Meilleures pratiques pour protéger votre organisation avec Defender for Cloud Apps

Cet article fournit les meilleures pratiques pour protéger votre organisation en utilisant Microsoft Defender for Cloud Apps. Ces meilleures pratiques résultent de notre expérience avec Defender for Cloud Apps, ainsi que des expériences de clients tels que vous.

Les meilleures pratiques abordées dans le cadre de cet article sont les suivantes :

Découvrir et évaluer des applications cloud

L’intégration de Defender for Cloud Apps à Microsoft Defender for Endpoint vous permet d’utiliser Cloud Discovery au-delà de votre réseau d’entreprise ou de passerelles web sécurisées. Avec les informations combinées sur l’utilisateur et l’appareil, vous pouvez identifier les utilisateurs ou appareils à risque, voir les applications qu’ils utilisent et examiner plus en détail dans le portail Defender pour point de terminaison.

Meilleure pratique : Activer Shadow IT Discovery à l’aide de Defender for Endpoint
Détail : Cloud Discovery analyse les journaux de trafic collectés par Defender for Endpoint et évalue les applications identifiées sur le catalogue d’applications cloud pour fournir des informations de conformité et de sécurité. En configurant Cloud Discovery, vous bénéficiez d’une visibilité sur l’utilisation du cloud, l’informatique fantôme et la surveillance continue des applications non approuvées utilisées par vos utilisateurs.
Pour plus d'informations :


Meilleure pratique : Configurer des stratégies de découverte d’applications pour identifier de manière proactive les applications risquées, non conformes et tendances
Détails : Les stratégies de découverte d’applications facilitent le suivi des applications découvertes importantes de votre organisation pour vous aider à gérer ces applications efficacement. Créez des stratégies pour recevoir des alertes lors de la détection de nouvelles applications identifiées comme risquées, non conformes, tendances ou volume élevé.
Pour plus d'informations :


Meilleure pratique : Gérer les applications OAuth autorisées par vos utilisateurs
Détails : de nombreux utilisateurs accordent occasionnellement des autorisations OAuth aux applications tierces pour accéder à leurs informations sur le compte et, dans ce cas, donnent également accès à leurs données dans d’autres applications cloud. En règle générale, l’informatique n’a aucune visibilité sur ces applications, ce qui rend difficile le risque de sécurité d’une application par rapport à l’avantage de productivité qu’elle offre.

Defender for Cloud Apps vous offre la possibilité d’examiner et de surveiller les autorisations d’application accordées par vos utilisateurs. Vous pouvez utiliser ces informations pour identifier une application potentiellement suspecte et, si vous déterminez qu’elle est risquée, vous pouvez interdire l’accès à celui-ci.
Pour plus d'informations :





Appliquer des stratégies de gouvernance cloud

Meilleure pratique : Baliser des applications et exporter des scripts de bloc
Détail : Une fois que vous avez consulté la liste des applications découvertes dans votre organisation, vous pouvez sécuriser de plusieurs façons l’environnement contre l’utilisation d’applications indésirables. Vous pouvez appliquer la balise approuvée aux applications approuvées par votre organisation et à la balise non approuvée aux applications qui ne le sont pas. Vous pouvez surveiller les applications non approuvées à l’aide de filtres de découverte ou exporter un script pour bloquer les applications non approuvées à l’aide de vos appliances de sécurité locales. L’utilisation de balises et de scripts d’exportation vous permet d’organiser vos applications et de protéger votre environnement en autorisant uniquement l’accès aux applications sécurisées.
Pour plus d'informations :


Limiter l’exposition des données partagées et appliquer des stratégies de collaboration

Meilleure pratique : Connecter Microsoft 365
Détails : Connecter Microsoft 365 à Defender pour le cloud Apps vous donne une visibilité immédiate des activités de vos utilisateurs, des fichiers auxquels ils accèdent et fournit des actions de gouvernance pour Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange et Dynamics.
Pour plus d'informations :


Meilleure pratique : Connecter vos applications
Détails : Connecter vos applications pour Defender pour le cloud Apps vous donne des insights améliorés sur les activités, la détection des menaces et les fonctionnalités de gouvernance de vos utilisateurs. Pour voir quelles API d’application tierces sont prises en charge, accédez à Connecter applications.

Pour plus d'informations :


Meilleure pratique : Créer des stratégies pour supprimer le partage avec des compte personnel
Détails : Connecter Microsoft 365 à Defender pour le cloud Apps vous donne une visibilité immédiate des activités de vos utilisateurs, des fichiers auxquels ils accèdent et fournit des actions de gouvernance pour Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange et Dynamics.
Pour plus d'informations :


Découvrir, classifier, étiqueter et protéger les données réglementées et sensibles stockées dans le cloud

Meilleure pratique : Intégrer à Protection des données Microsoft Purview
Détail : L’intégration à Protection des données Microsoft Purview vous permet d’appliquer automatiquement des étiquettes de confidentialité et d’ajouter éventuellement une protection de chiffrement. Une fois l’intégration activée, vous pouvez appliquer des étiquettes en tant qu’action de gouvernance, afficher les fichiers par classification, examiner les fichiers par niveau de classification et créer des stratégies granulaires pour vous assurer que les fichiers classifiés sont gérés correctement. Si vous n’activez pas l’intégration, vous ne pouvez pas bénéficier de la possibilité d’analyser, d’étiqueter et de chiffrer automatiquement des fichiers dans le cloud.
Pour plus d'informations :


Meilleure pratique : Créer des stratégies d’exposition des données
Détail : utilisez des stratégies de fichier pour détecter le partage d’informations et rechercher des informations confidentielles dans vos applications cloud. Créez les stratégies de fichier suivantes pour vous avertir lorsque des expositions de données sont détectées :

  • Fichiers partagés en externe contenant des données sensibles
  • Fichiers partagés en externe et étiquetés comme Confidentiels
  • Fichiers partagés avec des domaines non autorisés
  • Protéger les fichiers sensibles sur les applications SaaS

Pour plus d'informations :


Meilleure pratique : passer en revue les rapports dans la page Fichiers
Détail : Une fois que vous avez connecté différentes applications SaaS à l’aide de connecteurs d’application, Defender pour le cloud Apps analyse les fichiers stockés par ces applications. En outre, chaque fois qu’un fichier est modifié, il est de nouveau analysé. Vous pouvez utiliser la page Fichiers pour comprendre et examiner les types de données stockées dans vos applications cloud. Pour vous aider à examiner, vous pouvez filtrer par domaines, groupes, utilisateurs, date de création, extension, nom de fichier et type, ID de fichier, étiquette de confidentialité, etc. L’utilisation de ces filtres vous permet de contrôler la façon dont vous choisissez d’examiner les fichiers pour vous assurer qu’aucune de vos données n’est en danger. Une fois que vous avez une meilleure compréhension de la façon dont vos données sont utilisées, vous pouvez créer des stratégies pour rechercher du contenu sensible dans ces fichiers.
Pour plus d'informations :





Appliquer des stratégies de conformité et DLP pour les données stockées dans le cloud

Meilleure pratique : Protéger les données confidentielles contre le partage avec des utilisateurs externes
Détail : Créez une stratégie de fichier qui détecte lorsqu’un utilisateur tente de partager un fichier avec l’étiquette de confidentialité Confidentiel avec quelqu’un d’externe à votre organisation, et configurez son action de gouvernance pour supprimer des utilisateurs externes. Cette stratégie garantit que vos données confidentielles ne quittent pas votre organisation et que les utilisateurs externes ne peuvent pas y accéder.
Pour plus d'informations :





Bloquez et protégez le téléchargement de données sensibles sur les appareils non gérés ou à risque

Meilleure pratique : Gérer et contrôler l’accès aux appareils à haut risque
Détail : Utilisez le contrôle d’application par accès conditionnel pour définir des contrôles sur vos applications SaaS. Vous pouvez créer des stratégies de session pour surveiller vos sessions à haut risque et à faible niveau de fiabilité. De même, vous pouvez créer des stratégies de session pour bloquer et protéger les téléchargements par les utilisateurs qui tentent d’accéder aux données sensibles à partir d’appareils non gérés ou à risque. Si vous ne créez pas de stratégies de session pour surveiller les sessions à haut risque, vous perdez la possibilité de bloquer et de protéger les téléchargements dans le client web, ainsi que la possibilité de surveiller la session à faible niveau de fiabilité dans Les applications Microsoft et tierces.
Pour plus d'informations :





Sécuriser la collaboration avec des utilisateurs externes en appliquant des contrôles de session en temps réel

Meilleure pratique : Surveiller les sessions avec des utilisateurs externes à l’aide du contrôle d’application par accès conditionnel
Détails : Pour sécuriser la collaboration dans votre environnement, vous pouvez créer une stratégie de session pour surveiller les sessions entre vos utilisateurs internes et externes. Cela vous permet non seulement de surveiller la session entre vos utilisateurs (et de les informer que leurs activités de session sont surveillées), mais également de limiter les activités spécifiques. Lorsque vous créez des stratégies de session pour surveiller l’activité, vous pouvez choisir les applications et les utilisateurs que vous souhaitez surveiller.
Pour plus d'informations :





Détecter les menaces du cloud, les comptes compromis, les insiders malveillants et le rançongiciel

Meilleure pratique : Régler les stratégies d’anomalies, définir des plages d’adresses IP, envoyer un retour d’expérience pour les alertes
Détail : Les stratégies de détection d’anomalies fournissent des analyses comportementales des utilisateurs et des entités (UEBA) et du apprentissage automatique (ML) prêtes à l’emploi afin que vous puissiez immédiatement exécuter une détection avancée des menaces dans votre environnement cloud.

Les stratégies de détection d’anomalies sont déclenchées lorsqu’il existe des activités inhabituelles effectuées par les utilisateurs de votre environnement. Defender pour le cloud Apps surveille continuellement vos activités d’utilisateurs et utilise UEBA et ML pour apprendre et comprendre le comportement normal de vos utilisateurs. Vous pouvez paramétrer les paramètres de stratégie pour qu’ils correspondent aux exigences de vos organisations, par exemple, vous pouvez définir la sensibilité d’une stratégie, ainsi que l’étendue d’une stratégie à un groupe spécifique.

  • Paramétrez et limitez les stratégies de détection d’anomalies : Par exemple, pour réduire le nombre de faux positifs dans l’alerte de voyage impossible, vous pouvez définir le curseur de sensibilité de la stratégie sur faible. Si vous avez des utilisateurs de votre organisation qui sont des voyageurs d’entreprise fréquents, vous pouvez les ajouter à un groupe d’utilisateurs et sélectionner ce groupe dans l’étendue de la stratégie.

  • Définir des plages d’adresses IP : Defender pour le cloud Apps peut identifier les adresses IP connues une fois que les plages d’adresses IP sont définies. Avec les plages d’adresses IP configurées, vous pouvez baliser, classer et personnaliser la façon dont les journaux et les alertes sont affichés et examinés. L’ajout de plages d’adresses IP permet de réduire les détections de faux positifs et d’améliorer l’exactitude des alertes. Si vous sélectionnez de ne pas ajouter vos adresses IP, vous pouvez voir un nombre accru de faux positifs et d’alertes possibles à examiner.

  • Envoyer un retour d’expérience pour les alertes

    Lors de l’abandon ou de la résolution des alertes, veillez à envoyer un retour d’expérience avec la raison pour laquelle vous avez ignoré l’alerte ou la façon dont elle a été résolue. Ces informations aident Defender pour le cloud Apps à améliorer nos alertes et à réduire les faux positifs.

Pour plus d'informations :


Meilleure pratique : Détecter l’activité provenant de localisations ou pays/régions inattendus
Détail : Créez une stratégie d’activité pour vous notifier lorsque les utilisateurs se connectent à partir d’emplacements ou de pays/régions inattendus. Ces notifications peuvent vous avertir des sessions potentiellement compromises dans votre environnement afin de pouvoir détecter et corriger les menaces avant qu’elles ne se produisent.
Pour plus d'informations :


Meilleure pratique : Créer des stratégies d’application OAuth
Détail : Créez une stratégie d’application OAuth pour vous notifier lorsqu’une application OAuth répond à certains critères. Par exemple, vous pouvez choisir d’être averti lorsqu’une application spécifique nécessitant un niveau d’autorisation élevé a été accessible par plus de 100 utilisateurs.
Pour plus d'informations :





Utiliser la piste d’audit des activités pour les examens forensiques

Meilleure pratique : Utiliser la piste d’audit des activités lors de l’examen des alertes
Détails : Les alertes sont déclenchées lorsque les activités d’utilisateur, d’administrateur ou de connexion ne sont pas conformes à vos stratégies. Il est important d’examiner les alertes pour comprendre s’il existe une menace possible dans votre environnement.

Vous pouvez examiner une alerte en la sélectionnant dans la page Alertes et en examinant la piste d’audit des activités relatives à cette alerte. La piste d’audit vous donne une visibilité sur les activités du même type, le même utilisateur, la même adresse IP et l’emplacement, pour vous fournir l’histoire globale d’une alerte. Si une alerte justifie un examen plus approfondi, créez un plan pour résoudre ces alertes dans votre organisation.

Lorsque vous ignorez les alertes, il est important d’examiner et de comprendre pourquoi elles ne sont pas importantes ou s’ils sont faux positifs. S’il existe un volume élevé d’activités de ce type, vous pouvez également envisager d’examiner et de régler la stratégie déclenchant l’alerte.
Pour plus d'informations :





Sécuriser les services IaaS et les applications personnalisées

Meilleure pratique : Connecter Azure, AWS et GCP
Détails : Connecter chacune de ces plateformes cloud pour Defender pour le cloud Apps vous aide à améliorer vos fonctionnalités de détection des menaces. En surveillant les activités d’administration et de connexion pour ces services, vous pouvez détecter et être informé des éventuelles attaques par force brute, de l’utilisation malveillante d’un compte d’utilisateur privilégié et d’autres menaces dans votre environnement. Par exemple, vous pouvez identifier les risques tels que des suppressions inhabituelles de machines virtuelles, ou même des activités d’usurpation d’identité dans ces applications.
Pour plus d'informations :


Meilleure pratique : Intégrer des applications personnalisées
Détail : Pour obtenir une visibilité supplémentaire sur les activités de vos applications métier, vous pouvez intégrer des applications personnalisées à Defender pour le cloud Apps. Une fois les applications personnalisées configurées, vous voyez des informations sur les personnes qui les utilisent, les adresses IP utilisées et la quantité de trafic entrant et sortant de l’application.

En outre, vous pouvez intégrer une application personnalisée en tant qu’application Contrôle d’application par accès conditionnel pour surveiller leurs sessions à faible niveau de fiabilité.
Pour plus d'informations :