Protection de votre organisation contre les menacesProtecting your organization against threats

Identifiez les problèmes liés à une utilisation à haut risque et à la sécurité dans le cloud, détectez tout comportement anormal des utilisateurs et protégez vos applications cloud connectées contre les menaces.Identify high-risk usage and cloud security issues, detect abnormal user behavior, and prevent threats in your connected cloud apps. Bénéficiez d’une visibilité sur les activités des administrateurs et des utilisateurs, et définissez des stratégies pour générer automatiquement une alerte en cas de comportement suspect ou quand des activités spécifiques que vous considérez comme risquées se déroulent dans vos environnements approuvés.Get visibility into user and admin activities and define policies to automatically alert on suspicious behavior or when specific activities that you consider risky happen in your sanction environments. Exploitez la quantité considérable de données Microsoft relatives à l’intelligence des menaces et à la recherche sur la sécurité.Draw from the vast amount of Microsoft threat intelligence and security research data. Les stratégies de détection des menaces vous permettent de vous assurer que vos applications approuvées bénéficient de tous les contrôles de sécurité nécessaires et de bien les maîtriser.Threat detection policies help you ensure that your sanctioned apps have all the security controls you need in place and help you maintain control over them.

Téléchargement en masse par un seul utilisateur (exfiltration de données par une personne interne)Mass download by a single user (data exfiltration by an insider)

Ce cas d’utilisation s’applique à Office 365, G Suite, Box, Dropbox, Salesforce.This use case applies to Office 365, G Suite, Box, Dropbox, Salesforce.

LA MENACETHE THREAT

Une personne interne malveillante peut exfiltrer des données d’Office 365 ou d’autres applications cloud en téléchargeant ou en consultant plusieurs fichiers sur une courte période de temps.A malicious insider can exfiltrate data from Office 365 or other cloud apps by downloading or accessing multiple files over a short period of time.

LA SOLUTIONTHE SOLUTION

Détectez quand un utilisateur télécharge ou consulte un grand nombre de fichiers en peu de temps.Detect when a user downloads or accesses a massive number of files within a short period.

PrérequisPrerequisites

Connectez au moins une application cloud à Cloud App Security.Connect at least one cloud app to Cloud App Security.

Configurer la surveillanceSetting up monitoring

  1. Par défaut, Cloud App Security analyse votre réseau pour établir une base de référence, où il découvre ce que font généralement les utilisateurs dans votre cloud et à quel moment.By default, Cloud App Security scans your network to establish a baseline, wherein it learns patterns of what your users ordinarily do in your cloud, when they do it and what they commonly do.

  2. Définissez une stratégie qui surveille vos applications cloud pour détecter les téléchargements en masse et vous alerte si une activité inhabituelle se produit :Set a policy that will watch your cloud apps for massive downloads and alert you if something out of the ordinary happens:

    1. Dans la page Stratégies, cliquez sur Créer une stratégie d’activité.On the Policies page, click Create activity policy.

    2. Dans le champ Modèle de stratégie, choisissez Téléchargement massif par un même utilisateur.In the Policy template field, choose Mass download by a single user.

    3. Vous pouvez aussi ajuster le filtre d’activité répétée.Optionally, you can fine tune the repeated activity filter.

    4. Cliquez sur Créer.Click Create.

  3. Étudier les correspondancesInvestigating your matches

    1. Dans la page Stratégies, cliquez sur le nom de la stratégie pour atteindre le Rapport de stratégie, puis passez en revue les correspondances qui ont été déclenchées.In the Policies page, click on the policy name to go to the Policy report and review the matches that were triggered for the policy.

    2. Pour examiner une correspondance, cliquez sur celle-ci et ouvrez le tiroir d’activité.You can investigate the match by clicking on a specific match to open the activity drawer. Dans le tiroir, vous pouvez voir les autres stratégies correspondant à cette activité.In the drawer, you can see the other policies that this activity matched.

    3. Vous pouvez vérifier les fichiers qui ont été téléchargés par l’utilisateur en cliquant sur les objets d’activité dans le tiroir Activité, puis sur le nom du fichier : vous accédez au fichier dans le tableau de fichiers.You can check the files that were downloaded by the user by clicking on the activity bjects in the Activity drawer and then on the file’s name, this will lead you to the file in the files table. Dans ce tableau, vous pouvez voir si les fichiers sont détenus par l’utilisateur et avec qui ils sont partagés, et déterminer s’il s’agit de fichiers que l’utilisateur utilise habituellement ou s’ils proviennent d’une adresse IP interne et ne doivent pas être téléchargés.There you can see if the files are owned by the user, who are they shared with and will allow you to determine if these are files they usually work on or whether they are internal IP that should not be downloaded.

Valider votre stratégieValidating your policy

  1. Pour simuler une alerte, téléchargez à partir de vos applications cloud connectées un nombre de documents supérieur au seuil que vous avez défini et sur une courte période, selon l’intervalle de temps que vous avez défini dans la stratégie (par exemple, 30 téléchargements en moins de 5 minutes).To simulate an alert, download a number of documents, that is larger than the threshold you set, from your connected cloud apps within a short period depending on the timeframe you set in the policy (for example, 30 downloads in less than 5 minutes).
  2. Accédez au rapport de stratégie.Go to the policy report. Une correspondance de stratégie d’activité devrait apparaître sous peu.An activity policy match should appear shortly.
  3. Vous pouvez cliquer sur la correspondance pour voir quels fichiers ont été téléchargés.You can click on the match to see which files were downloaded.

Supprimer le risqueRemoving the risk

Une fois que vous avez validé et ajusté la stratégie, supprimez les faux positifs éventuels qui peuvent avoir été signalés par votre stratégie, comme des comptes de service qui synchronisent des fichiers, des dossiers d’images des événements de la société, etc. Effectuez ensuite les opérations suivantes :After you've validated it and fine-tuned the policy, remove possible false positives that may have matched your policy, such as service accounts that are syncing files, folders of pictures from company events, etc. Then, do the following:

  1. Vous pouvez lancer des actions de gouvernance en ouvrant l’activité dans le tiroir d’activités, puis en cliquant sur le nom du fichier sous Objets d’activité.You can take governance actions opening the activity in the activity drawer, and click on the name of the file under Activity objects.

  2. Contactez les utilisateurs pour leur demander pourquoi ils ont besoin de copier autant de fichiers d’entreprise sur leur ordinateur.Contact the users to see why they need to copies of so many corporate files on their computers.

Activité d’administration en dehors du réseau de votre organisationAdmin activity from outside your organization's network

Ce cas d’utilisation s’applique à Office 365, G Suite, Box, Dropbox, Salesforce et Okta.This use case applies to Office 365, G Suite, Box, Dropbox, Salesforce, and Okta.

LA MENACETHE THREAT

Un compte d’administrateur a été corrompu par un attaquant externe.An admin account has been compromised by an outside attacker. Les comptes d’administrateur sont les comptes les plus sensibles de votre organisation, car ils ont les privilèges les plus élevés et accèdent à toutes les informations de votre organisation.Admin accounts are the most sensitive accounts in your organization because the have the highest privileges and access to all the information in your organization. Généralement, une activité d’administration doit être effectuée en interne dans le cadre du travail de l’administrateur et non à partir d’emplacements distants ou d’appareils non reconnus.Usually administrative activity should be performed from the office as a part of the admin’s work, and not from remote locations or unrecognized devices.

LA SOLUTIONTHE SOLUTION

Détectez quand des personnes se faisant passer pour des administrateurs se connectent à votre application cloud à partir d’adresses IP externes et effectuent une activité d’administration.Detect when people posing as admins are connecting to your cloud application from external IP addresses and performing any admin activity.

Conditions préalablesPrerequisites

  • Connectez au moins une application cloud à Cloud App Security.Connect at least one cloud app to Cloud App Security.

  • Accédez à Paramètres > Plages d’adresses IP et ajoutez les plages d’adresses IP des deux sous-réseaux internes et leurs adresses IP publiques de sortie, puis marquez-les comme appartenant à l’Entreprise.Go to Settings > IP address ranges and add IP address ranges for both internal subnets and their egress public IPs and tag them as Corporate.

Configurer la surveillanceSetting up monitoring

  1. Commencez à surveiller vos applications cloud en configurant une stratégie pour détecter les activités d’administration en dehors de votre réseau et vous alerter si une activité inhabituelle se produit :Start monitoring your cloud apps by setting up a policy that will watch your cloud apps for admin activity outside your network and alert you if something out of the ordinary happens:

    1. Dans la page Stratégies, cliquez sur Créer une stratégie d’activité.On the Policies page, click Create activity policy.

    2. Dans le champ Modèle de stratégie, choisissez Activité administrative à partir d’une adresse IP n’appartenant pas à l’entreprise, puis définissez le Type d’activité sur Ouvrir une session et sélectionnez Utilisateur, Du groupe et sélectionnez le groupe auquel vos administrateurs appartiennent.In the Policy template field, choose Administrative activity from a non-corporate IP address and also set the Activity type to Log on and select User and then From group and select the group your administrators belong to.

    3. Vous pouvez ajuster la stratégie pour définir le nombre d’activités répétées que vous voulez considérer comme suspect.You can fine-tune the policy to set the number of repeated activities that you want to consider suspicious.

    4. Cliquez sur Créer.Click Create.

  2. Étudier les correspondancesInvestigating your matches

    1. Dans la page Stratégies, cliquez sur le nom de la stratégie pour atteindre le Rapport de stratégie, puis passez en revue les correspondances qui ont été déclenchées.In the Policies page, click on the policy name to go to the Policy report and review the matches that were triggered for the policy.

    2. Pour examiner une correspondance, cliquez sur celle-ci et ouvrez le tiroir d’activité.You can investigate the match by clicking on a specific match to open the activity drawer. Dans le tiroir, vous pouvez voir les autres stratégies correspondant à cette activité.In the drawer, you can see the other policies that this activity matched.

Valider votre stratégieValidating your policy

  1. Pour simuler une alerte, à partir d’un ordinateur avec une adresse IP qui ne fait pas partie de votre réseau d’entreprise, effectuer des activités d’administration, en vérifiant que le nombre d’activités que vous effectuez est supérieur au seuil défini, sur une courte période selon l’intervalle de temps que vous avez défini dans la stratégie (par exemple, 1 activité en moins de 5 minutes).To simulate an alert, from a computer with an IP address that is not part of your Corporate network, perform admin activities, making sure that the number of activities you perform is larger than the threshold you set, within a short period depending on the timeframe you set in the policy (for example, 1 activities in less than 5 minutes).
  2. Accédez au rapport de stratégie.Go to the policy report. Une correspondance de stratégie d’activité devrait apparaître sous peu.An activity policy match should appear shortly.
  3. Vous pouvez cliquer sur la correspondance pour voir les activités qui ont été effectuées.You can click on the match to see what activities were performed.

Supprimer le risqueRemoving the risk

Après avoir validé et affiné la stratégie, supprimez les faux positifs possibles qui peuvent avoir correspondu à votre stratégie.After you've validated it and fine-tuned the policy, remove possible false positives that may have matched your policy. Effectuez ensuite les opérations suivantes :Then, do the following:

  1. Vous pouvez lancer des actions de gouvernance en ouvrant l’activité dans le tiroir d’activités, puis en cliquant sur le nom de l’Utilisateur.You can take governance actions opening the activity in the activity drawer, and click on the name of the User.

  2. Dans la page de l’utilisateur qui s’ouvre, vous pouvez voir un graphique d’activité de l’utilisateur sur le dernier mois et les emplacements où l’utilisateur a été actif sur le dernier mois, ainsi que les appartenances à un groupe, l’activité des applications et les comptes.In the user page that opens, you can see a graph of the user's activity over the last month, and locations where the user was seen active over the last month as well as group memberships, app activity and accounts.

  3. Si nécessaire, vous pouvez cliquer sur Contacter pour envoyer un e-mail à l’utilisateur et l’alerter que son compte est corrompu.If necessary, you can click contact to send an email message to the user to alert them that their account has been breached.

    gouvernance automatique externe

    1. Une fois la validation effectuée, vous pouvez définir des actions de gouvernance automatiques.After it's fully validated, you can set it to perform automatic governance actions. Par exemple, vous pouvez Interrompre la synchronisation de l’utilisateur ou Supprimer les collaborations de l’utilisateur.For example, you can Suspend user or Remove user's collaborations.

Voir aussiSee Also

Activités quotidiennes pour protéger votre environnement cloud Daily activities to protect your cloud environment
Pour obtenir un support technique, visitez la page de support assisté Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.