Partager via


Opérations de sécurité pour l’infrastructure

L’infrastructure a de nombreux composants dans lesquels des vulnérabilités peuvent se produire si elles ne sont pas correctement configurées. Dans le cadre de votre stratégie de surveillance et d’alerte pour les événements d’infrastructure, de surveillance et d’alerte dans les domaines suivants :

  • Authentification et autorisation

  • Composants inclus de l’authentification hybride Serveurs de fédération

  • Stratégies

  • Abonnements

La surveillance et la génération d’alertes pour les composants de votre infrastructure d’authentification sont critiques. Toute compromission peut entraîner une compromission complète de l’ensemble de l’environnement. De nombreuses entreprises qui utilisent Microsoft Entra ID opèrent dans un environnement d’authentification hybride. Les composants cloud et locaux doivent être inclus dans votre stratégie de monitoring et d’alerte. Le fait de disposer d’un environnement d’authentification hybride introduit également un autre vecteur d’attaque pour votre environnement.

Nous recommandons que tous les composants soient considérés comme des ressources de plan de contrôle/de niveau 0 ainsi que les comptes utilisés pour les gérer. Reportez-vous à la section Sécurisation des biens privilégiés (SPA) pour obtenir des conseils sur la conception et la mise en œuvre de votre environnement. Ce guide comprend des recommandations pour chacun des composants d’authentification hybride qui pourraient potentiellement être utilisés pour un locataire Microsoft Entra.

La première étape pour pouvoir détecter les événements inattendus et les attaques potentielles consiste à établir une base de référence. Pour tous les composants locaux énumérés dans cet article, consultez Déploiement de l’accès privilégié, qui fait partie du guide sécurisation des ressources privilégiées (SPA).

Emplacement des fichiers

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs méthodes d’intégration des journaux Microsoft Entra à d’autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :

  • Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).

  • Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour les critères de recherche recommandés, nous y avons ajouté un lien vers le référentiel Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.

  • Azure Monitor : Permet de créer des alertes et surveillances automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.

  • Azure Event Hubs intégré à un SIEM : les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.

  • Microsoft Defender for Cloud Apps : vous permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.

  • Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.

Le reste de cet article décrit quoi superviser et sur quoi déclencher des alertes. Il est organisé par type de menace. Quand il existe des solutions prédéfinies, vous trouverez des liens vers ces dernières, après le tableau. Dans le cas contraire, vous pouvez créer des alertes à l’aide des outils précédents.

Infrastructure d’authentification

Dans les environnements hybrides qui contiennent des comptes et des ressources basés sur le Cloud et locaux, l’infrastructure Active Directory est un élément clé de la pile d’authentification. La pile est également une cible pour les attaques, et doit être configurée pour maintenir un environnement sécurisé et doit être analysée correctement. Des exemples de types actuels d’attaques utilisées sur votre infrastructure d’authentification utilisent des techniques de pulvérisation de mot de passe et de Solorigate. Vous trouverez ci-dessous des liens vers des articles que nous recommandons :

Vous trouverez ci-dessous des liens vers des articles spécifiques qui se concentrent sur la surveillance et l’alerte de votre infrastructure d’authentification :

Les éléments suivants sont spécifiques à Rechercher :

Ce qu’il faut surveiller Niveau de risque Emplacement Remarque
Tendances de verrouillage extranet Élevé Microsoft Entra Connect Health Consultez Surveiller AD FS à l’aide de Microsoft Entra Connect Health pour obtenir des outils et des techniques permettant de détecter les tendances de verrouillage de l’extranet.
Connexions ayant échoué Élevé Connecter Health Portal Exportez ou téléchargez le rapport Risky IP et suivez les conseils donnés dans le rapport Risky IP (aperçu public) pour les prochaines étapes.
Conformité aux réglementations relatives à la confidentialité Faible Microsoft Entra Connect Health Configurez Microsoft Entra Connect Health pour désactiver la collecte et la surveillance des données à l’aide de l’article Confidentialité des utilisateurs et Microsoft Entra Connect Health.
Attaque par force brute potentielle sur LDAP Moyen Microsoft Defender pour l’identité Utilisez le capteur pour détecter les attaques par force brute potentielles contre LDAP.
Reconnaissance d’énumération de compte Moyen Microsoft Defender pour l’identité Utilisez le capteur pour faciliter la reconnaissance de l’énumération des comptes.
Corrélation générale entre Microsoft Entra ID et Azure AD FS Moyen Microsoft Defender pour l’identité Utilisez des fonctionnalités pour corréler les activités entre vos environnements Microsoft Entra ID et Azure AD FS.

Surveillance d’authentification directe

L’authentification directe Microsoft Entra connecte les utilisateurs en validant leurs mots de passe directement par rapport à Active Directory sur site.

Les éléments suivants sont spécifiques à Rechercher :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Erreurs d’authentification directe Microsoft Entra Moyen Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001 : Impossible de se connecter à Active Directory Assurez-vous que les serveurs des agents sont membres de la même forêt Active Directory que les utilisateurs dont les mots de passe doivent être validés, et qu’ils peuvent se connecter à Active Directory.
Erreurs d’authentification directe Microsoft Entra Moyen Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002 : Délai d’attente dépassé lors de la connexion à Active Directory Vérifiez qu’Active Directory est disponible et répond aux demandes des agents.
Erreurs d’authentification directe Microsoft Entra Moyen Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004 : Le nom d’utilisateur envoyé à l’agent n’était pas valide Vérifiez que l’utilisateur tente de se connecter avec le nom d’utilisateur correct.
Erreurs d’authentification directe Microsoft Entra Moyen Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005 : La validation a rencontré une WebException imprévisible Erreur temporaire. Relancez la requête. Si l’erreur se reproduit, contactez le Support Microsoft.
Erreurs d’authentification directe Microsoft Entra Moyen Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007 : Une erreur s’est produite lors de la communication avec Active Directory Consultez les journaux d’activité de l’agent pour plus d’informations, et vérifiez qu’Active Directory fonctionne comme prévu.
Erreurs d’authentification directe Microsoft Entra Élevé API de fonction Win32 LogonUserA Événements de connexion 4624(s) : un compte a été correctement connecté
-corrélation avec –
4625(F) : Échec de connexion d’un compte
Utilisez avec les noms d’utilisateur suspects sur le contrôleur de domaine qui authentifie les demandes. Aide sur fonction LogonUserA (winbase.h)
Erreurs d’authentification directe Microsoft Entra Moyen Script PowerShell du contrôleur de domaine Consultez la requête après le tableau. Utilisez les informations sur Microsoft Entra Connect : Dépanner l’authentification directe pour obtenir des conseils.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Surveillance de la création de nouveaux locataires Microsoft Entra

Les organisations peuvent avoir besoin de surveiller et d’alerter sur la création de nouveaux locataires Microsoft Entra lorsque l’action est initiée par les identités de leur locataire organisationnel. Le monitoring, dans ce scénario, fournit une visibilité du nombre de locataires créés et accessibles aux utilisateurs finaux.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Création d’un nouveau locataire Microsoft Entra, en utilisant une identité de votre locataire. Moyen Journaux d’audit Microsoft Entra Catégorie : Gestion d’annuaire

Activité : Créer une entreprise
La ou les cibles affichent le TenantID créé

Connecteur de réseau privé

Microsoft Entra ID et le proxy d’application Microsoft Entra offrent aux utilisateurs distants une expérience d’authentification unique (SSO). Les utilisateurs se connectent de manière sécurisée aux applications locales sans réseau privé virtuel (VPN), ni serveurs à double hébergement et règles de pare-feu. Si votre serveur de connecteur de réseau privé Microsoft Entra est compromis, les attaquants pourraient altérer l’expérience SSO ou modifier l’accès aux applications publiées.

Pour configurer le monitoring du proxy d’application, consultez Résoudre les problèmes de proxy d’application et les messages d’erreur. Le fichier de données qui enregistre les informations se trouve dans Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin. Pour obtenir un guide de référence complet sur l’activité d’audit, consultez Référence de l’activité d’audit Microsoft Entra. Éléments spécifiques à vérifier :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Erreurs Kerberos Moyen Outils divers Moyen Aide sur l’authentification Kerberos sous erreurs Kerberos sur la Résolution des problèmes de proxy d’application et des messages d’erreur.
Problèmes de sécurité DC Élevé Journaux d’audit de sécurité DC ID d’événement 4742(S) : un compte d’ordinateur a été modifié
-et-
Indicateur : Approuvé pour la délégation
-ou-
Indicateur : Approuvé pour authentifier la délégation
Examinez tout changement d’indicateur.
Attaques de type « Pass-the-ticket » Élevé Suivez les conseils dans :
Reconnaissance de principal de sécurité (LDAP) (ID externe 2038)
Tutoriel : Alertes indiquant des informations d’identification compromises
Présentation et utilisation des chemins de mouvement latéral avec Microsoft Defender pour Identity
Présentation des profils d’entité

Paramètres d’authentification héritée

Pour que l’authentification multifacteur (MFA) soit efficace, vous devez également bloquer l’authentification héritée. Vous devez ensuite surveiller votre environnement et alerter sur toute utilisation de l’authentification héritée. Les protocoles d’authentification hérités tels que POP, SMTP, IMAP et MAPI ne peuvent pas appliquer l’authentification MFA. Ces protocoles sont donc les points d’entrée préférés des attaquants. Pour plus d’informations sur les outils que vous pouvez utiliser pour bloquer l’authentification héritée, consultez Nouveaux outils pour bloquer l’authentification héritée dans votre organisation.

L’authentification héritée est capturée dans le journal des connexions Microsoft Entra dans le cadre des détails de l’événement. Vous pouvez utiliser le classeur Azure Monitor pour faciliter l’identification de l’utilisation de l’authentification héritée. Pour plus d’informations, consultez Connexions à l’aide de l’authentification héritée, qui fait partie de Guide pratique pour utiliser des classeurs Azure Monitor pour les rapports Microsoft Entra. Vous pouvez également utiliser le classeur protocoles non sécurisés pour Microsoft Sentinel. Pour plus d’informations, consultez Guide d’implémentation des classeurs des protocoles non sécurisés Microsoft Sentinel. Les activités spécifiques à surveiller sont les suivantes :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Authentifications héritées Élevé Journal de connexion Microsoft Entra ClientApp : POP
ClientApp : IMAP
ClientApp : MAPI
ClientApp : SMTP
ClientApp : ActiveSync, accédez à EXO
Autres Clients = SharePoint et EWS
Dans les environnements de domaine fédéré, les échecs d’authentification ne sont pas enregistrés et n’apparaissent pas dans le journal.

Microsoft Entra Connect

Microsoft Entra Connect fournit un emplacement centralisé qui permet la synchronisation des comptes et des attributs entre votre environnement Microsoft Entra sur site et basé sur le cloud. Microsoft Entra Connect est l’outil Microsoft conçu pour atteindre et atteindre vos objectifs d’identité hybride. Elle fournit les fonctionnalités suivantes :

  • Synchronisation du hachage du mot de passe : méthode de connexion qui synchronise le hachage du mot de passe AD sur site d’un utilisateur avec l’ID Microsoft Entra.

  • Synchronisation : ce composant est chargé de créer des utilisateurs, des groupes et d’autres objets, Elle permet également de vérifier que les informations d’identité de vos utilisateurs et groupes locaux correspondent à celles situées dans le cloud. Cette synchronisation inclut également des hachages de mot de passe.

  • Surveillance de l’état de santé : Microsoft Entra Connect Health peut fournir une surveillance robuste et fournir un emplacement central dans le portail Azure pour afficher cette activité.

La synchronisation de l’identité entre votre environnement local et votre environnement cloud introduit une nouvelle surface d’attaque pour votre environnement local et votre environnement cloud. Nous recommandons les actions suivantes :

  • Vous traitez vos serveurs principaux et intermédiaires Microsoft Entra Connect comme des systèmes de niveau 0 dans votre plan de contrôle.

  • Vous suivez un ensemble standard de stratégies qui régissent chaque type de compte et son utilisation dans votre environnement.

  • Vous installez Microsoft Entra Connect et Connect Health. Celles-ci fournissent principalement des données opérationnelles pour l’environnement.

La journalisation des opérations Microsoft Entra Connect s’effectue de différentes manières :

  • L’Assistant Connexion Microsoft Entra enregistre les données dans \ProgramData\AADConnect. Chaque fois que l’assistant est invoqué, un fichier de trace horodaté est créé. Le journal des traces peut être importé dans Sentinel ou d’autres outils Siem (Security information and Event Management) pour l’analyse.

  • Certaines opérations lancent un script PowerShell pour capturer les informations de journalisation. Pour collecter ces données, vous devez vérifier que la journalisation des blocs de script est activée.

Supervision des modifications de configuration

Microsoft Entra ID utilise Microsoft SQL Server Data Engine ou SQL pour stocker les informations de configuration de Microsoft Entra Connect. Par conséquent, la surveillance et l’audit des fichiers journaux associés à la configuration doivent être inclus dans votre stratégie de surveillance et d’audit. En particulier, incluez les tables suivantes dans votre stratégie de surveillance et d’alerte.

Ce qu’il faut surveiller Emplacement Remarque
mms_management_agent Enregistrements d’audit du service SQL Voir Enregistrements SQL Server Audit
mms_partition Enregistrements d’audit du service SQL Voir Enregistrements SQL Server Audit
mms_run_profile Enregistrements d’audit du service SQL Voir Enregistrements SQL Server Audit
mms_server_configuration Enregistrements d’audit du service SQL Voir Enregistrements SQL Server Audit
mms_synchronization_rule Enregistrements d’audit du service SQL Voir Enregistrements SQL Server Audit

Pour plus d’informations sur la façon dont les informations de configuration doivent être surveillées, consultez :

Supervision et résolution des problèmes

L’une des fonctions de Microsoft Entra Connect consiste à synchroniser la synchronisation du hachage entre le mot de passe sur site d’un utilisateur et l’ID Microsoft Entra. Si les mots de passe ne se synchronisent pas comme prévu, la synchronisation peut affecter un sous-ensemble d’utilisateurs ou tous les utilisateurs. Utilisez les éléments suivants pour vous aider à vérifier le bon fonctionnement ou à résoudre les problèmes :

Ressources importantes sur la surveillance

Ce qu’il faut surveiller Ressources
Validation de la synchronisation de hachage Voir Résoudre les problèmes de synchronisation du hachage de mot de passe avec Microsoft Entra Connect Sync
Modifications apportées aux espaces de connecteur voir Dépanner les objets et attributs Microsoft Entra Connect
Modifications apportées aux règles que vous avez configurées Effectuer le monitoring des changements apportés aux filtrages, domaines et UO, attributs et groupes
Modifications de SQL et de MSDE Modifications apportées aux paramètres de journalisation et à l’ajout de fonctions personnalisées

Surveillez les aspects suivants :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Modifications du planificateur Élevé PowerShell Set-ADSyncScheduler Rechercher les modifications à planifier
Modifications apportées aux tâches planifiées Élevé Journaux d’audit Microsoft Entra Activité = 4699(S) : une tâche planifiée a été supprimée
-ou-
Activité = 4701(S) : une tâche planifiée a été désactivée
-ou-
Activité = 4702(S) : une tâche planifiée a été mise à jour
Surveiller tous les journaux d’activité

Surveillance de l’authentification unique transparente

L’authentification unique transparente Microsoft Entra (Seamless SSO) connecte automatiquement les utilisateurs lorsqu’ils se trouvent sur leurs postes de travail d’entreprise connectés à votre réseau d’entreprise. L’authentification SSO transparente permet à vos utilisateurs d’accéder facilement à vos applications cloud sans avoir besoin d’autres composants locaux. SSO utilise les fonctionnalités d’authentification directe et de synchronisation du hachage de mot de passe fournies par Microsoft Entra Connect.

La surveillance de l’authentification unique et de l’activité Kerberos peut vous aider à détecter les modèles d’attaques générales de vol d’informations d’identification. Surveillez les informations suivantes :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Erreurs associées à l’authentification unique et aux échecs de validation Kerberos Moyen Journal de connexion Microsoft Entra Liste des codes d’erreur de l’authentification unique à l’authentification unique.
Requête pour dépanner les erreurs Moyen PowerShell Consultez le tableau suivant de la requête. Vérifiez dans chaque forêt l’authentification unique activée. Vérifiez dans chaque forêt l’authentification unique activée.
Événements liés à Kerberos Élevé Surveillance de Microsoft Defender pour Identity Passez en revue les conseils disponibles sur Microsoft Defender pour identifier les chemins de mouvement latéral d’identité (LMPs)
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Stratégies de protection par mot de passe

Si vous déployez Microsoft Entra Password Protection, la surveillance et la création de rapports sont des tâches essentielles. Les liens suivants fournissent des détails pour vous aider à comprendre diverses techniques de surveillance, notamment l’endroit où chaque service enregistre les informations et comment créer des rapports sur l’utilisation de Microsoft Entra Password Protection.

L’agent de contrôleur de domaine (DC) et les services proxy consignent tous deux les messages du journal des événements. Toutes les cmdlets PowerShell décrites ci-dessous sont uniquement disponibles sur le serveur proxy (voir le module AzureADPasswordProtection PowerShell). Le logiciel de l’agent DC n’installe pas de module PowerShell.

Des informations détaillées sur la planification et la mise en œuvre de la protection par mot de passe sur site sont disponibles sur Planifier et déployer la protection par mot de passe Microsoft Entra sur site. Pour plus de détails sur la surveillance, consultez Surveiller la protection par mot de passe Microsoft Entra sur site. Sur chaque contrôleur de domaine, le logiciel du service d’agent DC écrit les résultats de chacune des opérations de validation de mot de passe (et un autre état) dans le journal d’événements local suivant :

  • \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Le journal d’administration de l’agent DC est la principale source d’informations pour superviser le comportement du logiciel. Par défaut, le journal des traces est désactivé et doit être activé pour que les données soient enregistrées. Pour résoudre les problèmes de proxy d’application et les messages d’erreur, des informations détaillées sont disponibles sur Dépanner le proxy d’application Microsoft Entra. Les informations relatives à ces événements sont consignées :

  • Applications et services Logs\Microsoft\Microsoft Entra private network\Connector\Admin

  • Journal d’audit Microsoft Entra, catégorie Proxy d’application

La référence complète des activités d’audit Microsoft Entra est disponible dans Référence de l’activité d’audit Microsoft Entra.

Accès conditionnel

Dans Microsoft Entra ID, vous pouvez protéger l’accès à vos ressources en configurant des stratégies d’accès conditionnel. En tant qu’administrateur informatique, vous souhaitez vérifier que vos stratégies d’accès conditionnel fonctionnent comme prévu pour garantir la protection de vos ressources. Le monitoring et l’envoi d’alertes relatives aux changements apportés au service d’accès conditionnel permettent de garantir l’application des stratégies définies par votre organisation pour l’accès aux données. Microsoft Entra enregistre lorsque des modifications sont apportées à l’accès conditionnel et fournit également des classeurs pour garantir que vos stratégies fournissent la couverture attendue.

Liens vers des classeurs

Monitorez les modifications apportées aux stratégies d’accès conditionnel en utilisant les informations suivantes :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Nouvelle stratégie d’accès conditionnel créée par des intervenants non approuvés Moyen Journaux d’audit Microsoft Entra Activité : Ajouter une stratégie d’accès conditionnel

Catégorie : Stratégie

Lancé par (intervenant) : Nom d’utilisateur principal
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ?
Modèle Microsoft Sentinel

Règles Sigma
Stratégie d’accès conditionnel supprimée par des intervenants non approuvés Moyen Journaux d’audit Microsoft Entra Activité : Supprimer une stratégie d’accès conditionnel

Catégorie : Stratégie

Lancé par (intervenant) : Nom d’utilisateur principal
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ?
Modèle Microsoft Sentinel

Règles Sigma
Stratégie d’accès conditionnel mise à jour par des intervenants non approuvés Moyen Journaux d’audit Microsoft Entra Activité : Mettre à jour une stratégie d’accès conditionnel

Catégorie : Stratégie

Lancé par (intervenant) : Nom d’utilisateur principal
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ?

Passez en revue les propriétés modifiées et comparez l’ancienne valeur et la nouvelle.
Modèle Microsoft Sentinel

Règles Sigma
Suppression d’un utilisateur d’un groupe utilisé pour délimiter les stratégies d’accès conditionnel critiques Moyen Journaux d’audit Microsoft Entra Activité : Supprimer un membre d’un groupe

Catégorie : GroupManagement

Cible : Nom d’utilisateur principal
Monitorez les groupes utilisés pour délimiter les stratégies d’accès conditionnel critiques et générez des alertes.

« Cible » est l’utilisateur qui a été supprimé.

Règles Sigma
Ajout d’un utilisateur à un groupe utilisé pour délimiter les stratégies d’accès conditionnel critiques Faible Journaux d’audit Microsoft Entra Activité : Ajouter un membre à un groupe

Catégorie : GroupManagement

Cible : Nom d’utilisateur principal
Monitorez les groupes utilisés pour délimiter les stratégies d’accès conditionnel critiques et générez des alertes.

« Cible » est l’utilisateur qui a été ajouté.

Règles Sigma

Étapes suivantes

Vue d’ensemble des opérations de sécurité Microsoft Entra

Opérations de sécurité pour les comptes d’utilisateur

Opérations de sécurité pour les comptes de consommateur

Opérations de sécurité pour les comptes privilégiés

Opérations de sécurité pour Privileged Identity Management

Opérations de sécurité pour les applications

Opérations de sécurité pour les appareils