Classifications prédéfinies
Sécurité - Gestion de l’exposition fournit un catalogue prête à l’emploi de classifications de ressources critiques prédéfinies pour les ressources qui incluent des appareils, des identités et des ressources cloud.
Vous pouvez examiner et classifier les ressources critiques, en les activant et en les désactivant en fonction des besoins.
Pour suggérer de nouvelles classifications de ressources critiques, utilisez le bouton Commentaires .
Les types de ressources actuels sont les suivants :
Remarque
Nous utilisons également le contexte de criticité récupéré à partir de connecteurs de données externes. Ce contexte sera présenté sous forme de classifications dans la bibliothèque de classification de gestion des ressources critiques prédéfinie.
Appareil
| Classification | Type de ressource | Niveau de criticité par défaut | Description |
|---|---|---|---|
| Microsoft Entra ID Connect | Appareil | Élevé | Le serveur Microsoft Entra ID Connect (anciennement appelé AAD Connect) est responsable de la synchronisation des données d’annuaire et des mots de passe locaux avec le locataire Microsoft Entra ID. |
| ADCS | Appareil | Élevé | Le serveur ADCS permet aux administrateurs d’implémenter entièrement une infrastructure à clé publique (PKI) et d’émettre des certificats numériques qui peuvent être utilisés pour sécuriser plusieurs ressources sur un réseau. En outre, ADCS peut être utilisé pour diverses solutions de sécurité, telles que le chiffrement SSL, l’authentification utilisateur et la messagerie sécurisée. |
| ADFS | Appareil | Élevé | Le serveur ADFS fournit aux utilisateurs un accès par authentification unique aux systèmes et applications situés au-delà des limites de l’organisation. Il utilise un modèle d’autorisation de contrôle d’accès basé sur les revendications pour maintenir la sécurité des applications et implémenter l’identité fédérée. |
| Sauvegarde | Appareil | Moyen | Le serveur de sauvegarde est chargé de protéger les données par le biais de sauvegardes régulières, ce qui garantit la protection des données et la préparation à la récupération d’urgence. |
| Appareil Administration domaine | Appareil | Élevé | Les appareils d’administration de domaine sont des appareils auxquels un ou plusieurs administrateurs de domaine sont fréquemment connectés. Ces appareils sont susceptibles de stocker les fichiers, documents et informations d’identification associés utilisés par les administrateurs de domaine. Remarque : Nous appliquons une logique pour identifier les appareils appartenant à un administrateur en fonction de plusieurs facteurs, notamment l’utilisation fréquente d’outils d’administration. |
| Contrôleur de domaine | Appareil | Très élevé | Le serveur de contrôleur de domaine est responsable de l’authentification utilisateur, de l’autorisation et de la gestion centralisée des ressources réseau au sein d’un domaine Active Directory. |
| DNS | Appareil | Faible | Le serveur DNS est essentiel pour résoudre les noms de domaine en adresses IP, ce qui permet la communication réseau et l’accès aux ressources en interne et en externe. |
| Exchange | Appareil | Moyen | Le serveur Exchange est responsable de tout le trafic de courrier au sein du organization. En fonction de l’installation et de l’architecture, chaque serveur peut contenir plusieurs bases de données de messagerie qui stockent des informations organisationnelles hautement sensibles. |
| Appareil Administration informatique | Appareil | Moyen | Les appareils critiques utilisés pour configurer, gérer et surveiller les ressources au sein du organization sont essentiels pour l’administration informatique et sont exposés à un risque élevé de cybermenaces. Elles nécessitent une sécurité de niveau supérieur pour empêcher tout accès non autorisé. Remarque : Nous appliquons une logique pour identifier les appareils appartenant à un administrateur en fonction de plusieurs facteurs, notamment l’utilisation fréquente d’outils d’administration. |
| Appareil Administration réseau | Appareil | Moyen | Les appareils critiques utilisés pour configurer, gérer et surveiller les ressources réseau au sein du organization sont essentiels pour l’administration du réseau et sont exposés à un risque élevé de cybermenaces. Elles nécessitent une sécurité de niveau supérieur pour empêcher tout accès non autorisé. Remarque : Nous appliquons une logique pour identifier les appareils appartenant à un administrateur en fonction de plusieurs facteurs, notamment l’utilisation fréquente d’outils d’administration. |
| VMware ESXi | Appareil | Élevé | L’hyperviseur VMware ESXi est essentiel pour l’exécution et la gestion des machines virtuelles au sein de votre infrastructure. En tant qu’hyperviseur nu, il fournit la base de la création et de la gestion des ressources virtuelles. |
| VMware vCenter | Appareil | Élevé | VMware vCenter Server est essentiel pour la gestion des environnements virtuels. Il fournit une gestion centralisée des machines virtuelles et des hôtes ESXi. En cas d’échec, cela peut perturber l’administration et le contrôle de votre infrastructure virtuelle, notamment l’approvisionnement, la migration, l’équilibrage de charge des machines virtuelles et l’automatisation du centre de données. Toutefois, comme il existe souvent des serveurs vCenter et des configurations haute disponibilité redondants, l’arrêt immédiat de toutes les opérations peut ne pas se produire. Son échec peut toujours entraîner des inconvénients importants et des problèmes de performances potentiels |
| Hyper-V Server | Appareil | Élevé | L’hyperviseur Hyper-V est essentiel pour l’exécution et la gestion des machines virtuelles au sein de votre infrastructure, et sert de plateforme principale pour leur création et leur gestion. Si l’hôte Hyper-V échoue, cela peut entraîner l’indisponibilité des machines virtuelles hébergées, ce qui peut entraîner un temps d’arrêt et perturber les opérations de l’entreprise. En outre, cela peut entraîner une dégradation significative des performances et des défis opérationnels. Il est donc essentiel de garantir la fiabilité et la stabilité des hôtes Hyper-V pour maintenir des opérations transparentes dans un environnement virtuel. |
Identité
| Classification | Type de ressource | Niveau de criticité par défaut | Description |
|---|---|---|---|
| Identité avec rôle privilégié | Identité | Élevé | Les identités suivantes (utilisateur, groupe, principal de service ou identité managée) ont un rôle RBAC Azure privilégié intégré ou personnalisé, dans l’étendue de l’abonnement, contenant une ressource critique. Le rôle peut inclure des autorisations pour les attributions de rôles Azure, la modification des stratégies Azure, l’exécution de scripts sur une machine virtuelle à l’aide de la commande Exécuter, l’accès en lecture aux comptes de stockage et aux coffres de clés, etc. |
| Administrateur de l'application | Identité | Très élevé | Les identités de ce rôle peuvent créer et gérer tous les aspects des applications d’entreprise, des inscriptions d’applications et des paramètres de proxy d’application. |
| Développeur d’applications | Identité | Élevé | Les identités de ce rôle peuvent créer des inscriptions d’applications indépendamment du paramètre « Les utilisateurs peuvent inscrire des applications ». |
| Administrateur d’authentification | Identité | Très élevé | Les identités de ce rôle peuvent définir et réinitialiser la méthode d’authentification (y compris les mots de passe) pour les utilisateurs non administrateurs. |
| Opérateurs de sauvegarde | Identité | Très élevé | Les identités de ce rôle peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter à l’ordinateur et l’arrêter, et effectuer des opérations de sauvegarde et de restauration sur les contrôleurs de domaine. |
| Opérateurs de serveur | Identité | Très élevé | Les identités de ce rôle peuvent administrer des contrôleurs de domaine. Les membres du groupe Opérateurs de serveur peuvent effectuer les actions suivantes : se connecter à un serveur de manière interactive, créer et supprimer des ressources partagées réseau, démarrer et arrêter des services, sauvegarder et restaurer des fichiers, formater le disque dur de l’ordinateur et arrêter l’ordinateur. |
| Administrateur de jeu de clés IEF B2C | Identité | Élevé | Les identités de ce rôle peuvent gérer les secrets pour la fédération et le chiffrement dans l’infrastructure d’expérience d’identité (IEF). |
| Administrateur de l'application cloud | Identité | Très élevé | Les identités de ce rôle peuvent créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise, à l’exception du proxy d’application. |
| Administrateur d’appareil cloud | Identité | Élevé | Les identités de ce rôle ont un accès limité à la gestion des appareils dans Microsoft Entra ID. Ils peuvent activer, désactiver et supprimer des appareils dans Microsoft Entra ID et lire Windows 10 clés BitLocker (le cas échéant) dans le Portail Azure. |
| Administrateur de l’accès conditionnel | Identité | Élevé | Les identités de ce rôle ont la possibilité de gérer Microsoft Entra paramètres d’accès conditionnel. |
| Comptes de synchronisation d’annuaires | Identité | Très élevé | Les identités de ce rôle ont la possibilité de gérer tous les paramètres de synchronisation d’annuaires. Doit uniquement être utilisé par Microsoft Entra service Connect. |
| Rédacteurs d'annuaires | Identité | Élevé | Les identités de ce rôle peuvent lire et écrire des informations de base sur le répertoire. Pour accorder l’accès aux applications, non destinées aux utilisateurs. |
| Administrateur de domaine | Identité | Très élevé | Les identités de ce rôle sont autorisées à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. |
| Administrateur d’entreprise | Identité | Très élevé | Les identités de ce rôle ont un accès complet à la configuration de tous les contrôleurs de domaine. Les membres de ce groupe peuvent modifier l’appartenance de tous les groupes d’administration. |
| Administrateur général | Identité | Très élevé | Les identités de ce rôle peuvent gérer tous les aspects des Microsoft Entra ID et des services Microsoft qui utilisent des identités Microsoft Entra. |
| Lecteur général | Identité | Élevé | Les identités de ce rôle peuvent lire tout ce qu’un administrateur général peut, mais ne rien mettre à jour. |
| Administrateur du support technique | Identité | Très élevé | Les identités de ce rôle peuvent réinitialiser les mots de passe des administrateurs non administrateurs et du support technique. |
| Administrateur d’identité hybride | Identité | Très élevé | Les identités de ce rôle peuvent gérer Active Directory pour Microsoft Entra l’approvisionnement cloud, Microsoft Entra Connect, l’authentification directe (PTA), la synchronisation de hachage de mot de passe (PHS), l’authentification unique transparente (SSO transparente) et les paramètres de fédération. |
| administrateur Intune | Identité | Très élevé | Les identités de ce rôle peuvent gérer tous les aspects du produit Intune. |
| Support partenaire de niveau 1 | Identité | Très élevé | Les identités de ce rôle peuvent réinitialiser les mots de passe des utilisateurs non administrateurs, mettre à jour les informations d’identification des applications, créer et supprimer des utilisateurs et créer des octrois d’autorisations OAuth2. Ce rôle a été déprécié et sera supprimé de Microsoft Entra ID à l’avenir. Ne pas utiliser - non destiné à une utilisation générale. |
| Support partenaire de niveau 2 | Identité | Très élevé | Les identités de ce rôle peuvent réinitialiser les mots de passe de tous les utilisateurs (y compris les administrateurs généraux), mettre à jour les informations d’identification des applications, créer et supprimer des utilisateurs et créer des octrois d’autorisations OAuth2. Ce rôle a été déprécié et sera supprimé de Microsoft Entra ID à l’avenir. Ne pas utiliser - non destiné à une utilisation générale. |
| Administrateur de mot de passe | Identité | Très élevé | Les identités de ce rôle peuvent réinitialiser les mots de passe pour les non-administrateurs et les administrateurs de mots de passe. |
| Administrateur d’authentification privilégié | Identité | Très élevé | Les identités de ce rôle peuvent afficher, définir et réinitialiser les informations de méthode d’authentification pour n’importe quel utilisateur (administrateur ou non administrateur). |
| Administrateur de rôle privilégié | Identité | Très élevé | Les identités de ce rôle peuvent gérer les attributions de rôles dans Microsoft Entra ID et tous les aspects de Privileged Identity Management. |
| Administrateur de sécurité | Identité | Élevé | Les identités de ce rôle peuvent lire les informations et les rapports de sécurité, et gérer la configuration dans Microsoft Entra ID et Office 365. |
| Opérateur de sécurité | Identité | Élevé | Les identités de ce rôle peuvent créer et gérer des événements de sécurité. |
| Lecteur de sécurité | Identité | Élevé | Les identités de ce rôle peuvent lire les informations et les rapports de sécurité dans Microsoft Entra ID et Office 365. |
| Administrateur d’utilisateurs | Identité | Très élevé | Les identités de ce rôle peuvent gérer tous les aspects des utilisateurs et des groupes, y compris la réinitialisation des mots de passe pour les administrateurs limités. |
| Administrateur Exchange | Identité | Élevé | Les identités de ce rôle peuvent gérer tous les aspects du produit Exchange. |
| Administrateur SharePoint | Identité | Élevé | Les identités de ce rôle peuvent gérer tous les aspects du service SharePoint. |
| Administrateur de conformité | Identité | Élevé | Les identités de ce rôle peuvent lire et gérer les configurations de conformité et les rapports dans Microsoft Entra ID et Microsoft 365. |
| administrateur Groupes | Identité | Élevé | Les identités de ce rôle peuvent créer/gérer des groupes et des paramètres de groupe tels que des stratégies de nommage et d’expiration, et afficher les rapports d’activité et d’audit de groupe. |
| Administrateur du fournisseur d’identité externe | Identité | Très élevé | Les identités de ce rôle peuvent configurer des fournisseurs d’identité à utiliser dans la fédération directe. |
| Administrateur de noms de domaine | Identité | Très élevé | Les identités de ce rôle peuvent gérer les noms de domaine dans le cloud et localement. |
| administrateur Gestion des autorisations | Identité | Très élevé | Les identités de ce rôle peuvent gérer tous les aspects de Gestion des autorisations Microsoft Entra (EPM). |
| Administrateur de facturation | Identité | Élevé | Les identités de ce rôle peuvent effectuer des tâches courantes liées à la facturation, telles que la mise à jour des informations de paiement. |
| Administrateur de licences | Identité | Élevé | Les identités de ce rôle peuvent gérer les licences de produit sur les utilisateurs et les groupes. |
| Administrateur Teams | Identité | Élevé | Les identités de ce rôle peuvent gérer le service Microsoft Teams. |
| administrateur de flux utilisateur ID externe | Identité | Élevé | Les identités de ce rôle peuvent créer et gérer tous les aspects des flux d’utilisateurs. |
| administrateur d’attributs de flux utilisateur ID externe | Identité | Élevé | Les identités de ce rôle peuvent créer et gérer le schéma d’attribut disponible pour tous les flux utilisateur. |
| Administrateur de stratégie IEF B2C | Identité | Élevé | Les identités de ce rôle peuvent créer et gérer des stratégies d’infrastructure de confiance dans l’infrastructure d’expérience d’identité (IEF). |
| Administrateur de conformité des données | Identité | Élevé | Les identités de ce rôle peuvent créer et gérer du contenu de conformité. |
| Administrateur de stratégie d’authentification | Identité | Élevé | Les identités dans ce rôle peuvent créer et gérer la stratégie de méthodes d’authentification, les paramètres MFA à l’échelle du locataire, la stratégie de protection par mot de passe et les informations d’identification vérifiables. |
| Administrateur des connaissances | Identité | Élevé | Les identités de ce rôle peuvent configurer les connaissances, l’apprentissage et d’autres fonctionnalités intelligentes. |
| Responsables d’informations | Identité | Élevé | Les identités de ce rôle peuvent organiser, créer, gérer et promouvoir des sujets et des connaissances. |
| Administrateur de définition d’attribut | Identité | Élevé | Les identités de ce rôle peuvent définir et gérer la définition des attributs de sécurité personnalisés. |
| Administrateur d’attribution d’attributs | Identité | Élevé | Les identités de ce rôle peuvent attribuer des clés et des valeurs d’attribut de sécurité personnalisées aux objets Microsoft Entra pris en charge. |
| Administrateur de gouvernance des identités | Identité | Élevé | Les identités de ce rôle peuvent gérer l’accès à l’aide de Microsoft Entra ID pour les scénarios de gouvernance des identités. |
| administrateur Sécurité des applications cloud | Identité | Élevé | Les identités de ce rôle peuvent gérer tous les aspects du produit Defender for Cloud Apps. |
| Windows 365 | Identité | Élevé | Les identités de ce rôle peuvent provisionner et gérer tous les aspects des PC cloud. |
| Administrateur Yammer | Identité | Élevé | Les identités de ce rôle peuvent gérer tous les aspects du service Yammer. |
| Administrateur de l’extensibilité de l’authentification | Identité | Élevé | Les identités de ce rôle peuvent personnaliser les expériences de connexion et d’inscription pour les utilisateurs en créant et en gérant des extensions d’authentification personnalisées. |
| Administrateur de workflows de cycle de vie | Identité | Élevé | Les identités de ce rôle créent et gèrent tous les aspects des flux de travail et des tâches associés aux workflows de cycle de vie dans Microsoft Entra ID. |
Ressource cloud
| Classification | Type de ressource | Niveau de criticité par défaut | Description |
|---|---|---|---|
| Bases de données avec des données sensibles | Ressource cloud | Élevé | Il s’agit d’un magasin de données qui contient des données sensibles. La sensibilité des données peut aller des secrets, des documents confidentiels, des informations d’identification personnelle, etc. |
| Machine virtuelle Azure confidentielle | Ressource cloud | Élevé | Cette règle s’applique aux machines virtuelles confidentielles Azure. Les machines virtuelles confidentielles offrent une isolation, une confidentialité et un chiffrement accrus, et sont utilisées pour les données et charges de travail critiques ou hautement sensibles. |
| Machine virtuelle Azure verrouillée | Ressource cloud | Moyen | Il s’agit d’une machine virtuelle protégée par un verrou. Les verrous sont utilisés pour protéger les ressources contre la suppression et les modifications. En règle générale, les administrateurs utilisent des verrous pour protéger les ressources cloud critiques dans leur environnement et pour les protéger contre les suppressions accidentelles et les modifications non autorisées. |
| Machine virtuelle Azure avec haute disponibilité et performances | Ressource cloud | Faible | Cette règle s’applique aux machines virtuelles Azure qui utilisent le stockage Azure Premium et qui sont configurées avec un groupe à haute disponibilité. Le stockage Premium est utilisé pour les machines avec des exigences de performances élevées, telles que les charges de travail de production. Les groupes à haute disponibilité améliorent la résilience et sont souvent indiqués pour les machines virtuelles critiques pour l’entreprise qui ont besoin d’une haute disponibilité. |
| Stockage Azure immuable | Ressource cloud | Moyen | Cette règle s’applique aux comptes de stockage Azure dont la prise en charge de l’immuabilité est activée. L’immuabilité stocke les données métier dans un état d’écriture une fois lu (WORM) et indique généralement que le compte de stockage contient des données critiques ou sensibles qui doivent être protégées contre toute modification. |
| Stockage Azure immuable et verrouillé | Ressource cloud | Élevé | Cette règle s’applique aux comptes de stockage Azure dont la prise en charge de l’immuabilité est activée avec une stratégie verrouillée. L’immuabilité stocke les données métier dans une écriture une fois lue plusieurs (WORM). La protection des données est renforcée avec une stratégie verrouillée pour s’assurer que les données ne peuvent pas être supprimées ou que leur durée de conservation est raccourcie. Ces paramètres indiquent généralement que le compte de stockage contient des données critiques ou sensibles qui doivent être protégées contre toute modification ou suppression. Les données peuvent également avoir besoin de s’aligner sur les stratégies de conformité pour la protection des données. |
| Machine virtuelle Azure avec un utilisateur critique connecté | Ressource cloud | Élevé | Cette règle s’applique aux machines virtuelles protégées par Defender pour point de terminaison, où un utilisateur avec un niveau de criticité élevé ou très élevé est connecté. L’utilisateur connecté peut être via un appareil joint ou inscrit, une session de navigateur active ou d’autres moyens. |
| Coffres de clés avec de nombreuses identités connectées | Ressource cloud | Élevé | Cette règle identifie les coffres de clés accessibles par un grand nombre d’identités, par rapport aux autres coffres de clés. Cela indique souvent que le Key Vault est utilisé par des charges de travail critiques, telles que les services de production. |