Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra ID Protection permet de protéger votre organisation en détectant et en répondant automatiquement aux risques basés sur l’identité. Bien que la correction automatisée gère de nombreuses menaces, certaines situations nécessitent une investigation et une action manuelles. Les rapports sur les risques id Protection fournissent les insights dont vous avez besoin pour identifier, examiner et répondre aux menaces de sécurité potentielles affectant vos utilisateurs, connexions et identités de charge de travail.
Accéder aux rapports de risque
Le tableau de bord ID Protection fournit un résumé des insights importants que vous pouvez utiliser à tout moment pour identifier les risques potentiels.
- Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de sécurité au moins.
- Accédez à ID Protection>tableau de bord.
- Sélectionnez un rapport dans le menu de navigation Id Protection.
Chaque rapport démarre avec une liste de toutes les détections pour la période indiquée en haut du rapport. Vous pouvez filtrer et ajouter ou supprimer des colonnes en fonction de vos préférences. Téléchargez les données dans . CSV ou . Format JSON pour un traitement ultérieur. Pour intégrer les rapports aux outils SIEM (Security Information and Event Management) pour une analyse plus approfondie, consultez Configurer les paramètres de diagnostic.
Afficher les détails et prendre des mesures
Sélectionnez une entrée dans un rapport pour afficher plus de détails, qui diffèrent selon le rapport que vous affichez. Dans le volet d’informations, vous pouvez également effectuer des actions sur l’utilisateur sélectionné ou la connexion. Vous pouvez sélectionner une ou plusieurs entrées et confirmer le risque ou le ignorer. Vous pouvez également démarrer un flux de réinitialisation de mot de passe à partir de l’utilisateur. Ces fonctionnalités ont des exigences de rôle différentes. Par conséquent, si une option est grisée, vous avez besoin d’un rôle avec des privilèges plus élevés. Pour plus d’informations, consultez Les rôles requis pour la protection des ID.
Utilisateurs à risque
Les détails d’un utilisateur à risque sélectionné fournissent des informations sur le risque qui a été corrigé, ignoré ou est toujours à risque et a besoin d’une enquête. Vous disposez également de détails sur les détections de risques associées. Pour obtenir une vue d’ensemble détaillée, consultez le rapport de l’utilisateur à risque.
Un utilisateur devient un utilisateur à risque dans les cas suivants :
- Il compte une ou plusieurs connexions risquées.
- Un ou plusieurs risques ont été détectés sur son compte, par exemple des informations d’identification fuitées.
Security Copilot
Si vous avez également Security Copilot, vous avez accès à un résumé en langage naturel pour les scénarios tels que la raison pour laquelle le niveau de risque utilisateur a été élevé et des conseils sur la façon d’atténuer et de répondre.
Connexions risquées
Le rapport des connexions risquées répertorie les connexions qui sont à risque, confirmées compromises, confirmées sécurisées, ignorées ou corrigées. Le volet d’informations fournit plus d’informations sur la tentative de connexion qui peut vous aider lors d’une investigation, telles que les niveaux de risque en temps réel et d’agrégation associés aux tentatives de connexion et aux types de détection déclenchés.
Les détails des connexions risquées sont les suivants :
- L’application que l’utilisateur essayait d’accéder
- Stratégies d’accès conditionnel appliquées
- Détails MFA
- Informations sur l’appareil, l’application et l’emplacement
- État des risques, niveau de risque et source de la détection des risques (Protection d’ID ou Microsoft Defender pour point de terminaison)
Le rapport des connexions risquées contient des données filtrables pour un maximum de 30 jours (un mois). Protection Microsoft Entra ID évalue les risques pour tous les flux d’authentification, qu’ils soient interactifs ou non. Le rapport Connexion risquées présente les connexions interactives et non interactives. Modifiez cette vue à l’aide du filtre « type de connexion ».
Si les boutons d’action sont grisés, vous avez besoin d’un rôle privilégié plus élevé. Les administrateurs peuvent prendre des mesures en cas de connexion risquée et choisir d’effectuer l’une des actions suivantes :
- Confirmer que la connexion est compromise : cette action confirme que la connexion est un vrai positif. La connexion est considérée comme risquée jusqu’à ce que les étapes de correction soient effectuées.
- Confirmer que la connexion est sécurisée : cette action confirme que la connexion est un faux positif. Les connexions similaires ne doivent pas être considérées comme risquées à l’avenir.
- Ignorer le risque de connexion : cette action est utilisée pour un vrai positif bénin. Ce risque de connexion détecté est réel, mais n’est pas malveillant, comme dans le cas d’un test de pénétration connu ou d’une activité connue générée par une application autorisée. Les connexions similaires doivent continuer de faire l’objet d’une évaluation des risques à l’avenir.
Pour en savoir plus sur le moment opportun pour prendre chacune de ces mesures, consultez Utilisation par Microsoft de mes commentaires sur les risques.
Agents à risque
La protection des ID peut vous aider à identifier les agents à risque dans votre organisation. Ce rapport inclut toutes les identités au sein de la plateforme d’ID de Microsoft Entra Agent . Le rapport Agents à risque fournit une vue d’ensemble des détections de risque pour chaque agent, avec des outils pour vous permettre de prendre des mesures directement depuis le rapport.
Les détails de l’agent à risque sont les suivants :
- Nom complet de l'agent
- État des risques et niveau de risque
- Type d’agent
- Sponsors de l’agent
Un agent devient un agent à risque lorsqu’il a un ou plusieurs événements à risque détectés sur son compte. Pour plus d’informations, consultez ID Protection pour les agents.
Identifiants de charge de travail à risque
Une identité de charge de travail est une identité qui permet à une application d’accéder aux ressources, parfois dans le contexte d’un utilisateur. Sur la page de détails de l'ID de charge de travail risqué, vous pouvez accéder aux journaux de connexion et d'audit du principal de service pour une analyse plus approfondie.
Important
Les détails complets des risques et les contrôles d'accès basés sur les risques sont disponibles pour les clients de Workload Identities Premium ; Cependant, les clients sans licence Workload Identities Premium reçoivent toujours toutes les détections avec des détails de rapports limités.
Les détails des ID de charge de travail à risque sont les suivants :
- Identifiant principal de service
- État des risques et niveau de risque
- Historique des risques
Détections de risques
Le rapport sur les détections de risques fournit des insights sur les différentes détections de risque associées aux utilisateurs et aux connexions. Les détails incluent des informations sur le type de risque détecté, l’utilisateur ou la connexion auquel il se rapporte et l’état actuel du risque. Dans le volet d’informations, vous pouvez également accéder au rapport de risque utilisateur associé, aux connexions de l’utilisateur et aux détections de risques.
Les détails des détections de risques sont les suivants :
- Type de détection
- État des risques, niveau de risque et détail des risques
- Type d’attaque
- Source de la détection des risques (Protection d’ID ou Microsoft Defender pour point de terminaison)
Le rapport Détections de risques comporte des données filtrables sur une période pouvant aller jusqu’aux 90 derniers jours (3 mois).
Les informations du rapport Détections de risques permettent aux administrateurs de rechercher les éléments suivants :
- Informations sur chaque détection de risque
- Type d’attaque basé sur l’infrastructure MITRE ATT&CK
- Autres risques déclenchés en même temps
- Emplacement de la tentative de connexion
- Lien vers plus de détails à partir de Microsoft Defender pour Cloud Apps
- Détections d’agents (Aperçu)
Les administrateurs peuvent ensuite choisir de revenir au rapport sur les risques ou les connexions de l’utilisateur pour effectuer des actions en fonction des informations recueillies.
Note
Notre système peut détecter ce qui suit :
- l’événement à risque qui a contribué au score de risque était un faux positif ; ou
- le risque a été corrigé avec l’application de la stratégie, par exemple l’exécution d’une invite MFA ou la modification sécurisée du mot de passe.
Par conséquent, notre système ignore l'état de risque, et un détail de risque indiquant "sécurité de connexion confirmée par l'IA" émerge, ne contribuant plus au risque de l'utilisateur.