Partager via

Créer des stratégies d’activité Microsoft Defender for Cloud Apps

  • Article

Les stratégies d’activité vous permettent d’appliquer un large éventail de processus automatisés à l’aide des API du fournisseur d’applications. Ces stratégies vous permettent de surveiller des activités spécifiques effectuées par différents utilisateurs ou de suivre des taux inattendus élevés d’un certain type d’activité.

Une fois que vous avez défini une stratégie de détection d’activité, elle commence à générer des alertes : les alertes sont générées uniquement sur les activités qui se produisent après la création de la stratégie.

Remarque

  • Les stratégies qui déclenchent plus de 200 000 correspondances par jour, ou 100 000 correspondances par 3 heures, peuvent être désactivées automatiquement. Vous pouvez essayer d’affiner les stratégies en ajoutant des filtres supplémentaires ou, si vous utilisez des stratégies à des fins de création de rapports, envisagez plutôt de les enregistrer en tant que requêtes .
  • La configuration d’une nouvelle stratégie et le déploiement peuvent prendre jusqu’à 15 minutes.

Alertes personnalisées

Les stratégies d’activité permettent l’envoi d’alertes personnalisées ou les actions effectuées lorsque l’activité de l’utilisateur est détectée. Par exemple, vous souhaitez savoir à chaque fois :

  • Un utilisateur tente de se connecter et échoue 70 fois en une minute
  • Un utilisateur télécharge 7 000 fichiers
  • Un utilisateur est connecté à partir d’un pays/région inconnu

Vous pouvez définir des alertes d’activité à envoyer à vous-même ou à l’utilisateur lorsque ces événements se produisent. Vous pouvez même suspendre l’utilisateur jusqu’à ce que vous ayez terminé d’examiner ce qui s’est passé.

Pour créer une stratégie d’activité, procédez comme suit :

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Sélectionnez ensuite l’onglet Détections de menaces .

  2. Cliquez sur Créer une stratégie et sélectionnez Stratégie d’activité.

    Créez une stratégie de détection des menaces.

  3. Donnez un nom et une description à votre stratégie, si vous le souhaitez, vous pouvez la baser sur un modèle. Pour plus d’informations sur les modèles de stratégie, consultez Contrôler les applications cloud avec des stratégies.

  4. Pour définir les actions ou les autres métriques qui déclencheront cette stratégie, utilisez les filtres d’activité.

    Pour vous assurer que vous incluez uniquement les résultats pour lesquels le champ de filtre spécifié a une valeur, nous vous recommandons d’ajouter à nouveau le même champ à l’aide du test est défini . Par exemple, lorsque le filtrage par emplacementn’est pas égal à une liste spécifiée de pays/régions, ajoutez également un filtre pour Emplacementest défini. Vous pouvez également afficher un aperçu des résultats du filtre en sélectionnant Modifier et afficher un aperçu des résultats. Par exemple :

    Capture d’écran des paramètres de filtre, montrant que le champ d’emplacement est défini.

    Lorsqu’un filtre est défini sur n’est pas égal à et que l’attribut n’existe pas sur l’événement, l’événement n’est pas filtré. Par exemple, le filtrage sur balise d’appareil n’est pas égal Microsoft Entra joint hybride ne filtre pas les événements qui ne contiennent pas de balise d’appareil, même si l’appareil est Microsoft Entra joint.

    Dans le cas d’un utilisateur invité, il peut arriver que le filtre Utilisateur du groupe ne reconnaisse pas le compte par son domaine. Pour vous assurer que tous les utilisateurs invités sont inclus, utilisez le groupe Utilisateurs externes , s’il répond à vos besoins pour la stratégie.

  5. Sous Créer des filtres pour la stratégie, sélectionnez quand une violation de stratégie sera déclenchée. Choisissez de se déclencher lorsqu’une activité unique correspond aux filtres ou uniquement lorsqu’un nombre spécifié d’activités répétées sont détectées.

    • Si vous choisissez Activité répétée, vous pouvez définir Dans une seule application. Ce paramètre déclenche une correspondance de stratégie uniquement lorsque les activités répétées se produisent dans la même application. Par exemple, cinq téléchargements en 30 minutes à partir de Box déclenchent une correspondance de stratégie.

  6. Configurez les actions qui doivent être effectuées lorsqu’une correspondance est trouvée.

Examinez ces exemples :

  • Plusieurs échecs de connexion

    Vous pouvez définir une stratégie afin de recevoir une alerte lorsqu’un grand nombre d’échecs de connexion dans un court laps de temps se produit. Pour configurer ce type de stratégie, choisissez le filtre d’activité approprié dans la page Nouvelle stratégie d’activité .

    Sous le champ Filtres d’activité , configurez les paramètres pour lesquels l’alerte sera déclenchée.

    Exemple de stratégie pour plusieurs tentatives de connexion ayant échoué.

  • Taux de téléchargement élevé

    Vous pouvez définir votre stratégie afin de recevoir une alerte en cas d’activité de téléchargement inattendue ou inhabituelle. Pour configurer ce type de stratégie, sous Paramètres de débit , choisissez les paramètres pour déclencher l’alerte.

    exemple de taux de téléchargement élevé.

Informations de référence sur la stratégie d’activité

Cette section contient des informations de référence sur les stratégies, des explications pour chaque type de stratégie et les champs qui peuvent être configurés pour chaque stratégie.

Une stratégie d’activité est une stratégie basée sur une API qui vous permet de surveiller les activités de votre organization dans le cloud. La stratégie prend en compte plus de 20 filtres de métadonnées de fichier, y compris le type d’appareil et l’emplacement. En fonction des résultats de la stratégie, des notifications peuvent être générées et les utilisateurs peuvent être suspendus de l’application cloud. Chaque stratégie est composée des éléments suivants :

  • Filtres d’activité : vous permet de créer des conditions granulaires basées sur des métadonnées.

  • Paramètres de correspondance d’activité : vous permet de définir un seuil pour le nombre de répétitions d’une activité à considérer comme correspondant à la stratégie. Spécifiez le nombre d’activités répétées requises pour correspondre à la stratégie. Par exemple, définissez une stratégie pour alerter lorsqu’un utilisateur a 10 tentatives de connexion infructueuses dans un délai de 2 minutes. Par défaut, les paramètres de correspondance d’activité déclenchent une correspondance pour chaque activité qui répond à tous les filtres d’activité.

    • À l’aide de l’activité répétée , vous pouvez définir le nombre d’activités répétées, la durée pendant laquelle les activités sont comptabilisées. Vous pouvez également spécifier que toutes les activités doivent être effectuées par le même utilisateur et dans la même application cloud.

  • Actions : la stratégie fournit un ensemble d’actions de gouvernance qui peuvent être appliquées automatiquement lorsque des violations sont détectées.

Étapes suivantes

Stratégies de protection des données

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.