Guide des opérations de sécurité Microsoft Entra

Microsoft utilise une approche de la sécurité Confiance Zéro qui a fait ses preuves en suivant les principes de la Défense en profondeur qui utilise l’identité comme plan de contrôle. Les organisations continuent d’adopter des charges de travail hybrides pour la mise à l’échelle, les économies de coûts et la sécurité. Microsoft Entra ID joue un rôle central dans votre stratégie pour la gestion des identités. Récemment, les actualités relatives aux usurpations d’identité et aux violations de sécurité au sein des entreprises ont amené les services informatiques à voir leur posture sur la sécurité des identités comme un moyen de mesurer la réussite de leurs systèmes de protection.

De plus en plus, les organisations doivent adopter une combinaison d’applications locales et cloud, auxquelles les utilisateurs accèdent à l’aide de comptes locaux et de comptes cloud uniquement. La gestion des utilisateurs, des applications et des appareils, à la fois en local et dans le cloud, donne lieu à des scénarios qui ne sont pas simples.

Identité hybride

Microsoft Entra ID crée une identité d’utilisateur unique commune pour l’authentification et l’autorisation d’accès à toutes les ressources, où qu’elles soient. Nous appelons cette identité identité hybride.

Pour obtenir l’identité hybride avec Microsoft Entra ID, l'une des trois méthodes d’authentification peut être utilisée, selon vos scénarios. Ces trois méthodes sont les suivantes :

• Synchronisation de hachage de mot de passe (PHS)
• Authentification directe (PTA)
• Fédération (AD FS)

Lorsque vous auditez vos opérations de sécurité actuelles ou établissez des opérations de sécurité pour votre environnement Azure, nous vous recommandons d’effectuer ce qui suit :

• Lire certaines sections du guide de sécurité Microsoft pour établir une base de connaissances sur la sécurisation de votre environnement Azure hybride ou basé sur le cloud.
• Auditer votre stratégie de compte et de mot de passe, ainsi que les méthodes d’authentification pour prévenir les vecteurs d’attaque les plus courants.
• Créer une stratégie pour la supervision continue et la génération d’alertes concernant les activités qui peuvent constituer une menace pour la sécurité.

Public visé

Le guide Microsoft Entra SecOps est destiné aux équipes responsables des identités et de la sécurité informatique, ainsi qu’aux fournisseurs de services managés qui doivent contrer les menaces grâce à de meilleurs profils de configuration et de supervision de la sécurité des identités. Ce guide s’adresse tout particulièrement aux administrateurs informatiques et aux architectes d’identités qui conseillent les équipes chargées des tests d’intrusion au sein du Centre des opérations de sécurité, dans le but d’améliorer et de conserver leur posture sur la sécurité des identités.

Étendue

Cette introduction fournit des suggestions de lectures préalables, ainsi que des recommandations sur l’audit des mots de passe et les stratégies. Cet article fournit aussi une vue d’ensemble des outils disponibles pour les environnements Azure hybrides et les environnements Azure basés sur le cloud. Enfin, nous fournissons une liste de sources de données que vous pouvez utiliser pour la supervision et la génération d’alertes, ainsi que pour configurer votre environnement et votre stratégie SIEM. La suite de ce guide présente des stratégies de supervision et de génération d’alertes pour les domaines suivants :

• Comptes d’utilisateur. Conseils sur les comptes d’utilisateur non privilégiés sans privilèges administratifs, notamment en cas de création et d’utilisation de comptes anormaux, et de connexions inhabituelles.

• Comptes privilégiés. Conseils sur les comptes d’utilisateur privilégiés disposant d’autorisations élevées pour effectuer des tâches administratives. Les tâches incluent les attributions de rôles Microsoft Entra, les attributions de rôles de ressources Azure et la gestion des accès pour les ressources et les abonnements Azure.

• Privileged Identity Management (PIM). Conseils sur l’utilisation de PIM pour gérer, contrôler et superviser l’accès aux ressources.

• Applications. Conseils sur les comptes utilisés pour fournir l’authentification aux applications.

• Appareils. Conseils sur la supervision et la génération d’alertes en cas d’appareils inscrits ou joints en dehors des stratégies, d’utilisation non conforme, de gestion des rôles d’administration des appareils et de connexions aux machines virtuelles.

• Infrastructure Conseils sur la supervision et la génération d’alertes concernant les menaces sur vos environnements hybrides et purement basés sur le cloud.

Contenu de référence important

Microsoft propose de nombreux produits et services qui vous permettent de personnaliser votre environnement informatique en fonction de vos besoins. Nous vous recommandons de consulter les conseils suivants pour votre environnement d’exploitation :

• Systèmes d’exploitation Windows

  • Base de référence de sécurité (FINALE) pour Windows 10 v1909 et Windows Server v1909
  • Base de référence de sécurité pour Windows 11
  • Base de référence de sécurité pour Windows Server 2022

• Environnements locaux

  • Architecture de Microsoft Defender pour Identity
  • Démarrage rapide : Connecter Microsoft Defender pour Identity à Active Directory
  • Base de référence de sécurité Azure pour Microsoft Defender pour Identity
  • Supervision d’Active Directory pour détecter des signes de compromission

• Environnements Azure basés sur le cloud

  • Superviser les connexions à l’aide du journal des connexions Microsoft Entra
  • Rapports d’activité d’audit dans le portail Azure
  • Examiner les risques avec Protection des ID Microsoft Entra
  • Connecter Protection des ID Microsoft Entra données à Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • Recommandations en matière de stratégie d’audit

• Active Directory Federation Services (AD FS)

  • Résolution des problèmes AD FS - Audit des événements et de la journalisation

Sources de données

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

• Journaux d'audit Microsoft Entra
• Journaux de connexion
• Journaux d’audit Microsoft 365
• Journaux Azure Key Vault

Dans le portail Azure, vous pouvez voir les journaux d’audit Microsoft Entra. Téléchargez les journaux au format de fichier CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation) Le portail Azure propose plusieurs façons d’intégrer les journaux Microsoft Entra à d’autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :

• Microsoft Sentinel - Active l’analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités SIEM (Gestion des informations et des événements de sécurité).

• Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.

• Azure Monitor - Permet de mettre en place des alertes et un monitoring automatisés répondant à diverses situations. avec possibilité de créer ou d’utiliser des classeurs pour combiner des données provenant de différentes sources.

• Azure Event Hubs intégré à un système SIEM. Les journaux Microsoft Entra peuvent être intégrés à d’autres systèmes SIEM (comme Splunk, ArcSight, QRadar et Sumo Logic) par l’intégration d’Azure Event Hubs. Pour plus d’informations, consultez Diffuser les journaux Microsoft Entra vers un hub d’événements Azure.

• Microsoft Defender for Cloud Apps - Vous permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.

• Sécurisation des identités de charge de travail avec Identity Protection Preview : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.

La plupart des éléments qui font l’objet d’une supervision et d’alertes sont déterminés par vos stratégies d’accès conditionnel. Vous pouvez utiliser le workbook Insights et rapports sur l’accès conditionnel pour examiner les effets d’une ou de plusieurs stratégies d’accès conditionnel sur vos connexions, ainsi que leur résultat, notamment l’état de l’appareil. Ce classeur permet de voir un résumé de l’impact et d’identifier l’incidence sur une période donnée. Vous pouvez également vous en servir pour examiner les connexions d’un utilisateur spécifique. Pour plus d’informations, consultez Insights et rapports sur l’accès conditionnel.

Le reste de cet article décrit quoi superviser et sur quoi déclencher des alertes. Lorsqu’il existe des solutions prédéfinies spécifiques, nous en indiquons le lien ou donnons des exemples après le tableau. Sinon, vous pouvez créer des alertes à l’aide des outils précédents.

• Identity Protection génère trois rapports clés que vous pouvez utiliser dans le cadre de votre investigation :

• Utilisateurs à risque contient des informations sur les utilisateurs à risque, des détails sur les détections, l’historique de toutes les connexions risquées et l’historique des risques.

• Connexions risquées contient des informations concernant le contexte d’une connexion potentiellement suspecte. Pour plus d’informations sur l’investigation des informations de ce rapport, consultez Procédure : Examiner les risques.

• Détection des risques : contient des informations sur les signaux détectés par Microsoft Entra Identity Protection qui indiquent les utilisateurs à risque et les connexions risquées. Pour plus d’informations, consultez le Guide des opérations de sécurité Microsoft Entra pour les comptes d’utilisateur.

Pour plus d’informations, consultez Qu’est-ce qu’Identity Protection.

Sources de données pour la supervision des contrôleurs de domaine

Pour des résultats optimaux, nous vous recommandons de superviser vos contrôleurs de domaine à l’aide de Microsoft Defender pour Identity. Cette approche offre les meilleures fonctionnalités de détection et d’automatisation. Suivez les conseils de ces ressources :

• Architecture de Microsoft Defender pour Identity
• Démarrage rapide : Connecter Microsoft Defender pour Identity à Active Directory

Si vous ne prévoyez pas d’utiliser Microsoft Defender pour Identity, surveillez vos contrôleurs de domaine avec l’une des approches suivantes :

• Messages des journaux des événements. Consultez Supervision d’Active Directory pour détecter des signes de compromission.
• Applets de commande PowerShell. Consultez Résolution des problèmes de déploiement de contrôleur de domaine.

Composants de l’authentification hybride

Dans le cadre d’un environnement hybride Azure, les éléments suivants doivent avoir une base de référence et être inclus dans votre stratégie de supervision et de génération d’alertes.

• Agent PTA - L’agent d’authentification directe est utilisé pour permettre une authentification directe, et il est installé localement. Pour savoir comment vérifier votre version de l’agent et connaître les étapes à suivre, consultez Agent d’authentification directe Microsoft Entra : Historique de publication des versions.

• AD FS/WAP : les services de fédération Active Directory Azure (Azure AD FS) et le proxy d’application web (WAP) permettent le partage sécurisé des identités numériques et des droits d’utilisation entre les différentes limites de sécurité et les différents services de l’entreprise. Pour plus d’informations sur les meilleures pratiques en matière de sécurité, consultez Meilleures pratiques pour la sécurisation des services de fédération Active Directory (AD FS).

• Microsoft Entra Connect Health : agent utilisé dans le but de fournir une liaison de communication pour Microsoft Entra Connect Health. Pour plus d’informations sur l’installation de l’agent, consultez Installation de l’agent Microsoft Entra Connect Health.

• Moteur de synchronisation Microsoft Entra Connect : composant local également appelé « moteur de synchronisation ». Pour plus d’informations sur cette fonctionnalité, consultez Fonctionnalités du service de synchronisation Microsoft Entra Connect.

• Agent DC de protection par mot de passe - L’agent DC de protection par mot de passe Azure permet d’effectuer le monitoring des messages du journal des événements, et de créer des rapports à partir de ces messages. Pour plus d’informations, consultez Appliquer la fonctionnalité Protection par mot de passe Microsoft Entra en local pour Active Directory Domain Services.

• DLL de filtre de mot de passe - La DLL de filtre de mot de passe de l’agent DC reçoit les demandes de validation de mot de passe utilisateur en provenance du système d’exploitation. Le filtre les transmet au service de l’agent du contrôleur de domaine qui s’exécute localement sur le contrôleur de domaine. Pour plus d’informations sur l’utilisation de la DLL, consultez Appliquer la fonctionnalité Protection de mots de passe Microsoft Entra localement pour Active Directory Domain Services.

• Agent de réécriture de mot de passe : la réécriture du mot de passe est une fonctionnalité qui est activée avec Microsoft Entra Connect et qui permet aux modifications de mot de passe dans le cloud d’être réécrites dans un annuaire local existant en temps réel. Pour plus d’informations sur cette fonctionnalité, consultez Comment fonctionne la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID.

• Connecteur de réseau privé Microsoft Entra : agents légers présents en local et qui facilitent la connexion sortante vers le service de proxy d’application. Pour plus d’informations, consultez Comprendre les connecteurs de réseau privé Microsoft Entra.

Composants de l’authentification basée sur le cloud

Dans le cadre d’un environnement Azure basé sur le cloud, les éléments suivants doivent avoir une base de référence et être inclus dans votre stratégie de supervision et de génération d’alertes.

• Proxy d’application Microsoft Entra : ce service cloud offre un accès à distance sécurisé pour les applications web locales. Pour plus d’informations, consultez Accès à distance aux applications locales via le service Proxy d’application Microsoft Entra.

• Microsoft Entra Connect : services utilisés pour une solution Microsoft Entra Connect. Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra Connect ?.

• Microsoft Entra Connect Health - Service Health fournit un tableau de bord personnalisable qui suit l’intégrité de vos services Azure dans les régions où vous les utilisez. Pour plus d’informations, consultez Microsoft Entra Connect Health.

• Microsoft Entra Multifactor Authentication - L’authentification multifacteur oblige l’utilisateur à fournir plusieurs formes de preuve d’authentification. Cette approche peut constituer une première étape proactive pour sécuriser votre environnement. Pour plus d’informations, consultez Authentification multifacteur Microsoft Entra.

• Groupes dynamiques - Configuration dynamique de l’appartenance aux groupes de sécurité pour Microsoft Entra Administrators. Les administrateurs peuvent définir des règles pour remplir les groupes créés dans Microsoft Entra ID en fonction des attributs utilisateur. Pour plus d’informations sur les groupes dynamiques, consultez Groupes dynamiques et Microsoft Entra B2B Collaboration.

• Accès conditionnel : l’accès conditionnel est l’outil utilisé par Microsoft Entra ID pour réunir des signaux, prendre des décisions et appliquer des stratégies d’organisation. L’accès conditionnel est au cœur du nouveau plan de contrôle basé sur les identités. Pour plus d’informations, consultez Qu’est-ce que l’accès conditionnel ?.

• Identity Protection - Outil qui permet aux organisations d’automatiser la détection et la correction des risques en fonction de l’identité, d’investiguer les risques à l’aide des données du portail et d’exporter les données de détection de risque vers votre SIEM. Pour plus d’informations, consultez Qu’est-ce qu’Identity Protection.

• Gestion des licences par groupe - Les licences peuvent être attribuées à des groupes plutôt que directement à des utilisateurs. Microsoft Entra ID stocke des informations sur les états d’affectation de licence pour les utilisateurs.

• Service de provisionnement - Le provisionnement correspond à la création d’identités et de rôles utilisateur dans les applications cloud auxquelles les utilisateurs ont besoin d’accéder. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Pour plus d’informations, consultez Fonctionnement de l’approvisionnement d’applications dans Microsoft Entra ID.

• API Graph - L’API Microsoft Graph est une API web RESTful qui vous permet d’accéder aux ressources des services cloud Microsoft. Une fois que vous avez inscrit votre application et obtenu les jetons d’authentification d’un utilisateur ou d’un service, vous pouvez adresser des demandes à l’API Microsoft Graph. Pour plus d’informations, consultez Présentation de Microsoft Graph.

• Service de domaine : Microsoft Entra Domain Services (AD DS) fournit des services de domaine managés, comme la jonction de domaine ou la stratégie de groupe. Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra Domain Services.

• Azure Resource Manager - Azure Resource Manager est le service de déploiement et de gestion d’Azure. Il fournit une couche de gestion qui vous permet de créer, de mettre à jour et de supprimer des ressources dans votre compte Azure. Pour plus d’informations, consultez Qu’est-ce qu’Azure Resource Manager.

• Identité managée - Les identités managées permettent aux développeurs de ne plus avoir à gérer les informations d’identification. Les identités gérées fournissent une identité que les applications peuvent utiliser lors de la connexion à des ressources prenant en charge l’authentification Microsoft Entra. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure.

• Privileged Identity Management - PIM est un service Microsoft Entra ID qui vous permet de gérer, contrôler et surveiller l'accès aux ressources importantes de votre organisation. Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra Privileged Identity Management.

• Révisions d’accès - Les révisions d’accès Microsoft Entra permettent aux organisations de gérer efficacement les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être révisé régulièrement pour vérifier que seules les personnes appropriées continuent de bénéficier d’un accès. Pour plus d’informations, consultez Qu’est-ce que les révisions d’accès Microsoft Entra.

• Gestion des droits d’utilisation - La gestion des droits d’utilisation Microsoft Entra est une fonctionnalité de gouvernance des identités. Les organisations peuvent gérer le cycle de vie des identités et des accès à grande échelle, en automatisant les workflows de demande d’accès, les attributions d’accès, les révisions et l’expiration. Pour plus d’informations, consultezQu’est-ce que la gestion des droits d’utilisation Microsoft Entra.

• Journaux d’activité - Le journal d’activité est un journal de plateforme Azure qui fournit des insights des événements au niveau de l’abonnement. Ce journal indique, par exemple, à quel moment une ressource a été modifiée ou à quel moment une machine virtuelle a été démarrée. Pour plus d’informations, consultez Journal d’activité Azure.

• Service de réinitialisation de mot de passe en libre-service - La réinitialisation de mot de passe en libre-service Microsoft Entra (SSPR) permet aux utilisateurs de changer ou de réinitialiser leur mot de passe. Ils n’ont pas besoin d’administrateur ni de support technique. Pour plus d’informations, découvrez le fonctionnement de ce processus : Réinitialisation de mot de passe en libre-service Microsoft Entra.

• Services d’appareils - La gestion des identités d’appareils est à la base de l’accès conditionnel basé sur les appareils. Avec les stratégies d’accès conditionnel basé sur les appareils, vous pouvez faire en sorte que l’accès aux ressources de votre environnement soit possible seulement avec des appareils managés. Pour plus d’informations, consultez Qu’est-ce qu’une identité d’appareil.

• Gestion de groupes en libre-service - Vous pouvez permettre aux utilisateurs de créer et gérer leurs propres groupes de sécurité ou des groupes Microsoft 365 dans Microsoft Entra ID. Le propriétaire du groupe peut approuver ou refuser des demandes d’appartenance, et peut déléguer le contrôle de l’appartenance au groupe. Les fonctionnalités de gestion de groupes en libre-service ne sont pas disponibles pour les groupes de sécurité activés pour la messagerie électronique ou les listes de distribution. Pour plus d’informations, consultez Configurer la gestion de groupes en libre-service dans Microsoft Entra ID.

• Détections de risques - Contient des informations sur les autres risques déclenchés quand un risque est détecté ainsi que d’autres informations pertinentes telles que le lieu de connexion et les détails de Microsoft Defender for Cloud Apps.

Étapes suivantes

Consultez les articles suivants sur les opérations de sécurité :

Opérations de sécurité pour les comptes d’utilisateur

Opérations de sécurité pour les comptes consommateur

Opérations de sécurité pour les comptes privilégiés

Opérations de sécurité pour Privileged Identity Management

Opérations de sécurité pour les applications

Opérations de sécurité pour les appareils

Opérations de sécurité pour l’infrastructure