Stratégies de protection contre les menaces

  • Article

Defender for Cloud Apps vous permet d’identifier les problèmes liés à une utilisation à haut risque et à la sécurité du cloud, de détecter tout comportement utilisateur anormal et de vous protéger des menaces dans vos applications cloud approuvées. Bénéficiez d’une visibilité sur les activités des administrateurs et des utilisateurs, et définissez des stratégies pour générer automatiquement une alerte en cas de comportement suspect ou d’activités spécifiques que vous considérez comme risquées. Tirez parti de la grande quantité de données sur la veille des menaces Microsoft et la recherche de sécurité Microsoft pour vous assurer que vos applications approuvées disposent de tous les contrôles de sécurité dont vous avez besoin et vous aident à maintenir le contrôle sur ces derniers.

Remarque

Lors de l’intégration de Defender for Cloud Apps à Microsoft Defender pour Identity, les stratégies de Defender pour Identity apparaissent également dans la page des stratégies. Pour obtenir la liste des stratégies Defender pour Identity, consultez Alertes de sécurité.

Détecter et contrôler l’activité des utilisateurs à partir d’emplacements inconnus

Détection automatique de l’accès ou de l’activité des utilisateurs à partir d’emplacements inconnus qui n’ont jamais été visités par quelqu’un d’autre de votre organisation.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

Cette détection est automatiquement configurée pour vous alerter en cas d'accès à partir de nouveaux sites. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

Détecter un compte compromis par emplacement impossible (voyage impossible)

Détection automatique de l’accès ou de l’activité des utilisateurs à partir de 2 emplacements différents dans un délai plus court que le temps nécessaire pour se déplacer entre les deux.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

  1. Cette détection est automatiquement configurée pour vous alerter en cas d'accès à partir d'emplacements impossibles. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

  2. Facultatif : vous pouvez personnaliser les stratégies de détection d’anomalies :

    • Personnaliser l’étendue de détection en termes d’utilisateurs et de groupes

    • Choisir les types de connexions à prendre en compte

    • Définir votre préférence de sensibilité pour les alertes

  3. Créez la stratégie de détection des anomalies.

Détecter les activités suspectes d’un employé « en congé »

Détectez lorsqu'un utilisateur, qui est en congé sans solde et ne devrait être actif sur aucune ressource de l'organisation, accède à l'une des ressources cloud de votre organisation.

Prérequis

  • Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

  • Créez un groupe de sécurité dans Microsoft Entra ID pour les utilisateurs en congé sans solde et ajoutez tous les utilisateurs que vous souhaitez surveiller.

Étapes

  1. Dans l’écran Groupes d’utilisateurs, sélectionnez Créer un groupe d’utilisateurs et importez le groupe Microsoft Entra approprié.

  2. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Créer une stratégie d’activité.

  3. Définissez le filtre Groupe d’utilisateurs égal au nom des groupes d’utilisateurs que vous avez créés dans Microsoft Entra ID pour les utilisateurs de congés non payés.

  4. Facultatif : définissez les actions de gouvernance à entreprendre sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient entre les services. Vous pouvez choisir Suspendre l’utilisateur.

  5. Créez la stratégie de fichier.

Détecter et avertir quand un système d’exploitation du navigateur obsolète est utilisé

Détectez lorsqu’un utilisateur utilise un navigateur avec une version de client obsolète susceptible de présenter des risques de conformité ou de sécurité pour votre organisation.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

  1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Créer une stratégie d’activité.

  2. Définissez le filtre Étiquette agent utilisateur égal à Navigateur obsolète et Système d’exploitation obsolète.

  3. Définissez les actions de gouvernance à entreprendre sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient entre les services. Sous Toutes les applications, sélectionnez Notifier l’utilisateur afin que vos utilisateurs puissent agir sur l’alerte et mettre à jour les composants nécessaires.

  4. Créez la stratégie d’activité.

Détecter et alerter quand l’activité d’administration est détectée sur des adresses IP à risque

Détectez les activités d’administrateur effectuées à partir d’une adresse IP considérée comme une adresse IP risquée, et informez l’administrateur système pour un examen plus poussé, ou définissez une action de gouvernance sur le compte de l’administrateur.

Prérequis

  • Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

  • À partir de la roue dentée Paramètres, sélectionnez plages d’adresses IP et sélectionnez le + pour ajouter des plages d’adresses IP pour vos sous-réseaux internes et leurs adresses IP publiques de sortie. Définissez la catégorie sur Interne.

Étapes

  1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Créer une stratégie d’activité.

  2. Définissez Act on surUne seule activité.

  3. Définir le filtre Adresse IP sur Catégorie égale à Risquée

  4. Définir le filtre Activité d’administration sur True

  5. Définissez les actions de gouvernance à entreprendre sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient entre les services. Sous Toutes les applications, sélectionnez Notifier l’utilisateur afin que vos utilisateurs puissent agir sur l’alerte et mettre à jour les composants nécessaires CC au gestionnaire de l’utilisateur.

  6. Créez la stratégie d’activité.

Détecter les activités par compte de service à partir d’adresses IP externes

Détectez les activités du compte de service provenant d’adresses IP non internes. Cela peut indiquer un comportement suspect ou un compte compromis.

Prérequis

  • Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

  • À partir de la roue dentée Paramètres, sélectionnez plages d’adresses IP et sélectionnez le + pour ajouter des plages d’adresses IP pour vos sous-réseaux internes et leurs adresses IP publiques de sortie. Définissez la catégorie sur Interne.

  • Normalisez des conventions d’affectation de noms pour les comptes de service dans votre environnement, par exemple, définissez tous les noms de compte pour commencer par « svc ».

Étapes

  1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Créer une stratégie d’activité.

  2. Définissez le filtre Utilisateur sur Nom, puis Commence par et saisissez votre convention d’affectation de noms, par exemple svc.

  3. Définissez le filtre adresse IP sur Catégorie n’est pas égale à Autre et Société.

  4. Définissez les actions de gouvernance à entreprendre sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient entre les services.

  5. Créez la stratégie.

Détecter le téléchargement en masse (exfiltration de données)

Détectez quand un certain utilisateur consulte ou télécharge un grand nombre de fichiers en peu de temps.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

  1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Créer une stratégie d’activité.

  2. Définir le filtre adresses IP sur Balise n’est pas égal à Microsoft Azure. Cela exclut les activités basées sur des appareils non interactifs.

  3. Définissez le filtre Types d’activité égaux à, puis sélectionnez toutes les activités de téléchargement pertinentes.

  4. Définissez les actions de gouvernance à entreprendre sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient entre les services.

  5. Créez la stratégie.

Détecter une activité de rançongiciel potentielle

Détection automatique de l’activité de rançongiciel potentielle.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

Étapes

  1. Cette détection est automatiquement configurée pour vous alerter lorsqu'un risque potentiel de ransomware est détecté. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

  2. Il est possible de configurer la portée de la détection et de personnaliser les actions de gouvernance à entreprendre lorsqu'une alerte est déclenchée. Pour plus d’informations sur la manière dont Defender for Cloud Apps identifie les rançongiciels, consultez Protection de votre organisation contre les rançongiciels.

Remarque

Cela s’applique à Microsoft 365, Google Workspace, Box et Dropbox.

Détecter les programmes malveillants dans le cloud

Détectez les fichiers contenant des programmes malveillants dans vos environnements cloud en utilisant l’intégration de Defender for Cloud Apps au moteur Veille des menaces Microsoft.

Prérequis

  • Pour la détection des programmes malveillants Microsoft 365, vous devez disposer d’une licence valide pour Microsoft Defender pour Microsoft 365 P1.
  • Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

Étapes

  • Cette détection est automatiquement configurée pour vous avertir de la présence d'un fichier susceptible de contenir des logiciels malveillants. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

Détecter la prise en charge d’un administrateur non autorisé

Détecter les activités d’administration répétées susceptibles d’indiquer des intentions malveillantes.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

Étapes

  1. Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Créer une stratégie d’activité.

  2. Définissez Agir sur Agir sur l’activité répétée et personnalisez les activités répétées minimales et définissez une période pour se conformer à la stratégie de votre organisation.

  3. Définissez le filtre Utilisateur sur À partir d’un groupe égal à et sélectionnez tout le groupe d’administration associé en tant qu’Acteur uniquement.

  4. Définissez le filtre Type d’activité égal à toutes les activités liées aux mises à jour, modifications et réinitialisations de mot de passe.

  5. Définissez les actions de gouvernance à entreprendre sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient entre les services.

  6. Créez la stratégie.

Détecter les règles suspectes de manipulation de boîte de réception

Si une règle de boîte de réception suspecte a été définie sur la boîte de réception d’un utilisateur, elle peut indiquer que le compte d’utilisateur est compromis et que la boîte aux lettres est utilisée pour distribuer du courrier indésirable et des programmes malveillants dans votre organisation.

Prérequis

  • Utilisation de Microsoft Exchange pour l’e-mail.

Étapes

  • Cette détection est automatiquement configurée pour vous alerter lorsqu'une règle de boîte de réception suspecte est définie. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

Détection d’informations d’identification fuitées

Souvent, lorsque les cybercriminels compromettent les mots de passe valides d’utilisateurs légitimes, ils le font dans le but de les rendre publics. En général, les mots de passe volés sont publiés sur le « dark web », ou bien ils sont échangés ou vendus sur le marché noir.

Defender for Cloud Apps utilise la Veille des menaces Microsoft pour faire correspondre ces identifiants à ceux utilisés au sein de votre organisation.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

Étapes

Cette détection est automatiquement configurée de manière prête à l’emploi pour vous avertir lorsqu’une fuite d’identifiants possible est détectée. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

Détecter les téléchargements de fichiers anormaux

Détecter quand les utilisateurs effectuent plusieurs activités de téléchargement de fichiers dans une seule session, par rapport à la base de référence apprise. Ceci peut indiquer une tentative de violation.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

  1. Cette détection est automatiquement configurée de manière prête à l’emploi pour vous avertir lorsqu’une activité anormale se produit. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

  2. Il est possible de configurer la portée de la détection et de personnaliser l'action à entreprendre lorsqu'une alerte est déclenchée.

Détecter les partages de fichiers anormaux par un utilisateur

Détectez si des utilisateurs qui effectuent plusieurs activités de partage de fichiers dans une seule session en prenant en compte la base de référence apprise, ce qui peut indiquer une tentative de violation.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

  1. Cette détection est automatiquement configurée de manière prête à l’emploi pour vous avertir lorsque les utilisateurs effectuent plusieurs partages de fichiers. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

  2. Il est possible de configurer la portée de la détection et de personnaliser l'action à entreprendre lorsqu'une alerte est déclenchée.

Détecter les activités anormales provenant d’un pays/d’une région peu fréquent

Détecter les activités à partir d'un lieu qui n'a pas été visité récemment ou qui n'a jamais été visité par l'utilisateur ou par tout autre utilisateur de votre organisation.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications ou intégrée à l’aide du contrôle d’application par accès conditionnel avec des contrôles de session.

Étapes

  1. Cette détection est automatiquement configurée de manière prête à l’emploi pour vous avertir lorsqu’une activité anormale se produit à partir d’un pays/d’une région peu fréquent. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

  2. Il est possible de configurer la portée de la détection et de personnaliser l'action à entreprendre lorsqu'une alerte est déclenchée.

Remarque

La détection d’emplacements anormaux nécessite une période d’apprentissage initiale de 7 jours. Pendant la période d’apprentissage, Defender for Cloud Apps ne génère pas d’alertes pour les nouveaux emplacements.

Détecter une activité effectuée par un utilisateur résilié

Détectez quand un utilisateur qui n’est plus un employé de votre organisation effectue une activité dans une application approuvée. Cela peut indiquer une activité malveillante par un employé licencié qui a toujours accès aux ressources de la société.

Prérequis

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’applications.

Étapes

  1. Cette détection est automatiquement configurée de manière prête à l’emploi pour vous avertir lorsqu’une activité est effectuée par un employé licencié. Vous n'avez aucune action à effectuer pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.

  2. Il est possible de configurer la portée de la détection et de personnaliser l'action à entreprendre lorsqu'une alerte est déclenchée.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.