Sécurisation des identités de charge de travail avec Identity Protection en préversion

Azure AD Identity Protection protège historiquement les utilisateurs avec la détection, l’examen et la correction des risques basés sur les identités. Nous étendons maintenant ces fonctionnalités aux identités de charge de travail pour protéger les applications, les principaux de service et les identités gérées.

Une identité de charge de travail est une identité qui permet à une application ou à un principal de service d’accéder à des ressources, parfois dans le contexte d’un utilisateur. Ces identités de charge de travail diffèrent des comptes d’utilisateur traditionnels car elles :

  • Ne peuvent pas effectuer d’authentification multifacteur.
  • N’ont souvent aucun processus de cycle de vie formel.
  • Elles doivent stocker leur informations d’identification ou secrets quelque part.

Ces différences font que les identités de charge de travail sont plus difficiles à gérer et plus faciles à compromettre.

Important

En préversion publique, vous pouvez sécuriser les identités de charge de travail avec Identity Protection et l’édition Azure Active Directory Premium P2 active dans votre locataire. Après la disponibilité générale, des licences supplémentaires peuvent être nécessaires.

Prérequis

Pour utiliser le risque lié à l’identité de charge de travail, notamment le nouveau panneau Identités de charge de travail à risque (préversion) et l’onglet Détections d’identité de charge de travail dans le panneau Détections de risques, dans le portail Azure, vous devez disposer des éléments suivants.

  • Licences Azure AD Premium P2
  • Un des rôles d’administrateur suivants attribués
    • Administrateur général
    • Administrateur de sécurité
    • Opérateur de sécurité
    • Lecteur Sécurité

Les utilisateurs affectés au rôle d’administrateur d’accès conditionnel peuvent créer des stratégies qui utilisent les risques comme condition.

Détections des risques liés à l’identité de charge de travail

Nous détectons les risques sur les identités de charge de travail entre le comportement de connexion et les indicateurs hors connexion de compromission.

Nom de la détection Type de détection Description
Azure AD Threat Intelligence Hors connexion Cette détection de risque indique une activité qui est cohérente avec les modèles d’attaque connus basés sur les sources d’informations sur les menaces internes et externes de Microsoft.
Connexions suspectes Hors connexion Cette détection de risque indique des propriétés de connexion ou des modèles inhabituels pour ce principal du service.

La détection apprend le comportement de connexion de référence pour les identités de charge de travail dans votre locataire en 2 à 60 jours, et se déclenche si une ou plusieurs des propriétés non familières suivantes apparaissent lors d’une connexion ultérieure : adresse IP/ASN, ressource cible, agent utilisateur, modification d’adresse IP d’hébergement/non-hébergement, pays IP, type d’informations d’identification.

En raison de la nature par programmation des connexions d’identité de charge de travail, nous fournissons un horodateur pour l’activité suspecte au lieu de marquer un événement de connexion spécifique.

Les connexions lancées après une modification de configuration autorisée peuvent déclencher cette détection.
Connexions suspectes Hors connexion Cette détection de risque indique des propriétés de connexion ou des modèles inhabituels pour ce principal du service.

La détection apprend le comportement de connexion de référence pour les identités de charge de travail dans votre locataire en 2 à 60 jours, et se déclenche si une ou plusieurs des propriétés non familières suivantes apparaissent lors d’une connexion ultérieure : adresse IP/ASN, ressource cible, agent utilisateur, modification d’adresse IP d’hébergement/non-hébergement, pays IP, type d’informations d’identification.

En raison de la nature par programmation des connexions d’identité de charge de travail, nous fournissons un horodateur pour l’activité suspecte au lieu de marquer un événement de connexion spécifique.

Les connexions lancées après une modification de configuration autorisée peuvent déclencher cette détection.
Compte d’administrateur confirmé compromis Hors connexion Cette détection indique qu’un administrateur a sélectionné « Confirmer la compromission » dans l’interface utilisateur des identités de charge de travail à risque ou à l’aide de l’API riskyServicePrincipals. Pour voir quel administrateur a confirmé que ce compte est compromis, consultez l’historique des risques du compte (par le biais de l’interface utilisateur ou de l’API).
Informations d'identification divulguées Hors connexion Cette détection des risques indique que les informations d’identification valides du compte ont fuité. Cette fuite peut se produire lorsque quelqu’un archive les informations d’identification dans l’artefact de code public sur GitHub, ou lorsque les informations d’identification sont divulguées via une violation de données.

Lorsque le service d’informations de connexion divulguées de Microsoft acquiert des informations d’identification à partir de GitHub, du dark Web, de collage de sites ou autres sources, ces informations sont comparées aux informations d’identification valides actuelles dans Azure AD pour rechercher des correspondances valides.
Application malveillante Hors connexion Cette détection indique que Microsoft a désactivé une application pour violation de nos conditions d’utilisation. Nous vous recommandons d’effectuer une enquête sur l’application.
Application suspecte Hors connexion Cette détection indique que Microsoft a identifié une application qui pourrait violer nos conditions d’utilisation, mais qui n’a pas été désactivée. Nous vous recommandons d’effectuer une enquête sur l’application.

Identifier les identités de charge de travail à risque

Les organisations peuvent trouver des identités de charge de travail qui ont été marquées comme présentant un risque dans l’un des deux emplacements suivants :

  1. Accédez au portail Azure.
  2. Accédez à Azure Active Directory>Sécurité>Identités de charge de travail à risque (préversion).
  3. Ou accédez à Azure Active Directory>Sécurité>Détections de risque.
    1. Sélectionnez l’onglet Détections de l’identité de charge de travail.

Capture d’écran montrant les risques détectés par rapport à des identités de charge de travail dans le rapport.

API Graph

Vous pouvez également interroger les identités de charge de travail à risque à l’aide de l’API Microsoft Graph. Il existe deux nouvelles collections dans les API Identity Protection

  • riskyServicePrincipals
  • servicePrincipalRiskDetections

Exporter les données liées aux risques

Les organisations peuvent exporter des données en configurant des paramètres de diagnostic dans Azure AD pour envoyer des données de risque à un espace de travail Log Analytics, les archiver dans un compte de stockage, les transmettre à un Event Hub ou les envoyer à une solution SIEM.

Appliquer des contrôles d’accès avec l’accès conditionnel basé sur les risques

À l’aide de l’accès conditionnel pour les identités de charge de travail, vous pouvez bloquer l’accès à des comptes spécifiques que vous choisissez lorsque la protection des identités les marque « représentant un risque ». La stratégie peut être appliquée à des principaux de service à locataire unique qui ont été enregistrés dans votre locataire. Les applications SaaS tierces, les applications multilocataires et les identités managées sont hors de portée.

Examiner les identités de charge de travail à risque

Identity Protection fournit aux organisations deux rapports qu’elles peuvent utiliser pour examiner les risques liés à l’identité de leur charge de travail. Ces rapports sont les identités de charge de travail à risque et les détections de risque pour les identités de charge de travail. Tous les rapports permettent de télécharger des événements au format .CSV en vue d’analyses plus poussées en dehors du Portail Azure.

Voici quelques-unes des questions clés à vous poser lors de votre investigation :

  • Les comptes affichent-ils une activité de connexion suspecte ?
  • Des modifications non autorisées ont-elles été apportées aux informations d’identification ?
  • Des modifications de configuration suspectes ont-elles été apportées aux comptes ?
  • Le compte a-t-il acquis des rôles d’application non autorisés ?

Le guide des opérations de sécurité Azure Active Directory pour les applications fournit des conseils détaillés sur les zones d’investigation ci-dessus.

Une fois que vous avez déterminé si l’identité de la charge de travail a été compromise, ignorez le risque du compte ou confirmez que le compte a été compromis dans le rapport Identités des charges de travail à risque (préversion). Vous pouvez également sélectionner « Désactiver le principal du service » si vous souhaitez bloquer le compte de recevoir des connexions supplémentaires.

Confirmer la compromission d’identité de charge de travail ou ignorer le risque dans le portail Azure.

Corriger les identités de charge de travail à risque

  1. Informations d’identification d’inventaire affectées à l’identité de charge de travail à risque, que ce soit pour le principal de service ou les objets d’application.
  2. Ajoutez d’autres informations d’identification. Microsoft recommande l’utilisation de certificats x509.
  3. Supprimez les informations d’identification compromises. Si vous pensez que le compte est menacé, nous vous recommandons de supprimer toutes les informations d’identification existantes.
  4. Corrigez les secrets Azure Key Vault auxquels le principal du service a accès en effectuant leur rotation.

Azure AD Toolkit est un module PowerShell qui peut vous aider à effectuer certaines de ces actions.

Étapes suivantes