Opérations de sécurité Microsoft Entra pour la gestion des identités privilégiées
La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Des pirates informatiques s’efforcent de dérober des informations d’identification permettant de cibler des comptes administrateur ou d’autres comptes disposant d’un accès privilégié dans le but d’accéder à des données sensibles.
Pour les services cloud, la prévention et la réponse sont de la responsabilité conjointe du fournisseur de services cloud et du client.
En général, la sécurité d’une organisation est axée sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, en raison de l’utilisation d’applications SaaS et d’appareils personnels, cette approche a perdu en efficacité. Dans Microsoft Entra ID, nous remplaçons le périmètre de sécurité du réseau par une authentification dans la couche d'identité de votre organisation. Lorsque les utilisateurs se voient attribuer des rôles d’administration privilégiés, leur accès doit être protégé dans des environnements locaux, cloud et hybrides.
Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services cloud Azure, la prévention et la réponse aux problèmes sont des responsabilités qui sont partagées entre Microsoft en tant que fournisseur de services cloud, et vous en tant que client.
Pour plus d’informations sur le modèle de responsabilité partagée, consultez Responsabilité partagée dans le cloud.
Pour plus d'informations sur la sécurisation de l'accès pour les utilisateurs privilégiés, consultez Sécurisation de l'accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.
Pour bénéficier d’un large choix de vidéos, de guides pratiques et de contenu concernant les concepts clés des identités privilégiées, consultez la documentation Privileged Identity Management.
Privileged Identity Management (PIM) est un service Microsoft Entra qui vous permet de gérer, contrôler et surveiller l'accès aux ressources importantes de votre organisation. Ces ressources incluent des ressources dans Microsoft Entra ID, Azure et d'autres services Microsoft Online tels que Microsoft 365 ou Microsoft Intune. Vous pouvez utiliser PIM pour atténuer les risques en :
Réduisant le nombre de personnes qui ont accès à des informations ou à des ressources sécurisées.
Détectant les autorisations d’accès excessives, inutiles ou inutilisées sur les ressources sensibles.
Réduisant les possibilités qu’un acteur malveillant accède à des informations ou à des ressources sécurisées.
Réduisant les possibilités qu’un utilisateur non autorisé altère accidentellement des ressources sensibles.
Cet article fournit des conseils d’aide sur la définition des bases de référence, l’audit des connexions et l’utilisation des comptes privilégiés. Utilisez le journal d’audit pour préserver l’intégrité des comptes privilégiés.
Où regarder ?
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
Dans le portail Azure, affichez les journaux d’audit Microsoft Entra et téléchargez-les sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs manières d'intégrer les journaux Microsoft Entra à d'autres outils pour automatiser la surveillance et les alertes :
Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités d’informations de sécurité et gestion d’événements (SIEM, Security Information and Event Management).
Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.
Azure Monitor – Permet de créer des alertes et supervisions automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubsintégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d'autres SIEM tels que Splunk, ArcSight, QRadar et Sumo Logic via l'intégration d'Azure Event Hubs.
Microsoft Defender for Cloud Apps : permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.
Sécurisation des identités de charge de travail avec Identity Protection Preview : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.
Le reste de cet article contient des recommandations permettant de définir une base de référence à utiliser pour le monitoring et l’envoi d’alertes, selon un modèle de niveau. Les liens vers les solutions prédéfinies sont affichés après le tableau. Vous pouvez créer des alertes à l’aide des outils précédents. Le contenu est organisé selon les zones suivantes :
Lignes de base
Attribution du rôle Microsoft Entra
Paramètres d’alerte du rôle Microsoft Entra
Attribution de rôles pour les ressources Azure
Gestion de l’accès pour les ressources Azure
Élévation des privilèges pour gérer les abonnements Azure
Lignes de base
Voici les paramètres recommandés pour la base de référence :
| Éléments à analyser | Niveau de risque | Recommandation | Rôles | Notes |
|---|---|---|---|---|
| Attribution des rôles Microsoft Entra | Élevée | Exiger une justification pour l’activation. Exiger une approbation pour l’activation. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. | Administrateur de la sécurité, Administrateur de rôle privilégié, Administrateur général | Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, notamment en modifiant l'expérience des utilisateurs activant une attribution de rôle éligible. |
| Configuration des rôles de ressources Azure | Élevé | Exiger une justification pour l’activation. Exiger une approbation pour l’activation. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. | Propriétaire, Administrateur de l’accès utilisateur | Investiguez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un attaquant d’accéder aux abonnements Azure de votre environnement. |
Alertes Privileged Identity Management
PIM (Privileged Identity Management) génère des alertes lorsqu’il existe une activité suspecte ou dangereuse dans votre organisation Microsoft Entra. Lorsqu’une alerte est générée, elle apparaît dans le tableau de bord Privileged Identity Management. Vous pouvez également configurer une notification par e-mail ou l’envoyer à votre SIEM via GraphAPI. Étant donné que ces alertes se concentrent spécifiquement sur les rôles d’administration, vous devez surveiller attentivement les alertes.
Attribution des rôles Microsoft Entra
Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, ce qui inclut la modification de l'expérience utilisateur lors de l'activation d'une attribution de rôle éligible :
Empêchez les acteurs malveillants de supprimer les exigences d’authentification multifacteur de Microsoft Entra pour activer l’accès privilégié.
Empêcher les utilisateurs malveillants de contourner la justification et l’approbation concernant l’activation de l’accès privilégié.
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Alerte lors de l’ajout de modifications aux autorisations de compte privilégié | Élevée | Journaux d'audit Microsoft Entra | Catégorie = Gestion des rôles -et- Type d’activité – Ajout d’un membre éligible (permanent) -et- Type d’activité – Ajout d’un membre éligible (éligible) -et- État = Réussite/Échec -et- Propriétés modifiées = Role.DisplayName |
Supervisez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un attaquant tente d’obtenir un privilège pour modifier les paramètres d’attribution de rôle. Si vous n’avez pas défini de seuil, déclenchez une alerte si 4 modifications ont lieu sur une période de 60 minutes dans les comptes utilisateurs, et si 2 modifications ont lieu en 60 minutes dans les comptes privilégiés. Règles Sigma |
| Alerte lors de suppressions en bloc des autorisations de compte privilégié | Élevée | Journaux d'audit Microsoft Entra | Catégorie = Gestion des rôles -et- Type d’activité – Suppression d’un membre éligible (permanent) -et- Type d’activité – Suppression d’un membre éligible (éligible) -et- État = Réussite/Échec -et- Propriétés modifiées = Role.DisplayName |
Investiguez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un attaquant d’accéder aux abonnements Azure de votre environnement. Modèle Microsoft Sentinel Règles Sigma |
| Modifications apportées aux paramètres PIM | Élevée | Journal d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Mise à jour du paramètre de rôle dans PIM -et- Raison de l’état = MFA à l’activation désactivée (exemple) |
Supervisez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un attaquant dispose de l’accès nécessaire pour modifier les paramètres d’attribution de rôle. L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié. Modèle Microsoft Sentinel Règles Sigma |
| Approbations et refus des demandes d’élévation | Élevée | Journal d’audit Microsoft Entra | Service = Révision de l’accès -et- Catégorie = UserManagement -et- Type d’activité = Demande approuvée/refusée -et- Initié par (acteur) = UPN |
Toutes les élévations doivent être supervisées. Journalisez toutes les élévations pour obtenir une indication claire de la chronologie d’une attaque. Modèle Microsoft Sentinel Règles Sigma |
| Désactivation d’un paramètre d’alerte. | Élevée | Journaux d'audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Désactivation de l’alerte PIM -et- État = Réussite/Échec |
Toujours déclencher une alerte. Aide à détecter les acteurs malveillants en supprimant les alertes associées aux exigences d'authentification multifacteur Microsoft Entra pour activer l'accès privilégié. Permet de détecter les activités suspectes ou non sûres. Modèle Microsoft Sentinel Règles Sigma |
Pour plus d'informations sur l'identification des modifications des paramètres de rôle dans le journal d'audit Microsoft Entra, voir Afficher l'historique d'audit des rôles Microsoft Entra dans Privileged Identity Management.
Attribution de rôles pour les ressources Azure
Le monitoring des attributions de rôles de ressources Azure permet d’avoir une visibilité sur l’activité et les activations des rôles de ressources. Ces affectations peuvent être détournées pour créer une surface d’attaque sur une ressource. Quand vous effectuez le monitoring de ce type d’activité, vous essayez de détecter les éléments suivants :
Les requêtes d’attributions de rôles envoyées à des ressources spécifiques
Les attributions de rôle pour toutes les ressources enfants
Toutes les modifications d’attribution de rôles actifs et éligibles
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Alerte d’audit concernant le journal des audits de ressources pour Activités de compte privilégié | Élevé | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Ajout de membre éligible au rôle dans PIM terminé (durée maximale) -et- Cible principale -et- Type d’utilisateur -et- État = Réussite |
Toujours déclencher une alerte. Permet de détecter lorsqu’un acteur malveillant ajoute des rôles éligibles pour gérer toutes les ressources présentes dans Azure. |
| Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte | Moyenne | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Désactivation de l’alerte -et- Cible principale : Trop de propriétaires affectés à une ressource -et- État = Réussite |
Permet de détecter si un acteur malveillant désactive les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes |
| Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte | Moyenne | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Désactivation de l’alerte -et- Cible principale : Trop de propriétaires permanents affectés à une ressource -et- État = Réussite |
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes |
| Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte | Moyenne | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Désactivation de l’alerte -et- Cible principale - Rôle créé en double -et- État = Réussite |
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes |
Pour plus d’informations sur la configuration des alertes et l’audit des rôles de ressources Azure, consultez :
Gestion de l’accès pour les ressources et les abonnements Azure
Les utilisateurs ou les membres du groupe auxquels sont attribués les rôles d'abonnement Propriétaire ou Administrateur d'accès utilisateur, ainsi que les administrateurs globaux Microsoft Entra qui ont activé la gestion des abonnements dans Microsoft Entra ID, disposent par défaut des autorisations d'administrateur de ressources. Les administrateurs attribuent des rôles, configurent les paramètres de rôle et passent en revue les accès à l’aide de Privileged Identity Management (PIM) pour les ressources Azure.
Un utilisateur disposant d’autorisations d’administrateur de ressources peut gérer PIM pour les ressources. Effectuez le monitoring et l’atténuation du risque introduit : cette fonctionnalité peut permettre à des acteurs malveillants de disposer d’un accès privilégié aux ressources d’abonnement Azure, par exemple les machines virtuelles ou les comptes de stockage.
| Éléments à analyser | Niveau de risque | Where | Filtre/Sous-filtre | Notes |
|---|---|---|---|---|
| Élévations | Élevée | Microsoft Entra ID, sous Gérer, Propriétés | Vérifiez régulièrement le paramètre. Gestion de l’accès pour les ressources Azure |
Les administrateurs généraux peuvent élever les autorisations en activant la gestion des accès pour les ressources Azure. Vérifiez qu’aucun acteur malveillant n’a obtenu d’autorisations permettant d’attribuer des rôles dans l’ensemble des abonnements et des groupes d’administration Azure associés à Active Directory. |
Pour plus d’informations, consultez Attribuer des rôles de ressources Azure dans Privileged Identity Management
Étapes suivantes
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes consommateur
Opérations de sécurité pour les comptes privilégiés
Opérations de sécurité pour les applications