Utilisation des données de découverte

Notes

Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog Microsoft Ignite Security.

Le tableau de bord Cloud Discovery est conçu pour vous donner plus d’informations sur l’utilisation des applications cloud dans votre organisation. Il fournit une vue d’ensemble en un clin d’œil des types d’applications utilisés, des alertes ouvertes et des niveaux de risque des applications dans votre organisation. Il vous montre également les principaux utilisateurs des applications et fournit un plan du lieu du siège social d’une application. Le tableau de bord Cloud Discovery a de nombreuses options pour filtrer les données. Le filtrage vous permet de générer des vues spécifiques selon ce qui vous intéresse le plus, avec des graphiques faciles à comprendre pour vous donner une vision globale en un clin d’œil.

cloud discovery dashboard.

Consulter le tableau de bord Cloud Discovery

La première chose à faire pour obtenir une vue d’ensemble de vos applications Cloud Discovery consiste à examiner les informations suivantes du tableau de bord Cloud Discovery :

  1. Examinez d’abord l’utilisation globale de l’application cloud dans votre organisation dans la vue d’ensemble de l’utilisation de haut niveau.

  2. Ensuite, explorez un niveau plus profond pour voir quelles sont les catégories principales utilisées dans votre organisation pour chacun des différents paramètres d’utilisation. Vous pouvez voir la part d’utilisation des applications approuvées.

  3. Aller encore plus loin et voir toutes les applications dans une catégorie spécifique dans l’onglet Applications découvertes .

  4. Vous pouvez voir les principaux utilisateurs et adresses IP sources pour identifier les utilisateurs les plus dominants des applications cloud de votre organisation.

  5. Vérifiez comment les applications découvertes sont réparties selon l’emplacement géographique (selon leur HQ) dans la carte du siège de l’application.

  6. Enfin, n’oubliez pas de passer en revue le score de risque de l’application découverte dans la vue d’ensemble des risques de l’application. Vérifiez l’état des alertes de découverte pour voir le nombre d’alertes ouvertes que vous devez examiner.

Exclure des entités

Si vous disposez d’utilisateurs système, d’adresses IP ou d’appareils bruyants, sans intérêt ou d’applications qui ne sont pas pertinentes, vous souhaiterez peut-être exclure leurs données des données cloud Discovery analysées. Par exemple, vous pouvez exclure toutes les informations provenant de 127.0.0.1 ou de l’hôte local.

Pour créer une exclusion :

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.

  2. Cliquez sur l’onglet Exclure des entités.

  3. Choisissez les utilisateurs exclus, les adresses IPexclues ou l’onglet Appareil exclu , puis cliquez sur le bouton + pour ajouter votre exclusion.

  4. Ajoutez un alias d’utilisateur, une adresse IP ou un nom d’appareil. Nous vous recommandons d’ajouter des informations sur les raisons de l’exclusion.

    exclude user.

Gérer les rapports continus

Les rapports continus personnalisés vous apportent une plus grande granularité lors de la surveillance des données de journaux Cloud Discovery de votre organisation. En créant des rapports personnalisés, vous pouvez filtrer sur des emplacements géographiques, des réseaux, des sites ou des unités d’organisation spécifiques. Par défaut, seuls les rapports suivants apparaissent dans votre sélecteur de rapports Cloud Discovery :

  • Le rapport global regroupe toutes les informations du portail provenant de toutes les sources de données que vous avez incluses dans vos journaux. Le rapport global n’inclut pas de données de Microsoft Defender pour point de terminaison.

  • Le rapport spécifique à la source de données affiche uniquement les informations d’une source de données spécifique.

Pour créer un rapport continu :

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.

  2. Cliquez sur l’onglet Rapport continu.

  3. Cliquez sur le bouton Créer un rapport.

  4. Entrez un nom de rapport.

  5. Sélectionnez les sources de données à inclure (toutes ou certaines).

  6. Définissez les filtres souhaités sur les données. Ces filtres peuvent être des groupes d’utilisateurs, des balises d’adresse IP ou des plages d’adresses IP. Pour plus d’informations sur l’utilisation de balises d’adresse IP et de plages d’adresses IP, voir Organiser les données selon vos besoins.

    create custom continuous report.

Notes

Tous les rapports personnalisés sont limitées à 1 Go de données maximum non compressées. En cas de dépassement, le premier 1 Go de données est exporté dans le rapport.

Suppression de données Cloud Discovery

Plusieurs raisons peuvent vous amener à supprimer vos données Cloud Discovery. Nous vous recommandons de les supprimer dans les cas suivants :

  • Vous avez chargé manuellement les fichiers journaux, vous avez attendu longtemps avant de mettre à jour le système avec de nouveaux fichiers journaux et vous ne voulez pas que les anciennes données affectent vos résultats.

  • Quand vous définissez une nouvelle vue de données personnalisée, elle s’applique seulement aux nouvelles données à partir de ce moment. Vous pouvez ainsi effacer les anciennes données, puis recharger vos fichiers journaux pour permettre à la vue de données personnalisée de sélectionner des événements dans les données des fichiers journaux.

  • Si de nombreux utilisateurs ou adresses IP sont à nouveau actifs après une longue période hors connexion, leur activité est identifiée comme étant anormale et vous risquez d’obtenir de nombreuses violations qui sont en fait des faux positifs.

Pour supprimer des données Cloud Discovery :

  1. Dans le portail, sous l’icône Paramètres, sélectionnez Paramètres Cloud Discovery.

  2. Cliquez sur l’onglet Supprimer les données.

    Il est important d’être sûr de vouloir supprimer les données avant de poursuivre : cette opération ne peut pas être annulée et toutes les données Cloud Discovery dans le système sont alors supprimées.

  3. Cliquez sur le bouton Supprimer .

    delete data.

    Notes

    Le processus de suppression peut prendre quelques minutes et il n’est pas immédiat.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.