Partager via


Opérations de sécurité Microsoft Entra pour Privileged Identity Management

La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Les cyber-attaquants utilisent des attaques par vol d’informations d’identification pour cibler les comptes d’administrateurs et autres comptes d’accès privilégiés afin d’essayer d’accéder à des données sensibles.

Dans le cas des services cloud, le fournisseur de services cloud et le client sont tous deux responsables de la prévention et de la réponse aux problèmes.

En général, la sécurité d’une organisation repose sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, l’utilisation d’applications SaaS et d’appareils personnels a rendu cette approche moins efficace. Dans Microsoft Entra ID, nous remplaçons le périmètre de sécurité réseau par une authentification dans la couche d’identité de votre organisation. Lorsque les utilisateurs se voient attribuer des rôles d’administration privilégiés, leur accès doit être protégé dans des environnements locaux, cloud et hybrides.

Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services cloud Azure, le fournisseur de services cloud Microsoft et vous, en tant que client, êtes tous deux responsables de la prévention et de la réponse aux problèmes.

Privileged Identity Management (PIM) est un service Microsoft Entra qui vous permet de gérer, contrôler et surveiller l’accès aux ressources importantes de votre organisation. Ces ressources incluent des ressources dans Microsoft Entra ID, Azure et d’autres services Microsoft Online comme Microsoft 365 ou Microsoft Intune. Vous pouvez utiliser PIM pour atténuer les risques en :

  • Identifiant et réduisant le nombre de personnes qui ont accès aux informations et aux ressources sécurisées.

  • Détectant les autorisations d’accès excessives, inutiles ou inutilisées sur les ressources sensibles.

  • Réduisant les risques qu’un acteur malveillant ait accès aux informations ou aux ressources sécurisées.

  • Réduisant les possibilités qu’un utilisateur non autorisé altère accidentellement des ressources sensibles.

Le présent article fournit des conseils d’aide sur la définition des bases de référence, l’audit des connexions et l’utilisation des comptes privilégiés. Utilisez le journal d’audit pour préserver l’intégrité des comptes privilégiés.

Emplacement des fichiers

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

Dans le portail Azure, affichez les journaux d’audit Microsoft Entra et téléchargez-les sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs manières d’intégrer les journaux Microsoft Entra à d’autres outils pour automatiser la surveillance et les alertes :

  • Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).

  • Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour les critères de recherche recommandés, nous y avons ajouté un lien vers le référentiel Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.

  • Azure Monitor : Permet de créer des alertes et surveillances automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.

  • Azure Event Hubs intégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.

  • Microsoft Defender for Cloud Apps : vous permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.

  • Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.

La suite de cet article contient des recommandations permettant de définir une base de référence à utiliser pour la surveillance et l’envoi d’alertes, selon un modèle de niveau. Les liens vers les solutions prédéfinies sont affichés à la suite du tableau. Vous pouvez créer des alertes à l’aide des outils précédents. Le contenu est organisé selon les zones suivantes :

  • Lignes de base

  • Attribution du rôle Microsoft Entra

  • Paramètres d’alerte du rôle Microsoft Entra

  • Attribution de rôles pour les ressources Azure

  • Gestion de l’accès aux ressources Azure

  • Élévation des privilèges pour gérer les abonnements Azure

Lignes de base

Voici les paramètres recommandés pour la base de référence :

Ce qu’il faut surveiller Niveau de risque Recommandation Rôles Remarque
Attribution des rôles Microsoft Entra Élevé Exiger une justification pour l’activation. Demander une approbation pour activer. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. Administrateur de la sécurité, administrateur de rôle privilégié, Administrateur général Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, notamment en modifiant l’expérience des utilisateurs activant une attribution de rôle éligible.
Configuration des rôles de ressources Azure Élevé Exiger une justification pour l’activation. Demander une approbation pour activer. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. Propriétaire, Administrateur de l’accès utilisateur Examinez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un pirate d’accéder aux abonnements Azure de votre environnement.

Alertes Privileged Identity Management

PIM génère des alertes lorsqu’il existe une activité suspecte ou dangereuse dans votre organisation Microsoft Entra. Lorsqu’une alerte est générée, elle apparaît dans le tableau de bord Privileged Identity Management. Vous pouvez également configurer une notification par e-mail ou l’envoyer à votre SIEM via GraphAPI. Comme ces alertes sont axées spécifiquement sur les rôles administratifs, il convient de les surveiller de près.

Ce qu’il faut surveiller Niveau de risque Emplacement Expérience utilisateur de filtre/sous-filtre Remarque
Les rôles sont attribués en dehors de Privileged Identity Management Élevé Privileged Identity Management, alertes Les rôles sont attribués en dehors de Privileged Identity Management Comment configurer des alertes de sécurité
Règles Sigma
Comptes obsolètes potentiels dans un rôle privilégié Moyen Privileged Identity Management, alertes Comptes obsolètes potentiels dans un rôle privilégié Comment configurer des alertes de sécurité
Règles Sigma
Les administrateurs n’utilisent par leurs rôles privilégiés Faible Privileged Identity Management, alertes Les administrateurs n’utilisent par leurs rôles privilégiés Comment configurer des alertes de sécurité
Règles Sigma
Les rôles ne nécessitent pas d’authentification multifacteur pour l’activation Faible Privileged Identity Management, alertes Les rôles ne nécessitent pas d’authentification multifacteur pour l’activation Comment configurer des alertes de sécurité
Règles Sigma
L’organisation n’a pas de licence Microsoft Entra ID P2 ou gouvernance des ID Microsoft Entra Faible Privileged Identity Management, alertes L’organisation n’a pas de licence Microsoft Entra ID P2 ou gouvernance des ID Microsoft Entra Comment configurer des alertes de sécurité
Règles Sigma
Il y a trop d’administrateurs généraux Faible Privileged Identity Management, alertes Il y a trop d’administrateurs généraux Comment configurer des alertes de sécurité
Règles Sigma
Les rôles sont activés trop fréquemment Faible Privileged Identity Management, alertes Les rôles sont activés trop fréquemment Comment configurer des alertes de sécurité
Règles Sigma

Attribution des rôles Microsoft Entra

Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, ce qui inclut la modification de l’expérience utilisateur lors de l’activation d’une attribution de rôle éligible :

  • Empêchez les acteurs malveillants de supprimer les exigences d’authentification multifacteur de Microsoft Entra pour activer l’accès privilégié.

  • Empêchez les utilisateurs malveillants de contourner la justification et l’approbation concernant l’activation de l’accès privilégié.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Alerte lors de l’ajout de modifications aux autorisations de compte privilégié Élevé Journaux d’audit Microsoft Entra Catégorie = Gestion des rôles
-et-
Type d’activité – Ajout d’un membre éligible (permanent)
-et-
Type d’activité – Ajout d’un membre éligible (éligible)
-et-
État = Réussite/Échec
-et-
Propriétés modifiées = Role.DisplayName
Surveillez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un pirate tente d’obtenir un privilège pour modifier les paramètres d’attribution de rôle. Si vous n’avez pas défini de seuil, déclenchez une alerte si 4 modifications ont lieu sur une période de 60 minutes dans les comptes utilisateurs, et si 2 modifications ont lieu en 60 minutes dans les comptes privilégiés.

Règles Sigma
Alerte en cas de suppression en bloc de modifications des autorisations des comptes privilégiés Élevé Journaux d’audit Microsoft Entra Catégorie = Gestion des rôles
-et-
Type d’activité – Suppression d’un membre éligible (permanent)
-et-
Type d’activité – Suppression d’un membre éligible (éligible)
-et-
État = Réussite/Échec
-et-
Propriétés modifiées = Role.DisplayName
Examinez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un pirate d’accéder aux abonnements Azure de votre environnement.
Modèle Microsoft Sentinel

Règles Sigma
Modifications apportées aux paramètres PIM Élevé Journal d’audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Mise à jour du paramètre de rôle dans PIM
-et-
Raison du statut = Authentification multifacteur à l’activation désactivée (exemple)
Surveillez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un pirate dispose de l’accès nécessaire pour modifier les paramètres d’attribution de rôle. L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié.
Modèle Microsoft Sentinel

Règles Sigma
Approbations et refus des demandes d’élévation Élevé Journal d’audit Microsoft Entra Service = Révision d’accès
-et-
Catégorie = UserManagement
-et-
Type d’activité = Demande approuvée/refusée
-et-
Initié par (acteur) = UPN
Toutes les élévations doivent être supervisées. Journalisez toutes les élévations pour obtenir une indication claire de la chronologie d’une attaque.
Modèle Microsoft Sentinel

Règles Sigma
Désactivation d’un paramètre d’alerte. Élevé Journaux d’audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Désactivation de l’alerte PIM
-et-
État = Réussite/Échec
Toujours déclencher une alerte. Aide à détecter les acteurs malveillants en supprimant les alertes associées aux exigences d’authentification multifacteur Microsoft Entra pour activer l’accès privilégié. Permet de détecter les activités suspectes ou dangereuses.
Modèle Microsoft Sentinel

Règles Sigma

Pour plus d’informations sur l’identification des modifications des paramètres de rôle dans le journal d’audit Microsoft Entra, voir Afficher l’historique d’audit des rôles Microsoft Entra dans Privileged Identity Management.

Attribution de rôles pour les ressources Azure

La surveillance des attributions de rôles de ressources Azure permet d’avoir une visibilité sur l’activité et les activations des rôles de ressources. Ces attributions peuvent être détournées pour créer une surface d’attaque sur une ressource. Quand vous effectuez la surveillance de ce type d’activité, vous essayez de détecter les éléments suivants :

  • Les requêtes d’attributions de rôles envoyées à des ressources spécifiques

  • Les attributions de rôle pour toutes les ressources enfants

  • Toutes les modifications d’attribution de rôles actifs et éligibles

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Alerte d’audit concernant le journal des audits de ressources pour Activités de compte privilégié Élevé Dans PIM, sous Ressources Azure, Audit des ressources Action : Ajout de membre éligible au rôle dans PIM terminé (durée maximale)
-et-
Cible principale
-et-
Type d’utilisateur
-et-
État = Réussite
Toujours déclencher une alerte. Permet de détecter lorsqu’un acteur malveillant ajoute des rôles éligibles pour gérer toutes les ressources présentes dans Azure.
Alerte d’audit concernant l’audit des ressources pour désactivation de l’alerte Moyen Dans PIM, sous Ressources Azure, Audit des ressources Action : Désactivation de l’alerte
-et-
Cible principale : trop de propriétaires attribués à une ressource
-et-
État = Réussite
Permet de détecter si un acteur malveillant désactive les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes
Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte Moyen Dans PIM, sous Ressources Azure, Audit des ressources Action : Désactivation de l’alerte
-et-
Cible principale : trop de propriétaires permanents affectés à une ressource
-et-
État = Réussite
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’examen des activités malveillantes
Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte Moyen Dans PIM, sous Ressources Azure, Audit des ressources Action : Désactivation de l’alerte
-et-
Cible principale : rôle créé en double
-et-
État = Réussite
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’examen des activités malveillantes

Pour plus d’informations sur la configuration des alertes et l’audit des rôles de ressources Azure, consultez :

Gestion de l’accès aux ressources et les abonnements Azure

Les utilisateurs ou les membres d’un groupe ayant le rôle de propriétaire ou d’administrateur d’accès aux abonnements, ainsi que les administrateurs de Microsoft Entra Global qui ont activé la gestion des abonnements dans Microsoft Entra ID, disposent par défaut des autorisations d’administrateur de ressources. Les administrateurs attribuent des rôles, configurent les paramètres de rôle, et passent en revue les accès à l’aide de Privileged Identity Management (PIM) des ressources Azure.

Un utilisateur qui a des autorisations d’administrateur de ressources peut gérer le PIM des ressources. Surveillez et atténuez ce risque introduit : la capacité peut être utilisée pour permettre à des acteurs malveillants d’avoir un accès privilégié aux ressources de l’abonnement Azure, comme les machines virtuelles ou les comptes de stockage.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Élévations Élevé Microsoft Entra ID, sous Gérer, Propriétés Vérifiez régulièrement le paramètre.
Gestion de l’accès aux ressources Azure
Les administrateurs généraux peuvent accéder au niveau supérieur en activant la gestion de l’accès aux ressources Azure.
Vérifiez qu’aucun acteur malveillant n’a obtenu d’autorisations permettant d’attribuer des rôles dans l’ensemble des abonnements et des groupes d’administration Azure associés à Active Directory.

Pour plus d’informations, consultez Attribuer des rôles de ressources Azure dans Privileged Identity Management

Étapes suivantes

Vue d’ensemble des opérations de sécurité Microsoft Entra

Opérations de sécurité pour les comptes d’utilisateur

Opérations de sécurité pour les comptes de consommateur

Opérations de sécurité pour les comptes privilégiés

Opérations de sécurité pour les applications

Opérations de sécurité pour les appareils

Opérations de sécurité pour l’infrastructure