Utiliser des journaux pour détecter les activités suspectes
Des pertes de données surviennent principalement quand des comptes d’utilisateur sont compromis, puis utilisés pour accéder à des ressources ou actifs confidentiels sur votre réseau. Azure offre des fonctionnalités de journalisation et d'audit qui peuvent vous aider à déterminer si le comportement récent de vos utilisateurs est cohérent avec leur comportement habituel. Quand ce comportement d’utilisateur diffère de la normale, il est marqué comme suspect.
Les membres de votre équipe de sécurité s’inquiètent de la répétition d’une violation récente. Ils souhaitent savoir quels services et fonctionnalités Azure pourraient les aider à prévenir une violation de données. Pour rassurer votre équipe, vous voulez en savoir plus sur ce qu’Azure offre pour la journalisation des activités des utilisateurs, et comment utiliser la journalisation pour identifier des comportements de connexion suspects.
Cette unité présente deux approches de la surveillance du comportement utilisateur. La première approche est axée sur les informations de connexion de l’utilisateur, qui sont stockées dans les fichiers journaux de connexion. La deuxième approche examine les activités des utilisateurs lors de la connexion. Ces activités sont stockées dans les fichiers d’audit.
Journaux Microsoft Entra
Une instance Microsoft Entra ID capture les informations de journalisation pour l’ensemble de votre locataire Azure. Vous pouvez utiliser ces informations à des fins d’analyse et de création de rapports. Quand vous évaluez le comportement utilisateur, vous examinez les journaux d’activité et de sécurité collectés pour votre locataire.
Les journaux d’activité couvrent tous les comportements et interactions de l’utilisateur avec votre réseau et ses ressources. Vous devez prêter une attention particulière à deux types de fichiers journaux :
- Journaux de connexion : les journaux de connexion contiennent des détails sur toutes les activités des utilisateurs et les applications qui ont demandé un authentification pour la connexion.
- Journaux d’audit : les journaux d’audit indiquent ce qu’un utilisateur ou un groupe a fait quand il s’est connecté à votre réseau.
Les journaux de sécurité représentent une liste des exceptions figurant dans les journaux d’activité. Il est important de prêter attention à deux fichiers journaux de sécurité clés :
- Connexions risquées : les journaux de connexion risquée contiennent des données sur les comptes d’utilisateur dans lesquels le comportement de connexion n’est pas cohérent avec des tentatives de connexion antérieures.
- Utilisateurs avec indicateur de risque : les journaux d’utilisateurs avec indicateur de risque montrent tous les utilisateurs marqués comme à risque.
Pour le moment, vous êtes seulement intéressé par le suivi des connexions utilisateur et des journaux d’activité.
Fichiers journaux de connexion
Les fichiers journaux de connexion contiennent une copie de toutes les tentatives de connexion à votre réseau. Les journaux suivent uniquement les connexions traditionnelles utilisant des informations d’identification d’utilisateur. Les fichiers journaux de connexion n’enregistrent pas les authentifications automatiques utilisées dans les connexions de serveur à serveur.
Vous pouvez utiliser les fichiers journaux de connexion pour identifier les éléments suivants :
- Modèles de comportement de connexion des utilisateurs.
- Tendances de l’activité de connexion des utilisateurs au fil du temps.
- État global de tous les utilisateurs qui accèdent à votre réseau.
Prérequis pour les journaux de connexion
En raison de la nature sensible des données de journalisation capturées par les journaux de connexion, l’accès à ceux-ci est réservé et limité. Pour utiliser les fichiers journaux de connexion, vous avez besoin des éléments suivants :
- Un abonnement Microsoft Entra ID P1 ou P2 ou Premium 2.
- Au moins un utilisateur titulaire du rôle Administrateur général, Lecteur de rapport, Lecteur Sécurité ou Administrateur de la sécurité.
Affichage des journaux de connexion
Azure capture un vaste éventail de données sur l’activité des utilisateurs : périodes d’accès, applications ayant demandé une connexion, etc. Vous accédez au fichier journal de connexion dans votre instance de Microsoft Entra dans le portail Azure. La première fois que le service de journalisation de connexion est activé, il se peut que vous ne voyiez pas de données pendant jusqu’à une heure.
Pour afficher les journaux de connexion de votre locataire, dans le menu de gauche sous Surveillance, sélectionnez Journaux de connexion. L’exemple suivant présente une vue typique des données de la table des connexions :
Les colonnes de table par défaut affichent des informations telles que la date de connexion, le nom d’utilisateur, le statut de la connexion et l’emplacement.
Comme pour tous les rapports dans Azure, vous pouvez personnaliser leur structure en ajoutant et supprimant des colonnes. Pour modifier les colonnes, dans la barre de menus des journaux de connexion, sélectionnez Colonnes. Dans le volet Colonnes, vous pouvez ajouter ou supprimer des colonnes en fonction de vos besoins. Outre les colonnes par défaut, vous pouvez choisir des colonnes pour afficher plus d’informations.
Filtrer les données de journal
Même après avoir sélectionné toutes les colonnes des connexions que vous voulez afficher, vous avez toujours une grande quantité de données. Pour gérer les volumes de données et accéder aux données dont vous avez besoin, vous pouvez appliquer des filtres. Par exemple, vous pourriez ne vouloir afficher que les enregistrements de connexions dans lesquels des utilisateurs ont été marqués comme à risque, ou les enregistrements dans lesquels l’authentification multifacteur a échoué. L’utilisation de filtres vous permet d’examiner les données brutes de différentes façons, afin d’identifier des tendances ou des modèles.
Pour utiliser des filtres, dans la barre de menus des journaux de connexion, sélectionnez Ajouter des filtres, puis choisissez les filtres que vous souhaitez utiliser.
Voici quelques-uns des filtres importants et leurs domaines d’application :
- Utilisateur : permet de rechercher des utilisateurs spécifiques, par nom ou par nom d’utilisateur principal.
- Application : permet de rechercher des demandes de connexion émanant d’applications spécifiques.
- Statut : permet de limiter les résultats aux utilisateurs qui se sont correctement connectés ou à ceux pour lesquels la connexion a échoué.
- Accès conditionnel : permet d’examiner si des stratégies d’accès conditionnel applicables ont été appliquées.
- Date : permet d’ajuster la plage de temps des données que vous examinez, d’un mois à un seul jour.
Télécharger les journaux de connexion
Vous avez déterminé quelles colonnes contiennent les informations souhaitées, et avez appliqué les filtres pour limiter les données à un sous-ensemble spécifique et gérable de données. Vous pouvez maintenant traiter les données. Bien qu’Azure propose d’excellents outils pour la visualisation et une analyse plus poussée des données, vous pourriez déjà utiliser des applications spécifiques pour les traiter. Azure vous permet de télécharger les données de connexion en fonction de vos filtres actuels.
Quand vous téléchargez des journaux de connexion, vous êtes limité aux 250 000 enregistrements les plus récents, en fonction des critères de filtre que vous avez appliqués.
Pour télécharger les données dans votre affichage, dans la barre de menus des journaux de connexion, sélectionnez Télécharger. Vous allez sélectionner un format à utiliser pour les données, CSV ou JSON, puis entrer un nom de fichier pour le fichier de téléchargement.
Codes d’erreur des connexions
L’analyse des connexions ayant échoué est un moyen clé pour vous aider à maintenir un environnement Azure sécurisé et sain. Quand vous examinez vos fichiers journaux de connexion, vous pouvez filtrer sur le statut pour montrer seulement les connexions ayant échoué :
Quand vous sélectionnez un enregistrement de connexion dans la liste des résultats, vous voyez un instantané de l’enregistrement, notamment le statut de la connexion, le code d’erreur de connexion et la raison de l’échec.
Dans l’unité de résumé de ce module, vous trouverez un lien vers une liste complète des codes d’erreur. Le tableau suivant affiche quelques exemples de codes d’erreur et leurs descriptions officielles :
Erreur | Description |
---|---|
50002 | Échec de la connexion en raison d’un accès du proxy restreint sur le locataire. S’il s’agit de votre propre stratégie de locataire, vous pouvez modifier vos paramètres de locataire restreints pour résoudre ce problème. |
50005 | Des utilisateurs ont tenté de se connecter à un appareil à partir d’une plateforme qui n’est pas prise en charge actuellement via la stratégie d’accès conditionnel. |
50020 | L’utilisateur n’est pas autorisé pour une des raisons suivantes : l’utilisateur tente de se connecter avec un compte MSA avec le point de terminaison v1 ou l’utilisateur n’existe pas dans le locataire. Contactez le propriétaire de l’application. |
50055 | Mot de passe entré non valide ou mot de passe expiré. |
50057 | Le compte d’utilisateur est désactivé. Le compte a été désactivé par un administrateur. |
50074 | L’utilisateur n’a pas réussi le challenge d’authentification multifacteur (MFA). |
50126 | Nom d’utilisateur ou mot de passe non valide, ou nom d’utilisateur ou mot de passe local non valide. |
50133 | La session n’est pas valide en raison de l’expiration ou du changement récent du mot de passe. |
50173 | Un nouveau jeton d’authentification est nécessaire. Demandez à l’utilisateur de se reconnecter en utilisant de nouvelles informations d’identification. |
53003 | L’accès a été bloqué en raison de stratégies d’accès conditionnel. |
65004 | L’utilisateur a refusé l’autorisation d’accéder à l’application. Demandez à l’utilisateur de retenter la connexion et de consentir à l’application. |
70019 | Le code de vérification a expiré. Demander à l’utilisateur de retenter la connexion. |
80007 | L’agent d’authentification ne peut pas valider le mot de passe de l’utilisateur. |
81007 | Le locataire n’est pas activé pour l’authentification unique transparente. |
Fichiers journaux d’audit
Les fichiers d’audit fournissent un historique de chaque activité dans votre locataire Microsoft Entra. Les journaux d’audit sont conservés à des fins de conformité et contiennent les enregistrements de toutes les activités de votre système. Les activités récentes pourraient ne pas être incluses dans les résultats pendant jusqu’à une heure après leur survenue.
Prérequis pour les journaux d’audit
Pour accéder aux fichiers journaux d’audit, au moins un utilisateur dans votre locataire doit avoir le rôle Administrateur général, Lecteur de rapport, Lecteur de sécurité ou Administrateur de la sécurité.
Affichage des journaux d’audit
Accédez aux journaux d’audit via votre instance Microsoft Entra dans le portail Azure. Dans le menu de gauche, sous Surveillance, sélectionnez Journaux d’audit.
Comme les journaux de connexion, vous pouvez modifier les journaux d’audit pour répondre à vos besoins spécifiques. La vue du journal d'audit par défaut affiche les colonnes suivantes :
- Date
- Service
- Category
- Activité
- Statut
- Motif du statut
- Cible(s)
- Initié par (acteur)
Vous pouvez également ajouter la colonne Agent utilisateur.
Filtrer les résultats du journal d’audit
Les journaux d’audit pourraient contenir des centaines de milliers d’entrées provenant de l’ensemble de votre environnement Azure. Pour gérer le volume des données, vous appliquez des filtres aux résultats pour afficher les données dont vous avez besoin. Vous pouvez filtrer les données des champs suivants uniquement :
- Date : spécifiez une plage de dates qui peut varier d’un mois à un jour, ou un intervalle personnalisé.
- Afficher les dates comme : sélectionnez Locales ou UTC.
- Service : limitez les services inclus dans les résultats.
- Catégorie : spécifiez la catégorie d’audit que vous souhaitez. Par exemple, vous pourriez choisir unité administrative ou gestion des utilisateurs.
- Activité : les options dépendent du type de service et de la catégorie que vous avez sélectionnés.
- Statut : filtrez par la réussite ou l’échec de l’activité.
Sélectionnez Ajouter des filtres pour sélectionner l’un des filtres suivants :
- Cible : filtrez sur un nom ou un nom d’utilisateur principal cibles.
- Initié par (acteur) : spécifiez un nom d’utilisateur ou un nom de principal universel sur lequel filtrer. Les deux sont sensibles à la casse.
- Agent utilisateur : filtrez par un nom d’agent d’utilisateur.
Télécharger les journaux d’audit
Une fois que vous avez appliqué les filtres pour limiter les données à un sous-ensemble gérable et spécifique, vous pouvez télécharger les données. Quand vous téléchargez des enregistrements du journal d’audit, vous êtes limité aux 250 000 enregistrements les plus récents, en fonction des critères de filtre appliqués.
Comme avec les journaux de connexion, sélectionnez un format à utiliser pour les données, CSV ou JSON, puis entrez un nom de fichier pour le téléchargement.
Accéder aux journaux via des utilisateurs, des groupes et des applications d’entreprise
Vous pouvez accéder aux journaux de connexion et d’audit collectés pour votre instance Microsoft Entra via des utilisateurs, des groupes et des applications d’entreprise. Les données sont préfiltrées en fonction du point d’accès utilisé. Si vous accédez aux journaux d’audit via le menu utilisateurs, vous voyez uniquement les données de journal relatives aux utilisateurs. Cela s’applique aussi aux groupes et aux applications d’entreprise.
Pour accéder aux journaux de connexion ou d’audit des utilisateurs à partir de votre instance Microsoft Entra, dans le menu de gauche, sous Gérer, sélectionnez Utilisateurs. Ensuite, sous Activité, sélectionnez le type de journal à afficher.
Pour accéder aux journaux d’audit d’un groupe à partir de votre instance Microsoft Entra, sélectionnez Groupes dans le menu de gauche.