Stratégies de détection des anomalies dans Office 365 Cloud application sécurité

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Gestion de la sécurité avancée Office 365 est désormais Cloud App Security d’Office 365.

Évaluation    >

Planification    >

Déploiement    >

Taux d’utilisation   

Commencer à évaluer

Commencez à planifier

Vous êtes ici !

Étape suivante

Commencer à utiliser

Commençant par la sécurité de l’application Microsoft Cloud relâchez 116, Cloud App Security d’Office 365 inclut plusieurs anomalie prédéfinies des stratégies de détection (« prêts à l’emploi ») qui incluent analytique comportement entité (UEBA) d’utilisateurs et apprentissage (ML) de l’ordinateur.

Pour afficher vos stratégies de détection des anomalies, choisissez Contrôle > stratégies.

Ces stratégies de détection des anomalies fournissent des résultats immédiates en fournissant détection immédiate, un ciblage de nombreuses anomalies comportement entre vos utilisateurs et les ordinateurs et appareils connectés à votre réseau. En outre, les nouvelles stratégies exposent des données supplémentaires à partir du moteur de détection de sécurité de l’application Cloud pour vous aider à accélérer le processus d’enquête et contenir des menaces en cours.

Comme un administrateur global ou administrateur de sécurité, vous pouvez consulter et si nécessaire, modifiez les stratégies par défaut qui sont disponibles avec Cloud App Security d’Office 365.

Dans cet article:

Important : Il existe une période d’apprentissage initial de sept (7) jours pendant lequel les alertes de comportement anormal ne sont pas déclenchés. L’algorithme de détection des anomalies est optimisé pour réduire le nombre de fausses alertes.

Avant de commencer

Vérifiez que :

Afficher vos stratégies de détection des anomalies

  1. Comme un administrateur global ou administrateur de sécurité, accédez à https://protection.office.com et connectez-vous à l’aide de votre travail compte ou scolaire.

  2. Dans la zone Centre de sécurité et conformité, sélectionnez alertes > Gérer avancées alertes.

  3. Cliquez sur Atteindre la sécurité de l’application Office 365 Cloud.

    Cela vous permet d’accéder à la page stratégies Cloud App Security d’Office 365.

  4. Dans la liste TYPE, sélectionnez la stratégie de détection des anomalies.

    Votre organisation par défaut (ou existant) des stratégies de détection des anomalies sont affichées.

    Plusieurs stratégies de détection des anomalies sont disponibles par défaut dans Office 365 Cloud application sécurité

  5. Sélectionnez une stratégie pour consulter ou modifier ses paramètres.

  6. Choisissez Update (Mettre à jour) pour enregistrer vos modifications.

Pour plus d’informations sur les stratégies de détection des anomalies

Stratégies de détection des anomalies sont activées automatiquement ; Toutefois, Cloud App Security d’Office 365 a une période d’apprentissage initial de sept jours pendant les anomalies pas toutes les alertes de détection sont déclenchés. Après cela, chaque session est comparée à l’activité, lorsque les utilisateurs ont été actives, adresses IP, appareils, etc. détectés pendant le mois dernier ainsi que le score risque de ces activités. Ces éléments détectés font partie du moteur de détection des anomalies heuristique que les profils de votre environnement et déclenche des alertes par rapport à un planning de référence qui a été appris sur l’activité de votre organisation. Ces éléments détectés également exploitent les algorithmes d’apprentissage machine conçus pour les utilisateurs et les modèles de journal pour réduire les fausses du profil.

Anomalies sont détectés par l’analyse de l’activité des utilisateurs. Le risque est évalué en consultant plus de 30 indicateurs risque différent, regroupées en plusieurs facteurs de risque, tels qu’adresse IP risquée échecs de connexion, activité d’administration, les comptes inactifs, emplacement, voyage signalée, appareil et agent utilisateur et taux d’activité.

Alertes de sécurité basées sur les résultats de la stratégie, sont déclenchés. Cloud App Security d’Office 365 examine toutes les sessions utilisateur dans Office 365 et vous avertit chaque fois qu’un problème survient différent à partir de la ligne de base de votre organisation ou d’une activité régulière d’un utilisateur.

Le tableau suivant décrit les stratégies de détection des anomalies par défaut, leur signification et leur fonctionnement.

Nom de stratégie de détection des anomalies

Fonctionnement

Impossible de voyage

Identifie les deux activités utilisateur (est une ou plusieurs sessions) d’origine à partir d’emplacements géographiquement distants au sein d’une période de temps inférieure à la fois il auraient l’utilisateur de voyage à partir de l’emplacement du premier au second, indiquant qu’un autre utilisateur utilise les mêmes informations d’identification. Cette détection exploite un apprentissage algorithme qui ignore « fausses alertes évidentes » qui contribuent à la condition de voyage signalée, telles que VPN et les emplacements utilisés régulièrement par d’autres utilisateurs de l’organisation de l’ordinateur. La détection a une période d’apprentissage initial de sept jours pendant lequel il apprend au fur modèle d’activité d’un nouvel utilisateur.

Activité du pays occasionnels

Considère les emplacements d’activité pour déterminer les emplacements de nouveau et rarement utilisées. Le moteur de détection des anomalies stocke des informations sur les emplacements précédents utilisé par les utilisateurs de l’organisation. Une alerte est déclenchée lorsqu’une activité se produit à partir d’un emplacement qui a été pas récemment ou jamais visité par l’utilisateur ou par tout utilisateur de l’organisation.

Activité à partir des adresses IP anonymes

Identifie que les utilisateurs étaient actives à partir d’une adresse IP qui a été identifiée comme une adresse IP du proxy anonyme. Ces proxys sont utilisés par les personnes autorisées want masquer l’adresse IP de leur appareil et peuvent être utilisés pour les utilisateurs malveillants. Cette détection exploite un apprentissage algorithme de réduire les « faux positifs », tels que les adresses IP mal balisés qui sont fréquemment utilisées par les utilisateurs de l’organisation de l’ordinateur.

Activité à partir des adresses IP suspects

Identifie que les utilisateurs étaient actives à partir d’une adresse IP qui a été identifiée comme risquée par Microsoft sur les menaces. Ces adresses IP soient associés aux activités malveillantes, tels que Botnet C & C et indiquent compte compromis. Cette détection exploite un apprentissage algorithme de réduire les « faux positifs », tels que les adresses IP mal balisés qui sont fréquemment utilisées par les utilisateurs de l’organisation de l’ordinateur.

Activités inhabituelles (par utilisateur)

Identifie les utilisateurs effectuent des activités inhabituelles, telles que :

  • Plusieurs téléchargements de fichiers

  • Activités de partage de fichiers

  • Activités de suppression de fichiers

  • Activités d’emprunt d’identité

  • Activités hors projet

Ces politiques recherchez les activités au sein d’une seule session en ce qui concerne le planning de référence appris, pouvant indiquer sur une tentative de violation. Ces éléments détectés fondées sur un ordinateur algorithme profils utilisateurs une session motif d’apprentissage et réduire les faux positifs. Ces éléments détectés font partie du moteur de détection des anomalies heuristique que les profils de votre environnement et déclenche des alertes par rapport à un planning de référence qui a été appris sur l’activité de votre organisation.

Plusieurs tentatives infructueuses de connexion

Identifie les utilisateurs qui a échoué plusieurs tentatives de connexion en une seule session par rapport à la ligne de base appris qui pourrait indiquer sur une tentative de violation.

Alertes de détection des anomalies de tri

Comme alertes se présentent sous, vous pouvez trier ces alertes rapidement et déterminer celles que vous voulez gérer tout d’abord. Contexte d’une alerte vous permet de voir vue d’ensemble et déterminer si une action malveillante neuf bien. Utilisez la procédure suivante pour commencer à Explorer une alerte :

  1. Comme un administrateur global ou administrateur de sécurité, accédez à https://protection.office.com et connectez-vous à l’aide de votre travail compte ou scolaire.

  2. Dans la zone Centre de sécurité et conformité, sélectionnez alertes > Gérer avancées alertes.

  3. Cliquez sur Atteindre la sécurité de l’application Office 365 Cloud.

  4. Sélectionnez alertes pour afficher vos alertes.

  5. Pour obtenir le contexte d’une alerte, procédez comme suit :

    1. Cliquez sur examiner > journal d’activité.

    2. Sélectionnez un élément, tel qu’un utilisateur ou l’adresse IP. Cette action ouvre le bac d’alimentation issues d’analyses pertinentes.

      Dans le journal d’activité, vous pouvez rechercher une adresse IP.

    3. Dans le bac d’alimentation pertinents perspectives, cliquez sur une commande disponible, par exemple une icône dans la section Afficher les éléments similaires.

      Dans le bac d’alimentation pertinents perspectives, vous pouvez cliquer sur l’icône d’horloge pour voir les activités au sein de 48 heures d’une activité sélectionnée

    4. Familiarisez-vous à propos de l’élément sélectionné en continuant à Explorer les détails pour cet élément.

Une alerte sur plusieurs échecs de connexion peut en effet être suspecte et peut indiquer une attaque en force potentielle. Toutefois, une telle alerte peut également être un problème de configuration d’application, à l’origine de l’alerte pour être un vrai positif sans gravité. Si vous voyez une alerte de connexions a échoué multiple avec d’autres activités suspectes, il est une plus forte probabilité qu’un compte est compromis. Par exemple, supposons qu’une alerte de connexion a échoué multiple est suivie d’activité à partir d’une adresse IP de TOR et l’activité de voyage signalée, les deux indicateurs forts d’une autorité de. Vous pouvez même voir que l’utilisateur même effectué une activité de téléchargement en masse, ce qui est souvent un indicateur de l’intrus exécution d’exfiltration de données. Il s’agit de choses similaire à celui que vous pouvez Explorer dans Cloud App Security d’Office 365 pour afficher et trier vos alertes et effectuez l’action lorsque cela est nécessaire.

Étapes suivantes

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×