Connecter des applications pour obtenir une visibilité et un contrôle avec Microsoft Defender for Cloud Apps
Notes
Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender et est accessible via son portail à l’adresse suivante : https://security.microsoft.com. Microsoft 365 Defender met en corrélation les signaux de la suite Microsoft Defender entre les points de terminaison, les identités, la messagerie et les applications SaaS pour fournir des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau des incidents. Il améliore votre efficacité opérationnelle avec une meilleure hiérarchisation et des temps de réponse plus courts qui protègent vos organization plus efficacement. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.
Les connecteurs d’applications utilisent les API de fournisseurs d’applications pour que Microsoft Defender pour les applications cloud bénéficie d’une plus grande visibilité et d’un plus grand contrôle sur les applications auxquelles vous vous connectez.
Microsoft Defender for Cloud Apps tire parti des API fournies par le fournisseur de cloud. Toutes les communications entre Defender for Cloud Apps et les applications connectées sont chiffrées avec le protocole HTTPS. L’infrastructure et les API propres à chaque service ont des limitations, notamment en matière de bande passante, de limites d’API, de fenêtres d’API de décalage temporel dynamique, etc. Microsoft Defender for Cloud Apps utilise les services pour optimiser l’utilisation des API et fournir un niveau de performance optimal. En tenant compte des différentes limitations imposées par les services aux API, les moteurs Defender for Cloud Apps utilisent la capacité autorisée. Certaines opérations, par exemple l’analyse de tous les fichiers du locataire, nécessitent de nombreuses API et sont donc réparties sur une période plus longue. Il est normal que certaines stratégies s’exécutent pendant plusieurs heures ou jours.
Prise en charge de plusieurs instances
Defender for Cloud Apps prend en charge plusieurs instances de la même application connectée. Par exemple, si vous avez plusieurs instance de Salesforce (un pour les ventes, un pour le marketing), vous pouvez vous connecter à Defender for Cloud Apps. Vous pouvez gérer les différentes instances à partir de la même console pour créer des stratégies granulaires et mener une investigation plus approfondie. Cette prise en charge s’applique uniquement aux applications connectées à des API, pas aux applications découvertes dans le cloud ni aux applications connectées à des proxys.
Notes
Le instance multiple n’est pas pris en charge pour Office 365 et Azure.
Fonctionnement
Defender for Cloud Apps est déployé avec des privilèges d’administrateur système qui autorisent un accès complet à tous les objets de votre environnement.
Le flux de connecteur d’applications est le suivant :
Defender for Cloud Apps analyse et enregistre les autorisations d’authentification.
Defender for Cloud Apps demande la liste des utilisateurs. La première fois que la demande est effectuée, l’analyse peut prendre un certain temps. Une fois l’analyse utilisateur terminée, Defender for Cloud Apps passe aux activités et aux fichiers. Dès que l’analyse démarre, certaines activités sont disponibles dans Defender for Cloud Apps.
Une fois la demande de l’utilisateur terminée, Defender for Cloud Apps analyse périodiquement les utilisateurs, les groupes, les activités et les fichiers. Toutes les activités sont disponibles après la première analyse complète.
Cette connexion peut prendre du temps, en fonction de la taille du locataire, du nombre d’utilisateurs ainsi que de la taille et du nombre de fichiers à analyser.
Selon l’application à laquelle vous vous connectez, la connexion d’API active les éléments suivants :
- Informations sur le compte - Visibilité des utilisateurs, des comptes, des informations de profil, de l’état (suspendu, actif, désactivé), des groupes et des privilèges.
- Piste d’audit - Visibilité des activités des utilisateurs, des administrateurs et des connexions.
- Gouvernance des comptes - Suspension des utilisateurs, révocation des mots de passe, etc.
- Autorisations d’applications - Visibilité des jetons émis et de leurs autorisations.
- Gouvernance des autorisations d’applications - Suppression de jetons.
- Analyse de données - Analyse des données non structurées à l’aide de deux processus : analyse périodique (toutes les 12 heures) et analyse en temps réel (déclenchée chaque fois qu’un changement est détecté).
- Gouvernance des données - Mise en quarantaine des fichiers, notamment ceux de la corbeille, et remplacement des fichiers.
Les tableaux suivants répertorient, par application cloud, les capacités prises en charge avec les connecteurs d’application :
Notes
Étant donné que tous les connecteurs d’application ne prennent pas en charge toutes les capacités, certaines lignes peuvent être vides.
Utilisateurs et activités
| Application | Énumérer les comptes | Répertorier les groupes | Répertorier les privilèges | Activité de connexion | Activité de l'utilisateur | Activité d’administration |
|---|---|---|---|---|---|---|
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Non applicable | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Fichier de partage Citrix | ||||||
| DocuSign | ✔ | ✔ | ✔ | ✔ | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Objet connexion à Google Workspace | Objet connexion à Google Workspace | Objet connexion à Google Workspace | Objet connexion à Google Workspace | ✔ | ✔ |
| Espace de travail Google | ✔ | ✔ | ✔ | ✔ | ✔ - nécessite Google Business ou Entreprises | ✔ |
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Office 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Okta | ✔ | Non prise en charge par le fournisseur | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Partiel | Partiel |
| Salesforce | ✔ | ✔ | ✔ | ✔ | Prise en charge avec Salesforce Shield | ✔ |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Non prise en charge par le fournisseur | ||
| Workday | ✔ | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | ✔ | ✔ | Non prise en charge par le fournisseur |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
Visibilité de la configuration des utilisateurs, de la gouvernance des applications et de la sécurité
| Application | Gouvernance des utilisateurs | Voir les autorisations d’application | Révoquer les autorisations d’application | Visibilité de la configuration de la sécurité |
|---|---|---|---|---|
| Atlassian | ||||
| AWS | Non applicable | Non applicable | ||
| Azure | Non prise en charge par le fournisseur | |||
| Box | ✔ | Non prise en charge par le fournisseur | ||
| Fichier de partage Citrix | PRÉVERSION | |||
| DocuSign | PRÉVERSION | |||
| Dropbox | ||||
| Egnyte | ||||
| GitHub | ✔ | PRÉVERSION | ||
| GCP | Objet connexion à Google Workspace | Non applicable | Non applicable | |
| Espace de travail Google | ✔ | ✔ | ✔ | |
| NetDocuments | ||||
| Office 365 | ✔ | ✔ | ✔ | ✔ |
| Okta | Non applicable | Non applicable | PRÉVERSION | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | ✔ |
| Slack | ||||
| Smartsheet | ||||
| Webex | Non applicable | Non applicable | ||
| Workday | Non prise en charge par le fournisseur | Non applicable | Non applicable | |
| Workplace by Meta | ||||
| Zendesk | ||||
| Zoom | PRÉVERSION |
Information Protection
| Application | DLP - Analyse périodique du backlog | DLP - Analyse en quasi-temps réel | Contrôle partagé | Gouvernance des fichiers | Appliquer des étiquettes de confidentialité à partir de Protection des données Microsoft Purview |
|---|---|---|---|---|---|
| Atlassian | |||||
| AWS | ✔ - Découverte de compartimentS S3 uniquement | ✔ | ✔ | Non applicable | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Fichier de partage Citrix | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable |
| Espace de travail Google | ✔ | ✔ - nécessite Google Business Enterprise | ✔ | ✔ | ✔ |
| NetDocuments | |||||
| Office 365 | ✔ | ✔ | ✔ | ✔ | ✔ |
| Okta | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Non applicable | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Non applicable |
| Workday | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | Non prise en charge par le fournisseur | Non applicable |
| Workplace by Meta | |||||
| Zendesk | |||||
| Zoom |
Prérequis
- Pour certaines applications, il peut être nécessaire d’autoriser les adresses IP de liste pour permettre à Defender pour cloud Apps de collecter des journaux et de fournir l’accès à la console Defender for Cloud Apps. Pour plus d’informations, consultez Configuration exigée pour le réseau.
Notes
Pour obtenir des mises à jour quand des URL et des adresses IP ont changé, abonnez-vous au flux RSS comme expliqué dans URL et plages d’adresses IP Office 365.
ExpressRoute
Defender pour cloud Apps est déployé dans Azure et entièrement intégré à ExpressRoute. Toutes les interactions avec les applications Defender pour cloud apps et le trafic envoyé à Defender pour les applications cloud, y compris le chargement des journaux de découverte, sont routées via ExpressRoute pour améliorer la latence, les performances et la sécurité. Pour plus d’informations sur le peering Microsoft, consultez Circuits ExpressRoute et domaines de routage.
Désactiver les connecteurs d’application
Notes
- Avant de désactiver un connecteur d’application, assurez-vous que les détails de connexion sont disponibles, car vous en aurez besoin si vous souhaitez réactiver le connecteur.
- Une fois qu’un connecteur Azure est désactivé, il ne peut pas être réactivé. Si le connecteur est désactivé par accident, contactez le support Microsoft.
- Ces étapes ne peuvent pas être utilisées pour désactiver les applications de contrôle d’application d’accès conditionnel et les applications de configuration de sécurité.
Pour désactiver les applications connectées :
- Dans la page Applications connectées , dans la ligne appropriée, sélectionnez les trois points et choisissez Désactiver le connecteur d’application.
- Dans la fenêtre contextuelle, cliquez sur Désactiver le connecteur d’application instance pour confirmer l’action.
Une fois désactivé, le connecteur instance cessera de consommer les données du connecteur.
Réactiver les connecteurs d’application
Pour réactiver les applications connectées :
- Dans la page Applications connectées , dans la ligne appropriée, sélectionnez les trois points et choisissez Modifier les paramètres. Cela démarre le processus d’ajout d’un connecteur.
- Ajoutez le connecteur en suivant les étapes décrites dans le guide du connecteur d’API approprié. Par exemple, si vous réactivez GitHub, suivez les étapes décrites dans Connecter GitHub Enterprise Cloud à Defender pour cloud Apps.
Vidéos connexes
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.