Partager via

Examiner les activités

  • Article

Microsoft Defender for Cloud Apps vous donne une visibilité sur toutes les activités de vos applications connectées. Une fois que vous avez connecté Defender for Cloud Apps à une application à l’aide du connecteur d’application, Defender for Cloud Apps analyse toutes les activités qui se sont produites (la période d’analyse rétroactive diffère selon l’application), puis elle est constamment mise à jour avec de nouvelles activités.

Remarque

Pour obtenir la liste complète des activités Microsoft 365 surveillées par Defender for Cloud Apps, consultez Rechercher dans le journal d’audit dans le centre de conformité.

Le journal d’activité peut être filtré pour vous permettre de rechercher des activités spécifiques. Vous créez des stratégies basées sur les activités, puis définissez ce dont vous souhaitez être alerté et agir. Vous pouvez rechercher des activités effectuées sur certains fichiers. Le type d’activités et les informations que nous obtenons pour chaque activité dépendent de l’application et du type de données que l’application peut fournir.

Par exemple, vous pouvez utiliser le journal d’activité pour rechercher des utilisateurs dans votre organization qui utilisent des systèmes d’exploitation ou des navigateurs obsolètes, comme suit : Après avoir connecté une application à Defender for Cloud Apps dans la page Journal d’activité, utilisez le filtre avancé et sélectionnez Balise Agent utilisateur. Sélectionnez ensuite Navigateur obsolète ou Système d’exploitation obsolète.

Exemple de navigateur obsolète d’activité.

Le filtre de base fournit d’excellents outils pour commencer à filtrer vos activités.

filtre de journal d’activité de base.

Vous pouvez développer le filtre de base en sélectionnant Filtres avancés pour explorer des activités plus spécifiques.

filtre avancé du journal d’activité.

Remarque

  • La balise héritée est ajoutée à toute stratégie d’activité qui utilise l’ancien filtre « utilisateur ». Ce filtre continuera à fonctionner comme d’habitude. Si vous souhaitez supprimer la balise héritée, vous pouvez supprimer le filtre et ajouter à nouveau le filtre à l’aide du nouveau filtre Nom d’utilisateur .

  • Dans de rares cas, le nombre d’événements présentés dans le journal d’activité peut afficher un nombre légèrement supérieur au nombre réel d’événements qui s’appliquent au filtre et qui sont présentés.

Le tiroir Activité

Utilisation du tiroir Activité

Vous pouvez afficher plus d’informations sur chaque activité en sélectionnant l’activité elle-même dans le journal d’activité. Cela ouvre le tiroir Activité qui fournit les actions et insights supplémentaires suivants pour chaque activité :

  • Stratégies mises en correspondance : sélectionnez le lien Stratégies mises en correspondance pour afficher la liste des stratégies mises en correspondance par cette activité.

  • Afficher les données brutes : sélectionnez Afficher les données brutes pour voir les données réelles reçues de l’application.

  • Utilisateur : sélectionnez l’utilisateur pour afficher la page utilisateur de l’utilisateur qui a effectué l’activité.

  • Type d’appareil : sélectionnez Type d’appareil pour afficher les données brutes de l’agent utilisateur.

  • Emplacement : sélectionnez l’emplacement pour afficher l’emplacement dans Bing Cartes.

  • Catégorie d’adresse IP et balises : sélectionnez la balise IP pour afficher la liste des balises IP trouvées dans cette activité. Vous pouvez ensuite filtrer par toutes les activités correspondant à cette balise.

Les champs du tiroir Activité fournissent des liens contextuels vers des activités et des explorations supplémentaires que vous souhaiterez peut-être effectuer directement à partir du tiroir. Par exemple, si vous déplacez votre curseur en regard de la catégorie d’adresse IP, vous pouvez utiliser l’icône Ajouter au filtreajouter au filtre. pour ajouter immédiatement l’adresse IP au filtre de la page active. Vous pouvez également utiliser l’icône paramètres icône d’engrenage des paramètres qui s’affiche pour arriver directement à la page des paramètres nécessaire pour modifier la configuration de l’un des champs, tels que Groupes d’utilisateurs.

Vous pouvez également utiliser les icônes en haut de l’onglet pour :

  • Afficher les activités du même type
  • Afficher toutes les activités du même utilisateur
  • Afficher les activités à partir de la même adresse IP
  • Afficher les activités à partir de l’emplacement géographique exact
  • Afficher les activités de la même période (48 heures)

tiroir d’activité.

Pour obtenir la liste des actions de gouvernance disponibles, consultez Actions de gouvernance des activités.

Insights utilisateur

L’expérience d’investigation inclut des informations sur l’utilisateur agissant. En un seul clic, vous pouvez obtenir une vue d’ensemble complète de l’utilisateur, y compris l’emplacement à partir duquel il s’est connecté, le nombre d’alertes ouvertes avec lesquelles il est impliqué et ses informations de métadonnées.

Pour afficher les insights utilisateur :

  1. Sélectionnez l’activité elle-même dans le journal d’activité.

  2. Sélectionnez ensuite l’onglet Utilisateur .
    Le fait de le sélectionner ouvre l’onglet Utilisateur du tiroir d’activité fournit les insights suivants sur l’utilisateur :

    • Alertes ouvertes : nombre d’alertes ouvertes qui impliquent l’utilisateur.
    • Correspond : nombre de correspondances de stratégie pour les fichiers appartenant à l’utilisateur.
    • Activités : nombre d’activités effectuées par l’utilisateur au cours des 30 derniers jours.
    • Pays : nombre de pays à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours.
    • FOURNISSEURS DE SERVICES WEB : nombre de fournisseurs de services Web à partir lesquels l’utilisateur s’est connecté au cours des 30 derniers jours.
    • Adresses IP : nombre d’adresses IP à partir de laquelle l’utilisateur s’est connecté au cours des 30 derniers jours.

insights utilisateur dans Defender for Cloud Apps.

Insights sur les adresses IP

Étant donné que les informations d’adresse IP sont essentielles pour presque toutes les investigations, vous pouvez afficher des informations détaillées sur les adresses IP dans le tiroir Activité. À partir d’une activité spécifique, vous pouvez sélectionner l’onglet Adresse IP pour afficher des données consolidées sur l’adresse IP, y compris le nombre d’alertes ouvertes pour l’adresse IP particulière, un graphique de tendance de l’activité récente et une carte d’emplacement. Cela permet d’explorer facilement les alertes de voyage impossible, par exemple. En outre, vous pouvez facilement comprendre où l’adresse IP a été utilisée et si elle a été impliquée dans des activités suspectes. Vous pouvez également effectuer des actions directement dans le tiroir d’adresses IP qui vous permettent d’étiqueter une adresse IP comme risquée, VPN ou entreprise pour faciliter l’investigation future et la création de stratégies.

Pour afficher les insights sur les adresses IP :

  1. Sélectionnez l’activité elle-même dans le journal d’activité.

  2. Sélectionnez ensuite l’onglet Adresse IP .

    Cela ouvre l’onglet Adresse IP du tiroir d’activité, qui fournit les informations suivantes sur l’adresse IP :

    • Alertes ouvertes : nombre d’alertes ouvertes qui ont impliqué l’adresse IP.

    • Activités : nombre d’activités effectuées par l’adresse IP au cours des 30 derniers jours.

    • Emplacement IP : emplacements géographiques à partir desquels l’adresse IP s’est connectée au cours des 30 derniers jours.

    • Activités : nombre d’activités effectuées à partir de cette adresse IP au cours des 30 derniers jours.

    • activités Administration : nombre d’activités administratives effectuées à partir de cette adresse IP au cours des 30 derniers jours. Vous pouvez effectuer les actions d’adresse IP suivantes :

      • Définir en tant qu’adresse IP d’entreprise et ajouter à la liste d’autorisation
      • Définir en tant qu’adresse IP VPN et ajouter à la liste d’autorisation
      • Définir en tant qu’adresse IP risquée et ajouter à la liste de blocage

Informations sur les adresses IP dans Defender for Cloud Apps.

Remarque

  • Les adresses IP IPv4 ou IPv6 internes auditées par les applications cloud connectées à l’API peuvent indiquer des communications de services internes au sein du réseau de l’application cloud et ne doivent pas être confondues avec les adresses IP internes du réseau source à partir duquel l’appareil est connecté, car l’application cloud n’est pas exposée aux adresses IP internes des appareils.
  • Pour éviter de déclencher des alertes de déplacement impossible lorsque les employés se connectent à partir de leur domicile via le VPN d’entreprise, il est recommandé d’étiqueter l’adresse IP comme VPN.

Activités d’exportation

Vous pouvez exporter toutes les activités de l’utilisateur vers un fichier CSV.

Dans le journal d’activité, sélectionnez le bouton Exporter en haut à gauche.

bouton d’exportation.

Remarque

Cet article décrit les étapes permettant de supprimer des données personnelles de l’appareil ou du service, et peut vous aider à respecter vos obligations dans le cadre du RGPD. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail d’approbation de service.

Étapes suivantes

Bonnes pratiques pour protéger votre organization

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.