Modèles de stratégie
Nous vous recommandons de simplifier la création de stratégie en commençant par des modèles existants dans la mesure du possible. Cet article répertorie plusieurs modèles de stratégie disponibles avec Microsoft Defender pour le cloud Apps.
Pour obtenir la liste complète des modèles, case activée le portail Microsoft 365 Defender.
Remarque
Microsoft Defender pour le cloud Apps fait désormais partie de Microsoft 365 Defender, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau des incidents. Pour plus d’informations, consultez Applications Microsoft Defender pour le cloud dans Microsoft 365 Defender.
Mises en surbrillance du modèle de stratégie
| Catégorie de risque | Nom du modèle | Description |
|---|---|---|
| Cloud Discovery | Comportement anormal par des utilisateurs découverts | Alerte quand un comportement anormal est détecté pour des utilisateurs et des applications découverts, comme de grandes quantités de données chargées en comparaison d’autres utilisateurs ou des transactions utilisateur importantes par rapport à l’historique de l’utilisateur. |
| Cloud Discovery | Comportement anormal d’adresses IP découvertes | Alerte quand un comportement anormal est détecté dans des adresses IP et des applications découvertes, comme de grandes quantités de données chargées par rapport à d’autres adresses IP ou des transactions d’application importantes par rapport à l’historique de l’adresse IP. |
| Cloud Discovery | Vérification de la conformité d’applications de collaboration | Alerte quand de nouvelles applications de collaboration non conformes à SOC2 et SSAE 16 et utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Vérification de conformité des applications de stockage cloud | Alerte quand de nouvelles applications de stockage cloud non conformes à SOC2, SSAE 16, ISAE 3402 et PCI DSS, et utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Vérification de la conformité d’applications CRM | Alerte quand de nouvelles applications CRM non conformes à SOC2, SSAE 16, ISAE 3402, ISO 27001 et HIPAA et utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application de stockage cloud | Alerte quand de nouvelles applications de stockage cloud utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application d’hébergement de code | Alerte quand de nouvelles applications d’hébergement de code utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application de collaboration | Alerte quand de nouvelles applications de collaboration utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application CRM | Alerte quand de nouvelles applications CRM découvertes sont utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo. |
| Cloud Discovery | Nouvelle application avec volume élevé | Alerte quand de nouvelles applications qui ont un trafic quotidien total de plus de 500 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application avec volume de chargement élevé | Alerte quand de nouvelles applications dont le trafic de chargement quotidien total est supérieur à 500 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application de gestion des ressources humaines | Alerte quand de nouvelles applications de gestion des ressources humaines utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application de réunion en ligne | Alerte quand de nouvelles applications de réunion en ligne utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application appréciée | Alerte quand de nouvelles applications utilisées par plus de 500 utilisateurs sont découvertes. |
| Cloud Discovery | Nouvelle application à risques | Alerte quand de nouvelles applications dont le score de risque est inférieur à 6 sont utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelle application de ventes | Alerte quand de nouvelles applications de ventes utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| Cloud Discovery | Nouvelles applications de système de gestion des fournisseurs | Alerte quand de nouvelles applications de système de gestion des fournisseurs utilisées par plus de 50 utilisateurs avec une utilisation quotidienne totale de plus de 50 Mo sont découvertes. |
| DLP | Code source partagé en externe | Alerte quand un fichier contenant du code source est partagé en dehors de votre organisation. |
| DLP | Fichier contenant des informations de carte de paiement détecté dans le cloud (moteur DLP intégré) | Alerte lorsqu’un fichier avec des informations de paiement carte (PCI) est détecté par le moteur de protection contre la perte de données intégré (DLP) Microsoft Defender pour le cloud Apps dans une application cloud approuvée. |
| DLP | Fichier contenant des informations médicales protégées détecté dans le cloud (moteur DLP intégré) | Alerte lorsqu’un fichier contenant des informations d’intégrité protégées (PHI) est détecté par le moteur de protection contre la perte de données (DLP) intégré Microsoft Defender pour le cloud Apps dans une application cloud approuvée. |
| DLP | Fichier contenant des informations privées détecté dans le cloud (moteur DLP intégré) | Alerte lorsqu’un fichier contenant des données personnelles est détecté par le moteur de protection contre la perte de données intégré (DLP) Microsoft Defender pour le cloud Apps dans une application cloud approuvée. |
| Détection de menaces | Activités d’administration à partir d’une adresse IP externe à l’entreprise | Alerte quand un utilisateur administrateur effectue une activité d’administration à partir d’une adresse IP qui n’est pas incluse dans la catégorie de plage d’adresses IP de l’entreprise. Commencez par configurer vos adresses IP d’entreprise en accédant à la page Paramètres et en définissant Plages d’adresses IP. |
| Détection de menaces | Connexion à partir d’une adresse IP à risques | Alerte quand un utilisateur se connecte à vos applications approuvées à partir d’une adresse IP à risque. Par défaut, la catégorie Adresses IP à risques contient les adresses qui ont des balises d’adresse IP Proxy anonyme, TOR ou Botnet. Vous pouvez ajouter d’autres adresses IP à cette catégorie dans la page des paramètres de plages d’adresses IP. |
| Détection de menaces | Téléchargement massif par un même utilisateur | Alerte quand un même utilisateur effectue plus de 50 téléchargements en 1 minutes. |
| Détection de menaces | Plusieurs tentatives de connexion utilisateur à une application ayant échoué | Alerte quand un utilisateur tente de se connecter à une application et y échoue plus de 10 fois en cinq minutes. |
| Détection de menaces | Activité de ransomware potentielle | Alerte quand un utilisateur charge des fichiers dans le cloud susceptibles d’être infectés par un ransomware. |
| Contrôle partagé | Fichier partagé avec des adresses e-mail personnelles | Alerte lorsqu’un fichier est partagé avec l’adresse e-mail personnelle d’un utilisateur. |
| Contrôle partagé | Fichier partagé avec un domaine non autorisé | Alerte quand un fichier est partagé avec un domaine non autorisé (par exemple votre concurrent). |
| Contrôle partagé | Certificats numériques partagés (extensions de fichier) | Alerte quand un fichier contenant des certificats numériques est partagé publiquement. Utilisez ce modèle afin de régir votre stockage AWS. |
| Contrôle partagé | Compartiments S3 accessibles publiquement (AWS) | Alerte quand un compartiment AWS S3 est publiquement partagé. |
| Contrôle partagé | Fichiers obsolètes partagés en externe | Alerte quand les fichiers partagés en externe n’ont pas été modifiés pendant au moins 6 mois. |
Afficher la liste complète des modèles de stratégie
Pour afficher la liste complète des modèles de stratégie, dans le portail Microsoft 365 Defender, sous Applications cloud, accédez aux stratégies -Modèles de> stratégie. Par exemple :
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.