Activités

  • Article

Microsoft Defender for Cloud Apps vous donne une visibilité sur toutes les activités de vos applications connectées. Une fois connecté à une application à l’aide du connecteur d’applications, Defender for Cloud Apps analyse toutes les activités passées (la période d’analyse rétroactive varie par application). Defender for Cloud Apps est ensuite mis à jour en continu avec les nouvelles activités.

Remarque

Pour obtenir la liste complète des activités Microsoft 365 surveillées par Defender for Cloud Apps, voir Rechercher le journal d’audit dans le centre de conformité.

Le journal d’activité peut être filtré pour vous permettre de trouver des activités spécifiques. Vous créez des stratégies basées sur les activités, puis définissez ce sur quoi vous voulez être alerté pour y réagir. Vous pouvez rechercher des activités effectuées sur certains fichiers. Les types d’activités et les informations que nous obtenons pour chaque activité varient selon l’application et le genre de données que l’application peut fournir.

Par exemple, vous pouvez utiliser le Journal d’activité pour trouver les utilisateurs de votre organisation qui utilisent des systèmes d’exploitation ou des navigateurs obsolètes. Pour cela, procédez comme suit : après avoir connecté une application à Defender for Cloud Apps dans la page Journal d’activité, utilisez le filtre avancé et sélectionnez l’Etiquette Agent utilisateur. Sélectionnez ensuite Navigateur obsolète ou Système d’exploitation obsolète.

Activity outdated browser example.

Le filtre de base fournit des outils efficaces pour démarrer vos activités de filtrage.

basic activity log filter.

Vous pouvez développer le filtre de base en sélectionnant Filtres avancés pour explorer plus en détail les activités plus spécifiques.

advanced activity log filter.

Remarque

  • La balise Héritée est ajoutée à toute stratégie d’activité qui utilise l’ancien filtre « utilisateur ». Ce filtre continue à fonctionner comme d’habitude. Si vous souhaitez supprimer la balise héritée, vous pouvez supprimer le filtre et l’ajouter à nouveau à l’aide du nouveau filtre Nom d’utilisateur.

  • Dans certains cas rares, le nombre d’événements présentés dans le journal d’activité peut afficher un nombre légèrement plus élevé que le nombre réel d’événements qui s’appliquent au filtre et qui sont présentés.

Tiroir Activité

Travailler avec le tiroir Activité

Vous pouvez afficher plus d’informations supplémentaires sur chaque activité en sélectionnant l’activité elle-même dans le journal d’activité. Cette opération ouvre le tiroir Activité qui contient les actions et insights supplémentaires suivants pour chaque activité :

  • Stratégies correspondantes : Sélectionnez sur le lien Stratégies correspondantes pour afficher la liste des stratégies que cette activité a mises en correspondance.

  • Afficher les données brutes : Sélectionnez Afficher les données brutes pour afficher les données réelles reçues de l’application.

  • Utilisateur : Sélectionnez l’utilisateur pour afficher la page utilisateur de l’utilisateur ayant réalisé l’activité.

  • Type d’appareil : Sélectionnez le Type d’appareil pour afficher les données d’agent utilisateur brutes.

  • Emplacement : Sélectionnez l’emplacement pour afficher l’emplacement dans les cartes Bing.

  • Catégorie d’adresse IP et balises : Sélectionnez la balise IP pour afficher la liste des balises IP trouvées dans cette activité. Vous pouvez ensuite filtrer selon toutes les activités correspondant à cette balise.

Les champs du tiroir d’Activité fournissent des liens contextuels vers des fichiers supplémentaires et permettent d’effectuer un zoom avant, directement dans le tiroir. Par exemple, si vous déplacez votre curseur à côté de la catégorie d’adresse IP, vous pouvez utiliser l’icône ajouter au filtreadd to filter. pour ajouter immédiatement l’adresse IP au filtre de la page active. Vous pouvez également utiliser l’icône de roue dentée settings icon paramètres icône paramètres qui s’affiche pour accéder directement à la page des paramètres nécessaire pour modifier la configuration de l’un des champs, par exemple les groupes d’utilisateurs.

Vous pouvez aussi utiliser les icônes au sommet de l’onglet pour :

  • Afficher des activités du même type
  • Afficher toutes les activités du même utilisateur
  • Afficher les activités à partir de la même adresse IP
  • Afficher les activités à partir de l’emplacement géographique exact
  • Afficher les activités dans la même période (48 heures)

activity drawer.

Pour obtenir la liste des actions de gouvernance disponibles, consultez Actions de gouvernance des activités.

Insights utilisateur

L’expérience d’investigation comprend des insights sur l’utilisateur responsable de l’action. En un seul clic, vous pouvez obtenir une vue d’ensemble complète de l’utilisateur, notamment l’endroit à partir duquel il s’est connecté, le nombre d’alertes ouvertes qui le concernent et ses informations de métadonnées.

Pour afficher les insights utilisateur :

  1. Sélectionnez sur l’Activité elle-même dans le Journal d’activité.

  2. Ensuite sélectionnez ensuite l’onglet Utilisateur.
    En le sélectionnant l’onglet Utilisateur du tiroir Activité qui fournit les insights suivants sur l’utilisateur :

    • Alertes ouvertes : Nombre d’alertes ouvertes concernant l’utilisateur.
    • Correspondances : Nombre de correspondances de stratégie pour les fichiers appartenant à l’utilisateur.
    • Activités : Nombre d’activités effectuées par l’utilisateur au cours des 30 derniers jours.
    • Pays : Nombre de pays à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours.
    • ISP : Nombre d’ISP à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours.
    • Adresses IP : Nombre d’adresses IP à partir desquelles l’utilisateur s’est connecté au cours des 30 derniers jours.

user insights in Defender for Cloud Apps.

Insights sur l’adresse IP

Parce que les informations d’adresse IP sont essentielles dans la quasi-totalité des examens, vous pouvez afficher les informations détaillées des adresses IP dans le tiroir Activité. Dans une activité spécifique, vous pouvez sélectionner sur l’onglet Adresse IP pour afficher des données consolidées concernant l’adresse IP, y compris le nombre d’alertes actives pour l’adresse IP particulier, un graphique de tendance de l’activité récente et une carte d’emplacement. Cela permet des examens approfondis lors de l’étude d’alertes de déplacement impossible, par exemple. De plus, vous pouvez facilement comprendre où l’adresse IP a été utilisée et si elle était impliquée dans des activités suspectes. Vous pouvez également effectuer des actions directement dans le tiroir Adresse IP, où vous pouvez marquer une adresse IP comme étant risquée, VPN ou d’entreprise pour faciliter par la suite l’examen et la création de stratégie.

Pour afficher les insights sur l’adresse IP :

  1. Sélectionnez sur l’Activité elle-même dans le Journal d’activité.

  2. Ensuite sélectionnez l'onglet Adresses IP.

    Cette opération ouvre l’onglet Adresse IP du tiroir Activité qui fournit les insights suivants sur l’adresse IP :

    • Alertes ouvertes : Nombre d’alertes ouvertes concernant l’adresse IP.

    • Activités : Nombre d’activités effectuées par l’adresse IP au cours des 30 derniers jours.

    • Emplacement IP : Emplacements géographiques à partir desquels l’adresse IP s’est connectée dans les 30 derniers jours.

    • Activités : Nombre d’activités effectuées à partir de l’adresse IP au cours des 30 derniers jours.

    • Activités administratives : Nombre d’activités administratives effectuées à partir de l’adresse IP au cours des 30 derniers jours. Vous pouvez effectuer les actions d’adresse IP suivantes :

      • Marquer comme adresse IP d’entreprise et ajouter à la liste autorisée
      • Marquer comme adresse IP VPN et ajouter à la liste autorisée
      • Marquer comme adresse IP risquée et ajouter à la liste bloquée

IP address insights in Defender for Cloud Apps.

Remarque

  • Les adresses IP IPv4 ou IPv6 internes auditées par les applications cloud connectées à l’API peuvent indiquer des communications de services internes au sein du réseau de l’application cloud et ne doivent pas être confondues avec les adresses IP internes du réseau source à partir duquel l’appareil est connecté, car l’application cloud n’est pas exposée aux adresses IP internes des appareils.
  • Pour éviter de déclencher des alertes de voyage impossibles lorsque les employés se connectent à partir de leurs emplacements d’accueil via le VPN d’entreprise, il est recommandé de marquer l’adresse IP en tant que VPN.

Exporter les activités

Vous pouvez exporter toutes les activités utilisateur dans un fichier CSV.

Dans le Journal d’activité, sélectionnez le bouton Exporter en haut à gauche.

export button.

Remarque

Cet article explique comment supprimer des données personnelles de l’appareil ou du service, et peut être utilisé pour prendre en charge vos obligations dans le cadre du RGPD. Si vous recherchez des informations générales sur le RGPD, consultez la section sur le RGPD du portail Service Trust.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.