Connecter applications pour obtenir une visibilité et un contrôle avec Microsoft Defender pour le cloud Apps
Remarque
Microsoft Defender pour le cloud Apps fait désormais partie de Microsoft 365 Defender, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau des incidents. Pour plus d’informations, consultez Applications Microsoft Defender pour le cloud dans Microsoft 365 Defender.
Les connecteurs d’applications utilisent les API de fournisseurs d’applications pour que Microsoft Defender pour les applications cloud bénéficie d’une plus grande visibilité et d’un plus grand contrôle sur les applications auxquelles vous vous connectez.
Microsoft Defender pour le cloud Apps tire parti des API fournies par le fournisseur de cloud. Toutes les communications entre Defender for Cloud Apps et les applications connectées sont chiffrées avec le protocole HTTPS. L’infrastructure et les API propres à chaque service ont des limitations, notamment en matière de bande passante, de limites d’API, de fenêtres d’API de décalage temporel dynamique, etc. Microsoft Defender for Cloud Apps utilise les services pour optimiser l’utilisation des API et fournir un niveau de performance optimal. Compte tenu des différentes limitations imposées aux API, les moteurs Defender pour le cloud Apps utilisent la capacité autorisée. Certaines opérations, telles que l'analyse de tous les fichiers du locataire, nécessitent de nombreuses API, elles sont donc réparties sur une période plus longue. Il est normal que certaines stratégies s’exécutent pendant plusieurs heures ou jours.
Prise en charge de plusieurs instances
Defender for Cloud Apps prend en charge plusieurs instances de la même application connectée. Par exemple, si vous avez plusieurs instances de Salesforce (une pour les ventes, une pour le marketing), vous pouvez vous connecter à Defender pour le cloud Apps. Vous pouvez gérer les différentes instances à partir de la même console pour créer des stratégies granulaires et mener une investigation plus approfondie. Cette prise en charge s’applique uniquement aux applications connectées à des API, pas aux applications découvertes dans le cloud ni aux applications connectées à des proxys.
Remarque
La multi-instance n’est pas prise en charge pour Microsoft 365 et Azure.
Fonctionnement
Defender for Cloud Apps est déployé avec des privilèges d’administrateur système qui autorisent un accès complet à tous les objets de votre environnement.
Le flux de connecteur d’applications est le suivant :
Defender for Cloud Apps analyse et enregistre les autorisations d’authentification.
Defender for Cloud Apps demande la liste des utilisateurs. La première fois que la demande est effectuée, l’analyse peut prendre un certain temps. Une fois l’analyse de l’utilisateur terminée, Defender pour le cloud Apps passe aux activités et aux fichiers. Dès que l’analyse démarre, certaines activités seront disponibles dans Defender pour le cloud Apps.
Une fois la demande de l’utilisateur terminée, Defender for Cloud Apps analyse périodiquement les utilisateurs, les groupes, les activités et les fichiers. Toutes les activités sont disponibles après la première analyse complète.
Cette connexion peut prendre du temps, en fonction de la taille du locataire, du nombre d’utilisateurs ainsi que de la taille et du nombre de fichiers à analyser.
Selon l’application à laquelle vous vous connectez, la connexion d’API active les éléments suivants :
- Informations sur le compte - Visibilité des utilisateurs, des comptes, des informations de profil, de l’état (suspendu, actif, désactivé), des groupes et des privilèges.
- Piste d’audit - Visibilité des activités des utilisateurs, des administrateurs et des connexions.
- Gouvernance des comptes - Suspension des utilisateurs, révocation des mots de passe, etc.
- Autorisations d’applications - Visibilité des jetons émis et de leurs autorisations.
- Gouvernance des autorisations d’applications - Suppression de jetons.
- Analyse de données - Analyse des données non structurées à l’aide de deux processus : analyse périodique (toutes les 12 heures) et analyse en temps réel (déclenchée chaque fois qu’un changement est détecté).
- Gouvernance des données - Mise en quarantaine des fichiers, notamment ceux de la corbeille, et remplacement des fichiers.
Les tableaux suivants répertorient, par application cloud, les capacités prises en charge par Connecteur d'applications s :
Remarque
Étant donné que tous les connecteurs d’application ne prennent pas en charge toutes les capacités, certaines lignes peuvent être vides.
Utilisateurs et activités
| Application | Répertorier les comptes | Répertorier les groupes | Répertorier les privilèges | Activité de connexion | Activité de l'utilisateur | Activité d’administration |
|---|---|---|---|---|---|---|
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Non applicable | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Fichier de partage Citrix | ||||||
| DocuSign | Prise en charge avec DocuSign Monitor | Prise en charge avec DocuSign Monitor | Prise en charge avec DocuSign Monitor | Prise en charge avec DocuSign Monitor | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Objet de la connexion d’espace de travail Google | Objet de la connexion d’espace de travail Google | Objet de la connexion d’espace de travail Google | Objet de la connexion d’espace de travail Google | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - nécessite Google Business ou Entreprises | ✔ |
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Okta | ✔ | Non prise en charge par le fournisseur | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Partiel | Partiel |
| Salesforce | Prise en charge avec Salesforce Shield | Prise en charge avec Salesforce Shield | Prise en charge avec Salesforce Shield | Prise en charge avec Salesforce Shield | Prise en charge avec Salesforce Shield | Prise en charge avec Salesforce Shield |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Non prise en charge par le fournisseur | ||
| Workday | ✔ | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | ✔ | ✔ | Non prise en charge par le fournisseur |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
Visibilité de la configuration de l’utilisateur, de l’application et de la sécurité
| Application | Gouvernance des utilisateurs | Voir les autorisations d’application | Révoquer les autorisations d’application | Gestion de la posture de sécurité SaaS (SSPM) |
|---|---|---|---|---|
| Atlassian | ||||
| AWS | Non applicable | Non applicable | ||
| Azure | Non prise en charge par le fournisseur | |||
| Box | ✔ | Non prise en charge par le fournisseur | ||
| Fichier Citrix Share | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ||||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | Objet de la connexion d’espace de travail Google | Non applicable | Non applicable | |
| Google Workspace | ✔ | ✔ | ✔ | Aperçu |
| NetDocuments | ||||
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Okta | Non applicable | Non applicable | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | ✔ |
| Slack | ||||
| Smartsheet | ||||
| Webex | Non applicable | Non applicable | ||
| Workday | Non prise en charge par le fournisseur | Non applicable | Non applicable | |
| Workplace by Meta | ||||
| Zendesk | ||||
| Zoom | Aperçu |
Information Protection
| Application | DLP - Analyse périodique du backlog | DLP - Analyse en temps quasi réel | Contrôle partagé | Gouvernance des fichiers | Appliquer des étiquettes de confidentialité à partir de Protection des données Microsoft Purview |
|---|---|---|---|---|---|
| Atlassian | |||||
| AWS | ✔ - Découverte de compartimentS S3 uniquement | ✔ | ✔ | Non applicable | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Fichier de partage Citrix | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable |
| Google Workspace | ✔ | ✔ - nécessite Google Business Enterprise | ✔ | ✔ | ✔ |
| NetDocuments | |||||
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ |
| Okta | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Non applicable | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Non applicable |
| Workday | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | Non applicable |
| Workplace by Meta | |||||
| Zendesk | |||||
| Zoom |
Prérequis
Lorsque vous utilisez le connecteur Microsoft 365, vous aurez besoin d’une licence pour chaque service dans lequel vous souhaitez afficher les recommandations de sécurité. Par exemple, pour afficher des recommandations pour Microsoft Forms, vous aurez besoin d’une licence prenant en charge Forms.
Pour certaines applications, il peut être nécessaire d’autoriser les adresses IP de liste à permettre à Defender pour le cloud Apps de collecter des journaux et de fournir l’accès à la console Defender pour le cloud Apps. Pour plus d’informations, consultez Configuration exigée pour le réseau.
Remarque
Pour obtenir des mises à jour lorsque des URL et des adresses IP sont modifiées, abonnez-vous au RSS comme expliqué dans : URL et plages d’adresses IP Microsoft 365.
ExpressRoute
Defender pour le cloud Apps est déployé dans Azure et entièrement intégré à ExpressRoute. Toutes les interactions avec les applications Defender pour le cloud Apps et le trafic envoyés à Defender pour le cloud Apps, y compris le chargement des journaux de découverte, sont routées via ExpressRoute pour améliorer la latence, les performances et la sécurité. Pour plus d’informations sur le peering Microsoft, consultez les circuits ExpressRoute et les domaines de routage.
Désactiver les connecteurs d’application
Remarque
- Avant de désactiver un connecteur d’application, vérifiez que vous disposez des détails de connexion disponibles, car vous en aurez besoin si vous souhaitez réactiver le connecteur.
- Ces étapes ne peuvent pas être utilisées pour désactiver les applications App Control d’accès conditionnel et les applications de configuration de sécurité.
Pour désactiver les applications connectées :
- Dans la page des applications Connecter, dans la ligne appropriée, sélectionnez les trois points et choisissez Désactiver Connecteur d'applications.
- Dans la fenêtre contextuelle, cliquez sur Désactiver Connecteur d'applications instance pour confirmer l’action.
Une fois désactivée, l’instance du connecteur cesse de consommer des données à partir du connecteur.
Réactiver les connecteurs d’application
Pour réactiver les applications connectées :
- Dans la page des applications Connecter ed, dans la ligne appropriée, sélectionnez les trois points et choisissez Modifier les paramètres. Cela démarre le processus d’ajout d’un connecteur.
- Ajoutez le connecteur à l’aide des étapes décrites dans le guide du connecteur d’API approprié. Par exemple, si vous réactivez GitHub, suivez les étapes de Connecter GitHub Enterprise Cloud pour Defender pour le cloud Apps.
Vidéos connexes
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.