Opérations de sécurité pour les comptes privilégiés dans Microsoft Entra ID
La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Les pirates informatiques dérobent des informations d’identification et utilisent d’autres méthodes pour cibler les comptes privilégiés et accéder aux données sensibles.
En général, la sécurité d’une organisation repose sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, l’utilisation des applications SaaS (Software as a Service) et des appareils personnels sur Internet ont rendu cette approche moins efficace.
Microsoft Entra ID utilise la gestion des identités et des accès (IAM) comme plan de contrôle. Dans la couche d’identité de votre organisation, les utilisateurs affectés aux rôles administratifs privilégiés ont le contrôle. Les comptes utilisés pour l’accès doivent être protégés, que l’environnement soit local, dans le cloud ou dans un environnement hybride.
Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services Azure, Microsoft, en tant que fournisseur de services cloud, et vous, en tant que client, sont co-responsables de la prévention et de la réponse aux problèmes.
- Pour plus d’informations sur le modèle de responsabilité partagée, consultez Responsabilité partagée dans le cloud.
- Pour plus d’informations sur la sécurisation de l’accès pour les utilisateurs privilégiés, consultez Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.
- Pour bénéficier d’un large éventail de vidéos, de guides pratiques et de contenu sur les concepts clés de l’identité privilégiée, consultez la Documentation Privileged Identity Management.
Fichiers journaux à surveiller
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs méthodes d’intégration des journaux Microsoft Entra à d’autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :
Microsoft Sentinel. Permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).
Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma correspondant à nos critères de recherche recommandés, nous avons ajouté un lien vers le référentiel Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.
Azure Monitor. Permet de créer des alertes et surveillances automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs intégré à un système SIEM. Permet la transmission des journaux Microsoft Entra vers d’autres systèmes SIEM, comme Splunk, ArcSight, QRadar et Sumo Logic, via l’intégration d’Azure Event Hubs. Pour plus d’informations, consultez Diffuser les journaux Microsoft Entra vers un hub d’événements Azure.
Microsoft Defender for Cloud Apps. Permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.
Microsoft Graph. Vous permet d’exporter des données et d’utiliser Microsoft Graph pour effectuer d’autres analyses. Pour plus d’informations, consultez SDK Microsoft Graph PowerShell et Protection des ID Microsoft Entra.
Protection des ID Microsoft Entra. Génère trois rapports clés que vous pouvez utiliser dans le cadre de votre examen :
Utilisateurs à risque. Contient des informations sur les utilisateurs à risque, des détails sur les détections, l’historique de toutes les connexions à risque, ainsi que l’historique des risques.
Connexions à risque. Contient des informations concernant une connexion potentiellement suspecte. Pour en savoir plus sur l’examen des informations de ce rapport, consultez Examiner les risques.
Détections de risques. Contient des informations sur les autres risques déclenchés lorsqu’un risque est détecté et d’autres informations pertinentes, comme l’emplacement de connexion et les détails de Microsoft Defender for Cloud Apps.
Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra. À utiliser pour détecter les risques sur les identités de charge de travail entre le comportement des connexions et les indicateurs hors connexion de compromission.
Bien que cette pratique soit déconseillée, les comptes privilégiés peuvent bénéficier de droits d’administration permanents. Si vous choisissez d’utiliser des privilèges permanents et que le compte est compromis, les conséquences peuvent être très négatives. Nous vous recommandons de classer par ordre de priorité les comptes privilégiés de surveillance et d’inclure les comptes dans votre configuration Privileged Identity Management (PIM). Pour plus d’informations sur PIM, consultez Commencer à utiliser Privileged Identity Management. De plus, nous vous recommandons de valider que les comptes administrateur :
- Sont requis.
- Disposent des privilèges minimum pour exécuter les activités requises.
- Sont protégées au minimum par l’authentification multifacteur.
- Sont exécutés à partir de stations de travail à accès privilégié (PAW) ou de stations de travail d’administration sécurisée (SAW).
La suite du présent article décrit ce que nous vous recommandons de surveiller et sur quoi déclencher des alertes. L’article est organisé selon le type de menace. Lorsqu’il existe des solutions prédéfinies spécifiques, nous y renvoyons à la suite du tableau. Dans le cas contraire, vous pouvez créer des alertes à l’aide des outils décrits plus haut.
Le présent article fournit des détails sur la définition de bases de référence, ainsi que sur l’audit de la connexion et de l’utilisation des comptes privilégiés. Il aborde également les outils et les ressources que vous pouvez utiliser pour préserver l’intégrité de vos comptes privilégiés. Le contenu est organisé autour des sujets suivants :
- Comptes « de secours » d’urgence
- Connexion à un compte privilégié
- Modifications des comptes privilégiés
- Groupes privilégiés
- Attribution et élévation de privilèges
Comptes d’accès d’urgence
Il est important que vous empêchiez le verrouillage accidentel de votre locataire Microsoft Entra.
Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode Cloud uniquement, auxquels le rôle d’Administrateur général est attribué de manière permanente. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités aux scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les autres administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.
Envoyez une alerte haute priorité chaque fois qu’un compte d’accès d’urgence est utilisé.
Découverte
Étant donné que les comptes de secours sont utilisés uniquement en cas de situation d’urgence, votre surveillance ne doit pas révéler d’activité sur le compte. Envoyez une alerte haute priorité chaque fois qu’un compte d’accès d’urgence est utilisé ou modifié. L’un des événements suivants peut indiquer qu’un acteur malveillant tente de compromettre vos environnements :
- Connexion.
- Modification du mot de passe du compte.
- Modification des rôles ou de l’autorisation du compte.
- Ajout ou modification des identifiants ou de la méthode d’authentification.
Pour plus d’informations sur la gestion des comptes d’accès d’urgence, consultez Gérer les comptes d’administration de l’accès d’urgence dans Microsoft Entra ID. Pour plus d’informations sur la création d’une alerte pour un compte d’accès d’urgence, consultez Créer une règle d’alerte.
Connexion à un compte privilégié
Surveillez l’activité de connexion de tous les comptes privilégiés en utilisant les journaux de connexion Microsoft Entra comme source de données. Outre les informations relatives à la réussite et à l’échec de connexion, les journaux contiennent les informations suivantes :
- Interruptions
- Appareil
- Emplacement
- Risque
- Application
- Date et heure
- Le compte est-il désactivé ?
- Verrouillé
- Fraude MFA
- Échec d’accès conditionnel
Éléments à surveiller
Vous pouvez surveiller les événements de connexion à un compte privilégié dans les journaux de connexion Microsoft Entra. Signalez et examinez les événements suivants pour les comptes privilégiés.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/sous-filtre | Remarque |
|---|---|---|---|---|
| Échec de connexion, seuil de mot de passe incorrect | Élevé | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 50126 |
Définissez un seuil de base de référence, puis surveillez et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes. Modèle Microsoft Sentinel Règles Sigma |
| Échec en raison des exigences de l’accès conditionnel | Élevé | Journal de connexion Microsoft Entra | État = échec -et- code d’erreur = 53003 -et- Motif de l’échec = Bloqué par l’accès conditionnel |
Cet événement peut indiquer qu’un attaquant tente d’accéder au compte. Modèle Microsoft Sentinel Règles Sigma |
| Comptes privilégiés qui ne suivent pas la stratégie de nommage | Abonnement Azure | Répertorier les attributions de rôle Azure à l’aide du portail Azure | Répertoriez les attributions de rôles pour les abonnements et envoyez des alertes lorsque le nom de connexion ne correspond pas au format de votre organisation. Par exemple, l’utilisation de ADM_ comme préfixe. | |
| Interruption | Élevé, moyen | Connexions Microsoft Entra | État = Interrompu -et- code d’erreur = 50074 -et- Motif de l’échec = Authentification forte requise État = Interrompu -et- Code d’erreur = 500121 Motif de l’échec = Échec de l’authentification lors d’une demande d’authentification forte |
Cet événement peut indiquer qu’un attaquant a le mot de passe du compte, mais qu’il ne peut pas réussir le test Multi-Factor Authentication. Modèle Microsoft Sentinel Règles Sigma |
| Comptes privilégiés qui ne suivent pas la stratégie de nommage | Élevé | Annuaire Microsoft Entra | Répertorier les attributions de rôles Microsoft Entra | Répertoriez les attributions de rôles Microsoft Entra et envoyez une alerte quand l’UPN ne correspond pas au format de votre organisation. Par exemple, l’utilisation de ADM_ comme préfixe. |
| Découvrez les comptes privilégiés non inscrits à Multi-Factor Authentication | Élevé | API Microsoft Graph | Exécutez la requête IsMFARegistered = false pour les comptes administrateur. Répertorier credentialUserRegistrationDetails : Microsoft Graph version bêta | Auditez l’événement et vérifiez s’il est intentionnel ou s’il s’agit d’une omission. |
| Verrouillage de compte | Élevé | Journal de connexion Microsoft Entra | État = échec -et- code d’erreur = 50053 |
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes. Modèle Microsoft Sentinel Règles Sigma |
| Compte désactivé ou bloqué pour les connexions | Faible | Journal de connexion Microsoft Entra | État = échec -et- Cible = UPN de l’utilisateur -et- Code d’erreur = 50057 |
Cet événement peut indiquer que quelqu’un tente d’accéder à un compte une fois qu’il a quitté l’organisation. Même si le compte est bloqué, il est important d’enregistrer et de signaler cette activité. Modèle Microsoft Sentinel Règles Sigma |
| Blocage ou alerte de fraude MFA | Élevé | Journal de connexion Microsoft Entra/analytique des journaux d’activité Azure | Connexions>Détails de l’authentification Détails du résultat = MFA refusé, code de fraude entré | L’utilisateur privilégié a indiqué qu’il n’a pas lancé d’invite Multi-Factor Authentication, ce qui peut indiquer qu’un pirate a le mot de passe du compte. Modèle Microsoft Sentinel Règles Sigma |
| Blocage ou alerte de fraude MFA | Élevé | Journal d’audit Microsoft Entra/analytique des journaux d’activité Azure | Type d’activité = Fraude signalée – L’utilisateur ne peut pas utiliser MFA ou fraude signalée – Aucune action entreprise (selon les paramètres au niveau du locataire pour le rapport de fraude) | L’utilisateur privilégié a indiqué qu’il n’a pas lancé d’invite Multi-Factor Authentication, ce qui peut indiquer qu’un pirate a le mot de passe du compte. Modèle Microsoft Sentinel Règles Sigma |
| Connexions à des comptes privilégiés en dehors des contrôles attendus | Journal de connexion Microsoft Entra | État = échec UserPricipalName = <Compte d’administrateur> Emplacement = <emplacement non approuvé> Adresse IP = <adresse IP non approuvée> Informations sur l’appareil = <navigateur non approuvé, système d’exploitation> |
Surveillez et signalez toute entrée que vous avez définie comme non approuvée. Modèle Microsoft Sentinel Règles Sigma |
|
| En dehors des heures de connexion normales | Élevé | Journal de connexion Microsoft Entra | État = réussite -et- Emplacement = -et- Heure = En dehors des heures de travail |
Surveillez et signalez les connexions qui se produisent en dehors des périodes attendues. Il est important de trouver le modèle de travail normal pour chaque compte privilégié et de signaler les modifications non planifiées en dehors des périodes de travail normales. Les connexions en dehors des heures de travail normales peuvent indiquer une compromission ou d’éventuelles menaces internes. Modèle Microsoft Sentinel Règles Sigma |
| Risques lié à la protection des ID Microsoft Entra | Élevé | Journaux de protection des ID | État du risque = À risque -et- Niveau de risque = Faible, moyen, élevé -et- Activité = Connexion/TOR inhabituel, etc. |
Cet événement indique qu’il existe une anomalie détectée avec la connexion pour le compte et que vous devez recevoir une alerte à ce sujet. |
| Modification de mot de passe | Élevé | Journaux d’audit Microsoft Entra | Acteur de l’activité = Administrateur/libre-service -et- Cible = Utilisateur -et- État = Réussite ou échec |
Alertez en cas de changement d’un mot de passe de compte administrateur. Écrivez une requête pour les comptes privilégiés. Modèle Microsoft Sentinel Règles Sigma |
| Modifiez le protocole d’authentification hérité | Élevé | Journal de connexion Microsoft Entra | Application cliente = Autre client, IMAP, POP3, MAPI, SMTP, etc. -et- Nom d’utilisateur = UPN -et- Application = Exchange (exemple) |
De nombreuses attaques utilisent l’authentification héritée. Par conséquent, s’il y a une modification dans le protocole d’authentification pour l’utilisateur, cela peut indiquer une attaque. Modèle Microsoft Sentinel Règles Sigma |
| Nouvel appareil ou emplacement | Élevé | Journal de connexion Microsoft Entra | Informations sur l’appareil = ID de l’appareil -et- Navigateur -et- Système d’exploitation -et- Conforme/géré -et- Cible = Utilisateur -et- emplacement |
La plupart des activités d’administration devraient être effectuées à partir d’appareils à accès privilégié, répartis sur un nombre limité de sites. Pour cette raison, signalez les nouveaux appareils ou emplacements. Modèle Microsoft Sentinel Règles Sigma |
| Le paramètre d’alerte d’audit est modifié | Élevé | Journaux d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Activité = Désactiver l’alerte PIM -et- État = réussite |
Les modifications apportées à une alerte principale doivent être signalées si elles sont inattendues. Modèle Microsoft Sentinel Règles Sigma |
| Administrateurs s’authentifiant auprès d’autres locataires Microsoft Entra | Moyen | Journal de connexion Microsoft Entra | État = réussite ID de locataire de ressource != ID de locataire d’accueil |
Lorsqu’il s’agit d’utilisateurs privilégiés, ce moniteur détecte si un administrateur s’est authentifié avec succès auprès d’un autre locataire de Microsoft Entra avec une identité dans le locataire de votre organisation. Alerter si l’ID de locataire de ressource n’est pas égal à l’ID de locataire d’accueil Modèle Microsoft Sentinel Règles Sigma |
| L’utilisateur administrateur est passé du statut d’invité à celui de membre | Moyen | Journaux d’audit Microsoft Entra | Activité : Mise à jour utilisateur Catégorie : UserManagement UserType modifié d’invité à membre |
Surveiller et alerter en cas de changement de type d’utilisateur (d’invité à membre). Ce changement était-il prévu ? Modèle Microsoft Sentinel Règles Sigma |
| Utilisateurs invités à un locataire par des inviteurs non approuvés | Moyen | Journaux d’audit Microsoft Entra | Activité : inviter un utilisateur externe Catégorie : UserManagement Lancé par (intervenant) : Nom d’utilisateur principal |
Surveiller et alerter si des acteurs non approuvés invitent des utilisateurs externes. Modèle Microsoft Sentinel Règles Sigma |
Modifications par des comptes privilégiés
Surveillez toutes les modifications effectuées toutes les tentatives de modification par un compte privilégié. Ces données vous permettent de déterminer ce qui constitue une activité normale pour chaque compte privilégié et de signaler les activités qui s’écartent de ce qui est prévu. Les journaux d’audit Microsoft Entra sont utilisés pour enregistrer ce type d’événement. Pour plus d’informations sur les journaux d’audit Microsoft Entra, consultez Journaux d’audit dans Microsoft Entra ID.
Microsoft Entra Domain Services
Les comptes privilégiés auxquels des autorisations ont été attribuées dans Microsoft Entra Domain Services peuvent effectuer des tâches pour Microsoft Entra Domain Services qui affectent l’état de la sécurité de vos machines virtuelles hébergées par Azure qui utilisent Microsoft Entra Domain Services. Activez les audits de sécurité sur les machines virtuelles et surveillez les journaux d’activité. Pour plus d’informations sur l’activation des audits Microsoft Entra Domain Services et pour obtenir la liste des privilèges sensibles, consultez les ressources suivantes :
- Activer les audits de sécurité pour Microsoft Entra Domain Services
- Auditer l’utilisation de privilèges sensibles
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/sous-filtre | Remarque |
|---|---|---|---|---|
| Modifications essayées et effectuées | Élevé | Journaux d’audit Microsoft Entra | Date et heure -et- Service -et- Catégorie et nom de l’activité (laquelle) -et- État = Réussite ou échec -et- Cible -et- Initiateur ou acteur (qui) |
Toute modification non planifiée doit être signalée immédiatement. Ces journaux d’activité doivent être conservés pour faciliter l’examen. Toutes les modifications apportées au niveau du locataire doivent être examinées immédiatement (lien vers la documentation Infra) pour réduire l’état de la sécurité de votre locataire. L’exclusion de comptes de l’authentification multifacteur ou de l’accès conditionnel en est un exemple. Signalez les ajouts ou modifications apportés à des applications. Consultez Guide des opérations de sécurité Microsoft Entra pour les applications. |
| Exemple Tentative de modification ou modification effectuée sur des applications ou des services à valeur élevée |
Élevé | Journal d’audit | Service -et- Catégorie et nom de l’activité |
Date et heure, service, catégorie et nom de l’activité, État = Réussite ou échec, cible, initiateur ou acteur (qui) |
| Modifications privilégiées dans Microsoft Entra Domain Services | Élevé | Microsoft Entra Domain Services | Rechercher l’événement 4673 | Activer les audits de sécurité pour Microsoft Entra Domain Services Pour obtenir la liste de tous les événements privilégiés, consultez Auditer l’utilisation de privilèges sensibles. |
Modifications apportées aux comptes privilégiés
Examinez les modifications apportées aux règles d’authentification et aux privilèges des comptes privilégiés pour savoir si elles permettent d’accroître les privilèges ou la capacité d’effectuer des tâches dans votre environnement Microsoft Entra.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/sous-filtre | Remarque |
|---|---|---|---|---|
| Création d’un compte privilégié | Moyen | Journaux d’audit Microsoft Entra | Service = annuaire principal -et- Catégorie = Gestion des utilisateurs -et- Type d’activité = Ajouter un utilisateur -corrélation avec- Type de catégorie = Gestion des rôles -et- Type d’activité = Ajout un membre au rôle -et- Propriétés modifiées = Role.DisplayName |
Surveillez la création de comptes privilégiés. Recherchez la corrélation sur un bref intervalle de temps entre la création et la suppression de comptes. Modèle Microsoft Sentinel Règles Sigma |
| Modifications apportées aux méthodes d’authentification | Élevé | Journaux d’audit Microsoft Entra | Service = méthode d’authentification -et- Type d’activité = Informations de sécurité inscrites par l’utilisateur -et- Catégorie = Gestion des utilisateurs |
Cette modification peut indiquer qu’un attaquant ajoute une méthode d’authentification au compte afin d’obtenir un accès continu. Modèle Microsoft Sentinel Règles Sigma |
| Signalez les modifications apportées aux autorisations de compte privilégié | Élevé | Journaux d’audit Microsoft Entra | Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre éligible (permanent) -ou- Type d’activité = Ajouter un membre éligible (éligible) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Cette alerte concerne en particulier les comptes auxquels les rôles attribués sont inconnus ou en dehors de leurs responsabilités normales. Règles Sigma |
| Comptes privilégiés inutilisés | Moyen | Révision d’accès à Microsoft Entra | Procédez à un examen mensuel des comptes d’utilisateurs privilégiés inactifs. Règles Sigma |
|
| Comptes exemptés de l’accès conditionnel | Élevé | Journaux d’activité Azure Monitor -ou- Révisions d’accès |
Accès conditionnel = Insights et rapports | Tout compte exempté de l’accès conditionnel contourne probablement les contrôles de sécurité et est plus vulnérable à la compromission. Les comptes de secours sont exemptés. Consultez les informations sur la façon de surveiller les comptes de secours plus loin dans cet article. |
| Ajout d’un passe d’accès temporaire à un compte privilégié | Élevé | Journaux d’audit Microsoft Entra | Activité : Informations de sécurité inscrites par l’administrateur Raison de l’état : Méthode de passe d’accès temporaire inscrite par l’administrateur pour l’utilisateur Catégorie : UserManagement Lancé par (intervenant) : Nom d’utilisateur principal Cible : Nom d’utilisateur principal |
Surveiller et alerter en cas de passe d’accès temporaire créée destinée à un utilisateur privilégié. Modèle Microsoft Sentinel Règles Sigma |
Pour plus d’informations sur la surveillance des exceptions pour les stratégies d’accès conditionnel, consultez Insights et rapports sur l’accès conditionnel.
Pour plus d’informations sur la découverte des comptes privilégiés inutilisés, consultez Créer une révision d’accès des rôles Microsoft Entra dans Privileged Identity Management.
Attribution et élévation
Le fait de disposer de comptes privilégiés configurés en continu avec des capacités élevées peut augmenter la surface d’attaque et les risques liés à votre périmètre de sécurité. Préférez à cela un accès juste-à-temps au moyen d’une procédure d’élévation. Ce type de système vous permet d’attribuer des droits aux rôles privilégiés. Les administrateurs élèvent leurs privilèges sur ces rôles uniquement lorsqu’ils effectuent des tâches qui en ont besoin. L’utilisation d’un processus d’élévation vous permet de surveiller les élévations et la non-utilisation de comptes privilégiés.
Établir une base de référence
Pour surveiller les exceptions, vous devez d’abord créer une base de référence. Identifier les informations suivantes pour ces éléments
Comptes administrateur
- Votre stratégie de compte privilégié
- Utilisation de comptes locaux pour gérer des ressources locales
- Utilisation de comptes informatiques pour gérer des ressources informatiques
- Approche de la séparation et de la surveillance des autorisations administratives pour les ressources locales et informatiques
Protection des rôles privilégiés
- Stratégie de protection pour les rôles dotés de privilèges administratifs
- Directive organisationnelle en matière d’utilisation des comptes à privilèges
- Stratégie et principes pour le maintien de privilèges permanents ou l’octroi d’un accès approuvé et limité dans le temps
Les concepts et les informations suivants permettent de déterminer les stratégies :
- Principes d’administration juste-à-temps. Utilisez les journaux Microsoft Entra pour capturer des informations sur l’exécution de tâches d’administration communes à votre environnement. Déterminez le temps d’exécution habituel des tâches.
- Principes d’administration juste-assez. Déterminez le rôle avec le moins de privilèges, qui peut être un rôle personnalisé, nécessaire pour les tâches d’administration. Pour plus d’informations, consultez Rôles les moins privilégiés par tâche dans Microsoft Entra ID.
- Mise en place d’une stratégie d’élévation. Après avoir obtenu des insights du type de privilège élevé requis et de la durée nécessaire pour chaque tâche, créez des stratégies qui reflètent l’utilisation de privilèges élevés pour votre environnement. Définissez par exemple une stratégie pour limiter l’élévation de rôle à une heure.
Après avoir établi votre base de référence et défini la stratégie, vous pouvez configurer la surveillance pour détecter et signaler toute utilisation en dehors de la stratégie.
Découverte
Prêtez une attention particulière aux modifications apportées à l’attribution et à l’élévation de privilège.
Éléments à surveiller
Vous pouvez surveiller les modifications de comptes privilégiés à l’aide de journaux d’audit Microsoft Entra et de journaux d’activité Azure Monitor. Incluez les modifications suivantes dans votre processus de surveillance.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/sous-filtre | Remarque |
|---|---|---|---|---|
| Ajouté au rôle privilégié éligible | Élevé | Journaux d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre au rôle terminé (éligible) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Tout compte éligible à un rôle reçoit maintenant un accès privilégié. Si l’attribution est inattendue ou est appliquée à un rôle qui n’est pas la responsabilité du titulaire du compte, étudiez le problème. Modèle Microsoft Sentinel Règles Sigma |
| Rôles attribués hors PIM | Élevé | Journaux d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre au rôle (permanent) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Ces rôles doivent être étroitement surveillés et signalés. Les utilisateurs ne doivent pas se voir attribuer des rôles en dehors de PIM dans la mesure du possible. Modèle Microsoft Sentinel Règles Sigma |
| Élévations | Moyen | Journaux d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre au rôle terminé (activation PIM) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Une fois qu’un compte privilégié a été élevé, il peut désormais apporter des modifications susceptibles d’affecter la sécurité de votre locataire. Toutes les élévations doivent être journalisées. Si elles se produisent en dehors du modèle standard de cet utilisateur,, elles doivent être signalées et examinées si elles ne sont pas planifiées. |
| Approbations et refus des demandes d’élévation | Faible | Journaux d’audit Microsoft Entra | Service = Révision d’accès -et- Catégorie = UserManagement -et- Type d’activité = Demande approuvée ou refusée -et- Initié par (acteur) = UPN |
Surveillez toutes les élévations, car cela peut vous donner une indication claire de la chronologie d’une attaque. Modèle Microsoft Sentinel Règles Sigma |
| Modifications apportées aux paramètres PIM | Élevé | Journaux d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Mise à jour du paramètre de rôle dans PIM -et- Raison du statut = Authentification multifacteur à l’activation désactivée (exemple) |
L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié. Modèle Microsoft Sentinel Règles Sigma |
| L’élévation ne se produit pas sur SAW/PAW | Élevé | Journaux de connexion Microsoft Entra | ID de l’appareil -et- Navigateur -et- Système d’exploitation -et- Conforme/géré Corrélation avec : Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre au rôle terminé (activation PIM) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Si cette modification est configurée, toute tentative d’élévation sur un appareil non PAW/SAW doit être examinée immédiatement, car elle pourrait indiquer qu’un pirate tente d’utiliser le compte. Règles Sigma |
| Élévation pour gérer tous les abonnements Azure | Élevé | Azure Monitor | Onglet Journal d’activité Onglet Activité de l’annuaire Nom de l’opération = Affecte l’appelant au rôle Administrateur de l’accès utilisateur -et- Catégorie d’événement = Administration -et- État = Réussite, démarrage, échec -et- Événement initié par |
Cette modification doit être examinée immédiatement si elle n’est pas planifiée. Ce paramètre peut permettre à un pirate d’accéder aux abonnements Azure de votre environnement. |
Pour plus d’informations sur la gestion de l’élévation de privilège, consultez Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure. Pour plus d’informations sur la surveillance des élévations de privilèges à l’aide des informations disponibles dans les journaux Microsoft Entra, consultez la section Journal d’activité Azure de la documentation Azure Monitor.
Pour plus d’informations sur la configuration d’alertes pour les rôles Azure, consultez Configurer des alertes de sécurité pour les rôles de ressources Azure dans Privileged Identity Management.
Étapes suivantes
Consultez les articles suivants sur les opérations de sécurité :
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes de consommateur
Opérations de sécurité pour Privileged Identity Management
Opérations de sécurité pour les applications