Que sont les détections de risques ?
Protection Microsoft Entra ID fournit aux organisations des informations sur les activités suspectes dans leur tenant et leur permet de répondre rapidement pour empêcher la survenue d’un risque supplémentaire. Les détections de risque sont une ressource puissante qui peut inclure toute activité suspecte ou anormale liée à un compte d’utilisateur dans le répertoire. Les détections de risque de Protection ID peuvent être liées à un évènement utilisateur individuel ou à un évènement de connexion et contribuer au score de risque global utilisateur trouvé dans le Rapport des utilisateurs à risque.
Les détections de risque utilisateur peuvent marquer un compte d’utilisateur légitime comme étant à risque lorsqu’un acteur de menace potentielle accède à un compte en compromettant ses informations d’identification ou lorsqu’elles détectent un type d’activité utilisateur anormale. Les détections de risque de connexion représentent la probabilité qu’une demande d’authentification donnée ne provienne pas du propriétaire autorisé du compte. La possibilité d’identifier le risque au niveau de l’utilisateur et de la connexion est essentielle pour permettre aux clients de sécuriser leur tenant.
Niveaux de risque
La protection d’identité catégorise les risques en trois niveaux : faible, moyen, élevé. Niveaux de risque calculés par nos algorithmes Machine Learning et représentant le degré de confiance de Microsoft que les informations d’identification de l’utilisateur sont connues par une entité non autorisée.
- Une détection de risque avec un niveau de risque Élevé signifie que Microsoft est quasiment certain que le compte est compromis.
- Une détection de risque avec un niveau de risque Faible signifie que des anomalies sont présentes dans la connexion ou dans les informations d’identification d’un utilisateur, mais que nous sommes moins sûrs que ces anomalies indiquent que le compte est compromis.
De nombreuses détections peuvent déclencher plus d’un de nos niveaux de risque, en fonction du nombre ou de la gravité des anomalies détectées. Par exemple, desPropriétés de connexion inhabituelles peuvent se déclencher au niveau élevé, moyen ou faible, en fonction de la confiance dans les signaux. Certaines détections, telles que Informations d'identification fuitées et Adresse IP de l’intervenant de menace vérifiée sont toujours remises comme étant à risque élevé.
Le niveau de risque est important lorsqu’il s’agit de décider quelles détections prioriser, examiner et corriger. Il joue également un rôle clé au niveau de la configuration des stratégies d’accès conditionnel en fonction du risque, car chaque stratégie peut être définie pour se déclencher sur un risque de risque faible, moyen, élevé, ou nul. En fonction de la tolérance au risque de votre organisation, vous pouvez créer des stratégies qui exigent une MFA ou une réinitialisation de mot de passe quand Protection ID détecte un certain niveau de risque pour l’un de vos utilisateurs. Ces stratégies peuvent guider l’utilisateur à se corriger automatiquement pour résoudre le risque.
Important
Toutes les détections de niveau de risque « faible » et tous les utilisateurs subsistent dans le produit pendant 6 mois, après quoi ils deviennent automatiquement obsolètes, pour offrir une expérience d’enquête plus propre. Les niveaux de risque moyens et élevés subsistent jusqu’à la correction ou le rejet.
Selon la tolérance de risque de votre organisation, vous pouvez créer des stratégies qui exigent une authentification multifacteur (MFA) ou une réinitialisation de mot de passe quand ID Protection détecte un certain niveau de risque. Il est possible que ces stratégies puissent accompagner l’utilisateur pour corriger automatiquement et résoudre le risque ou le bloquer en fonction de vos tolérances.
Détections en temps réel et hors connexion
Protection ID utilise des techniques pour augmenter la précision des détections de risque d’utilisateur et de connexion en calculant certains risques en temps réel ou hors connexion après l’authentification. La détection de risque en temps réel lors de la connexion offre l’avantage d’identifier les risques tôt, afin que les clients puissent rapidement examiner la compromission potentielle. Les détections qui calculent le risque hors connexion peuvent fournir plus d’informations sur la façon dont l’acteur de menace a obtenu l’accès au compte et l’impact sur l’utilisateur légitime. Certaines détections peuvent être déclenchées hors connexion et au moment de la connexion, ce qui augmente la confiance en étant précise sur la compromission.
Les détections déclenchées en temps réel prennent 5 à 10 minutes pour présenter les informations dans les rapports. Les détections hors connexion prennent jusqu’à 48 heures pour apparaître dans les rapports, car il faut du temps pour évaluer les propriétés du risque potentiel.
Remarque
Notre système peut détecter que l’événement à risque qui a contribué au score de risque de l’utilisateur à risque était :
- Un faux positif
- Le risque de l’utilisateur a été corrigé par la stratégie :
- Fin de l’authentification multifacteur
- Modification du mot de passe sécurisé
Notre système ignorera l’état de risque et le détail de risque Sécurisation de la connexion confirmée par IA apparaîtra et ne contribuera plus au risque général de l’utilisateur.
Sur les données détaillées sur les risques, Détection du temps enregistre le moment exact où un risque est identifié lors de la connexion d’un utilisateur, ce qui permet d’avoir une évaluation des risques en temps réel et une application de stratégie immédiate pour protéger l’utilisateur et l’organisation. Détection la dernière mise à jour affiche la dernière mise à jour d’une détection de risque, qui peut être provoquée par de nouvelles informations, des changements au niveau du risque ou des actions administratives, et garantit une gestion à jour des risques.
Ces champs sont essentiels pour la surveillance en temps réel, la réponse aux menaces et le maintien d’un accès sécurisé aux ressources de l’organisation.
Détections de risque mappées à riskEventType
Détection d’événements à risque | Type de détection | Type | riskEventType |
---|---|---|---|
Détections de risque de connexion | |||
Activité depuis une adresse IP anonyme | Hors connexion | Premium | riskyIPAddress |
Risque supplémentaire détecté (connexion) | Temps réel ou hors connexion | Non-Premium | generic = Classification de détection Premium pour les tenants non-P2 |
L’administrateur a confirmé que cet utilisateur est compromis | Hors connexion | Non-Premium | adminConfirmedUserCompromised |
Jeton anormal | Temps réel ou hors connexion | Premium | anomalousToken |
Adresse IP anonyme | Temps réel | Non-Premium | anonymizedIPAddress |
Voyage inhabituel | Hors connexion | Premium | unlikelyTravel |
Voyage impossible | Hors connexion | Premium | mcasImpossibleTravel |
Adresse IP malveillante | Hors connexion | Premium | maliciousIPAddress |
Accès en masse aux fichiers sensibles | Hors connexion | Premium | mcasFinSuspiciousFileAccess |
Veille des menaces Microsoft Entra (connexion) | Temps réel ou hors connexion | Non-Premium | investigationsThreatIntelligence |
Nouveau pays | Hors connexion | Premium | newCountry |
Pulvérisation de mots de passe | Hors connexion | Premium | passwordSpray |
Navigateur suspect | Hors connexion | Premium | suspiciousBrowser |
Transfert de boîte de réception suspect | Hors connexion | Premium | suspiciousInboxForwarding |
Règles suspectes de manipulation de boîte de réception | Hors connexion | Premium | mcasSuspiciousInboxManipulationRules |
Anomalie de l’émetteur du jeton | Hors connexion | Premium | tokenIssuerAnomaly |
Propriétés de connexion inhabituelles | Temps réel | Premium | unfamiliarFeatures |
Adresse IP de l’intervenant de menace vérifiée | Temps réel | Premium | nationStateIP |
Détections de risque utilisateur | |||
Risque supplémentaire détecté (utilisateur) | Temps réel ou hors connexion | Non-Premium | generic = Classification de détection Premium pour les tenants non-P2 |
Activité anormale de l’utilisateur | Hors connexion | Premium | anomalousUserActivity |
Attaquant du milieu | Hors connexion | Premium | attackerinTheMiddle |
Informations d’identification divulguées | Hors connexion | Non-Premium | leakedCredentials |
Veille des menaces Microsoft Entra (utilisateur) | Temps réel ou hors connexion | Non-Premium | investigationsThreatIntelligence |
Tentative possible d’accès à un jeton d’actualisation principal (PRT) | Hors connexion | Premium | attemptedPrtAccess |
Trafic d’API suspect | Hors connexion | Premium | suspiciousAPITraffic |
Modèles d’envoi suspects | Hors connexion | Premium | suspiciousSendingPatterns |
L’utilisateur a signalé une activité suspecte | Hors connexion | Premium | userReportedSuspiciousActivity |
Pour plus d’informations sur les détections de risques liés aux identités de charge de travail, accédez à Sécurisation des identités de charge de travail.
Détections Premium
Les détections Premium suivantes ne sont visibles que par les clients utilisant Microsoft Entra P2.
Détections de risque de connexion Premium
Activité depuis une adresse IP anonyme
Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection identifie que les utilisateurs étaient actifs depuis une adresse IP identifiée comme une adresse IP de proxy anonyme.
Jeton anormal
Calculé en temps réel ou hors connexion. Cette détection indique qu’il existe des caractéristiques anormales dans le jeton, comme une durée de vie de jeton inhabituelle ou un jeton lu depuis un emplacement inhabituel. Cette détection couvre les jetons de session et les jetons d’actualisation.
Le jeton anormal est réglé pour entraîner un bruit supérieur à celui des autres détections au même niveau de risque. Ce compromis est choisi afin d’augmenter la probabilité de détecter les jetons relus qui pourraient autrement passer inaperçus. Il existe une probabilité plus élevée que la normale que certaines des sessions marquées par cette détection sont des faux positifs. Nous vous recommandons d’examiner les sessions signalées par cette détection dans le contexte d’autres connexions de l’utilisateur. Si l’emplacement, l’application, l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont inattendues pour l’utilisateur, l’administrateur de l’abonné doit considérer ce risque comme un indicateur de relecture potentielle du jeton.
Conseils pour examiner des détections de jetons anormaux.
Voyage inhabituel
Calculé hors connexion. Ce type de détection d’événement à risque identifie deux connexions depuis des emplacements géographiquement distants, dont au moins un pourrait être inhabituel pour l’utilisateur compte tenu de son comportement passé. L’algorithme prend en compte de multiples facteurs, notamment le temps entre les deux ouvertures de session et le temps qu’il faudrait à l’utilisateur pour se rendre du premier endroit au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification.
L’algorithme ignore les « faux positifs » évidents contribuant aux conditions de voyage impossible, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation. Le système présente une période d’apprentissage initiale la plus proche de 14 jours ou de 10 connexions lui servant à assimiler le comportement de connexion des nouveaux utilisateurs.
Conseils pour examiner des détections de voyages atypiques.
Voyage impossible
Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette section identifie les activités utilisateur (dans une seule session ou plusieurs) provenant d’emplacements éloignés sur le plan géographique au cours d’une période plus courte que la durée nécessaire pour aller du premier emplacement au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification.
Adresse IP malveillante
Calculé hors connexion. Cette détection indique une connexion à partir d’une adresse IP malveillante. Une adresse IP est considérée comme malveillante quand elle présente un taux d’échecs élevé en raison d’informations d’identification non valides qu’elle envoie ou d’autres sources relatives à la réputation des adresses IP. Dans certains cas, cette détection se déclenche pour des activités malveillantes antérieures.
Conseils pour examiner des détections d’adresses IP malveillantes.
Accès en masse aux fichiers sensibles
Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection observe votre environnement et déclenche des alertes lorsque des utilisateurs accèdent à plusieurs fichiers depuis Microsoft SharePoint Online ou Microsoft OneDrive. Une alerte n’est déclenchée que si le nombre de fichiers accédés est inhabituel pour l’utilisateur et si les fichiers peuvent contenir des informations sensibles.
Nouveau pays
Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection prend en compte les emplacements d’activité précédents pour déterminer les emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalies stocke des informations sur les emplacements précédents utilisés par les utilisateurs de l’organisation.
Pulvérisation de mots de passe
Calculé hors connexion. Une attaque par pulvérisation de mots de passe est l’endroit où plusieurs identités sont attaquées en utilisant des mots de passe communs dans une méthode de force brute unifiée. La détection des risques se déclenche lorsque le mot de passe d’un compte est valide et qu’il y a une tentative de connexion à ce compte. Cette détection signale que le mot de passe de l’utilisateur a correctement été identifié via une attaque par pulvérisation de mots de passe, et non que l’attaquant a pu accéder à des ressources.
Conseils pour examiner des détections d’adresses IP malveillantes.
Navigateur suspect
Calculé hors connexion. La détection de navigateur suspect indique un comportement anormal basé sur des activités de connexion suspectes sur plusieurs locataires de différents pays dans le même navigateur.
Conseils pour examiner des détections de navigateur suspect.
Transfert de boîte de réception suspect
Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection recherche les règles de transfert des e-mails suspects, par exemple, si un utilisateur a créé une règle de boîte de réception assurant le transfert d’une copie de tous les e-mails à une adresse externe.
Règles suspectes de manipulation de boîte de réception
Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection surveille votre environnement et déclenche des alertes lorsque des règles suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis, que les messages sont intentionnellement masqués et que la boîte aux lettres est utilisée pour distribuer du courrier indésirable ou des programmes malveillants dans votre organisation.
Anomalie de l’émetteur du jeton
Calculé hors connexion. Cette détection des risques indique que l’émetteur de jeton SAML pour le jeton SAML associé est potentiellement compromis. Les revendications incluses dans le jeton sont inhabituelles ou correspondent aux modèles d’attaquants connus.
Conseils pour examiner des détections d’anomalies liées à un émetteur de jeton.
Propriétés de connexion inhabituelles
Calculé en temps réel. Ce type de détection de risque prend en compte l’historique des connexions passées pour rechercher des connexions anormales. Le système stocke des informations sur les connexions précédentes et déclenche une détection de risque lorsqu’une connexion se produit avec des propriétés qui ne sont pas familières à l’utilisateur. Ces propriétés peuvent inclure l’adresse IP, l’ASN, l’emplacement, l’appareil, le navigateur et le sous-réseau IP du locataire. Les utilisateurs nouvellement créés sont mis pendant un temps dans un « mode d’apprentissage », pendant lequel la détection de risque des propriétés de connexion inhabituelle sont désactivées pendant que nos algorithmes apprennent le comportement de l’utilisateur. La durée du mode d’apprentissage est dynamique et varie selon le temps qu’il faut à l’algorithme pour collecter suffisamment d’informations sur les modèles de connexion de l’utilisateur. La durée minimale est de 5 jours. Un utilisateur peut revenir en mode d’apprentissage après une longue période d’inactivité.
Nous exécutons également cette détection pour l’authentification de base (ou les protocoles existants). Étant donné que ces protocoles ne proposent pas de propriétés modernes telles que l’ID client, les données permettant de réduire le nombre de faux positifs sont limitées. Nous recommandons à nos clients de passer à l’authentification moderne.
Des propriétés de connexion inhabituelles peuvent être détectées sur des connexions interactives et non interactives. Lorsque cette détection est détectée sur des connexions non interactives, elle mérite des contrôles accrus en raison du risque d’attaques par relecture de jetons.
La sélection d’un risque de propriétés de connexion inhabituelles vous permet de consulter des informations supplémentaires qui fournissent plus de détails sur la raison du déclenchement de ce risque.
Adresse IP de l’intervenant de menace vérifiée
Calculé en temps réel. Ce type de détection de risque indique une activité de connexion cohérente avec les adresses IP connues associées aux intervenants de l’état de la nation ou à des groupes criminels informatiques, sur la base de données par le Centre de veille des menaces Microsoft (Microsoft Threat Intelligence Center/MSTIC).
Détections de risque d’utilisateur Premium
Activité anormale de l’utilisateur
Calculé hors connexion. Cette détection de risques base le comportement normal de l’utilisateur-administrateur dans Microsoft Entra ID et détecte des schémas de comportement anormaux tels que des changements suspects apportés à l’annuaire. La détection est déclenchée sur l’administrateur qui fait le changement ou sur l’objet qui a été modifié.
Attaquant du milieu
Calculé hors connexion. Également appelée Adversaire du milieu, cette détection haute précision est déclenchée lorsqu’une session d’authentification est liée à un proxy inverse malveillant. Dans ce type d’attaque, l’adversaire peut intercepter les informations d’identification de l’utilisateur, y compris les jetons émis à l’utilisateur. L’équipe Microsoft Security Research utilise Microsoft 365 Defender pour capturer le risque identifié et élever l’utilisateur à un niveau de risque Élevé. Nous recommandons aux administrateurs d’examiner manuellement l’utilisateur lorsque cette détection est déclenchée pour vous assurer que le risque est éliminé. L’élimination de ce risque peut nécessiter une réinitialisation de mot de passe sécurisée ou une révocation des sessions existantes.
Tentative possible d’accès à un jeton d’actualisation principal (PRT)
Calculé hors connexion. Ce type de détection des risques est découvert à l’aide d’informations fournies par Microsoft Defender for Endpoint (MDE). Un jeton d’actualisation principal (PRT) est un artefact clé d’authentification Microsoft Entra sur les appareils Windows 10, Windows Server 2016 et versions ultérieures, iOS et Android. Un PRT est un jeton JSON Web Token (JWT) émis pour les brokers à jetons Microsoft internes, qui permet d’activer l’authentification unique (SSO) sur les applications utilisées sur ces appareils. Les attaquants peuvent tenter d’accéder à cette ressource pour se déplacer latéralement dans une organisation ou voler des informations d’identification. Cette détection place les utilisateurs à un niveau de risque élevé et se déclenche uniquement dans les organisations qui ont déployé MDE. Cette détection est de niveau de risque élevé et nous vous recommandons une correction rapide de ces utilisateurs. Elle apparaît rarement dans la plupart des organisations, en raison de son faible volume.
Trafic d’API suspect
Calculé hors connexion. Cette détection de risque est signalée lorsqu’un trafic d’API Graph ou une énumération de répertoires anormaux sont observés. Un trafic d’API suspect peut suggérer qu’un utilisateur est compromis et qu’il faut effectuer une reconnaissance de l’environnement.
Modèles d’envoi suspects
Calculé hors connexion. Ce type de détection des risques est découvert à l’aide des informations fournies par Microsoft Defender for Office 365 (MDO). Cette alerte est générée lorsqu’une personne de votre organisation a envoyé un e-mail suspect et qu’il risque d’être ou est interdit d’envoi d’e-mails. Cette détection place les utilisateurs à un niveau de risque moyen et se déclenche uniquement dans les organisations qui ont déployé MDO. Il s’agit d’une détection à faible volume qui est rarement observée dans la plupart des organisations.
L’utilisateur a signalé une activité suspecte
Calculé hors connexion. Cette détection de risque est signalée quand un utilisateur refuse une invite d’authentification multifacteur (MFA) et la signale comme une activité suspecte. Une invite MFA non initiée par un utilisateur peut signifier que ses informations d’identification sont compromises.
Détections non-Premium
Les clients sans licence Microsoft Entra ID P2 reçoivent des détections intitulées Risque supplémentaire détecté sans les informations détaillées sur la détection que reçoivent les clients disposant de licences P2. Pour plus d’informations, consultez les Exigences des licences.
Détections de risque de connexion non-Premium
Risque supplémentaire détecté (connexion)
Calculé en temps réel ou hors connexion. Cette détection indique que l’une des détections Premium a eu lieu. Les détections Premium n’étant visibles que pour les clients Microsoft Entra ID P2, elles sont intitulées Risque supplémentaire détecté pour les clients dépourvus de licences Microsoft Entra ID P2.
L’administrateur a confirmé que cet utilisateur est compromis
Calculé hors connexion. Cette détection indique qu’un administrateur a sélectionné Confirmer que l’utilisateur est compromis dans l’interface utilisateur des utilisateurs à risque ou en utilisant l’API riskyUsers. Pour voir quel administrateur a confirmé que cet utilisateur était compromis, consultez l’historique des risques de l’utilisateur (par le biais de l’interface utilisateur ou de l’API).
Adresse IP anonyme
Calculé en temps réel. Ce type de détection des risque détecte des connexions à partir d’adresses IP anonymes (par exemple, navigateur Tor VPN anonyme). Ces adresses IP sont généralement utilisées par des acteurs souhaitant masquer leurs informations de connexion (adresse IP, emplacement, appareil, etc.) dans un but potentiellement malveillant.
Veille des menaces Microsoft Entra (connexion)
Calculé en temps réel ou hors connexion. Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft.
Détections de risque d’utilisateur non-Premium
Risque supplémentaire détecté (utilisateur)
Calculé en temps réel ou hors connexion. Cette détection indique que l’une des détections Premium a eu lieu. Les détections Premium n’étant visibles que pour les clients Microsoft Entra ID P2, elles sont intitulées Risque supplémentaire détecté pour les clients dépourvus de licences Microsoft Entra ID P2.
Informations d’identification divulguées
Calculé hors connexion. Ce type de détection de risque indique que les informations d’identification valides de l’utilisateur ont fuité. Souvent, quand des cybercriminels compromettent les mots de passe valides d’utilisateurs légitimes, ils le font dans le but de les rendre publics. Ce partage se fait généralement en publiant publiquement sur le « dark web », via des sites de pastebin, ou en échangeant et vendant des informations d’identification sur le marché noir. Lorsque le service d’informations de connexion divulguées de Microsoft acquiert des informations d’identification utilisateur à partir du dark Web, de sites web de collage ou autres sources, ces informations sont comparées aux informations d’identification valides actuelles des utilisateurs Microsoft Entra pour rechercher des correspondances valides. Pour plus d’informations sur informations de connexion fuitées, consultez Questions courantes.
Conseils pour examiner des détections d’informations d’identification divulguées.
Veille des menaces Microsoft Entra (utilisateur)
Calculé hors connexion. Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft.
Questions courantes
Que se passe-t-il si des informations d’identification incorrectes ont été utilisées pour tenter de se connecter ?
La protection des ID génère des détections de risque uniquement lorsque les informations d’identification appropriées sont utilisées. Si des informations d’identification incorrectes sont utilisées pour une connexion, elles ne représentent pas un risque de compromission des informations d’identification.
La synchronisation de hachage de mot de passe est-elle requise ?
Les détections de risque comme les informations d’identification divulguées nécessitent la présence de hachages de mot de passe. Pour plus d’informations sur la synchronisation de hachage du mot de passe, consultez l’article Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect.
Pourquoi les détections de risque sont-elles générées pour les comptes désactivés ?
Les comptes d’utilisateur dans un état désactivé peuvent être réactivés. Si les informations d’identification d’un compte désactivé sont compromises et que le compte est réactivé, des acteurs malveillants pourraient utiliser ces informations d’identification pour y accéder. Protection ID génère des détections de risque pour les activités suspectes sur ces comptes d’utilisateur désactivés afin d’alerter les clients sur une compromission potentielle de compte. Si un compte n’est plus utilisé et ne va pas être réactivé, les clients doivent envisager sa suppression afin d’éviter toute compromission. Aucune détection de risque n’est générée pour les comptes supprimés.
Questions courantes sur les informations d’identification fuitées
Où Microsoft trouve-t-il les informations d’identification divulguées ?
Microsoft découvre des fuites d’informations d’identification à divers endroits, notamment :
- Sites de collage public où les acteurs malveillants publient généralement de tels documents.
- Forces de l’ordre.
- D’autres groupes chez Microsoft qui s’occupent des recherches sur le dark web.
Pourquoi ne vois-je aucune information d’identification divulguée ?
Les informations d’identification divulguées sont traitées chaque fois que Microsoft trouve une nouvelle occurrence de données accessibles au public. En raison de leur nature sensible, les informations d’identification divulguées sont supprimées peu après le traitement. Seules les nouvelles informations d’identification fuitées détectées après que vous ayez activé la synchronisation de hachage de mot de passe (PHS) sont traitées sur votre tenant. La vérification par rapport aux paires d’informations d’identification précédemment détectées n’est pas effectuée.
Je ne vois aucun évènement à risque de fuite d’informations d’identification
Si vous n’avez vu aucun évènement à risque concernant des informations d’identification fuitées, cela peut être dû aux raisons suivantes :
- Vous n’avez aucun PHS activé pour votre locataire.
- Microsoft n'a trouvé aucune paire d’informations d’identification fuitées qui corresponde à vos utilisateurs.
À quelle fréquence Microsoft traite-t-il les nouvelles informations d’identification ?
Les informations d’identification sont traitées immédiatement après avoir été trouvées, normalement en plusieurs lots par jour.
Emplacements
L’emplacement dans les détections de risques est déterminé à l’aide de la recherche d’adresse IP. Les connexions provenant d'emplacements nommés approuvés améliorent la précision du calcul des risques de Protection Microsoft Entra ID, réduisant ainsi le risque de connexion d'un utilisateur lorsqu'il s'authentifie à partir d'un emplacement marqué comme fiable.