Partager via


Opérations de sécurité Microsoft Entra pour les comptes d’utilisateur

L’identité de l’utilisateur est l’un des aspects les plus importants de la protection de votre organisation et de vos données. Le présent article fournit des conseils pour la surveillance de la création, de la suppression et de l’utilisation de comptes. La première partie explique comment surveiller la création et la suppression de comptes inhabituels. La deuxième partie explique comment surveiller l’utilisation inhabituelle des comptes.

Si vous n’avez pas encore pris connaissance de la vue d’ensemble des opérations de sécurité Microsoft Entra, nous vous recommandons de le faire avant de continuer.

Le présent article traite des comptes d’utilisateur généraux. Pour les comptes privilégiés, consultez Opérations de sécurité – comptes privilégiés.

Définir une base de référence

Pour découvrir un comportement anormal, vous devez d’abord définir le comportement normal et attendu. Le fait de définir le comportement attendu pour votre organisation vous aide à déterminer quand un comportement inattendu se produit. La définition permet également de réduire le niveau de bruit de faux positifs lors de la surveillance et des alertes.

Une fois que vous avez défini ce que vous attendez, vous effectuez une analyse de base de référence pour valider vos attentes. Grâce à ces informations, vous pouvez surveiller les journaux pour détecter tout ce qui sort des tolérances que vous avez définies.

Utilisez les journaux d’audit Microsoft Entra, les journaux de connexion Microsoft Entra, et les attributs d’annuaire comme sources de données pour les comptes créés en dehors des processus normaux. Voici quelques suggestions pour vous aideront à réfléchir et à définir ce qui est normal pour votre organisation.

  • Création de compte d’utilisateur : évaluez les éléments suivants :

    • Stratégie et principes pour les outils et les processus utilisés pour créer et gérer des comptes d’utilisateur. Par exemple, il s’agit d’attributs standard, de formats appliqués aux attributs de compte d’utilisateur.

    • Sources approuvées pour la création de comptes. Par exemple, les données peuvent provenir d’Active Directory (AD), de Microsoft Entra ID ou de systèmes RH comme Workday.

    • Stratégie d’alerte pour les comptes créés en dehors des sources approuvées. Existe-t-il une liste contrôlée d’organisations avec lesquelles votre organisation collabore ?

    • Approvisionnement des comptes invités et des paramètres d’alerte pour les comptes créés en dehors de la gestion des droits d’utilisation ou d’autres processus normaux.

    • Paramètres de stratégie et d’alerte pour les comptes créés, modifiés ou désactivés par un compte qui n’est pas celui d’un administrateur d’utilisateurs approuvé.

    • Stratégie de surveillance et d’alerte pour les comptes qui n’ont pas d’attributs standard, tels que l’ID d’employé ou qui ne respectent pas les conventions de nommage de l’organisation.

    • Stratégie, principes, et processus pour la suppression et la rétention des comptes.

  • Comptes d’utilisateur locaux : évaluez les éléments suivants pour les comptes synchronisés avec Microsoft Entra Connect :

    • Les forêts, les domaines et les unités d’organisation (UO) dans l’étendue de la synchronisation. Qui sont les administrateurs autorisés à modifier ces paramètres et à quelle fréquence l’étendue est-elle vérifiée ?

    • Les types de comptes synchronisés. Par exemple, comptes d’utilisateur et/ou comptes de service.

    • Le processus de création de comptes privilégiés locaux et la manière dont la synchronisation de ce type de compte est contrôlée.

    • Le processus de création de comptes d’utilisateur locaux et la manière dont la synchronisation de ce type de compte est managée.

Pour plus d’informations sur la sécurisation et la surveillance des comptes locaux, consultez Protection de Microsoft 365 contre les attaques locales.

  • Comptes d’utilisateur cloud : évaluez les éléments suivants :

    • Le processus de provisionnement et de gestion des comptes cloud directement dans Microsoft Entra ID.

    • Le processus permettant de déterminer les types d’utilisateurs provisionnés en tant que comptes cloud Microsoft Entra. Par exemple, autorisez-vous uniquement les comptes privilégiés ou également les comptes d’utilisateurs ?

    • Le processus de création et de maintien d’une liste de personnes et/ou de processus de confiance censés créer et gérer les comptes d’utilisateurs du cloud.

    • Le processus de création et de maintien d’une stratégie d’alerte pour les comptes basés sur le cloud non approuvés.

Emplacement des fichiers

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs méthodes d’intégration des journaux Microsoft Entra à d’autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :

  • Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).

  • Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour les critères de recherche recommandés, nous y avons ajouté un lien vers le référentiel Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.

  • Azure Monitor : Permet de créer des alertes et surveillances automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.

  • Azure Event Hubs intégré à un SIEM : les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.

  • Microsoft Defender for Cloud Apps : permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.

  • Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.

La plupart des éléments qui font l’objet d’une surveillance et d’alertes sont déterminés par vos stratégies d’accès conditionnel. Vous pouvez utiliser le classeur Insights et rapports sur l’accès conditionnel pour examiner les effets d’une ou de plusieurs stratégies d’accès conditionnel sur vos connexions ainsi que leurs résultats, notamment l’état de l’appareil. Ce classeur vous permet de consulter un résumé et d’identifier les effets sur une période spécifique. Vous pouvez également vous en servir pour examiner les connexions d’un utilisateur spécifique.

Dans la suite de cet article, nous décrivons les recommandations en matière de surveillance et d’alerte, qui sont organisées par type de menace. Lorsqu’il existe des solutions prédéfinies spécifiques, nous en indiquons le lien ou donnons des exemples à la suite de la table. Dans le cas contraire, vous pouvez créer des alertes à l’aide des outils précédents.

Création de compte

La création d’un compte anormal peut indiquer un problème de sécurité. Les comptes à courte durée de vie, les comptes qui ne suivent pas les normes d’affectation de noms et les comptes créés en dehors des processus normaux doivent être examinés.

Comptes à courte durée de vie

La création et la suppression de comptes en dehors des processus de gestion des identités normaux doivent être surveillées dans Microsoft Entra ID. Les comptes à courte durée de vie sont des comptes créés et supprimés dans une courte période. Ce type de création et de suppression rapide de comptes peut signifier qu’un acteur malveillant tente d’éviter la détection en créant des comptes, en les utilisant, puis en les supprimant.

Les modèles de compte à courte durée de vie peuvent indiquer que des personnes ou des processus non approuvés peuvent avoir le droit de créer et de supprimer des comptes qui se trouvent en dehors des processus et stratégies établis. Ce type de comportement supprime les marqueurs visibles de l’annuaire.

Si la trace de données pour la création et la suppression de comptes n’est pas découverte rapidement, les informations requises pour examiner un incident peuvent ne plus exister. Par exemple, les comptes peuvent être effacés, puis supprimés définitivement de la corbeille. Les journaux d’audit sont conservés pendant 30 jours. Toutefois, vous pouvez exporter vos journaux vers Azure Monitor ou une solution de gestion des informations et des événements de sécurité (SIEM, Security information and Event Management) pour la rétention à plus long terme.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Événements de création et de suppression de comptes dans un délai d’exécution rapproché. Élevé Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
-et-
Activité : supprimer un utilisateur
État = réussite
Recherchez les événements UPN (nom d’utilisateur principal). Recherchez les comptes créés puis supprimés en moins de 24 heures.
Modèle Microsoft Sentinel
Comptes créés et supprimés par des utilisateurs ou des processus non approuvés. Moyen Journaux d’audit Microsoft Entra Initié par (intervenant) : NOM D’UTILISATEUR PRINCIPAL
-et-
Activité : ajouter un utilisateur
État = réussite
and-or
Activité : supprimer un utilisateur
État = réussite
Si les acteurs sont des utilisateurs non approuvés, effectuez la configuration requise pour envoyer une alerte.
Modèle Microsoft Sentinel
Comptes provenant de sources non approuvées. Moyen Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
Cible(s) = NOM D’UTILISATEUR PRINCIPAL
Si l’entrée ne provient pas d’un domaine approuvé ou s’il s’agit d’un domaine bloqué connu, effectuez la configuration requise pour envoyer une alerte.
Modèle Microsoft Sentinel
Comptes attribués à un rôle privilégié. Élevé Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
-et-
Activité : supprimer un utilisateur
État = réussite
-et-
Activité : ajout d’un membre au rôle
État = réussite
Si le compte est affecté à un rôle Microsoft Entra, à un rôle Azure ou à une appartenance à un groupe privilégié, générez une alerte et donnez la priorité à l’investigation.
Modèle Microsoft Sentinel
Règles Sigma

Les comptes privilégiés et non privilégiés doivent être surveillés et alertés. Toutefois, étant donné que les comptes privilégiés disposent d’autorisations d’administration, ils doivent avoir une priorité plus élevée dans vos processus de surveillance, d’alerte et de réponse.

Comptes qui ne suivent pas les stratégies d’attribution de noms

Les comptes d’utilisateurs qui ne suivent pas les stratégies d’attribution de noms ont peut-être été créés en dehors des directives organisationnelles.

Une meilleure pratique consiste à avoir une stratégie d’attribution de noms pour les objets utilisateur. Le fait de disposer d’une stratégie d’attribution de noms facilite la gestion et aide à assurer la cohérence. La stratégie peut également vous aider à découvrir le moment où les utilisateurs ont été créés en dehors des processus approuvés. Un acteur malveillant peut ne pas être conscient de vos normes d’attribution de noms et peut faciliter la détection d’un compte approvisionné en dehors de vos processus organisationnels.

Les organisations ont tendance à utiliser des formats et des attributs spécifiques qui sont utilisés pour créer des comptes d’utilisateurs et/ou des comptes privilégiés. Par exemple :

  • UPN compte d’administrateur = ADM_firstname.lastname@tenant.onmicrosoft.com

  • UPN compte d’utilisateur = Firstname.Lastname@contoso.com

Bien souvent, les comptes d’utilisateurs ont un attribut qui identifie un utilisateur réel. Par exemple, EMPID = XXXNNN. Utilisez les suggestions suivantes pour définir la normalité au sein de votre organisation ainsi que pour établir une base de référence des entrées du journal quand les comptes ne respectent pas votre convention d’affectation de noms :

  • comptes qui ne respectent pas la convention d’affectation de noms. Par exemple, nnnnnnn@contoso.com par rapport à firstname.lastname@contoso.com.

  • Comptes dont les attributs standard ne sont pas renseignés ou dont le format n’est pas conforme. Par exemple, vous ne disposez pas d’un ID d’employé valide.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Comptes d’utilisateurs dont les attributs attendus n’ont pas été définis. Faible Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
Recherchez les comptes avec vos attributs standard Null ou dans un format non conforme. Par exemple, EmployeeID
Modèle Microsoft Sentinel
Comptes d’utilisateur créés à l’aide d’un format d’affectation de noms non conforme. Faible Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
Recherchez les comptes avec un UPN qui ne suit pas votre stratégie d’affectation de noms.
Modèle Microsoft Sentinel
Comptes privilégiés qui ne suivent pas la stratégie d’affectation de noms. Élevé Abonnement Azure Répertorier les attribution de rôle Azure à l’aide du portail Azure – Azure RBAC Listez les attributions de rôles pour les abonnements, et déclenchez une alerte lorsque le nom de connexion ne correspond pas au format de votre organisation. Par exemple, ADM_ en tant que préfixe.
Comptes privilégiés qui ne suivent pas la stratégie d’affectation de noms. Élevé Annuaire Microsoft Entra Répertorier les attributions de rôles Microsoft Entra Listez les attributions de rôles Microsoft Entra et signalez les rôles dont l’UPN ne correspond pas au format de votre organisation. Par exemple, ADM_ en tant que préfixe.

Pour plus d’informations sur les analyses, consultez :

Comptes créés en dehors des processus normaux

Il est important de disposer de processus standard pour créer des utilisateurs et des comptes privilégiés afin de pouvoir contrôler en toute sécurité le cycle de vie des identités. Si les utilisateurs sont approvisionnés et déprovisionnés en dehors des processus établis, des risques de sécurité peuvent être introduits. Le fonctionnement en dehors des processus établis peut également introduire des problèmes de gestion des identités. Les risques potentiels sont les suivants :

  • Les comptes d’utilisateurs et privilégiés peuvent ne pas être régis par des directives organisationnelles. Il peut en résulter un élargissement de la surface d’attaque des comptes qui ne sont pas bien gérés.

  • Il devient plus difficile de détecter à quel moment de mauvais acteurs créent des comptes à des fins malveillantes. En ayant des comptes valides créés en dehors des procédures établies, il devient plus difficile de détecter à quel moment les comptes sont créés ou les autorisations modifiées à des fins malveillantes.

Nous vous recommandons de créer des comptes d’utilisateur et privilégiés uniquement en suivant les stratégies de votre organisation. Par exemple, un compte doit être créé avec les normes d’affectation de noms exactes, les informations organisationnelles et dans le cadre de la gouvernance d’identité appropriée. Les organisations doivent mettre en place des contrôles rigoureux pour déterminer qui a le droit de créer, de gérer et de supprimer des identités. Les rôles permettant de créer ces comptes doivent être gérés de manière stricte et les droits ne doivent être disponibles qu’après avoir suivi un workflow établi pour approuver et obtenir ces autorisations.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Comptes d’utilisateur créés et supprimés par des utilisateurs ou des processus non approuvés. Moyen Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
et-ou-
Activité : supprimer un utilisateur
État = réussite
-et-
Initié par (acteur) = NOM D’UTILISATEUR PRINCIPAL
Alerte sur les comptes créés par des utilisateurs ou des processus non approuvés. Classer par ordre de priorité les comptes créés avec des privilèges renforcés.
Modèle Microsoft Sentinel
Comptes d’utilisateur créés ou supprimés de sources non approuvées. Moyen Journaux d’audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
-ou-
Activité : supprimer un utilisateur
État = réussite
-et-
Cible(s) = NOM D’UTILISATEUR PRINCIPAL
Alerte lorsque le domaine est un domaine non approuvé ou un domaine bloqué connu.

Connexions inhabituelles

L’affichage des échecs pour l’authentification de l’utilisateur est normal. Toutefois, le fait de voir des modèles ou des blocs de défaillances peut indiquer qu’un événement se produit avec l’identité d’un utilisateur. Par exemple durant les attaques par pulvérisation de mots de passe ou par force brute, ou quand un compte d’utilisateur est compromis. Il est essentiel d’effectuer une surveillance et de déclencher des alertes quand des modèles émergent. Cette disposition permet de garantir que vous pouvez protéger l’utilisateur et les données de votre organisation.

L’état de réussite semble dire que tout va bien. Toutefois, cet état peut signifier qu’un acteur malveillant a réussi à accéder à un service. La surveillance des connexions réussies vous permet de détecter les comptes d’utilisateurs qui obtiennent un accès, mais qui ne sont pas des comptes d’utilisateurs autorisés. Les réussites de l’authentification utilisateur sont des entrées normales dans les journaux de connexion Microsoft Entra. Nous vous recommandons de surveiller et d’alerter pour détecter l’émergence de modèles. Cette disposition permet de garantir que vous pouvez protéger les comptes d’utilisateur et les données de votre organisation.

Lors de la conception et de la mise en œuvre d’une stratégie de surveillance et d’alerte des journaux, tenez compte des outils disponibles dans le Portail Azure. La protection des ID Microsoft Entra vous permet d’automatiser la détection, la protection et la correction des risques basés sur l’identité. La protection des ID Microsoft Entra utilise des systèmes heuristiques et des systèmes d’apprentissage automatique intelligents pour détecter les risques, et affecter un score de risque aux utilisateurs et aux connexions. Les clients peuvent configurer des stratégies basées sur un niveau de risque pour autoriser ou refuser l’accès, ou permettre à l’utilisateur d’effectuer une correction automatique des risques de manière sécurisée. Les fonctionnalités de détection des risques de protection d’ID suivantes vous informent des niveaux de risque aujourd’hui :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Détection de risques de l’utilisateur des informations d’identification fuitées Élevé Journaux de détection de risque Microsoft Entra UX : Informations d’identification fuitées

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risque utilisateur (veille des menaces Microsoft Entra) Élevé Journaux de détection de risque Microsoft Entra UX : veille des menaces Microsoft Entra

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion à une adresse IP anonyme Variable Journaux de détection de risque Microsoft Entra UX : adresse IP anonyme

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion de voyage atypique Variable Journaux de détection de risque Microsoft Entra UX : voyage atypique

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Jeton anormal Variable Journaux de détection de risque Microsoft Entra UX : jeton anormal

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion par adresse IP liée à un programme malveillant Variable Journaux de détection de risque Microsoft Entra UX : adresse IP liée à un programme malveillant

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion au navigateur suspect Variable Journaux de détection de risque Microsoft Entra UX : navigateur suspect

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion avec des propriétés de connexion inhabituelles Variable Journaux de détection de risque Microsoft Entra UX : propriétés de connexion inhabituelles

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion à une adresse IP malveillante Variable Journaux de détection de risque Microsoft Entra UX : adresse IP malveillante

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion liés aux règles suspectes de manipulation de boîte de réception Variable Journaux de détection de risque Microsoft Entra UX : règles suspectes de manipulation de boîte de réception

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion par pulvérisation de mots de passe Élevé Journaux de détection de risque Microsoft Entra UX : pulvérisation de mots de passe

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection des risques de connexion de voyage impossible Variable Journaux de détection de risque Microsoft Entra UX : voyage impossible

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion du nouveau pays ou de la nouvelle région Variable Journaux de détection de risque Microsoft Entra Expérience utilisateur : nouveau pays ou nouvelle région

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion liés à une activité depuis une adresse IP anonyme Variable Journaux de détection de risque Microsoft Entra UX : activité depuis une adresse IP anonyme

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion de transfert de boîte de réception suspect Variable Journaux de détection de risque Microsoft Entra UX : transfert de boîte de réception suspect

API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma
Détection de risques de connexion (veille des menaces Microsoft Entra) Élevé Journaux de détection de risque Microsoft Entra UX : veille des menaces Microsoft Entra
API : Consultez Type de ressource riskDetection – Microsoft Graph
Consultez Qu’est-ce que le risque ? Protection des ID Microsoft Entra
Règles Sigma

Pour plus d’informations, visitez Qu’est-ce que la Protection d’ID ?.

Ce que vous devez surveiller

Configurez la surveillance des données dans les journaux de connexion Microsoft Entra pour vérifier que les alertes sont émises et respectent les stratégies de sécurité de votre organisation. Quelques exemples :

  • Échecs d’authentification : comme tout être humain, nos mots de passe sont incorrects de temps en temps. Cependant, de nombreux échecs d’authentification peuvent indiquer qu’un acteur malveillant tente d’obtenir un accès. Les attaques diffèrent en férocité, mais peuvent passer de quelques tentatives par heure à un taux beaucoup plus élevé. Par exemple, la pulvérisation de mots de passe s’attaque normalement aux mots de passe les plus faciles sur de nombreux comptes, tandis que la force brute tente d’obtenir de nombreux mots de passe sur des comptes ciblés.

  • Authentifications interrompues : une interruption dans Microsoft Entra ID représente l’injection d’un processus pour répondre à l’authentification, par exemple durant l’application d’un contrôle dans une stratégie d’accès conditionnel. Il s’agit d’un événement normal qui peut se produire quand les applications ne sont pas bien configurées. Toutefois, lorsque vous voyez de nombreuses interruptions pour un compte d’utilisateur, cette situation peut indiquer un problème avec ce compte.

    • Par exemple, si vous avez filtré un utilisateur dans les journaux de connexion et que vous voyez un volume important d’états de connexion = interruption et accès conditionnel = échec. En allant plus loin, les détails de l’authentification peuvent indiquer que le mot de passe est correct, mais qu’une authentification stricte est nécessaire. Autrement dit, l’utilisateur n’effectue pas la Multi-Factor Authentication (MFA), ce qui peut indiquer que le mot de passe de l’utilisateur est compromis et que l’acteur malveillant ne parvient pas à effectuer l’authentification MFA.
  • Verrouillage intelligent : Microsoft Entra ID fournit un service de verrouillage intelligent (Smart Lock) qui introduit le concept d’emplacements familiers et non familiers dans le processus d’authentification. Un compte d’utilisateur visitant un emplacement familier peut réussir son authentification, alors qu’un acteur malveillant qui ne connaît pas le même emplacement est bloqué après plusieurs tentatives. Recherchez les comptes qui ont été verrouillés et effectuez des recherches plus poussées.

  • Changements d’adresses IP : il est normal de voir des utilisateurs provenant de différentes adresses IP. Toutefois, les états de Confiance Zéro n’approuvent jamais et vérifient toujours. L’observation d’un volume important d’adresses IP et d’échecs de connexion peut être un indicateur d’intrusion. Recherchez un modèle de nombreuses authentifications ayant échoué à partir de plusieurs adresses IP. Notez que les connexions de réseau privé virtuel (VPN) peuvent provoquer des faux positifs. Abstraction faite de ces difficultés, nous vous recommandons de surveiller les modifications d’adresses IP et, si possible, d’utiliser Protection des ID Microsoft Entra pour détecter et atténuer automatiquement ces risques.

  • Emplacements : en général, vous vous attendez à ce qu’un compte d’utilisateur se trouve dans la même localisation géographique. Vous vous attendez également à ce que les connexions proviennent de lieux où vous avez des employés ou des relations commerciales. Lorsque le compte d’utilisateur provient d’un autre emplacement international en moins de temps que celui qu’il faudrait pour se déplacer, cette situation peut indiquer que le compte d’utilisateur fait l’objet d’un abus. Notez que les VPN peuvent entraîner des faux positifs, nous vous recommandons de surveiller les comptes d’utilisateur qui se connectent à partir d’emplacements éloignés géographiquement et, si possible, d’utiliser Protection des ID Microsoft Entra pour détecter et atténuer automatiquement ces risques.

Pour cette zone à risque, nous vous recommandons d’effectuer une surveillance des comptes d’utilisateurs standard et des comptes privilégiés, tout en classant par ordre de priorité les examens sur les comptes privilégiés. Les comptes privilégiés sont les comptes les plus importants d’un locataire Microsoft Entra. Si vous avez besoin d’aide spécifique sur les comptes privilégiés, consultez Opérations de sécurité – comptes privilégiés.

Mode de détection

Utilisez Protection des ID Microsoft Entra, ainsi que les journaux de connexion Microsoft Entra pour vous aider à détecter les menaces indiquées par des caractéristiques de connexion inhabituelles. Pour plus d’informations, consulter l’article Qu’est-ce que la protection d’ID. Vous pouvez également répliquer les données vers Azure Monitor ou SIEM à des fins de surveillance et d’alerte. Pour définir la normalité dans votre environnement et établir une base de référence, déterminez :

  • Les paramètres que vous considérez comme normaux pour votre base d’utilisateurs.

  • Le nombre moyen d’essais d’un mot de passe sur une période donnée avant que l’utilisateur n’appelle le Service Desk ou n’effectue une réinitialisation de mot de passe en libre-service.

  • Le nombre de tentatives infructueuses que vous souhaitez autoriser avant d’émettre une alerte, en précisant si ce nombre est différent pour les comptes d’utilisateurs et les comptes privilégiés.

  • Le nombre de tentatives MFA que vous souhaitez autoriser avant d’émettre une alerte, en précisant si ce nombre sera différent pour les comptes d’utilisateurs et les comptes privilégiés.

  • Si l’authentification héritée est activée et votre feuille de route pour l’arrêt de l’utilisation.

  • Les adresses IP de sortie connues sont destinées à votre organisation.

  • Les régions/pays à partir desquels vos utilisateurs opèrent.

  • Si des groupes d’utilisateurs restent stationnaires au sein d’un emplacement réseau, d’un pays ou d’une région.

  • Identifiez tous les autres indicateurs pour les connexions inhabituelles spécifiques à votre organisation. Par exemple, les jours ou heures de la semaine ou de l’année, où votre organisation n’est pas en activité.

Une fois que vous avez défini l’étendue de la normalité propre aux comptes de votre environnement, examinez la liste suivante pour identifier les scénarios de monitoring et d’alertes ainsi que pour affiner les alertes.

  • Avez-vous besoin de surveiller et d’alerter lorsque Protection des ID Microsoft Entra est configurée ?

  • Existe-t-il des conditions plus strictes appliquées aux comptes privilégiés que vous pouvez utiliser pour surveiller et émettre des alertes ? Par exemple, la nécessité d’utiliser des comptes privilégiés uniquement à partir d’adresses IP approuvées.

  • Les lignes de base que vous définissez sont-elles trop agressives ? Si vous avez trop d’alertes, vous risquez de les ignorer ou de les manquer.

Configurez Protection d’ID pour vous assurer que la protection est en place et prend en charge vos stratégies de base de référence de sécurité. Par exemple, bloquer les utilisateurs si risque = élevé. Ce niveau de risque indique avec un degré élevé de confiance qu’un compte d’utilisateur est compromis. Pour plus d’informations sur la configuration des stratégies de risque de connexion et des stratégies de risque d’utilisateur, consultez Stratégies de protection d’ID.

Les éléments suivants sont listés par ordre d’importance en fonction de leur effet et de la gravité des entrées.

Surveillance des connexions d’utilisateur externe

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Utilisateurs s’authentifiant auprès d’autres locataires Microsoft Entra. Faible Journal de connexion Microsoft Entra État = réussite
ID de locataire de ressource != ID de locataire d’accueil
Détecte à quel moment un utilisateur a réussi à s’authentifier auprès d’un autre locataire Microsoft Entra avec une identité dans le locataire de votre organisation.
Alerter si l’ID de locataire de ressource n’est pas égal à l’ID de locataire d’accueil
Modèle Microsoft Sentinel
Règles Sigma
L’état de l’utilisateur est passé d’invité à membre Moyen Journaux d’audit Microsoft Entra Activité : Mise à jour utilisateur
Catégorie : UserManagement
UserType modifié d’invité à membre
Surveiller et alerter en cas de changement de type d’utilisateur (d’invité à membre). Est-ce attendu ?
Modèle Microsoft Sentinel
Règles Sigma
Utilisateurs invités à un locataire par des inviteurs non approuvés Moyen Journaux d’audit Microsoft Entra Activité : inviter un utilisateur externe
Catégorie : UserManagement
Lancé par (intervenant) : Nom d’utilisateur principal
Surveiller et alerter si des acteurs non approuvés invitent des utilisateurs externes.
Modèle Microsoft Sentinel
Règles Sigma

Surveillance des connexions inhabituelles ayant échoué

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Échecs de tentatives de connexion. Moyen : si incident isolé
Élevé – Si de nombreux comptes sont confrontés au même modèle ou à une adresse IP virtuelle.
Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur de connexion 50126 –
Erreur de validation des identifiants en raison d’un nom d’utilisateur ou d’un mot de passe non valide.
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes.
Modèle Microsoft Sentinel
Règles Sigma
Événements de verrouillage intelligent. Moyen : si incident isolé
Élevé – Si de nombreux comptes sont confrontés au même modèle ou à une adresse IP virtuelle.
Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur de connexion = 50053 – IdsLocked
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes.
Modèle Microsoft Sentinel
Règles Sigma
interruptions Moyen : si incident isolé
Élevé – Si de nombreux comptes sont confrontés au même modèle ou à une adresse IP virtuelle.
Journal de connexion Microsoft Entra 500121, échec de l’authentification lors d’une requête d’authentification forte.
-ou-
50097, l’authentification de l’appareil est requise ou 50074, une authentification stricte est requise.
-ou-
50155, DeviceAuthenticationFailed
-ou-
50158, ExternalSecurityChallenge – La vérification de la sécurité externe n’a pas abouti
-ou-
53003 et Motif de l’échec = Bloqué par l’accès conditionnel
Surveiller et alerter sur les interruptions.
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes.
Modèle Microsoft Sentinel
Règles Sigma

Les éléments suivants sont listés par ordre d’importance en fonction de leur effet et de la gravité des entrées.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Alertes de fraude MFA. Élevé Journal de connexion Microsoft Entra État = échec
-et-
Détails = MFA refusé
Surveiller et alerter sur n’importe quelle entrée.
Modèle Microsoft Sentinel
Règles Sigma
Échecs d’authentification depuis des pays/régions où vous n’opérez pas. Moyen Journal de connexion Microsoft Entra Emplacement = <emplacement non approuvé> Surveiller et alerter sur n’importe quelle entrée.
Modèle Microsoft Sentinel
Règles Sigma
Échecs d’authentification pour des protocoles hérités ou des protocoles qui ne sont pas utilisés. Moyen Journal de connexion Microsoft Entra État = échec
-et-
Application cliente = autres clients, POP, IMAP, MAPI, SMTP, ActiveSync
Surveiller et alerter sur n’importe quelle entrée.
Modèle Microsoft Sentinel
Règles Sigma
Échecs bloqués par l’accès conditionnel. Moyen Journal de connexion Microsoft Entra Code d’erreur = 53003
-et-
Motif de l’échec = Bloqué par l’accès conditionnel
Surveiller et alerter sur n’importe quelle entrée.
Modèle Microsoft Sentinel
Règles Sigma
Amélioration des authentifications ayant échoué de tout type. Moyen Journal de connexion Microsoft Entra La capture augmente les échecs dans tous les domaines. En d’autres termes, le nombre total d’échecs d’authentification du jour est > 10 % par rapport au même jour de la semaine précédente. Si vous n’avez pas de seuil défini, surveillez et alertez si les échecs augmentent de 10 % ou plus.
Modèle Microsoft Sentinel
L’authentification a lieu aux dates et heures de la semaine lors desquelles les pays/régions n’effectuent aucune opération commerciale normale. Faible Journal de connexion Microsoft Entra Capturez l’authentification interactive se produisant en dehors des jours/heures de fonctionnement normaux.
État = réussite
-et-
Emplacement = <emplacement>
-et-
Jour\heure = <heures de travail anormales>
Surveiller et alerter sur n’importe quelle entrée.
Modèle Microsoft Sentinel
Compte désactivé/bloqué pour les connexions Faible Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 50057, le compte d’utilisateur est désactivé.
Cette état peut indiquer qu’un utilisateur tente d’accéder à un compte une fois qu’il a quitté une organisation. Même si le compte est bloqué, il est important de journaliser et de signaler cette activité par une alerte.
Modèle Microsoft Sentinel
Règles Sigma

Surveillance des connexions inhabituelles réussies

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Authentifications de comptes privilégiés en dehors des contrôles attendus. Élevé Journal de connexion Microsoft Entra État = réussite
-et-
UserPricipalName = <Compte d’administrateur>
-et-
Emplacement = <emplacement non approuvé>
-et-
Adresse IP = <adresse IP non approuvée>
Informations sur l’appareil = <navigateur non approuvé, système d’exploitation>
Surveiller et alerter en cas de réussite de l’authentification pour les comptes privilégiés en dehors des contrôles attendus. Trois contrôles communs sont répertoriés.
Modèle Microsoft Sentinel
Règles Sigma
Lorsque seule l’authentification à facteur unique est requise. Faible Journal de connexion Microsoft Entra État = réussite
Exigence d’authentification = authentification à facteur unique
Effectuez un monitoring périodique, et vérifiez le comportement attendu.
Règles Sigma
Détectez les comptes privilégiés non inscrits à MFA. Élevé API Azure Graph Exécutez la requête IsMFARegistered = false pour les comptes administrateur.
Répertorier credentialUserRegistrationDetails : Microsoft Graph version bêta
Auditez et vérifiez si c’est intentionnel ou si c’est un oubli.
Authentifications réussies depuis des pays/régions où votre organisation n’a aucune activité. Moyen Journal de connexion Microsoft Entra État = réussite
Emplacement = <région/pays non approuvé>
Surveillez et signalez toute entrée ne correspondant pas aux noms de ville que vous fournissez.
Règles Sigma
Authentification réussie, session bloquée par l’accès conditionnel. Moyen Journal de connexion Microsoft Entra État = réussite
-et-
code d’erreur = 53003 – Motif de l’échec, bloqué par l’accès conditionnel
Surveillez et examinez lorsque l’authentification réussit, mais que la session est bloquée par l’accès conditionnel.
Modèle Microsoft Sentinel
Règles Sigma
Authentification réussie après la désactivation de l’authentification héritée. Moyen Journal de connexion Microsoft Entra état = réussite
-et-
Application cliente = autres clients, POP, IMAP, MAPI, SMTP, ActiveSync
Si votre organisation a désactivé l’authentification héritée, surveillez et alertez lorsque l’authentification héritée a réussi.
Modèle Microsoft Sentinel
Règles Sigma

Nous vous recommandons de passer en revue périodiquement les authentifications pour les applications à impact métier moyen et à impact métier élevé, où seule une authentification à facteur unique est nécessaire. Pour chacune, vous souhaitez déterminer si l’authentification à facteur unique était attendue ou non. De plus, examinez les augmentations d’authentifications réussies ou les authentifications ayant lieu à des moments inattendus, en fonction du lieu.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Authentifications de l’application MBI et HBI à l’aide de l’authentification à facteur unique. Faible Journal de connexion Microsoft Entra état = réussite
-et-
ID de l’application = <application à impact commercial élevé (HBI)>
-et-
Exigence d’authentification = authentification à facteur unique
Examinez et vérifiez si cette configuration est intentionnelle.
Règles Sigma
Authentifications aux dates et heures de la semaine (ou de l’année) lors desquelles les pays/régions n’effectuent aucune opération commerciale normale. Faible Journal de connexion Microsoft Entra Capturez l’authentification interactive se produisant en dehors des jours/heures de fonctionnement normaux.
État = réussite
Emplacement = <emplacement>
Date\heure = <heures de travail anormales>
Surveillez et signalez les authentifications aux dates et heures de la semaine (ou de l’année) lors desquelles les pays/régions n’effectuent aucune opération commerciale normale.
Règles Sigma
Augmentation mesurable des connexions réussies. Faible Journal de connexion Microsoft Entra La capture augmente le nombre d’authentifications réussies dans tous les domaines. En d’autres termes, le nombre total d’authentifications réussies du jour est > 10 % par rapport au même jour de la semaine précédente. Si vous ne disposez pas d’un seuil défini, surveillez et signalez si les authentifications réussies augmentent de 10 % ou plus.
Modèle Microsoft Sentinel
Règles Sigma

Étapes suivantes

Consultez les articles suivants sur les opérations de sécurité :

Vue d’ensemble des opérations de sécurité Microsoft Entra

Opérations de sécurité pour les comptes de consommateur

Opérations de sécurité pour les comptes privilégiés

Opérations de sécurité pour Privileged Identity Management

Opérations de sécurité pour les applications

Opérations de sécurité pour les appareils

Opérations de sécurité pour l’infrastructure