Utilisation du Tableau de bord des Activités des Applications

Cet article explique comment utiliser le Tableau de bord des Activités des Applications pour surveiller les activités au sein des applications SaaS. Le tableau de bord des Activités des Applications est un onglet dans la surveillance des Applications de l'Application de gestion Cato (CMA).

Vue d'ensemble

Le tableau de bord des Activités des Applications offre une visibilité centralisée et complète des activités des utilisateurs dans les applications SaaS utilisées dans votre écosystème. Le tableau de bord contient des données de plusieurs fonctionnalités pour combiner les applications sanctionnées et non sanctionnées qui sont surveillées à la fois en ligne et hors bande. Cela vous permet de détecter toute anomalie, d'assurer la conformité et de rationaliser la réponse aux incidents à partir d'un seul tableau de bord.

Le tableau de bord des Activités des Applications vous permet de surveiller :

Activité des Utilisateurs dans les applications informatiques fantômes et sanctionnées
- Basé sur l'inspection du trafic en ligne de votre Politique de contrôle d'application, vous pouvez voir les activités réalisées par chaque utilisateur
- Ces données sont uniquement affichées dans le Tableau de bord des activités Cloud si le Contrôle d'Application et l'Inspection TLS sont activés
- Pour plus d'informations, voir Cloud Access Security Broker (CASB)
Chaque activité des Utilisateurs non gérés et gérés
- Basé sur l'intégration API avec des Applications sanctionnées
- Pour plus d'informations, voir Qu'est-ce que les Activités d'Application
Connexions aux applications sanctionnées
- Basé sur les Utilisateurs se connectant à une application avec SSO et une intégration API avec votre fournisseur d'identité
- Compatible avec Entra ID
- Pour plus d'informations, voir Configuring the Microsoft Entra ID (Azure AD) Connector et Configuring the Microsoft Entra ID Protection Connector for Sign-In Anomaly Data

Remarque

Note : Certains widgets dans le tableau de bord nécessitent que le Contrôle d'application soit activé avec une règle qui surveille toutes les activités cloud à travers toutes les applications cloud.

Accès au Tableau de bord des Activités de l'Application

Le tableau de bord des Activités d'Application est un onglet de la Surveillance des Applications dans l'Application de gestion Cato (CMA). Pour plus d'informations sur les autres onglets, voir Utilisation du Tableau de Bord des Applications.

Pour accéder au tableau de bord des Activités de l'App :

Dans le menu de navigation, cliquez sur Sécurité > Applications.
Cliquez sur l'onglet Activités.

Comprendre les Composants Généraux du Tableau de Bord de l'Activité des Applications

Les widgets dans la section Audit Activities contiennent deux composants pour vous aider à identifier les tendances d'utilisation :

Commuteur Inline / API : Ce commuteur permet de basculer les données entre les applications surveillées en ligne et celles surveillées par API.
Indicateur de Croissance/Déclin : Si une métrique spécifique a changé de plus de 100 % sur la période définie, une flèche apparaît à côté de la métrique. S'il y a eu une augmentation, il y a une flèche rouge pointant vers le haut. Si une diminution est constatée, une flèche verte pointe vers le bas. En survolant la métrique, vous pouvez voir le pourcentage exact de changement.
Catégories d'Activité : Les activités effectuées dans une application sont regroupées en Catégories d'Activités dans le tableau de bord. Cela vous permet de suivre, filtrer et visualiser l'activité SaaS pour gérer et enquêter le comportement des Utilisateurs de manière efficace. Pour plus d'informations, voir Qu'est-ce que le Contrôle d'Application via API avec Activités d'audit?.

Cas d'Utilisation

Voici des exemples d'aperçus que vous pouvez obtenir à partir des widgets du Tableau de Bord de l'Activité des Applications :

Téléchargements Suspects : Détecter des téléchargements de données volumineux ou inhabituels. Par exemple, un employé spécifique téléchargeant significativement plus de données que la normale, ce qui pourrait indiquer une exfiltration de données ou des menaces internes.
Changements de Permission : Suivre et examiner les occasions où les permissions des Utilisateurs sont modifiées, aidant à identifier les accès non autorisés ou les escalades de privilèges.

Démarrage avec le Tableau de Bord des Activités de l'App

Le Tableau de Bord de l'Activité des Applications est divisé en trois sections :

Vue d'ensemble : Un résumé de haut niveau du nombre d'applications utilisées dans votre écosystème
Audit Activities : Un résumé des actions entreprises, des applications impliquées, et des Utilisateurs qui les ont réalisées, tant pour les applications en ligne que hors ligne.
Connexions SSO : Visibilité des événements de connexion SSO dans le locataire Microsoft Entra ID de votre organisation

Ces tableaux expliquent les widgets du Tableau de Bord des Activités des Applications.

Comprendre la Section de Vue d'ensemble

Cette table explique les widgets de la section Vue d'ensemble :

Nom	Description
Applications surveillées en ligne	Le nombre d'applications surveillées par la Solution Cato CASB. Cette valeur n'est pas affectée lorsque vous modifiez la plage de temps ou un filtre.
Applications surveillées via API	Le nombre d'applications surveillées par API. Cette valeur n'est pas affectée lorsque vous modifiez la plage de temps ou un filtre.
Non sanctionnées	Le nombre d'applications non sanctionnées utilisées dans votre compte. Cette valeur n'est pas affectée lorsque vous modifiez la plage de temps ou un filtre.
Accédé en dehors de Cato	Nombre d'applications accédées en dehors de Cato (comme dans les Applications Cloud – apparaissent uniquement lorsque EntraID est configuré).

Comprendre la Section Activités de Vérification

Cette table explique les widgets dans la section Activités de Vérification :

Nom	Description
Activités au Fil du Temps	Fréquence à laquelle chaque Catégorie d'Activité est survenue lors de la période de temps et filtre.
Utilisateurs	Fréquence à laquelle chaque Utilisateur a complété une activité.
Distribution des Activités	Distribution de chaque activité comme un pourcentage du total des activités.
Applications	Fréquence à laquelle une activité est survenue dans chaque application.
Fichiers	Fichiers qui ont été téléchargés ou téléversés.

Comprendre la Section des Anomalies SaaS

La section des Anomalies SaaS contient deux widgets, le SaaS Findings, affiche le nombre d'Anomalies SaaS par leur Titre ou Gravité. Le widget Applications affiche les applications dans lesquelles les Anomalies SaaS ont été détectées.

Comprendre la Section des Connexions SSO

Cette table explique les widgets dans la section Connexion SSO :

Nom	Description
Activité de Connexion aux Applications Sanctionnées	Affiche les informations de connexion SSO pour toutes les applications SaaS sanctionnées de votre organisation qui utilisent SSO. Vous pouvez cliquer dans la ligne d'une application pour afficher la page des Événements préfiltrée pour les événements de connexion pour l'application. Voici les colonnes du widget : # Connexion - Nombre total de connexions pour l'application, y compris les connexions réussies et échouées # En dehors de Cato - Indique les Utilisateurs qui se sont authentifiés à une application directement sur Internet public et non via le Cato Cloud. Le trafic de l'application sur l'internet public n'est pas protégé par les services de Sécurité de Cato Cloud. # Échec de Connexion - Nombre de tentatives de connexion échouées pour l'application # Locataires - Nombre de locataires Entra ID associés aux connexions à cette application. Ce nombre peut inclure des locataires externes à votre organisation si vous avez configuré l'Accès ID externe, et une connexion a été effectuée depuis une source extérieure à votre organisation. Survolez le nombre de locataires, puis survolez l'infobulle pour afficher les IDs de locataire tels qu'ils apparaissent dans les événements de connexion pour l'application. Vous pouvez utiliser l'ID de locataire pour filtrer la page des événements afin d'afficher les événements pour ce locataire. Si une connexion a été effectuée depuis une source extérieure à votre organisation, vous pouvez utiliser l'ID de locataire pour voir les détails concernant la source externe dans l'événement associé Cliquez sur la ligne d'une application pour afficher la page des événements pré-filtrée pour les événements de connexion de l'application
Catégories d'Activités par Pays	Affiche les informations suivantes pour les connexions de chaque pays : # Connexion - Nombre total de connexions pour le pays, y compris les connexions réussies et échouées # Échec de Connexion - Nombre de tentatives de connexion échouées pour le pays
Principaux Utilisateurs Avec Échec de Connexion	Une liste d'utilisateurs avec le plus d'échecs de connexions pour une seule application, avec le nom de l'application et le nombre d'échecs de connexions.
Principales Connexions Hors de Cato	Une liste d'utilisateurs avec le plus de connexions pour une seule application en dehors de, avec le nom de l'application et le nombre d'échecs de connexions.
Principales Anomalies de Connexion	Une liste d'utilisateurs avec le plus d'anomalies de connexions.
Activité de Connexion au Fil du Temps	Graphiques des connexions totales et échouées sur une chronologie Survolez le graphique avec la souris pour afficher les détails de connexion pour un point de la chronologie Cliquez sur un bouton bascule pour afficher ou masquer un graphique Cliquez et faites glisser pour zoomer sur : Temps des connexions Nombre de connexions
Anomalies	Connexions anormales sur votre locataire Entra ID qui peuvent indiquer une activité malveillante. Les types d'anomalies incluent : Voyage atypique, Jeton anormal, Navigateur suspect, Propriétés de connexion inconnues, Adresse IP malveillante, Règles de manipulation suspecte de la boîte de réception, Spraying de mot de passe, Voyage impossible, Nouveau pays, Activité depuis adresse IP anonyme, Transfert suspect de boîte de réception, Accès massif à des fichiers sensibles, Adresse IP d'acteur de menace vérifiée, Risque supplémentaire détecté, Adresse IP anonyme, Admin a confirmé la compromission de l'utilisateur, Intelligence sur les menaces de Microsoft Entra.
Détail des Connexions Par Systèmes d'Exploitation	Montre le nombre de connexions d'applications effectuées sur chaque système d'exploitation. Survolez une section du graphique pour afficher le nombre de connexions pour ce système d'exploitation et son pourcentage du total des connexions.
Détail des Connexions Par Navigateur	Montre le nombre de connexions d'applications effectuées sur chaque navigateur. Survolez une section du graphique pour afficher le nombre de connexions pour ce navigateur et son pourcentage du total des connexions.