple, si vous recherchez malware ou virus, il trouve virus_malware_file.exe, mais pas malwarevirusfile.exe.
    Equals (Est égal à) recherche uniquement la chaîne complète ; par exemple, si vous recherchez malware.exe, il trouve malware.exe, mais pas malware.exe.txt.

    create activity policy from investigation.

    Remarque

    Pour plus d’informations sur la définition des champs d’une stratégie, consultez la documentation de stratégie correspondante :

    Stratégies d’activité utilisateur

    Stratégies de protection des données

    Stratégies Cloud Discovery

Ajouter des actions automatisées pour réagir et remédier aux risques automatiquement

Pour obtenir la liste des actions de gouvernance disponibles par application, consultez Gouvernance des applications connectées.

Vous pouvez également définir la stratégie pour qu’elle vous envoie une alerte par e-mail lors de la détection de correspondances.

Pour définir vos préférences de notification, accédez aux préférences de notification par e-mail.

Activer et désactiver des stratégies

Une fois que vous avez créé une stratégie, vous pouvez l’activer ou la désactiver. La désactivation vous évite de devoir supprimer une stratégie pour l’arrêter. Donc, si vous souhaitez arrêter une stratégie pour une raison ou une autre, désactivez-la. Vous pouvez la réactiver à tout moment.

  • Pour activer une stratégie, dans la page Stratégie, cliquez sur les trois points situés à la fin de la ligne de la stratégie à activer. Sélectionnez Activer.

    Enable policy.

  • Pour désactiver une stratégie, dans la page Stratégie, sélectionnez les trois points à la fin de la ligne de la stratégie à désactiver. Sélectionnez Désactiver.

    Disable policy.

Quand vous créez une stratégie, celle-ci est activée par défaut.

Rapport de vue d’ensemble des stratégies

Defender for Cloud Apps vous permet d’exporter un rapport de vue d’ensemble des stratégies montrant les métriques d’alerte agrégées par stratégie pour vous aider à surveiller, comprendre et personnaliser vos stratégies pour mieux protéger votre organisation.

Pour exporter un journal, effectuez les étapes suivantes :

  1. Dans la page Stratégies, sélectionnez le bouton Exporter.

  2. Indiquez l’intervalle de temps requis.

  3. Sélectionnez Exporter. Ce processus peut prendre un certain temps.

Pour télécharger le rapport exporté :

  1. Une fois le rapport prêt, i n le portail Microsoft Defender, accédez aux Rapports, puis aux Applications cloud ->Rapports exportés.

  2. Dans le tableau, sélectionnez le rapport approprié, puis sélectionnez Télécharger.

    download button.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.