Partager via


Guide opérationnel mensuel - Microsoft Defender for Cloud Apps

Cet article répertorie les activités opérationnelles mensuelles que nous vous recommandons d’effectuer avec Microsoft Defender for Cloud Apps.

Les activités mensuelles peuvent être effectuées plus fréquemment ou selon les besoins, en fonction de votre environnement et de vos besoins.

Passer en revue les évaluations de stratégie

: Dans le portail Microsoft Defender XDR, sélectionnez Stratégies d’applications > cloud Gestion > des stratégies

Personnage : Administrateurs de la sécurité et de la conformité

Passez en revue les stratégies et effectuez les mises à jour nécessaires pour vous assurer qu’elles sont toujours appropriées pour votre organization.

  • Vérifiez les taux de faux positifs et de vrais positifs bénins et ajustez les stratégies où les taux sont trop élevés. Par exemple, assurez-vous que toute nouvelle adresse IP d’entreprise est correctement configurée dans vos paramètres de Defender for Cloud Apps pour éviter les faux positifs de voyage impossible.

  • Passez en revue les besoins de l’entreprise et évaluez les exigences des stratégies personnalisées. Par exemple, la menace détectée par chaque stratégie est-elle toujours pertinente ? Ou existe-t-il une nouvelle solution intégrée pour détecter cette menace ?

  • Effacez les anciennes alertes. Par exemple :

    1. Affichez les alertes des six derniers mois. Filtrez les alertes marquées comme résolues et regroupez les alertes similaires pour simplifier l’affichage.
    2. Vérifiez pourquoi chaque alerte affichée n’est pas traitée.
    3. Si les alertes sont bénignes, ignorez-les et ajustez les stratégies en fonction des besoins.

Pour plus d’informations, consultez Contrôler les applications cloud avec des stratégies.

Examiner les journaux d’activité

: Dans le portail Microsoft Defender XDR, sous Applications cloud, sélectionnez Journal d’activité.

Personnage : Administrateurs de la sécurité et de la conformité

Vous passez fréquemment en revue les journaux d’activité en relation avec les alertes et dans le cadre d’enquêtes sur les menaces. Nous vous recommandons de revoir le journal d’activité mensuellement pour case activée pour les activités répétées par la même entité, telles que plusieurs recherches ou connexions par le même utilisateur.

  1. Les résultats du tableau croisé dynamique par type d’activité, tels que les échecs de connexion ou la suppression ou l’attribution de privilèges.
  2. Limitez l’activité à une application ou à un utilisateur.
  3. Utilisez les résultats pour créer une stratégie pour vous aider à surveiller plus étroitement et à répondre aux menaces potentielles.

Pour plus d’informations, consultez Requêtes d’activité.

guide opérationnel Microsoft Defender for Cloud Apps