Partager via


Opérations de sécurité pour les comptes privilégiés dans Microsoft Entra ID

La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Les pirates informatiques dérobent des informations d’identification et utilisent d’autres méthodes pour cibler les comptes privilégiés et accéder aux données sensibles.

En général, la sécurité d’une organisation est axée sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, en raison de l’utilisation d’applications SaaS (Software as a Service) et d’appareils personnels sur Internet, cette approche a perdu en efficacité.

Microsoft Entra ID utilise la gestion des identités et des accès (IAM) comme plan de contrôle. Dans la couche d’identité de votre organisation, les utilisateurs affectés à des rôles administratifs privilégiés ont le contrôle. Les comptes utilisés pour l’accès doivent être protégés, que l’environnement soit local, dans le cloud ou dans un environnement hybride.

Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services Azure, la prévention et la réponse aux problèmes sont des responsabilités qui sont partagées entre Microsoft en tant que fournisseur de services cloud, et vous en tant que client.

Fichiers journaux à superviser

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

À partir du portail Azure, vous pouvez afficher les journaux d'audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs façons d'intégrer les journaux Microsoft Entra à d'autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :

  • Microsoft Azure Sentinel. Permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités SIEM (Security Information and Event Management).

  • Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.

  • Azure Monitor. Permet de créer des alertes et supervisions automatisées de diverses conditions. avec possibilité de créer ou d’utiliser des classeurs pour combiner des données provenant de différentes sources.

  • Azure Event Hubs intégré à un système SIEM. Permet de transmettre les journaux Microsoft Entra à d’autres systèmes SIEM, comme Splunk, ArcSight, QRadar et Sumo Logic, via l’intégration d’Azure Event Hubs. Pour plus d’informations, consultez Diffuser les journaux Microsoft Entra vers un hub d’événements Azure.

  • Microsoft Defender for Cloud Apps. Permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.

  • Microsoft Graph. Vous permet d’exporter des données et d’utiliser Microsoft Graph pour effectuer d’autres analyses. Pour plus d’informations, consultez SDK Microsoft Graph PowerShell et Protection des ID Microsoft Entra.

  • Protection des ID Microsoft Entra. Génère trois rapports clés que vous pouvez utiliser dans le cadre de votre examen :

    • Utilisateurs à risque. Contient des informations sur les utilisateurs à risque, des détails sur les détections, l’historique de toutes les connexions à risque et l’historique des risques.

    • Connexions à risque. Contient des informations concernant une connexion potentiellement suspecte. Pour plus d’informations sur l’investigation des informations de ce rapport, consultez Examiner les risques.

    • Détections de risques. Contient des informations sur les autres risques déclenchés lorsqu’un risque est détecté et d’autres informations pertinentes, comme l’emplacement de connexion et les détails de Microsoft Defender for Cloud Apps.

  • Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra. À utiliser pour détecter les risques sur les identités de charge de travail entre le comportement des connexions et les indicateurs hors connexion de compromission.

Même si nous déconseillons cette pratique, les comptes privilégiés peuvent bénéficier de droits d’administration permanents. Si vous choisissez d’utiliser des privilèges permanents et que le compte est compromis, cela peut avoir un effet très négatif. Nous vous recommandons de classer par ordre de priorité les comptes privilégiés de monitoring et d’inclure les comptes dans votre configuration Privileged Identity Management (PIM). Pour plus d’informations sur PIM, consultez Commencer à utiliser Privileged Identity Management. De plus, nous vous recommandons de valider que les comptes administrateur :

  • Sont requis.
  • Disposent des privilèges minimum pour exécuter les activités requises.
  • Sont protégées au minimum avec l’authentification multifacteur.
  • Sont exécutés à partir de stations de travail à accès privilégié ou de stations de travail d’administration sécurisée (SAW).

Le reste de cet article décrit ce que nous vous recommandons de superviser et sur quoi déclencher des alertes. L’article est organisé selon le type de menace. Lorsqu’il existe des solutions prédéfinies spécifiques, nous en indiquons le lien après le tableau. Sinon, vous pouvez créer des alertes à l’aide des outils décrits plus haut.

Cet article fournit des détails sur la définition de bases de référence, ainsi que sur l’audit de la connexion et de l’utilisation des comptes privilégiés. Il aborde également les outils et les ressources que vous pouvez utiliser pour aider à préserver l’intégrité de vos comptes privilégiés. Le contenu est organisé sur les sujets suivants :

  • Comptes de secours d’urgence
  • Connexion à un compte privilégié
  • Modifications des comptes privilégiés
  • Groupes privilégiés
  • Attribution et élévation de privilèges

Comptes d’accès d’urgence

Il est primordial que vous empêchiez le verrouillage accidentel de votre locataire Microsoft Entra.

Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode cloud uniquement, attribué indéfiniment au rôle Administrateur général. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités à des scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.

Envoyez une alerte haute priorité chaque fois qu’un compte d’accès d’urgence est utilisé.

Découverte

Étant donné que les comptes de secours sont utilisés uniquement en cas de situation d’urgence, votre supervision ne doit pas détecter d’activité de compte. Envoyez une alerte haute priorité chaque fois qu’un compte d’accès d’urgence est utilisé ou modifié. L’un des événements suivants peut indiquer qu’un mauvais intervenant tente de compromettre vos environnements :

  • Connexion.
  • Modification du mot de passe du compte.
  • Modification des rôles ou de l’autorisation du compte.
  • Ajout ou modification des informations d’identification ou de la méthode d’authentification.

Pour plus d’informations sur la gestion des comptes d’accès d’urgence, consultez Gérer les comptes d’administration de l’accès d’urgence dans Microsoft Entra. Pour plus d’informations sur la création d’une alerte pour un compte d’accès d’urgence, consultez Créer une règle d’alerte.

Connexion à un compte privilégié

Surveillez l’activité de connexion de toutes les comptes privilégiés en utilisant les journaux de connexion Microsoft Entra comme source de données. Outre les informations de réussite et d’échec de connexion, les journaux contiennent les informations suivantes :

  • Interruptions
  • Appareil
  • Emplacement
  • Risque
  • Application
  • Date et heure
  • Le compte est-il désactivé ?
  • Verrouillage.
  • Fraude MFA
  • Échec d’accès conditionnel

Éléments à surveiller

Vous pouvez surveiller les événements de connexion à un compte privilégié dans les journaux de connexion Microsoft Entra. Signalez et menez des investigations sur les événements suivants pour les comptes privilégiés.

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Échec de connexion, seuil de mot de passe incorrect Élevée Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 50126
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes.
Modèle Microsoft Sentinel

Règles Sigma
Échec en raison des exigences de l’accès conditionnel Élevée Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 53003
-et-
Motif de l’échec = Bloqué par l’accès conditionnel
Cet événement peut indiquer qu’un attaquant tente d’accéder au compte.
Modèle Microsoft Sentinel

Règles Sigma
Comptes privilégiés qui ne suivent pas la stratégie de nommage Abonnement Azure Répertorier les attributions de rôle Azure à l’aide du portail Azure Répertoriez les attributions de rôles pour les abonnements et envoyez des alertes lorsque le nom de connexion ne correspond pas au format de votre organisation. Par exemple, l’utilisation de ADM_ comme préfixe.
Interruption Élevé, moyen Connexions Microsoft Entra État = Interrompu
-et-
Code d’erreur = 50074
-et-
Motif de l’échec = Authentification forte requise
État = Interrompu
-et-
Code d’erreur = 500121
Motif de l’échec = Échec de l’authentification lors d’une demande d’authentification forte
Cet événement peut indiquer qu’un attaquant dispose du mot de passe du compte, mais qu’il ne peut pas répondre correctement à la demande d’authentification multifacteur.
Modèle Microsoft Sentinel

Règles Sigma
Comptes privilégiés qui ne suivent pas la stratégie de nommage Élevée Annuaire Microsoft Entra Répertorier Microsoft Entra attributions de rôles Répertoriez les attributions de rôles Microsoft Entra et envoyez une alerte quand l’UPN ne correspond pas au format de votre organisation. Par exemple, l’utilisation de ADM_ comme préfixe.
Découvrir les comptes privilégiés non inscrits à l’authentification multifacteur Élevé API Microsoft Graph Exécutez la requête IsMFARegistered = false pour les comptes administrateur. Lister credentialUserRegistrationDetails - Microsoft Graph version bêta Auditez et vérifiez si l’événement est intentionnel ou si c’est un oubli.
Verrouillage de compte Élevée Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 50053
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes.
Modèle Microsoft Sentinel

Règles Sigma
Compte désactivé ou bloqué pour les connexions Faible Journal de connexion Microsoft Entra État = échec
-et-
Cible = UPN de l’utilisateur
-et-
Code d’erreur = 50057
Cet événement peut indiquer qu’un utilisateur tente d’accéder à un compte une fois qu’il a quitté l’organisation. Même si le compte est bloqué, il est important d’enregistrer et de signaler cette activité.
Modèle Microsoft Sentinel

Règles Sigma
Blocage ou alerte de fraude MFA Élevée Journal de connexion Microsoft Entra/Azure Log Analytics Connexions>Détails de l’authentification Détails du résultat = MFA refusé, code de fraude entré L’utilisateur privilégié a indiqué qu’il n’a pas lancé d’invite d’authentification multifacteur, ce qui peut indiquer qu’un attaquant a le mot de passe du compte.
Modèle Microsoft Sentinel

Règles Sigma
Blocage ou alerte de fraude MFA Élevée Journal d’audit Microsoft Entra /Azure Log Analytics Type d’activité = Fraude signalée - L’utilisateur ne peut pas utiliser MFA ou fraude signalée - Aucune action entreprise (selon les paramètres au niveau du locataire pour le rapport de fraude) L’utilisateur privilégié a indiqué qu’il n’a pas lancé d’invite d’authentification multifacteur, ce qui peut indiquer qu’un attaquant a le mot de passe du compte.
Modèle Microsoft Sentinel

Règles Sigma
Connexions à des comptes privilégiés en dehors des contrôles attendus Journal de connexion Microsoft Entra État = échec
UserPricipalName = <Compte d’administrateur>
Emplacement = <emplacement non approuvé>
Adresse IP = <adresse IP non approuvée>
Informations sur l’appareil = <navigateur non approuvé, système d’exploitation>
Supervisez et signalez toute entrée que vous avez définie comme non approuvée.
Modèle Microsoft Sentinel

Règles Sigma
En dehors des heures de connexion normales Élevée Journal de connexion Microsoft Entra État = réussite
-et-
Emplacement =
-et-
Heure = En dehors des heures de travail
Surveillez et signalez les connexions qui se produisent en dehors des périodes attendues. Il est important de trouver le modèle de travail normal pour chaque compte privilégié et de signaler les modifications non planifiées en dehors des périodes de travail normales. Les connexions en dehors des heures de travail normales peuvent indiquer une compromission ou des menaces potentielles provenant d’initiés.
Modèle Microsoft Sentinel

Règles Sigma
Risques lié à la protection des ID Microsoft Entra Élevé Journaux de protection des ID État du risque = À risque
-et-
Niveau de risque = Faible, moyen, élevé
-et-
Activité = Connexion/TOR inhabituels, etc.
Cet événement indique qu’il existe une anomalie détectée avec la connexion pour le compte et que vous devez recevoir une alerte à ce sujet.
Modification de mot de passe Élevée Journaux d'audit Microsoft Entra Intervenant de l’activité = Administrateur/libre-service
-et-
Cible = Utilisateur
-et-
État = Réussite ou échec
Alertez en cas de changement d’un mot de passe de compte administrateur. Écrivez une requête pour les comptes privilégiés.
Modèle Microsoft Sentinel

Règles Sigma
Modifier le protocole d’authentification hérité Élevée Journal de connexion Microsoft Entra Application cliente = Autre client, IMAP, POP3, MAPI, SMTP, etc.
-et-
Nom d’utilisateur = UPN
-et-
Application = Exchange (exemple)
De nombreuses attaques utilisent l’authentification héritée. Par conséquent, s’il y a une modification dans le protocole d’authentification pour l’utilisateur, cela peut indiquer une attaque.
Modèle Microsoft Sentinel

Règles Sigma
Nouvel appareil ou emplacement Élevée Journal de connexion Microsoft Entra Informations sur l’appareil = ID de l’appareil
-et-
Browser
-et-
Système d''exploitation
-et-
Conforme/géré
-et-
Cible = Utilisateur
-et-
Emplacement
La plupart des activités d’administration doivent provenir d’appareils à accès privilégié, à partir d’un nombre limité d’emplacements. Pour cette raison, signalez les nouveaux périphériques ou emplacements.
Modèle Microsoft Sentinel

Règles Sigma
Le paramètre d’alerte d’audit est modifié Élevée Journaux d'audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Activité = Désactiver l’alerte PIM
-et-
État = réussite
Les modifications apportées à une alerte principale doivent être signalées si elles sont inattendues.
Modèle Microsoft Sentinel

Règles Sigma
Administrateurs s’authentifiant auprès d’autres locataires Microsoft Entra Moyenne Journal de connexion Microsoft Entra État = réussite

ID de locataire de ressource != ID de locataire d’accueil
En cas de délimitation aux utilisateurs privilégiés, ce moniteur détecte lorsqu’un administrateur s’authentifie auprès d’un autre locataire Microsoft Entra avec une identité dans le locataire de votre organisation.

Alerter si l’ID de locataire de ressource n’est pas égal à l’ID de locataire d’accueil
Modèle Microsoft Sentinel

Règles Sigma
L’état de l’utilisateur administrateur est passé d’invité à membre Moyenne Journaux d'audit Microsoft Entra Activité : Mettre à jour l’utilisateur

Catégorie : UserManagement

UserType modifié d’invité à membre
Monitorer et alerter en cas de changement de type d’utilisateur (d’invité à membre).

Ce changement était-il prévu ?
Modèle Microsoft Sentinel

Règles Sigma
Utilisateurs invités à un locataire par des inviteurs non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Inviter un utilisateur externe

Catégorie : UserManagement

Lancé par (intervenant) : Nom d’utilisateur principal
Monitorer et alerter si des intervenants non approuvés invitent des utilisateurs externes.
Modèle Microsoft Sentinel

Règles Sigma

Modifications par des comptes privilégiés

Surveillez tous les changements effectués et tentés par un compte privilégié. Ces données vous permettent d’établir quelle est l’activité normale pour chaque compte privilégié et de signaler l’activité qui dévie de celle attendue. Les journaux d’audit Microsoft Entra sont utilisés pour enregistrer ce type d’événement. Pour plus d’informations sur les journaux d’audit Microsoft Entra, consultez Journaux d’audit dans Microsoft Entra ID.

Services de domaine Microsoft Entra

Les comptes privilégiés auxquels des autorisations ont été attribuées dans Microsoft Entra Domain Services peuvent effectuer des tâches pour Microsoft Entra Domain Services qui affectent la posture de sécurité de vos machines virtuelles hébergées par Azure qui utilisent Microsoft Entra Domain Services. Activez les audits de sécurité sur les machines virtuelles et surveillez les journaux. Pour plus d’informations sur l’activation des audits Microsoft Entra Domain Services et pour obtenir la liste des privilèges sensibles, consultez les ressources suivantes :

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Modifications tentées et terminées Élevée Journaux d'audit Microsoft Entra Date et heure
-et-
Service
-et-
Catégorie et nom de l’activité (laquelle)
-et-
État = Réussite ou échec
-et-
Cible
-et-
Initiateur ou intervenant (qui)
Toutes les modifications non planifiées doivent être signalées par une alerte immédiatement. Ces journaux doivent être conservés pour aider à l’investigation. Toutes les modifications apportées au niveau du locataire doivent être examinées immédiatement (lien vers la documentation Infra) pour réduire la posture de sécurité de votre locataire. L’exclusion de comptes de l’authentification multifacteur ou de l’accès conditionnel en est un exemple. Signalez les ajouts ou modifications apportés à des applications. Consultez Guide des opérations de sécurité Microsoft Entra pour les applications.
Exemple
Tentative de modification ou modification effectuée sur des applications ou des services à valeur élevée
Élevé Journal d’audit Service
-et-
Catégorie et nom de l’activité
Date et heure, Service, Catégorie et nom de l’activité, État = Réussite ou échec, Cible, Initiateur ou acteur (qui)
Modifications privilégiées dans Microsoft Entra Domain Services Élevée Services de domaine Microsoft Entra Rechercher l’événement 4673 Activer les audits de sécurité pour Microsoft Entra Domain Services
Pour obtenir la liste de tous les événements privilégiés, consultez Auditer l’utilisation de privilèges sensibles.

Modifications apportées à des comptes privilégiés

Examinez les modifications apportées aux privilèges et règles d’authentification des comptes privilégiés, en particulier si la modification offre un privilège plus élevé ou la capacité d’effectuer des tâches dans votre environnement Microsoft Entra.

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Création d’un compte privilégié Moyenne Journaux d'audit Microsoft Entra Service = répertoire principal
-et-
Catégorie = Gestion des utilisateurs
-et-
Type d’activité = Ajouter un utilisateur
-corrélation avec –
Type de catégorie = Gestion des rôles
-et-
Type d’activité = Ajout un membre au rôle
-et-
Propriétés modifiées = Role.DisplayName
Surveillez la création de comptes privilégiés. Recherchez la corrélation sur un bref intervalle de temps entre la création et la suppression de comptes.
Modèle Microsoft Sentinel

Règles Sigma
Modifications apportées aux méthodes d’authentification Élevée Journaux d'audit Microsoft Entra Service = méthode d’authentification
-et-
Type d’activité = Informations de sécurité inscrites par l’utilisateur
-et-
Catégorie = Gestion des utilisateurs
Cette modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte afin d’obtenir un accès continu.
Modèle Microsoft Sentinel

Règles Sigma
Signaler les modifications apportées aux autorisations de compte privilégié Élevée Journaux d'audit Microsoft Entra Catégorie = Gestion des rôles
-et-
Type d’activité = Ajouter un membre éligible (permanent)
-ou-
Type d’activité = Ajouter un membre éligible (éligible)
-et-
État = Réussite ou échec
-et-
Propriétés modifiées = Role.DisplayName
Cette alerte concerne en particulier les comptes auxquels les rôles attribués sont inconnus ou en dehors de leurs responsabilités normales.

Règles Sigma
Comptes privilégiés inutilisés Moyenne Révision d’accès à Microsoft Entra Passez en revue tous les mois les comptes d’utilisateurs privilégiés inactifs.
Règles Sigma
Comptes exemptés de l’accès conditionnel Élevé Journaux Azure Monitor
-ou-
Révisions d’accès
Accès conditionnel = Insights et rapports Tout compte exempté de l’accès conditionnel contourne probablement les contrôles de sécurité et est plus vulnérable à la compromission. Les comptes de secours sont exemptés. Consultez les informations sur la façon de superviser les comptes de secours plus loin dans cet article.
Ajout d’un passe d’accès temporaire à un compte privilégié Élevée Journaux d'audit Microsoft Entra Activité : Informations de sécurité inscrites par l’administrateur

Raison de l’état : Méthode de passe d’accès temporaire inscrite par l’administrateur pour l’utilisateur

Catégorie : UserManagement

Lancé par (intervenant) : Nom d’utilisateur principal

Cible : Nom d’utilisateur principal
Monitorer et alerter en cas de passe d’accès temporaire créée pour un utilisateur privilégié.
Modèle Microsoft Sentinel

Règles Sigma

Pour plus d’informations sur la surveillance des exceptions pour les stratégies d’accès conditionnel, consultez Insights et reporting sur l’accès conditionnel.

Pour plus d’informations sur la découverte des comptes privilégiés inutilisés, consultez Créer une révision d’accès des rôles Microsoft Entra dans Privileged Identity Management.

Attribution et élévation

Le fait de disposer de comptes privilégiés configurés en continu avec des capacités élevées peut augmenter la surface d’attaque et les risques liés à votre limite de sécurité. Préférez à cela un accès juste-à-temps en utilisant une procédure d’élévation. Ce type de système vous permet d’attribuer des droits pour les rôles privilégié. Les administrateurs élèvent leurs privilèges sur ces rôles uniquement lorsqu’ils effectuent des tâches qui en ont besoin. L’utilisation d’un processus d’élévation vous permet de surveiller les élévations et l’absence d’utilisation de comptes privilégiés.

Établir une ligne de base

Pour surveiller les exceptions, vous devez d’abord créer une ligne de base. Déterminer les informations suivantes pour ces éléments

  • Comptes d’administration

    • Votre stratégie de compte privilégié
    • Utilisation de comptes locaux pour administrer des ressources locales
    • Utilisation de comptes basés sur le cloud pour administrer des ressources basées sur le cloud
    • Approche de la séparation et de la supervision des autorisations administratives pour les ressources locales et basées sur le cloud
  • Protection des rôles privilégiés

    • Stratégie de protection pour les rôles dotés de privilèges administratifs
    • Stratégie organisationnelle pour l’utilisation de comptes privilégiés
    • Stratégie et principes pour le maintien de privilèges permanents ou l’octroi d’un accès approuvé et limité dans le temps

Les concepts et les informations suivants aident à déterminer les stratégies :

  • Principes d’administration juste-à-temps. Utilisez les journaux Microsoft Entra pour capturer des informations sur l’exécution de tâches d’administration communes à votre environnement. Déterminez le temps d’exécution habituel des tâches.
  • Principes d’administration juste-assez. Déterminez le rôle avec le moins de privilèges, qui peut être un rôle personnalisé, nécessaire pour les tâches d’administration. Pour plus d’informations, consultez Rôles les moins privilégiés par tâche dans Microsoft Entra ID.
  • Établissement d’une stratégie d’élévation. Après avoir obtenu des insights du type de privilège élevé requis et de la durée nécessaire pour chaque tâche, créez des stratégies qui reflètent l’utilisation de privilèges élevés pour votre environnement. Par exemple, définissez une stratégie pour limiter l’élévation de rôle à une heure.

Après avoir établi votre base de référence et défini la stratégie, vous pouvez configurer la supervision pour détecter et signaler toute utilisation en dehors de la stratégie.

Découverte

Prêtez une attention particulière aux modifications apportées à l’attribution et à l’élévation des privilèges.

Éléments à surveiller

Vous pouvez superviser les modifications de comptes privilégiés à l’aide de journaux d’audit Microsoft Entra et de journaux Azure Monitor. Incluez les modifications suivantes dans votre processus de supervision.

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Ajouté au rôle privilégié éligible Élevée Journaux d'audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Ajouter un membre au rôle terminé (éligible)
-et-
État = Réussite ou échec
-et-
Propriétés modifiées = Role.DisplayName
Tout compte éligible à un rôle reçoit maintenant un accès privilégié. Si l’attribution est inattendue ou est appliquée à un rôle qui n’est pas la responsabilité du titulaire du compte, étudiez le problème.
Modèle Microsoft Sentinel

Règles Sigma
Rôles attribués hors PIM Élevée Journaux d'audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Ajouter un membre au rôle (permanent)
-et-
État = Réussite ou échec
-et-
Propriétés modifiées = Role.DisplayName
Ces rôles doivent être étroitement supervisés et signalés. Les utilisateurs ne doivent pas se voir attribuer des rôles en dehors de PIM dans la mesure du possible.
Modèle Microsoft Sentinel

Règles Sigma
Élévations Moyenne Journaux d'audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité =- Ajouter un membre au rôle terminé (activation PIM)
-et-
État = Réussite ou échec
-et-
Propriétés modifiées = Role.DisplayName
Une fois élevé, un compte privilégié peut apporter des modifications susceptibles d’affecter la sécurité de votre locataire. Toutes les élévations doivent être journalisées et, si elles se produisent en dehors du modèle standard pour cet utilisateur, elles doivent être signalées et examinées si elles ne sont pas planifiées.
Approbations et refus des demandes d’élévation Faible Journaux d'audit Microsoft Entra Service = Révision de l’accès
-et-
Catégorie = UserManagement
-et-
Type d’activité = Demande approuvée ou refusée
-et-
Initié par (acteur) = UPN
Supervisez toutes les élévations, car cela peut vous donner une indication claire de la chronologie d’une attaque.
Modèle Microsoft Sentinel

Règles Sigma
Modifications apportées aux paramètres PIM Élevée Journaux d'audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Mettre à jour le paramètre de rôle dans PIM
-et-
Raison de l’état = Authentification multifacteur à l’activation désactivée (exemple)
L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié.
Modèle Microsoft Sentinel

Règles Sigma
L’élévation ne se produit pas sur SAW/PAW Élevée Journaux de connexion Microsoft Entra ID de périphérique
-et-
Browser
-et-
Système d''exploitation
-et-
Conforme/géré
Corrélation avec :
Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité =- Ajouter un membre au rôle terminé (activation PIM)
-et-
État = Réussite ou échec
-et-
Propriétés modifiées = Role.DisplayName
Si cette modification est configurée, toute tentative d’élévation sur un appareil non-PAW/SAW doit faire l’objet d’une enquête immédiate car cela pourrait indiquer qu’un attaquant essaie d’utiliser le compte.
Règles Sigma
Élévation pour gérer tous les abonnements Azure Élevé Azure Monitor Onglet Journal d’activité
Onglet Activité de l’annuaire
Nom de l’opération = Affecte l’appelant au rôle Administrateur de l’accès utilisateur
-et-
Catégorie d’événement = Administration
-et-
État = Réussite, démarrage, échec
-et-
Événement lancé par
Cette modification doit être examinée immédiatement si elle n’est pas planifiée. Ce paramètre peut permettre à un attaquant d’accéder aux abonnements Azure de votre environnement.

Pour plus d’informations sur la gestion de l’élévation de privilège, consultez Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure. Pour plus d’informations sur la supervision des élévations de privilèges à l’aide des informations disponibles dans les journaux Microsoft Entra, consultez la section Journal d’activité Azure de la documentation Azure Monitor.

Pour plus d’informations sur la configuration d’alertes pour les rôles Azure, consultez Configurer des alertes de sécurité pour les rôles de ressources Azure dans Privileged Identity Management.

Étapes suivantes

Consultez les articles suivants sur les opérations de sécurité :

Vue d’ensemble des opérations de sécurité Microsoft Entra

Opérations de sécurité pour les comptes d’utilisateur

Opérations de sécurité pour les comptes consommateur

Opérations de sécurité pour Privileged Identity Management

Opérations de sécurité pour les applications

Opérations de sécurité pour les appareils

Opérations de sécurité pour l’infrastructure