Partager via

Créer des stratégies d’application dans la gouvernance des applications

  • Article

Avec un ensemble intégré de fonctionnalités permettant de détecter le comportement anormal de l’application et de générer des alertes basées sur des algorithmes d’apprentissage automatique, les stratégies de gouvernance des applications vous permettent de :

  • Spécifiez les conditions par lesquelles la gouvernance des applications vous averti du comportement de l’application pour une correction automatique ou manuelle.

  • Appliquez les politiques de conformité des applications pour votre organisation.

Utilisez la gouvernance des applications pour créer des stratégies OAuth pour les applications connectées à Microsoft Entra ID, à Google Workspace et à Salesforce.


Créer des stratégies d’application OAuth pour Microsoft Entra ID

Pour les applications connectées à Microsoft Entra ID, créez des stratégies d’application à partir de modèles fournis qui peuvent être personnalisés ou créez votre propre stratégie d’application personnalisée.

  1. Pour créer une stratégie d’application pour les applications Azure AD, accédez à Microsoft Defender XDR > Gouvernance d’application > Stratégies > Azure AD.

    Par exemple :

    Screenshot of the Azure AD tab.

  2. Sélectionnez l’option Créer une nouvelle stratégie, puis effectuez l’une des étapes suivantes :

    • Pour créer une stratégie d’application à partir d’un modèle, sélectionnez la catégorie de modèle appropriée suivie du modèle dans cette catégorie.
    • Pour créer une stratégie personnalisée, sélectionnez la catégorie Personnaliser.

    Par exemple :

    Screenshot of a Choose a policy template page.

Modèles de stratégie d’application

Pour créer une stratégie d’application basée sur un modèle de stratégie d’application, sur la page Choisir un modèle de stratégie d’application, sélectionnez une catégorie de modèle d’application, sélectionnez le nom du modèle, puis sélectionnez Suivant.

Les sections suivantes décrivent les catégories du modèle de stratégie d’applications.

Utilisation

Le tableau suivant répertorie les modèles de gouvernance des applications pris en charge pour générer des alertes pour l’utilisation de l’application.

Nom du modèle Description
Nouvelle application avec une utilisation élevée des données Recherchez les applications nouvellement inscrites qui ont chargé ou téléchargé de grandes quantités de données à l’aide de l’API Graph. Cette stratégie vérifie les conditions suivantes :

  • Âge de l’inscription : Sept jours ou moins (personnalisable)
  • Consommation des données : Supérieure à 1 GB en un jour (personnalisable)
    		•
    Augmentation des utilisateurs Recherchez des applications avec une augmentation notable du nombre d’utilisateurs. Cette stratégie vérifie les conditions suivantes :

  • Intervalle de temps : 90 derniers jours
  • Augmentation du consentement des utilisateurs : Au moins 50 % (personnalisable)
    		•

    Autorisations

    Le tableau suivant répertorie les modèles de gouvernance des applications pris en charge pour générer des alertes pour les autorisations d’application.

    Nom du modèle Description
    Application over-privilégiée Trouvez des applications qui ont des autorisations d’API Microsoft Graph inutilisées. Ces applications ont reçu des autorisations accordées qui pourraient être inutiles pour une utilisation régulière.
    Nouvelles applications à privilège élevé Trouvez des applications nouvellement inscrites qui ont reçu un accès en écriture et d’autres autorisations puissantes de l’API Graph. Cette stratégie vérifie les conditions suivantes :

  • Âge de l’inscription : Sept jours ou moins (personnalisable)
    		•
    Nouvelle application avec des autorisations d’API non Graph Trouvez des applications nouvellement inscrites qui disposent d’autorisations pour les API non Graph. Ces applications peuvent vous exposer à des risques si les API auxquelles ils accèdent reçoivent un support et des mises à jour limités.
    Cette stratégie vérifie les conditions suivantes :

  • Âge de l’inscription : Sept jours ou moins (personnalisable)
  • Autorisations d’API non Graph : Oui
    		•

    Certification

    Le tableau suivant répertorie les modèles de gouvernance des applications pris en charge pour générer des alertes pour la certification Microsoft 365.

    Nom du modèle Description
    Nouvelle application non certifiée Trouvez des applications nouvellement inscrites qui n’ont pas d’attestation d’éditeur ou de certification Microsoft 365. Cette stratégie vérifie les conditions suivantes :

  • Âge de l’inscription : Sept jours ou moins (personnalisable)
  • Certification : Aucune certification (personnalisable)
    		•

    Stratégies personnalisées

    Utilisez une stratégie d’application personnalisée lorsque vous devez effectuer quelque chose qui n’est pas déjà fait par l’un des modèles intégrés.

    1. Pour créer une stratégie d’application personnalisée, sélectionnez d’abord Créer une nouvelle stratégie dans la page Stratégies. Dans la page Choisir un modèle de stratégie d’application, sélectionnez la catégorie Personnaliser, le modèle Stratégie personnalisée, puis sélectionnez Suivant.

    2. Sur la page Nom et description, configurez ce qui suit :

      • Nom de la stratégie
      • Description de la stratégie
      • Sélectionnez la gravité de la stratégie, qui définit la gravité des alertes générées par cette stratégie.
        • Élevé
        • Moyenne
        • Faible

    3. Sur la page Choisir les paramètres et les conditions de stratégie, pour Choisir les applications auxquelles cette stratégie s’applique, sélectionnez :

      • Toutes les applications
      • Choisir des applications spécifiques
      • Toutes les applications sauf

    4. Si vous choisissez des applications spécifiques, ou toutes les applications à l’exception de cette stratégie, sélectionnez Ajouter des applications et sélectionnez les applications souhaitées dans la liste. Dans le volet Sélectionner des applications, vous pouvez sélectionner plusieurs applications auxquelles cette stratégie s’applique, puis sélectionner Ajouter. Sélectionnez Suivant lorsque vous êtes satisfait de vos modifications.

    5. Sélectionnez Modifier les conditions. Sélectionnez Ajouter une condition et sélectionnez une condition dans la liste. Définissez le seuil souhaité pour votre condition sélectionnée. Répétez pour ajouter d’autres conditions. Sélectionnez Enregistrer pour enregistrer la règle et, lorsque vous avez terminé d’ajouter des règles, sélectionnez Suivant.

      Remarque

      Certaines conditions de stratégie s’appliquent uniquement aux applications qui accèdent aux autorisations d’API Graph. Lors de l’évaluation des applications qui accèdent uniquement aux API non Graph, la gouvernance des applications ignore ces conditions de stratégie et passe à case activée uniquement d’autres conditions de stratégie.

    6. Voici les conditions disponibles pour une stratégie d’application personnalisée :

      Condition Valeurs de condition acceptées Description Informations complémentaires
      Âge de l’inscription Au cours des X derniers jours Applications inscrites à Microsoft Entra ID dans une période spécifiée à partir de la date actuelle
      Certification Aucune certification, Publisher attesté, Microsoft 365 Certified Les applications certifiées Microsoft 365 ont un rapport d’attestation d’éditeur ou aucun des deux Certification Microsoft 365
      Éditeur vérifié Oui ou Non Applications qui ont vérifié les éditeurs Vérification de l'éditeur
      Autorisations des applications (Graph uniquement) Sélectionnez une ou plusieurs autorisations API dans la liste Applications disposant d’autorisations d’API Graph spécifiques qui ont été accordées directement Informations de référence sur les autorisations Microsoft Graph
      Autorisations déléguées (Graph uniquement) Sélectionnez une ou plusieurs autorisations API dans la liste Applications avec des autorisations d’API Graph spécifiques données par un utilisateur Informations de référence sur les autorisations Microsoft Graph
      Hautement privilégié (Graph uniquement) Oui ou Non Applications avec des autorisations d’API Graph relativement puissantes Désignation interne basée sur la même logique utilisée par Defender for Cloud Apps.
      Over-privilégié (Graph uniquement) Oui ou Non Applications avec des autorisations d’API Graph inutilisées Les applications disposant de plus d’autorisations accordées que celles utilisées par ces applications.
      Autorisations d’API non Graph Oui ou Non Applications disposant d’autorisations sur des API non Graph. Ces applications peuvent vous exposer à des risques si les API auxquelles ils accèdent reçoivent un support et des mises à jour limités.
      Utilisation des données (Graph uniquement) Supérieur à X Go de données téléchargées et téléchargées par jour Applications qui ont lu et écrit plus qu’une quantité spécifiée de données à l’aide de l’API Graph
      Tendance de la consommation des données (Graph uniquement) Augmentation de X % de l’utilisation des données par rapport au jour précédent Les applications dont les données sont lues et les écritures à l’aide de l’API Graph ont augmenté d’un pourcentage spécifié par rapport au jour précédent
      Accès à l’API (Graph uniquement) Supérieur aux appels d’API X par jour Applications qui ont effectué sur un nombre spécifié d’appels d’API Graph dans une journée
      Tendance de l’accès aux API (Graph uniquement) Augmentation de X % des appels API par rapport au jour précédent Applications dont le nombre d’appels d’API Graph a augmenté par un pourcentage spécifié par rapport au jour précédent
      Nombre d’utilisateurs consentants (Supérieur ou inférieur à) Utilisateurs qui ont consenté X Applications qui ont reçu le consentement d’un plus ou moins grand nombre d’utilisateurs que spécifié
      Augmentation du nombre d’utilisateurs consentants Augmentation de X % des utilisateurs au cours des 90 derniers jours Applications dont le nombre d’utilisateurs consentants a augmenté par plus d’un pourcentage spécifié au cours des 90 derniers jours
      Consentement du compte prioritaire donné Oui ou Non Applications qui ont reçu le consentement des utilisateurs prioritaires Un utilisateur disposant d’un compte prioritaire.
      Noms des utilisateurs consentants Sélectionnez les utilisateurs dans la liste Applications qui ont reçu le consentement d’utilisateurs spécifiques
      Rôles des utilisateurs consentants Sélectionner les rôles dans la liste Applications qui ont reçu le consentement des utilisateurs avec des rôles spécifiques Sélections multiples autorisées.

      Tout rôle Microsoft Entra avec membre affecté doit être mis à disposition dans cette liste.
      Étiquettes de confidentialité consultées Sélectionnez une ou plusieurs étiquettes de confidentialité dans la liste Applications qui ont accédé aux données avec des étiquettes de confidentialité spécifiques au cours des 30 derniers jours.
      Services accessibles (Graph uniquement) Exchange et/ou OneDrive et/ou SharePoint et/ou Teams Applications qui ont accédé à OneDrive, SharePoint ou Exchange Online à l’aide de l’API Graph Sélections multiples autorisées.
      Taux d’erreur (Graph uniquement) Le taux d’erreur est supérieur à X % au cours des sept derniers jours Applications dont les taux d’erreur de l’API Graph au cours des sept derniers jours sont supérieurs à un pourcentage spécifié

      Toutes les conditions spécifiées doivent être remplies pour que cette stratégie d’application génère une alerte.

    7. Lorsque vous avez terminé de spécifier les conditions, sélectionnez Enregistrer, puis sélectionnez Suivant.

    8. Dans la page Définir des actions de stratégie, sélectionnez Désactiver l’application si vous souhaitez que la gouvernance des applications désactive l’application lorsqu’une alerte basée sur cette stratégie est générée, puis sélectionnez Suivant. Utilisez la prudence lors de l’application d’actions, car une stratégie peut affecter les utilisateurs et l’utilisation légitime de l’application.

    9. Dans la page Définir l’état de la stratégie, sélectionnez l’une des options suivantes :

      • Mode d’audit : Les stratégies sont évaluées, mais les actions configurées ne se produisent pas. Les stratégies en mode audit apparaissent avec le status Audit dans la liste des stratégies. Vous devez utiliser le mode Audit pour tester une nouvelle stratégie.
      • Active : Les stratégies sont évaluées et des actions configurées se produisent.
      • Inactive : Les stratégies ne sont pas évaluées et les actions configurées ne se produiront pas.

    10. Examinez attentivement tous les paramètres de votre stratégie personnalisée. Sélectionnez Envoyer lorsque vous êtes satisfait. Vous pouvez également revenir en arrière et modifier les paramètres en sélectionnant Modifier sous l’un des paramètres.

    Tester et surveiller votre nouvelle stratégie d’application

    Maintenant que votre stratégie d’application est créée, vous devez la surveiller dans la page Stratégies pour vous assurer qu’elle inscrit un nombre attendu d’alertes actives et d’alertes totales pendant le test.

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    Si le nombre d’alertes est une valeur faible inattendue, modifiez les paramètres de la stratégie d’application pour vous assurer que vous l’avez correctement configuré avant de définir son status.

    Voici un exemple de processus permettant de créer une stratégie, de la tester, puis de la rendre active :

    1. Créez la nouvelle stratégie avec la gravité, les applications, les conditions et les actions définies sur les valeurs initiales et l’état défini sur le Mode audit.
    2. Vérifiez le comportement attendu, par exemple les alertes générées.
    3. Si le comportement n’est pas attendu, modifiez les applications de stratégie, les conditions et les paramètres d’action en fonction des besoins et revenez à l’étape 2.
    4. Si le comportement est attendu, modifiez la stratégie et remplacez son état Actif.

    Par exemple, le diagramme de flux suivant montre les étapes impliquées :

    Diagram of the create app policy workflow.

    Créer une stratégie pour les applications OAuth connectées à Salesforce et à Google Workspace

    Les stratégies pour les applications OAuth déclenchent des alertes uniquement sur les stratégies autorisées par les utilisateurs du client.

    Pour créer une nouvelle stratégie d’application pour Salesforce, Google et d’autres applications :

    1. Accédez à Microsoft Defender XDR > Gouvernance des applications > Stratégies > Autres applications. Par exemple :

      Other apps-policy creation

    2. Filtrez les applications selon vos besoins. Par exemple, vous pouvez afficher toutes les applications qui demandent l’Autorisation de Modifier les calendriers dans votre boîte aux lettres.

      Conseil

      Utilisez le filtre Utilisation communautaire pour savoir si l’octroi d’autorisation à cette application est courant, peu courant ou rare. Ce filtre peut être utile si vous avez une application rare qui exige une autorisation avec un haut niveau de gravité ou qui exige une autorisation auprès de nombreux utilisateurs.

    3. Vous pouvez définir la stratégie en fonction du groupe auquel appartiennent les utilisateurs qui ont autorisé les applications. Par exemple, un administrateur peut décider de définir une stratégie de révocation des applications rares demandant des autorisations élevées, sauf si l’utilisateur qui a accordé les autorisations est membre du groupe Administrateurs.

    Par exemple :

    new OAuth app policy.

    Stratégies de détection d’anomalies pour les applications OAuth connectées à Salesforce et à Google Workspace

    Outre les stratégies d’application OAuth que vous pouvez créer, Defender pour le cloud applications fournit des stratégies de détection d’anomalie prêtes à l’emploi qui profilent les métadonnées des applications OAuth pour identifier celles potentiellement malveillantes.

    Cette section s’applique uniquement aux applications Salesforce et Google Workspace.

    Remarque

    Les stratégies de détection des anomalies ne sont disponibles que pour les applications OAuth autorisées dans votre Microsoft Entra ID. La gravité des stratégies de détection des anomalies d’application OAuth ne peut pas être modifiée.

    Le tableau suivant décrit les stratégies de détection d’anomalie prêtes à l’emploi fournies par Defender for Cloud Apps :

    Stratégie Description
    Nom d’application OAuth équivoque Analyse les applications OAuth connectées à votre environnement et déclenche une alerte lorsqu’une application portant un nom trompeur est détectée. Des noms trompeurs, tels que des lettres étrangères qui ressemblent à des lettres latines, peuvent indiquer une tentative de déguisement d’une application malveillante en tant qu’application connue et approuvée.
    Nom d’éditeur équivoque pour une application OAuth Analyse les applications OAuth connectées à votre environnement et déclenche une alerte lorsqu’une application portant un nom d’éditeur trompeur est détectée. Des noms d’éditeur trompeurs, tels que des lettres étrangères qui ressemblent à des lettres latines, peuvent indiquer une tentative de déguisement d’une application malveillante en tant qu’application provenant d’un éditeur connu et approuvé.
    Consentement de l’application OAuth malveillante Analyse les applications OAuth connectées à votre environnement et déclenche une alerte lorsqu’une application potentiellement malveillante est autorisée. Les applications OAuth malveillantes peuvent être utilisées dans le cadre d’une campagne d’hameçonnage dans le cadre d’une tentative de compromission des utilisateurs. Cette détection utilise la recherche de sécurité Microsoft et de l’expertise en matière de veille des menaces pour identifier les applications malveillantes.
    Activités de téléchargement suspectes du fichier d’application OAuth Pour plus d’informations, consultez Stratégies de détection d'anomalies.

    Étape suivante

    Gérer vos stratégies d’application