Partager via

Stratégie de détection des anomalies cloud discovery

  • Article

Une stratégie de détection des anomalies cloud discovery vous permet de configurer et de configurer la surveillance continue des augmentations inhabituelles de l’utilisation des applications cloud. Les augmentations des données téléchargées, des données chargées, des transactions et des utilisateurs sont prises en compte pour chaque application cloud. Chaque augmentation est comparée au modèle d’utilisation normal de l’application tel qu’il a été appris lors de l’utilisation passée. Les augmentations les plus extrêmes déclenchent des alertes de sécurité.

Cet article explique comment créer et configurer une stratégie de détection des anomalies de découverte du cloud dans Microsoft Defender for Cloud Apps.

Importante

À compter d’août 2024, la prise en charge des anomalies de découverte cloud pour Microsoft Defender for Cloud Apps est supprimée. Par conséquent, la procédure héritée présentée dans cet article est fournie à titre d’information uniquement. Si vous souhaitez recevoir des alertes de sécurité similaires à la détection d’anomalies, suivez les étapes décrites dans Créer une stratégie de découverte d’applications.

Créer une stratégie de découverte d’applications

Bien que la prise en charge de la détection des anomalies de découverte du cloud soit supprimée, vous pouvez recevoir des alertes de sécurité similaires en créant une stratégie de découverte d’application :

  1. Dans le portail Microsoft Defender, développez la section Stratégies Cloud Apps> dans le menu de gauche, puis sélectionnez Gestion des stratégies.

  2. Dans la page Stratégies , sélectionnez l’onglet Informatique fantôme.

  3. Développez le menu déroulant Créer une stratégie et sélectionnez l’option Stratégie de découverte d’applications .

  4. Sélectionnez l’option Déclencher une correspondance de stratégie si tous les éléments suivants se produisent le même jour :

    Capture d’écran montrant comment sélectionner l’option « Déclencher une correspondance de stratégie si tout ce qui suit se produit le même jour » pour une stratégie de découverte d’application.

  5. Configurez les filtres et paramètres associés, comme décrit dans Créer une stratégie de détection d’anomalie.

(Hérité) Créer une stratégie de détection d’anomalie

Pour chaque stratégie de détection d’anomalie, vous définissez des filtres qui vous permettent de surveiller de manière sélective l’utilisation des applications. Des filtres sont disponibles pour l’application, les vues de données sélectionnées et une date de début sélectionnée. Vous pouvez également définir la sensibilité et spécifier le nombre d’alertes pour la stratégie à déclencher.

Suivez les étapes pour créer une stratégie de détection d’anomalie de découverte du cloud :

  1. Dans le portail Microsoft Defender, développez la section Stratégies Cloud Apps> dans le menu de gauche, puis sélectionnez Gestion des stratégies.

  2. Dans la page Stratégies , sélectionnez l’onglet Informatique fantôme.

  3. Développez le menu déroulant Créer une stratégie et sélectionnez l’option de stratégie de détection d’anomalie Cloud Discovery :

    Capture d’écran montrant comment sélectionner l’option permettant de créer une stratégie de détection d’anomalie de découverte cloud.

    La page Créer une stratégie de détection d’anomalie Cloud Discovery s’ouvre, où vous configurez les paramètres de la stratégie à créer.

  4. Dans la page Créer une stratégie de détection d’anomalie Cloud Discovery , l’option Modèle de stratégie fournit une liste de modèles parmi lesquels vous pouvez choisir d’utiliser comme base pour la stratégie. Par défaut, l’option est définie sur Aucun modèle.

    Si vous souhaitez baser la stratégie sur un modèle, développez le menu déroulant et sélectionnez un modèle :

    • Comportement anormal chez les utilisateurs découverts : alertes quand un comportement anormal est détecté dans les applications et les utilisateurs découverts. Vous pouvez utiliser ce modèle pour case activée de grandes quantités de données chargées par rapport à d’autres utilisateurs, ou des transactions utilisateur volumineuses par rapport à l’historique de l’utilisateur.

    • Comportement anormal des adresses IP découvertes : alertes quand un comportement anormal est détecté dans les applications et adresses IP découvertes. Vous pouvez utiliser ce modèle pour case activée de grandes quantités de données chargées par rapport à d’autres adresses IP, ou des transactions d’application volumineuses par rapport à l’historique de l’adresse IP.

    L’image suivante montre comment sélectionner un modèle à utiliser comme base pour la nouvelle stratégie dans le portail Microsoft Defender :

    Capture d’écran montrant comment sélectionner un modèle à utiliser comme base pour la nouvelle stratégie.

  5. Entrez un nom de stratégie et une description pour la nouvelle stratégie.

  6. Créez un filtre pour les applications que vous souhaitez surveiller à l’aide de l’option Sélectionner un filtre .

    • Développez le menu déroulant et choisissez de filtrer toutes les applications correspondantes par balise d’application, applications et domaine, catégorie, divers facteurs de risque ou score de risque.

    • Pour créer d’autres filtres, sélectionnez Ajouter un filtre.

    L’image suivante montre comment sélectionner un filtre pour la stratégie à appliquer à toutes les applications correspondantes dans le portail Microsoft Defender :

    Capture d’écran montrant comment sélectionner un filtre pour la stratégie à appliquer à toutes les applications correspondantes.

  7. Configurez les filtres d’utilisation des applications dans la section Appliquer à :

    1. Utilisez le premier menu déroulant pour choisir comment surveiller les rapports d’utilisation continue :

      • Tous les rapports continus (par défaut) : comparez chaque augmentation d’utilisation au modèle d’utilisation normal tel qu’il a été appris dans toutes les vues de données.

      • Rapports continus spécifiques : comparez chaque augmentation d’utilisation au modèle d’utilisation normal. Le modèle est tiré de la même vue de données que celle où l’augmentation a été observée.

    2. Utilisez le deuxième menu déroulant pour spécifier les associations surveillées pour chaque utilisation de l’application cloud :

      • Utilisateurs : ignorez l’association de l’utilisation de l’application avec les adresses IP.

      • Adresses IP : ignorez l’association de l’utilisation de l’application avec les utilisateurs.

      • Utilisateurs, adresses IP (par défaut) : surveiller l’association de l’utilisation de l’application par les utilisateurs et les adresses IP. Cette option peut générer des alertes en double lorsqu’il existe une correspondance étroite entre les utilisateurs et les adresses IP.

    L’image suivante montre comment configurer les filtres d’utilisation des applications et la date de début du déclenchement des alertes d’utilisation dans le portail Microsoft Defender :

    Capture d’écran montrant comment configurer les filtres d’utilisation des applications et la date de début du déclenchement des alertes d’utilisation.

  8. Pour l’option Déclencher des alertes uniquement pour les activités suspectes qui se produisent après , entrez la date de début du déclenchement des alertes d’utilisation de l’application.

    Toute augmentation de l’utilisation de l’application avant la date de début spécifiée est ignorée. Toutefois, les données d’activité d’utilisation antérieures à la date de début sont apprises pour établir le modèle d’utilisation normal.

  9. Dans la section Alertes , configurez la sensibilité et les notifications des alertes. Il existe plusieurs façons de contrôler le nombre d’alertes déclenchées par la stratégie :

    • Utilisez le curseur Sélectionner la sensibilité de détection d’anomalies pour déclencher des alertes pour les activités anormales X principales par 1 000 utilisateurs par semaine. Des alertes se déclenchent pour les activités présentant le risque le plus élevé.

    • Sélectionnez l’option Créer une alerte pour chaque événement correspondant avec la gravité de la stratégie et définissez d’autres paramètres pour l’alerte :

      • Envoyer une alerte sous forme d’e-mail : entrez les adresses e-mail des messages d’alerte. Un maximum de 500 messages peuvent être envoyés par adresse e-mail et par jour. Le nombre est réinitialisé à minuit dans le fuseau horaire UTC.

      • Limite d’alerte quotidienne par stratégie : utilisez le menu déroulant et sélectionnez la limite souhaitée. Cette option limite le nombre d’alertes déclenchées sur un seul jour à la valeur spécifiée.

      • Envoyer des alertes à Power Automate : choisissez un playbook pour exécuter des actions lorsqu’une alerte se déclenche. Vous pouvez également ouvrir un nouveau playbook en sélectionnant Créer un playbook dans Power Automate.

    • Pour définir les paramètres par défaut de votre organization afin qu’ils utilisent vos valeurs pour la limite d’alerte quotidienne et les paramètres de messagerie, sélectionnez Enregistrer en tant que paramètres par défaut.

    • Pour utiliser les paramètres par défaut de votre organization pour la limite d’alerte quotidienne et les paramètres de messagerie, sélectionnez Restaurer les paramètres par défaut.

    L’image suivante montre comment configurer des alertes pour la stratégie, notamment la sensibilité, la Notifications par e-mail et une limite quotidienne dans le portail Microsoft Defender :

    Capture d’écran montrant comment configurer des alertes, y compris la sensibilité, les e-mails et la limite quotidienne.

  10. Confirmez vos choix de configuration, puis sélectionnez Créer.

Utiliser une stratégie existante

Lorsque vous créez une stratégie, elle est activée par défaut. Vous pouvez désactiver une stratégie et effectuer d’autres actions telles que Modifier et Supprimer.

  1. Dans la page Stratégies , recherchez la stratégie à mettre à jour dans la liste des stratégies.

  2. Dans la liste des stratégies, faites défiler vers la droite sur la ligne de stratégie, puis sélectionnez Plus d’options (...).

  3. Dans le menu contextuel, sélectionnez l’action à effectuer sur la stratégie.

Étape suivante

Explorer les meilleures pratiques pour protéger votre organization

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.