Partager via

Bonnes pratiques pour protéger vos organization avec Defender for Cloud Apps

  • Article

Cet article présente les meilleures pratiques pour protéger vos organization à l’aide de Microsoft Defender for Cloud Apps. Ces meilleures pratiques proviennent de notre expérience avec Defender for Cloud Apps et les expériences de clients comme vous.

Les meilleures pratiques décrites dans cet article sont les suivantes :

Découvrir et évaluer les applications cloud

L’intégration de Defender for Cloud Apps à Microsoft Defender pour point de terminaison vous permet d’utiliser la découverte cloud au-delà de votre réseau d’entreprise ou de passerelles web sécurisées. Avec les informations combinées sur l’utilisateur et l’appareil, vous pouvez identifier les utilisateurs ou appareils à risque, voir les applications qu’ils utilisent et examiner plus en détail dans le portail Defender pour point de terminaison.

Bonne pratique : Activer shadow IT Discovery à l’aide de Defender pour point de terminaison
Détail : Cloud Discovery analyse les journaux de trafic collectés par Defender pour point de terminaison et évalue les applications identifiées par rapport au catalogue d’applications cloud pour fournir des informations de conformité et de sécurité. En configurant la découverte du cloud, vous bénéficiez d’une visibilité sur l’utilisation du cloud, l’informatique fantôme et la surveillance continue des applications non approuvées utilisées par vos utilisateurs.
Pour plus d’informations :

Bonne pratique : Configurer des stratégies de découverte d’applications pour identifier de manière proactive les applications à risque, non conformes et tendance
Détails : Les stratégies de découverte d’applications facilitent le suivi des applications découvertes significatives dans votre organization pour vous aider à gérer ces applications efficacement. Créez des stratégies pour recevoir des alertes lors de la détection de nouvelles applications identifiées comme risquées, non conformes, tendances ou volume élevé.
Pour plus d’informations :

Bonne pratique : Gérer les applications OAuth autorisées par vos utilisateurs
Détail : De nombreux utilisateurs accordent occasionnellement des autorisations OAuth à des applications tierces pour accéder aux informations de leur compte et, ce faisant, donnent également par inadvertance l’accès à leurs données dans d’autres applications cloud. En règle générale, le service informatique n’a aucune visibilité sur ces applications, ce qui rend difficile la balance entre le risque de sécurité d’une application et l’avantage de productivité qu’elle offre.

Defender for Cloud Apps vous permet d’examiner et de surveiller les autorisations d’application accordées par vos utilisateurs. Vous pouvez utiliser ces informations pour identifier une application potentiellement suspecte et, si vous déterminez qu’elle est risquée, vous pouvez en interdire l’accès.
Pour plus d’informations :

Appliquer des stratégies de gouvernance du cloud

Bonne pratique : Étiqueter des applications et exporter des scripts de bloc
Détail : après avoir passé en revue la liste des applications découvertes dans votre organization, vous pouvez sécuriser votre environnement contre toute utilisation indésirable des applications. Vous pouvez appliquer la balise Approuvée aux applications approuvées par votre organization et la balise Non approuvée aux applications qui ne le sont pas. Vous pouvez surveiller les applications non approuvées à l’aide de filtres de découverte ou exporter un script pour bloquer les applications non approuvées à l’aide de vos appliances de sécurité locales. L’utilisation de balises et de scripts d’exportation vous permet d’organiser vos applications et de protéger votre environnement en autorisant uniquement l’accès aux applications sécurisées.
Pour plus d’informations :

Limiter l’exposition des données partagées et appliquer les stratégies de collaboration

Bonne pratique : Connecter Microsoft 365
Détail : La connexion de Microsoft 365 à Defender for Cloud Apps vous offre une visibilité immédiate des activités de vos utilisateurs, des fichiers auxquels ils accèdent et fournit des actions de gouvernance pour Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange et Dynamics.
Pour plus d’informations :

Bonne pratique : Connecter vos applications
Détail : La connexion de vos applications à Defender for Cloud Apps vous donne des insights améliorés sur les activités de vos utilisateurs, la détection des menaces et les fonctionnalités de gouvernance. Pour voir quelles API d’application tierces sont prises en charge, accédez à Connecter des applications.

Pour plus d’informations :

Bonne pratique : Créer des stratégies pour supprimer le partage avec des comptes personnels
Détail : La connexion de Microsoft 365 à Defender for Cloud Apps vous offre une visibilité immédiate des activités de vos utilisateurs, des fichiers auxquels ils accèdent et fournit des actions de gouvernance pour Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange et Dynamics.
Pour plus d’informations :

Découvrir, classifier, étiqueter et protéger les données réglementées et sensibles stockées dans le cloud

Bonne pratique : Intégrer à Protection des données Microsoft Purview
Détail : l’intégration à Protection des données Microsoft Purview vous permet d’appliquer automatiquement des étiquettes de confidentialité et éventuellement d’ajouter une protection de chiffrement. Une fois l’intégration activée, vous pouvez appliquer des étiquettes en tant qu’action de gouvernance, afficher les fichiers par classification, examiner les fichiers par niveau de classification et créer des stratégies granulaires pour vous assurer que les fichiers classifiés sont correctement gérés. Si vous n’activez pas l’intégration, vous ne pouvez pas bénéficier de la possibilité d’analyser, d’étiqueter et de chiffrer automatiquement des fichiers dans le cloud.
Pour plus d’informations :

Bonne pratique : Créer des stratégies d’exposition des données
Détail : utilisez des stratégies de fichier pour détecter le partage d’informations et rechercher des informations confidentielles dans vos applications cloud. Créez les stratégies de fichier suivantes pour vous alerter lorsque des expositions de données sont détectées :

  • Fichiers partagés en externe contenant des données sensibles
  • Fichiers partagés en externe et étiquetés comme confidentiels
  • Fichiers partagés avec des domaines non autorisés
  • Protéger les fichiers sensibles sur les applications SaaS

Pour plus d’informations :

Bonne pratique : examiner les rapports dans la page Fichiers
Détail : une fois que vous avez connecté différentes applications SaaS à l’aide de connecteurs d’application, Defender for Cloud Apps analyse les fichiers stockés par ces applications. En outre, chaque fois qu’un fichier est modifié, il est analysé à nouveau. Vous pouvez utiliser la page Fichiers pour comprendre et examiner les types de données stockées dans vos applications cloud. Pour vous aider à examiner, vous pouvez filtrer par domaines, groupes, utilisateurs, date de création, extension, nom de fichier et type, ID de fichier, étiquette de confidentialité, etc. L’utilisation de ces filtres vous permet de contrôler la façon dont vous choisissez d’examiner les fichiers pour vous assurer qu’aucune de vos données n’est menacée. Une fois que vous avez une meilleure compréhension de la façon dont vos données sont utilisées, vous pouvez créer des stratégies pour rechercher du contenu sensible dans ces fichiers.
Pour plus d’informations :

Appliquer la protection contre la perte de données et les stratégies de conformité pour les données stockées dans le cloud

Bonne pratique : Protéger les données confidentielles contre le partage avec des utilisateurs externes
Détail : créez une stratégie de fichier qui détecte quand un utilisateur tente de partager un fichier avec l’étiquette Confidentialité avec une personne externe à votre organization, puis configurez son action de gouvernance pour supprimer des utilisateurs externes. Cette stratégie garantit que vos données confidentielles ne quittent pas votre organization et que les utilisateurs externes ne peuvent pas y accéder.
Pour plus d’informations :

Bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou risqués

Bonne pratique : Gérer et contrôler l’accès aux appareils à haut risque
Détail : utilisez le contrôle d’application à accès conditionnel pour définir des contrôles sur vos applications SaaS. Vous pouvez créer des stratégies de session pour surveiller vos sessions à haut risque et à faible niveau de fiabilité. De même, vous pouvez créer des stratégies de session pour bloquer et protéger les téléchargements par les utilisateurs qui tentent d’accéder à des données sensibles à partir d’appareils non gérés ou à risque. Si vous ne créez pas de stratégies de session pour surveiller les sessions à haut risque, vous perdrez la possibilité de bloquer et de protéger les téléchargements dans le client web, ainsi que la possibilité de surveiller la session à faible niveau de fiabilité à la fois dans les applications Microsoft et tierces.
Pour plus d’informations :

Sécuriser la collaboration avec des utilisateurs externes en appliquant les contrôles de session en temps réel

Bonne pratique : Surveiller les sessions avec des utilisateurs externes à l’aide du contrôle d’application à accès conditionnel
Détail : pour sécuriser la collaboration dans votre environnement, vous pouvez créer une stratégie de session pour surveiller les sessions entre vos utilisateurs internes et externes. Cela vous donne non seulement la possibilité de surveiller la session entre vos utilisateurs (et de les informer que leurs activités de session sont surveillées), mais vous permet également de limiter des activités spécifiques. Lorsque vous créez des stratégies de session pour surveiller l’activité, vous pouvez choisir les applications et les utilisateurs que vous souhaitez surveiller.
Pour plus d’informations :

Détecter les menaces dans le cloud, les comptes compromis, les malveillantes au sein de l’organisation et le rançongiciel

Bonne pratique : Régler les stratégies d’anomalie, définir des plages d’adresses IP, envoyer des commentaires pour les alertes
Détail : les stratégies de détection d’anomalies fournissent une analytique comportementale des utilisateurs et des entités prêtes à l’emploi (UEBA) et le Machine Learning (ML) afin que vous puissiez exécuter immédiatement la détection avancée des menaces dans votre environnement cloud.

Les stratégies de détection d’anomalies sont déclenchées lorsqu’il y a des activités inhabituelles effectuées par les utilisateurs dans votre environnement. Defender for Cloud Apps surveille continuellement les activités de vos utilisateurs et utilise UEBA et ML pour apprendre et comprendre le comportement normal de vos utilisateurs. Vous pouvez paramétrer les paramètres de stratégie en fonction des besoins de votre organisation. Par exemple, vous pouvez définir la sensibilité d’une stratégie, ainsi que l’étendue d’une stratégie à un groupe spécifique.

  • Réglage et étendue des stratégies de détection d’anomalies : par exemple, pour réduire le nombre de faux positifs dans l’alerte de voyage impossible, vous pouvez définir le curseur de sensibilité de la stratégie sur faible. Si vous avez des utilisateurs dans votre organization qui sont des voyageurs d’entreprise fréquents, vous pouvez les ajouter à un groupe d’utilisateurs et sélectionner ce groupe dans l’étendue de la stratégie.

  • Définir des plages d’adresses IP : Defender for Cloud Apps pouvez identifier les adresses IP connues une fois que les plages d’adresses IP sont définies. Une fois les plages d’adresses IP configurées, vous pouvez étiqueter, catégoriser et personnaliser la façon dont les journaux et les alertes sont affichés et examinés. L’ajout de plages d’adresses IP permet de réduire les détections de faux positifs et d’améliorer la précision des alertes. Si vous choisissez de ne pas ajouter vos adresses IP, vous pouvez voir un nombre accru de faux positifs et d’alertes possibles à examiner.

  • Envoyer des commentaires pour les alertes

    Lorsque vous ignorez ou résolvez des alertes, veillez à envoyer des commentaires indiquant la raison pour laquelle vous avez ignoré l’alerte ou la façon dont elle a été résolue. Ces informations aident Defender for Cloud Apps à améliorer nos alertes et à réduire les faux positifs.

Pour plus d’informations :

Bonne pratique : Détecter l’activité à partir d’emplacements ou de pays/régions inattendus
Détail : créez une stratégie d’activité pour vous avertir lorsque les utilisateurs se connectent à partir d’emplacements ou de pays/régions inattendus. Ces notifications peuvent vous avertir des sessions potentiellement compromises dans votre environnement afin que vous puissiez détecter et corriger les menaces avant qu’elles ne se produisent.
Pour plus d’informations :

Bonne pratique : Créer des stratégies d’application OAuth
Détail : créez une stratégie d’application OAuth pour vous avertir lorsqu’une application OAuth répond à certains critères. Par exemple, vous pouvez choisir d’être averti lorsqu’une application spécifique qui nécessite un niveau d’autorisation élevé a été consultée par plus de 100 utilisateurs.
Pour plus d’informations :

Utiliser la piste des activités d’audit pour les enquêtes en cours

Bonne pratique : Utiliser la piste d’audit des activités lors de l’examen des alertes
Détail : les alertes sont déclenchées lorsque les activités d’utilisateur, d’administrateur ou de connexion ne sont pas conformes à vos stratégies. Il est important d’examiner les alertes pour comprendre s’il existe une menace possible dans votre environnement.

Vous pouvez examiner une alerte en la sélectionnant dans la page Alertes et en examinant la piste d’audit des activités relatives à cette alerte. La piste d’audit vous donne une visibilité sur les activités du même type, du même utilisateur, de la même adresse IP et du même emplacement, pour vous fournir l’histoire globale d’une alerte. Si une alerte justifie une investigation plus approfondie, créez un plan pour résoudre ces alertes dans votre organization.

Lorsque vous ignorez les alertes, il est important d’examiner et de comprendre pourquoi elles n’ont aucune importance ou si elles sont des faux positifs. S’il existe un volume élevé de ces activités, vous pouvez également envisager d’examiner et de régler la stratégie déclenchant l’alerte.
Pour plus d’informations :

Services IaaS sécurisés et applications personnalisées

Bonne pratique : Connecter Azure, AWS et GCP
Détail : La connexion de chacune de ces plateformes cloud à Defender for Cloud Apps vous permet d’améliorer vos fonctionnalités de détection des menaces. En surveillant les activités d’administration et de connexion pour ces services, vous pouvez détecter et être averti des attaques par force brute, de l’utilisation malveillante d’un compte d’utilisateur privilégié et d’autres menaces dans votre environnement. Par exemple, vous pouvez identifier des risques tels que des suppressions inhabituelles de machines virtuelles ou même des activités d’emprunt d’identité dans ces applications.
Pour plus d’informations :

Bonne pratique : Intégrer des applications personnalisées
Détail : pour obtenir une visibilité supplémentaire sur les activités de vos applications métier, vous pouvez intégrer des applications personnalisées à Defender for Cloud Apps. Une fois les applications personnalisées configurées, vous voyez des informations sur les personnes qui les utilisent, les adresses IP à partir de lesquelles elles sont utilisées et la quantité de trafic entrant et sortant de l’application.

En outre, vous pouvez intégrer une application personnalisée en tant qu’application de contrôle d’application à accès conditionnel pour surveiller leurs sessions à faible niveau de fiabilité. Microsoft Entra ID applications sont automatiquement intégrées.

Pour plus d’informations :