Guide opérationnel quotidien - Microsoft Defender for Cloud Apps

Cet article répertorie les activités opérationnelles quotidiennes que nous vous recommandons d’effectuer avec Defender for Cloud Apps.

Passer en revue les alertes et les incidents

Les alertes et les incidents sont deux des éléments les plus importants que votre équipe des opérations de sécurité (SOC) doit examiner quotidiennement.

• Triez régulièrement les incidents et les alertes à partir de la file d’attente d’incidents dans Microsoft Defender XDR, en hiérarchisant les alertes de gravité élevée et moyenne.

• Si vous travaillez avec un système SIEM, votre système SIEM est généralement le premier arrêt pour le triage. Les systèmes SIEM fournissent davantage de contexte avec des journaux supplémentaires et des fonctionnalités SOAR. Ensuite, utilisez Microsoft Defender XDR pour une compréhension plus approfondie d’une alerte ou d’un chronologie d’incident.

Triez vos incidents à partir de Microsoft Defender XDR

Où : dans Microsoft Defender XDR, sélectionnez Incidents & alertes

Personnage : Analystes SOC

Lors du triage des incidents :

1. Dans le tableau de bord des incidents, filtrez les éléments suivants :

   Filter	Values
   État	Nouveau, En cours
   Gravité	Élevé, Moyen, Faible
   Source du service	Conservez toutes les sources de service vérifiées. La vérification de toutes les sources de service doit répertorier les alertes les plus fidèles, avec une corrélation entre d’autres charges de travail Microsoft XDR. Sélectionnez Defender for Cloud Apps pour afficher les éléments qui proviennent spécifiquement de Defender for Cloud Apps.

2. Sélectionnez chaque incident pour passer en revue tous les détails. Passez en revue tous les onglets de l’incident, le journal d’activité et la chasse avancée.

   Sous l’onglet Preuve et réponse de l’incident, sélectionnez chaque élément de preuve. Sélectionnez le menu >d’options Examiner , puis sélectionnez Journal d’activité ou Rechercher si nécessaire.

3. Triez vos incidents. Pour chaque incident, sélectionnez Gérer l’incident , puis sélectionnez l’une des options suivantes :

   • Vrai positif
   • Faux positif
   • Information, activité attendue

   Pour les alertes vraies, spécifiez le type de traitement pour aider votre équipe de sécurité à voir les modèles de menace et à défendre vos organization contre les risques.

4. Lorsque vous êtes prêt à démarrer votre investigation active, affectez l’incident à un utilisateur et mettez à jour l’incident status sur En cours.

5. Lorsque l’incident est corrigé, résolvez-le pour résoudre toutes les alertes actives liées et associées.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Hiérarchiser les incidents dans Microsoft Defender XDR
• Examiner les alertes dans Microsoft Defender XDR
• Playbooks de réponse aux incidents
• Comment examiner les alertes de détection d’anomalie
• Gérer les alertes de gouvernance des applications
• Examiner les alertes de détection des menaces

Triez vos incidents à partir de votre système SIEM

Personnage : Analystes SOC

Conditions préalables : vous devez être connecté à un système SIEM, et nous vous recommandons de l’intégrer à Microsoft Sentinel. Pour plus d’informations, reportez-vous aux rubriques suivantes :

• intégration Microsoft Sentinel (préversion)
• Connecter des données de Microsoft Defender XDR à Microsoft Sentinel
• Intégration d’une solution SIEM générique

L’intégration de Microsoft Defender XDR à Microsoft Sentinel vous permet de diffuser en continu tous les incidents Microsoft Defender XDR dans Microsoft Sentinel et de les maintenir synchronisés entre les deux portails. Microsoft Defender XDR incidents dans Microsoft Sentinel incluent toutes les alertes, entités et informations pertinentes associées, fournissant suffisamment de contexte pour trier et exécuter une enquête préliminaire.

Une fois dans Microsoft Sentinel, les incidents restent synchronisés avec Microsoft Defender XDR afin que vous puissiez utiliser les fonctionnalités des deux portails dans votre investigation.

• Lorsque vous installez le connecteur de données de Microsoft Sentinel pour Microsoft Defender XDR, veillez à inclure l’option Microsoft Defender for Cloud Apps.
• Envisagez d’utiliser une API de streaming pour envoyer des données à un hub d’événements, où elles peuvent être consommées via n’importe quel siem partenaire avec un connecteur Event Hub, ou placées dans stockage Azure.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• intégration Microsoft Defender XDR à Microsoft Sentinel
• Naviguer et examiner les incidents dans Microsoft Sentinel
• Créer des règles d’analyse personnalisées pour détecter les menaces

Passer en revue les données de détection des menaces

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Stratégies d’applications >> cloud Gestion des stratégies > Détection des menaces
• Applications > cloud Applications Oauth

Personnage : administrateurs de sécurité et analystes SOC

La détection des menaces d’application cloud est l’endroit où de nombreux analystes SOC concentrent leurs activités quotidiennes, identifiant les utilisateurs à haut risque qui présentent un comportement anormal.

Defender for Cloud Apps détection des menaces utilise le renseignement sur les menaces microsoft et les données de recherche sur la sécurité. Les alertes sont disponibles dans Microsoft Defender XDR et doivent être triées régulièrement.

Lorsque les administrateurs de sécurité et les analystes SOC traitent des alertes, ils gèrent les types main suivants de stratégies de détection des menaces :

• Stratégies d’activité
• Stratégies de détection des anomalies
• Stratégies OAuth et stratégies de gouvernance des applications

Personnage : Administrateur de la sécurité

Veillez à créer les stratégies de protection contre les menaces nécessaires à votre organization, y compris la gestion des prérequis.

Passer en revue la gouvernance des applications

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Incidents & alertes / Gouvernance des applications

Personnage : Analystes SOC

La gouvernance des applications offre une visibilité et un contrôle approfondis sur les applications OAuth. La gouvernance des applications permet de lutter contre les campagnes de plus en plus sophistiquées qui exploitent les applications déployées localement et dans les infrastructures cloud, établissant un point de départ pour l’escalade des privilèges, le mouvement latéral et l’exfiltration des données.

La gouvernance des applications est fournie avec Defender for Cloud Apps. Les alertes sont également disponibles dans Microsoft Defender XDR et doivent être triées régulièrement.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Alertes de découverte
• Examiner les alertes de stratégie d’application prédéfinies
• Examiner et corriger les applications OAuth à risque

Page vue d’ensemble de la gouvernance des applications

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Vue d’ensemble de la gouvernance > des applications > cloud

Personnage : analystes SOC et administrateur de la sécurité

Nous vous recommandons d’effectuer une évaluation rapide et quotidienne de la posture de conformité de vos applications et incidents. Par exemple, case activée les détails suivants :

• Nombre d’applications sur-privilégiées ou hautement privilégiées
• Applications avec un éditeur non vérifié
• Utilisation des données pour les services et les ressources auxquels on a accédé à l’aide de API Graph
• Nombre d’applications qui ont accédé aux données avec les étiquettes de confidentialité les plus courantes
• Nombre d’applications qui ont accédé aux données avec et sans étiquettes de confidentialité dans les services Microsoft 365
• Vue d’ensemble des incidents liés à la gouvernance des applications

En fonction des données que vous examinez, vous pouvez créer ou ajuster des stratégies de gouvernance des applications.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Afficher et gérer les incidents et les alertes
• Afficher les détails de votre application avec la gouvernance des applications
• Créer des stratégies d’application dans la gouvernance des applications.

Passer en revue les données de l’application OAuth

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Gouvernance des applications > cloud Azure > AD

Nous vous recommandons de case activée quotidiennement votre liste d’applications compatibles avec OAuth, ainsi que les métadonnées d’application et les données d’utilisation pertinentes. Sélectionnez une application pour afficher des insights et des informations plus approfondis.

La gouvernance des applications utilise des algorithmes de détection basés sur le Machine Learning pour détecter le comportement anormal des applications dans votre locataire Microsoft Defender XDR, et génère des alertes que vous pouvez voir, examiner et résoudre. Au-delà de cette fonctionnalité de détection intégrée, vous pouvez utiliser un ensemble de modèles de stratégie par défaut ou créer vos propres stratégies d’application qui génèrent d’autres alertes.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Afficher et gérer les incidents et les alertes
• Afficher les détails de votre application avec la gouvernance des applications
• Obtention d’informations détaillées sur une application

Créer et gérer des stratégies de gouvernance des applications

Où : Dans le portail Microsoft Defender XDR, sélectionnez Stratégies de gouvernance > des applications > cloud

Personnage : Administrateurs de la sécurité

Nous vous recommandons de case activée vos applications OAuth quotidiennement pour une visibilité et un contrôle approfondis réguliers. Générez des alertes basées sur des algorithmes d’apprentissage automatique et créez des stratégies d’application pour la gouvernance des applications.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Créer des stratégies d’application dans la gouvernance des applications
• Gérer des stratégies d’application

Vérifier le contrôle d’application d’accès conditionnel

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Accès conditionnel aux > stratégies des > applications > cloud

Pour configurer le contrôle d’application par accès conditionnel, sélectionnez Paramètres Applications > cloud > Accès conditionnel Contrôle d’application

Personnage : Administrateur de la sécurité

Le contrôle d’application d’accès conditionnel vous permet de surveiller et de contrôler l’accès aux applications utilisateur et les sessions en temps réel, en fonction des stratégies d’accès et de session.

Les alertes générées sont disponibles dans Microsoft Defender XDR et doivent être triées régulièrement.

Par défaut, aucune stratégie d’accès ou de session n’est déployée et, par conséquent, aucune alerte associée n’est disponible. Vous pouvez intégrer n’importe quelle application web pour utiliser des contrôles d’accès et de session, Microsoft Entra ID applications sont automatiquement intégrées. Nous vous recommandons de créer des stratégies de session et d’accès en fonction des besoins de votre organization.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Afficher et gérer les incidents et les alertes
• Protéger les applications avec Microsoft Defender for Cloud Apps contrôle d’application d’accès conditionnel
• Bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou risqués
• Sécuriser la collaboration avec des utilisateurs externes en appliquant les contrôles de session en temps réel

Personnage : administrateur SOC

Nous vous recommandons de consulter quotidiennement les alertes de contrôle d’application d’accès conditionnel et le journal d’activité. Filtrez les journaux d’activité par source, contrôle d’accès et contrôle de session.

Pour plus d’informations, consultez Passer en revue les alertes et les incidents.

Passer en revue l’informatique fantôme - Cloud Discovery

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Cloud Apps > Cloud Discovery /Catalogue d’applications cloud
• Stratégies d’applications >> cloud Gestion des stratégies Shadow > IT

Personnage : Administrateurs de la sécurité

Defender pour les applications cloud analyse vos journaux de trafic par rapport au catalogue d’applications cloud de plus de 31 000 applications cloud. Les applications sont classées et évaluées en fonction de plus de 90 facteurs de risque pour fournir une visibilité continue de l’utilisation du cloud, de l’informatique fantôme et des risques que l’informatique fantôme présente dans votre organization.

Les alertes liées à la découverte du cloud sont disponibles dans Microsoft Defender XDR et doivent être triées régulièrement.

Créez des stratégies de découverte d’applications pour commencer à alerter et à marquer les applications nouvellement découvertes en fonction de certaines conditions, telles que les scores de risque, les catégories et les comportements des applications, comme le trafic quotidien et les données téléchargées.

Conseil

Nous vous recommandons d’intégrer Defender for Cloud Apps à Microsoft Defender pour point de terminaison pour découvrir des applications cloud au-delà de votre réseau d’entreprise ou des passerelles sécurisées et appliquer des actions de gouvernance sur vos points de terminaison.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Afficher et gérer les incidents et les alertes
• Stratégies de découverte du cloud
• Créer des stratégies de découverte cloud
• Configurer la découverte du cloud
• Découvrir et évaluer les applications cloud

Personnage : administrateurs de sécurité et de conformité, analystes SOC

Lorsque vous avez un grand nombre d’applications découvertes, vous pouvez utiliser les options de filtrage pour en savoir plus sur vos applications découvertes.

Pour plus d’informations, consultez Filtres d’application et requêtes découverts dans Microsoft Defender for Cloud Apps.

Passer en revue le tableau de bord de découverte du cloud

Où : Dans le portail Microsoft Defender XDR, sélectionnez Cloud Apps > Cloud Discovery > Dashboard.

Personnage : administrateurs de sécurité et de conformité, analystes SOC

Nous vous recommandons de consulter quotidiennement votre tableau de bord cloud Discovery. Le tableau de bord cloud discovery est conçu pour vous donner plus d’informations sur la façon dont les applications cloud sont utilisées dans votre organization, avec une vue d’ensemble des enfants des applications utilisées, vos alertes ouvertes et les niveaux de risque des applications dans votre organization.

Dans le tableau de bord de découverte du cloud :

1. Utilisez les widgets en haut de la page pour comprendre l’utilisation globale de votre application cloud.

2. Filtrez les graphiques du tableau de bord pour générer des vues spécifiques, en fonction de votre intérêt. Par exemple :

   • Comprendre les principales catégories d’applications utilisées dans votre organisation, en particulier pour les applications approuvées.
   • Passez en revue les scores de risque pour vos applications découvertes.
   • Filtrez les vues pour afficher vos principales applications dans des catégories spécifiques.
   • Affichez les principaux utilisateurs et adresses IP pour identifier les utilisateurs les plus dominants des applications cloud dans votre organization.
   • Affichez les données d’application sur une carte du monde pour comprendre comment les applications découvertes se répartissent par emplacement géographique.

Après avoir examiné la liste des applications découvertes dans votre environnement, nous vous recommandons de sécuriser votre environnement en approuvant les applications sécurisées (applications approuvées ), en interdisant les applications indésirables (applications non approuvées ) ou en appliquant des étiquettes personnalisées.

Vous pouvez également examiner et appliquer de manière proactive des étiquettes aux applications disponibles dans le catalogue d’applications cloud avant qu’elles ne soient découvertes dans votre environnement. Pour vous aider à gouverner ces applications, créez des stratégies de découverte cloud pertinentes, déclenchées par des étiquettes spécifiques.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Utilisation des données de découverte
• Utilisation des applications découvertes

Conseil

Selon la configuration de votre environnement, vous pouvez tirer parti du blocage transparent et automatisé, ou même des fonctionnalités d’avertissement et d’éducation fournies par Microsoft Defender pour point de terminaison. Pour plus d’informations, consultez Intégrer Microsoft Defender pour point de terminaison à Microsoft Defender for Cloud Apps.

Vérifier la protection des informations

Où : Dans le portail Microsoft Defender XDR, sélectionnez :

• Incidents & alertes
• Fichiers d’applications > cloud
• Stratégies de > gestion des stratégies d’applications > cloud Protection des > informations

Personnage : administrateurs de sécurité et de conformité, analystes SOC

Defender for Cloud Apps stratégies de fichier et les alertes vous permettent d’appliquer un large éventail de processus automatisés. Créez des stratégies pour assurer la protection des informations, notamment des analyses de conformité continues, des tâches eDiscovery légales et une protection contre la perte de données (DLP) pour le contenu sensible partagé publiquement.

Outre le triage des alertes et des incidents, nous recommandons à vos équipes SOC d’exécuter des actions et des requêtes proactives supplémentaires. Dans la page Fichiers des applications > cloud, case activée pour les questions suivantes :

• Combien de fichiers sont partagés publiquement afin que tout le monde puisse y accéder sans lien ?
• Avec quels partenaires partagez-vous des fichiers à l’aide du partage sortant ?
• Des fichiers ont-ils des noms sensibles ?
• Certains fichiers sont-ils partagés avec les compte personnel d’une personne ?

Utilisez les résultats de ces requêtes pour ajuster les stratégies de fichier existantes ou créer des stratégies.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Afficher et gérer les incidents et les alertes
• Stratégies de protection des informations.

Contenu connexe

guide opérationnel Microsoft Defender for Cloud Apps