ÉtudierInvestigate

Une fois que Cloud App Security s’exécute dans votre environnement cloud, vous avez besoin d’une phase de formation et d’étude sur la façon d’utiliser les outils de Cloud App Security pour mieux comprendre ce qui se passe dans votre environnement cloud.After Cloud App Security runs in your cloud environment, you'll need a stage of learning and investigating how to use the tools in Cloud App Security to gain a deeper understanding of what's happening in your cloud environment. Ensuite, selon votre environnement particulier et la façon dont il est utilisé, vous pouvez identifier ce qui est nécessaire pour protéger votre organisation contre les risques.Then, based on your particular environment and how it's being used, you can identify the requirements for protecting your organization from risk.

Cette rubrique décrit comment effectuer une investigation pour mieux comprendre votre environnement cloud.This topic describes how to perform an investigation to get a better understanding of your cloud environment.

Tableaux de bordDashboards

Les tableaux de bord suivants sont disponibles pour vous aider à étudier les applications de votre environnement cloud :The following dashboards are available to help you investigate apps in your cloud environment:

Tableau de bordDashboard DescriptionDescription
Tableau de bord principalMain dashboard Vue d’ensemble de l’état du cloud (utilisateurs, fichiers, activités) et des actions nécessaires (alertes, violations d’activité et violations de contenu)Overview of cloud status (users, files, activities) and required actions (alerts, activity violations and content violations)
Tableau de bord Application : globalApplication dashboard: overall Vue d’ensemble de l’utilisation de l’application par emplacement, graphiques d’utilisation par nombre d’utilisateursOverview of application usage per location, usage graphs per number of users
Tableau de bord Application : informationsApplication dashboard: insights Analyse des données stockées dans l’application, ventilées par type de fichier et par niveau de partage de fichiersAnalysis of data stored in the app, broken down by file type and file-sharing level
Tableau de bord Application : fichiersApplication dashboard: files Exploration des fichiers au niveau du détail, possibilité de filtrer en fonction du propriétaire, du niveau de partage, etc., et d’effectuer des actions de gouvernance (comme la mise en quarantaine)Drill-down into files; ability to filter according to owner, sharing level, etc., as well as perform governance actions (like quarantine)
Tableau de bord Application : applications tiercesApplication dashboard: third-party apps Exploration au niveau du détail des applications tierces actuellement déployées, comme G Suite et définition de stratégies pour celles-ciDrill-down into third-party apps currently deployed, like G Suite, and defining policies for them
Tableau de bord UtilisateurUser dashboard Vue d’ensemble complète du profil utilisateur dans le cloud, notamment les groupes, les emplacements, les activités récentes, les alertes associées et les navigateurs utilisésA complete overview of the user profile in the cloud, including groups, locations, recent activities, related alerts, and browsers used

Marquer les applications comme approuvées ou non Tag apps as sanctioned or unsanctioned

Le marquage des applications comme approuvées ou non est une étape importante pour comprendre votre cloud.An important step to understanding your cloud is to tag apps as sanctioned or unsanctioned. Une fois que vous avez approuvé une application, vous pouvez filtrer les applications qui ne sont pas approuvées et lancer une migration vers des applications approuvées du même type.After you sanction an app, you can filter for apps that aren't sanctioned and start migration to sanctioned apps of the same type.

  • Dans la console Cloud App Security, accédez au catalogue d’applications ou aux applications découvertes.In the Cloud App Security console, go to the App catalog or Discovered apps.

  • Dans la liste des applications, sur la ligne contenant l’application à marquer comme approuvée, cliquez sur les trois points à la fin de la ligne Points pour marquer comme approuvé et choisissez Marquer comme approuvé.In the list of apps, on the row in which the app you want to tag as sanctioned appears, choose the three dots at the end of the row Tag as sanctioned dots and choose Mark as sanctioned.

    Marquer comme approuvéTag as sanctioned

Utiliser les outils d’examenUse the investigation tools

  1. Dans le portail Cloud App Security, accédez à Examiner, puis consultez le journal d’activité et filtrez sur une application spécifique.In the Cloud App Security portal, go to Investigate and then look at the Activity log and filter by a specific app. Vérifiez les points suivants :Check the following:

    • Qui accède à votre environnement cloud ?Who is accessing your cloud environment?

    • À partir de quelles plages d’adresses IP ?From what IP ranges?

    • Quelle est l’activité administrative ?What is the admin activity?

    • À partir de quels emplacements les administrateurs se connectent-ils ?From what locations are admins connecting?

    • Des appareils obsolètes se connectent-ils à votre environnement cloud ?Are any outdated devices connecting to your cloud environment?

    • Les échecs de connexion proviennent-ils d’adresses IP attendues ?Are failed logins coming from expected IP addresses?

  2. Accédez à Examiner, puis Fichiers et vérifiez les points suivants :Go to Investigate and then Files, and check the following:

    • Combien de fichiers sont partagés publiquement pour permettre à toute personne d’y accéder sans aucun lien ?How many files are shared publicly so that anyone can access them without a link?

    • Avec quels partenaires partagez-vous des fichiers (partage sortant) ?With which partners are you sharing files (outbound sharing)?

    • Des fichiers ont-ils un nom sensible ?Do any files have a sensitive name?

    • Certains fichiers partagés le sont-ils avec le compte personnel de quelqu’un ?Are any of the files being shared with someone's personal account?

  3. Accédez à Examiner, puis Comptes et vérifiez les points suivants :Go to Investigate and then Accounts, and check the following:

    • Des comptes ont-ils été inactifs dans un service particulier pendant une longue période de temps ?Have any accounts been inactive in a particular service for a long time? (Vous pouvez peut-être révoquer la licence de cet utilisateur pour ce service ?)(Maybe you can revoke the license for that user to that service?)

    • Voulez-vous connaître les utilisateurs qui remplissent un rôle spécifique ?Do you want to know which users have a specific role?

    • Certaines personnes qui ont été licenciées ont-elles toujours accès à une application, lequel accès pourrait leur permettre de dérober des informations ?Was someone fired but they still have access to an app and can use that access to steal information?

    • Voulez-vous révoquer l’autorisation d’un utilisateur sur une application spécifique ou exiger d’un utilisateur spécifique qu’il effectue une authentification multifacteur ?Do you want to revoke a user's permission to a specific app or require a specific user to perform multi-factor authentication?

    • Vous pouvez également explorer le compte de l’utilisateur en cliquant sur la roue dentée à la fin de la ligne du compte de l’utilisateur et en sélectionnant une action à effectuer, comme Suspendre l’utilisateur ou Supprimer les collaborations d’utilisateur.You can also drill down into the user's account by clicking the cog at the end of the user's account row and selecting an action to take, such as Suspend user or Remove user's collaborations. Si l’utilisateur a été importé depuis Azure Active Directory, vous pouvez également cliquer sur Paramètres du compte Azure AD pour accéder facilement aux fonctionnalités d’administration avancée de l’utilisateur, comme l’administration du groupe, l’authentification multifacteur, l’obtention d’informations sur les connexions de l’utilisateur et la possibilité de bloquer la connexion.If the user was imported from Azure Active Directory, you can also click on Azure AD account settings to get easy access to advanced user management features like group management, MFA, details about the user's sign ins and the ability to block sign in.

  4. Accédez à Examiner, puis sélectionnez une application.Go to Investigate and then select an app. Le tableau de bord Application s’ouvre et vous donne des informations.The app dashboard opens and gives you information and insights. Vous pouvez utiliser les onglets en haut pour vérifier les éléments suivants :You can use the tabs across the top to check the following:

    Tableau de bord des applicationsApp dashboard

    • Quels types d’appareils vos utilisateurs utilisent-ils pour se connecter à l’application ?What kind of devices are your users using to connect to the app?

    • Quels types de fichiers enregistrent-ils dans le cloud ?What types of files are they saving in the cloud?

    • Quelle activité se produit dans l’application en ce moment même ?What activity is happening in the app right now?

    • Des applications tierces sont-elles connectées à votre environnement ?Are there any connected third-party apps to your environment?

    • Connaissez-vous ces applications ?Are you familiar with these apps?

    • Sont-elles autorisées pour le niveau d’accès auquel elles correspondent ?Are they authorized for the level of access they are permitted to?

    • Combien d’utilisateurs les ont déployées ?How many users have deployed them? Quelle est la fréquence de ces applications en général ?How common are these apps in general?

  5. Accédez au tableau de bord Cloud Discovery et vérifiez les points suivants :Go to the Cloud Discovery dashboard and check the following:

    • Quelles sont les applications cloud utilisées, dans quelle mesure et par qui ?What cloud apps are being used, to what extent, and by whom?

    • À quelles fins sont-elles utilisées ?For what purposes are they being used?

    • Quelle quantité de données est chargée vers ces applications cloud ?How much data is being uploaded to these cloud apps?

    • Dans quelles catégories avez-vous des applications cloud approuvées, alors que les utilisateurs utilisent plutôt des solutions alternatives ?In which categories do you have sanctioned cloud apps, and yet, users are using alternative solutions?

    • Pour les solutions alternatives, voulez-vous rendre non approuvées des applications cloud dans votre organisation ?For the alternative solutions, do you want to unsanction any cloud apps in your organization?

    • Certaines applications cloud sont-elles utilisées, alors qu’elles ne sont pas conformes à la stratégie de votre organisation ?Are there cloud apps that are used but not in compliance with your organization’s policy?

Utiliser les rapports pour examiner les risquesUse reports to investigate risk

Quand vous vous attelez à mieux contrôler votre environnement cloud, vous faites certaines hypothèses en fonction de ce que vous vous attendez à trouver : en fait, vous ne connaissez pas encore vraiment votre cloud.When you start trying to gain control over your cloud environment, you make certain assumptions based on what you expect to find — you don't really know your cloud yet. Sur la base de ces hypothèses, vous créez des stratégies.Based on these assumptions, you create policies.

Une fois que Cloud App Security s’exécute dans votre environnement cloud, vous utilisez les rapports intégrés (et des rapports personnalisés) pour voir ce qui se passe dans votre cloud.After Cloud App Security runs on your cloud environment, you use the built-in reports (and custom reports) to see what's going on in your cloud. Sur cette base, vous ajustez à nouveau vos stratégies pour y inclure des exceptions, pour que votre stratégie intercepte au final très peu de faux positifs.Based on this, you adjust your policies again to include exceptions so that eventually your policy catches very few false positives.

Les rapports intégrés vous offrent des vues agrégées à examiner.Built-in reports offer you aggregated views for investigation. Pour utiliser les rapports intégrés, accédez à Examiner, puis Rapports intégrés.To work with built-in reports, go to Investigate and then Built-in reports. Pour plus d’informations sur les différents rapports intégrés, consultez les informations de référence sur les rapports intégrés.For more information about the different built-in reports, see the Built-in report reference.

Exemple d’examenSample investigation

Partons du principe que vous pensez ne pas avoir d’accès à votre environnement cloud via des adresses IP risquées (par exemple des proxys anonymes et Tor).Let's say that you assume you don't have any access to your cloud environment by risky IP addresses (for example, anonymous proxies and Tor). Vous créez cependant une stratégie pour les adresses IP à risques simplement pour vous en assurer :But you create a policy for risk IPs just to make sure:

  1. Dans le portail, accédez à Contrôle et choisissez Stratégies.In the portal, go to Control and choose Policies.

  2. Dans le Centre de stratégie, choisissez l’onglet Modèles.In the Policy center, choose the Templates tab.

  3. À la fin de la ligne Connexion utilisateur depuis une adresse IP non catégorisée, choisissez le signe + pour créer une stratégie.At the end of the User logon from a non-categorized IP address row, choose the plus sign (+) to create a new policy.

  4. Modifiez le nom de la stratégie pour pouvoir l’identifier facilement.Change the policy name so you'll be able to identify this policy.

  5. Sous Filtres d’activité, cliquez sur le signe + pour ajouter un filtre.Under Activity filters, choose + to add a filter. Faites défiler jusqu’à Étiquette IP, puis choisissez Anonyme et Tor.Scroll down to IP tag, and then choose Anonymous and Tor.

    Exemple de stratégie pour les adresses IP avec risquesExample policy for risky IPs

Maintenant que la stratégie est en place, vous vous étonnez de voir que vous recevez une alerte indiquant que la stratégie a été violée.Now that you have the policy in place, you're surprised to see that you get an alert that the policy was violated.

  1. Accédez à la page Alertes et affichez l’alerte relative à la violation de la stratégie.Go to the Alerts page and view the alert about the policy violation.

  2. Si vous constatez qu’il semble s’agir d’une réelle violation, vous voudrez contenir le risque ou y remédier.If you see that it looks like a real violation, you want to contain risk or remediate.

    Pour contenir le risque, vous pouvez envoyer à l’utilisateur une notification l’invitant à préciser si la violation était délibérée et s’il en avait conscience.To contain risk, you can send the user a notification to ask if the violation was intentional and if the user was aware of it.

    Vous pouvez également explorer l’alerte au niveau du détail et suspendre l’utilisateur jusqu’à ce que vous décidiez des mesures à prendre.You can also drill down into the alert and suspend the user until you can figure out what needs to be done.

  3. S’il s’agit d’un événement autorisé qui a peu de chances de se reproduire, vous pouvez rejeter l’alerte.If it's an allowed event that isn't likely to recur, you can dismiss the alert.

    S’il est autorisé et que vous pensez qu’il va se reproduire, vous pouvez modifier la stratégie pour éviter que ce type d’événement soit considéré comme une violation à l’avenir.If it's allowed and you expect it to recur, you can change the policy so that this type of event won't be considered a violation in the future.

Voir aussiSee also

Pour découvrir comment contrôler l’application cloud de votre organisation, consultez Contrôle.To learn how to control your organization's cloud app, see Control.
Pour obtenir du support technique, accédez à la page Support assisté Cloud App Security.For technical support, go to the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier portal.