Partager via


Opérations de sécurité Microsoft Entra pour la gestion des identités privilégiées

La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Des pirates informatiques s’efforcent de dérober des informations d’identification permettant de cibler des comptes administrateur ou d’autres comptes disposant d’un accès privilégié dans le but d’accéder à des données sensibles.

Pour les services cloud, la prévention et la réponse sont de la responsabilité conjointe du fournisseur de services cloud et du client.

En général, la sécurité d’une organisation est axée sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, en raison de l’utilisation d’applications SaaS et d’appareils personnels, cette approche a perdu en efficacité. Dans Microsoft Entra ID, nous remplaçons le périmètre de sécurité du réseau par une authentification dans la couche d'identité de votre organisation. Lorsque les utilisateurs se voient attribuer des rôles d’administration privilégiés, leur accès doit être protégé dans des environnements locaux, cloud et hybrides.

Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services cloud Azure, la prévention et la réponse aux problèmes sont des responsabilités qui sont partagées entre Microsoft en tant que fournisseur de services cloud, et vous en tant que client.

Privileged Identity Management (PIM) est un service Microsoft Entra qui vous permet de gérer, contrôler et surveiller l'accès aux ressources importantes de votre organisation. Ces ressources incluent des ressources dans Microsoft Entra ID, Azure et d'autres services Microsoft Online tels que Microsoft 365 ou Microsoft Intune. Vous pouvez utiliser PIM pour atténuer les risques en :

  • Réduisant le nombre de personnes qui ont accès à des informations ou à des ressources sécurisées.

  • Détectant les autorisations d’accès excessives, inutiles ou inutilisées sur les ressources sensibles.

  • Réduisant les possibilités qu’un acteur malveillant accède à des informations ou à des ressources sécurisées.

  • Réduisant les possibilités qu’un utilisateur non autorisé altère accidentellement des ressources sensibles.

Cet article fournit des conseils d’aide sur la définition des bases de référence, l’audit des connexions et l’utilisation des comptes privilégiés. Utilisez le journal d’audit pour préserver l’intégrité des comptes privilégiés.

Où regarder ?

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

Dans le portail Azure, affichez les journaux d’audit Microsoft Entra et téléchargez-les sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs manières d'intégrer les journaux Microsoft Entra à d'autres outils pour automatiser la surveillance et les alertes :

  • Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités d’informations de sécurité et gestion d’événements (SIEM, Security Information and Event Management).

  • Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.

  • Azure Monitor – Permet de créer des alertes et supervisions automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.

  • Azure Event Hubs intégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM tels que Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.

  • Microsoft Defender for Cloud Apps : vous permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.

  • Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.

La suite de cet article contient des recommandations permettant de définir une base de référence à utiliser pour la surveillance et l’envoi d’alertes, selon un modèle de niveau. Les liens vers les solutions prédéfinies sont affichés après le tableau. Vous pouvez créer des alertes à l’aide des outils précédents. Le contenu est organisé selon les zones suivantes :

  • Lignes de base

  • Attribution du rôle Microsoft Entra

  • Paramètres d’alerte du rôle Microsoft Entra

  • Attribution de rôles pour les ressources Azure

  • Gestion de l’accès pour les ressources Azure

  • Élévation des privilèges pour gérer les abonnements Azure

Lignes de base

Voici les paramètres recommandés pour la base de référence :

Éléments à analyser Niveau de risque Recommandation Rôles Notes
Attribution des rôles Microsoft Entra Élevée Exiger une justification pour l’activation. Exiger une approbation pour l’activation. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. Administrateur de la sécurité, Administrateur de rôle privilégié, Administrateur général Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, notamment en modifiant l'expérience des utilisateurs activant une attribution de rôle éligible.
Configuration des rôles de ressources Azure Élevé Exiger une justification pour l’activation. Exiger une approbation pour l’activation. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. Propriétaire, Administrateur de l’accès utilisateur Investiguez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un attaquant d’accéder aux abonnements Azure de votre environnement.

Alertes Privileged Identity Management

PIM (Privileged Identity Management) génère des alertes lorsqu’il existe une activité suspecte ou dangereuse dans votre organisation Microsoft Entra. Lorsqu’une alerte est générée, elle apparaît dans le tableau de bord Privileged Identity Management. Vous pouvez également configurer une notification par e-mail ou l’envoyer à votre SIEM via GraphAPI. Étant donné que ces alertes se concentrent spécifiquement sur les rôles d’administration, vous devez surveiller attentivement les alertes.

Éléments à analyser Niveau de risque Where Expérience utilisateur de filtre/sous-filtre Notes
Les rôles sont affectés en dehors de Privileged Identity Management Élevée Privileged Identity Management, Alertes Les rôles sont affectés en dehors de Privileged Identity Management Comment configurer des alertes de sécurité
Règles Sigma
Comptes obsolètes potentiels dans un rôle privilégié Moyenne Privileged Identity Management, Alertes Comptes obsolètes potentiels dans un rôle privilégié Comment configurer des alertes de sécurité
Règles Sigma
Les administrateurs n’utilisent par leurs rôles privilégiés Faible Privileged Identity Management, Alertes Les administrateurs n’utilisent par leurs rôles privilégiés Comment configurer des alertes de sécurité
Règles Sigma
Les rôles ne nécessitent pas d'authentification multifacteur pour l'activation Bas Privileged Identity Management, Alertes Les rôles ne nécessitent pas d'authentification multifacteur pour l'activation Comment configurer des alertes de sécurité
Règles Sigma
L’organisation n’a pas de licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance Faible Privileged Identity Management, Alertes L’organisation n’a pas de licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance Comment configurer des alertes de sécurité
Règles Sigma
Il y a trop d’administrateurs généraux Faible Privileged Identity Management, Alertes Il y a trop d’administrateurs généraux Comment configurer des alertes de sécurité
Règles Sigma
Les rôles sont activés trop fréquemment. Faible Privileged Identity Management, Alertes Les rôles sont activés trop fréquemment. Comment configurer des alertes de sécurité
Règles Sigma

Attribution des rôles Microsoft Entra

Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, ce qui inclut la modification de l'expérience utilisateur lors de l'activation d'une attribution de rôle éligible :

  • Empêchez les acteurs malveillants de supprimer les exigences d’authentification multifacteur de Microsoft Entra pour activer l’accès privilégié.

  • Empêcher les utilisateurs malveillants de contourner la justification et l’approbation concernant l’activation de l’accès privilégié.

Éléments à analyser Niveau de risque Where Filtre/Sous-filtre Notes
Alerte lors de l’ajout de modifications aux autorisations de compte privilégié Élevée Journaux d'audit Microsoft Entra Catégorie = Gestion des rôles
-et-
Type d’activité – Ajout d’un membre éligible (permanent)
-et-
Type d’activité – Ajout d’un membre éligible (éligible)
-et-
État = Réussite/Échec
-et-
Propriétés modifiées = Role.DisplayName
Supervisez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un attaquant tente d’obtenir un privilège pour modifier les paramètres d’attribution de rôle. Si vous n’avez pas défini de seuil, déclenchez une alerte si 4 modifications ont lieu sur une période de 60 minutes dans les comptes utilisateurs, et si 2 modifications ont lieu en 60 minutes dans les comptes privilégiés.

Règles Sigma
Alerte lors de suppressions en bloc des autorisations de compte privilégié Élevée Journaux d'audit Microsoft Entra Catégorie = Gestion des rôles
-et-
Type d’activité – Suppression d’un membre éligible (permanent)
-et-
Type d’activité – Suppression d’un membre éligible (éligible)
-et-
État = Réussite/Échec
-et-
Propriétés modifiées = Role.DisplayName
Investiguez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un attaquant d’accéder aux abonnements Azure de votre environnement.
Modèle Microsoft Sentinel

Règles Sigma
Modifications apportées aux paramètres PIM Élevée Journal d’audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Mise à jour du paramètre de rôle dans PIM
-et-
Raison de l’état = MFA à l’activation désactivée (exemple)
Supervisez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un attaquant dispose de l’accès nécessaire pour modifier les paramètres d’attribution de rôle. L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié.
Modèle Microsoft Sentinel

Règles Sigma
Approbations et refus des demandes d’élévation Élevée Journal d’audit Microsoft Entra Service = Révision de l’accès
-et-
Catégorie = UserManagement
-et-
Type d’activité = Demande approuvée/refusée
-et-
Initié par (acteur) = UPN
Toutes les élévations doivent être supervisées. Journalisez toutes les élévations pour obtenir une indication claire de la chronologie d’une attaque.
Modèle Microsoft Sentinel

Règles Sigma
Désactivation d’un paramètre d’alerte. Élevée Journaux d'audit Microsoft Entra Service = PIM
-et-
Catégorie = Gestion des rôles
-et-
Type d’activité = Désactivation de l’alerte PIM
-et-
État = Réussite/Échec
Toujours déclencher une alerte. Aide à détecter les acteurs malveillants en supprimant les alertes associées aux exigences d'authentification multifacteur Microsoft Entra pour activer l'accès privilégié. Permet de détecter les activités suspectes ou non sûres.
Modèle Microsoft Sentinel

Règles Sigma

Pour plus d'informations sur l'identification des modifications des paramètres de rôle dans le journal d'audit Microsoft Entra, voir Afficher l'historique d'audit des rôles Microsoft Entra dans Privileged Identity Management.

Attribution de rôles pour les ressources Azure

Le monitoring des attributions de rôles de ressources Azure permet d’avoir une visibilité sur l’activité et les activations des rôles de ressources. Ces affectations peuvent être détournées pour créer une surface d’attaque sur une ressource. Quand vous effectuez le monitoring de ce type d’activité, vous essayez de détecter les éléments suivants :

  • Les requêtes d’attributions de rôles envoyées à des ressources spécifiques

  • Les attributions de rôle pour toutes les ressources enfants

  • Toutes les modifications d’attribution de rôles actifs et éligibles

Éléments à analyser Niveau de risque Where Filtre/Sous-filtre Notes
Alerte d’audit concernant le journal des audits de ressources pour Activités de compte privilégié Élevé Dans PIM, sous Ressources Azure, Audit des ressources Action : Ajout de membre éligible au rôle dans PIM terminé (durée maximale)
-et-
Cible principale
-et-
Type d’utilisateur
-et-
État = Réussite
Toujours déclencher une alerte. Permet de détecter lorsqu’un acteur malveillant ajoute des rôles éligibles pour gérer toutes les ressources présentes dans Azure.
Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte Moyenne Dans PIM, sous Ressources Azure, Audit des ressources Action : Désactivation de l’alerte
-et-
Cible principale : Trop de propriétaires affectés à une ressource
-et-
État = Réussite
Permet de détecter si un acteur malveillant désactive les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes
Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte Moyenne Dans PIM, sous Ressources Azure, Audit des ressources Action : Désactivation de l’alerte
-et-
Cible principale : Trop de propriétaires permanents affectés à une ressource
-et-
État = Réussite
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes
Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte Moyenne Dans PIM, sous Ressources Azure, Audit des ressources Action : Désactivation de l’alerte
-et-
Cible principale - Rôle créé en double
-et-
État = Réussite
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes

Pour plus d’informations sur la configuration des alertes et l’audit des rôles de ressources Azure, consultez :

Gestion de l’accès pour les ressources et les abonnements Azure

Les utilisateurs ou les membres du groupe auxquels sont attribués les rôles d'abonnement Propriétaire ou Administrateur d'accès utilisateur, ainsi que les administrateurs globaux Microsoft Entra qui ont activé la gestion des abonnements dans Microsoft Entra ID, disposent par défaut des autorisations d'administrateur de ressources. Les administrateurs attribuent des rôles, configurent les paramètres de rôle et passent en revue les accès à l’aide de Privileged Identity Management (PIM) pour les ressources Azure.

Un utilisateur disposant d’autorisations d’administrateur de ressources peut gérer PIM pour les ressources. Effectuez le monitoring et l’atténuation du risque introduit : cette fonctionnalité peut permettre à des acteurs malveillants de disposer d’un accès privilégié aux ressources d’abonnement Azure, par exemple les machines virtuelles ou les comptes de stockage.

Éléments à analyser Niveau de risque Where Filtre/Sous-filtre Notes
Élévations Élevée Microsoft Entra ID, sous Gérer, Propriétés Vérifiez régulièrement le paramètre.
Gestion de l’accès pour les ressources Azure
Les administrateurs généraux peuvent élever les autorisations en activant la gestion des accès pour les ressources Azure.
Vérifiez qu’aucun acteur malveillant n’a obtenu d’autorisations permettant d’attribuer des rôles dans l’ensemble des abonnements et des groupes d’administration Azure associés à Active Directory.

Pour plus d’informations, consultez Attribuer des rôles de ressources Azure dans Privileged Identity Management

Étapes suivantes

Vue d’ensemble des opérations de sécurité Microsoft Entra

Opérations de sécurité pour les comptes d’utilisateur

Opérations de sécurité pour les comptes consommateur

Opérations de sécurité pour les comptes privilégiés

Opérations de sécurité pour les applications

Opérations de sécurité pour les appareils

Opérations de sécurité pour l’infrastructure