Gérer les alertes

S’applique à : Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour. Nous allons très prochainement mettre à jour les noms des produits et des documents.

Cet article explique comment utiliser les alertes déclenchées dans le portail Cloud App Security.

Notes

Les alertes sont gérées dans leurs stratégies respectives et peuvent être configurées pour être envoyées en tant que courrier électronique, SMS, ou les deux.

Gérez vos alertes

Les alertes constituent un bon point de départ pour comprendre votre environnement cloud de façon plus approfondie. Vous pouvez créer des stratégies selon ce que vous trouvez. Par exemple, vous pouvez voir un administrateur qui se connecte depuis le Groenland, alors que personne dans votre organisation ne s’est jamais connecté à partir de là auparavant. Vous pouvez créer une stratégie qui suspend automatiquement un compte d’administrateur quand il est utilisé pour se connecter à partir cet emplacement.

Il est judicieux d’examiner toutes vos alertes et de vous en servir pour modifier vos stratégies. Si des événements sans incidence sont considérés comme des violations de stratégies existantes, affinez vos stratégies afin de recevoir moins d’alertes inutiles.

  1. Dans la page alertes , sélectionnez ouvrir pour l' État de la résolution.

    Cette section du tableau de bord fournit une visibilité totale de toute activité suspecte ou des violations de vos stratégies établies. Elle peut vous aider à préserver le plan de sécurité que vous avez défini pour votre environnement cloud.

    Page État de résolution des alertes

  2. Pour chaque alerte, vous devez examiner et déterminer la nature de la violation et la réponse requise.

    • Vous pouvez filtrer les alertes par type d’alerte ou par gravité afin de traiter d’abord les plus importantes.

    • Sélectionnez une alerte spécifique. En fonction du type d’alerte dont il s’agit, vous voyez différentes actions que vous pouvez effectuer avant de résoudre l’alerte.

    • Vous pouvez filtrer en fonction de l’application : les applications listées sont celles pour lesquelles des activités ont été détectées par Cloud App Security.

    • Il existe trois types de violations que vous devez traiter quand vous examinez les alertes :

      • Violations graves : les violations graves nécessitent une réponse immédiate.
        Exemples :

        • Pour une alerte d’activité suspecte, vous pouvez suspendre le compte jusqu’à ce que l’utilisateur change son mot de passe.
        • Pour une fuite de données, vous voudrez probablement restreindre les autorisations ou mettre le fichier en quarantaine.
        • Si une nouvelle application est découverte, vous voudrez probablement bloquer l’accès au service sur votre proxy ou pare-feu.
      • Violations contestables : les violations contestables nécessitent un examen plus approfondi.

        • Vous pouvez contacter l’utilisateur ou le responsable de l’utilisateur pour lui demander la nature de l’activité.
        • Laissez l’activité ouverte jusqu’à ce que vous ayez plus d’informations.
      • Des violations autorisées ou un comportement anormal-des violations autorisées ou un comportement anormal peuvent provenir d’une utilisation légitime.

        • Vous pouvez ignorer l’alerte.
  3. Lorsque vous ignorez une alerte, il est utile d’envoyer vos commentaires sur la raison pour laquelle vous ignorez l’alerte. L’équipe Cloud App Security utilise ces commentaires pour évaluer la précision de l’alerte. Ces informations sont ensuite utilisées pour affiner nos modèles Machine Learning pour les futures alertes. Si vous activez la case à cocher OK pour me contacter à propos de cette alerte , dans sélectionner des cas, nous vous recontacterons pour obtenir des informations supplémentaires. Vous pouvez suivre ces instructions pour décider comment catégoriser l’alerte :

    • Si une utilisation légitime a déclenché l’alerte et qu’il ne s’agit pas d’un problème de sécurité, il peut s’agir d’un événement de ce type :

      • Positif inoffensif : l’alerte est exacte, mais l’activité est légitime. Vous pouvez ignorer l’alerte et définir la raison de la gravité réelle est inférieure ou non intéressante.
      • Faux positif : l’alerte est inexacte. Ignorez l’alerte et définissez la raison de l' alerte comme étant incorrecte.
    • Si le bruit est trop important pour déterminer la légitimité et la précision d’une alerte, ignorez-la et définissez la raison sur un trop grand nombre d’alertes similaires.

    • Vrai positif : si l’alerte est liée à un événement à risque réel qui a été validé de manière malveillante ou involontaire par un Insider ou un capter, vous devez définir l’événement pour qu’il soit résolu une fois que toutes les mesures appropriées ont été prises pour corriger l’événement.

Types d’alertes

Le tableau suivant contient une liste des types d’alertes qui peuvent être déclenchées et les méthodes recommandées pour y remédier.

Type d’alerte Description Résolution recommandée
Violation de stratégie d’activité Ce type d’alerte est le résultat d’une stratégie que vous avez créée. Pour utiliser en bloc ce type d’alerte, il est recommandé de travailler directement depuis le Centre de stratégie pour les limiter.

Ajustez la stratégie pour exclure les entités générant du bruit en ajoutant davantage de filtres et des contrôles plus granulaires.

Si la stratégie est précise, que l’alerte est justifiée et qu’il s’agit d’une violation que vous voulez arrêter immédiatement, ajoutez une correction automatique dans la stratégie.
Violation de stratégie de fichier Ce type d’alerte est le résultat d’une stratégie que vous avez créée. Pour utiliser en bloc ce type d’alerte, il est recommandé de travailler directement depuis le Centre de stratégie pour les limiter.

Ajustez la stratégie pour exclure les entités générant du bruit en ajoutant davantage de filtres et des contrôles plus granulaires.

Si la stratégie est précise, que l’alerte est justifiée et qu’il s’agit d’une violation que vous voulez arrêter immédiatement, ajoutez une correction automatique dans la stratégie.
Compte compromis Ce type d’alerte est déclenché quand Cloud App Security identifie un compte qui a été compromis. Cela signifie qu’il est fort probable que le compte ait été utilisé de façon non autorisée. Il est recommandé de suspendre le compte tant que vous n’avez pas contacté l’utilisateur et vérifié qu’il a changé son mot de passe.
Compte inactif Cette alerte se déclenche quand un compte n’a pas été utilisé depuis 60 jours dans l’une de vos applications cloud connectées. Contactez l’utilisateur et le responsable de l’utilisateur pour déterminer si le compte est encore actif. Si ce n’est pas le cas, suspendez l’utilisateur et mettez un terme à sa licence pour l’application.
Nouvel utilisateur administrateur Vous signale que des modifications ont été apportées dans vos comptes privilégiés pour des applications connectées. Vérifiez que les nouvelles autorisations d’administration sont bien nécessaires pour l’utilisateur. Si ce n’est pas le cas, nous recommandons de révoquer les privilèges d’administrateur de façon à réduire l’exposition.
Nouvel emplacement administrateur Vous signale que des modifications ont été apportées dans vos comptes privilégiés pour des applications connectées. Vérifiez que la connexion à partir de cet emplacement anormal était légitime. Si ce n’est pas le cas, nous recommandons de révoquer les autorisations d’administration ou de suspendre le compte de façon à réduire l’exposition.
Nouvel emplacement Alerte à titre d’information sur l’accès à une application connectée à partir d’un nouvel emplacement. Elle se déclenche une seule fois par pays. Examinez les activités de l’utilisateur concerné.
Nouveau service découvert Cet alerte concerne l’informatique fantôme. Une nouvelle application a été détectée par Cloud Discovery.
  • Évaluez le risque du service en fonction du catalogue d’applications.
  • Explorez l’activité au niveau du détail pour en comprendre les modèles d’utilisation et la fréquence.
  • Décidez d’approuver ou de ne pas approuver l’application.

Pour les applications non approuvées :

  • Vous pouvez en bloquer l’utilisation dans votre pare-feu ou proxy.
  • Si vous avez une application non approuvée et une application approuvée dans la même catégorie, vous pouvez exporter une liste des utilisateurs de l’application non approuvée. Ensuite, contactez-les pour les inviter à migrer vers l’application approuvée.
Activité suspecte Cette alerte vous indique qu’une activité anormale qui n’est pas conforme aux activités ou utilisateurs attendus de votre organisation a été détectée. Examinez le comportement et vérifiez-le auprès de l’utilisateur.

Ce type d’alerte est l’élément idéal pour en savoir plus sur votre environnement et créer des stratégies avec ces alertes. Par exemple, si un utilisateur charge soudainement une grande quantité de données dans l’une de vos applications connectées, vous pouvez définir une règle pour gérer ce type de comportement anormal.
Utilisation d’un compte personnel Cette alerte vous informe qu’un nouveau compte personnel a accès aux ressources de vos applications connectées. Supprimez les collaborations de l’utilisateur dans le compte externe.

Étapes suivantes

Pour plus d’informations sur l’examen des alertes, consultez Investiguer.

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.