Opérations de sécurité Microsoft Entra pour les appareils

Article
10/25/2023

Les appareils ne sont généralement pas ciblés par les attaques basées sur l’identité. En revanche, ils peuvent être utilisés pour répondre à des contrôles de sécurité et usurper l’identité des utilisateurs. Les appareils peuvent avoir l’une des quatre relations suivantes avec Microsoft Entra ID :

Les appareils inscrits et joints reçoivent un jeton d’actualisation principal, qui peut être utilisé comme artefact d’authentification principale et, dans certains cas, comme artefact d’authentification multifacteur. Les attaquants peuvent tenter d'enregistrer leurs propres appareils, d'utiliser des PRT sur des appareils légitimes pour accéder aux données d'entreprise, de voler des jetons basés sur PRT sur des appareils d'utilisateurs légitimes ou de trouver des erreurs de configuration dans les contrôles basés sur les appareils dans Microsoft Entra ID. Avec les appareils connectés hybrides Microsoft Entra, le processus de jointure est lancé et contrôlé par les administrateurs, réduisant ainsi les méthodes d'attaque disponibles.

Pour plus d’informations sur les méthodes d’intégration d’appareils, consultez Choisir vos méthodes d’intégration dans l’article Planifier le déploiement de votre appareil Microsoft Entra.

Pour réduire le risque d’attaque de votre infrastructure par des acteurs malveillants au moyen d’appareils, effectuez un monitoring des éléments suivants :

Enregistrement de l'appareil et adhésion à Microsoft Entra
Accès aux applications par des appareils non conformes
Extraction de clés BitLocker
Rôles Administrateur d’appareils
Connexions aux machines virtuelles

Emplacement des fichiers

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

À partir du portail Azure, vous pouvez afficher les journaux d'audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs façons d'intégrer les journaux Microsoft Entra à d'autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :

Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités d’informations de sécurité et gestion d’événements (SIEM, Security Information and Event Management).
Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.
Azure Monitor – Permet de créer des alertes et supervisions automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs -intégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d'autres SIEM tels que Splunk, ArcSight, QRadar et Sumo Logic via l'intégration d'Azure Event Hubs.
Microsoft Defender for Cloud Apps : permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.
Sécurisation des identités de charge de travail avec Identity Protection Preview : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.

La majeure partie du monitoring et des alertes est produite par les stratégies d’accès conditionnel. Vous pouvez utiliser le classeur Insights et rapports sur l’accès conditionnel pour examiner les effets d’une ou de plusieurs stratégies d’accès conditionnel sur vos connexions, ainsi que leur résultat, notamment l’état de l’appareil. Ce workbook vous permet de voir un récapitulatif et d’identifier les effets sur une période spécifique. Vous pouvez également vous en servir pour examiner les connexions d’un utilisateur spécifique.

Le reste de cet article comprend des recommandations concernant le monitoring et les alertes, organisées par type de menace. Lorsqu’il existe des solutions prédéfinies spécifiques, nous en indiquons le lien ou donnons des exemples après le tableau. Sinon, vous pouvez créer des alertes à l’aide des outils précédents.

Inscriptions d’appareils et jointures en dehors de la stratégie

Les appareils enregistrés par Microsoft Entra et les appareils joints à Microsoft Entra possèdent des jetons d'actualisation primaires (PRT), qui sont l'équivalent d'un facteur d'authentification unique. Ils peuvent parfois contenir des revendications d’authentification forte. Pour plus d’informations sur ce scénario, consultez Dans quel cas un jeton d’actualisation principal obtient-il une revendication MFA ?. Pour empêcher les acteurs malveillants d’inscrire ou de joindre des appareils, imposez l’authentification multifacteur (MFA). Ainsi, vous pourrez autoriser ces opérations de manière sécurisée. Ensuite, effectuez un monitoring de tous les appareils inscrits ou joints sans authentification MFA. Vous devez également surveiller les modifications apportées aux paramètres et stratégies MFA, ainsi qu’aux stratégies de conformité des appareils.

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Inscription ou jointure de l’appareil effectuée sans authentification MFA	Moyenne	Journaux d’activité de connexion	Activité : authentification réussie auprès du service d’inscription des appareils And Aucune authentification MFA requise	Déclenchez une alerte quand un appareil est inscrit ou joint sans authentification MFA Modèle Microsoft Sentinel Règles Sigma
Modifications apportées à la bascule MFA d’enregistrement de périphérique dans Microsoft Entra ID	Élevée	Journal d’audit	Activité : définition de stratégies d’inscription des appareils	Vérifiez si le commutateur est désactivé. Aucune entrée dans le journal d’audit Planification de vérifications périodiques Règles Sigma
Modifications apportées aux stratégies d’accès conditionnel exigeant un appareil joint à un domaine ou conforme	Élevé	Journal d’audit	Modifications apportées aux stratégies d’accès conditionnel	Déclenchez une alerte dans les cas suivants : un changement est apporté à une stratégie nécessitant la jonction ou la conformité à un domaine, des changements sont apportés aux emplacements approuvés, des comptes ou des appareils sont ajoutés aux exceptions de stratégie MFA.

Vous pouvez créer une alerte qui avertit les administrateurs concernés lorsqu’un appareil est inscrit ou joint sans authentification MFA avec Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Vous pouvez également utiliser Microsoft Intune pour définir des stratégies de conformité des appareils et effectuer un monitoring.

Il n’est pas possible de bloquer l’accès à toutes les applications cloud et SaaS (software as a service) avec des stratégies d’accès conditionnel exigeant des appareils conformes.

La gestion des appareils mobiles (MDM, Mobile Device Management) permet de maintenir la conformité des appareils Windows 10. Avec la version 1809 de Windows, nous avons publié une base de référence de sécurité des stratégies. Microsoft Entra ID peut s'intégrer à MDM pour garantir la conformité des appareils aux politiques de l'entreprise et peut signaler l'état de conformité d'un appareil.

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Connexions d’appareils non conformes	Élevé	Journaux d’activité de connexion	DeviceDetail.isCompliant == false	Si vous imposez les connexions à partir d’appareils conformes, déclenchez une alerte dans les cas suivants : des connexions ont lieu à partir d’appareils non conformes, des accès sont effectués sans authentification MFA ou à partir d’emplacements non approuvés. Si vous envisagez d’exiger des appareils, effectuez un monitoring des connexions suspectes. Règles Sigma
Connexions d’appareils inconnus	Faible	Journaux d’activité de connexion	DeviceDetail est vide, authentification monofacteur ou en provenance d’un emplacement non approuvé	Recherchez les accès provenant d’appareils non conformes ainsi que les accès effectués sans authentification MFA ou à partir d’emplacements non approuvés Modèle Microsoft Sentinel Règles Sigma

Requêtes avec Log Analytics

Connexions d’appareils non conformes

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Connexions d’appareils inconnus


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Appareils obsolètes

Les appareils obsolètes sont des appareils qui ne se sont pas connectés pendant une période donnée. Les appareils peuvent devenir obsolètes lorsqu’un utilisateur obtient un nouvel appareil ou perd un appareil, ou lorsqu’un appareil rejoint par Microsoft Entra est effacé ou réapprovisionné. Les appareils peuvent également rester inscrits ou joints quand l’utilisateur n’est plus associé au locataire. Les appareils obsolètes doivent être supprimés pour que les jetons d’actualisation principaux (PRT) ne puissent pas être utilisés.

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Dernière date de connexion	Faible	API Graph	approximateLastSignInDateTime	Utiliser l’API Graph ou PowerShell pour identifier et supprimer les appareils obsolètes

Extraction de clés BitLocker

Les attaquants qui ont compromis l’appareil d’un utilisateur peuvent récupérer les clés BitLocker dans Microsoft Entra ID. Or, il est rare que les utilisateurs récupèrent des clés. Ces actions doivent donc être surveillées et examinées.

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Récupération de clé	Moyenne	Journaux d’audit	OperationName == "Read BitLocker key"	Recherchez les éléments suivants : récupération de clés, autre comportement anormal de la part des utilisateurs qui récupèrent les clés. Modèle Microsoft Sentinel Règles Sigma

Dans Log Analytics, créez une requête de ce type :

AuditLogs
| where OperationName == "Read BitLocker key"

Rôles Administrateur d’appareils

Les rôlesAdministrateur local d’appareil rejoint par Microsoft Entra et Administrateur global obtiennent automatiquement les droits d'administrateur local sur tous les appareils rejoints par Microsoft Entra. Il est important d’effectuer un monitoring des rôles qui disposent de ces droits pour sécuriser l’environnement.

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Utilisateurs ajoutés au rôle d’administrateur général ou d’administrateur d’appareils	Élevé	Journaux d’audit	Type d’activité : Ajout d’un membre au rôle	Recherchez : les nouveaux utilisateurs ajoutés à ces rôles Microsoft Entra, les comportements anormaux ultérieurs de la part des machines ou des utilisateurs. Modèle Microsoft Sentinel Règles Sigma

Connexions hors Azure AD à des machines virtuelles

Les connexions aux machines virtuelles (VM) Windows ou LINUX doivent être surveillées pour les connexions par des comptes autres que les comptes Microsoft Entra.

La connexion Microsoft Entra pour LINUX permet aux organisations de se connecter à leurs machines virtuelles Azure LINUX à l'aide de comptes Microsoft Entra via le protocole Secure Shell (SSH).

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Connexion d’un compte autre qu’Azure AD, en particulier via SSH	Élevé	Journaux d’authentification locale	Ubuntu : monitoring de l’utilisation du protocole SSH dans /var/log/auth.log RedHat : monitoring de l’utilisation du protocole SSH dans /var/log/sssd/	Recherchez les entrées où des comptes autres que les comptes Azure AD parviennent à se connecter aux machines virtuelles. Cf. exemple suivant

Exemple Ubuntu :

May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01

9 mai 23:49:39 ubuntu1804 aad_certhandler[3915] : l'utilisateur « localusertest01 » n'est pas un utilisateur Microsoft Entra ; renvoyant un résultat vide.

May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01

9 mai 23:49:43 ubuntu1804 aad_certhandler[3916] : l'utilisateur « localusertest01 » n'est pas un utilisateur Microsoft Entra ; renvoyant un résultat vide.

May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).

Vous pouvez définir une stratégie pour les connexions aux machines virtuelles Linux, et détecter et signaler les machines virtuelles Linux pour lesquelles des comptes locaux non approuvés ont été ajoutés. Pour plus d’informations, consultez Respect des normes et évaluation de la conformité avec Azure Policy.

Connexions Microsoft Entra pour Windows Server

La connexion Microsoft Entra pour Windows permet à votre organisation de se connecter à vos machines virtuelles Azure Windows 2019+ à l'aide de comptes Microsoft Entra via le protocole de bureau à distance (RDP).

Éléments à analyser	Niveau de risque	Where	Filtre/Sous-filtre	Notes
Connexion d’un compte qui n’est pas un compte Azure AD, en particulier via RDP	Élevé	Journaux des événements Windows Server	Connexion interactive à une machine virtuelle Windows	Événement 528, type d’ouverture de session 10 (RemoteInteractive). qui indique quand un utilisateur se connecte avec les services Terminal Server ou le Bureau à distance