Stratégie de détection des anomalies de Cloud DiscoveryCloud Discovery anomaly detection policy

Cet article fournit des informations de référence sur les stratégies, donne une explication de chaque type de stratégie et décrit les champs que vous pouvez configurer pour chacune d’elle.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Informations de référence sur les stratégies de détection d’anomalies de Cloud DiscoveryCloud discovery anomaly detection policy reference

Une stratégie de détection d’anomalie de Cloud Discovery vous permet de configurer une surveillance permanente des augmentations inhabituelles de l’utilisation des applications cloud.A Cloud discovery anomaly detection policy enables you to set up and configure continuous monitoring of unusual increases in cloud application usage. Pour chaque application cloud sont considérées les augmentations de données téléchargées, de données chargées, du nombre de transactions et du nombre d’utilisateurs.For each cloud application, increases in downloaded data, uploaded data, number of transactions and number of users are considered. Chaque augmentation est comparée au modèle d’utilisation normale de l’application déterminé à partir de son utilisation antérieure.Each increase is compared to the normal usage pattern of the application as learned from past usage. Les augmentations les plus extrêmes déclenchent des alertes de sécurité.The most extreme increases trigger security alerts.

Pour chaque stratégie, vous pouvez définir des filtres qui vous permettent de surveiller de façon sélective l’utilisation des applications, selon un filtre d’application, des vues de données sélectionnées et une date de début sélectionnée.For each policy you can set filters that enable you to selectively monitor application usage, based on an application filter, selected data views, and a selected start date. Vous pouvez aussi définir la sensibilité, qui vous permet de définir le nombre d’alertes que la stratégie doit déclencher.You can also set the sensitivity, which enables you to set how many alerts the policy should trigger.

Pour chaque stratégie, définissez les paramètres suivants :For each policy, set the following parameters:

  1. Décidez si vous voulez baser la stratégie sur un modèle. Le modèle de stratégie approprié est le modèle Comportement anormal dans les utilisateurs découverts, qui alerte quand un comportement anormal est détecté dans des utilisateurs et des applications découverts, comme de grandes quantités de données chargées par rapport à d’autres utilisateurs ou des transactions utilisateur importantes par rapport à l’historique de l’utilisateur.Decide if you want to base the policy on a template, relevant policy templates are the Anomalous behavior in discovered users template that alerts when anomalous behavior is detected in discovered users and apps, such as: large amounts of uploaded data compared to other users, large user transactions compared to the user's history. Vous pouvez également sélectionner le modèle Comportement anormal des adresses IP découvertes, qui alerte quand un comportement anormal est détecté dans les adresses IP et les applications détectées, comme de grandes quantités de données chargées par rapport à d’autres adresses IP ou des transactions d’application importantes par rapport à l’historique de l’adresse IP.You can also select the Anomalous behavior of discovered IP addresses template, which alerts when anomalous behavior is detected in discovered IP addresses and apps, such as: large amounts of uploaded data compared to other IP addresses, large app transactions compared to the IP address's history.

  2. Spécifiez un Nom de stratégie et une Description.Provide a Policy name and Description.

  3. Créez un filtre pour les applications que vous voulez surveiller en cliquant sur Ajouter un filtre.Create a filter for the apps you want to monitor by clicking Add filter. Vous pouvez sélectionner une application spécifique, une Catégorie d’applications ou filtrer par Nom, par Domaine et par **Facteur de risque, et cliquer sur Enregistrer.You can select a specific app, an app Category, or filter by Name, Domain, and **Risk factor, and click Save.

  4. Sous Appliquer à, définissez comment vous voulez que l’utilisation soit filtrée.Under Apply to, set how you want the usage to be filtered. L’utilisation en cours de surveillance peut être filtrée de deux manières différentes :The usage being monitored can be filtered in two different ways:

    • Rapports continus : choisissez si vous voulez surveiller Tous les rapports continus (par défaut) ou des Rapports continus spécifiques.Continuous reports – select whether to monitor All continuous reports (default), or choose Specific continuous reports to monitor.

      • Quand vous sélectionnez Tous les rapports continus, chaque accroissement de l’utilisation est comparé au modèle d’utilisation normale, telle qu’elle est déterminée à partir de toutes les vues de données.When selecting All continuous reports, each usage increase is compared to the normal usage pattern as learned from all the data views.

      • Quand vous sélectionnez des Rapports continus spécifiques, chaque accroissement de l’utilisation est comparé au modèle d’utilisation normale déterminé à partir de la même vue de données que celle où l’accroissement a été observé.When selecting Specific continuous reports, each usage increase is compared to the normal usage pattern as learned from the same data view as the increase was observed in.

    • Utilisateurs et adresses IP : chaque utilisation d’application cloud est associée à un utilisateur, à une adresse IP ou aux deux.Users and IP addresses – every cloud application usage is associated either with a user, an IP address, or both.

      • La sélection de l’option Utilisateurs permet d’ignorer l’association de l’utilisation d’application à des adresses IP, le cas échéant.Selecting Users ignores the association of application usage with IP addresses if there is any.

      • La sélection de l’option Adresses IP permet d’ignorer l’association de l’utilisation d’application aux utilisateurs, le cas échéant.Selecting IP addresses ignores the association of application usage with users if there is any.

      • La sélection de l’option Utilisateurs et adresses IP (part défaut) prend en compte les deux associations, mais elle peut produire des alertes en doublon quand une correspondance étroite existe entre les utilisateurs et les adresses IP.Selecting Users and IP addresses (default) considers both associations, but may produce duplicate alerts when there is a tight correspondence between users and IP addresses.

    • Déclencher des alertes seulement pour les activités suspectes après la date : tout accroissement de l’utilisation de l’application avant la date sélectionnée est ignorée.Trigger alerts only for suspicious activities occurring after date – any increase in application usage before the selected date is ignored. Toutefois, les activités avant la date sélectionnée sont prises en compte pour établir le modèle d’utilisation normale.However, activity from before the selected date is learned for the purpose of establishing the normal usage pattern.
  5. Sous Alertes, vous pouvez définir la sensibilité des alertes.Under Alerts, you can set the alert sensitivity. Il existe plusieurs façons de contrôler le nombre d’alertes déclenchées par la stratégie :There are a number of ways to control the number of alerts triggered by the policy:

    • Curseur Sélectionnez la sensibilité de la détection d’anomalies : déclenche des alertes pour les X activités anormales les plus fréquentes par 1 000 utilisateurs par semaine.The Select anomaly detection sensitivity slider – Trigger alerts for the top X anomalous activities per 1,000 users per week. Les alertes sont déclenchées pour les activités dont le risque est le plus élevé.The alerts are triggered for the activities with the highest risk.

    • Limite d’alerte quotidienne : limitez le nombre d’alertes générées sur une même journée.Daily alert limit – restrict the number of alerts raised on a single day. Vous pouvez choisir s’il faut Envoyer l’alerte par e-mail, Envoyer l’alerte par SMS ou les deux.You can select whether to Send alert as email, Send alert as text message or both. Les messages envoyés par SMS sont limités à 10 par jour pour le fuseau horaire UTC, ce qui signifie que la limite de 10 messages est réinitialisée à minuit dans le fuseau horaire UTC.Messages sent by text message are limited to 10 per day, for the UTC time zone, meaning that the 10 message limit resets at midnight in the UTC time zone.

    • Vous pouvez également choisir d’Utiliser les paramètres par défaut de votre organisation, qui affecte des valeurs aux paramètres de Limite quotidienne d’alertes, d’e-mail et de SMS à partir des paramètres par défaut de votre organisation.You can also select the option to Use your organization's default settings, which fills in the Daily alert limit, email, and text message settings from your organization's default settings. Pour définir la valeur par défaut, complétez la Configuration des alertes, puis cliquez sur Enregistrer ces paramètres d’alerte comme valeurs par défaut pour votre organisation.To set the default, fill out the Alert configuration settings and click Save these alert settings as the default for your organization.

  6. Cliquez sur Create (Créer).Click Create.

  7. Comme avec toutes les stratégies, vous pouvez Modifier, Désactiver et Activer la stratégie en cliquant sur les trois points à la fin de la ligne dans la page Stratégies.Like with all policies, you can Edit, Disable, and Enable the policy by clicking the three dots at the end of the row in the Policies page. Par défaut, quand vous créez une stratégie, celle-ci est activée.By default, when you create a policy it is enabled.

Voir aussiSee Also

Activités quotidiennes pour protéger votre environnement cloud Daily activities to protect your cloud environment
Pour obtenir du support technique, consultez la page Support assisté Cloud App Security. For technical support, visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.