Stratégies de protection contre les menaces Defender for Cloud Apps courantes
Defender for Cloud Apps vous permet d’identifier les problèmes d’utilisation et de sécurité cloud à haut risque, de détecter les comportements anormaux des utilisateurs et de prévenir les menaces dans vos applications cloud approuvées. Bénéficiez d’une visibilité sur les activités des utilisateurs et des administrateurs, et définissez des stratégies pour alerter automatiquement lorsque des comportements suspects ou des activités spécifiques que vous considérez comme risquées sont détectés. Tirez parti de la vaste quantité de données de recherche sur les menaces et la sécurité de Microsoft pour vous assurer que vos applications sanctionnées disposent de tous les contrôles de sécurité dont vous avez besoin et vous aider à en garder le contrôle.
Remarque
Lors de l’intégration de Defender for Cloud Apps à Microsoft Defender pour Identity, les stratégies de Defender pour Identity s’affichent également sur la page des stratégies. Pour obtenir la liste des stratégies Defender pour Identity, consultez Alertes de sécurité.
Détecter et contrôler l’activité des utilisateurs à partir d’emplacements inconnus
Détection automatique de l’accès utilisateur ou de l’activité à partir d’emplacements inconnus qui n’ont jamais été visités par quelqu’un d’autre dans votre organization.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir en cas d’accès à partir de nouveaux emplacements. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Détecter le compte compromis par emplacement impossible (déplacement impossible)
Détection automatique de l’accès utilisateur ou de l’activité à partir de 2 emplacements différents dans une période plus courte que le temps nécessaire pour se déplacer entre les deux.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir en cas d’accès à partir d’emplacements impossibles. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Facultatif : vous pouvez personnaliser les stratégies de détection d’anomalie :
Personnaliser l’étendue de détection en termes d’utilisateurs et de groupes
Choisir les types de connexions à prendre en compte
Définir votre préférence de confidentialité pour les alertes
Créez la stratégie de détection d’anomalie.
Détecter les activités suspectes d’un employé « en congé »
Détectez quand un utilisateur, qui est en congé sans solde et ne doit pas être actif sur une ressource organisationnelle, accède aux ressources cloud de votre organization.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Créez un groupe de sécurité dans Microsoft Entra ID pour les utilisateurs en congé sans solde et ajoutez tous les utilisateurs que vous souhaitez surveiller.
Étapes
Dans l’écran Groupes d’utilisateurs, sélectionnez Créer un groupe d’utilisateurs et importez le groupe Microsoft Entra approprié.
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Créez une stratégie d’activité.
Définissez le filtre Groupe d’utilisateurs sur le nom des groupes d’utilisateurs que vous avez créés dans Microsoft Entra ID pour les utilisateurs de congés sans solde.
Facultatif : définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient selon les services. Vous pouvez choisir Suspendre l’utilisateur.
Créez la stratégie de fichier.
Détecter et notifier l’utilisation d’un système d’exploitation de navigateur obsolète
Détectez quand un utilisateur utilise un navigateur avec une version de client obsolète qui peut poser des risques de conformité ou de sécurité pour votre organization.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Créez une stratégie d’activité.
Définissez le filtre Étiquette d’agent utilisateur égale à Navigateur obsolète et Système d’exploitation obsolète.
Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient selon les services. Sous Toutes les applications, sélectionnez Notifier l’utilisateur afin que vos utilisateurs puissent agir sur l’alerte et mettre à jour les composants nécessaires.
Créez la stratégie d’activité.
Détecter et alerter quand Administration activité est détectée sur des adresses IP à risque
Détectez les activités de l’administrateur effectuées à partir de et de l’adresse IP considérée comme une adresse IP à risque, et informez l’administrateur système pour une investigation plus approfondie ou définissez une action de gouvernance sur le compte de l’administrateur. En savoir plus sur l’utilisation des plages d’adresses IP et des adresses IP risquées.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Dans l’engrenage Paramètres, sélectionnez Plages d’adresses IP , puis sélectionnez + pour ajouter des plages d’adresses IP pour vos sous-réseaux internes et leurs adresses IP publiques de sortie. Définissez la catégorie surInterne.
Étapes
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Créez une stratégie d’activité.
Définissez Agir surActivité unique.
Définissez l’adresse IP du filtre sur Category equals Risky
Définir le filtre Activité d’administration sur True
Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient selon les services. Sous Toutes les applications, sélectionnez Notifier l’utilisateur, afin que vos utilisateurs puissent agir sur l’alerte et mettre à jour les composants nécessaires CC du responsable de l’utilisateur.
Créez la stratégie d’activité.
Détecter les activités par compte de service à partir d’adresses IP externes
Détecter les activités de compte de service provenant d’adresses IP non internes. Cela peut indiquer un comportement suspect ou un compte compromis.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Dans l’engrenage Paramètres, sélectionnez Plages d’adresses IP , puis sélectionnez + pour ajouter des plages d’adresses IP pour vos sous-réseaux internes et leurs adresses IP publiques de sortie. Définissez la catégorie surInterne.
Normalisez une convention d’affectation de noms pour les comptes de service dans votre environnement, par exemple, définissez tous les noms de comptes pour qu’ils commencent par « svc ».
Étapes
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Créez une stratégie d’activité.
Définissez le filtre Utilisateur sur Nom , puis Commence par et entrez votre convention de nommage, telle que svc.
Définissez l’adresse IP du filtre sur Catégorie n’est pas égal à Autre et Entreprise.
Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient selon les services.
Créez la stratégie.
Détecter le téléchargement en masse (exfiltration de données)
Détecter quand un utilisateur accède ou télécharge un grand nombre de fichiers dans un court laps de temps.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Créez une stratégie d’activité.
Définissez le filtre adresses IP sur L’étiquette n’est pas égale à Microsoft Azure. Cela exclut les activités non interactives basées sur les appareils.
Définissez le filtre Types d’activité sur égal à, puis sélectionnez toutes les activités de téléchargement pertinentes.
Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient selon les services.
Créez la stratégie.
Détecter l’activité potentielle de ransomware
Détection automatique de l’activité potentielle de ransomware.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir en cas de détection d’un risque potentiel de ransomware. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Il est possible de configurer l’étendue de la détection et de personnaliser les actions de gouvernance à effectuer lorsqu’une alerte est déclenchée. Pour plus d’informations sur la façon dont Defender for Cloud Apps identifie les rançongiciels, consultez Protection de votre organization contre les rançongiciels.
Remarque
Cela s’applique à Microsoft 365, Google Workspace, Box et Dropbox.
Détecter les programmes malveillants dans le cloud
Détectez les fichiers contenant des programmes malveillants dans vos environnements cloud en utilisant l’intégration Defender for Cloud Apps au moteur de renseignement sur les menaces de Microsoft.
Configuration requise
- Pour la détection des programmes malveillants Microsoft 365, vous devez disposer d’une licence valide pour Microsoft Defender pour Microsoft 365 P1.
- Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
- Cette détection est automatiquement configurée prête à l’emploi pour vous avertir lorsqu’un fichier peut contenir des programmes malveillants. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Détecter la prise de contrôle d’un administrateur non autorisé
Détecter les activités d’administration répétées susceptibles d’indiquer des intentions malveillantes.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Créez une stratégie d’activité.
Définissez Agir surActivité répétée, personnalisez le nombre minimal d’activités répétées et définissez un délai pour vous conformer à la stratégie de votre organization.
Définissez le filtre Utilisateur sur De groupe égal à et sélectionnez tous les groupes d’administrateurs associés comme Acteur uniquement.
Définissez le filtre Type d’activité égal à toutes les activités liées aux mises à jour, modifications et réinitialisations de mot de passe.
Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée. Les actions de gouvernance disponibles varient selon les services.
Créez la stratégie.
Détecter les règles de manipulation de boîte de réception suspectes
Si une règle de boîte de réception suspecte a été définie sur la boîte de réception d’un utilisateur, cela peut indiquer que le compte d’utilisateur est compromis et que la boîte aux lettres est utilisée pour distribuer du courrier indésirable et des programmes malveillants dans votre organization.
Configuration requise
- Utilisation de Microsoft Exchange pour le courrier électronique.
Étapes
- Cette détection est automatiquement configurée prête à l’emploi pour vous avertir en cas d’ensemble de règles de boîte de réception suspectes. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Détecter les informations d’identification divulguées
Lorsque les cybercriminels compromettent les mots de passe valides des utilisateurs légitimes, ils partagent souvent ces informations d’identification. Cela se fait généralement en les publiant publiquement sur le dark web ou les sites de collage ou en commercialisant ou en vendant les informations d’identification sur le marché noir.
Defender for Cloud Apps utilise le renseignement sur les menaces de Microsoft pour faire correspondre ces informations d’identification à celles utilisées dans votre organization.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir lorsqu’une fuite d’informations d’identification possible est détectée. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Détecter les téléchargements de fichiers anormaux
Détecter quand les utilisateurs effectuent plusieurs activités de téléchargement de fichiers dans une seule session, par rapport à la base de référence apprise. Cela peut indiquer une tentative de violation.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir en cas de téléchargement anormal. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Il est possible de configurer l’étendue de la détection et de personnaliser l’action à entreprendre lorsqu’une alerte est déclenchée.
Détecter les partages de fichiers anormaux par un utilisateur
Détectez quand les utilisateurs effectuent plusieurs activités de partage de fichiers dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir lorsque les utilisateurs effectuent plusieurs partages de fichiers. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Il est possible de configurer l’étendue de la détection et de personnaliser l’action à entreprendre lorsqu’une alerte est déclenchée.
Détecter les activités anormales à partir d’un pays ou d’une région peu fréquents
Détectez les activités à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par l’utilisateur ou par un utilisateur de votre organization.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous avertir lorsqu’une activité anormale se produit à partir d’un pays ou d’une région peu fréquents. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Il est possible de configurer l’étendue de la détection et de personnaliser l’action à entreprendre lorsqu’une alerte est déclenchée.
Remarque
La détection d’emplacements anormaux nécessite une période d’apprentissage initiale de 7 jours. Pendant la période d’apprentissage, Defender for Cloud Apps ne génère pas d’alertes pour les nouveaux emplacements.
Détecter l’activité effectuée par un utilisateur arrêté
Détecter quand un utilisateur qui n’est plus un employé de votre organization effectue une activité dans une application approuvée. Cela peut indiquer une activité malveillante d’un employé licencié qui a toujours accès aux ressources de l’entreprise.
Configuration requise
Vous devez avoir au moins une application connectée à l’aide de connecteurs d’application.
Étapes
Cette détection est automatiquement configurée prête à l’emploi pour vous alerter lorsqu’une activité est effectuée par un employé licencié. Vous n’avez pas besoin d’effectuer une action pour configurer cette stratégie. Pour plus d’informations, consultez Stratégies de détection d’anomalies.
Il est possible de configurer l’étendue de la détection et de personnaliser l’action à entreprendre lorsqu’une alerte est déclenchée.
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.