Fonctionnalités de détection des menaces de Microsoft Defender for Cloud Apps

  • 10 minutes

De nombreuses attaques sont désormais uniquement dans le cloud et de nombreuses ressources sensibles sont stockées dans le cloud. C'est pour cette raison qu'il est important de comprendre les types de menaces et les capacités des courtiers en sécurité d'accès au cloud (CASB).

Menaces pour les applications cloud

Les menaces qui pèsent sur les applications cloud sont multiples. De même que les personnes malveillantes qui recherchent des gains financiers, les personnes malveillantes peuvent inclure des États-nation déployant des méthodes complexes et en constante évolution.

Les attaques étant sophistiquées et en constante évolution, une liste traditionnelle de programmes malveillants connus ne suffit plus à protéger une organisation.

Détection des menaces par Microsoft Defender pour Cloud Apps

Microsoft Defender pour les applications en cloud comprend des capacités de détection des menaces à toutes les phases d'une attaque. Ces fonctionnalités offrent des analyses du comportement des utilisateurs et des entités combinées (UEBA) l’apprentissage automatique (ML) afin d’évaluer les menaces en fonction du comportement continu des utilisateurs.

Dans le portail du Défenseur pour les applications en cloud, si vous sélectionnez Contrôle, puis Stratégies , vous pouvez voir une liste de stratégies.

Stratégies de l'application Microsoft Defender pour les applications Clouds

Si vous sélectionnez Type, vous pouvez afficher les stratégies de détection des menaces regroupées par type. De plus, vous pouvez créer des stratégies à partir de la page Stratégies.

Liste déroulante des types de stratégies de Microsoft Defender pour les applications Cloud

Voici une liste des types de stratégies :

Ajouter une stratégie

Surveillance et contrôle en temps réel des connexions à vos applications cloud.

Stratégie d’activité

Les API du fournisseur d’application vous permet de surveiller les actions effectuées par des utilisateurs spécifiques ou des taux d’activités spécifiques exceptionnellement élevés.

Stratégie de détections d’anomalies

Les stratégies de détection d’anomalies recherchent un comportement inhabituelle pour votre organisation ou pour un utilisateur. Ce comportement peut inclure des activités telles que des échecs de connexion ou des connexions qui se produisent dans des emplacements géographiquement distants qui seraient impossibles à parcourir au cours de l’intervalle.

Stratégie de découverte d'application

Les stratégies de découverte d’application vous avertissent lorsque de nouvelles applications sont installées au sein de votre organisation.

Stratégie de détections d’anomalies Cloud Discovery

La stratégie de détection d’anomalies Cloud Discovery recherche un comportement inhabituelle dans les journaux d’application. Le chargement inattendu de grandes quantités de données sur un site de stockage cloud tiers peut déclencher une alerte de détection d’anomalies Cloud Discovery.

Stratégie de fichier

Les stratégies de fichier recherchent des fichiers spécifiques, le partage de fichiers et des fichiers contenant des données sensibles telles que des secrets d’entreprise ou des données de carte de crédit.

Stratégie de détections de programme malveillant

Cette stratégie détecte les fichiers malveillants dans votre stockage cloud.

Stratégie de détections d’anomalies d’application OAuth

Les stratégies de détections d’anomalies d’application OAuth détectent les applications OAuth qui ont des noms plus ou moins fiables, qui peuvent être malveillants ou qui ont une activité de téléchargement suspecte.

Stratégie d’application OAuth

Les stratégies d’application OAuth recherchent les comportements suspects dans les applications OAuth, tels que l’utilisation d’un niveau élevé d’autorisations.

Stratégie de session

Les stratégies de session vous offrent un contrôle en temps réel de l’activité des utilisateurs dans vos applications cloud.

Création d’une stratégie

En créant des stratégies, vous pouvez détecter de nombreuses activités suspectes et choisir d’être averti de ce comportement ou d’implémenter une correction instantanée.

Vous pouvez créer une stratégie à partir de la page Stratégies, mais il est normalement plus simple de créer une stratégie basée sur un modèle ou de créer une stratégie basée sur une recherche.

Pour créer une stratégie basée sur un modèle, à partir du portail Defender pour les applications Cloud, sélectionnez Contrôle , puis Modèles.

Templates

Vous pouvez ensuite sélectionner le modèle approprié, puis sélectionner Créer une stratégie.

Modèles de stratégie

Vous pouvez à présent définir la gravité de la stratégie et créer des filtres pour la stratégie. Seules des activités peuvent être filtrées, en les faisant uniquement se reproduire et en répétant un certain nombre de fois au cours d’une période donnée.

Créer une stratégie d’activité

Pour créer une stratégie basée sur une recherche, dans le portail Defender pour les applications Cloud, sélectionnez Enquêter, puis choisissez le type de recherche, par exemple, Journal d'activité.

Stratégie basée sur une recherche

Vous pouvez désormais spécifier les critères de la recherche et sélectionner Nouvelle stratégie à partir de recherche.

Journal d’activité

Vous pouvez finaliser la stratégie avec la même stratégie Créer une stratégie d’activité en tant que stratégie de modèle.

La vidéo suivante vous donne un aperçu des capacités de protection contre les menaces de Microsoft Defender pour les applications Cloud :