Créer des stratégies d'activité Microsoft Defender for Cloud Apps
Les stratégies d’activité vous permettent d’appliquer un large éventail de processus automatisés à l’aide des API du fournisseur d’applications. Ces stratégies vous permettent de surveiller des activités spécifiques effectuées par différents utilisateurs ou de suivre les taux anormalement élevés d’un certain type d’activité.
Après avoir défini une stratégie de détection d’activité, elle commence à générer des alertes ; les alertes sont générées uniquement sur les activités qui se produisent après avoir créé la stratégie.
Remarque
- Les stratégies qui déclenchent plus de 200 000 correspondances par jour ou 100 000 correspondances toutes les 3 heures peuvent être désactivées automatiquement. Vous pouvez essayer d’affiner les stratégies en ajoutant des filtres supplémentaires ou, si vous utilisez des stratégies à des fins de création de rapports, envisagez de les enregistrer en tant que requêtes à la place.
- La configuration d’une nouvelle stratégie pour le déploiement peut prendre jusqu’à 15 minutes.
Alertes personnalisées
Grâce aux stratégies d’activité, vous pouvez envoyer des alertes personnalisées ou entreprendre des actions en cas de détection d’une activité utilisateur. Par exemple, vous souhaitez être informé dans les cas suivants :
- Un utilisateur tente de se connecter et échoue à 70 reprises en une minute
- Un utilisateur télécharge 7 000 fichiers
- Un utilisateur est connecté à partir d’un pays/une région inconnu
Lorsque ces événements se produisent, vous pouvez choisir de recevoir vous-même ces alertes d’activité ou les envoyer à l’utilisateur. Vous pouvez même suspendre l’utilisateur jusqu’à ce que vous ayez examiné ce qui est arrivé.
Pour créer une stratégie d’activité, procédez comme suit :
Dans le portail Microsoft Defender, sous Applications Cloud, accédez à Stratégies ->Gestion des stratégies. Sélectionnez ensuite l’onglet Détections de menaces.
Cliquez sur Créer une stratégie et sélectionnez Stratégie d’activité.
Donnez à votre stratégie un nom et une description. Si vous le souhaitez, vous pouvez la baser sur un modèle ; pour plus d’informations sur les modèles de stratégie, consultez Contrôler les applications cloud avec des stratégies.
Pour définir les actions ou autres mesures susceptibles de déclencher cette stratégie, utilisez les Filtres d’activité.
Pour vous assurer que vous incluez uniquement les résultats dans lesquels le champ de filtre spécifié a une valeur, nous vous recommandons d’ajouter le même champ à l’aide du test est défini. Par exemple, lorsque le filtrage par Emplacement n’est pas égal à une liste spécifiée de pays/régions, ajoutez également un filtre pour Emplacement est défini. Vous pouvez également prévisualiser les résultats du filtre en sélectionnant Modifier et prévisualiser les résultats. Par exemple :
Lorsqu’un filtre est défini sur « n’est pas égal à » et que l’attribut n’existe pas sur l’événement, l’événement ne sera pas filtré. Par exemple, le filtrage sur Étiquette d’appareil n’est pas égale à « Jonction hybride Microsoft Entra » ne filtre pas les événements qui ne contiennent pas d’étiquette d’appareil, même si l’appareil est joint à Microsoft Entra.
Dans le cas d'un utilisateur invité, il peut arriver que le filtre Utilisateur du groupe ne reconnaisse pas le compte par son domaine. Pour vous assurer que tous les utilisateurs invités sont inclus, utilisez les Utilisateurs externes comme groupe, si cela répond à vos besoins pour la stratégie.
Sous Créer des filtres pour la stratégie, sélectionnez quand une violation de stratégie sera déclenchée. Vous pouvez choisir de déclencher l’action lorsqu’une seule activité correspond aux filtres, ou lorsqu’un certain nombre d’activités répétées sont détectées.
- Si vous choisissez Activité répétée, vous pouvez également définir Dans une seule application. Ce paramètre déclenchera une correspondance de stratégie uniquement lorsque les activités répétées se produisent dans la même application. Par exemple, 5 téléchargements depuis Box en 30 minutes déclenchent une correspondance de stratégie.
Configurez les Actions à effectuer quand une correspondance est trouvée.
Jetez un œil aux exemples suivants :
Plusieurs échecs de connexion
Vous pouvez définir la stratégie de sorte à recevoir une alerte lorsqu’un grand nombre d’échecs de connexion se produisent sur une courte durée. Pour configurer ce type de stratégie, choisissez le filtre d’activité approprié dans la page Nouvelle stratégie d’activité.
Sous le champ Filtres d’activité, configurez les paramètres pour lesquels l’alerte doit être déclenchée.
Taux de téléchargement élevé
Vous pouvez définir votre stratégie afin de recevoir une alerte en cas de niveau d’activité de téléchargement anormal ou inhabituel. Pour configurer ce type de stratégie, sous les paramètres Taux, choisissez les paramètres devant déclencher l’alerte.
Informations de référence sur les stratégies d’activité
Cette section offre des informations de référence sur les stratégies, explique chaque type de stratégie et décrit les champs que vous pouvez configurer pour chacune d’elles.
Une Stratégie d’activité constitue une stratégie basée sur API qui vous permet de surveiller les activités de votre organisation dans le cloud. La stratégie prend en compte plus de 20 filtres de métadonnées de fichiers, notamment l’emplacement et le type d’appareil. Selon les résultats de la stratégie, des notifications peuvent être générées et des utilisateurs peuvent être exclus temporairement de l’application cloud. Chaque stratégie comprend les éléments suivants :
Filtres d’activité : Vous permettent de créer des conditions précises en fonction des métadonnées.
Paramètres de correspondance de l’activité : Vous permettent de définir un seuil pour le nombre de fois qu’une activité se répète pour être considérée comme correspondant à la stratégie. Spécifiez le nombre d’activités répétées nécessaires pour correspondre à la stratégie. Par exemple, définissez une stratégie pour vous informer lorsqu’un utilisateur atteint 10 tentatives de connexion échouées en 2 minutes ou moins. Par défaut, Paramètres de correspondance de l’activité déclenche une correspondance pour chaque activité unique qui satisfait à tous les filtres d’activité.
- À l’aide du paramètre Activité répétée, vous pouvez définir le nombre d’activités répétées et la durée de l’intervalle pendant lequel elles sont comptabilisées. Vous pouvez également spécifier que toutes les activités doivent être effectuées par le même utilisateur et dans la même application cloud.
Actions : La stratégie fournit un ensemble d’actions de gouvernance automatiquement applicables en cas de violations détectées.
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.