Piloter et déployer Microsoft Defender for Cloud Apps
S’applique à :
- Microsoft Defender XDR
Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender for Cloud Apps dans votre organisation. Vous pouvez utiliser ces recommandations pour intégrer Microsoft Defender for Cloud Apps en tant qu’outil de cybersécurité individuel ou dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.
Cet article suppose que vous disposez d’un locataire Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender for Cloud Apps dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.
Defender pour Office 365 contribue à une architecture Confiance Zéro en aidant à prévenir ou à réduire les dommages causés à l’entreprise par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages pour l’entreprise d’une violation de l’entreprise dans le framework d’adoption de la Confiance Zéro microsoft.
Déploiement de bout en bout pour Microsoft Defender XDR
Il s’agit de l’article 5 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.
Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :
| Phase | Liens |
|---|---|
| A. Démarrer le pilote | Démarrer le pilote |
| B. Piloter et déployer des composants Microsoft Defender XDR |
-
Piloter et déployer Defender pour Identity - Piloter et déployer Defender pour Office 365 - Piloter et déployer Defender pour point de terminaison - Pilotez et déployez Microsoft Defender for Cloud Apps (cet article) |
| C. Examiner les menaces et y répondre | Pratiquez l’investigation et la réponse aux incidents |
Piloter et déployer un workflow pour Defender for Cloud Apps
Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.
Vous commencez par évaluer le produit ou le service et la façon dont il fonctionnera au sein de votre organisation. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organisation soit couvert.
Voici le flux de travail pour le pilotage et le déploiement de Defender for Cloud Apps dans votre environnement de production.
Procédez comme suit :
- Se connecter au portail Defender for Cloud Apps
- Intégrer à Microsoft Defender pour point de terminaison
- Déployer le collecteur de journaux sur vos pare-feu et autres proxys
- Créer un groupe pilote
- Découvrir et gérer des applications cloud
- Configurer le contrôle d’application par accès conditionnel
- Appliquer des stratégies de session aux applications cloud
- Tester des fonctionnalités supplémentaires
Voici les étapes recommandées pour chaque étape de déploiement.
| Phase de déploiement | Description |
|---|---|
| Évaluation | Effectuer l’évaluation du produit pour Defender for Cloud Apps. |
| Pilote | Effectuez les étapes 1 à 4, puis 5 à 8 pour un sous-ensemble approprié d’applications cloud dans votre environnement de production. |
| Déploiement complet | Effectuez les étapes 5 à 8 pour vos applications cloud restantes, en ajustant l’étendue des groupes d’utilisateurs pilotes ou en ajoutant des groupes d’utilisateurs pour étendre au-delà du pilote et inclure tous vos comptes d’utilisateur. |
Protection de votre organisation contre les pirates informatiques
Defender for Cloud Apps offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender for Cloud Apps fournit des données dans les signaux partagés qui, ensemble, aident à arrêter les attaques.
Voici un exemple de cyberattaque et la façon dont les composants de Microsoft Defender XDR aident à la détecter et à l’atténuer.
Defender for Cloud Apps détecte les comportements anormaux tels que les déplacements impossibles, l’accès aux informations d’identification et les activités inhabituelles de téléchargement, de partage de fichiers ou de transfert de courrier, et affiche ces comportements dans le portail Defender for Cloud Apps. Defender for Cloud Apps permet également d’empêcher les mouvements latéraux des pirates informatiques et l’exfiltration de données sensibles.
Microsoft Defender XDR met en corrélation les signaux de tous les composants Microsoft Defender pour fournir l’histoire complète des attaques.
Rôle Defender for Cloud Apps en tant que CASB
Un répartiteur de sécurité d’accès cloud (CASB) joue le rôle de gardien pour répartiteur l’accès en temps réel entre les utilisateurs de votre entreprise et les ressources cloud qu’ils utilisent, où que vos utilisateurs se trouvent et quel que soit l’appareil qu’ils utilisent. Defender for Cloud Apps est un CASB pour les applications cloud de votre organisation. Defender for Cloud Apps s’intègre en mode natif avec les fonctionnalités de sécurité de Microsoft, notamment Microsoft Defender XDR.
Sans Defender for Cloud Apps, les applications cloud utilisées par votre organisation ne sont ni gérées ni protégées.
Dans cette illustration :
- L’utilisation d’applications cloud par une organisation n’est pas supervisée et n’est pas protégée.
- Cette utilisation est en dehors des protections obtenues au sein d’une organisation managée.
Pour découvrir les applications cloud utilisées dans votre environnement, vous pouvez implémenter l’une des méthodes suivantes ou les deux :
- Soyez rapidement opérationnel avec Cloud Discovery en l’intégrant à Microsoft Defender pour point de terminaison. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud sur vos appareils Windows 10 et Windows 11, sur et hors de votre réseau.
- Pour découvrir toutes les applications cloud accessibles par tous les appareils connectés à votre réseau, déployez le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et autres proxys. Ce déploiement permet de collecter des données à partir de vos points de terminaison et de les envoyer à Defender for Cloud Apps pour analyse. Defender for Cloud Apps s’intègre en mode natif à certains proxys tiers pour encore plus de fonctionnalités.
Cet article contient des conseils pour les deux méthodes.
Étape 1. Se connecter au portail Defender for Cloud Apps
Pour vérifier les licences et vous connecter au portail Defender for Cloud Apps, consultez Démarrage rapide : Prise en main de Microsoft Defender for Cloud Apps.
Si vous n’êtes pas immédiatement en mesure de vous connecter au portail, vous devrez peut-être ajouter l’adresse IP à la liste verte de votre pare-feu. Consultez Configuration de base pour Defender for Cloud Apps.
Si vous rencontrez toujours des problèmes, consultez Configuration réseau requise.
Étape 2 : Intégration à Microsoft Defender pour point de terminaison
Microsoft Defender for Cloud Apps s’intègre à Microsoft Defender pour point de terminaison en mode natif. L’intégration simplifie le déploiement de Cloud Discovery, étend les fonctionnalités Cloud Discovery au-delà de votre réseau d’entreprise et permet une investigation basée sur les appareils. Cette intégration révèle que les applications et services cloud sont accessibles à partir d’appareils Windows 10 et Windows 11 gérés par le service informatique.
Si vous avez déjà configuré Microsoft Defender pour point de terminaison, la configuration de l’intégration à Defender for Cloud Apps est un bouton bascule dans Microsoft Defender XDR. Une fois l’intégration activée, vous pouvez revenir au portail Defender for Cloud Apps et afficher des données enrichies dans le tableau de bord Cloud Discovery.
Pour effectuer ces tâches, consultez Intégration de Microsoft Defender pour point de terminaison à Microsoft Defender for Cloud Apps.
Étape 3 : Déployer le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et autres proxys
Pour une couverture sur tous les appareils connectés à votre réseau, déployez le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et d’autres proxys pour collecter des données à partir de vos points de terminaison et les envoyer à Defender for Cloud Apps à des fins d’analyse.
Si vous utilisez l’une des passerelles web sécurisées (SWG) suivantes, Defender for Cloud Apps offre un déploiement et une intégration transparents :
- Zscaler
- iboss
- Corrata
- Menlo Security
Pour plus d’informations sur l’intégration à ces appareils réseau, consultez Configurer Cloud Discovery.
Étape 4. Créer un groupe pilote : étendre votre déploiement pilote à certains groupes d’utilisateurs
Microsoft Defender for Cloud Apps vous permet d’étendre votre déploiement. L’étendue vous permet de sélectionner certains groupes d’utilisateurs à surveiller pour les applications ou à exclure de la surveillance. Vous pouvez inclure ou exclure des groupes d’utilisateurs. Pour définir l’étendue de votre déploiement pilote, consultez Déploiement délimité.
Étape 5. Découvrir et gérer des applications cloud
Pour que Defender for Cloud Apps fournisse la quantité maximale de protection, vous devez découvrir toutes les applications cloud de votre organisation et gérer leur utilisation.
Découvrir les applications cloud
La première étape de la gestion de l’utilisation des applications cloud consiste à découvrir quelles applications cloud sont utilisées par votre organisation. Ce diagramme suivant illustre le fonctionnement de la découverte du cloud avec Defender for Cloud Apps.
Dans cette illustration, il existe deux méthodes qui peuvent être utilisées pour surveiller le trafic réseau et découvrir les applications cloud utilisées par votre organisation.
Cloud App Discovery s’intègre à Microsoft Defender pour point de terminaison en mode natif. Defender pour point de terminaison signale que les applications et services cloud sont accessibles à partir d’appareils Windows 10 et Windows 11 gérés par le service informatique.
Pour la couverture sur tous les appareils connectés à un réseau, vous installez le collecteur de journaux Defender for Cloud Apps sur des pare-feu et d’autres proxys pour collecter des données à partir de points de terminaison. Le collecteur envoie ces données à Defender for Cloud Apps pour analyse.
Afficher le tableau de bord Cloud Discovery pour voir quelles applications sont utilisées dans votre organisation
Le tableau de bord Cloud Discovery est conçu pour vous donner plus d’informations sur la façon dont les applications cloud sont utilisées dans votre organisation. Il fournit une vue d’ensemble des types d’applications utilisées, de vos alertes ouvertes et des niveaux de risque des applications de votre organisation.
Pour commencer à utiliser le tableau de bord Cloud Discovery, consultez Utilisation des applications découvertes.
Gérer les applications cloud
Après avoir découvert les applications cloud et analysé la façon dont ces applications sont utilisées par votre organisation, vous pouvez commencer à gérer les applications cloud de votre choix.
Dans cette illustration :
- Certaines applications sont approuvées pour utilisation. La sanction est un moyen simple de commencer à gérer les applications.
- Vous pouvez améliorer la visibilité et le contrôle en connectant des applications avec des connecteurs d’application. Les connecteurs d’application utilisent les API des fournisseurs d’applications.
Vous pouvez commencer à gérer les applications en sanctionnant, en annulant ou en bloquant carrément les applications. Pour commencer à gérer les applications, consultez Gouverner les applications découvertes.
Étape 6. Configurer le contrôle d’application par accès conditionnel
L’une des protections les plus puissantes que vous pouvez configurer est le contrôle d’application par accès conditionnel. Cette protection nécessite l’intégration à l’ID Microsoft Entra. Il vous permet d’appliquer des stratégies d’accès conditionnel, y compris des stratégies associées (telles que l’exigence d’appareils sains), aux applications cloud que vous avez approuvées.
Vous avez peut-être déjà ajouté des applications SaaS à votre locataire Microsoft Entra pour appliquer l’authentification multifacteur et d’autres stratégies d’accès conditionnel. Microsoft Defender for Cloud Apps s’intègre en mode natif à l’ID Microsoft Entra. Il vous suffit de configurer une stratégie dans l’ID Microsoft Entra pour utiliser le contrôle d’application par accès conditionnel dans Defender for Cloud Apps. Cela achemine le trafic réseau pour ces applications SaaS managées via Defender for Cloud Apps en tant que proxy, ce qui permet à Defender for Cloud Apps de surveiller ce trafic et d’appliquer des contrôles de session.
Dans cette illustration :
- Les applications SaaS sont intégrées au locataire Microsoft Entra. Cette intégration permet à l’ID Microsoft Entra d’appliquer des stratégies d’accès conditionnel, y compris l’authentification multifacteur.
- Une stratégie est ajoutée à l’ID Microsoft Entra pour diriger le trafic des applications SaaS vers Defender for Cloud Apps. La stratégie spécifie les applications SaaS auxquelles appliquer cette stratégie. Une fois que Microsoft Entra ID applique toutes les stratégies d’accès conditionnel qui s’appliquent à ces applications SaaS, l’ID Microsoft Entra dirige (proxy) le trafic de session via Defender for Cloud Apps.
- Defender for Cloud Apps surveille ce trafic et applique toutes les stratégies de contrôle de session qui ont été configurées par les administrateurs.
Vous avez peut-être découvert et approuvé des applications cloud utilisant Defender for Cloud Apps qui n’ont pas été ajoutées à l’ID Microsoft Entra. Vous pouvez tirer parti du contrôle d’application par accès conditionnel en ajoutant ces applications cloud à votre locataire Microsoft Entra et l’étendue de vos règles d’accès conditionnel.
La première étape de l’utilisation de Microsoft Defender for Cloud Apps pour gérer les applications SaaS consiste à découvrir ces applications, puis à les ajouter à votre locataire Microsoft Entra. Si vous avez besoin d’aide sur la découverte, consultez Découvrir et gérer des applications SaaS dans votre réseau. Une fois que vous avez découvert les applications, ajoutez ces applications à votre locataire Microsoft Entra.
Vous pouvez commencer à gérer ces applications avec les tâches suivantes :
- Dans l’ID Microsoft Entra, créez une stratégie d’accès conditionnel et configurez-la sur « Utiliser le contrôle d’application par accès conditionnel ». Cette configuration permet de rediriger la demande vers Defender for Cloud Apps. Vous pouvez créer une stratégie et ajouter toutes les applications SaaS à cette stratégie.
- Ensuite, dans Defender for Cloud Apps, créez des stratégies de session. Créez une stratégie pour chaque contrôle que vous souhaitez appliquer.
Pour plus d’informations, notamment sur les applications et les clients pris en charge, consultez Protéger les applications avec le contrôle d’application par accès conditionnel Microsoft Defender for Cloud Apps.
Pour obtenir des exemples de stratégies, consultez Stratégies Microsoft Defender for Cloud Apps recommandées pour les applications SaaS. Ces stratégies s’appuient sur un ensemble de stratégies d’identité et d’accès aux appareils communes recommandées comme point de départ pour tous les clients.
Étape 7 Appliquer des stratégies de session aux applications cloud
Microsoft Defender for Cloud Apps sert de proxy inverse, fournissant un accès proxy aux applications cloud approuvées. Cette configuration permet à Defender for Cloud Apps d’appliquer des stratégies de session que vous configurez.
Dans cette illustration :
- L’accès aux applications cloud approuvées des utilisateurs et des appareils de votre organisation est acheminé via Defender for Cloud Apps.
- Cet accès proxy permet d’appliquer des stratégies de session.
- Les applications cloud que vous n’avez pas approuvées ou explicitement non approuvées ne sont pas affectées.
Les stratégies de session vous permettent d’appliquer des paramètres à la façon dont les applications cloud sont utilisées par votre organisation. Par exemple, si votre organisation utilise Salesforce, vous pouvez configurer une stratégie de session qui autorise uniquement les appareils gérés à accéder aux données de votre organisation sur Salesforce. Un exemple plus simple peut être la configuration d’une stratégie pour surveiller le trafic provenant d’appareils non gérés afin que vous puissiez analyser le risque de ce trafic avant d’appliquer des stratégies plus strictes.
Pour plus d’informations, consultez Créer des stratégies de session.
Étape 8. Tester des fonctionnalités supplémentaires
Utilisez ces tutoriels Defender for Cloud Apps pour vous aider à découvrir les risques et à protéger votre environnement :
- Détecter les activités suspectes des utilisateurs
- Examiner les utilisateurs à risque
- Examiner les applications OAuth à risque
- Découvrir et protéger les informations sensibles
- Protéger n’importe quelle application de votre organisation en temps réel
- Bloquer les téléchargements d’informations sensibles
- Protéger vos fichiers avec la mise en quarantaine de l’administrateur
- Exiger une authentification intermédiaire en cas d’action risquée
Pour plus d’informations sur la chasse avancée dans les données Microsoft Defender for Cloud Apps, consultez cette vidéo.
Intégration SIEM
Vous pouvez intégrer Defender for Cloud Apps à Microsoft Sentinel ou à un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité au sein de votre organisation et créer des playbooks pour une réponse efficace et immédiate.
Microsoft Sentinel inclut un connecteur Defender for Cloud Apps. Cela vous permet non seulement d’obtenir une visibilité sur vos applications cloud, mais également d’obtenir des analyses sophistiquées pour identifier et combattre les cybermenaces et contrôler le déplacement de vos données. Pour plus d’informations, consultez Intégration de Microsoft Sentinel et Diffuser des alertes et des journaux Cloud Discovery de Defender for Cloud Apps vers Microsoft Sentinel.
Pour plus d’informations sur l’intégration avec des systèmes SIEM tiers, consultez Intégration SIEM générique.
Étape suivante
Effectuer la gestion du cycle de vie pour Defender for Cloud Apps.
Étape suivante pour le déploiement de bout en bout de Microsoft Defender XDR
Poursuivez votre déploiement de bout en bout de Microsoft Defender XDR avec Examiner et répondre à l’aide de Microsoft Defender XDR.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.