Tutoriel : Découvrir et gérer l’informatique fantôme

Notes

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection au niveau des incidents, d’investigation et de réponse puissantes. Pour plus d’informations, consultez Applications Microsoft Defender pour le cloud dans Microsoft 365 Defender.

À la question « Combien d’applications cloud vos employés utilisent-ils ? », les administrateurs informatiques avancent en moyenne le nombre de 30 ou 40. Or, dans la réalité, ce sont plus de 1 000 applications distinctes qui sont utilisées par les employés d’une grande entreprise. Le shadow IT vous aide à savoir et à identifier les applications utilisées et votre niveau de risque. 80 % des employés utilisent des applications non sanctionnées que personne n’a examinés et qui peuvent ne pas être conformes à vos stratégies de sécurité et de conformité. Et comme vos employés peuvent accéder à vos ressources et applications à partir de l’extérieur de votre réseau d’entreprise, il ne suffit plus d’avoir des règles et des stratégies sur vos pare-feu.

Dans ce tutoriel, vous allez apprendre à utiliser Cloud Discovery pour découvrir les applications utilisées, explorer les risques liés à ces applications, configurer des stratégies permettant d’identifier les nouvelles applications à risque utilisées et désapprouver ces applications de façon à les bloquer en mode natif à l’aide de votre appliance de proxy ou de pare-feu.

Conseil

Par défaut, Defender pour cloud Apps ne peut pas découvrir les applications qui ne figurent pas dans le catalogue.

Pour voir les données Defender for Cloud Apps pour une application qui ne figure pas actuellement dans le catalogue, nous vous recommandons d’case activée notre feuille de route ou de créer une application personnalisée.

Comment découvrir et gérer le Shadow IT dans votre réseau

Utilisez ce processus pour déployer le Shadow IT Cloud Discovery dans votre organisation.

cycle de vie de l’informatique fantôme.

Phase 1 : Découvrir et identifier Shadow IT

  1. Découvrir le Shadow IT : Déterminez quelle est la situation de votre organisation sur le plan de la sécurité en exécutant Cloud Discovery dans votre organisation et voyez ce qu’il se passe réellement dans votre réseau. Pour plus d’informations, voir Configurer Cloud Discovery. Pour cela, utilisez l’une des méthodes suivantes :

    • Soyez opérationnel rapidement avec Cloud Discovery en l’intégrant à Microsoft Defender pour point de terminaison. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud pour l’ensemble de vos appareils Windows 10 et Windows 11 à l’intérieur et à l’extérieur de votre réseau.

    • Pour une couverture sur tous les appareils connectés à votre réseau, il est important de déployer le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et autres proxys afin de collecter des données à partir de vos points de terminaison et de les envoyer à Defender pour les applications cloud à des fins d’analyse.

    • Intégrez Defender pour cloud Apps à votre proxy. Defender pour cloud Apps s’intègre en mode natif à certains proxys tiers, notamment Zscaler.

    Dans la mesure où les stratégies varient en fonction des groupes d’utilisateurs, des régions et des groupes de l’entreprise, vous pouvez créer un rapport Shadow IT dédié pour chacune de ces unités. Pour plus d’informations, consultez Créer des rapports continus personnalisés.

    Maintenant que Cloud Discovery s’exécute sur votre réseau, examinez les rapports générés en continu et consultez le tableau de bord Cloud Discovery pour obtenir une vision globale des applications qui sont actuellement utilisées dans votre organisation. Il est judicieux de les examiner par catégorie, car vous constaterez souvent que les applications non sanctionnées sont utilisées à des fins professionnelles légitimes qui n’ont pas été traitées par une application sanctionnée.

  2. Identifiez les niveaux de risque de vos applications : utilisez le catalogue Defender for Cloud Apps pour approfondir les risques associés à chaque application découverte. Le catalogue d’applications Defender pour le cloud comprend plus de 31 000 applications évaluées à l’aide de plus de 90 facteurs de risque. Pour commencer, les informations générales sur l’application (origine géographique de l’application, nom de l’éditeur) peuvent donner des indications sur les risques, tout comme les mesures et les contrôles de sécurité (prise en charge du chiffrement au repos, présence d’un journal d’audit de l’activité des utilisateurs). Pour plus d’informations, consultez Utilisation des scores de risque d’application.

    • Dans le portail Microsoft 365 Defender, sous Applications cloud, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applications découvertes. Filtrez la liste des applications découvertes dans votre organization en fonction des facteurs de risque qui vous préoccupent. Par exemple, vous pouvez utiliser des filtres avancés pour rechercher toutes les applications dont le score de risque est inférieur à 8.

    • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en sélectionnant le nom de l’application, puis en sélectionnant l’onglet Informations pour afficher des détails sur les facteurs de risque de sécurité de l’application.

Phase 2 : Évaluer et analyser

  1. Évaluer la conformité : vérifiez si les applications sont certifiées conformes aux normes de votre organization, telles que HIPAA ou SOC2.

    • Dans le portail Microsoft 365 Defender, sous Applications cloud, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applications découvertes. Filtrez la liste des applications découvertes dans votre organization en fonction des facteurs de risque de conformité qui vous intéressent. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.

    • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en sélectionnant le nom de l’application, puis en sélectionnant l’onglet Informations pour afficher des détails sur les facteurs de risque de conformité de l’application.

  2. Analyser l’utilisation : Maintenant que vous êtes décidé à autoriser l’utilisation de l’application dans votre organisation, vous devez déterminer qui l’utilise et de quelle façon. Si une utilisation limitée dans votre organisation n’est pas de nature à vous inquiéter, peut-être souhaiterez-vous être notifié d’une utilisation croissante de l’application de façon à la bloquer, le cas échéant.

    • Dans le portail Microsoft 365 Defender, sous Applications cloud, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applications découvertes , puis explorez en sélectionnant l’application spécifique que vous souhaitez examiner. L’onglet Utilisation vous permet de savoir combien d’utilisateurs actifs utilisent l’application et combien de trafic elle génère. Cela peut déjà vous donner une bonne image de ce qui se passe avec l’application. Ensuite, si vous souhaitez voir qui, en particulier, utilise l’application, vous pouvez explorer plus en détail en sélectionnant Nombre total d’utilisateurs actifs. Cette étape importante peut vous livrer des informations intéressantes. Par exemple, si vous découvrez que les utilisateurs d’une même application font tous partie du service Marketing, vous pourrez en déduire qu’elle correspond à un besoin, et si elle présente un risque, vous pourrez leur proposer une solution alternative avant de bloquer l’application.

    • Explorez encore plus en détail lors de l’examen de l’utilisation des applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud. Pour plus d’informations, consultez Examen approfondi des applications découvertes et Découvrir les ressources et les applications personnalisées.

  3. Identifier d’autres applications : utilisez le catalogue d’applications cloud pour identifier les applications plus sécurisées qui obtiennent des fonctionnalités métier similaires à celles des applications à risque détectées, mais qui sont conformes à la stratégie de votre organization. Pour ce faire, vous pouvez utiliser les filtres avancés afin de rechercher des applications de la même catégorie qui répondent à vos différents contrôles de sécurité.

Phase 3 : Gérer vos applications

  • Gérer les applications cloud : Defender for Cloud Apps vous aide dans le processus de gestion de l’utilisation des applications dans votre organization. Une fois que vous aurez identifié les différentes caractéristiques et les différents comportements qui ont cours dans votre organisation, vous pourrez créer de nouvelles balises d’application personnalisées afin de classifier chaque application en fonction de son statut ou de sa justification métier. Ces balises pourront ensuite être utilisées à des fins de supervision spécifiques, par exemple, pour identifier un trafic important à destination d’applications marquées comme étant des applications de stockage cloud risquées. Les balises d’application peuvent être gérées sous Paramètres Cloud>Apps>Cloud Discovery>App Tags. Ces balises peuvent servir par la suite à filtrer les pages Cloud Discovery et à créer des stratégies à partir de celles-ci.

  • Gérer les applications découvertes à l’aide d’Azure Active Directory (Azure AD) Gallery : Defender pour cloud Apps utilise également son intégration native à Azure AD pour vous permettre de gérer vos applications découvertes dans Azure AD Gallery. Pour les applications qui figurent déjà dans la galerie Azure AD, vous pouvez appliquer l’authentification unique et gérer l’application avec Azure AD. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis Gérer l’application avec Azure AD.

    Gérer l’application dans la galerie Azure AD.

  • Surveillance continue : maintenant que vous avez étudié les applications de manière approfondie, vous pouvez définir des stratégies qui surveillent les applications et fournissent un contrôle si nécessaire.

Le moment est venu de créer des stratégies qui vous alerteront automatiquement dès que des événements préoccupants se produiront. Par exemple, vous pouvez créer une stratégie de découverte d’applications qui vous permet de savoir quand il y a un pic de téléchargements ou de trafic à partir d’une application qui vous préoccupe. Pour cela, vous devez activer les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques. Vous devez également définir la stratégie pour vous en informer par e-mail. Pour plus d’informations, consultez Informations de référence sur les modèles de stratégie, plus d’informations sur les stratégies Cloud Discovery et Configurer des stratégies de découverte d’applications.

Accédez à la page d’alertes et utilisez le filtre Type de stratégie pour examiner les alertes de découverte d’application. Pour les applications qui ont été mises en correspondance par vos stratégies de découverte d’application, il est recommandé d’effectuer une investigation avancée pour en savoir plus sur la justification métier de l’utilisation de l’application, par exemple, en contactant les utilisateurs de l’application. Répétez ensuite les étapes de la Phase 2 pour évaluer le risque de l’application. Décidez ensuite des prochaines étapes concernant l’application, que vous approuviez son utilisation future ou que vous décidiez de la bloquer la prochaine fois qu’un utilisateur y accédera. Auquel cas, vous devrez la marquer comme étant non approuvée pour qu’elle puisse être bloquée par le pare-feu, le proxy ou la passerelle web sécurisée de votre organisation. Pour plus d’informations, consultez Intégrer à Microsoft Defender pour point de terminaison, Intégrer à Zscaler, Intégrer à iboss et Bloquer les applications en exportant un script de bloc.

Phase 4 : Génération de rapports Shadow IT Discovery avancés

En plus des options de création de rapports disponibles dans Defender pour les applications cloud, vous pouvez intégrer des journaux Cloud Discovery à Microsoft Sentinel pour une investigation et une analyse plus approfondies. Une fois les données dans Microsoft Sentinel, vous pouvez les afficher dans des tableaux de bord, exécuter des requêtes à l’aide du langage de requête Kusto, exporter des requêtes vers Microsoft Power BI, les intégrer à d’autres sources et créer des alertes personnalisées. Pour plus d’informations, consultez Intégration de Microsoft Sentinel.

Phase 5 : Contrôler les applications approuvées

  1. Pour activer le contrôle d’application via des API, connectez les applications via l’API pour la surveillance continue.

  2. Protégez les applications à l’aide du contrôle d’application par accès conditionnel.

La nature des applications cloud signifie qu’elles sont mises à jour quotidiennement et que de nouvelles applications apparaissent tout le temps. Pour cette raison, les employés utilisent continuellement de nouvelles applications et il est important de continuer à suivre, examiner et mettre à jour vos stratégies, en vérifiant les applications que vos utilisateurs utilisent, ainsi que leurs modèles d’utilisation et de comportement. Vous pouvez toujours accéder au tableau de bord Cloud Discovery pour identifier les nouvelles applications utilisées et suivre les instructions fournies dans cet article encore une fois pour veiller à la protection de votre organisation et de vos données.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.

En savoir plus