Partager via

Afficher les applications découvertes avec le tableau de bord Cloud Discovery

  • Article

La page Cloud Discovery fournit un tableau de bord conçu pour vous donner plus d’informations sur la façon dont les applications cloud sont utilisées dans votre organization. Le tableau de bord fournit un aperçu des types d’applications utilisées, de vos alertes ouvertes et des niveaux de risque des applications dans votre organization. Il montre également qui sont les principaux utilisateurs de votre application et fournit une carte de l’emplacement du siège social de l’application .

Filtrez vos données cloud discovery pour générer des vues spécifiques, en fonction de ce qui vous intéresse le plus. Pour plus d’informations, consultez Filtres d’application découverts.

Configuration requise

Pour plus d’informations sur les rôles requis, consultez Gérer l’accès administrateur.

Passer en revue le tableau de bord de découverte du cloud

Cette procédure explique comment obtenir une image initiale et générale de vos applications cloud discovery dans le tableau de bord Cloud Discovery .

  1. Dans le portail Microsoft Defender, sélectionnez Cloud Apps > Cloud Discovery.

    Par exemple :

    Capture d’écran du tableau de bord Cloud Discovery

    Les applications prises en charge incluent les applications Windows et macOS, qui sont toutes deux répertoriées sous le flux Defender - points de terminaison managés .

  2. Passez en revue les informations suivantes :

    1. Utilisez la vue d’ensemble de l’utilisation générale pour comprendre l’utilisation globale des applications cloud dans votre organization.

    2. Explorez un niveau plus en détail pour comprendre les principales catégories utilisées dans votre organisation pour chacun des différents paramètres d’utilisation. Notez la part de cette utilisation par les applications approuvées.

    3. Utilisez l’onglet Applications découvertes pour aller encore plus loin et voir toutes les applications d’une catégorie spécifique.

    4. Vérifiez les principaux utilisateurs et les adresses IP sources pour identifier les utilisateurs les plus dominants des applications cloud dans votre organization.

    5. Utilisez la carte du siège social de l’application pour case activée la façon dont les applications découvertes se répartissent en fonction de leur emplacement géographique, en fonction de leur siège social.

    6. Utilisez la vue d’ensemble des risques d’application pour comprendre le score de risque des applications découvertes et case activée les alertes de découverte status pour voir le nombre d’alertes ouvertes que vous devez examiner.

Présentation approfondie des applications découvertes

Pour approfondir les données de découverte cloud, utilisez les filtres pour case activée pour les applications à risque ou couramment utilisées.

Par exemple, si vous souhaitez identifier les applications de collaboration et de stockage cloud couramment utilisées et risquées, utilisez la page Applications découvertes pour filtrer les applications souhaitées. Ensuite, annulez leur approbation ou bloquez-les comme suit :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Découverte du cloud. Choisissez ensuite l’onglet Applications découvertes .

  2. Sous l’onglet Applications découvertes , sous Parcourir par catégorie , sélectionnez Stockage cloud et Collaboration.

  3. Utilisez les filtres avancés pour définir le facteur de risque de conformité sur SOC 2 = Non.

  4. Pour Utilisation, définissez Utilisateurs sur plus de 50 utilisateurs et Transactions sur supérieur à 100.

  5. Définissez le facteur de risque de sécurité pour le chiffrement des données au repos sur Non pris en charge. Définissez ensuite Score de risque égal ou inférieur à 6.

    Capture d’écran des exemples de filtres d’application découverts.

Une fois les résultats filtrés, annulez leur approbation et bloquez-les en utilisant la case à cocher action en bloc pour les annuler tous en une seule action. Une fois qu’ils ne sont pas approuvés, utilisez un script de blocage pour les empêcher d’être utilisés dans votre environnement.

Vous pouvez également identifier des instances d’application spécifiques en cours d’utilisation en examinant les sous-domaines découverts. Par exemple, différencier les différents sites SharePoint :

Filtre de sous-domaine.

Remarque

Les explorations approfondies des applications découvertes ne sont prises en charge que dans les pare-feu et les proxys qui contiennent des données d’URL cibles. Pour plus d’informations, consultez Pare-feu et proxys pris en charge.

Si Defender for Cloud Apps ne peuvent pas faire correspondre le sous-domaine détecté dans les journaux de trafic avec les données stockées dans le catalogue d’applications, le sous-domaine est marqué comme Autre.

Découvrir des ressources et des applications personnalisées

Cloud Discovery vous permet également d’explorer vos ressources IaaS et PaaS. Découvrez l’activité sur vos plateformes d’hébergement de ressources, en affichant l’accès aux données dans vos applications et ressources auto-hébergées, notamment les comptes de stockage, l’infrastructure et les applications personnalisées hébergées sur Azure, Google Cloud Platform et AWS. Non seulement vous pouvez voir l’utilisation globale dans vos solutions IaaS, mais vous pouvez également obtenir une visibilité sur les ressources spécifiques hébergées sur chacune d’elles, ainsi que sur l’utilisation globale des ressources, afin d’atténuer les risques par ressource.

Par exemple, si une grande quantité de données est chargée, découvrez vers quelle ressource elles sont chargées et explorez les personnes qui ont effectué l’activité.

Remarque

Cela est pris en charge uniquement dans les pare-feu et les proxys qui contiennent des données d’URL cibles. Pour plus d’informations, consultez la liste des appliances prises en charge dans Pare-feu et proxys pris en charge.

Pour afficher les ressources découvertes :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Découverte du cloud. Choisissez ensuite l’onglet Ressources découvertes .

    Capture d’écran du menu des ressources découvertes.

  2. Dans la page Ressources découvertes , explorez chaque ressource pour voir les types de transactions qui se sont produites, qui y a accédé, puis explorez plus en détail les utilisateurs.

    Capture d’écran de l’onglet Ressources découvertes.

  3. Pour les applications personnalisées, sélectionnez le menu d’options à la fin de la ligne, puis sélectionnez Ajouter une nouvelle application personnalisée. La boîte de dialogue Ajouter cette application s’ouvre, dans laquelle vous pouvez nommer et identifier l’application afin qu’elle puisse être incluse dans le tableau de bord de découverte du cloud.

Générer un rapport exécutif de découverte du cloud

La meilleure façon d’obtenir une vue d’ensemble de l’utilisation de Shadow IT dans votre organization consiste à générer un rapport exécutif de découverte cloud. Ce rapport identifie les principaux risques potentiels et vous aide à planifier un flux de travail pour atténuer et gérer les risques jusqu’à ce qu’ils soient résolus.

Pour générer un rapport exécutif cloud discovery :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Découverte du cloud.

  2. Dans la page Découverte du cloud , sélectionnez Actions>Générer un rapport exécutif Cloud Discovery.

  3. Si vous le souhaitez, modifiez le nom du rapport, puis sélectionnez Générer.

Exclure des entités

Si vous avez des utilisateurs système, des adresses IP ou des appareils bruyants mais inintéressants, ou des entités qui ne doivent pas être présentées dans les rapports shadow IT, vous pouvez exclure leurs données des données de découverte cloud analysées. Par exemple, vous pouvez exclure toutes les informations provenant d’un hôte local.

Pour créer une exclusion :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres Cloud>Apps>Cloud Discovery>Exclure les entités.

  2. Sélectionnez l’onglet Utilisateurs exclus, Groupes exclus, Adresses IP exclues ou Appareils exclus , puis sélectionnez le bouton +Ajouter pour ajouter votre exclusion.

  3. Ajoutez un alias d’utilisateur, une adresse IP ou un nom d’appareil. Nous vous recommandons d’ajouter des informations sur la raison pour laquelle l’exclusion a été effectuée.

    Capture d’écran de l’exclusion d’un utilisateur.

Remarque

Toutes les exclusions d’entité s’appliquent uniquement aux données nouvellement reçues. Les données historiques des entités exclues restent pendant la période de rétention (90 jours).

Gérer les rapports continus

Les rapports continus personnalisés vous fournissent plus de granularité lors de la surveillance des données du journal de découverte cloud de votre organization. Créez des rapports personnalisés à filtrer sur des emplacements géographiques, des réseaux et des sites spécifiques ou des unités organisationnelles. Par défaut, seuls les rapports suivants s’affichent dans votre sélecteur de rapport de découverte cloud :

  • Le rapport global regroupe toutes les informations du portail à partir de toutes les sources de données que vous avez incluses dans vos journaux. Le rapport global n’inclut pas les données de Microsoft Defender pour point de terminaison.

  • Le rapport spécifique à la source de données affiche uniquement les informations d’une source de données spécifique.

Pour créer un rapport continu :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Cloud Apps>Cloud Discovery>Rapport continu>Créer un rapport.

  2. Entrez un nom de rapport.

  3. Sélectionnez les sources de données que vous souhaitez inclure (toutes ou spécifiques).

  4. Définissez les filtres souhaités sur les données. Ces filtres peuvent être des groupes d’utilisateurs, des balises d’adresses IP ou des plages d’adresses IP. Pour plus d’informations sur l’utilisation des balises d’adresses IP et des plages d’adresses IP, consultez Organiser les données en fonction de vos besoins.

    Capture d’écran de la création d’un rapport continu personnalisé.

Remarque

Tous les rapports personnalisés sont limités à un maximum de 1 Go de données non compressées. S’il y a plus de 1 Go de données, les 1 premiers Go de données sont exportés dans le rapport.

Suppression des données de découverte du cloud

Nous vous recommandons de supprimer les données de découverte du cloud dans les cas suivants :

  • Si vous avez chargé manuellement des fichiers journaux, il s’est passé longtemps depuis que vous avez mis à jour le système avec de nouveaux fichiers journaux, et vous ne souhaitez pas que les anciennes données affectent vos résultats.

  • Lorsque vous définissez une nouvelle vue de données personnalisée, elle s’applique uniquement aux nouvelles données à partir de ce point. Dans ce cas, vous pouvez effacer les anciennes données, puis charger à nouveau vos fichiers journaux pour permettre à la vue de données personnalisées de récupérer des événements dans les données du fichier journal.

  • Si de nombreux utilisateurs ou adresses IP ont récemment recommené à travailler après avoir été hors connexion pendant un certain temps, leur activité est identifiée comme anormale et peut vous donner des violations de faux positifs.

Importante

Vérifiez que vous souhaitez supprimer les données avant de le faire. Cette action est irréversible et supprime toutes les données de découverte cloud dans le système.

Pour supprimer les données de découverte cloud :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Cloud Apps>Cloud Discovery>Supprimer les données.

  2. Sélectionnez le bouton Supprimer .

    Capture d’écran de la suppression des données de découverte du cloud.

Remarque

Le processus de suppression prend quelques minutes et n’est pas immédiat.

Étapes suivantes

Créer des rapports de découverte cloud instantané

Configurer le chargement automatique des journaux pour les rapports continus

Utilisation des données de découverte du cloud

Découvrir des applications à l’aide de l’intégration de Microsoft Defender pour point de terminaison