Simuler les détections de risques dans Protection des ID Microsoft Entra
Les administrateurs peuvent chercher à simuler les risques que présente leur environnement afin d’accomplir les tâches suivantes :
- remplir les données de l’environnement de Protection des ID Microsoft Entra en simulant des détections de risques et des vulnérabilités ;
- définir des stratégies d’accès conditionnel en fonction des risques et tester l’effet de ces stratégies.
Cet article fournit les étapes à suivre pour simuler les types de détection de risques suivants :
- adresse IP anonyme (facile) ;
- propriétés de connexion inhabituelles (modéré) ;
- voyage atypique (difficile).
- Informations d’identification fuitées dans GitHub pour les identités de charge de travail (modéré)
Les autres détections de risques ne peuvent pas être simulées de manière sécurisée.
Pour plus d’informations sur chaque détection de risque, consultez l’article Qu’est-ce que le risque pour utilisateur et identité de charge de travail.
Adresse IP anonyme
L’exécution de la procédure ci-après requiert l’utilisation des éléments suivants :
- Navigateur Tor afin de simuler des adresses IP anonymes. Vous devrez peut-être utiliser un ordinateur virtuel si votre organisation restreint l’utilisation du navigateur Tor.
- Compte de test qui n’est pas encore inscrit pour l’authentification multifacteur Microsoft Entra.
Pour simuler une connexion depuis une adresse IP anonyme, procédez comme suit :
- Avec le navigateur Tor, accédez à https://myapps.microsoft.com.
- Entrez les informations d’identification du compte que vous souhaitez voir apparaître dans le rapport Connexions depuis des adresses IP anonymes.
La connexion s’affiche sur le rapport dans les 10 à 15 minutes.
Propriétés de connexion inhabituelles
Pour simuler des emplacements inconnus, vous devez utiliser un emplacement et un appareil que votre compte de test n’a encore jamais utilisés.
La procédure suivante utilise un élément nouvellement créé :
- connexion VPN pour simuler le nouvel emplacement ;
- ordinateur virtuel pour simuler un nouvel appareil.
L’exécution de la procédure ci-après requiert l’utilisation d’un compte d’utilisateur présentant :
- un historique de connexions d’au moins 30 jours ;
- une authentification multifacteur Microsoft Entra.
Pour simuler une connexion depuis un emplacement non connu, procédez comme suit :
- En utilisant votre nouveau VPN, accédez à https://myapps.microsoft.com et entrez les informations d’identification de votre compte de test.
- Lorsque vous vous connectez avec votre compte de test, échouez à l’authentification multifacteur en ne soumettant pas le test MFA.
La connexion s’affiche sur le rapport dans les 10 à 15 minutes.
Voyage atypique
La simulation de la condition de voyage atypique est difficile. L’algorithme utilise l’apprentissage automatique pour éliminer les faux positifs comme le voyage atypique sur des appareils connus, ou les connexions depuis des VPN utilisés par d’autres utilisateurs de l’annuaire. De plus, l’algorithme nécessite un historique de connexion de 14 jours ou de 10 connexions de l’utilisateur avant de pouvoir commencer la détection de risques. En raison de la complexité des modèles d’apprentissage automatique et des règles ci-dessus, il est possible que les étapes suivantes n’entraînent pas une détection de risque. Il peut être judicieux de répliquer ces étapes pour plusieurs comptes Microsoft Entra afin de simuler cette détection.
Pour simuler une détection de risque de voyage atypique, suivez les étapes ci-dessous :
- Avec votre navigateur standard, accédez à https://myapps.microsoft.com.
- Entrez les informations d’identification du compte pour lequel vous souhaitez générer une détection de risque de voyage atypique.
- Changez votre agent utilisateur. Vous pouvez changer l’agent utilisateur dans Microsoft Edge, dans Outils de développement (F12).
- Changez votre adresse IP. Vous pouvez changer votre adresse IP en utilisant un VPN, une extension Tor ou en créant un ordinateur virtuel au sein d’Azure dans un autre centre de données.
- Connectez-vous à https://myapps.microsoft.com à l’aide des mêmes informations d’identification que précédemment et quelques minutes seulement après la connexion précédente.
La connexion s’affiche sur le rapport dans 2 à 4 heures.
Informations d’identification fuitées pour les identités de charge de travail
Cette détection de risque indique que les identifiants valides de l’application ont fuité. Cette fuite peut se produire lorsque quelqu’un archive les informations d’identification dans un artefact de code public sur GitHub. Par conséquent, pour simuler cette détection, vous avez besoin d’un compte GitHub ; vous pouvez ouvrir un compte GitHub si vous n’en avez pas encore.
Simuler des informations d’identification fuitées dans GitHub pour les identités de charge de travail
Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de la sécurité.
Accédez à Identité>Applications>Inscriptions à l’application.
Sélectionnez Nouvelle inscription pour inscrire une nouvelle application ou réutiliser une application obsolète existante.
Sélectionnez Certificats et secrets>Nouveau secret client, ajoutez une description de votre secret client, puis définissez la date d’expiration du secret, ou spécifiez une durée de vie personnalisée, puis sélectionnez Ajouter. Enregistrez la valeur du secret pour une utilisation ultérieure pour votre commit GitHub.
Remarque
Vous ne pourrez plus récupérer le secret après avoir quitté cette page.
Obtenez le TenantID et l’Application(Client)ID à la page Vue d’ensemble.
Veillez à désactiver l’application via Identité>Applications>Application d’entreprise>Propriétés>Définissez Activé pour que les utilisateurs se connectent sur Non.
Créez un référentiel GitHub public, ajoutez la configuration suivante et validez la modification sous la forme d’un fichier ayant l’extension .TXT.
"AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357", "AadSecret": "p3n7Q~XXXX", "AadTenantDomain": "XXXX.onmicrosoft.com", "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",Environ huit heures plus tard, vous détecterez une fuite de données d’identification sous Protection>Protection d’identité>Détection de risque>Détections d’identités de charge de travail, et les informations supplémentaires disposerons de l’URL de votre commit GitHub.
Tester des stratégies de risque
Cette section décrit les étapes à suivre pour tester les stratégies d’utilisateur et de connexion à risque créées dans l’article Guide pratique : Configurer et activer des stratégies de risque.
Stratégie d’utilisateur à risque
Pour tester une stratégie de sécurité d’utilisateur à risque, suivez les étapes ci-dessous :
- Configurez une stratégie d’utilisateur à risque ciblant les utilisateurs avec lesquels vous envisagez de réaliser le test.
- Élevez le risque utilisateur d’un compte de test, par exemple, en simulant à plusieurs reprises l’une des détections de risques.
- Patientez quelques minutes, puis vérifiez que le niveau de risque de votre utilisateur a augmenté. Dans le cas contraire, simulez d’autres détections de risques pour l’utilisateur.
- Revenez à votre stratégie de risque, définissez Appliquer la stratégie sur Activé et cliquez sur Enregistrer pour enregistrer votre changement de stratégie.
- Vous pouvez désormais tester l’accès conditionnel basé sur le risque utilisateur en vous connectant à l’aide d’un compte utilisateur présentant un niveau de risque élevé.
Stratégie de sécurité de connexion à risque
Pour tester une stratégie de connexion à risque, suivez les étapes ci-dessous :
- Configurez une stratégie de connexion à risque ciblant les utilisateurs avec lesquels vous envisagez de réaliser le test.
- Vous pouvez désormais tester l’accès conditionnel basé sur les risques de connexion en vous connectant à l’aide d’une session à risque (par exemple, au moyen du navigateur Tor).