S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Obtenir instantanément une détection des anomalies et une analytique comportementaleGet instantaneous behavioral analytics and anomaly detection

Les stratégies de détection des anomalies de Microsoft Cloud App Security intègrent une analytique comportementale des utilisateurs et des entités (UEBA) et un apprentissage automatique (ML) pour vous permettre de lancer immédiatement une détection avancée des menaces dans tout votre environnement cloud.Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you can immediately run advanced threat detection across your cloud environment. Comme ces stratégies sont automatiquement activées, les nouvelles stratégies de détection des anomalies fournissent des résultats immédiats grâce à des détections immédiates, le ciblage de nombreuses anomalies comportementales au niveau des utilisateurs et des ordinateurs et périphériques connectés à votre réseau.Because they are automatically enabled, the new anomaly detection policies provide immediate results by providing immediate detections, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. En outre, les nouvelles stratégies exposent davantage de données à partir du moteur de détection de Cloud App Security afin d’accélérer le processus d’investigation, et contiennent des menaces permanentes.In addition, the new policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Les stratégies de détection des anomalies sont automatiquement activées, mais Cloud App Security comporte une période d’apprentissage initiale de sept jours, pendant laquelle les alertes de détection des anomalies ne sont pas toutes déclenchées.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. Après cela, chaque session est comparée aux activités (activité des utilisateurs, adresses IP, appareils, etc.) détectées au cours du mois passé et à l’indice de risque de ces activités.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Ces détections font partie du moteur de détection des anomalies global qui profile votre environnement et déclenchent des alertes suivant une base de référence qui a été définie par rapport à l’activité de votre organisation.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity. Ces détections tirent également parti des algorithmes d’apprentissage automatique conçus pour profiler les utilisateurs et le modèle d’ouverture de session afin de réduire les « faux positifs ».These detections also leverage machine learning algorithms designed to profile the users and log-on pattern to reduce false positives.

Ces anomalies sont détectées en analysant l’activité des utilisateurs.Anomalies are detected by scanning user activity. Le risque est évalué en examinant plus de 30 indicateurs de risque différents, regroupés en plusieurs facteurs de risque, comme suit :The risk is evaluated by looking at over 30 different risk indicators, grouped into multiple risk factors, as follows:

  • Adresse IP à risqueRisky IP address
  • Échecs de connexionLogin failures
  • Activité administrativeAdmin activity
  • Comptes inactifsInactive accounts
  • EmplacementLocation
  • Voyage impossibleImpossible travel
  • Agent Appareil et utilisateurDevice and user agent
  • Fréquence d'activitéActivity rate

Selon les résultats de la stratégie, des alertes de sécurité sont déclenchées.Based on the policy results, security alerts are triggered. Cloud App Security examine chaque session utilisateur sur votre cloud et vous alerte en cas d’événement anormal par rapport aux activités de référence ou habituelles de votre organisation ou de l’utilisateur.Cloud App Security looks at every user session on your cloud alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Vous pouvez afficher les stratégies de détection des anomalies dans le portail en cliquant sur Contrôle puis Stratégies.You can see the anomaly detection policies in the portal by clicking on Control and then Policies.

nouvelles stratégies de détection des anomalies

Les stratégies de détection d’anomalie suivantes sont disponibles :The following anomaly detection policies are available:

Voyage impossibleImpossible travel

  • Cette détection identifie deux activités de l’utilisateur (dans une ou plusieurs sessions) provenant d’emplacements éloignés sur une durée plus courte que la durée nécessaire à l’utilisateur pour aller du premier emplacement au second, ce qui indique qu’un autre utilisateur utilise les mêmes informations d’identification.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Cette détection s’appuie sur un algorithme d’apprentissage automatique qui ignore les « faux positifs » évidents contribuant à la condition de voyage impossible, comme les réseaux privés virtuels et les emplacements régulièrement utilisés par d’autres utilisateurs de l’organisation.This detection leverages a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. La détection a une période d’apprentissage initiale de sept jours au cours de laquelle elle apprend le modèle d’activité d’un nouvel utilisateur.The detection has an initial learning period of seven days during which it learns a new user’s activity pattern.

Activité à partir de pays peu fréquentsActivity from infrequent country

  • Cette détection prend en compte les emplacements d’activité précédents pour identifier les emplacements nouveaux et peu fréquentés.This detection considers past activity locations to determine new and infrequent locations. Le moteur de détection des anomalies stocke les informations sur les emplacements précédents employés par les utilisateurs de l’organisation.The anomaly detection engine stores information about previous locations used by users in the organization. Une alerte est déclenchée quand une activité se produit à partir d’un emplacement qui n’a pas été récemment visité ou qui ne l’a jamais été par l’utilisateur ou par aucun utilisateur de l’organisation.An alert is triggered when an activity occurs from a location that was not recently or never visited by the user or by any user in the organization.

Activité depuis des adresses IP anonymesActivity from anonymous IP addresses

  • Cette détection identifie que des utilisateurs étaient actifs à partir d’une adresse IP qui a été identifiée comme adresse IP proxy anonyme.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Ces proxys sont utilisés par des personnes qui veulent masquer l’adresse IP de leur appareil dans un but qui peut être malveillant.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent. Cette détection s’appuie sur un algorithme d’apprentissage automatique qui réduit les « faux positifs », comme les adresses IP mal balisées qui sont couramment utilisées par les utilisateurs de l’organisation.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Activité de ransomwareRansomware activity

  • Cloud App Security a étendu ses capacités de détection de ransomware à la détection d’anomalie pour garantir une couverture plus complète contre les attaques de ransomware complexes.Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. Fort de notre expertise en recherche dans la sécurité visant à identifier les modèles comportementaux qui reflètent des activités de ransomware, Cloud App Security assure une protection complète et solide.Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. Si Cloud App Security identifie, par exemple, un taux élevé de chargements de fichiers ou d’activités de suppression de fichiers, cela peut représenter un processus de chiffrement indésirable.If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. Ces données sont collectées dans les journaux reçus des API connectées, puis combinées avec des modèles comportementaux appris et des informations sur les menaces, par exemple, des extensions de ransomware.This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Pour plus d’informations sur la manière dont Cloud App Security détecte les ransomwares, consultez Protection de votre organisation contre les ransomwares.For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

Activité des utilisateurs en fin de contratTerminated user activity

  • Cette détection permet de déterminer si un employé en fin de contrat continue d’effectuer des actions sur vos applications SaaS.This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. Étant donné que les données montrent que le plus grand risque de menaces internes vient des employés partis en mauvais termes, il est important de garder un œil sur l’activité des comptes des employés dont le contrat de travail est terminé.Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it is important to keep an eye on the activity on accounts from terminated employees. Parfois, quand un employé quitte une entreprise, son compte est déprovisionné des applications d’entreprise, mais dans de nombreux cas, il conserve quand même un accès à certaines ressources de l’entreprise.Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. Ces menaces sont encore plus importantes quand il s’agit de comptes privilégiés, puisque le risque de dommage causé par un ancien administrateur est par définition plus élevé.This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. Cette détection exploite la capacité de Cloud App Security à surveiller le comportement de l’utilisateur dans toutes les applications, ce qui permet d’identifier l’activité normale de l’utilisateur, le fait que le compte a été résilié et l’activité réelle dans d’autres applications.This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. Par exemple, un employé dont le compte Azure AD a été résilié, mais qui a encore accès à l’infrastructure AWS de l’entreprise, est en mesure de provoquer des dégâts à grande échelle.For example, an employee who’s Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

Activité à partir d’adresses IP suspectesActivity from suspicious IP addresses

  • Cette détection identifie que des utilisateurs étaient actifs à partir d’une adresse IP qui a été identifiée comme à risque par Microsoft Threat Intelligence.This detection identifies that users were active from an IP address that has been identified as risky by Microsoft Threat Intelligence. Ces adresses IP sont impliquées dans des activités malveillantes, comme Botnet C&C, et peuvent être le signe de compte compromis.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Cette détection s’appuie sur un algorithme d’apprentissage automatique qui réduit les « faux positifs », comme les adresses IP mal balisées qui sont couramment utilisées par les utilisateurs de l’organisation.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Activités inhabituelles (par utilisateur)Unusual activities (by user)

Ces détections identifient les utilisateurs dans les cas suivants :These detections identify users who perform:

  • Plusieurs activités inhabituelles de téléchargement de fichiersUnusual multiple file download activities
  • Activités inhabituelles de partage de fichiersUnusual file share activities
  • Activités inhabituelles de suppression de fichiersUnusual file deletion activities
  • Activités inhabituelles d'emprunt d'identitéUnusual impersonated activities
  • Activités administratives inhabituellesUnusual administrative activities

Ces stratégies recherchent les activités dans une seule session en prenant en compte la base de référence apprise, ce qui peut indiquer une tentative de violation.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Ces détections s’appuient sur un algorithme d’apprentissage automatique qui profile le modèle de connexion des utilisateurs et réduit les « faux positifs ».These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Ces détections font partie du moteur de détection des anomalies global qui profile votre environnement et déclenchent des alertes suivant une base de référence qui a été définie par rapport à l’activité de votre organisation.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity.

Plusieurs tentatives de connexion infructueusesMultiple failed login attempts

  • Cette détection identifie des utilisateurs qui tentent de se connecter plusieurs fois sans succès dans une seule session en prenant en compte la base de référence apprise, ce qui peut indiquer une tentative de violation.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Délimiter des stratégies de détection d’anomalieScope anomaly detection policies

Chaque stratégie de détection d’anomalie peut être délimitée indépendamment. Vous pouvez donc inclure et exclure les utilisateurs et les groupes de votre choix.Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. Par exemple, vous pouvez configurer l’option Activité à partir de pays peu fréquents de manière à ignorer un utilisateur qui voyage fréquemment.For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

Pour délimiter une stratégie de détection d’anomalie :To scope an anomaly detection policy:

  1. Cliquez sur Contrôle > Stratégies, puis définissez le filtre Type sur Stratégie de détection d’anomalie.Click Control > Policies, and set the Type filter to Anomaly detection policy.
  2. Cliquez sur la stratégie que vous souhaitez délimiter.Click on the policy you want to scope.
  3. Sous Étendue, dans la liste déroulante, remplacez la valeur par défaut Tous les utilisateurs et groupes par Utilisateurs et groupes spécifiques.Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.
  4. Sélectionnez Inclure pour spécifier les utilisateurs et les groupes auxquels s’applique cette stratégie.Select Include to specify the users and groups for whom this policy will apply. Les utilisateurs et les groupes qui ne sont pas sélectionnés ici ne seront pas considérés comme une menace et ne généreront pas d’alerte.Any user or group not selected here will not be considered a threat and will not generate an alert.
  5. Sélectionnez Exclure pour spécifier les utilisateurs auxquels cette stratégie ne s’applique pas.Select Exclude to specify users for whom this policy will not apply. Les utilisateurs sélectionnés ici ne seront pas considérés comme une menace et ne généreront pas d’alerte, même s’ils sont membres de groupes qui ont été sélectionnés sous Inclure.Any user selected here will not be considered a threat and will not generate an alert, even if they are members of groups selected under Include.

Délimitation des stratégies de détection d’anomalie

Alertes de détection des anomalies de triageTriage anomaly detection alerts

Vous pouvez trier rapidement les diverses alertes déclenchées par les nouvelles stratégies de détection des anomalies afin de déterminer celles qui doivent être prises en charge en priorité.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Pour cela, vous avez besoin du contexte de l’alerte, et vous pouvez ainsi obtenir une vue plus globale et identifier si une action malveillante se produit effectivement.To do this, you need the context for the alert, so you are able to see the bigger picture and understand whether something malicious is indeed happening.

  1. Dans le journal d’activité, vous pouvez ouvrir une activité afin d’afficher son contenu.In the Activity log, you can open an activity to display the Activity drawer. Cliquez sur Utilisateur pour afficher l’onglet Insights utilisateur. Il inclut des informations telles que le nombre d’alertes, les activités, et les emplacements à partir desquels l’utilisateur s’est connecté, ce qui est important dans le cadre d’une enquête.Click on User to view the user insights tab. This includes information like number of alerts, activities, and where they have connected from, which is important in an investigation.

    alerte de détection des anomalies1 alerte de détection des anomalies1anomaly detection alert1 anomaly detection alert1

  2. Cela vous permet d’identifier les activités suspectes que l’utilisateur a effectuées et d’obtenir ainsi plus d’indices démontrant que le compte a été compromis.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Par exemple, une alerte sur plusieurs échecs de connexion peut en effet être suspecte et indiquer une éventuelle attaque par force brute, mais elle peut également signaler un problème de configuration d’application, transformant cette alerte en un « faux positif » bénin.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Mais si vous voyez une alerte d’échecs de connexion pour d’autres activités suspectes, la probabilité que le compte est compromis augmente.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. Dans l’exemple ci-dessous, vous pouvez voir que l’alerte Plusieurs tentatives de connexion infructueuses a été suivie par les alertes Activité à partir d’une adresse IP TOR et Activité de type Voyage impossible, deux indicateurs flagrants d’une compromission (IOCs).In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Si cela n’était pas assez suspect, vous pouvez constater que le même utilisateur a effectué une activité de téléchargement en masse, ce qui est souvent un indicateur qu’une personne malveillante tente d’exfiltrer des données.If this wasn’t suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    alerte de détection des anomalies1 alerte de détection des anomalies1anomaly detection alert1 anomaly detection alert1

Voir aussiSee Also

Activités quotidiennes pour protéger votre environnement cloudDaily activities to protect your cloud environment

Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.