Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender for Cloud Apps inclut des détections pour les utilisateurs compromis, les menaces internes, l’exfiltration de données et l’activité de ransomware. Le service utilise la détection des anomalies, l’analyse du comportement des utilisateurs et des entités (UEBA) et les détections d’activité basées sur des règles pour analyser l’activité des utilisateurs dans les applications connectées.
Des modifications non autorisées ou inattendues dans un environnement cloud peuvent introduire des risques opérationnels et de sécurité. Par exemple, les modifications apportées aux ressources d’entreprise clés telles que les serveurs exécutant votre site web ou service public que vous fournissez aux clients peuvent être compromises.
Defender for Cloud Apps capture et analyse les données de plusieurs sources pour identifier les activités des applications et des utilisateurs dans votre organization. Cette analyse donne à vos analystes de la sécurité une visibilité sur l’utilisation du cloud. Les données collectées sont corrélées, standardisées et enrichies de renseignements sur les menaces et de détails de localisation, afin de fournir une vue précise et cohérente des activités suspectes.
Avant de paramétrer les détections, configurez les sources de données suivantes :
| Source | Description |
|---|---|
| Journal d’activité | Activités de vos applications connectées à l’API. |
| Journal de découverte | Activités extraites du journal du trafic proxy et du pare-feu que vous transférez à Defender for Cloud Apps. Les journaux sont analysés par rapport au catalogue d’applications cloud, classés et notés en fonction de plus de 90 facteurs de risque. |
| Journal du proxy | Activités de vos applications de contrôle d’application à accès conditionnel. |
Ajustez les stratégies suivantes en définissant des filtres et des seuils dynamiques (UEBA) pour entraîner leurs modèles de détection. Vous pouvez également définir des suppressions pour réduire les détections de faux positifs courants :
- Détection des anomalies
- Détection d’anomalies cloud discovery
- Détection d’activité basée sur des règles
Découvrez comment paramétrer les détections d’activité des utilisateurs pour identifier les véritables compromissions et réduire les alertes inutiles qui résultent de grands volumes de détections de faux positifs :
Phase 1 : Configurer des plages d’adresses IP
- Configurez des plages d’adresses IP pour affiner tout type de stratégies de détection d’activité utilisateur suspecte.
La configuration d’adresses IP connues permet aux algorithmes d’apprentissage automatique d’identifier les emplacements connus et de les considérer comme faisant partie des modèles Machine Learning. Par exemple, l’ajout de la plage d’adresses IP de votre VPN permet au modèle de classer correctement cette plage d’adresses IP et de l’exclure automatiquement des détections de déplacement impossibles, car l’emplacement VPN ne représente pas l’emplacement réel de cet utilisateur.
Remarque
Defender for Cloud Apps utilise des plages d’adresses IP dans l’ensemble du service, non seulement pour les détections. Les plages d’adresses IP sont utilisées dans le journal d’activité, l’accès conditionnel, etc. Par exemple, l’identification de vos adresses IP de bureau physiques vous permet de personnaliser la façon dont vous affichez et examinez les journaux et les alertes.
Passer en revue les alertes de détection d’anomalie
Defender for Cloud Apps comprend un ensemble d’alertes de détection d’anomalies pour identifier différents scénarios de sécurité. Ils commencent à profiler l’activité des utilisateurs et à générer des alertes dès que vous connectez les connecteurs d’application appropriés.
Commencez par vous familiariser avec les différentes stratégies de détection. Hiérarchisez les principaux scénarios qui vous semblent les plus pertinents pour votre organization et réglez les stratégies en conséquence.
Phase 2 : Optimiser les stratégies de détection d’anomalie
Defender for Cloud Apps comprend plusieurs stratégies intégrées de détection des anomalies préconfigurées pour les cas d’usage de sécurité courants. Les détections les plus courantes sont les suivantes :
| Détection | Description |
|---|---|
| Voyage impossible | Activités du même utilisateur dans des emplacements différents au cours d’une période plus courte que la durée de trajet attendue entre les deux emplacements. |
| Activité à partir d’un pays peu fréquent | Activité à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par l’utilisateur. |
| Détection de programmes malveillants | Analyse les fichiers dans vos applications cloud et exécute les fichiers suspects via le moteur de renseignement sur les menaces de Microsoft pour case activée s’ils sont associés à des programmes malveillants connus. |
| Activité de ransomware | Chargements de fichiers vers le cloud susceptibles d’être infectés par un rançongiciel. |
| Activité à partir d’adresses IP suspectes | Activité à partir d’une adresse IP que Microsoft Threat Intelligence a identifiée comme risquée. |
| Transfert suspect de la boîte de réception | Détecte les règles de transfert de boîte de réception suspectes définies dans la boîte de réception d’un utilisateur. |
| Activités de téléchargement de fichiers multiples inhabituelles | Détecte plusieurs activités de téléchargement de fichiers dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation. |
| Activités administratives inhabituelles | Détecte plusieurs activités administratives dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation. |
Remarque
Certaines détections d’anomalies se concentrent sur la détection de scénarios de sécurité problématiques, tandis que d’autres permettent d’identifier et d’examiner le comportement anormal de l’utilisateur qui peut ne pas nécessairement indiquer une compromission. Pour ces détections, vous pouvez utiliser des comportements disponibles dans l’expérience de chasse avancée Microsoft Defender XDR.
Stratégies d’étendue à des utilisateurs ou des groupes spécifiques
Les stratégies d’étendue pour des utilisateurs spécifiques peuvent aider à réduire le bruit des alertes qui ne sont pas pertinentes pour votre organization. Vous pouvez configurer chaque stratégie pour inclure ou exclure des utilisateurs et des groupes spécifiques, comme dans les exemples suivants :
-
Simulations d’attaque
De nombreuses organisations utilisent un utilisateur ou un groupe pour simuler constamment des attaques. La réception constante d’alertes des activités de ces utilisateurs crée un bruit inutile. Configurez vos stratégies pour exclure ces utilisateurs ou groupes. Cette action permet aux modèles Machine Learning d’identifier ces utilisateurs et d’affiner leurs seuils dynamiques. -
Détections ciblées
Vous souhaiterez peut-être examiner un groupe spécifique d’utilisateurs d’adresses IP virtuelles, comme les membres d’un groupe d’administrateur ou de responsable de l’expérience (CXO). Dans ce cas, créez une stratégie pour les activités que vous souhaitez détecter et choisissez d’inclure uniquement l’ensemble d’utilisateurs ou de groupes qui vous intéressent.
-
Simulations d’attaque
Régler les détections de connexion anormales
Les alertes résultant d’échecs d’activités de connexion peuvent indiquer qu’une personne tente de cibler un ou plusieurs comptes d’utilisateur.
Les informations d’identification compromises sont une cause courante de prise de contrôle de compte et d’activité non autorisée. Les alertes de déplacement impossible, d’activité provenant d’adresses IP suspectes et de détections de pays ou de régions peu fréquentes vous aident à découvrir les activités qui suggèrent qu’un compte est potentiellement compromis.
Régler la sensibilité des déplacements impossiblesConfigurez le curseur de sensibilité qui détermine le niveau de suppressions appliquées aux comportements anormaux avant de déclencher une alerte de voyage impossible. Les organisations intéressées par la haute fidélité doivent envisager d’augmenter le niveau de sensibilité. Si votre organization a de nombreux utilisateurs qui voyagent, envisagez de réduire le niveau de sensibilité pour supprimer les activités des emplacements courants d’un utilisateur appris à partir des activités précédentes. Vous pouvez choisir parmi les niveaux de sensibilité suivants :
- Faible : suppressions de système, de locataire et d’utilisateur
- Moyenne : suppressions système et utilisateur
- Élevé : seules les suppressions système
Où :
Type de suppression Description Système Détections intégrées qui sont toujours supprimées. Client Activités courantes basées sur l’activité précédente dans le client. Par exemple, la suppression d’activités d’un fai précédemment alerté dans votre organization. Utilisateur Activités courantes basées sur l’activité précédente de l’utilisateur spécifique. Par exemple, la suppression d’activités à partir d’un emplacement couramment utilisé par l’utilisateur.
Phase 3 : Optimiser les stratégies de détection des anomalies cloud
Vous pouvez affiner plusieurs stratégies intégrées de détection des anomalies de découverte du cloud ou créer vos propres stratégies pour identifier d’autres scénarios qui méritent d’être examinés. Ces stratégies utilisent des journaux de découverte cloud, avec des fonctionnalités de réglage qui se concentrent sur le comportement anormal des applications et l’exfiltration des données.
Optimiser la surveillance de l’utilisation
Définissez les filtres d’utilisation pour contrôler l’étendue et la période d’activité pour détecter les comportements anormaux. Par exemple, recevez des alertes pour des activités anormales de la part d’employés de niveau supérieur.
Régler la sensibilité des alertes
Pour réduire les alertes inutiles, configurez la sensibilité des alertes. Utilisez le curseur de sensibilité pour contrôler le nombre d’alertes à haut risque envoyées par 1 000 utilisateurs par semaine. Les sensibilités plus élevées nécessitent moins de variance pour être considérées comme une anomalie et générer plus d’alertes. En général, définissez une faible sensibilité pour les utilisateurs qui n’ont pas accès aux données confidentielles.
Phase 4 : Régler les stratégies de détection (activité) basées sur des règles
Les stratégies de détection basées sur des règles complètent les stratégies de détection des anomalies avec des exigences spécifiques organization. Créez des stratégies basées sur des règles à l’aide de l’un des modèles de stratégie d’activité.
Si votre organization n’a pas de présence dans un pays ou une région particulier, créez une stratégie qui détecte les activités anormales à partir de cet emplacement. Pour les organisations disposant de grandes succursales dans ce pays ou cette région, ces activités sont normales et il n’est pas judicieux de détecter de telles activités.
- Accédez à Stratégies>Modèles de stratégie et définissez le filtre Type sur Stratégie d’activité. Configurez des filtres d’activité pour détecter les comportements qui ne sont pas normaux pour votre environnement.
-
Régler le volume d’activité
Choisissez le volume d’activité requis avant que la détection déclenche une alerte. Si votre organization n’est pas présent dans un pays ou une région, même une seule activité est importante et justifie une alerte. Un échec d’authentification unique peut être une erreur humaine et ne peut être intéressant que s’il y a de nombreuses défaillances sur une courte période. -
Ajuster les filtres d’activité
Définissez les filtres dont vous avez besoin pour détecter le type d’activité sur lequel vous souhaitez alerter. Par exemple, pour détecter l’activité d’un pays ou d’une région, utilisez le paramètre Location . -
Paramétrer les alertes
Pour réduire les alertes inutiles, définissez la limite d’alerte quotidienne.
Phase 5 : Configurer les alertes
Remarque
Microsoft a déprécié la fonctionnalité Alertes/SMS (sms) le 15 décembre 2022. Si vous souhaitez recevoir des alertes texte, utilisez Microsoft Power Automate pour l’automatisation des alertes personnalisées. Pour plus d’informations, consultez Intégrer à Microsoft Power Automate pour l’automatisation des alertes personnalisées.
Pour obtenir des alertes immédiates à tout moment de la journée, choisissez de les recevoir par e-mail.
Vous pouvez également avoir la possibilité d’analyser les alertes dans le contexte d’autres alertes déclenchées par d’autres produits dans votre organization. Cette analyse vous donne une vue holistique d’une menace potentielle. Par exemple, vous souhaiterez peut-être mettre en corrélation les événements cloud et locaux pour voir s’il existe d’autres preuves atténuantes qui confirment une attaque.
Vous pouvez utiliser la Microsoft Power Automate pour déclencher l’automatisation des alertes personnalisées. Lorsqu’une alerte est déclenchée, vous pouvez :
- Configurer un playbook
- Créer un problème dans ServiceNow
- Envoyer un e-mail d’approbation pour exécuter une action de gouvernance personnalisée lorsqu’une alerte est déclenchée
Utilisez les instructions suivantes pour configurer vos alertes :
-
Courrier électronique
Choisissez cette option pour recevoir des alertes par e-mail. -
SIEM
Il existe plusieurs options d’intégration SIEM, notamment Microsoft Sentinel, Microsoft Graph API de sécurité et d’autres SIEM génériques. Choisissez l’intégration qui répond le mieux à vos besoins. -
Automatisation de Power Automate
Créez les playbooks d’automatisation dont vous avez besoin et définissez-les comme alerte de la stratégie à l’action Power Automate.
Phase 6 : Examiner et corriger
Pour optimiser votre protection, configurez des actions de correction automatique afin de réduire le risque pour vos organization. Les stratégies vous permettent d’appliquer des actions de gouvernance avec les alertes afin que le risque pour votre organization soit réduit avant même de commencer à examiner. Le type de stratégie détermine les actions disponibles, y compris les actions telles que la suspension d’un utilisateur ou le blocage de l’accès à la ressource demandée.