Partager via

Utilisation des applications découvertes

  • Article

La page Cloud Discovery propose un tableau de bord conçu pour vous donner un meilleur aperçu de la manière dont les applications cloud sont utilisées dans votre entreprise. Le tableau de bord offre une vue d'ensemble des types d'applications utilisées, de vos alertes ouvertes et des niveaux de risque des applications dans votre organisation. Il indique également qui sont les principaux utilisateurs de votre application et fournit une carte de localisation du siège de l'application.

Filtrez vos données Cloud Discovery pour générer des vues spécifiques, en fonction de ce qui vous intéresse le plus. Pour obtenir plus d’informations, consultez Découvrir les filtres d’application.

Prérequis

Pour plus d'informations sur les rôles requis, voir Gérer l'accès administrateur.

Consulter le tableau de bord Cloud Discovery

Cette procédure décrit comment obtenir une première image générale de vos applications de découverte du cloud dans le tableau de bord de la découverte du cloud.

  1. Dans le portail Microsoft Defender, sélectionnez Applications Cloud > Cloud Discovery.

    Par exemple :

    Capture d'écran du tableau de bord de Cloud Discovery

    Les applications prises en charge comprennent les applications Windows et macOS, qui sont toutes deux répertoriées dans le flux Defender pour point de terminaison géré.

  2. Passez en revue les informations suivantes :

    1. Utilisez la vue d'ensemble de l'utilisation de haut niveau pour comprendre l'utilisation globale des applications cloud dans votre organisation.

    2. Approfondissez cet examen pour comprendre les principales catégories utilisées dans votre organisation pour chacun des différents paramètres d'utilisation. Notez à quel point cette utilisation est le fait d'applications approuvées.

    3. Utilisez l'onglet Applications découvertes pour approfondir le sujet et voir toutes les applications d'une catégorie spécifique.

    4. Consultez les principaux utilisateurs et adresses IP sources pour identifier les utilisateurs qui emploient le plus les applications cloud dans votre organisation.

    5. Utilisez la carte des sièges sociaux des applications pour vérifier comment les applications découvertes se répartissent géographiquement, en fonction de leur siège social.

    6. Utilisez l'aperçu du risque des applications pour comprendre le score de risque des applications découvertes, et vérifiez l'état des alertes de découverte pour savoir combien d'alertes ouvertes doivent être examinées.

Examen approfondi des applications découvertes

Pour approfondir les données Cloud Discovery, utilisez les filtres pour rechercher les applications à risque ou les applications couramment utilisées.

Par exemple, si vous voulez identifier les applications de collaboration et de stockage cloud à risque couramment utilisées, utilisez la page Applications découvertes pour rechercher les applications souhaitées. Vous pouvez par la suite ne pas approuver ou bloquer ces applications, comme suit :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Cloud Discovery. Choisissez ensuite l'onglet Applications découvertes.

  2. Dans la page Applications découvertes, sous Parcourir par catégorie, sélectionnez Stockage cloud et Collaboration.

  3. Utilisez les filtres avancés pour définir le facteur de risque de conformité sur SOC 2 = Non.

  4. Pour Utilisation, définissez Utilisateurs sur une valeur supérieure à 50 utilisateurs et Transactions sur une valeur supérieure à 100.

  5. Définissez le Facteur de risque de sécurité pour Chiffrement des données au repos sur Non pris en charge. Définissez ensuite Score de risque sur une valeur inférieure ou égale à 6.

    Capture d'écran d'un exemple de filtres d'application découverts.

Une fois que les résultats sont filtrés, vous pouvez ne pas approuver et bloquer ces applications en cochant la case d’action en bloc pour ne pas les approuver toutes en une seule action. Une fois qu’elles sont non approuvées, utilisez un script de blocage pour empêcher leur utilisation dans votre environnement.

Vous pourriez également vouloir identifier des instances d'applications spécifiques qui sont en cours d'utilisation en enquêtant sur les sous-domaines découverts. Par exemple, effectuez la distinction entre différents sites SharePoint :

Filtre de sous-domaine.

Remarque

Les recherches approfondies dans les applications découvertes sont prises en charge uniquement dans les pare-feux et les proxys qui contiennent des données d’URL cibles. Pour plus d’informations, consultez Pare-feux et proxys pris en charge.

Si Defender pour Cloud Apps ne peut pas faire correspondre le sous-domaine détecté dans les journaux de trafic avec les données stockées dans le catalogue d'applications, le sous-domaine est balise comme Autre.

Découvrir des ressources et des applications personnalisées

Cloud Discovery vous permet également d’approfondir vos ressources IaaS et PaaS. Découvrez l’activité sur vos plateformes d’hébergement de ressources, affichez l’accès aux données sur vos applications et ressources auto-hébergées, notamment les comptes de stockage, l’infrastructure et les applications personnalisées hébergées sur Azure, Google Cloud Platform et AWS. Non seulement vous pouvez voir l’utilisation globale dans vos solutions IaaS, mais vous pouvez obtenir une visibilité sur les ressources spécifiques hébergées sur chacune d’elles et l’utilisation globale des ressources, afin d’atténuer les risques par ressource.

Par exemple, si une grande quantité de données est chargée, découvrez sur quelle ressource elles ont été chargées et explorez les données pour savoir qui a effectué l'activité.

Remarque

Cette fonctionnalité est prise en charge uniquement dans les pare-feu et les proxys qui contiennent des données d’URL cibles. Pour plus d’informations, consultez la liste des appliances prises en charge dans Pare-feux et proxys pris en charge.

Pour afficher les ressources découvertes :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Cloud Discovery. Choisissez ensuite l’onglet Ressources découvertes.

    Capture d'écran du menu des ressources découvertes.

  2. Dans la page des ressources découvertes, explorez chaque ressource pour voir quels types de transactions se sont produites, qui y a accédé, puis examiner les utilisateurs encore plus loin.

    Capture d'écran du menu des ressources découvertes.

  3. Pour les applications personnalisées, sélectionnez le menu d'options au bout de la ligne, puis sélectionnez Ajouter une nouvelle application personnalisée. Cela ouvre la boîte de dialogue Ajouter cette application, dans laquelle vous pouvez nommer et identifier l'application afin qu'elle puisse être incluse dans le tableau de bord cloud discovery.

Générer un rapport exécutif Cloud Discovery

La meilleure façon d’obtenir une vue d’ensemble de l’utilisation du Shadow IT dans votre organisation est de générer un rapport exécutif Cloud Discovery. Ce rapport identifie les principaux risques potentiels et vous permet de planifier un workflow pour atténuer et gérer les risques jusqu’à leur résolution.

Pour générer un rapport Cloud Discovery efficace :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Cloud Discovery.

  2. Sur la page Cloud Discovery, sélectionnez Actions>Générer un rapport exécutif Cloud Discovery.

  3. Si vous le souhaitez, modifiez le nom du rapport, puis sélectionnez Générer.

Exclure des entités

Si votre système présente des utilisateurs, des adresses IP ou des appareils qui génèrent du bruit mais ne sont pas intéressants, ou des entités qui ne devraient pas être présentées dans les rapports d’informatique fantôme, vous pouvez exclure leurs données des données Cloud Discovery qui sont analysées. Par exemple, vous pouvez exclure toutes les informations provenant de l’hôte local.

Pour créer une exclusion :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications Cloud>Cloud Discovery>Exclure des entités.

  2. Sélectionnez l'onglet Utilisateurs exclus, Groupes exclus, Adresses IP exclues ou Appareils exclus et cliquez sur le bouton +Ajouter pour ajouter votre exclusion.

  3. Ajoutez un alias utilisateur, une adresse IP ou le nom du périphérique. Nous vous recommandons d’ajouter des informations sur les raisons de l’exclusion.

    Capture d'écran de l'exclusion d'un utilisateur.

Remarque

Toutes les exclusions d'entités s'appliquent uniquement aux données nouvellement reçues. Les données historiques des entités exclues sont conservées pendant la période de rétention (90 jours).

Gérer les rapports continus

Les rapports continus personnalisés vous apportent une plus grande granularité lors de la surveillance des données de journaux Cloud Discovery de votre organisation. Créez des rapports personnalisés pour filtrer des emplacements géographiques, des réseaux et des sites spécifiques, ou des unités organisationnelles. Par défaut, seuls les rapports suivants apparaissent dans votre sélecteur de rapports Cloud Discovery :

  • Le rapport global regroupe toutes les informations du portail provenant de toutes les sources de données que vous avez incluses dans vos journaux. Le rapport global n’inclut pas les données de Microsoft Defender for Endpoint.

  • Le rapport spécifique à la source de données affiche uniquement les informations d’une source de données spécifique.

Pour créer un rapport continu :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications Cloud>Cloud Discovery>Rapport continu>Créer un rapport.

  2. Entrez un nom de rapport.

  3. Sélectionnez les sources de données à inclure (toutes ou certaines).

  4. Définissez les filtres souhaités sur les données. Ces filtres peuvent être Groupes d’utilisateurs, Balises d’adresse IP ou Plages d’adresses IP. Pour plus d’informations sur l’utilisation de balises d’adresse IP et de plages d’adresses IP, voir Organiser les données selon vos besoins.

    Capture d'écran de la création d'un rapport continu personnalisé.

Remarque

Tous les rapports personnalisés sont limitées à 1 Go de données maximum non compressées. En cas de dépassement, le premier 1 Go de données est exporté dans le rapport.

Suppression de données Cloud Discovery

Nous vous recommandons de supprimer les données Cloud Discovery dans les cas suivants :

  • Si vous avez chargé manuellement des fichiers journaux, il s'est écoulé beaucoup de temps depuis que vous avez mis à jour le système avec de nouveaux fichiers journaux, et vous ne voulez pas que d'anciennes données affectent vos résultats.

  • Quand vous définissez une nouvelle vue de données personnalisée, elle s’applique seulement aux nouvelles données à partir de ce moment. Dans ce cas, vous pouvez effacer les anciennes données, puis recharger vos fichiers journaux pour permettre à la vue de données personnalisée de sélectionner des événements dans les données des fichiers journaux.

  • Si de nombreux utilisateurs ou adresses IP sont à nouveau actifs après une longue période hors connexion, leur activité est identifiée comme étant anormale et vous risquez d’obtenir de nombreuses violations qui sont en fait des faux positifs.

Important

Avant de procéder à cette opération, assurez-vous que vous souhaitez supprimer les données. Cette action est irréversible et supprime toutes les données Cloud Discovery dans le système.

Pour supprimer les données Cloud Discovery :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications Cloud>Cloud Discovery>Effacer les données.

  2. Sélectionnez le bouton Supprimer.

    Capture d'écran de la suppression des données Cloud Discovery.

Remarque

Le processus de suppression peut prendre quelques minutes et il n’est pas immédiat.

Étapes suivantes

Créer des rapports d’instantanés Cloud Discovery

Configurer le chargement automatique des journaux pour des rapports continus

Utilisation des données Cloud Discovery

Découvrez les applications à l’aide de l’intégration de Microsoft Defender for Endpoint