Opérations de sécurité Microsoft Entra pour Privileged Identity Management
La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Les cyber-attaquants utilisent des attaques par vol d’informations d’identification pour cibler les comptes d’administrateurs et autres comptes d’accès privilégiés afin d’essayer d’accéder à des données sensibles.
Dans le cas des services cloud, le fournisseur de services cloud et le client sont tous deux responsables de la prévention et de la réponse aux problèmes.
En général, la sécurité d’une organisation repose sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, l’utilisation d’applications SaaS et d’appareils personnels a rendu cette approche moins efficace. Dans Microsoft Entra ID, nous remplaçons le périmètre de sécurité réseau par une authentification dans la couche d’identité de votre organisation. Lorsque les utilisateurs se voient attribuer des rôles d’administration privilégiés, leur accès doit être protégé dans des environnements locaux, cloud et hybrides.
Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services cloud Azure, le fournisseur de services cloud Microsoft et vous, en tant que client, êtes tous deux responsables de la prévention et de la réponse aux problèmes.
Pour plus d’informations sur le modèle de responsabilité partagée, consultez Responsabilité partagée dans le cloud.
Pour plus d’informations sur la sécurisation de l’accès pour les utilisateurs privilégiés, consultez Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.
Pour bénéficier d’un large éventail de vidéos, de guides pratiques et de contenu concernant les concepts clés des identités privilégiées, consultez la documentation Privileged Identity Management.
Privileged Identity Management (PIM) est un service Microsoft Entra qui vous permet de gérer, contrôler et surveiller l’accès aux ressources importantes de votre organisation. Ces ressources incluent des ressources dans Microsoft Entra ID, Azure et d’autres services Microsoft Online comme Microsoft 365 ou Microsoft Intune. Vous pouvez utiliser PIM pour atténuer les risques en :
Identifiant et réduisant le nombre de personnes qui ont accès aux informations et aux ressources sécurisées.
Détectant les autorisations d’accès excessives, inutiles ou inutilisées sur les ressources sensibles.
Réduisant les risques qu’un acteur malveillant ait accès aux informations ou aux ressources sécurisées.
Réduisant les possibilités qu’un utilisateur non autorisé altère accidentellement des ressources sensibles.
Le présent article fournit des conseils d’aide sur la définition des bases de référence, l’audit des connexions et l’utilisation des comptes privilégiés. Utilisez le journal d’audit pour préserver l’intégrité des comptes privilégiés.
Emplacement des fichiers
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
Dans le portail Azure, affichez les journaux d’audit Microsoft Entra et téléchargez-les sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs manières d’intégrer les journaux Microsoft Entra à d’autres outils pour automatiser la surveillance et les alertes :
Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management).
Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour les critères de recherche recommandés, nous y avons ajouté un lien vers le référentiel Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.
Azure Monitor : Permet de créer des alertes et surveillances automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs intégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.
Microsoft Defender for Cloud Apps : vous permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.
Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques sur les identités de charge de travail sur le comportement de connexion et les indicateurs hors connexion de compromission.
La suite de cet article contient des recommandations permettant de définir une base de référence à utiliser pour la surveillance et l’envoi d’alertes, selon un modèle de niveau. Les liens vers les solutions prédéfinies sont affichés à la suite du tableau. Vous pouvez créer des alertes à l’aide des outils précédents. Le contenu est organisé selon les zones suivantes :
Lignes de base
Attribution du rôle Microsoft Entra
Paramètres d’alerte du rôle Microsoft Entra
Attribution de rôles pour les ressources Azure
Gestion de l’accès aux ressources Azure
Élévation des privilèges pour gérer les abonnements Azure
Lignes de base
Voici les paramètres recommandés pour la base de référence :
| Ce qu’il faut surveiller | Niveau de risque | Recommandation | Rôles | Remarque |
|---|---|---|---|---|
| Attribution des rôles Microsoft Entra | Élevé | Exiger une justification pour l’activation. Demander une approbation pour activer. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. | Administrateur de la sécurité, administrateur de rôle privilégié, Administrateur général | Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, notamment en modifiant l’expérience des utilisateurs activant une attribution de rôle éligible. |
| Configuration des rôles de ressources Azure | Élevé | Exiger une justification pour l’activation. Demander une approbation pour activer. Définir un processus d’approbation à deux niveaux. Lors de l’activation, exigez l’authentification multifacteur Microsoft Entra. Configurer la durée d’élévation maximale sur 8 heures. | Propriétaire, Administrateur de l’accès utilisateur | Examinez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un pirate d’accéder aux abonnements Azure de votre environnement. |
Alertes Privileged Identity Management
PIM génère des alertes lorsqu’il existe une activité suspecte ou dangereuse dans votre organisation Microsoft Entra. Lorsqu’une alerte est générée, elle apparaît dans le tableau de bord Privileged Identity Management. Vous pouvez également configurer une notification par e-mail ou l’envoyer à votre SIEM via GraphAPI. Comme ces alertes sont axées spécifiquement sur les rôles administratifs, il convient de les surveiller de près.
Attribution des rôles Microsoft Entra
Un administrateur de rôle privilégié peut personnaliser PIM dans son organisation Microsoft Entra, ce qui inclut la modification de l’expérience utilisateur lors de l’activation d’une attribution de rôle éligible :
Empêchez les acteurs malveillants de supprimer les exigences d’authentification multifacteur de Microsoft Entra pour activer l’accès privilégié.
Empêchez les utilisateurs malveillants de contourner la justification et l’approbation concernant l’activation de l’accès privilégié.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Alerte lors de l’ajout de modifications aux autorisations de compte privilégié | Élevé | Journaux d’audit Microsoft Entra | Catégorie = Gestion des rôles -et- Type d’activité – Ajout d’un membre éligible (permanent) -et- Type d’activité – Ajout d’un membre éligible (éligible) -et- État = Réussite/Échec -et- Propriétés modifiées = Role.DisplayName |
Surveillez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un pirate tente d’obtenir un privilège pour modifier les paramètres d’attribution de rôle. Si vous n’avez pas défini de seuil, déclenchez une alerte si 4 modifications ont lieu sur une période de 60 minutes dans les comptes utilisateurs, et si 2 modifications ont lieu en 60 minutes dans les comptes privilégiés. Règles Sigma |
| Alerte en cas de suppression en bloc de modifications des autorisations des comptes privilégiés | Élevé | Journaux d’audit Microsoft Entra | Catégorie = Gestion des rôles -et- Type d’activité – Suppression d’un membre éligible (permanent) -et- Type d’activité – Suppression d’un membre éligible (éligible) -et- État = Réussite/Échec -et- Propriétés modifiées = Role.DisplayName |
Examinez immédiatement en cas de modification non planifiée. Ce paramètre peut permettre à un pirate d’accéder aux abonnements Azure de votre environnement. Modèle Microsoft Sentinel Règles Sigma |
| Modifications apportées aux paramètres PIM | Élevé | Journal d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Mise à jour du paramètre de rôle dans PIM -et- Raison du statut = Authentification multifacteur à l’activation désactivée (exemple) |
Surveillez et signalez systématiquement toute modification apportée aux rôles Administrateur de rôle privilégié et Administrateur général. Cela peut indiquer qu’un pirate dispose de l’accès nécessaire pour modifier les paramètres d’attribution de rôle. L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié. Modèle Microsoft Sentinel Règles Sigma |
| Approbations et refus des demandes d’élévation | Élevé | Journal d’audit Microsoft Entra | Service = Révision d’accès -et- Catégorie = UserManagement -et- Type d’activité = Demande approuvée/refusée -et- Initié par (acteur) = UPN |
Toutes les élévations doivent être supervisées. Journalisez toutes les élévations pour obtenir une indication claire de la chronologie d’une attaque. Modèle Microsoft Sentinel Règles Sigma |
| Désactivation d’un paramètre d’alerte. | Élevé | Journaux d’audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Désactivation de l’alerte PIM -et- État = Réussite/Échec |
Toujours déclencher une alerte. Aide à détecter les acteurs malveillants en supprimant les alertes associées aux exigences d’authentification multifacteur Microsoft Entra pour activer l’accès privilégié. Permet de détecter les activités suspectes ou dangereuses. Modèle Microsoft Sentinel Règles Sigma |
Pour plus d’informations sur l’identification des modifications des paramètres de rôle dans le journal d’audit Microsoft Entra, voir Afficher l’historique d’audit des rôles Microsoft Entra dans Privileged Identity Management.
Attribution de rôles pour les ressources Azure
La surveillance des attributions de rôles de ressources Azure permet d’avoir une visibilité sur l’activité et les activations des rôles de ressources. Ces attributions peuvent être détournées pour créer une surface d’attaque sur une ressource. Quand vous effectuez la surveillance de ce type d’activité, vous essayez de détecter les éléments suivants :
Les requêtes d’attributions de rôles envoyées à des ressources spécifiques
Les attributions de rôle pour toutes les ressources enfants
Toutes les modifications d’attribution de rôles actifs et éligibles
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Alerte d’audit concernant le journal des audits de ressources pour Activités de compte privilégié | Élevé | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Ajout de membre éligible au rôle dans PIM terminé (durée maximale) -et- Cible principale -et- Type d’utilisateur -et- État = Réussite |
Toujours déclencher une alerte. Permet de détecter lorsqu’un acteur malveillant ajoute des rôles éligibles pour gérer toutes les ressources présentes dans Azure. |
| Alerte d’audit concernant l’audit des ressources pour désactivation de l’alerte | Moyen | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Désactivation de l’alerte -et- Cible principale : trop de propriétaires attribués à une ressource -et- État = Réussite |
Permet de détecter si un acteur malveillant désactive les alertes dans le volet Alertes pour contourner l’investigation des activités malveillantes |
| Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte | Moyen | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Désactivation de l’alerte -et- Cible principale : trop de propriétaires permanents affectés à une ressource -et- État = Réussite |
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’examen des activités malveillantes |
| Alerte d’audit concernant l’audit des ressources pour Désactivation de l’alerte | Moyen | Dans PIM, sous Ressources Azure, Audit des ressources | Action : Désactivation de l’alerte -et- Cible principale : rôle créé en double -et- État = Réussite |
Empêche un acteur malveillant de désactiver les alertes dans le volet Alertes pour contourner l’examen des activités malveillantes |
Pour plus d’informations sur la configuration des alertes et l’audit des rôles de ressources Azure, consultez :
Gestion de l’accès aux ressources et les abonnements Azure
Les utilisateurs ou les membres d’un groupe ayant le rôle de propriétaire ou d’administrateur d’accès aux abonnements, ainsi que les administrateurs de Microsoft Entra Global qui ont activé la gestion des abonnements dans Microsoft Entra ID, disposent par défaut des autorisations d’administrateur de ressources. Les administrateurs attribuent des rôles, configurent les paramètres de rôle, et passent en revue les accès à l’aide de Privileged Identity Management (PIM) des ressources Azure.
Un utilisateur qui a des autorisations d’administrateur de ressources peut gérer le PIM des ressources. Surveillez et atténuez ce risque introduit : la capacité peut être utilisée pour permettre à des acteurs malveillants d’avoir un accès privilégié aux ressources de l’abonnement Azure, comme les machines virtuelles ou les comptes de stockage.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Élévations | Élevé | Microsoft Entra ID, sous Gérer, Propriétés | Vérifiez régulièrement le paramètre. Gestion de l’accès aux ressources Azure |
Les administrateurs généraux peuvent accéder au niveau supérieur en activant la gestion de l’accès aux ressources Azure. Vérifiez qu’aucun acteur malveillant n’a obtenu d’autorisations permettant d’attribuer des rôles dans l’ensemble des abonnements et des groupes d’administration Azure associés à Active Directory. |
Pour plus d’informations, consultez Attribuer des rôles de ressources Azure dans Privileged Identity Management
Étapes suivantes
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes de consommateur
Opérations de sécurité pour les comptes privilégiés
Opérations de sécurité pour les applications