Utilisation des données de découverte

  • Article

Notes

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender et est accessible via son portail à l’adresse : https://security.microsoft.com. Microsoft 365 Defender met en corrélation les signaux de la suite Microsoft Defender entre les points de terminaison, les identités, la messagerie et les applications SaaS pour fournir des fonctionnalités de détection au niveau des incidents, d’investigation et de réponse puissantes. Il améliore votre efficacité opérationnelle grâce à une meilleure hiérarchisation et à des temps de réponse plus courts qui protègent vos organization plus efficacement. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

Le tableau de bord Cloud Discovery est conçu pour vous donner plus d’informations sur l’utilisation des applications cloud dans votre organisation. Il fournit une vue d’ensemble en un clin d’œil des types d’applications utilisés, des alertes ouvertes et des niveaux de risque des applications dans votre organisation. Il vous montre également les principaux utilisateurs des applications et fournit un plan du lieu du siège social d’une application. Le tableau de bord Cloud Discovery a de nombreuses options pour filtrer les données. Le filtrage vous permet de générer des vues spécifiques selon ce qui vous intéresse le plus, avec des graphiques faciles à comprendre pour vous donner une vision globale en un clin d’œil.

tableau de bord de découverte cloud.

Consulter le tableau de bord Cloud Discovery

La première chose à faire pour obtenir une vue d’ensemble de vos applications Cloud Discovery consiste à examiner les informations suivantes du tableau de bord Cloud Discovery :

  1. Examinez d’abord l’utilisation globale des applications cloud dans votre organization dans la vue d’ensemble de l’utilisation de haut niveau.

  2. Ensuite, approfondissez un niveau pour voir quelles sont les principales catégories utilisées dans votre organisation pour chacun des différents paramètres d’utilisation. Vous pouvez voir la part d’utilisation des applications approuvées.

  3. Allez encore plus loin et consultez toutes les applications d’une catégorie spécifique sous l’onglet Applications découvertes .

  4. Vous pouvez voir les principaux utilisateurs et adresses IP sources pour identifier les utilisateurs les plus dominants des applications cloud dans votre organization.

  5. Vérifiez comment les applications découvertes se répartissent en fonction de leur emplacement géographique (en fonction de leur QG) dans la carte Siège de l’application.

  6. Enfin, n’oubliez pas de passer en revue le score de risque de l’application découverte dans la vue d’ensemble des risques de l’application. Vérifiez les alertes de découverte status pour voir le nombre d’alertes ouvertes à examiner.

Exclure des entités

Si vous avez des utilisateurs système, des adresses IP ou des appareils qui sont bruyants mais peu intéressant ou si vous avez des applications qui ne sont pas pertinentes, vous pouvez exclure leurs données des données Cloud Discovery analysées. Par exemple, vous pouvez exclure toutes les informations provenant de 127.0.0.1 ou de l’hôte local.

Pour créer une exclusion :

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.

  2. Sélectionnez l’onglet Exclure les entités .

  3. Choisissez l’onglet Utilisateurs exclus, Adresses IP exclues ou Appareil exclu , puis sélectionnez le bouton + pour ajouter votre exclusion.

  4. Ajoutez un alias d’utilisateur, une adresse IP ou un nom d’appareil. Nous vous recommandons d’ajouter des informations sur les raisons de l’exclusion.

    exclure l’utilisateur.

Gérer les rapports continus

Les rapports continus personnalisés vous apportent une plus grande granularité lors de la surveillance des données de journaux Cloud Discovery de votre organisation. En créant des rapports personnalisés, vous pouvez filtrer sur des emplacements géographiques, des réseaux, des sites ou des unités d’organisation spécifiques. Par défaut, seuls les rapports suivants apparaissent dans votre sélecteur de rapports Cloud Discovery :

  • Le rapport global regroupe toutes les informations du portail provenant de toutes les sources de données que vous avez incluses dans vos journaux. Le rapport global n’inclut pas les données de Microsoft Defender pour point de terminaison.

  • Le rapport spécifique à la source de données affiche uniquement les informations d’une source de données spécifique.

Pour créer un rapport continu :

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.

  2. Sélectionnez l’onglet Rapport continu .

  3. Sélectionnez le bouton Créer un rapport .

  4. Entrez un nom de rapport.

  5. Sélectionnez les sources de données à inclure (toutes ou certaines).

  6. Définissez les filtres souhaités sur les données. Ces filtres peuvent être des groupes d’utilisateurs, des balises d’adresse IP ou des plages d’adresses IP. Pour plus d’informations sur l’utilisation de balises d’adresse IP et de plages d’adresses IP, voir Organiser les données selon vos besoins.

    créer un rapport continu personnalisé.

Notes

Tous les rapports personnalisés sont limitées à 1 Go de données maximum non compressées. En cas de dépassement, le premier 1 Go de données est exporté dans le rapport.

Suppression de données Cloud Discovery

Plusieurs raisons peuvent vous amener à supprimer vos données Cloud Discovery. Nous vous recommandons de les supprimer dans les cas suivants :

  • Vous avez chargé manuellement les fichiers journaux, vous avez attendu longtemps avant de mettre à jour le système avec de nouveaux fichiers journaux et vous ne voulez pas que les anciennes données affectent vos résultats.

  • Quand vous définissez une nouvelle vue de données personnalisée, elle s’applique seulement aux nouvelles données à partir de ce moment. Vous pouvez ainsi effacer les anciennes données, puis recharger vos fichiers journaux pour permettre à la vue de données personnalisée de sélectionner des événements dans les données des fichiers journaux.

  • Si de nombreux utilisateurs ou adresses IP sont à nouveau actifs après une longue période hors connexion, leur activité est identifiée comme étant anormale et vous risquez d’obtenir de nombreuses violations qui sont en fait des faux positifs.

Pour supprimer des données Cloud Discovery :

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.

  2. Sélectionnez l’onglet Supprimer les données .

    Il est important d’être sûr de vouloir supprimer les données avant de poursuivre : cette opération ne peut pas être annulée et toutes les données Cloud Discovery dans le système sont alors supprimées.

  3. Sélectionnez le bouton Supprimer.

    supprimer des données.

    Notes

    Le processus de suppression peut prendre quelques minutes et il n’est pas immédiat.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.