Utilisation des données de découverteWorking with discovery data

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Le tableau de bord Cloud Discovery est conçu pour vous donner plus d’informations sur l’utilisation des applications cloud dans votre organisation.The Cloud Discovery dashboard is designed to give you more insight into how cloud apps are being used in your organization. Il fournit une vue d’ensemble en un clin d’œil des types d’applications utilisés, des alertes ouvertes et des niveaux de risque des applications dans votre organisation.It provides an at-a-glance overview of what kinds of apps are being used, your open alerts, the risk levels of apps in your organization. Il vous montre également les principaux utilisateurs des applications et fournit un plan du lieu du siège social d’une application.It also shows you who your top app users are and provides an App Headquarter location map. Le tableau de bord Cloud Discovery a de nombreuses options pour filtrer les données.The Cloud Discovery Dashboard has many options for filtering the data. Le filtrage vous permet de générer des vues spécifiques selon ce qui vous intéresse le plus, avec des graphiques faciles à comprendre pour vous donner une vision globale en un clin d’œil.Filtering allows you to generate specific views depending on what you're most interested in using easy-to-understand graphics to give you the full picture at a glance.

tableau de bord Cloud Discovery

Consulter le tableau de bord Cloud DiscoveryReview the Cloud Discovery Dashboard

La première chose à faire pour obtenir une vue d’ensemble de vos applications Cloud Discovery consiste à examiner les informations suivantes du tableau de bord Cloud Discovery :The first thing you should do to get a general picture of your Cloud Discovery apps is review the following information in the Cloud Discovery Dashboard:

  1. Examinez d’abord l’utilisation globale des applications cloud dans votre organisation dans la Vue d’ensemble de l’utilisation générale.First look at the overall cloud app use in your organization in the High-level usage overview.

  2. Approfondissez ensuite cet examen pour identifier les principales catégories utilisées dans votre organisation pour chacun des différents paramètres d’utilisation.Then, dive one level deeper to see which are the top categories used in your org for each of the different use parameters. Vous pouvez voir la part d’utilisation des applications approuvées.You can see how much of this usage is by Sanction apps.

  3. Allez encore plus loin et affichez toutes les applications d’une catégorie spécifique sous l’onglet Applications découvertes.Go even deeper and see all the apps in a specific category in the Discovered apps tab.

  4. Vous pouvez voir les principaux utilisateurs et adresses IP sources pour identifier les utilisateurs qui emploient le plus les applications cloud dans votre organisation.You can see the top users and source IP addresses to identify which users are the most dominant users of cloud apps in your organization.

  5. Vérifiez comment les applications découvertes sont réparties en fonction de l’emplacement géographique (d’après le siège social) dans le Plan des sièges sociaux des applications.Check how the discovered apps spread according to geographic location (according to their HQ) in the App Headquarters map.

  6. Enfin, n’oubliez pas de consulter le score de risque de l’application découverte dans la vue d’ensemble des risques des applications.Finally, don't forget to review the risk score of the discovered app in the App risk overview. Vérifiez l’état des alertes de découverte pour voir le nombre d’alertes ouvertes à passer en revue.Check the discovery alerts status to see how many open alerts should you investigate.

Exclure des entitésExclude entities

Si vous avez des utilisateurs système, des adresses IP ou des appareils bruyants, mais non intéressants, ou des applications qui ne sont pas pertinents, vous souhaiterez peut-être exclure leurs données des données Cloud Discovery qui sont analysées.If you have system users, IP addresses, or device that are noisy but uninteresting or apps that aren't relevant, you may want to exclude their data from the Cloud Discovery data that is analyzed. Par exemple, vous pouvez exclure toutes les informations provenant de 127.0.0.1 ou de l’hôte local.For example, you might want to exclude all information originating from 127.0.0.1 or local host.

Pour créer une exclusion :To create an exclusion:

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Cliquez sur l’onglet Exclure des entités.Click the Exclude entities tab.

  3. Choisissez l’onglet utilisateurs exclus, adresses IP exclues ou périphérique exclu , puis cliquez sur le bouton + pour ajouter votre exclusion.Choose either the Excluded users, Excluded IP addresses, or Excluded device tab and click the + button to add your exclusion.

  4. Ajoutez un alias d’utilisateur, une adresse IP ou un nom de périphérique.Add a user alias, IP address, or device name. Nous vous recommandons d’ajouter des informations sur les raisons de l’exclusion.We recommend adding information about why the exclusion was made.

    exclure l’utilisateurexclude user

Gérer les rapports continusManage continuous reports

Les rapports continus personnalisés vous apportent une plus grande granularité lors de la surveillance des données de journaux Cloud Discovery de votre organisation.Custom continuous reports provide you more granularity when monitoring your organization's Cloud Discovery log data. En créant des rapports personnalisés, vous pouvez filtrer sur des emplacements géographiques, des réseaux, des sites ou des unités d’organisation spécifiques.By creating custom reports, it's possible to filter on specific geographic locations, networks and sites, or organizational units. Par défaut, seuls les rapports suivants apparaissent dans votre sélecteur de rapports Cloud Discovery :By default, only the following reports appear in your Cloud Discovery report selector:

  • Le rapport global regroupe toutes les informations du portail provenant de toutes les sources de données que vous avez incluses dans vos journaux.The Global report consolidates all the information in the portal from all the data sources you included in your logs. Le rapport global n’inclut pas de données de Microsoft Defender pour le point de terminaison.The global report doesn't include data from Microsoft Defender for Endpoint.

  • Le rapport spécifique à la source de données affiche uniquement les informations d’une source de données spécifique.The Data source specific report displays only information from a specific data source.

Pour créer un rapport continu :To create a new continuous report:

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Cliquez sur l’onglet Rapport continu.Click the Continuous report tab.

  3. Cliquez sur le bouton Créer un rapport.Click the Create report button.

  4. Entrez un nom de rapport.Enter a report name.

  5. Sélectionnez les sources de données à inclure (toutes ou certaines).Select the data sources you want to include (all or specific).

  6. Définissez les filtres souhaités sur les données.Set the filters you want on the data. Ces filtres peuvent être des groupes d’utilisateurs, des balises d’adresse IP ou des plages d’adresses IP.These filters can be User groups, IP address tags, or IP address ranges. Pour plus d’informations sur l’utilisation de balises d’adresse IP et de plages d’adresses IP, voir Organiser les données selon vos besoins.For more information on working with IP address tags and IP address ranges, see Organize the data according to your needs.

    créer un rapport continu personnalisé

Notes

Tous les rapports personnalisés sont limitées à 1 Go de données maximum non compressées.All custom reports are limited to a maximum of 1 GB of uncompressed data. En cas de dépassement, le premier 1 Go de données est exporté dans le rapport.If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Suppression de données Cloud DiscoveryDeleting Cloud Discovery data

Plusieurs raisons peuvent vous amener à supprimer vos données Cloud Discovery.There are a number of reasons why you may want to delete your Cloud Discovery data. Nous vous recommandons de les supprimer dans les cas suivants :We recommend deleting it in the following cases:

  • Vous avez chargé manuellement les fichiers journaux, vous avez attendu longtemps avant de mettre à jour le système avec de nouveaux fichiers journaux et vous ne voulez pas que les anciennes données affectent vos résultats.If you manually uploaded log files and a long time passed before you updated the system with new log files and you don't want old data affecting your results.

  • Quand vous définissez une nouvelle vue de données personnalisée, elle s’applique seulement aux nouvelles données à partir de ce moment.When you set a new custom data view, it will apply only to new data from that point forward. Vous pouvez ainsi effacer les anciennes données, puis recharger vos fichiers journaux pour permettre à la vue de données personnalisée de sélectionner des événements dans les données des fichiers journaux.So, you may want to erase old data and then upload your log files again to enable the custom data view to pick up events in the log file data.

  • Si de nombreux utilisateurs ou adresses IP sont à nouveau actifs après une longue période hors connexion, leur activité est identifiée comme étant anormale et vous risquez d’obtenir de nombreuses violations qui sont en fait des faux positifs.If many users or IP addresses recently started working again after being offline for some time, their activity will be identified as anomalous and may give you false positive violations.

Pour supprimer des données Cloud Discovery :To delete Cloud Discovery data:

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Cliquez sur l’onglet Supprimer les données.Click the Delete data tab.

    Il est important d’être sûr de vouloir supprimer les données avant de poursuivre : cette opération ne peut pas être annulée et toutes les données Cloud Discovery dans le système sont alors supprimées.It's important to be sure you want to delete data before continuing - it can't be undone and it deletes all Cloud Discovery data in the system.

  3. Cliquez sur le bouton Supprimer.Click the Delete button.

    supprimer des donnéesdelete data

    Notes

    Le processus de suppression peut prendre quelques minutes et il n’est pas immédiat.The deletion process takes a few minutes and is not immediate.

Étapes suivantesNext steps

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.