Partager via


Les autres zones de Confiance Zéro ne sont pas traitées dans le mémo 22-09

Les autres articles de cet aide abordent le pilier de l’identité des principes de Confiance Zéro, comme décrit dans le Mémorandum M 22-09 à l’intention des chefs des départements et organismes exécutifs de l’Office of Management and Budget (OMB) des États-Unis. Cet article couvre les domaines du modèle de maturité Confiance Zéro au-delà du pilier de l’identité et traite des thèmes suivants :

  • Visibilité
  • Analytique
  • Automation et orchestration
  • Gouvernance

Visibilité

Il est important de surveiller votre locataire Microsoft Entra. Envisagez une violation et respectez les normes de conformité dans le mémorandum 22-09 et le mémorandum 21-31. Trois types de journaux principaux sont utilisés pour l’analyse et l’ingestion de la sécurité :

  • Les Journaux d’audit Azure, utilisés pour surveiller les activités opérationnelles du répertoire lui-même, telles que la création, la suppression, la mise à jour d’objets tels que les utilisateurs ou les groupes
  • Les journaux d’approvisionnement ont des informations sur les objets synchronisés à partir de Microsoft Entra ID vers des applications comme Service Now, à l’aide de Microsoft Identity Manager
  • Les journaux de connexion Microsoft Entra, utilisés pour surveiller toutes les activités de connexion associées à des utilisateurs, des applications et des principaux de service.
    • Les journaux de connexion ont des catégories pour la différenciation
    • Les connexions interactives affichent les connexions réussies et ayant échoué, les stratégies appliquées et d’autres métadonnées
    • Les connexions utilisateur non interactives n’affichent aucune interaction lors de la connexion : les clients se connectent pour le compte de l’utilisateur, tels que les applications mobiles ou les clients e-mail
    • Les connexions du principal de service affichent la connexion du principal de service ou de l’application : services ou applications accédant aux services, aux applications ou au répertoire Microsoft Entra via l’API REST
    • Les connexions d’identités managées pour les ressources Azure : ressources ou applications qui accèdent à des ressources Azure, telles qu’un service d’application web qui s’authentifie auprès d’un backend Azure SQL.
    • Voir Journaux de connexion dans Microsoft Entra ID (préversion)

Dans les locataires Microsoft Entra ID Gratuit, les entrées de journal sont stockées pendant sept jours. Les locataires disposant d’une licence Microsoft Entra ID P1 ou P2 conservent les entrées de journal pendant 30 jours.

Assurez-vous qu’un outil de gestion des informations et des événements de sécurité (SIEM) ingère les journaux. Utilisez les événements de connexion et d’audit pour mettre en corrélation les journaux d’application, d’infrastructure, de données, d’appareils et de réseau.

Nous vous recommandons d’intégrer les journaux Microsoft Entra à Microsoft Sentinel. Configurez un connecteur pour ingérer les journaux des locataires Microsoft Entra.

En savoir plus :

Pour les locataires Microsoft Entra, vous pouvez également configurer les paramètres de diagnostic pour envoyer les données vers un compte de stockage Azure, Azure Event Hubs ou l’espace de travail Log Analytics. Utilisez ces options de stockage pour intégrer d’autres outils SIEM pour collecter les données.

En savoir plus :

Analytique

Vous pouvez utiliser les outils d'analyse suivants pour regrouper les informations provenant de Microsoft Entra ID et montrer les tendances de votre posture de sécurité par rapport à votre ligne de base. Les analyses permettent également d’évaluer et de rechercher des modèles ou des menaces dans Microsoft Entra ID.

  • Microsoft Entra ID Protection analyse les connexions et d’autres sources de télémétrie à la recherche d’un comportement risqué
    • ID Protection attribue un score de risque à des événements de connexion
    • Empêchez les connexions, ou imposez une authentification par étape, pour accéder à une ressource ou une application en fonction du score de risque
    • Consultez Qu’est-ce qu’ID Protection ?
  • Les rapports sur l’utilisation et les informations Microsoft Entra comportent des informations similaires aux classeurs Azure Sentinel, notamment les applications avec les tendances d’utilisation ou de connexion les plus élevées.
  • Microsoft Sentinel analyse les informations de Microsoft Entra ID :

Automation et orchestration

L’automatisation dans Confiance Zéro permet de corriger les alertes en raison de menaces ou de modifications de sécurité. Dans Microsoft Entra ID, l’intégration de l’automatisation aide à clarifier les actions pour améliorer la posture de sécurité. L’automatisation est basée sur les informations reçues de la surveillance et de l’analyse.

Utilisez les appels REST de l’API Microsoft Graph pour accéder à Microsoft Entra ID de manière programmatique. Cet accès nécessite une identité Microsoft Entra avec des autorisations et une étendue. Avec l’API Graph, intégrez d’autres outils.

Nous vous recommandons de configurer une fonction Azure ou une application logique Azure pour utiliser une identité managée affectée par le système. L’application logique ou fonction possède des étapes ou un code pour automatiser les actions. Attribuez des autorisations à l’identité managée pour accorder au principal du service les autorisations de répertoire pour effectuer les actions. Accordez des droits minimum aux identités managées.

En savoir plus : Que sont les identités managées pour les ressources Azure ?

Les modules Microsoft Graph PowerShell constituent un autre point d'intégration de l'automation. Utilisez Microsoft Graph PowerShell pour effectuer des tâches ou des configurations courantes dans Microsoft Entra ID, ou incorporer dans des fonctions Azure ou des runbooks Azure Automation.

Gouvernance

Documentez vos processus d’exploitation de l’environnement Microsoft Entra. Utilisez les fonctionnalités Microsoft Entra pour les fonctionnalités de gouvernance appliquées aux étendues dans Microsoft Entra ID.

En savoir plus :

Étapes suivantes