ActivitésActivities

Cloud App Security vous donne une visibilité sur toutes les activités de vos applications connectées.Cloud App Security gives you visibility into all the activities from your connected apps. Une fois connecté à une application à l’aide du connecteur d’applications, Cloud App Security analyse toutes les activités passées (la période d’analyse rétroactive varie par application). Cloud App Security est ensuite mis à jour en continu avec les nouvelles activités.After you connect Cloud App Security to an app using the App connector, Cloud App Security scans all the activities that happened - the retroactive scan time period differs per app - and then it is updated constantly with new activities.

Note

Pour obtenir une liste complète des activités Office 365 surveillées par Cloud App Security, voir Rechercher le journal d’audit dans le Centre de sécurité et conformité Office 365.For a full list of Office 365 activities monitored by Cloud App Security, see Search the audit log in the Office 365 Security & Compliance Center

Le journal d’activité peut être filtré pour vous permettre de trouver des activités spécifiques.The Activity log can be filtered to enable you to find specific activities. Vous pouvez créer des stratégies basées sur les activités, puis définir ce dont voulez être alerté pour y réagir.You can create policies based on the activities and then define what you want to be alerted about and act on. Vous pouvez également rechercher des activités effectuées sur certains fichiers.You can also search for activities performed on certain files. Les types d’activités et les informations que nous obtenons pour chaque activité varient selon l’application et le genre de données que l’application peut fournir.The type of activities and the information we get for each activity depends on the app and what kind of data the app can provide.

Par exemple, vous pouvez utiliser le journal d’activité pour trouver les utilisateurs de votre organisation qui utilisent des systèmes d’exploitation ou des navigateurs obsolètes. Pour cela, procédez comme suit : après avoir connecté une application à Cloud App Security dans la page Journal d’activité, utilisez le filtre avancé et sélectionnez l’étiquette Agent utilisateur.For example, you can use the Activity log to find users in your organization who are using operating systems or browsers that are out of date, as follows: After you connect an app to Cloud App Security in the Activity log page, use the advanced filter and select User agent tag. Sélectionnez ensuite Navigateur obsolète ou Système d’exploitation obsolète.Then select Outdated browser or Outdated operating system.

Exemple de navigateur obsolète dans une activité

Si vous voulez vérifier s’il y a des accès à des fichiers confidentiels depuis l’extérieur de votre organisation, définissez le filtre Objet d’activité pour rechercher Étiquette de classification et sélectionnez l’étiquette Confidentiel.If you want to check whether there are confidential files accessed outside your organization, set the Activity object filter to search for Classification label and select the confidential label. Définissez le filtre Adresse IP pour une rechercher sur Catégorie et excluez les adresses IP de votre bureau (les catégories d’adresses IP peuvent être configurées dans le menu Paramètres.Set the IP address filter to search for Category and exclude your office IP addresses (IP categories can be configured in the Settings menu). Vous pouvez cliquer sur Nouvelle stratégie à partir de la recherche pour créer une stratégie d’activité en fonction des filtres que vous avez définis et pour notifier automatiquement les utilisateurs.You can click New policy from search to create an activity policy based on the filters you defined, and automatically notify the users.

Exemple d’activité Fichiers confidentiels externes

Le filtre de base fournit des outils efficaces pour démarrer vos activités de filtrage.The basic filter provides you with great tools to get started filtering your activities.

filtre de base du journal d’activité

Pour explorer des activités plus spécifiques, vous pouvez développer le filtre de base en cliquant sur Avancé.To drill down into more specific activities, you can expand the basic filter by clicking Advanced.

filtre avancé du journal d’activité

Filtres d’activitéActivity filters

Vous trouverez ci-dessous une liste des filtres d’activité qui peuvent être appliqués.Following is a list of the activity filters that can be applied. La plupart des filtres prennent en charge plusieurs valeurs, ainsi que NOT, afin de vous fournir un outil puissant pour créer des stratégies.Most filters support multiple values as well as NOT, in order to provide you with a powerful tool for policy creation.

  • ID activité : Recherchez uniquement des activités spécifiques par leur ID.Activity ID - Search only for specific activities by their ID. Ce filtre est utile quand vous connectez Cloud App Security à votre SIEM (à l’aide de l’agent SIEM) et que vous voulez examiner davantage les alertes dans le portail Cloud App Security.This filter is useful when you connect Cloud App Security to your SIEM (using the SIEM agent), and you want to further investigate alerts within the Cloud App Security portal.

  • Objets d’activité : Recherchez les objets sur lesquels l’activité a été effectuée.Activity objects – Search for the objects the activity was performed on. Ce filtre s’applique aux objets fichier, dossier, utilisateur ou application.This filter applies to file, folder, user, or app objects.

    • ID de l’objet d’activité : ID de l’objet (fichier, dossier, utilisateur ou application).Activity object ID - the ID of the object (file, folder, user or app ID).
    • Élément : vous permet de rechercher par nom ou par ID d’objet d’activité (par exemple des noms d’utilisateur, des fichiers, des paramètres, des sites).Item - Enables you to search by the name or ID of any activity object (for example: user names, files, parameters, sites). Pour le filtre Élément d’objet d’activité, vous pouvez choisir de filtrer les éléments qui contiennent, sont égaux ou commencent par l’élément spécifique.For the Activity object Item filter, you can select whether you want to filter for items that Contain, Equal, or Starts with the specific item.
  • Type d’activité : Recherchez l’activité de l’application.Activity type - Search for the app activity.

  • Type d’activité (préversion) : En cours de lancement. Permet de rechercher une activité de l’application avec plus de précision, en utilisant la catégorie ou le nom de l’activité que l’application fournit directement.Activity type (preview)- Currently being rolled out. Enables you to search for the app activity with greater granularity, using either the activity category, or the activity name provided directly by the app.

  • Activité administrative : Recherchez uniquement les activités administratives.Administrative activity – Search only for administrative activities.

  • ID d’alerte - Recherchez par ID d’alerte.Alert ID - Search by alert ID.

  • Application : Recherchez uniquement des activités au sein d’applications spécifiques.App – Search only for activities within specific apps.

  • Action appliquée : Recherchez par action de gouvernance appliquée (Bloqué, Proxy de contournement, Déchiffré, Chiffré, Échec du chiffrement, Aucune action).Applied action - Search by governance action applied: Blocked, Bypass proxy, Decrypted, Encrypted, Encryption failed, No action.

  • Date : Date à laquelle l’activité s’est produite.Date – The date when the activity occurred. Le filtre prend en charge des dates antérieures/ultérieures ainsi qu’une plage de dates.Filter supports before/after dates as well as date range.

  • Description : Mot clé spécifique dans la description de l’activité, par exemple, toutes les activités qui contiennent la chaîne utilisateur dans leur description.Description – Specific keyword in the activity description, for example, all activities that include the string user in their description.

  • Balise de l’appareil : Recherchez par appareil conforme, géré ou vérifié.Device tag - Search by compliant, managed or verified device.

  • Type d’appareil : Recherchez uniquement les activités qui ont été effectuées à l’aide d’un type d’appareil spécifique, par exemple toutes les activités des appareils mobiles, PC ou tablettes.Device type - Search only for activities that were performed using a specific device type, for example, all activities from mobile devices, PCs or Tablets.

  • Adresse IP : adresse IP brute, catégorie IP ou balise IP à partir de laquelle l’activité a été réalisée.IP address – The raw IP address, category, or tag from which the activity was performed.

    • Adresse IP brute : Vous permet de rechercher des activités qui ont été réalisées sur ou par des adresses IP brutes qui sont égales à/ne sont pas égales à ou commencent par/ne commencent pas par une séquence particulière, ou des adresses IP brutes qui sont définies/ne sont pas définies.Raw IP address - Enables you to search for activities that were performed on or by raw IP addresses that equal, don't equal or start with or don't start with a particular sequence, or raw IP addresses that are or are not set.
    • Catégorie IP : Catégorie de l’adresse IP à partir de laquelle l’activité a été réalisée, par exemple, toutes les activités de la plage d’adresses IP administratives.IP category - The category of the IP address from which the activity was performed, for example, all activities from administrative IP address range. Les catégories doivent être configurées de façon à inclure les adresses IP appropriées, à l’exception de la catégorie « Risqué », qui est préconfigurée et inclut deux balises IP : Proxy anonyme et Tor.The categories need to be configured to include the relevant IP addresses, except for the "Risky" category that is pre-configured and includes two IP tags - Anonymous proxy and Tor. Pour découvrir comment configurer les catégories IP, consultez Organiser les données selon vos besoins.To learn how to configure the IP categories, see Organize the data according to your needs.
    • Balise IP : Balise de l’adresse IP à partir de laquelle l’activité a été exécutée, par exemple toutes les activités des adresses IP de proxy anonyme.IP tag - The tag of the IP address from which the activity was performed, for example, all activities from anonymous proxy IP addresses. Cloud App Security crée un ensemble de balises IP prédéfinies qui ne sont pas configurables.Cloud App Security creates a set of built-in IP tags that are not configurable. Vous pouvez aussi configurer vos propres balises IP.In addition, you can configure your own IP tags. Pour plus d’informations sur la configuration de vos propres balises IP, consultez Organiser les données selon vos besoins.For more information about configuring your own IP tags, see Organize the data according to your needs. Les balises IP prédéfinies sont les suivantes :The built-in IP tags include:
    • Applications Microsoft (14 applications)Microsoft apps (14 of them)
    • Proxy anonymeAnonymous proxy
    • Botnet (vous voyez que l’activité a été effectuée par un botnet avec un lien qui vous permet d’en savoir plus sur le botnet spécifique)Botnet (you see that the activity was performed by a botnet with a link to learn more about the specific botnet)
    • Adresse IP d’analyse du darknetDarknet scanning IP
    • Serveur de commande et contrôle de programmes malveillantsMalware C&C server
    • Analyseur de connectivité à distanceRemote Connectivity Analyzer
    • Fournisseurs par satelliteSatellite providers
    • Proxy intelligent et proxy d’accès (délibérément omis)Smart proxy and access proxy (left out on purpose)
    • Nœuds de sortie TorTor exit nodes
    • ZscalerZscaler
  • Activité représentée : Recherchez uniquement les activités qui ont été effectuées au nom d’un autre utilisateur.Impersonated activity – Search only for activities that were performed in the name of another user.

  • Emplacement : Pays à partir duquel l’activité a été effectuée.Location – The country from which the activity was performed.

  • Stratégie correspondante : Recherchez les activités qui correspondent à une stratégie spécifique qui a été définie dans le portail.Matched policy – Search for activities that matched on a specific policy that was set in the portal.

  • ISP enregistré : Fournisseur de services Internet à partir duquel l’activité a été effectuée.Registered ISP – The ISP from which the activity was performed.

  • Source : Effectuez la recherche en fonction de la source à partir de laquelle l’activité a été détectée.Source - Search by the source from which the activity was detected. La source peut être l’une des suivantes :Can be any of the following sources:

    • Connecteur d’application : journaux provenant directement du connecteur d’API de l’application.App connector - logs coming directly from the app’s API connector.
    • Analyse du connecteur d’application : enrichissements de Cloud App Security basés sur l’analyse des informations par le connecteur d’API.App connector analysis - Cloud App Security enrichments based on information scan by the API connector.
  • Utilisateur : utilisateur qui a exécuté l’activité, qui peut être filtré en domaine, groupe, nom ou organisation.User – The user who performed the activity, which can be filtered into domain, group, name, or organization. Pour filtrer les activités sans utilisateur spécifique, vous pouvez utiliser l’opérateur « n’est pas défini ».In order to filter activities with no specific user, you can use the ‘is not set’ operator.

    • Domaine de l’utilisateur : Recherchez un domaine utilisateur spécifique.User domain - Search for a specific user domain.
    • Organisation utilisateur : Unité d’organisation de l’utilisateur qui a effectué l’activité, par exemple toutes les activités effectuées par les utilisateurs EMEA_marketing.User organization – The organizational unit of the user who performed the activity, for example, all activities performed by EMEA_marketing users.
    • Groupe d’utilisateurs : Groupes d’utilisateurs spécifiques que vous pouvez importer à partir d’applications connectées, par exemple, les administrateurs Office 365.User group – Specific user groups that you can import from connected apps, for example, Office 365 administrators.
    • Nom d’utilisateur : Recherchez un nom d’utilisateur spécifique.User name - Search for a specific username. Pour afficher la liste des utilisateurs membres d’un groupe d’utilisateurs spécifique, dans le tiroir Activité, cliquez sur le nom du groupe d’utilisateurs.To see a list of users in a specific user group, in the Activity drawer, click on the name of the user group. Vous accédez alors à la page Comptes qui liste tous les utilisateurs figurant dans le groupe.This takes you to the Accounts page that lists all the users in the group. À partir de cette page, vous pouvez explorer plus en détail les comptes d’utilisateurs spécifiques dans le groupe.From there, you can drill down into the details of the accounts of specific users in the group.
      • Vous pouvez affiner les filtres Groupe d’utilisateurs et Nom d’utilisateur en choisissant le filtre En tant que, puis en sélectionnant le rôle de l’utilisateur parmi les rôles suivants :The User group and User name filters can be further filtered by using the As filter, and selecting the role of the user, which can be any of the following:
        • Objet d’activité uniquement : cela signifie que l’utilisateur ou le groupe d’utilisateurs sélectionné n’a pas effectué l’activité en question, mais qu’il était l’objet de l’activitéActivity object only - this means that the user or user group selected did not perform the activity in question, they were the object of the activity
        • Acteur uniquement : cela signifie que l’utilisateur ou le groupe d’utilisateurs a effectué l’activitéActor only - this means that the user or user group performed the activity
        • N’importe quel rôle : cela signifie que l’utilisateur ou le groupe d’utilisateurs a participé à l’activité, soit en effectuant l’activité, soit en étant l’objet de l’activitéAny role - this means that the user or user group were involved in the activity, either as the person who performed the activity or as the object of the activity
  • Agent utilisateur : Agent utilisateur à partir duquel l’activité a été effectuée.User agent – The user agent of from with the activity was performed.

  • Étiquette agent utilisateur : Balise d’agent utilisateur intégrée, par exemple toutes les activités d’un navigateur obsolète ou d’anciens systèmes d’exploitation.User agent tag – Built-in user agent tag, for example, all activities from an outdated browser or outdated operating systems.

Note

Si vous voulez effacer les filtres, vous pouvez le faire à tout moment en cliquant sur l’icône d’effacement des filtres icône d’effacement des filtres.If at any point you want to clear the filters, you can do so by clicking the clear filters icon clear filters icon.

Tiroir ActivitéThe Activity drawer

Travailler avec le tiroir ActivitéWorking with the Activity drawer

Vous pouvez afficher plus d’informations supplémentaires sur chaque activité en cliquant sur l’activité elle-même dans le journal d’activité.You can view more information about each activity, by clicking on the Activity itself in the Activity log. Cette opération ouvre le tiroir Activité qui contient les actions et insights supplémentaires suivants pour chaque activité :This opens the Activity drawer that provides the following additional actions and insights for each activity:

  • Stratégies correspondantes : Cliquez sur le lien Stratégies correspondantes pour afficher la liste des stratégies que cette activité a mises en correspondance.Matched policies: Click on the Matched policies link to see a list of policies this activity matched.
  • Afficher les données brutes : Cliquez sur Afficher les données brutes pour afficher les données réelles reçues de l’application.View raw data: Click on View raw data to see the actual data that was received from the app.
  • Utilisateur : Cliquez sur l’utilisateur pour afficher la page utilisateur de l’utilisateur ayant réalisé l’activité.User: Click on the user to view the user page for the user who performed the activity.
  • Type d’appareil : Cliquez sur le type d’appareil pour afficher les données d’agent utilisateur brutes.Device type: Click on device type to view the raw user agent data.
  • Emplacement : Cliquez sur l’emplacement pour afficher l’emplacement dans des cartes Bing.Location: Click on the location to view the location in Bing maps.
  • Catégorie d’adresse IP et balises : Cliquez sur la balise IP pour afficher la liste des balises IP trouvées dans cette activité.IP address category and tags: Click on the IP tag to view the list of IP tags found in this activity. Vous pouvez ensuite filtrer selon toutes les activités correspondant à cette balise.You can then filter by all activities matching this tag.

    Les champs du tiroir d’activité fournissent des liens contextuels vers des fichiers supplémentaires et permettent d’effectuer un zoom avant, directement dans le tiroir.The fields in the Activity drawer provide contextual links to additional activities and drill downs you may want to perform from the drawer directly. Par exemple, si vous déplacez votre curseur à côté de la catégorie d’adresse IP, vous pouvez utiliser l’icône ajouter au filtre ajouter au filtre pour ajouter l’adresse IP immédiatement au filtre de la page actuelle.For example, if you move your cursor next to the IP address category, you can use the add to filter icon add to filter to add the IP address immediately to the filter of the current page. Vous pouvez également utiliser l’icône de roue dentée paramètres icône paramètres qui s’affiche pour accéder directement à la page des paramètres nécessaire pour modifier la configuration de l’un des champs, par exemple les groupes d’utilisateurs.You can also use the settings cog icon settings icon that pops up to arrive directly at the settings page necessary to modify the configuration of one of the fields, such as User groups.

    Vous pouvez aussi utiliser les icônes au sommet de l’onglet pour :You can also use the icons at the top of the tab to:

    • Afficher des activités du même typeView activities of the same type
    • Afficher toutes les activités du même utilisateurView all activities of the same user
    • Afficher les activités à partir de la même adresse IPView activities from the same IP address
    • Afficher les activités à partir du même emplacement géographiqueview activities from the same geographic location
    • Afficher les activités dans la même période (48 heures)View activities from the same time period (48 hours)

tiroir activitéactivity drawer

Pour obtenir la liste des actions de gouvernance disponibles, consultez Actions de gouvernance des activités.For a list of governance actions available, see Activity governance actions.

Insights utilisateurUser insights

L’expérience d’investigation comprend des insights prêts à l’emploi sur l’utilisateur responsable de l’action.The investigation experience includes out-of-the-box insights about the acting user. En un seul clic, vous pouvez obtenir une vue d’ensemble complète de l’utilisateur, notamment l’endroit à partir duquel il s’est connecté, le nombre d’alertes ouvertes qui le concernent et ses informations de métadonnées.With a single click, you can get a comprehensive overview of the user including which location they connected from, how many open alerts are they are involved with and their metadata information.

Pour afficher les insights utilisateur :To view user insights:

  1. Cliquez sur l’activité elle-même dans le Journal d’activité.Click on the Activity itself in the Activity log.

  2. Ensuite, cliquez sur l’onglet Utilisateur.Then click on the User tab.
    Cette opération ouvre l’onglet Utilisateur du tiroir Activité qui fournit les insights suivants sur l’utilisateur :This opens the Activity drawer User tab provides the following insights about the user:

    • Alertes ouvertes : Nombre d’alertes ouvertes concernant l’utilisateur.Open alerts: The number of open alerts that involved the user.
    • Violation de fichiers : Nombre de violations des fichiers appartenant à l’utilisateur.File violation: The number of file violations for files owned by the user.
    • Activités : Nombre d’activités effectuées par l’utilisateur au cours des 30 derniers jours.Activities: The number of activities performed by the user in the past 30 days.
    • Pays : Nombre de pays à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours.Countries: The number of countries the user connected from in the past 30 days.
    • ISP : Nombre d’ISP à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours.ISPs: The number of ISPs the user connected from in past 30 days.
    • Adresses IP : Nombre d’adresses IP à partir desquelles l’utilisateur s’est connecté au cours des 30 derniers jours.IP addresses: The number of IP addresses the user connected from in past 30 days.

insights sur l’utilisateur dans Cloud App Security

Insights sur l’adresse IPIP address insights

Parce que les informations d’adresse IP sont essentielles dans la quasi-totalité des examens, vous pouvez afficher les informations détaillées des adresses IP dans le tiroir Activité.Because IP address information is crucial for almost all investigations, you can view detailed information about IP addresses in the Activity drawer. Dans une activité spécifique, vous pouvez cliquer sur l’onglet Adresse IP pour afficher des données consolidées concernant l’adresse IP, y compris le nombre d’alertes actives pour l’adresse IP spécifique, un graphique de tendance de l’activité récente et une carte d’emplacement.From within a specific activity, you can click on the IP address tab to view consolidated data about the IP address including the number of open alerts for the specific IP address, a trend graph of recent activity and a location map. Cela vous permet de faire des examens approfondis, par exemple, quand vous recherchez la cause d’alertes Voyage impossible, vous pouvez facilement déterminer où a été utilisée l’adresse IP et si elle a été impliquée ou non dans des activités suspectes.This enables easy drill down, for example when investigating impossible travel alerts, you can easily understand where the IP address was used and if it was involved in suspicious activities or not. Vous pouvez également effectuer des actions directement dans le tiroir Adresse IP, où vous pouvez marquer une adresse IP comme étant risquée, VPN ou d’entreprise pour faciliter par la suite l’examen et la création de stratégie.You can also perform actions directly in the IP address drawer that enable you to tag an IP address as risky, VPN, or corporate to ease future investigation and policy creation.

Pour afficher les insights sur l’adresse IP :To view IP address insights:

  1. Cliquez sur l’activité elle-même dans le Journal d’activité.Click on the Activity itself in the Activity log.

  2. Ensuite, cliquez sur l’onglet Adresse IP.Then click on the IP address tab.
    Cette opération ouvre l’onglet Adresse IP du tiroir Activité qui fournit les insights suivants sur l’adresse IP :This opens the Activity drawer IP address tab, which provides the following insights about the IP address:

    • Alertes ouvertes : Nombre d’alertes ouvertes concernant l’adresse IP.Open alerts: The number of open alerts that involved the IP address.
    • Activités : Nombre d’activités effectuées par l’adresse IP au cours des 30 derniers jours.Activities: The number of activities performed by the IP address in the past 30 days.
    • Emplacement IP : Emplacements géographiques à partir desquels l’adresse IP s’est connectée au cours des 30 derniers jours.IP location: The geographic locations from which the IP address connected from in the past 30 days.
    • Activités : Nombre d’activités effectuées à partir de l’adresse IP au cours des 30 derniers jours.Activities: The number of activities performed from this IP address in past 30 days.
    • Activités administratives : Nombre d’activités administratives effectuées à partir de l’adresse IP au cours des 30 derniers jours.Admin activities: The number of administrative activities performed from this IP address in past 30 days.
    • Vous pouvez effectuer les actions d’adresse IP suivantes :You can perform the following IP address actions:
      • Marquer comme adresse IP risquéeTag as risky
      • Marquer comme adresse IP VPNTag as VPN IP address
      • Marquer comme adresse IP risquée et l’ajouter à un groupe bloquéTag as Risky IP and add to blocked group

Insights sur l’adresse IP dans Cloud App Security

Voir aussiSee Also

Activités quotidiennes pour protéger votre environnement cloud Daily activities to protect your cloud environment
Pour obtenir du support technique, consultez la page Support assisté Cloud App Security. For technical support, visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.