Qu’est-ce qu’Identity Protection ?
Identity Protection permet aux organisations d’accomplir trois tâches principales :
- Automatiser la détection et la correction des risques liés à l'identité.
- Examiner les risques à l'aide des données disponibles sur le portail.
- Exporter les données de détection de risque vers d’autres outils.
Pour protéger vos utilisateurs, Identity Protection s’appuie sur les connaissances acquises par Microsoft au niveau des organisations avec Azure Active Directory, de l’espace grand public avec les comptes Microsoft et des jeux avec Xbox. Microsoft analyse des milliards de signaux par jour pour identifier les menaces et protéger les clients.
Les signaux générés par Identity Protection et transmis à celui-ci peuvent également être transmis à des outils tels que l’Accès conditionnel pour prendre des décisions en matière d’accès, ou renvoyés à un outil SIEM (Security Information and Event Management) pour un examen plus approfondi.
Pourquoi l'automatisation est-elle importante ?
Dans le billet de blog Cyber Signals: Defending against cyber threats with the latest research, insights, and trends (Cybersignaux : Défense contre les cybermenaces avec les dernières recherches, insights et tendances) datant du 3 février 2022, nous avons partagé des informations sur les menaces, y compris les statistiques suivantes :
- Analysé... 24 milliards de signaux de sécurité combinés à l’intelligence que nous suivons en surveillant plus de 40 groupes d’État-nation et plus de 140 groupes de menaces...
- ... De janvier 2021 à décembre 2021, nous avons bloqué plus de 25,6 milliards d’attaques d’authentification par force brute sur Azure AD...
Cette échelle de signaux et d’attaques nécessite un certain niveau d’automatisation pour tenir le rythme.
Détecter les risques
Identity Protection détecte les risques de nombreux types, notamment :
- Utilisation d’une adresse IP anonyme
- Voyage inhabituel
- Adresse IP liée à un programme malveillant
- Propriétés de connexion inhabituelles
- Informations d’identification divulguées
- Pulvérisation de mots de passe
- Etc.
Les signaux de risque peuvent déclencher des mesures correctives (par exemple en obligeant les utilisateurs à utiliser l’authentification multifacteur ou à réinitialiser leur mot de passe à l’aide de la réinitialisation de mot de passe en libre-service) ou bloquer l’accès jusqu’à ce qu’un administrateur intervienne.
Pour plus d’informations sur ces risques ainsi que d’autres risques, notamment sur la façon dont ils sont calculés, consultez l’article Qu’est-ce qu’un risque ?.
Examiner les risques
Les administrateurs peuvent examiner les détections et prendre des mesures manuelles si nécessaire. Les administrateurs utilisent trois rapports clés pour les examens dans Identity Protection :
- Utilisateurs à risque
- Connexions risquées
- Détections de risques
Vous trouverez des informations supplémentaires dans l'article Procédure : Examiner les risques.
Niveaux de risque
Identity Protection catégorise les risques en niveaux : faible, moyen et sévère.
Microsoft ne fournit pas de détails spécifiques sur la façon dont le risque est calculé. Chaque niveau de risque apporte une confiance plus élevée que l’utilisateur ou la connexion est compromise. Par exemple, une instance de propriétés de connexion non connues pour un utilisateur pourrait être moins dangereuse que la divulgation d’informations d’identification pour un autre utilisateur.
Utiliser les informations sur les risques de manière plus approfondie
Les données d’Identity Protection peuvent être exportées vers d’autres outils à des fins d’archivage, d’examen et de mise en corrélation. Les API basées sur Microsoft Graph permettent aux organisations de collecter ces données pour un traitement ultérieur dans un outil tel que SIEM. Pour plus d'informations sur l'accès à l'API Identity Protection, consultez l'article Prise en main d'Azure Active Directory Identity Protection et de Microsoft Graph.
Pour en savoir plus sur l’intégration des informations Identity Protection à Azure Sentinel, consultez l’article Connecter des données à partir d’Azure AD Identity Protection.
Les organisations peuvent choisir de stocker les données plus longtemps en modifiant les paramètres de diagnostic dans Azure AD. Ils peuvent choisir d’envoyer des données à un espace de travail Log Analytics, d’archiver des données vers un compte de stockage, de diffuser des données vers Event Hubs ou d’envoyer des données à une solution partenaire. Pour plus d’informations sur la procédure à suivre, consultez l’article Guide pratique : Exporter les données liées aux risques.
Rôles nécessaires
Identity Protection exige que les utilisateurs disposent d'une des autorisations d'accès suivantes : Lecteur de sécurité, Opérateur de sécurité, Administrateur de la sécurité, Lecteur général ou Administrateur général.
| Role | Peut | Ne peut pas |
|---|---|---|
| Administrateur général | Accès complet à Identity Protection | |
| Administrateur de sécurité | Accès complet à Identity Protection | Réinitialiser un mot de passe pour un utilisateur |
| Opérateur de sécurité | Afficher tous les rapports Identity Protection et Vue d’ensemble Ignorer le risque lié à l’utilisateur, confirmer que la connexion est sécurisée, confirmer la compromission |
Configurer ou modifier des stratégies Réinitialiser un mot de passe pour un utilisateur Configurer des alertes |
| Lecteur Sécurité | Afficher tous les rapports Identity Protection et Vue d’ensemble | Configurer ou modifier des stratégies Réinitialiser un mot de passe pour un utilisateur Configurer des alertes Envoyer des commentaires sur les détections |
| Lecteur général | Accès en lecture seule à Identity Protection |
Actuellement, le rôle d’opérateur de sécurité ne permet pas d’accéder au rapport sur les connexions risquées.
Les administrateurs d’accès conditionnel peuvent créer des stratégies qui prennent en compte le risque lié à l’utilisateur ou à la connexion en tant que condition. Pour plus d’informations, consultez l’article Accès conditionnel : Conditions.
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite des licences Azure AD Premium P2. Pour trouver la licence appropriée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale d’Azure AD.
| Fonctionnalité | Détails | Applications Azure AD Free / Microsoft 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Stratégies de risque | Stratégies de risque de connexion et d’utilisateur (via Identity Protection ou l’accès conditionnel) | Non | Non | Oui |
| Rapports de sécurité | Vue d’ensemble | Non | Non | Oui |
| Rapports de sécurité | Utilisateurs à risque | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Accès total |
| Rapports de sécurité | Connexions risquées | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Accès total |
| Rapports de sécurité | Détections de risques | Non | Informations limitées. Aucun tiroir de détails. | Accès total |
| Notifications | Alertes Utilisateurs à risque détectés | Non | Non | Oui |
| Notifications | Synthèse hebdomadaire | Non | Non | Oui |
| Stratégie d'inscription MFA | Non | Non | Oui |
Vous trouverez des informations supplémentaires sur ces rapports détaillés dans l’article Procédure : Examiner les risques.