Gérer vos alertesManage your alerts

Les alertes constituent un bon point de départ pour comprendre votre environnement cloud de façon plus approfondie.Alerts are the entry points to understanding your cloud environment more deeply. Vous pouvez créer des stratégies selon ce que vous trouvez.You might want to create new policies based on what you find. Par exemple, vous pouvez voir un administrateur qui se connecte depuis le Groenland, alors que personne dans votre organisation ne s’est jamais connecté à partir de là auparavant.For example, you might see an administrator signing in from Greenland, and no one in your organization ever signed in from Greenland before. Vous pouvez créer une stratégie qui suspend automatiquement un compte d’administrateur quand celui-ci est utilisé pour se connecter depuis cet emplacement.You can create a policy that automatically suspends an admin account when it is used to sign in from that location.

Il est judicieux d’examiner toutes vos alertes et de vous en servir pour modifier vos stratégies.It is a good idea to review all of your alerts and to use them as tools for modifying your policies. Si des événements sans incidence sont considérés comme des violations de stratégies existantes, affinez vos stratégies afin de recevoir moins d’alertes inutiles.If harmless events are being considered violations to existing policies, refine your policies so that you receive fewer unnecessary alerts.

  1. Sous Alertes ouvertes, cliquez sur Afficher toutes les alertes.Under Open alerts, click View all alerts.

    Cette section du tableau de bord fournit une visibilité totale de toute activité suspecte ou des violations de vos stratégies établies.This section of the dashboard provides full visibility into any suspicious activity or violation of your established policies. Elle vous aide à préserver le plan de sécurité que vous avez défini pour votre environnement cloud.It then helps you safeguard the security posture you defined for your cloud environment.

    AlertesAlerts

  2. Pour chaque alerte, vous devez examiner et déterminer la nature de la violation et la réponse requise.For each alert, you need to investigate and determine the nature of the violation and the required response.

    Vous pouvez filtrer les alertes par type d’alerte ou par gravité de façon à traiter d’abord les plus importantes.You can filter the alerts by Alert type or by Severity in order to process the most important ones first.

    Sélectionnez une alerte spécifique.Select a specific alert. Selon le type d’alerte dont il s’agit, vous voyez différentes actions que vous pouvez entreprendre avant de résoudre l’alerte.Depending on what type of alert it is, you will see various actions that can be taken before resolving the alert.

    Il existe trois types de violations que vous devez traiter quand vous examinez les alertes :There are three types of violations you will need to deal with when investigating alerts:

    Violations gravesSerious violations

    Les violations graves nécessitent une réponse immédiate.Serious violations require immediate response.

    Examples:  
    
    For a suspicious activity alert, you might want to suspend the account until the user changes their password.  
    
    For a data leak you might want to restrict permissions or quarantine the file.  
    
    If a new app is discovered, you might want to block access to the service on your proxy or firewall.  
    

    Violations contestablesQuestionable violations

    Les violations contestables nécessitent un examen plus approfondi.Questionable violations require further investigation.

    You can contact the  user or the user's manager about the nature of the activity.  
    
    Leave the activity open until you have more information.  
    

    Violations autorisées ou comportements anormauxAuthorized violations or anomalous behavior

    Les violations autorisées ou les comportements anormaux peuvent provenir d’une utilisation légitime.Authorized violations or anomalous behavior can result from legitimate use.

    Dismiss the alert.  
    
  3. Quand vous avez terminé ce processus, marquez l’alerte comme résolue.When you finish this process, mark the alert as resolved.

Le tableau suivant contient une liste des types d’alertes qui peuvent être déclenchées et les méthodes recommandées pour y remédier.The following table provides a list of the types of alerts that can be triggered and recommends ways in which you can resolve them.

Type d’alerteAlert type DescriptionDescription Résolution recommandéeRecommended resolution
Violation de stratégie d’activitéActivity policy violation Ce type d’alerte est le résultat d’une stratégie que vous avez créée.This type of alert is the result of a policy you created. Pour utiliser en bloc ce type d’alerte, il est recommandé de travailler directement depuis le Centre de stratégie pour les limiter.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Ajustez la stratégie pour exclure les entités générant du bruit en ajoutant davantage de filtres et des contrôles plus granulaires.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Si la stratégie est précise, que l’alerte est justifiée et qu’il s’agit d’une violation que vous voulez arrêter immédiatement, ajoutez une correction automatique dans la stratégie.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Violation de stratégie de fichierFile policy violation Ce type d’alerte est le résultat d’une stratégie que vous avez créée.This type of alert is the result of a policy you created. Pour utiliser en bloc ce type d’alerte, il est recommandé de travailler directement depuis le Centre de stratégie pour les limiter.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Ajustez la stratégie pour exclure les entités générant du bruit en ajoutant davantage de filtres et des contrôles plus granulaires.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Si la stratégie est précise, que l’alerte est justifiée et qu’il s’agit d’une violation que vous voulez arrêter immédiatement, ajoutez une correction automatique dans la stratégie.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Compte compromisCompromised account Ce type d’alerte se déclenche quand Cloud App Security identifie un compte qui a été compromis, ce qui signifie que la probabilité que le compte a été utilisé de façon non autorisée est très élevée.This type of alert is triggered when Cloud App Security identifies an account that was compromised, meaning there's a very high probability that the account was used in an unauthorized way. Il est recommandé de suspendre le compte tant que vous n’avez pas contacté l’utilisateur et vérifié qu’il a changé son mot de passe.We recommend that you suspend the account until you can reach the user and make sure they change their password.
Compte inactifInactive account Cette alerte se déclenche quand un compte n’est pas utilisé durant 60 jours dans l’une de vos applications cloud connectées.This alert is triggered when an account has not been used in 60 days in one of your connected cloud apps. Contactez l’utilisateur et le responsable de l’utilisateur pour déterminer si le compte est encore actif.Contact the user and the user's manager to determine whether the account is still active. Si ce n’est pas le cas, suspendez l’utilisateur et mettez un terme à sa licence pour l’application.If not, suspend the user and terminate the license for the app.
Nouvel utilisateur administrateurNew admin user Cette alerte vous signale que des modifications ont été apportées dans vos comptes privilégiés pour des applications connectées.This alerts you to changes in your privileged accounts for connected apps. Vérifiez que les nouvelles autorisations d’administration sont bien nécessaires pour l’utilisateur.Confirm that the new admin permissions are in fact required for the user. Si ce n’est pas le cas, nous recommandons de révoquer les privilèges d’administrateur de façon à réduire l’exposition.If they are not, recommend revoking admin privileges to reduce exposure.
Nouvel emplacement administrateurNew admin location Cette alerte vous signale que des modifications ont été apportées dans vos comptes privilégiés pour des applications connectées.This alerts you to changes in your privileged accounts for connected apps. Vérifiez que la connexion depuis cet emplacement anormal était légitime.Confirm that the sign in from this anomalous location was legitimate. Si ce n’est pas le cas, nous recommandons de révoquer les autorisations d’administration ou de suspendre le compte de façon à réduire l’exposition.If it's not, recommend revoking admin permissions or suspending the account to reduce exposure.
Nouvel emplacementNew location Il s’agit d’une alerte à titre d’information sur l’accès à une application connectée à partir d’un nouvel emplacement. Elle se déclenche une seule fois par pays.This is an informative alert about access to a connected app from a new location, and it's triggered only once per country. Examinez les activités de l’utilisateur concerné.Investigate the specific user's activity.
Nouveau service découvertNew discovered service Il s’agit d’une alerte concernant l’informatique fantôme : une nouvelle application a été détectée par Cloud Discovery.This is an alert about Shadow IT--a new app was detected by Cloud Discovery.
  • Évaluez le risque du service en fonction du catalogue d’applications.Assess the risk of the service based on the app catalog.
  • Explorez l’activité au niveau du détail pour en comprendre les modèles d’utilisation et la fréquence.Drill down into the activity to understand usage patterns and prevalence.
  • Décidez d’approuver ou de ne pas approuver l’application.Decide whether to sanction or unsanction the app.

Pour les applications non approuvées :For unsanctioned apps:

  • Vous pouvez en bloquer l’utilisation dans votre pare-feu ou proxy.You may want to block use in your proxy or firewall.
  • Si vous avez une application non approuvée et une application approuvée dans la même catégorie, vous pouvez explorer une liste des utilisateurs de l’application non approuvée, puis les contacter pour les inviter à migrer vers l’application approuvée.If you have an unsanctioned app and a sanctioned app in the same category, you can export a list of users of the unsanctioned app, and then contact them to migrate them to the sanctioned app.
Activité suspecteSuspicious activity Cette alerte vous indique qu’une activité anormale qui n’est pas conforme aux activités ou utilisateurs attendus de votre organisation a été détectée.This alert lets you know that anomalous activity has been detected that is not aligned with expected activities or users in your organization. Examinez le comportement et vérifiez-le auprès de l’utilisateur.Investigate the behavior and confirm it with the user.

Ce type d’alerte est l’élément idéal pour en savoir plus sur votre environnement et créer des stratégies avec ces alertes.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Par exemple, si un utilisateur charge soudainement une grande quantité de données dans l’une de vos applications connectées, vous pouvez définir une règle pour gérer ce type de comportement anormal.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Utilisation suspecte du cloudSuspicious cloud use Cette alerte vous indique qu’une activité anormale qui n’est pas conforme aux activités ou utilisateurs attendus de votre organisation a été détectée.This alert lets you know that anomalous activity has been detected that is not aligned with expected activities or users in your organization. Examinez le comportement et vérifiez-le auprès de l’utilisateur.Investigate the behavior and confirm it with the user.

Ce type d’alerte est l’élément idéal pour en savoir plus sur votre environnement et créer des stratégies avec ces alertes.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Par exemple, si un utilisateur charge soudainement une grande quantité de données dans l’une de vos applications connectées, vous pouvez définir une règle pour gérer ce type de comportement anormal.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Utilisation d’un compte personnelUse of personal account Cette alerte vous informe qu’un nouveau compte personnel a accès aux ressources de vos applications connectées.This alert lets you know that a new personal account has access to resources in your connected apps. Supprimez les collaborations de l’utilisateur dans le compte externe.Remove the user's collaborations in the external account.

Étapes suivantesNext steps

Pour plus d’informations sur l’examen des alertes, consultez Investiguer.For more information about investigating alerts, see Investigate.
Pour obtenir du support technique, visitez la page du support assisté de Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.