Aller au contenu principal

Intégrer Microsoft OneDrive

Surveillez OneDrive for Business afin de détecter les secrets exposés dans les fichiers utilisateurs et les documents partagés.

Pourquoi surveiller Microsoft OneDrive ?

OneDrive for Business sert de stockage cloud personnel où les employés enregistrent fréquemment des scripts, des fichiers de configuration et des documents de projet contenant des identifiants sensibles. Contrairement aux dépôts centralisés, les fichiers OneDrive échappent souvent à la supervision de sécurité, permettant à des clés API codées en dur, des mots de passe de base de données et des tokens de comptes de service de rester cachés dans le stockage personnel, créant ainsi d'importants angles morts de sécurité.

Fonctionnalités

FonctionnalitéSupportDétails
Scan historique✅ (Supporté)Analyse des fichiers existants et de leur historique
Scan incrémental✅ (Supporté)Scan régulier planifié pour les nouveaux contenus
Périmètre surveillé✅ (Supporté)Surveillance granulaire des utilisateurs et des drives
Périmètre d'équipe✅ (Supporté)Contrôle d'accès basé sur les équipes
Vérification de présence❌ (Non supporté)Non applicable pour les fichiers personnels
Visibilité de la source❌ (Non supporté)Tous les drives apparaissent comme private
Scan de fichiers✅ (Supporté)Support complet des fichiers

Ce que nous scannons :

  • Stockage de fichiers personnels et partagés
  • Documents Office, fichiers PDF, documents texte, etc.
info

Exigences de plan : disponible pour les plans GitGuardian Business et Enterprise. Essayez-le gratuitement avec un essai de 30 jours - tous les incidents détectés restent accessibles après la fin de l'essai.
Couverture des détecteurs : pour minimiser les faux positifs, Generic High Entropy Secret et Generic Password sont désactivés. Tous les autres détecteurs sont activés.

Intégrations associées : OneDrive est lié à SharePoint Online — tout contenu dans OneDrive est hébergé sur un tenant SharePoint. Envisagez également d'intégrer Microsoft SharePoint Online pour scanner les sites et drives organisationnels.

Intégration avec GitGuardian SaaS

Prérequis :

  • Compte Owner ou Manager sur votre Dashboard GitGuardian
  • Permissions Microsoft 365 Administrator ou SharePoint Administrator dans votre tenant

GitGuardian se connecte de manière sécurisée à votre environnement Microsoft 365 à l'aide d'une application d'entreprise Microsoft Entra ID avec un accès en lecture seule à votre contenu OneDrive.

  1. Préparer votre environnement

    • Assurez-vous de disposer d'un compte administrateur sur votre organisation Microsoft 365, avec les permissions nécessaires pour installer les applications d'entreprise Microsoft Entra ID.

  2. Installer l'intégration

    • Naviguez vers Sources integration
    • Trouvez Microsoft OneDrive dans la section File Storage. Vous pouvez utiliser la barre de recherche pour trouver rapidement l'intégration.
    • Cliquez sur Install

    OneDrive integration card

  3. Autoriser GitGuardian

    • Cliquez sur Install sur la page de l'intégration
    • Sélectionnez votre compte administrateur Microsoft 365 lorsque vous y êtes invité
    • Examinez et acceptez les permissions demandées

    Permission consent screen

C'est tout ! GitGuardian commence immédiatement à scanner l'historique des pages et fichiers de vos sites et débute la surveillance des nouveaux secrets.

Intégrer avec GitGuardian Self-Hosted

Exigences d'infrastructure

info

Nous recommandons d'utiliser :

  • des workers dédiés pour l'intégration SharePoint Online / OneDrive,
  • et un cluster Apache Tika (faisant partie des charts GitGuardian) pour pouvoir scanner les fichiers non textuels (.docx, .xlsx, .pdf, etc.).

Pour plus d'informations détaillées sur la mise à l'échelle et la configuration, veuillez consulter notre page scaling.

Créer l'application Azure Entra ID pour GitGuardian

Si vous utilisez une instance GitGuardian Self-Hosted, vous devez d'abord configurer une application Azure Entra ID dédiée.

info

Vous devez être connecté en tant qu'administrateur Microsoft Entra ID pour réaliser ce processus

  1. Dans votre tenant Microsoft Azure, accédez à vos applications Entra ID et créez une nouvelle application, puis cliquez sur le bouton "Create your own application"

  2. Choisissez un nom pour votre application et enregistrez-la pour l'intégrer à Microsoft Entra ID

  3. Définissez une Redirect URI correspondant à votre instance GitGuardian Self-Hosted :

https://<your instance url>/api/v1/microsoft-onedrive/app/install_callback/

Create your own application

  1. Définir les permissions de votre application

Accédez à Manage / API Permissions pour définir les permissions nécessaires. Choisissez Application permissions si demandé :

Entra ID app permissions

Votre application doit disposer des permissions Graph API suivantes :

Delegated permissions :

  • User.Read

Application permissions :

  • Files.Read.All
  • Sites.Read.All
  • Organization.Read.All
  • User.ReadBasic.All

Vous devez également cliquer sur "Grant admin consent" pour toutes ces permissions.

Create your own application

  1. Générer un Secret pour votre application

Accédez à Manage / Certificates & secrets pour créer un Client Secret, créez un secret et copiez-le tant qu'il est affiché.

astuce

Stockez l'Application (Client) ID et le Client Secret dans un emplacement sécurisé tel qu'un coffre-fort ou un gestionnaire de secrets

Référencer votre application nouvellement créée dans GitGuardian Self-Hosted

  1. Naviguez vers la page d'intégration Microsoft OneDrive

  2. Cliquez sur Configure Microsoft OneDrive app

    Configure Microsoft OneDrive app

  3. Renseignez l'Application ID et le Secret que vous venez de créer dans Microsoft Azure Entra Id

Effectuer le flux d'installation OAuth2

  1. Installer l'intégration

    • Naviguez vers Sources integration
    • Trouvez Microsoft SharePoint dans la section File Storage. Vous pouvez utiliser la barre de recherche pour trouver rapidement l'intégration.
    • Cliquez sur Install

    Microsoft OneDrive integration card

  2. Autoriser GitGuardian

    • Cliquez sur Install sur la page de l'intégration
    • Sélectionnez votre compte administrateur Microsoft 365 lorsque vous y êtes invité
    • Examinez et acceptez les permissions demandées

    Permission consent screen

C'est tout ! GitGuardian commence immédiatement à scanner vos fichiers et débute la surveillance des nouveaux secrets.

Personnaliser votre périmètre surveillé

L'intégration Microsoft OneDrive offre un contrôle flexible du périmètre : choisissez le contenu des comptes spécifiques à surveiller, vous offrant un contrôle précis sur la portée de votre scan.

Pour personnaliser votre périmètre :

  1. Naviguez vers vos paramètres d'intégration
  2. Utilisez les cases à cocher pour activer ou désactiver la surveillance de comptes spécifiques.
  3. Cliquez sur Save pour appliquer vos modifications.
  4. Les changements prennent effet immédiatement pour les nouveaux scans.

Perimeter customization

Comprendre les capacités de scan

Scan historique

Révélez votre dette de secrets : Lorsque vous intégrez Microsoft OneDrive pour la première fois, GitGuardian effectue un scan complet de l'intégralité de l'historique de vos fichiers, en fonction du périmètre personnalisé. Cela révèle les secrets qui peuvent avoir été exposés il y a des semaines, des mois, voire des années — vous aidant à traiter votre dette de sécurité existante.

Comment déclencher un scan historique : Allez sur votre page de périmètre, sélectionnez les sources Microsoft OneDrive que vous souhaitez scanner, et cliquez sur Scan dans la barre d'actions groupées. Consultez Gérer votre périmètre surveillé pour les limites de taille selon le plan, la gestion des erreurs et tous les détails.

Scan en temps réel

Détectez les nouvelles expositions : Une fois intégré, GitGuardian surveille en continu vos fichiers Microsoft OneDrive. Tout fichier nouveau ou modifié contenant des secrets est détecté rapidement, vous permettant de réagir rapidement aux nouvelles expositions.

Prise en charge complète des fichiers

L'intégration GitGuardian prend en charge un large éventail de types de fichiers :

  1. Fichiers texte et code :
  • Code source (.py, .js, .java, .cpp, .cs, .rb, .go, .php, etc.)
  • Fichiers de configuration (.yaml, .json, .xml, .ini, .conf, .properties, etc.)
  • Documentation (.txt, .md, .rst, .log, etc.)
  1. Documents Office :
  • Microsoft Office (.docx, .xlsx, .pptx, .doc, .xls, .ppt)
  • OpenOffice/LibreOffice (.odt, .ods, .odp)
  • Formats Rich text (.rtf)
  • Autres (.epub)
  1. Fichiers d'archive et compressés (expérimental) :
  • Formats d'archive (.zip, .7z, .rar, .tar, .gz, .tgz ou .tar.gz, .bz2, .tbz2 ou .tar.bz2, .xz, .txz ou .tar.xz, .ar, .cpio, .pack)
  • Images de conteneur (via les extensions .tar)
  1. Autres formats de documents :
  • Documents PDF (.pdf)
  • Formats email (.eml, .msg)
  • Fichiers web (.html, .css)

Considérations sur la taille des fichiers : les gros fichiers sont ignorés pour maintenir des performances optimales. Les seuils de taille sont les suivants :

  • 100 Mo pour tout type de fichier texte.
  • 500 Mo pour les PDF.
  • 1 Go pour tout autre type de fichier listé.

Gérer votre intégration

Surveiller l'état de l'intégration

Suivez la progression de votre scan et le statut de l'intégration depuis le tableau de bord d'intégration.

Maintenance de l'intégration

Si vous devez modifier les paramètres de votre intégration ou résoudre des problèmes de connectivité, accédez à l'interface de gestion via Sources integration.

Désinstaller l'intégration

Bien que notre objectif soit de vous aider à maintenir une couverture de sécurité complète, vous pouvez désinstaller l'intégration à tout moment si nécessaire :

  1. Naviguez vers Sources integration
  2. Cliquez sur Edit à côté de Microsoft OneDrive
  3. Cliquez sur Configure
  4. Cliquez sur l'icône de suppression à côté de votre tenant
  5. Confirmez la suppression

Integration removal

Note : La suppression de l'intégration préserve votre historique d'incidents mais arrête les futurs scans. Pour supprimer complètement l'application GitGuardian d'Azure, supprimez-la de vos Entra ID registered applications.

Considérations actuelles

Bien que l'intégration Microsoft OneDrive offre une couverture complète, voici quelques considérations actuelles :

  • Accès des équipes : Les utilisateurs doivent appartenir à l'équipe 'All-incidents' pour voir les incidents OneDrive (gestion d'équipe améliorée à venir dans les futures mises à jour).
  • Visibilité de la source : Toutes les sources apparaissent comme privées dans l'UI.
  • Contexte de l'incident : Les correspondances de secrets sont affichées dans les détails de l'incident, avec un aperçu complet du contexte du fichier.
  • Chemin d'archive : Bien que le scan des archives soit supporté, le chemin complet du fichier dans l'archive ne sera pas fourni dans le détail de l'incident. Seul le nom de l'archive (capacité à venir dans les futures mises à jour).

Confidentialité et conformité

Gestion des données

GitGuardian traite vos données uniquement pour détecter les secrets exposés :

  • Accès en lecture seule : nous ne demandons jamais l'accès en écriture sauf s'il est limité à la création de webhooks pour recevoir et traiter les événements en temps réel
  • Rétention minimale des données : nous ne stockons que les données et métadonnées nécessaires à la gestion des incidents
  • Chiffrement : toutes les données en transit et au repos sont chiffrées
  • Conformité : nous suivons les mêmes standards de protection des données que nos autres intégrations

Considérations régionales

GitGuardian héberge ses services dans deux régions AWS : eu-central-1 (Francfort) et us-west-2 (Oregon). Assurez-vous que votre région de déploiement GitGuardian s'aligne avec vos exigences de résidence des données. Contactez le support si vous avez besoin de conseils sur la conformité aux réglementations locales.

Notification utilisateur

Des lois et réglementations spécifiques à certains pays peuvent vous obliger à informer vos utilisateurs Microsoft 365 que les fichiers de vos utilisateurs OneDrive sont scannés à la recherche de secrets. Voici une suggestion de message que vous pourriez utiliser :

Dans le cadre de notre processus interne de sécurité de l'information, l'entreprise scanne les fichiers OneDrive à la recherche de potentielles fuites de secrets en utilisant GitGuardian. Toutes les données collectées seront traitées dans le but de détecter d'éventuelles fuites. Pour en savoir plus sur la manière dont nous gérons vos données personnelles et exercer vos droits, veuillez vous référer à notre notice de confidentialité employé/partenaire. Veuillez noter que seuls les sites et fichiers relatifs à l'activité et à l'entreprise peuvent être surveillés et que les utilisateurs doivent s'abstenir de partager des données personnelles ou sensibles non pertinentes pour la finalité du site ou du fichier.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API