Simuler les détections de risques dans Protection des ID Microsoft Entra
Les administrateurs peuvent chercher à simuler les risques que présente leur environnement afin d’accomplir les tâches suivantes :
- remplir les données de l’environnement de la Protection des ID Microsoft Entra en simulant des détections de risques et des vulnérabilités ;
- définir des stratégies d’accès conditionnel en fonction des risques et tester l’effet de ces stratégies.
Cet article fournit les étapes à suivre pour simuler les types de détection de risques suivants :
- adresse IP anonyme (facile) ;
- propriétés de connexion inhabituelles (modéré) ;
- voyage atypique (difficile).
- Informations d’identification fuitées dans GitHub pour les identités de charge de travail (modéré)
Les autres détections de risques ne peuvent pas être simulées de manière sécurisée.
Pour plus d’informations sur chaque détection de risque, consultez l’article Qu’est-ce que le risque pour utilisateur et identité de charge de travail.
Adresse IP anonyme
L’exécution de la procédure ci-après requiert l’utilisation des éléments suivants :
- Navigateur Tor afin de simuler des adresses IP anonymes. Vous devrez peut-être utiliser une machine virtuelle si votre organisation restreint l’utilisation du navigateur Tor.
- Compte de test qui n’est pas encore inscrit pour l’authentification multifacteur Microsoft Entra.
Pour simuler une connexion depuis une adresse IP anonyme, procédez comme suit:
- Avec le navigateur Tor, accédez à https://myapps.microsoft.com.
- Entrez les informations d’identification du compte que vous souhaitez voir apparaître dans le rapport Connexions depuis des adresses IP anonymes.
La connexion s’affiche sur le rapport dans les 10 à 15 minutes.
Propriétés de connexion inhabituelles
Pour simuler des lieux inconnus, vous devez utiliser un emplacement et un dispositif que votre compte de test n’a encore jamais utilisés.
La procédure suivante utilise les éléments nouvellement créés suivants :
- connexion VPN pour simuler le nouvel emplacement ;
- machine virtuelle pour simuler un nouvel appareil.
L’exécution de la procédure ci-après requiert l’utilisation d’un compte d’utilisateur présentant :
- un historique de connexions d’au moins 30 jours ;
- une authentification multifacteur Microsoft Entra.
Pour simuler une connexion depuis un emplacement non connu, procédez comme suit :
- En utilisant votre nouveau VPN, accédez à https://myapps.microsoft.com et entrez les informations d’identification de votre compte de test.
- Lorsque vous vous connectez avec votre compte de test, échouez à l’authentification multifacteur en ne soumettant pas le test MFA.
La connexion s’affiche sur le rapport dans les 10 à 15 minutes.
Voyage inhabituel
La simulation de la condition de voyage atypique est difficile. L’algorithme utilise l’apprentissage automatique pour éliminer les faux positifs, par exemple le voyage atypique sur des appareils connus ou les connexions depuis des VPN utilisés par d’autres utilisateurs du répertoire. De plus, l’algorithme nécessite un historique de connexion de 14 jours ou de 10 connexions de l’utilisateur avant de pouvoir commencer la détection de risques. En raison de la complexité des modèles d’apprentissage automatique et des règles ci-dessus, il est possible que les étapes suivantes n’entraînent pas une détection de risque. Il peut être judicieux de répliquer ces étapes pour plusieurs comptes Microsoft Entra afin de simuler cette détection.
Pour simuler une détection des risques de voyage atypique, suivez les étapes ci-dessous :
- Avec votre navigateur standard, accédez à https://myapps.microsoft.com.
- Entrez les informations d’identification du compte pour lequel vous voulez générer une détection des risques de voyage atypique.
- Changez votre agent utilisateur. Vous pouvez modifier l’agent utilisateur dans Microsoft Edge, dans Outils de développement (F12).
- Changez votre adresse IP. Vous pouvez changer votre adresse IP en utilisant un VPN, un module complémentaire Tor ou en créant une machine au sein d’Azure dans un autre centre de données.
- Connectez-vous à https://myapps.microsoft.com à l’aide des mêmes informations d’identification que précédemment et quelques minutes seulement après la connexion précédente.
La connexion s’affiche sur le rapport dans 2 à 4 heures.
Informations d’identification fuitées pour les identités de charge de travail
Cette détection de risque indique que les identifiants valides de l’application ont fuité. Cette fuite peut se produire lorsque quelqu’un archive les informations d’identification dans un artefact de code public sur GitHub. Par conséquent, pour simuler cette détection, vous avez besoin d’un compte GitHub ; vous pouvez ouvrir un compte GitHub si vous n’en avez pas encore.
Simuler des informations d’identification fuitées dans GitHub pour les identités de charge de travail
Connectez-vous au Centre d’administration de Microsoft Entra au moins en tant qu’Administrateur de la sécurité.
Accédez à Identité>Applications>Inscriptions d'applications.
Sélectionnez Nouvelle inscription pour inscrire une nouvelle application ou réutiliser une application obsolète existante.
Sélectionnez Certificats et secrets>Nouveau secret client, ajoutez une description de votre secret client, puis définissez l’expiration du secret, ou spécifiez une durée de vie personnalisée, puis sélectionnez Ajouter. Enregistrez la valeur du secret pour une utilisation ultérieure pour votre commit GitHub.
Notes
Vous ne pourrez plus récupérer le secret après avoir quitté cette page.
Obtenez le TenantID et l’Application(Client)ID dans la page Vue d’ensemble.
Veillez à désactiver l’application via Identité>Application>Application d'entreprise>Propriétés>Définissez Activé pour que les utilisateurs se connectent sur Non.
Créez un référentiel GitHub public, ajoutez la configuration suivante et validez la modification sous la forme d’un fichier ayant l’extension .TXT.
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
Environ huit heures plus tard, vous allez pouvoir voir une détection d’une fuite de données d’identification sous Protection>Protection d’identité>Détection de risque>Détections d’identités de charge de travail, où les informations supplémentaires vont contenir l’URL de votre validation GitHub.
Tester des stratégies de risque
Cette section décrit les étapes à suivre pour tester les stratégies d’utilisateur de connexion à risque créées dans l’article Guide pratique : Configurer et activer des stratégies de risque.
Stratégie de risque d’utilisateur
Pour tester une stratégie de sécurité d’utilisateur à risque, suivez les étapes ci-dessous :
- Configurez une stratégie d’utilisateur à risque ciblant les utilisateurs avec lesquels vous envisagez de tester.
- Élevez le risque utilisateur d’un compte de test, par exemple, en simulant à plusieurs reprises l’une des détections d’événements à risque.
- Patientez quelques minutes, puis vérifiez que le niveau de risque de votre utilisateur a augmenté. Dans le cas contraire, simulez d’autres détections d’événements à risque pour l’utilisateur.
- Revenez à votre stratégie de risque, définissez Appliquer la stratégie sur Activé et cliquez sur Enregistrer pour enregistrer votre modification de stratégie.
- Vous pouvez désormais tester l’accès conditionnel en fonction des risques utilisateur en vous connectant à l’aide d’un compte d’utilisateur présentant un niveau de risque élevé.
Stratégie de sécurité en matière de risque à la connexion
Pour tester une stratégie de connexion à risque, suivez les étapes ci-dessous :
- Configurez une stratégie de connexion à risque ciblant les utilisateurs avec lesquels vous envisagez de tester.
- Vous pouvez désormais tester l’accès conditionnel en fonction des risques à la connexion en vous connectant à l’aide d’une session à risque (par exemple, au moyen du navigateur Tor).