Stratégie de détection d’anomalieAnomaly detection policy

Cet article fournit des informations de référence sur les stratégies, donne une explication de chaque type de stratégie et décrit les champs que vous pouvez configurer pour chacune d’elle.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Une fois votre organisation protégée par Cloud App Security, toute l’activité cloud est évaluée en fonction de différents facteurs de risque prédéfinis.After your organization is protected by Cloud App Security, all cloud activity is scored according to various pre-defined risk factors. Cloud App Security examine chaque session utilisateur sur votre cloud, puis prend en considération les facteurs de risque que vous définissez ici afin d’être averti en cas d’événement anormal par rapport aux activités de référence ou habituelles de votre organisation ou de l’utilisateur.Cloud App Security looks at every user session on your cloud and then takes into consideration the risk factors you set here to alert you when something happens that is different from either the baseline of your organization or from the user's regular activity. La page Stratégie de détection d’anomalie vous permet de configurer et de personnaliser les familles de facteurs de risque à prendre en compte dans le processus d’évaluation des risques.The anomaly detection policy page allows you to configure and customize which risk factor families will be considered in the risk scoring process. Vous pouvez adapter la stratégie en fonction de l’utilisateur, de l’emplacement ou du secteur de l’organisation.The policies can be enforced differently for different users, locations, and organizational sectors. Par exemple, vous pouvez créer une stratégie qui vous avertit quand des membres de votre équipe informatique sont actifs en dehors de vos bureaux.For example, you can create a policy that alerts you when members of your IT team are active from outside your offices.

Cloud App Security passe par une période d’apprentissage initiale de 7 jours au cours de laquelle il ne signale pas les nouveaux utilisateurs, activités, appareils ni emplacements comme anormaux.Cloud App Security has an initial learning period of 7 days during which it does not flag any new users, activity, devices or locations as anomalous. Après cela, chaque session est comparée aux activités (activité des utilisateurs, adresses IP, appareils, etc.) détectées au cours du mois passé et à l’indice de risque de ces activités.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Utilisez le curseur de sensibilité de la stratégie pour définir l’indice de risque minimal à partir duquel les alertes seront déclenchées.Use the sensitivity slider in the policy to set the minimum risk score from which alerts will be triggered. Quand vous créez une stratégie de détection d’anomalie, il est recommandé d’utiliser le seuil de sensibilité par défaut pendant une semaine avant de le modifier selon le nombre d’alertes reçues ; Cloud App Security vous envoie plus ou moins d’alertes pour les différents indices de risque quand vous modifiez le niveau de sensibilité.It is recommended that when you create an anomaly policy, use the default sensitivity threshold for a week, before you change it in accordance with the number of alerts you received, Cloud App Security will send you more or fewer alerts for various risk scores when you change the sensitivity.

curseur de sensibilité

Pour configurer une stratégie de détection d’anomalie :To configure an anomaly detection policy:

  1. Dans la console, cliquez sur Contrôle, puis sur Stratégies.In the console, click on Control followed by Policies.

  2. Cliquez sur Créer une stratégie et sélectionnez Stratégie de détection d’anomalie.Click Create policy and select Anomaly detection policy.

    menu Stratégie de détection d’anomalieAnomaly detection policy menu

  3. Indiquez le nom et la description de la stratégie et passez au champ Filtres d’activité où vous pouvez choisir l’activité pour laquelle vous souhaitez appliquer la stratégie.Fill in the policy's name and description, and continue to the Activity filters field where you can choose the activity for which you wish to apply the policy.

  4. Donnez à votre stratégie un nom et une description. Si vous le souhaitez, vous pouvez la baser sur un modèle ; pour plus d’informations sur les modèles de stratégie, consultez Contrôler les applications cloud avec des stratégies.Give your policy a name and description, if you want you can base it on a template, for more information on policy templates, see Control cloud apps with policies.

  5. Pour appliquer la stratégie à toutes les activités dans votre environnement cloud, sélectionnez Toutes les activités surveillées.To apply the policy to all activities in your cloud environment, select All monitored activity. Pour limiter la stratégie à des types d’activités spécifiques, choisissez Activité sélectionnée.To limit the policy to specific types of activities, choose Selected activity. Cliquez sur Ajouter des filtres et définissez les paramètres appropriés en fonction desquels filtrer l’activité.Click on Add filters and set the appropriate parameters by which to filter the activity. Par exemple, pour appliquer la stratégie uniquement sur une activité effectuée par les administrateurs Salesforce, vous choisissez l’étiquette utilisateur correspondante.For example, to enforce the policy only on activity performed by Salesforce admins, choose this user tag.

  6. En dessous de ce champ, définissez les Facteurs de risque.Underneath this field set the Risk factors. Vous pouvez choisir les familles de risques à prendre en compte pour le calcul de l’indice de risque.You can choose which risk families you want to consider while calculating the risk score. À droite de la ligne, vous pouvez utiliser le bouton Activer/Désactiver pour activer ou désactiver les différents risques.On the right of the row you can use the On/Off button to enable and disable the various risks. En outre, pour plus de précision, vous pouvez choisir l’activité sur laquelle activer chaque famille de risques particulière.Additionally, for greater granularity, you can choose the activity on which to enable each particular risk family.

    Les facteurs de risque sont les suivants :Risk factors are as follows:

    • Échecs de connexion : Des utilisateurs se connectent-ils sans succès plusieurs fois pendant une courte période ?Login failures: Are users attempting to log in and failing multiple times over a short period?

    • Activité administrative : Des administrateurs utilisent-ils leurs comptes privilégiés pour se connecter à partir des emplacements inhabituels ou à des heures inhabituelles ?Admin activity: Are admins using their privileged accounts to log in from unusual locations or at strange hours?

    • Comptes inactifs : Existe-t-il une activité soudaine sur un compte qui n’a pas été utilisé pendant un certain temps ?Inactive accounts: Is there suddenly activity on an account that hasn't been in use for some time?

    • Lieu : Y a-t-il une activité dans un emplacement inhabituel, suspect ou nouveau ?Location: Is there activity in an unusual, suspicious or new location?

    • Voyage impossible : Un utilisateur se connecte-t-il depuis Denver, puis dix minutes plus tard depuis Paris ?Impossible travel: Is a user logging in from Denver and ten minutes later logging in from Paris?

    • Agent Appareil et utilisateur : Existe-t-il une activité à partir d’un appareil non reconnu ou non géré ?Device and user agent: Is there activity from an unrecognized or unmanaged device?

    • Taux d’activité : L’activité augmente-t-elle soudainement sur une application donnée ?Activity rate: Is there suddenly a lot of activity on a particular app? Constatez-vous des téléchargements ou suppressions conséquents, un grand nombre de fichiers partagés ou de nombreuses activités d’administration inattendues ?Are there large downloads or deletes, or mass number of files shared or a lot of unexpected admin activity?

      Vous pouvez utiliser ces paramètres pour définir des scénarios complexes, par exemple, pour exclure la plage d’adresses IP de votre bureau des facteurs de risque pris en compte pour la détection d’anomalies ou pour créer une étiquette « Plage IP du bureau » spécifique et exclure la plage des paramètres pris en compte.You can use these parameters to define complex scenarios, for example, to exclude your office's IP range from the considered risk factors for anomaly detection, create a specific "office IP" tag and filter the range out of the considered parameters. Pour exclure la plage ainsi créée de la détection d’anomalie dans l’activité administrative, procédez comme suit :To then exclude the range you created from the admin activity anomaly detection:

    • Dans Type de risque, recherchez Activité administrative.Within Risk type, find Admin activity.

    • Définissez Appliquer à sur Activité sélectionnée.Change Apply to to Selected Activity.

    • Sous Filtres d’activité, définissez Appliquer à sur Activité sélectionnée et sous Activités remplissant toutes les conditions suivantes, choisissez Activité administrative est Vrai.Under Activity filters, set Apply to to Selected activity and under Activities matching all of the following, choose Administrative activity is True.

    • Cliquez sur l’icône + et sélectionnez Étiquette IP n’est pas égal à et sélectionnez la balise Plage IP du bureau.Click on the + icon and select IP tag does not equal and select the Office IP tag.

  7. Sous Sensibilité, sélectionnez la fréquence à laquelle vous souhaitez recevoir les alertes.Under Sensitivity, select how often you want to receive alerts.

    La valeur de la sensibilité détermine le nombre d’alertes hebdomadaires déclenchées en moyenne par tranche de 1 000 utilisateurs.The sensitivity value will determine how many weekly alerts will trigger on average for every 1,000 users.

    adresses IP de détection des anomaliesanomaly detection IPs

  8. Cliquez sur Créer.Click Create.

Informations de référence sur les stratégies de détection d’anomalieAnomaly detection policy reference

Une stratégie de détection d’anomalie vous permet d’installer et de configurer une surveillance continue de l’activité des utilisateurs afin de détecter d’éventuelles anomalies de comportement.An anomaly detection policy enables you to setup and configure continuous monitoring of user activity for behavioral anomalies. Ces anomalies sont détectées en analysant l’activité des utilisateurs.Anomalies are detected by scanning user activity. Le risque est évalué en examinant plus de 30 indicateurs de risque différents, regroupés en 6 facteurs de risque.The risk is evaluated by looking at over 30 different risk indicators, grouped into 6 risk factors. Selon les résultats de la stratégie, des alertes de sécurité sont déclenchées.Based on the policy results, security alerts are triggered.
Chaque stratégie comprend les éléments suivants :Each policy is composed of the following parts:

  • Filtres d’activité : Vous permettent d’analyser de manière sélective uniquement l’activité filtrée des utilisateurs afin de détecter d’éventuelles anomalies.Activity filters – Enable you to selectively scan only filtered user activity for anomalies.

  • Facteurs de risque : Vous permettent de choisir les facteurs de risque à inclure lors de l’évaluation des risques.Risk factors – Enable you to choose which risk factors to include when evaluating risk.

  • Sensibilité : Vous permet de définir le nombre d’alertes que la stratégie doit déclencher.Sensitivity – Enable you to set how many alerts the policy should trigger.

Filtres d’activitéActivity filters

Pour obtenir une liste des filtres d’activité, voir entrer la description du lien ici.For a list of Activity filters, see enter link description here.

Facteurs de risqueRisk factors

Voici la liste des facteurs de risque pris en compte lors de l’évaluation du risque lié à l’activité des utilisateurs.Below is a list of the risk factors which are considered when evaluating the risk of user activity. Chaque facteur de risque peut être activé ou désactivé.Each risk factor can be toggled on or off. Pour chaque facteur de risque, il existe deux options sous le champ Appliquer à, qui déterminent leur inclusion ou exclusion lors de l’évaluation du risque lié à l’activité des utilisateurs :For each risk factor there are two options under the Apply to field, which determine whether to include it when evaluating the risk of user activity:

  • Toutes les activités surveillées : Incluez le facteur de risque pour toutes les activités des utilisateurs qui passent le filtre d’activité de stratégie.All monitored activity – include it for all user activity which passes the policy activity filter.

  • Activité sélectionnée : Incluez le facteur de risque pour les activités des utilisateurs qui passent à la fois les filtres d’activité de stratégie et les filtres d’activité qui s’affichent sous ce facteur de risque.Selected activity – include it for user activity which passes both the policy activity filters and the activity filters that appear under this risk factor. Lorsque cette option est sélectionnée, un sélecteur de filtre d’activité apparaît sous le facteur de risque, lequel fonctionne exactement comme le filtre d’activité de stratégie.When this option is selected an activity filter selector appears under the risk factor, which works exactly the same as the policy activity filter.

Chaque facteur de risque, s’il est inclus dans l’évaluation des risques, a ses propres déclencheurs qui entraînent une augmentation du risque évalué lié à l’activité des utilisateurs :Each risk factor, when included in the risk evaluation, has its own triggers that cause an increase in the evaluated risk of user activity:

  • Échecs de connexion : Nombre élevé d’échecs de connexion ou activité entièrement composée d’échecs de connexion.Login failures – a high number of login failures or activity comprised entirely of login failures.

  • Activité administrative : Activité administrative effectuée par un utilisateur inattendu, ou à partir d’une adresse IP, d’un fournisseur de services Internet ou d’un emplacement qui sont nouveaux ou non utilisés par d’autres utilisateurs de l’organisation.Admin activity - administrative activity performed by an unexpected user, or performed from an IP, ISP or location which are new, or not used by any other user in the organization.

  • Comptes inactifs : Activité effectuée par un utilisateur qui n’a pas été actif depuis un long moment.Inactive accounts - activity performed by a user which was not active for a long time.

  • Emplacement : Activité effectuée à partir d’une adresse IP, d’un fournisseur de services Internet ou d’un emplacement qui n’ont jamais été utilisés par un autre utilisateur, jamais été utilisés par cet utilisateur particulier, jamais été utilisés du tout ou utilisés uniquement pour des échecs de connexion par le passé.Location - activity performed from an IP, ISP or location which were either never used by any other user, never used by this particular user, never used at all, or used only for login failures in the past.

  • Voyage impossible : Activité à partir d’emplacements distants pendant un laps de temps court.Impossible travel - activity from remote locations within a short time.

  • Agent Appareil et utilisateur : Activité effectuée par un utilisateur à l’aide d’un agent utilisateur ou d’un appareil qui n’ont jamais été utilisés par un autre utilisateur, jamais été utilisés par cet utilisateur particulier ou jamais été utilisés du tout.Device and user agent - activity performed by a user using a user agent or device which were either never used by any other user, never used by this particular user or never used at all.

  • Taux d’activité : activités répétées effectuées par un utilisateur sur une courte période.Activity rate - repeated activities performed by a user within a short period.

SensibilitéSensitivity

Il existe deux façons de contrôler le nombre d’alertes déclenchées par la stratégie :There are two ways to control the number of alerts triggered by the policy:

  • Curseur Sensibilité : Choisissez le nombre d’alertes à déclencher pour 1 000 utilisateurs par semaine.Sensitivity slider – choose how many alerts to trigger per 1,000 users per week. Les alertes liées aux activités dont le risque est le plus élevé sont déclenchées.The alerts will be triggered of the activities with the highest risk.

  • Limite d’alerte quotidienne : Restreignez le nombre d’alertes générées sur une journée.Daily alert limit – restrict the number of alerts raised on a single day.

Voir aussiSee Also

Activités quotidiennes pour protéger votre environnement cloud Daily activities to protect your cloud environment
Pour obtenir un support technique, visitez la page de support assisté Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.