Intégrer Microsoft OneDrive
Surveillez OneDrive for Business à la recherche de secrets exposés dans les fichiers utilisateurs et documents partagés.
Pourquoi surveiller Microsoft OneDrive ?
OneDrive for Business sert de stockage cloud personnel où les employés sauvegardent fréquemment des scripts, fichiers de configuration et documents de projet contenant des credentials sensibles. Contrairement aux référentiels centralisés, les fichiers OneDrive échappent souvent à la supervision de sécurité, permettant aux clés API en dur, mots de passe de bases de données et tokens de comptes de service de rester cachés dans le stockage personnel, créant des angles morts de sécurité significatifs.
Capacités
| Fonctionnalité | Support | Détails |
|---|---|---|
| Analyse historique | ✅ (Pris en charge) | Analyser les fichiers existants et leurs historiques |
| Analyse incrémentale | ✅ (Pris en charge) | Analyse planifiée régulière pour le nouveau contenu |
| Périmètre surveillé | ✅ (Pris en charge) | Surveillance granulaire des utilisateurs et drives |
| Périmètre d'équipe | ✅ (Pris en charge) | Contrôle d'accès basé sur l'équipe |
| Vérification de présence | ❌ (Non pris en charge) | Non applicable pour les fichiers personnels |
| Visibilité de la source | ❌ (Non pris en charge) | Tous les drives sont affichés comme private |
| Analyse de fichiers | ✅ (Pris en charge) | Support complet des fichiers |
Ce que nous analysons :
- Stockage de fichiers personnels et partagés
- Documents Office, fichiers PDF, documents texte, etc.
Exigences de plan : disponible pour les plans GitGuardian Business et Enterprise. Essayez-le gratuitement avec un essai de 30 jours - tous les incidents détectés restent accessibles après la fin de l'essai.
Couverture des détecteurs : pour minimiser les faux positifs, Generic High Entropy Secret et Generic Password sont désactivés. Tous les autres détecteurs sont activés.
Intégrations associées : OneDrive est lié à SharePoint Online — tout contenu dans OneDrive est hébergé sur un tenant SharePoint. Envisagez également d'intégrer Microsoft SharePoint Online pour analyser les sites et drives organisationnels.
Intégration avec GitGuardian SaaS
Prérequis :
- Compte Owner ou Manager sur votre Dashboard GitGuardian
- Permissions Microsoft 365 Administrator ou SharePoint Administrator dans votre tenant
GitGuardian se connecte de manière sécurisée à votre environnement Microsoft 365 en utilisant une application Microsoft Entra ID Enterprise avec un accès en lecture seule à votre contenu OneDrive.
-
Préparer votre environnement
- Assurez-vous d'avoir un compte administrateur sur votre organisation Microsoft 365, avec les permissions nécessaires pour installer des applications Microsoft Entra ID Enterprise.
-
Installer l'intégration
- Naviguez vers Sources integration
- Trouvez Microsoft OneDrive dans la section File Storage. Vous pouvez utiliser la barre de recherche pour trouver rapidement l'intégration.
- Cliquez sur Install
-
Autoriser GitGuardian
- Cliquez sur Install sur la page d'intégration
- Sélectionnez votre compte administrateur Microsoft 365 lorsqu'il vous est demandé
- Examinez et acceptez les permissions demandées
C'est tout ! GitGuardian commence immédiatement à analyser l'historique des pages et fichiers de vos sites et commence à surveiller les nouveaux secrets.
Intégrer avec GitGuardian self-hosted
Prérequis d'infrastructure
Nous recommandons d'utiliser :
- des workers dédiés pour l'intégration Sharepoint Online / OneDrive,
- et un cluster Apache Tika (faisant partie des charts GitGuardian) pour pouvoir analyser les fichiers non-textuels (.docx, .xlsx, .pdf, etc.).
Pour des informations plus détaillées sur la mise à l'échelle et la configuration, veuillez visiter notre page scaling.
Créer l'application Azure Entra ID pour GitGuardian
Si vous utilisez une instance GitGuardian self-hosted, vous devez d'abord configurer une Application Azure Entra ID dédiée.
Vous devez être connecté en tant qu'administrateur Microsoft Entra ID pour terminer ce processus
-
Dans votre Tenant Microsoft Azure, parcourez vos applications Entra ID et créez une nouvelle application, et cliquez sur le bouton "Create your own application"
-
Choisissez un nom pour votre application et enregistrez-la pour l'intégrer à Microsoft Entra ID
-
Définissez une Redirect URI correspondant à votre Instance GitGuardian Self-Hosted :
https://<your instance url>/api/v1/microsoft-onedrive/app/install_callback/
- Définissez les permissions pour votre application
Parcourez vers Manage / API Permissions pour définir les permissions nécessaires. Choisissez Application permissions si on vous le demande :
Votre application doit être autorisée pour les permissions Graph API suivantes :
Delegated permissions :
- User.Read
Application permissions :
- Files.Read.All
- Sites.Read.All
- Organization.Read.All
- User.ReadBasic.All
Vous devez également "Grant admin consent" pour toutes ces permissions.
- Générez un Secret pour votre application
Parcourez vers Manage / Certificates & secrets pour créer un Client Secret, créez un secret et copiez-le pendant qu'il est affiché.
Stockez l'Application (Client) ID et le Client Secret dans un emplacement sécurisé comme un coffre-fort ou un secret manager
Référencer votre application nouvellement créée dans GitGuardian Self-Hosted
-
Naviguez vers la page d'intégration Microsoft OneDrive
-
Cliquez sur Configure Microsoft OneDrive app
-
Définissez l'Application ID et le Secret que vous venez de créer dans Microsoft Azure Entra Id
Effectuer le flow d'installation OAuth2
-
Installer l'intégration
- Naviguez vers Sources integration
- Trouvez Microsoft SharePoint dans la section File Storage. Vous pouvez utiliser la barre de recherche pour trouver rapidement l'intégration.
- Cliquez sur Install
-
Autoriser GitGuardian
- Cliquez sur Install sur la page d'intégration
- Sélectionnez votre compte administrateur Microsoft 365 lorsqu'il vous est demandé
- Examinez et acceptez les permissions demandées
C'est tout ! GitGuardian commence immédiatement à analyser vos fichiers et commence à surveiller les nouveaux secrets.
Personnaliser votre périmètre surveillé
L'intégration Microsoft OneDrive offre un contrôle de périmètre flexible : choisissez quel contenu de comptes spécifiques surveiller, vous donnant un contrôle précis sur votre portée d'analyse.
Pour personnaliser votre périmètre :
- Naviguez vers vos paramètres d'intégration
- Utilisez les cases à cocher pour activer ou désactiver la surveillance pour des comptes spécifiques.
- Cliquez sur Save pour appliquer vos changements.
- Les changements prennent effet immédiatement pour les nouvelles analyses.
Comprendre les capacités d'analyse
Analyse historique
Découvrez votre dette de secrets : lorsque vous intégrez Microsoft OneDrive pour la première fois, GitGuardian effectue une analyse complète de tout votre historique de fichiers, basé sur le périmètre personnalisé. Cela révèle les secrets qui peuvent avoir été exposés des semaines, des mois ou même des années auparavant — vous aidant à traiter votre dette de sécurité existante.
Analyse en temps réel
Détectez les nouvelles expositions : une fois intégré, GitGuardian surveille en continu vos fichiers Microsoft OneDrive. Tous les fichiers nouveaux ou modifiés contenant des secrets sont détectés rapidement, vous permettant de répondre rapidement aux nouvelles expositions.
Prise en charge complète des fichiers
L'intégration GitGuardian prend en charge un large éventail de types de fichiers :
- Fichiers texte et code :
- Code source (.py, .js, .java, .cpp, .cs, .rb, .go, .php, etc.)
- Fichiers de configuration (.yaml, .json, .xml, .ini, .conf, .properties, etc.)
- Documentation (.txt, .md, .rst, .log, etc.)
- Documents Office :
- Microsoft Office (.docx, .xlsx, .pptx, .doc, .xls, .ppt)
- OpenOffice/LibreOffice (.odt, .ods, .odp)
- Formats Rich text (.rtf)
- Autres (.epub)
- Fichiers d'archive et compressés (expérimental) :
- Formats d'archive (.zip, .7z, .rar, .tar, .gz, .tgz ou .tar.gz, .bz2, .tbz2 ou .tar.bz2, .xz, .txz ou .tar.xz, .ar, .cpio, .pack)
- Images de conteneur (via les extensions .tar)
- Autres formats de documents :
- Documents PDF (.pdf)
- Formats email (.eml, .msg)
- Fichiers web (.html, .css)
Considérations sur la taille des fichiers : les gros fichiers sont ignorés pour maintenir des performances optimales. Les seuils de taille sont les suivants :
- 100 Mo pour tout type de fichier texte.
- 500 Mo pour les PDF.
- 1 Go pour tout autre type de fichier listé.
Gérer votre intégration
Surveiller la santé de l'intégration
Suivez votre progression d'analyse et le statut d'intégration depuis le dashboard d'intégration.
Maintenance de l'intégration
Si vous avez besoin de modifier vos paramètres d'intégration ou de dépanner les problèmes de connectivité, accédez à l'interface de gestion via Sources integration.
Désinstaller l'intégration
Bien que notre objectif soit de vous aider à maintenir une couverture de sécurité complète, vous pouvez désinstaller l'intégration à tout moment si nécessaire :
- Naviguez vers Sources integration
- Cliquez sur Edit à côté de Microsoft OneDrive
- Cliquez sur Configure
- Cliquez sur l'icône de suppression à côté de votre tenant
- Confirmez la suppression
Note : la suppression de l'intégration préserve votre historique d'incidents mais arrête les analyses futures. Pour supprimer complètement l'app GitGuardian d'Azure, supprimez-la de vos applications enregistrées Entra ID.
Considérations actuelles
Bien que l'intégration Microsoft OneDrive offre une couverture complète, voici quelques considérations actuelles :
- Accès équipe : les utilisateurs doivent être dans l'équipe 'All-incidents' pour voir les incidents OneDrive (gestion d'équipe améliorée à venir dans les futures mises à jour).
- Visibilité de la source : toutes les sources apparaissent comme privées dans l'UI.
- Contexte d'incident : les correspondances de secrets sont affichées dans les détails de l'incident, avec des aperçus complets du contexte du fichier.
- Chemin d'archive : bien que l'analyse des archives soit prise en charge, le chemin complet du fichier dans l'archive ne sera pas fourni dans le détail de l'incident. Seul le nom de l'archive (capacité à venir dans les futures mises à jour).
Confidentialité et conformité
Gestion des données
GitGuardian traite vos données uniquement pour détecter les secrets exposés :
- Accès en lecture seule : nous ne demandons jamais l'accès en écriture sauf s'il est limité à la création de webhooks pour recevoir et traiter les événements en temps réel
- Rétention minimale des données : nous ne stockons que les données et métadonnées nécessaires à la gestion des incidents
- Chiffrement : toutes les données en transit et au repos sont chiffrées
- Conformité : nous suivons les mêmes standards de protection des données que nos autres intégrations
Considérations régionales
GitGuardian héberge ses services dans deux régions AWS : eu-central-1 (Francfort) et us-west-2 (Oregon). Assurez-vous que votre région de déploiement GitGuardian s'aligne avec vos exigences de résidence des données. Contactez le support si vous avez besoin de conseils sur la conformité aux réglementations locales.
Notification de l'utilisateur
Les lois et réglementations spécifiques à chaque pays peuvent vous obliger à informer vos utilisateurs Microsoft 365 que les fichiers de vos utilisateurs OneDrive sont analysés à la recherche de secrets. Voici une suggestion de message que vous voudrez peut-être utiliser :
Dans le cadre de notre processus interne de sécurité de l'information, l'entreprise analyse les fichiers OneDrive à la recherche de fuites potentielles de secrets en utilisant GitGuardian. Toutes les données collectées seront traitées dans le but de détecter les fuites potentielles. Pour en savoir plus sur la manière dont nous gérons vos données personnelles et sur l'exercice de vos droits, veuillez vous référer à notre notice de confidentialité employé/partenaire. Veuillez noter que seuls les sites et fichiers relatifs à l'activité et au business de l'entreprise peuvent être surveillés et que les utilisateurs doivent s'abstenir de partager des données personnelles ou sensibles non pertinentes au but du site ou du fichier.
