Partager via


Opérations de sécurité Microsoft Entra pour les comptes consommateur

Les activités d’identité des consommateurs sont un domaine important que votre organisation doit protéger et surveiller. Cet article est destiné aux locataires Azure Active Directory B2C (Azure AD B2C) et contient des conseils pour la supervision des activités des comptes de consommateur. Les activités sont les suivantes :

  • Compte client
  • Compte privilégié
  • Application
  • Infrastructure

Avant de commencer

Avant d’utiliser les conseils de cet article, nous vous recommandons de lire le Guide des opérations de sécurité Microsoft Entra.

Définir une ligne de base

Pour découvrir un comportement anormal, définissez le comportement normal et attendu. Le fait de définir le comportement attendu pour votre organisation vous aide à découvrir les comportements inattendus. Utilisez la définition pour réduire les faux positifs pendant la supervision et les alertes.

Une fois le comportement attendu défini, effectuez une supervision de base pour valider les attentes. Ensuite, surveillez les journaux d’activité pour déterminer ce qui se trouve en dehors de la tolérance.

Pour les comptes créés en dehors des processus normaux, utilisez les journaux d’audit Microsoft Entra, les journaux de connexion Microsoft Entra et les attributs d’annuaire comme sources de données. Les suggestions suivantes peuvent vous aider à définir la normale.

Création d’un compte d'utilisateur

Évaluez la liste suivante :

  • Stratégie et principes pour les outils et les processus de création et de gestion des comptes de consommateurs
    • Par exemple, les attributs standard et les formats appliqués aux attributs de comptes de consommateurs
  • Sources approuvées pour la création de comptes.
    • Par exemple, intégration de stratégies personnalisées, d’approvisionnement de clients ou d’outil de migration
  • Stratégie d’alerte pour les comptes créés en dehors des sources approuvées.
    • Créer une liste contrôlée d’organisations avec lesquelles votre organisation collabore
  • Paramètres de stratégie et d’alerte pour les comptes créés, modifiés ou désactivés par un administrateur de consommateur approuvé
  • Stratégie de surveillance et d’alerte pour les comptes de contrôle serveur consommateur qui n’ont pas d’attributs standard, tels que le nombre de clients ou qui ne suivent pas les conventions d’affectation de noms organisationnelles
  • Stratégie, principes et processus pour la suppression et la rétention des comptes

Emplacement des fichiers

Utilisez des fichiers journaux pour examiner et surveiller. Consultez les articles suivants pour plus de détails :

Journaux d’audit et outils d’automatisation

À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Utilisez le portail Azure pour intégrer les journaux Microsoft Entra à d’autres outils pour automatiser la surveillance et les alertes :

Utilisez le reste de l’article pour obtenir des suggestions d’éléments à superviser et à signaler. Reportez-vous aux tables, organisées par type de menace. Consultez les liens vers des solutions prédéfinies ou des exemples selon le tableau. Générez des alertes à l’aide des outils mentionnés précédemment.

Comptes consommateur

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Grand nombre de créations ou de suppressions de compte Élevée Journaux d'audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
Initié par (intervenant) = Service CPIM
-et-
Activité : supprimer un utilisateur
État = réussite
Initié par (intervenant) = Service CPIM
Définissez un seuil de base de référence, puis surveillez-le et ajustez-le pour l’adapter aux comportements de votre organisation. Limitez les fausses alertes.
Comptes créés et supprimés par des utilisateurs ou des processus non approuvés Moyenne Journaux d'audit Microsoft Entra Initié par (intervenant) : USER PRINCIPAL NAME
-et-
Activité : ajouter un utilisateur
État = réussite
Initié par (intervenant) != Service CPIM
and-or
Activité : supprimer un utilisateur
État = réussite
Initié par (intervenant) != Service CPIM
Si les acteurs sont des utilisateurs non approuvés, effectuez la configuration pour envoyer une alerte.
Comptes attribués à un rôle privilégié Élevée Journaux d'audit Microsoft Entra Activité : ajouter un utilisateur
État = réussite
Initié par (intervenant) == Service CPIM
-et-
Activité : ajout d’un membre au rôle
État = réussite
Si le compte est affecté à un rôle Microsoft Entra, à un rôle Azure ou à une appartenance à un groupe privilégié, générez une alerte et donnez la priorité à l’investigation.
Échecs de tentatives de connexion Moyen - si incident isolé
Élevé - si de nombreux comptes rencontrent le même modèle
Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur de connexion 50126 - Erreur de validation des informations d’identification en raison d’un nom d’utilisateur ou d’un mot de passe non valide.
-et-
Application == « CPIM PowerShell Client »
-ou-
Application == "ProxyIdentityExperienceFramework"
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes.
Événements de verrouillage intelligent Moyen - si incident isolé
Élevé - si de nombreux comptes rencontrent le même modèle ou une adresse IP virtuelle
Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur de connexion = 50053 – IdsLocked
-et-
Application == « CPIM PowerShell Client »
-ou-
Application =="ProxyIdentityExperienceFramework"
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter les fausses alertes.
Échec des authentifications à partir de pays ou de régions à partir desquels vous n’opérez pas Moyenne Journal de connexion Microsoft Entra État = échec
-et-
Emplacement = <emplacement non approuvé>
-et-
Application == « CPIM PowerShell Client »
-ou-
Application == "ProxyIdentityExperienceFramework"
Supervisez les entrées non égales aux noms de ville fournis.
Amélioration des authentifications ayant échoué de tout type Moyenne Journal de connexion Microsoft Entra État = échec
-et-
Application == « CPIM PowerShell Client »
-ou-
Application == "ProxyIdentityExperienceFramework"
Si vous n’avez pas de seuil, surveillez et signalez si les échecs augmentent de 10 % ou plus.
Compte désactivé/bloqué pour les connexions Faible Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 50057, le compte d’utilisateur est désactivé.
Ce scénario peut indiquer qu’un utilisateur tente d’accéder à un compte après avoir quitté une organisation. Le compte est bloqué, mais il est important d’enregistrer et de signaler cette activité.
Augmentation mesurable des connexions réussies Faible Journal de connexion Microsoft Entra État = réussite
-et-
Application == « CPIM PowerShell Client »
-ou-
Application == "ProxyIdentityExperienceFramework"
Si vous ne disposez pas d’un seuil, surveillez et signalez si les authentifications réussies augmentent de 10 % ou plus.

Comptes privilégiés

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Échec de connexion, seuil de mot de passe incorrect Élevée Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 50126
Définissez un seuil de base de référence, effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation. Limitez les fausses alertes.
Échec en raison des exigences de l’accès conditionnel Élevée Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 53003
-et-
Motif de l’échec = Bloqué par l’accès conditionnel
L’événement peut indiquer qu’un attaquant tente d’accéder au compte.
Interruption Élevé, moyen Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 53003
-et-
Motif de l’échec = Bloqué par l’accès conditionnel
L’événement peut indiquer qu’un attaquant a le mot de passe du compte, mais qu’il ne réussit pas la demande d’authentification multifacteur.
Verrouillage de compte Élevée Journal de connexion Microsoft Entra État = échec
-et-
Code d’erreur = 50053
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation. Limitez les fausses alertes.
Compte désactivé ou bloqué pour les connexions low Journal de connexion Microsoft Entra État = échec
-et-
Cible = UPN de l’utilisateur
-et-
Code d’erreur = 50057
L’événement peut indiquer qu’un utilisateur tente d’accéder à un compte une fois qu’il a quitté l’organisation. Même si le compte est bloqué, enregistrez et signalez cette activité.
Blocage ou alerte de fraude MFA Élevée Journal de connexion Microsoft Entra/Azure Log Analytics Détails de l’authentification et des connexions
Détails des résultats = authentification multifacteur refusée, code frauduleux entré
L’utilisateur privilégié indique qu’il n’a pas provoqué l’invite MFA, ce qui peut indiquer qu’un attaquant a le mot de passe du compte.
Blocage ou alerte de fraude MFA Élevée Journal de connexion Microsoft Entra/Azure Log Analytics Type d’activité = Fraude signalée - L’utilisateur ne peut pas utiliser MFA ou fraude signalée - Aucune action entreprise, selon les paramètres au niveau du locataire du rapport de fraude L’utilisateur privilégié n’a indiqué aucune instigation de l’invite MFA. Ce scénario peut indiquer qu’un attaquant a le mot de passe du compte.
Connexions à des comptes privilégiés en dehors des contrôles attendus Élevée Journal de connexion Microsoft Entra État = échec
UserPricipalName = <Compte d’administrateur>
Emplacement = <emplacement non approuvé>
Adresse IP = <adresse IP non approuvée>
Informations sur l’appareil = <navigateur non approuvé, système d’exploitation>
Supervisez et signalez les entrées que vous définissez comme approuvées.
En dehors des heures de connexion normales Élevée Journal de connexion Microsoft Entra État = réussite
-et-
Emplacement =
-et-
Heure = En dehors des heures de travail
Surveillez et signalez les connexions qui se produisent en dehors des périodes attendues. Trouvez le modèle de travail normal pour chaque compte privilégié et signalez les modifications non planifiées en dehors des périodes de travail normales. Les connexions en dehors des heures de travail normales peuvent indiquer une compromission ou une menace potentielle provenant d’initiés.
Modification de mot de passe Élevée Journaux d'audit Microsoft Entra Intervenant de l’activité = Administrateur/libre-service
-et-
Cible = Utilisateur
-et-
État = Réussite ou échec
Alertez en cas de changement d’un mot de passe de compte administrateur. Écrivez une requête pour les comptes privilégiés.
Modifications apportées aux méthodes d’authentification Élevée Journaux d'audit Microsoft Entra Activité : Créer le fournisseur d’identité
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
La modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte pour obtenir un accès continu.
Fournisseur d’identité mis à jour par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Mettre à jour le fournisseur d’identité
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
La modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte pour obtenir un accès continu.
Fournisseur d’identité supprimé par des intervenants non approuvés Forte Révision d’accès à Microsoft Entra Activité : Supprimer le fournisseur d’identité
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
La modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte pour obtenir un accès continu.

Applications

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Ajout d’informations d’identification à des applications Élevée Journaux d'audit Microsoft Entra Répertoire Service-Core, Category-ApplicationManagement
Activité : Mise à jour de la gestion des certificats d’application et des secrets
-et-
Activité : Mise à jour du principal de service ou de l’application
Une alerte est émise quand les informations d’identification sont ajoutées en dehors des heures d’ouverture ou des workflows habituels, quand elles sont ajoutées avec des types non utilisés dans votre environnement, ou quand elles sont ajoutées à un principal de service qui ne prend pas en charge les flux SAML.
Application affectée à un rôle de contrôle d’accès en fonction du rôle (RBAC) Azure ou à un rôle Microsoft Entra Élevé à moyen Journaux d'audit Microsoft Entra Type : Principal de service
Activité : « Ajouter un membre au rôle »
or
« Ajouter un membre éligible au rôle »
-ou-
« Ajouter un membre inclus dans une étendue à un rôle ».
N/A
Application se voyant accorder des autorisations à privilèges élevés, telles que des autorisations « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail.) Élevée Journaux d'audit Microsoft Entra N/A Applications se voyant accorder des autorisations générales comme « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail.)
Administrateur accordant des autorisations d’application (rôles d’application) ou des permissions déléguées à privilèges élevés Élevé Portail Microsoft 365 « Ajouter une attribution de rôle d’application à un principal de service »
-où-
Target(s) identifie une API avec des données sensibles (par exemple, Microsoft Graph) « Ajouter l’octroi d’autorisations déléguées »
-où-
Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph)
-et-
DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés.
Déclenchez une alerte quand un administrateur général, d’application ou d’application cloud accorde son consentement à une application. Recherchez en particulier les consentements accordés en dehors des activités et des procédures de modification habituelles.
L’application se voit accorder des autorisations pour Microsoft Graph, Exchange, SharePoint ou Microsoft Entra ID. Élevée Journaux d'audit Microsoft Entra « Ajout de l’octroi de permissions déléguées »
-ou-
« Ajouter une attribution de rôle d’application à un principal de service »
-où-
Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph, Exchange Online, etc.)
Utilisez l’alerte de la ligne précédente.
Des permissions déléguées à privilèges élevés sont accordées pour le compte de tous les utilisateurs Élevée Journaux d'audit Microsoft Entra « Ajout de l’octroi de permissions déléguées »

Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph)
DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés
-et-
DelegatedPermissionGrant.ConsentType est « AllPrincipals ».
Utilisez l’alerte de la ligne précédente.
Applications qui utilisent le flux d’authentification ROPC Moyenne Journal de connexion Microsoft Entra État=Réussite
Protocole d’authentification-ROPC
Un niveau de confiance élevé est placé dans cette application, car les informations d’identification peuvent être mises en cache ou stockées. Si possible, passez à un flux d’authentification plus sécurisé. Utilisez le processus uniquement dans les tests d’application automatisés, le cas échéant.
URI non résolu Élevée Journaux Microsoft Entra et inscription d’application Service-Répertoire principal
Category-ApplicationManagement
Activité : Mise à jour de l’application
Réussite : nom de propriété AppAddress
Recherchez par exemple des URI non résolus qui pointent vers un nom de domaine qui n’existe plus ou qui ne vous appartient pas.
Modification de la configuration des URI de redirection Élevée Journaux Microsoft Entra Service-Répertoire principal
Category-ApplicationManagement
Activité : Mise à jour de l’application
Réussite : nom de propriété AppAddress
Recherchez les URI qui n’utilisent pas HTTPS*, les URI avec des caractères génériques à la fin ou le domaine de l’URL, les URI qui ne sont pas uniques à l’application, les URI qui pointent vers un domaine que vous ne contrôlez pas.
Modifications apportées à l’URI AppID Élevée Journaux Microsoft Entra Service-Répertoire principal
Category-ApplicationManagement
Activité : Mise à jour de l’application
Activité : Mise à jour du principal de service
Recherchez les modifications d’URI AppID, telles que l’ajout, la modification ou la suppression de l’URI.
Modifications apportées à la propriété des applications Moyenne Journaux Microsoft Entra Service-Répertoire principal
Category-ApplicationManagement
Activité : Ajouter un propriétaire à une application
Recherchez les instances d’utilisateurs ajoutés en tant que propriétaires d’applications en dehors des activités de gestion des changements normales.
Modifications apportées à l’URL de déconnexion Faible Journaux Microsoft Entra Service-Répertoire principal
Category-ApplicationManagement
Activité : Mise à jour de l’application
-et-
Activité : Mise à jour du principal de service
Recherchez toute modification apportée à une URL de déconnexion. Les entrées vides ou les entrées correspondant à des emplacements inexistants empêchent un utilisateur de mettre fin à une session.

Infrastructure

Éléments à analyser Niveau de risque Where Filtre/sous-filtre Notes
Nouvelle stratégie d’accès conditionnel créée par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Ajouter une stratégie d’accès conditionnel
Catégorie : Stratégie
Lancé par (intervenant) : Nom d’utilisateur principal
Superviser et signaler les modifications d’accès conditionnel. Lancé par (intervenant) : est-il autorisé à modifier l’accès conditionnel ?
Stratégie d’accès conditionnel supprimée par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Supprimer une stratégie d’accès conditionnel
Catégorie : Stratégie
Lancé par (intervenant) : Nom d’utilisateur principal
Superviser et signaler les modifications d’accès conditionnel. Lancé par (intervenant) : est-il autorisé à modifier l’accès conditionnel ?
Stratégie d’accès conditionnel mise à jour par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Mettre à jour une stratégie d’accès conditionnel
Catégorie : Stratégie
Lancé par (intervenant) : Nom d’utilisateur principal
Superviser et signaler les modifications d’accès conditionnel. Lancé par (intervenant) : est-il autorisé à modifier l’accès conditionnel ?
Passez en revue les propriétés modifiées et comparez l’ancienne valeur et la nouvelle
Stratégie personnalisée B2C créée par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Créer une stratégie personnalisée
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler les modifications de stratégie personnalisée. Lancé par (intervenant) : est-il autorisé à modifier des stratégies personnalisées ?
Stratégie personnalisée B2C mise à jour par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Obtenir des stratégies personnalisées
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler les modifications de stratégie personnalisée. Lancé par (intervenant) : est-il autorisé à modifier des stratégies personnalisées ?
Stratégie personnalisée B2C supprimée par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Supprimer une stratégie personnalisée
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler les modifications de stratégie personnalisée. Lancé par (intervenant) : est-il autorisé à modifier des stratégies personnalisées ?
Flux d’utilisateurs créé par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Créer un flux utilisateur
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler en cas de modifications apportées au flux utilisateur. Lancé par (intervenant) : est-il autorisé à modifier des flux d'utilisateurs ?
Flux d’utilisateurs mis à jour par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Mettre à jour le flux d’utilisateurs
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler en cas de modifications apportées au flux utilisateur. Lancé par (intervenant) : est-il autorisé à modifier des flux d'utilisateurs ?
Flux d’utilisateurs supprimé par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Supprimer un flux d’utilisateurs
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler en cas de modifications apportées au flux utilisateur. Lancé par (intervenant) : est-il autorisé à modifier des flux d'utilisateurs ?
Connecteurs d’API créés par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Créer un connecteur d’API
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler en cas de modifications apportées au connecteur d’API. Lancé par (intervenant) : est-il autorisé à modifier des connecteurs d’API ?
Connecteurs d’API mis à jour par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Mettre à jour le connecteur d’API
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal : ResourceManagement
Superviser et signaler en cas de modifications apportées au connecteur d’API. Lancé par (intervenant) : est-il autorisé à modifier des connecteurs d’API ?
Connecteurs d’API supprimés par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Mettre à jour le connecteur d’API
Catégorie : ResourceManagment
Cible : Nom d’utilisateur principal : ResourceManagment
Superviser et signaler en cas de modifications apportées au connecteur d’API. Lancé par (intervenant) : est-il autorisé à modifier des connecteurs d’API ?
Fournisseur d’identité (IdP) créé par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Créer le fournisseur d’identité
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler les modifications du fournisseur d’identité et envoyer des alertes. Lancé par (intervenant) : est-il autorisé à modifier la configuration de fournisseur d'identité ?
IdP mis à jour par des intervenants non approuvés Forte Journaux d'audit Microsoft Entra Activité : Mettre à jour le fournisseur d’identité
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler les modifications du fournisseur d’identité et envoyer des alertes. Lancé par (intervenant) : est-il autorisé à modifier la configuration de fournisseur d'identité ?
IdP supprimé par des intervenants non approuvés Moyenne Journaux d'audit Microsoft Entra Activité : Supprimer le fournisseur d’identité
Catégorie : ResourceManagement
Cible : Nom d’utilisateur principal
Superviser et signaler les modifications du fournisseur d’identité et envoyer des alertes. Lancé par (intervenant) : est-il autorisé à modifier la configuration de fournisseur d'identité ?

Étapes suivantes

Pour plus d’informations sur la sécurité, consultez les articles suivants sur les opérations de sécurité :