Que sont les détections de risques ?

  • Article

Les détections de risques dans Microsoft Entra ID Protection incluent toutes les actions suspectes identifiées liées aux comptes d’utilisateur dans l’annuaire. Les détections de risques (utilisateur et de connexion) contribuent au score de risque de l’utilisateur global qui se trouve dans le rapport utilisateurs à risque.

La protection des ID permet aux organisations d’accéder à des ressources puissantes pour voir et répondre rapidement à ces actions suspectes.

Vue d’ensemble de la sécurité montrant les utilisateurs et les connexions à risque

Remarque

La protection des ID génère des détections de risque uniquement lorsque les informations d’identification appropriées sont utilisées. Si des informations d’identification incorrectes sont utilisées sur une connexion, elles ne représentent pas un risque de compromission des informations d’identification.

Types de risques et détection

Le risque peut être détecté au niveau de l’utilisateur ou de la Connexion et il existe deux types de détection ou de calcul : en temps réel et hors connexion. Certains risques sont considérés comme Premium et n’affectent que les clients Microsoft Entra ID P2, tandis que d’autres affectent les clients Gratuit et Microsoft Entra ID P1.

Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée ne provienne pas du propriétaire de l’identité autorisé. Une activité à risque peut être détectée pour un utilisateur qui n’est pas lié à une connexion malveillante spécifique, mais à l’utilisateur lui-même.

Les détections en temps réel peuvent ne pas apparaître dans les rapports pendant 5 à 10 minutes. Les détections hors connexion peuvent ne pas apparaître dans les rapports pendant 48 heures.

Remarque

Notre système peut détecter que l’événement à risque qui a contribué au score de risque de l’utilisateur à risque était :

Notre système ignorera l’état de risque et le détail de risque « L’intelligence artificielle a confirmé que la connexion est sécurisée » apparaîtra et ne contribuera plus au risque général de l’utilisateur.

Détections de risques de connexion

Détection d’événements à risque Type de détection Type
Voyage inhabituel Hors connexion Premium
Jeton anormal Temps réel ou hors connexion Premium
Navigateur suspect Hors connexion Premium
Propriétés de connexion inhabituelles Temps réel Premium
Adresse IP malveillante Hors connexion Premium
Règles suspectes de manipulation de boîte de réception Hors connexion Premium
Pulvérisation de mots de passe Hors connexion Premium
Voyage impossible Hors connexion Premium
Nouveau pays Hors connexion Premium
Activité depuis une adresse IP anonyme Hors connexion Premium
Transfert de boîte de réception suspect Hors connexion Premium
Accès en masse aux fichiers sensibles Hors connexion Premium
Adresse IP de l’intervenant de menace vérifiée Temps réel Premium
Risque supplémentaire détecté Temps réel ou hors connexion Non-Premium
Adresse IP anonyme Temps réel Non-Premium
L’administrateur a confirmé que cet utilisateur est compromis Hors connexion Non-Premium
Veille des menaces Microsoft Entra Temps réel ou hors connexion Non-Premium

Détections de risques utilisateur

Détection d’événements à risque Type de détection Type
Tentative possible d’accès à un jeton d’actualisation principal (PRT) Hors connexion Premium
Activité anormale de l’utilisateur Hors connexion Premium
L’utilisateur a signalé une activité suspecte Hors connexion Premium
Trafic d’API suspect Hors connexion Premium
Modèles d’envoi suspects Hors connexion Premium
Risque supplémentaire détecté Temps réel ou hors connexion Non-Premium
Informations d’identification divulguées Hors connexion Non-Premium
Veille des menaces Microsoft Entra Hors connexion Non-Premium

Détections Premium

Les détections Premium suivantes ne sont visibles que par les clients utilisant Microsoft Entra P2.

Détections de risque de connexion Premium

Voyage inhabituel

Calculé hors connexion. Ce type de détection d’événement à risque identifie deux connexions depuis des emplacements géographiquement distants, dont au moins un pourrait être inhabituel pour l’utilisateur compte tenu de son comportement passé. L’algorithme prend en compte de multiples facteurs, notamment le temps entre les deux ouvertures de session et le temps qu’il faudrait à l’utilisateur pour se rendre du premier endroit au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification.

L’algorithme ignore les « faux positifs » évidents contribuant aux conditions de voyage impossible, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation. Le système présente une période d’apprentissage initiale la plus proche de 14 jours ou de 10 connexions lui servant à assimiler le comportement de connexion des nouveaux utilisateurs.

Examen des détections de voyage atypiques
  1. Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime :
    1. Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquer l’utilisateur si l’attaquant a accès à réinitialiser le mot de passe ou effectuer l’authentification multifacteur et réinitialiser le mot de passe.
  2. Si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches :
    1. Action recommandée : ignorer l’alerte
  3. Si vous êtes en mesure de confirmer que l’utilisateur a récemment voyagé vers la destination mentionnée dans l’alerte :
    1. Action recommandée : ignorer l’alerte.
  4. Si vous êtes en mesure de confirmer que la plage d’adresses IP provient d’un VPN approuvé.
    1. Action recommandée : marquez la connexion comme sécurisée et ajoutez la plage d’adresses IP VPN aux emplacements nommés dans Microsoft Entra ID et les applications Microsoft Defender pour le cloud.

Jeton anormal

Calculé en temps réel ou hors connexion. Cette détection indique qu’il existe des caractéristiques anormales dans le jeton, telles qu’une durée de vie de jeton inhabituelle ou un jeton émis à partir d’un emplacement inconnu. Cette détection couvre les jetons de session et les jetons d’actualisation.

Note

Le jeton anormal est réglé pour entraîner un bruit supérieur à celui des autres détections au même niveau de risque. Ce compromis est choisi afin d’augmenter la probabilité de détecter les jetons relus qui pourraient autrement passer inaperçus. Étant donné qu’il s’agit d’une détection de bruit élevé, il est plus probable que certaines des sessions signalées par cette détection soient de faux positifs. Nous vous recommandons d’examiner les sessions signalées par cette détection dans le contexte d’autres connexions de l’utilisateur. Si l’emplacement, l’application, l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont inattendues pour l’utilisateur, l’administrateur de l’abonné doit considérer ce risque comme un indicateur de relecture potentielle des jetons.

Examen des détections de jetons anormales
  1. Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime à l’aide d’une combinaison d’alertes à risque, d’emplacement, d’application, d’adresse IP, d’agent utilisateur ou d’autres caractéristiques inattendues pour l’utilisateur :
    1. Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquez l’utilisateur si un attaquant a accès à réinitialiser le mot de passe ou effectuez l’authentification multifacteur et réinitialisez le mot de passe et révoquez tous les jetons.
  2. Si vous êtes en mesure de confirmer l’emplacement, l’application, l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont attendues pour l’utilisateur et il n’existe pas d’autres indications de compromission :
    1. Action recommandée : autoriser l’utilisateur à se corriger automatiquement avec une stratégie de risque d’accès conditionnel ou à confirmer la connexion en toute sécurité par un administrateur.

Pour plus d’informations sur les détections basées sur les jetons, consultez l’article Tactiques de jeton : Comment empêcher, détecter et répondre au vol de jetons cloud et au playbook d’investigation de vol de jetons.

Anomalie de l’émetteur du jeton

Calculé hors connexion. Cette détection des risques indique que l’émetteur de jeton SAML pour le jeton SAML associé est potentiellement compromis. Les revendications incluses dans le jeton sont inhabituelles ou correspondent aux modèles d’attaquants connus.

Examen des détections d’anomalies de l’émetteur de jeton
  1. Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime :
    1. Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquez l’utilisateur si un attaquant a accès à réinitialiser le mot de passe ou effectuez l’authentification multifacteur et réinitialisez le mot de passe et révoquez tous les jetons.
  2. Si l’utilisateur a confirmé qu’il a effectué cette action et qu’il n’existe aucun autre indicateur de compromission :
    1. Action recommandée : autoriser l’utilisateur à se corriger automatiquement avec une stratégie de risque d’accès conditionnel ou à confirmer la connexion en toute sécurité par un administrateur.

Pour plus d’informations sur les détections basées sur des jetons, consultez l’article tactiques de jeton : Comment empêcher, détecter et répondre au vol de jetons cloud.

Navigateur suspect

Calculé hors connexion. La détection de navigateur suspect indique un comportement anormal basé sur des activités de connexion suspectes sur plusieurs locataires de différents pays dans le même navigateur.

Examen des détections suspectes de navigateur
  • Le navigateur n’est pas couramment utilisé par l’utilisateur ou l’activité dans le navigateur ne correspond pas au comportement normal de l’utilisateur.
    • Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquez l’utilisateur si un attaquant a accès à réinitialiser le mot de passe ou effectuez l’authentification multifacteur et réinitialisez le mot de passe et révoquez tous les jetons.

Propriétés de connexion inhabituelles

Calculé en temps réel. Ce type de détection de risque prend en compte l’historique des connexions passées pour rechercher des connexions anormales. Le système stocke des informations sur les connexions précédentes et déclenche une détection de risque lorsqu’une connexion se produit avec des propriétés qui ne sont pas familières à l’utilisateur. Ces propriétés peuvent inclure l’adresse IP, l’ASN, l’emplacement, l’appareil, le navigateur et le sous-réseau IP du locataire. Les utilisateurs nouvellement créés sont en « mode d’apprentissage ». Durant cette période, les détections de risque des propriétés de connexion inhabituelles sont désactivées pendant que nos algorithmes apprennent le comportement de l’utilisateur. La durée du mode d’apprentissage est dynamique et varie selon le temps qu’il faut à l’algorithme pour collecter suffisamment d’informations sur les modèles de connexion de l’utilisateur. La durée minimale est de 5 jours. Un utilisateur peut revenir en mode d’apprentissage après une longue période d’inactivité.

Nous exécutons également cette détection pour l’authentification de base (ou les protocoles existants). Étant donné que ces protocoles ne proposent pas de propriétés modernes telles que l’ID client, les données permettant de réduire le nombre de faux positifs sont limitées. Nous recommandons à nos clients de passer à l’authentification moderne.

Des propriétés de connexion inhabituelles peuvent être détectées sur des connexions interactives et non interactives. Lorsque cette détection est détectée sur des connexions non interactives, elle mérite des contrôles accrus en raison du risque d’attaques par relecture de jetons.

La sélection d’un risque de propriétés de connexion inhabituelles vous permet de consulter des informations supplémentaires affichant plus de détails sur la raison pour laquelle ce risque a été déclenché. La capture d’écran suivante présente un exemple de ces détails.

Capture d’écran montrant un exemple de détection de risque de propriétés de connexion inhabituelles.

Adresse IP malveillante

Calculé hors connexion. Cette détection indique une connexion à partir d’une adresse IP malveillante. Une adresse IP est considérée comme malveillante quand elle présente un taux d’échecs élevé en raison d’informations d’identification non valides qu’elle envoie ou d’autres sources relatives à la réputation des adresses IP.

Examen des détections d’adresses IP malveillantes
  1. Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime :
    1. Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquez l’utilisateur si un attaquant a accès à réinitialiser le mot de passe ou effectuez l’authentification multifacteur et réinitialisez le mot de passe et révoquez tous les jetons.
  2. Si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches :
    1. Action recommandée : ignorer l’alerte

Règles suspectes de manipulation de boîte de réception

Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection surveille votre environnement et déclenche des alertes lorsque des règles suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis, que les messages sont intentionnellement masqués et que la boîte aux lettres est utilisée pour distribuer du courrier indésirable ou des programmes malveillants dans votre organisation.

Pulvérisation de mots de passe

Calculé hors connexion. Une attaque par pulvérisation de mots de passe est l’endroit où plusieurs noms d’utilisateur sont attaqués à l’aide de mots de passe communs dans une méthode de force brute unifiée pour obtenir un accès non autorisé. Cette détection des risques est déclenchée lorsqu’une attaque par pulvérisation de mots de passe a été effectuée avec succès. Par exemple, l’attaquant est correctement authentifié dans l’instance détectée.

Examen des détections de pulvérisation de mot de passe
  1. Si vous êtes en mesure de confirmer que l’activité n’a pas été effectuée par un utilisateur légitime :
    1. Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquez l’utilisateur si un attaquant a accès à réinitialiser le mot de passe ou effectuez l’authentification multifacteur et réinitialisez le mot de passe et révoquez tous les jetons.
  2. Si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches :
    1. Action recommandée : ignorer l’alerte
  3. Si vous êtes en mesure de confirmer que le compte n'a pas été compromis et que vous ne voyez aucun indicateur de force brute ou de pulvérisation de mot de passe contre le compte.
    1. Action recommandée : autoriser l’utilisateur à se corriger automatiquement avec une stratégie de risque d’accès conditionnel ou à confirmer la connexion en toute sécurité par un administrateur.

Pour plus d’informations sur les détections de risques de pulvérisation de mots de passe, consultez l’article Conseils pour identifier et examiner les attaques par pulvérisation de mots de passe.

Voyage impossible

Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette section identifie les activités de l’utilisateur (dans une seule ou plusieurs sessions) provenant d’emplacements éloignés sur le plan géographique au cours d’une période plus courte que la durée nécessaire à l’utilisateur pour aller du premier emplacement au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification.

Nouveau pays

Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection prend en compte les emplacements d’activité précédents pour déterminer les emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalies stocke des informations sur les emplacements précédents utilisés par les utilisateurs de l’organisation.

Activité depuis une adresse IP anonyme

Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection identifie que les utilisateurs étaient actifs depuis une adresse IP qui a été identifiée comme une adresse IP de proxy anonyme.

Transfert de boîte de réception suspect

Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection recherche les règles de transfert des e-mails suspects, par exemple, si un utilisateur a créé une règle de boîte de réception assurant le transfert d’une copie de tous les e-mails à une adresse externe.

Accès en masse aux fichiers sensibles

Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection observe votre environnement et déclenche des alertes lorsque les utilisateurs accèdent à plusieurs fichiers à partir de Microsoft SharePoint ou Microsoft OneDrive. Une alerte est déclenchée uniquement si le nombre de fichiers utilisés est rare pour l’utilisateur et si les fichiers peuvent contenir des informations sensibles

Adresse IP de l’intervenant de menace vérifiée

Calculé en temps réel. Ce type de détection des risques indique une activité de connexion cohérente avec les adresses IP connues associées aux intervenants de l’état de la nation ou à des groupes criminels informatiques, en fonction du Centre MSTIC (Microsoft Threat Intelligence Center).

Détections de risque d’utilisateur Premium

Tentative possible d’accès à un jeton d’actualisation principal (PRT)

Calculé hors connexion. Ce type de détection des risques est découvert à l’aide d’informations fournies par Microsoft Defender for Endpoint (MDE). Un jeton d’actualisation principal (PRT) est un artefact clé d’authentification Microsoft Entra sur les appareils Windows 10, Windows Server 2016 et versions ultérieures, iOS et Android. Un PRT est un jeton JWT (JSON Web Token) émis spécialement pour les répartiteurs de jetons Microsoft internes afin d’activer l’authentification unique (SSO) sur les applications utilisées sur ces appareils. Les attaquants peuvent tenter d’accéder à cette ressource pour se déplacer latéralement dans une organisation ou voler des informations d’identification. Cette détection place les utilisateurs à haut risque et se déclenche uniquement dans les organisations qui ont déployé MDE. Il s’agit d’une détection à faible volume qui est rarement observée dans la plupart des organisations. Quand cette détection apparaît, il s’agit d’un risque élevé et les utilisateurs doivent être corrigés.

Activité anormale de l’utilisateur

Calculé hors connexion. Cette détection de risques base le comportement normal de l’utilisateur-administrateur dans Microsoft Entra ID et détecte des schémas de comportement anormaux tels que des changements suspects apportés à l’annuaire. La détection est déclenchée sur l’administrateur qui fait le changement ou sur l’objet qui a été modifié.

L’utilisateur a signalé une activité suspecte

Calculé hors connexion. Cette détection de risque est signalée quand un utilisateur refuse une invite d’authentification multifacteur (MFA) et la signale comme une activité suspecte. Une invite MFA non initiée par un utilisateur peut signifier que ses informations d’identification sont compromises.

Trafic d’API suspect

Calculé hors connexion. Cette détection de risque est signalée lorsqu’un trafic de Graph ou une énumération de répertoires anormaux sont observés par un utilisateur. Un trafic d’API suspect peut suggérer qu’un utilisateur est compromis et qu’il faut effectuer une reconnaissance de son environnement.

Modèles d’envoi suspects

Calculé hors connexion. Ce type de détection de risque est découvert à l’aide d’informations fournies par Microsoft Defender for Office (MDO). Cette alerte est générée lorsqu’une personne de votre organisation a envoyé des e-mails suspects et qu’elle risque de se voir interdire l’envoi d’e-mails ou qu’elle s’est déjà vu interdire l’envoi d’e-mails. Cette détection place les utilisateurs à risque moyen et se déclenche uniquement dans les organisations qui ont déployé MDO. Il s’agit d’une détection à faible volume qui est rarement observée dans la plupart des organisations.

Détections non-Premium

Les clients sans licence Microsoft Entra ID P2 reçoivent des détections intitulées « risque supplémentaire détecté » sans les informations détaillées sur la détection que reçoivent les clients disposant de licences P2.

Détections de risque de connexion non-Premium

Risque supplémentaire détecté (connexion)

Calculé en temps réel ou hors connexion. Cette détection indique que l’une des détections Premium a eu lieu. Étant donné que les détections Premium ne sont visibles que pour les clients Microsoft Entra ID P2, on les appelle « risque supplémentaire détecté » pour les clients dépourvus de licences Microsoft Entra ID P2.

Adresse IP anonyme

Calculé en temps réel. Ce type de détection des risque détecte des connexions à partir d’adresses IP anonymes (par exemple, navigateur Tor VPN anonyme). Ces adresses IP sont généralement utilisées par des acteurs souhaitant masquer leurs informations de connexion (adresse IP, emplacement, appareil, etc.) dans un but potentiellement malveillant.

L’administrateur a confirmé que cet utilisateur est compromis

Calculé hors connexion. Cette détection indique qu’un administrateur a sélectionné « Confirmer que l’utilisateur est compromis » dans l’interface utilisateur Utilisateurs à risque ou à l’aide de l’API riskyUsers. Pour voir quel administrateur a confirmé que cet utilisateur est compromis, consultez l’historique des risques de l’utilisateur (par le biais de l’interface utilisateur ou de l’API).

Veille des menaces Microsoft Entra (connexion)

Calculé en temps réel ou hors connexion. Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft.

Détections de risque d’utilisateur non-Premium

Risque supplémentaire détecté (utilisateur)

Calculé en temps réel ou hors connexion. Cette détection indique que l’une des détections Premium a eu lieu. Étant donné que les détections Premium ne sont visibles que pour les clients Microsoft Entra ID P2, on les appelle « risque supplémentaire détecté » pour les clients dépourvus de licences Microsoft Entra ID P2.

Informations d’identification divulguées

Calculé hors connexion. Ce type de détection d’événement à risque indique que les informations d’identification valides de l’utilisateur ont fuité. Souvent, quand des cybercriminels compromettent les mots de passe valides d’utilisateurs légitimes, ils le font dans le but de les rendre publics. Ce partage se fait généralement en publiant publiquement sur le « dark web », via des sites de pastebin, ou en échangeant et vendant des informations d’identification sur le marché noir. Lorsque le service d’informations de connexion divulguées de Microsoft acquiert des informations d’identification utilisateur à partir du dark Web, de sites web de collage ou autres sources, ces informations sont comparées aux informations d’identification valides actuelles des utilisateurs Microsoft Entra pour rechercher des correspondances valides. Pour plus d’informations sur informations de connexion divulguées, consultez Questions courantes.

Examen des détections d’informations d’identification divulguées
  • Si ce signal de détection a alerté pour une fuite d’informations d’identification pour un utilisateur :
    • Action recommandée: marquez la connexion comme compromise et appelez une réinitialisation de mot de passe si elle n’est pas déjà effectuée par la correction automatique. Bloquez l’utilisateur si un attaquant a accès à réinitialiser le mot de passe ou effectuez l’authentification multifacteur et réinitialisez le mot de passe et révoquez tous les jetons.

Veille des menaces Microsoft Entra (utilisateur)

Calculé hors connexion. Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft.

Questions courantes

Niveaux de risque

La protection d’identité catégorise les risques en trois niveaux : faible, moyen, élevé. Niveaux de risque calculés par nos algorithmes Machine Learning et représentant le degré de confiance de Microsoft que les informations d’identification de l’utilisateur sont connues par une entité non autorisée. Une détection de risque avec un niveau de risque élevé signifie que Microsoft est fortement convaincu que le compte est compromis. Un risque faible signifie que des anomalies sont présentes dans la connexion ou les informations d’identification d’un utilisateur, mais que nous sommes moins sûrs que ces anomalies indiquent une compromission du compte.

Plusieurs détections peuvent déclencher plus d’un niveau en fonction du nombre ou de la gravité des anomalies détectées. Par exemple, une détection de Propriétés de connexion inhabituelles à haut risque pour un utilisateur implique une certitude plus élevée de compromission de compte de la part de Microsoft qu’un risque faible ou moyen de détection de Propriétés de connexion inhabituelles. Certaines détections, telles que Informations d'identification fuitées et Adresse IP de l’intervenant de menace vérifiée sont toujours remises comme étant à risque élevé.

Le niveau de risque est important au moment de décider des détections à classer par ordre de priorité pour les enquêtes et les corrections. Il joue également un rôle clé au niveau de la configuration des Stratégies d’accès conditionnel en fonction des risques, car chaque stratégie peut être définie pour déclencher un risque faible, moyen, élevé, ou aucun risque détecté.

Important

Toutes les détections de niveau de risque « faible » et tous les utilisateurs subsistent dans le produit pendant 6 mois, après quoi ils deviennent automatiquement obsolètes pour offrir une expérience d’enquête plus propre. Les niveaux de risque moyens et élevés subsistent jusqu’à la correction ou le rejet.

Selon la tolérance de risque de votre organisation, vous pouvez créer des stratégies qui exigent une authentification multifacteur (MFA) ou une réinitialisation de mot de passe quand ID Protection détecte un certain niveau de risque. Il est possible que ces stratégies puissent accompagner l’utilisateur pour corriger automatiquement et résoudre le risque ou le bloquer en fonction de vos tolérances.

Synchronisation de hachage du mot de passe

Les détections de risque comme les informations d’identification divulguées nécessitent la présence de hachages de mot de passe. Pour plus d’informations sur la synchronisation de hachage du mot de passe, consultez l’article Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect.

Pourquoi ces détections de risques sont-elles générées pour les comptes d’utilisateurs désactivés ?

Vous pouvez réactiver des comptes d’utilisateurs désactivés. Si les informations d’identification d’un compte désactivé sont compromises et que le compte est réactivé, des acteurs malveillants pourraient utiliser ces informations d’identification pour y accéder. La protection des ID génère des détections de risque pour les activités suspectes contre les comptes d’utilisateur désactivés afin d’alerter les clients sur la compromission potentielle du compte. Si un compte n’est plus utilisé et ne sera pas réactivé, les clients doivent envisager de le supprimer afin d’éviter toute compromission. Aucune détection de risque n’est générée pour les comptes supprimés.

Où Microsoft trouve-t-il les informations d’identification divulguées ?

Microsoft découvre des fuites d’informations d’identification à divers endroits, notamment :

  • Les sites de téléchargement publics tels que pastebin.com et paste.ca où les malfaiteurs publient généralement ce genre de contenu. Ce genre de site est la première étape pour les malfaiteurs en quête d’informations d’identification volées.
  • Forces de l’ordre.
  • D’autres groupes chez Microsoft qui s’occupent des recherches sur le dark web.

Pourquoi ne vois-je aucune information d’identification divulguée ?

Les informations d’identification divulguées sont traitées chaque fois que Microsoft trouve une nouvelle occurrence de données accessibles au public. En raison de leur nature sensible, les informations d’identification divulguées sont supprimées peu après le traitement. Seules les nouvelles informations d’identification divulguées détectées après l’activation de la synchronisation de hachage du mot de passe (PHS) sont traitées pour votre locataire. La vérification par rapport aux paires d’informations d’identification précédemment détectées n’est pas effectuée.

Je n’ai pas vu d’événements à risque concernant les informations d’identification divulguées depuis un moment

Si vous n’avez pas vu d’événements à risque concernant les informations d’identification divulguées, cela peut être dû à plusieurs raisons :

  • Vous n’avez aucun PHS activé pour votre locataire.
  • Microsoft n’a trouvé aucune paire d’informations d’identification divulguées et correspondant à vos utilisateurs.

À quelle fréquence Microsoft traite-t-il les nouvelles informations d’identification ?

Les informations d’identification sont traitées immédiatement après avoir été détectées, normalement en plusieurs lots par jour.

Emplacements

L’emplacement dans les détections de risques est déterminé à l’aide de la recherche d’adresse IP.

Étapes suivantes