Opérations de sécurité pour l’infrastructure
L’infrastructure a de nombreux composants dans lesquels des vulnérabilités peuvent se produire si elles ne sont pas correctement configurées. Dans le cadre de votre stratégie de surveillance et d’alerte pour les événements d’infrastructure, de surveillance et d’alerte dans les domaines suivants :
Authentification et autorisation
Composants inclus de l’authentification hybride Serveurs de fédération
Stratégies
Abonnements
La surveillance et la génération d’alertes pour les composants de votre infrastructure d’authentification sont critiques. Toute compromission peut entraîner une compromission complète de l’ensemble de l’environnement. De nombreuses entreprises qui utilisent Microsoft Entra ID opèrent dans un environnement d'authentification hybride. Les composants cloud et locaux doivent être inclus dans votre stratégie de monitoring et d’alerte. Le fait de disposer d’un environnement d’authentification hybride introduit également un autre vecteur d’attaque pour votre environnement.
Nous recommandons que tous les composants soient considérés comme des ressources de plan de contrôle/de niveau 0 ainsi que les comptes utilisés pour les gérer. Reportez-vous à la section Sécurisation des biens privilégiés (SPA) pour obtenir des conseils sur la conception et la mise en œuvre de votre environnement. Ce guide comprend des recommandations pour chacun des composants d’authentification hybride qui pourraient potentiellement être utilisés pour un locataire Microsoft Entra.
La première étape pour pouvoir détecter les événements inattendus et les attaques potentielles consiste à établir une ligne de base. Pour tous les composants locaux énumérés dans cet article, consultez Déploiement de l'accès privilégié, qui fait partie du guide sécurisation des ressources privilégiées (SPA).
Emplacement des fichiers
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs façons d’intégrer les journaux Microsoft Entra à d’autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :
Microsoft Sentinel - Active l’analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités SIEM (Gestion des informations et des événements de sécurité).
Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.
Azure Monitor - Permet de mettre en place des alertes et un monitoring automatisés répondant à diverses situations. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs intégré à un SIEM : les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.
Microsoft Defender for Cloud Apps - Vous permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.
Sécurisation des identités de charge de travail avec Identity Protection Preview : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.
Le reste de cet article décrit quoi superviser et sur quoi déclencher des alertes. Il est organisé par type de menace. Quand il existe des solutions prédéfinies, vous trouverez des liens vers ces dernières, après le tableau. Sinon, vous pouvez créer des alertes à l’aide des outils précédents.
Infrastructure d’authentification
Dans les environnements hybrides qui contiennent des comptes et des ressources basés sur le Cloud et locaux, l’infrastructure Active Directory est un élément clé de la pile d’authentification. La pile est également une cible pour les attaques, et doit être configurée pour maintenir un environnement sécurisé et doit être analysée correctement. Des exemples de types actuels d’attaques utilisées sur votre infrastructure d’authentification utilisent des techniques de pulvérisation de mot de passe et de Solorigate. Vous trouverez ci-dessous des liens vers des articles que nous recommandons :
Présentation de la sécurisation de l’accès privilégié : cet article fournit une vue d’ensemble des techniques actuelles à l’aide de techniques de confiance nulle pour créer et maintenir un accès privilégié sécurisé.
Activités de domaine surveillées par Microsoft Defender pour Identity : cet article fournit une liste complète des activités pour surveiller et définir des alertes pour.
Didacticiel sur les alertes de sécurité Microsoft Defender pour Identity : cet article fournit des conseils sur la création et l’implémentation d’une stratégie d’alerte de sécurité.
Vous trouverez ci-dessous des liens vers des articles spécifiques qui se concentrent sur la surveillance et l’alerte de votre infrastructure d’authentification :
Comprendre et utiliser les chemins de mouvement latéral avec Microsoft Defender pour Identity - Techniques de détection permettant d’identifier les cas où des comptes non sensibles sont utilisés pour accéder à des comptes réseau sensibles.
Utilisation des alertes de sécurité dans Microsoft Defender pour Identity - Cet article explique comment passer en revue et gérer les alertes, une fois qu’elles ont été journalisées.
Les éléments suivants sont spécifiques à Rechercher :
| Éléments à analyser | Niveau de risque | Where | Notes |
|---|---|---|---|
| Tendances de verrouillage extranet | Élevée | Santé de Microsoft Entra Connect | Consultez Surveiller AD FS à l’aide de Microsoft Entra Connect Health pour obtenir des outils et des techniques permettant de détecter les tendances de verrouillage de l’extranet. |
| Connexions ayant échoué | Élevé | Connecter Health Portal | Exportez ou téléchargez le rapport Risky IP et suivez les conseils donnés dans le rapport Risky IP (aperçu public) pour les prochaines étapes. |
| Conformité aux réglementations relatives à la confidentialité | Faible | Santé de Microsoft Entra Connect | Configurez Microsoft Entra Connect Health pour désactiver la collecte et la surveillance des données à l’aide de l’article Confidentialité des utilisateurs et Microsoft Entra Connect Health. |
| Attaque par force brute potentielle sur LDAP | Moyenne | Microsoft Defender pour Identity | Utilisez le capteur pour détecter les attaques par force brute potentielles contre LDAP. |
| Reconnaissance d’énumération de compte | Moyenne | Microsoft Defender pour Identity | Utilisez le capteur pour faciliter la reconnaissance de l’énumération des comptes. |
| Corrélation générale entre Microsoft Entra ID et Azure AD FS | Moyenne | Microsoft Defender pour Identity | Utilisez des fonctionnalités pour corréler les activités entre vos environnements Microsoft Entra ID et Azure AD FS. |
Surveillance d’authentification directe
L'authentification directe Microsoft Entra connecte les utilisateurs en validant leurs mots de passe directement par rapport à Active Directory sur site.
Les éléments suivants sont spécifiques à Rechercher :
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Erreurs d'authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Impossible de se connecter à Active Directory | Assurez-vous que les serveurs des agents sont membres de la même forêt Active Directory que les utilisateurs dont les mots de passe doivent être validés, et qu’ils peuvent se connecter à Active Directory. |
| Erreurs d'authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - Délai d’attente dépassé lors de la connexion à Active Directory | Vérifiez qu’Active Directory est disponible et répond aux demandes des agents. |
| Erreurs d'authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - Le nom d’utilisateur envoyé à l’agent n’était pas valide | Vérifiez que l’utilisateur tente de se connecter avec le nom d’utilisateur correct. |
| Erreurs d'authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - La validation a rencontré une WebException imprévisible | Erreur temporaire. Relancez la requête. Si l’erreur se reproduit, contactez le Support Microsoft. |
| Erreurs d'authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Une erreur s’est produite lors de la communication avec Active Directory | Consultez les journaux d’activité de l’agent pour plus d’informations, et vérifiez qu’Active Directory fonctionne comme prévu. |
| Erreurs d'authentification directe Microsoft Entra | Élevée | API de fonction Win32 LogonUserA | Événements de connexion 4624(s) : un compte a été correctement connecté -corrélation avec – 4625(F) : Échec de connexion d’un compte |
Utilisez avec les noms d’utilisateur suspects sur le contrôleur de domaine qui authentifie les demandes. Aide sur fonction LogonUserA (winbase.h) |
| Erreurs d'authentification directe Microsoft Entra | Moyenne | Script PowerShell du contrôleur de domaine | Consultez la requête après le tableau. | Utilisez les informations sur Microsoft Entra Connect : Dépanner l’authentification directepour obtenir des conseils. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Surveillance de la création de nouveaux locataires Microsoft Entra
Les organisations peuvent avoir besoin de surveiller et d'alerter sur la création de nouveaux locataires Microsoft Entra lorsque l'action est initiée par les identités de leur locataire organisationnel. Le monitoring, dans ce scénario, fournit une visibilité du nombre de locataires créés et accessibles aux utilisateurs finaux.
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Création d'un nouveau locataire Microsoft Entra, en utilisant une identité de votre locataire. | Moyenne | Journaux d'audit Microsoft Entra | Catégorie : Gestion d’annuaire Activité : Créer une entreprise |
La ou les cibles affichent le TenantID créé |
Connecteur de réseau privé
Microsoft Entra ID et le proxy d'application Microsoft Entra offrent aux utilisateurs distants une expérience d'authentification unique (SSO). Les utilisateurs se connectent de manière sécurisée aux applications locales sans réseau privé virtuel (VPN), ni serveurs à double hébergement et règles de pare-feu. Si votre serveur de connecteur de réseau privé Microsoft Entra est compromis, les attaquants pourraient altérer l’expérience SSO ou modifier l’accès aux applications publiées.
Pour configurer le monitoring du proxy d’application, consultez Résoudre les problèmes de proxy d’application et les messages d’erreur. Le fichier de données qui enregistre les informations se trouve dans Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin. Pour obtenir un guide de référence complet sur l’activité d’audit, consultez Référence de l’activité d’audit Microsoft Entra. Éléments spécifiques à vérifier :
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Erreurs Kerberos | Moyenne | Outils divers | Moyenne | Aide sur l’authentification Kerberos sous erreurs Kerberos sur la Résolution des problèmes de proxy d’application et des messages d’erreur. |
| Problèmes de sécurité DC | Élevé | Journaux d’audit de sécurité DC | ID d’événement 4742(S) : un compte d’ordinateur a été modifié -et- Indicateur - Approuvé pour la délégation -ou- Indicateur - Approuvé pour authentifier la délégation |
Examinez tout changement d’indicateur. |
| Attaques de type « Pass-the-ticket » | Élevé | Suivez les conseils dans : Reconnaissance de principal de sécurité (LDAP) (ID externe 2038) Tutoriel : Alertes indiquant des informations d’identification compromises Présentation et utilisation des chemins de mouvement latéral avec Microsoft Defender pour Identity Présentation des profils d’entité |
Paramètres d’authentification héritée
Pour que l’authentification multifacteur (MFA) soit efficace, vous devez également bloquer l’authentification héritée. Vous devez ensuite surveiller votre environnement et alerter sur toute utilisation de l’authentification héritée. Les protocoles d’authentification hérités tels que POP, SMTP, IMAP et MAPI ne peuvent pas appliquer l’authentification MFA. Ces protocoles sont donc les points d’entrée préférés des attaquants. Pour plus d’informations sur les outils que vous pouvez utiliser pour bloquer l’authentification héritée, consultez Nouveaux outils pour bloquer l’authentification héritée dans votre organisation.
L’authentification héritée est capturée dans le journal des connexions Microsoft Entra dans le cadre des détails de l’événement. Vous pouvez utiliser le classeur Azure Monitor pour faciliter l’identification de l’utilisation de l’authentification héritée. Pour plus d’informations, consultez Connexions à l’aide de l’authentification héritée, qui fait partie de Guide pratique pour utiliser des classeurs Azure Monitor pour les rapports Microsoft Entra. Vous pouvez également utiliser le classeur protocoles non sécurisés pour Microsoft Sentinel. Pour plus d’informations, consultez Guide d’implémentation des classeurs des protocoles non sécurisés Microsoft Sentinel. Les activités spécifiques à surveiller sont les suivantes :
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Authentifications héritées | Élevée | Journal de connexion Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp : SMTP ClientApp : ActiveSync, accédez à EXO Autres Clients = SharePoint et EWS |
Dans les environnements de domaine fédéré, les échecs d’authentification ne sont pas enregistrés et n’apparaissent pas dans le journal. |
Microsoft Entra Connect
Microsoft Entra Connect fournit un emplacement centralisé qui permet la synchronisation des comptes et des attributs entre votre environnement Microsoft Entra sur site et basé sur le cloud. Microsoft Entra Connect est l'outil Microsoft conçu pour atteindre et atteindre vos objectifs d'identité hybride. Elle fournit les fonctionnalités suivantes :
Synchronisation du hachage du mot de passe – méthode de connexion qui synchronise le hachage du mot de passe AD sur site d'un utilisateur avec l'ID Microsoft Entra.
Synchronisation : ce composant est chargé de créer des utilisateurs, des groupes et d’autres objets, Elle permet également de vérifier que les informations d’identité de vos utilisateurs et groupes locaux correspondent à celles situées dans le cloud. Cette synchronisation inclut également des hachages de mot de passe.
Surveillance de l'état de santé – Microsoft Entra Connect Health peut fournir une surveillance robuste et fournir un emplacement central dans le portail Azure pour afficher cette activité.
La synchronisation de l’identité entre votre environnement local et votre environnement cloud introduit une nouvelle surface d’attaque pour votre environnement local et votre environnement cloud. Nous recommandons les actions suivantes :
Vous traitez vos serveurs principaux et intermédiaires Microsoft Entra Connect comme des systèmes de niveau 0 dans votre plan de contrôle.
Vous suivez un ensemble standard de stratégies qui régissent chaque type de compte et son utilisation dans votre environnement.
Vous installez Microsoft Entra Connect et Connect Health. Celles-ci fournissent principalement des données opérationnelles pour l’environnement.
La journalisation des opérations Microsoft Entra Connect s'effectue de différentes manières :
L’Assistant Connexion Microsoft Entra enregistre les données dans
\ProgramData\AADConnect. Chaque fois que l'assistant est invoqué, un fichier de trace horodaté est créé. Le journal des traces peut être importé dans Sentinel ou d'autres outils Siem (Security information and Event Management) pour l’analyse.Certaines opérations lancent un script PowerShell pour capturer les informations de journalisation. Pour collecter ces données, vous devez vérifier que la journalisation des blocs de script est activée.
Supervision des modifications de configuration
Microsoft Entra ID utilise Microsoft SQL Server Data Engine ou SQL pour stocker les informations de configuration de Microsoft Entra Connect. Par conséquent, la surveillance et l’audit des fichiers journaux associés à la configuration doivent être inclus dans votre stratégie de surveillance et d’audit. En particulier, incluez les tables suivantes dans votre stratégie de surveillance et d’alerte.
| Éléments à analyser | Where | Notes |
|---|---|---|
| mms_management_agent | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_partition | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_run_profile | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_server_configuration | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_synchronization_rule | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
Pour plus d’informations sur la façon dont les informations de configuration doivent être surveillées, consultez :
Pour le serveur SQL, voir Enregistrements SQL Server Audit.
Pour Microsoft Sentinel, consultez Se connecter aux serveurs Windows pour collecter des événements de sécurité.
Pour plus d'informations sur la configuration et l'utilisation de Microsoft Entra Connect, voir Qu'est-ce que Microsoft Entra Connect ?
Supervision et résolution des problèmes
L'une des fonctions de Microsoft Entra Connect consiste à synchroniser la synchronisation du hachage entre le mot de passe sur site d'un utilisateur et l'ID Microsoft Entra. Si les mots de passe ne se synchronisent pas comme prévu, la synchronisation peut affecter un sous-ensemble d’utilisateurs ou tous les utilisateurs. Utilisez les éléments suivants pour vous aider à vérifier le bon fonctionnement ou à résoudre les problèmes :
Pour plus d'informations sur la vérification et le dépannage de la synchronisation du hachage, voir Résoudre les problèmes de synchronisation du hachage de mot de passe avec Microsoft Entra Connect Sync.
Modifications apportées aux espaces de connecteur, voir Dépannage des objets et attributs Microsoft Entra Connect.
Ressources importantes sur la surveillance
| Éléments à analyser | Ressources |
|---|---|
| Validation de la synchronisation de hachage | Voir Résoudre les problèmes de synchronisation du hachage de mot de passe avec Microsoft Entra Connect Sync |
| Modifications apportées aux espaces de connecteur | voir Dépanner les objets et attributs Microsoft Entra Connect |
| Modifications apportées aux règles que vous avez configurées | Effectuer le monitoring des changements apportés aux filtrages, domaines et UO, attributs et groupes |
| Modifications de SQL et de MSDE | Modifications apportées aux paramètres de journalisation et à l’ajout de fonctions personnalisées |
Surveillez les aspects suivants :
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Modifications du planificateur | Élevé | PowerShell | Set-ADSyncScheduler | Rechercher les modifications à planifier |
| Modifications apportées aux tâches planifiées | Élevée | Journaux d'audit Microsoft Entra | Activité = 4699(S) : une tâche planifiée a été supprimée -ou- Activité = 4701(S) : une tâche planifiée a été désactivée -ou- Activité = 4702(S) : une tâche planifiée a été mise à jour |
Surveiller tous les journaux d’activité |
Pour plus d’informations sur la journalisation des opérations de script PowerShell, consultez Activation de la journalisation des blocs de script, qui fait partie de la documentation de référence de PowerShell.
Pour plus d’informations sur la configuration de la journalisation PowerShell pour l’analyse par Splunk, consultez Obtenir des données dans Splunk User Behavior Analytics.
Surveillance de l’authentification unique transparente
L’authentification unique transparente Microsoft Entra (Seamless SSO) connecte automatiquement les utilisateurs lorsqu’ils se trouvent sur leurs postes de travail d’entreprise connectés à votre réseau d’entreprise. L’authentification SSO transparente permet à vos utilisateurs d’accéder facilement à vos applications cloud sans avoir besoin d’autres composants locaux. SSO utilise les fonctionnalités d'authentification directe et de synchronisation du hachage de mot de passe fournies par Microsoft Entra Connect.
La surveillance de l’authentification unique et de l’activité Kerberos peut vous aider à détecter les modèles d’attaques générales de vol d’informations d’identification. Surveillez les informations suivantes :
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Erreurs associées à l’authentification unique et aux échecs de validation Kerberos | Moyenne | Journal de connexion Microsoft Entra | Liste des codes d'erreur de l'authentification unique à l'authentification unique. | |
| Requête pour dépanner les erreurs | Moyenne | PowerShell | Consultez le tableau suivant de la requête. Vérifiez dans chaque forêt l’authentification unique activée. | Vérifiez dans chaque forêt l’authentification unique activée. |
| Événements liés à Kerberos | Élevé | Surveillance de Microsoft Defender pour Identity | Passez en revue les conseils disponibles sur Microsoft Defender pour identifier les chemins de mouvement latéral d’identité (LMPs) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Stratégies de protection par mot de passe
Si vous déployez Microsoft Entra Password Protection, la surveillance et la création de rapports sont des tâches essentielles. Les liens suivants fournissent des détails pour vous aider à comprendre diverses techniques de surveillance, notamment l'endroit où chaque service enregistre les informations et comment créer des rapports sur l'utilisation de Microsoft Entra Password Protection.
L'agent de contrôleur de domaine (DC) et les services proxy consignent tous deux les messages du journal des événements. Toutes les cmdlets PowerShell décrites ci-dessous sont uniquement disponibles sur le serveur proxy (voir le module AzureADPasswordProtection PowerShell). Le logiciel de l’agent DC n’installe pas de module PowerShell.
Des informations détaillées sur la planification et la mise en œuvre de la protection par mot de passe sur site sont disponibles sur Planifier et déployer la protection par mot de passe Microsoft Entra sur site. Pour plus de détails sur la surveillance, consultez Surveiller la protection par mot de passe Microsoft Entra sur site. Sur chaque contrôleur de domaine, le logiciel du service d’agent DC écrit les résultats de chacune des opérations de validation de mot de passe (et un autre état) dans le journal d’événements local suivant :
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Le journal d’administration de l’agent DC est la principale source d’informations pour superviser le comportement du logiciel. Par défaut, le journal des traces est désactivé et doit être activé pour que les données soient enregistrées. Pour résoudre les problèmes de proxy d'application et les messages d'erreur, des informations détaillées sont disponibles sur Dépanner le proxy d'application Microsoft Entra. Les informations relatives à ces événements sont consignées :
Applications et services Logs\Microsoft\Microsoft Entra private network\Connector\Admin
Journal d'audit Microsoft Entra, catégorie Proxy d'application
La référence complète des activités d’audit Microsoft Entra est disponible dans Référence de l’activité d’audit Microsoft Entra.
Accès conditionnel
Dans Microsoft Entra ID, vous pouvez protéger l'accès à vos ressources en configurant des stratégies d'accès conditionnel. En tant qu’administrateur informatique, vous souhaitez vérifier que vos stratégies d’accès conditionnel fonctionnent comme prévu pour garantir la protection de vos ressources. Le monitoring et l’envoi d’alertes relatives aux changements apportés au service d’accès conditionnel permettent de garantir l’application des stratégies définies par votre organisation pour l’accès aux données. Microsoft Entra enregistre lorsque des modifications sont apportées à l’accès conditionnel et fournit également des classeurs pour garantir que vos stratégies fournissent la couverture attendue.
Liens vers des classeurs
Monitorez les modifications apportées aux stratégies d’accès conditionnel en utilisant les informations suivantes :
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Nouvelle stratégie d’accès conditionnel créée par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Ajouter une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ? Modèle Microsoft Sentinel Règles Sigma |
| Stratégie d’accès conditionnel supprimée par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Supprimer une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ? Modèle Microsoft Sentinel Règles Sigma |
| Stratégie d’accès conditionnel mise à jour par des intervenants non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Mettre à jour une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ? Passez en revue les propriétés modifiées et comparez l’ancienne valeur et la nouvelle. Modèle Microsoft Sentinel Règles Sigma |
| Suppression d’un utilisateur d’un groupe utilisé pour délimiter les stratégies d’accès conditionnel critiques | Moyenne | Journaux d'audit Microsoft Entra | Activité : Supprimer un membre d’un groupe Catégorie : GroupManagement Cible : Nom d’utilisateur principal |
Monitorez les groupes utilisés pour délimiter les stratégies d’accès conditionnel critiques et générez des alertes. « Cible » est l’utilisateur qui a été supprimé. Règles Sigma |
| Ajout d’un utilisateur à un groupe utilisé pour délimiter les stratégies d’accès conditionnel critiques | Faible | Journaux d'audit Microsoft Entra | Activité : Ajouter un membre à un groupe Catégorie : GroupManagement Cible : Nom d’utilisateur principal |
Monitorez les groupes utilisés pour délimiter les stratégies d’accès conditionnel critiques et générez des alertes. « Cible » est l’utilisateur qui a été ajouté. Règles Sigma |
Étapes suivantes
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes consommateur
Opérations de sécurité pour les comptes privilégiés
Opérations de sécurité pour Privileged Identity Management