Comment examiner les risques

Microsoft Entra ID Protection fournit plusieurs rapports de risque qui peuvent être utilisés pour examiner les risques d’identité dans votre environnement. L’examen des événements est essentielle pour mieux comprendre et identifier les points faibles de votre stratégie de sécurité. Les rapports de protection des ID peuvent être archivés pour le stockage ou intégrés à des outils SIEM (Security Information and Event Management) pour une analyse plus approfondie. Les organisations peuvent également tirer parti des intégrations de l’API Microsoft Defender, Microsoft Sentinel et Microsoft Graph pour agréger des données avec d’autres sources.

Il existe de nombreuses façons d’examiner les risques dans votre environnement et encore plus de détails à prendre en compte lors de votre examen. Cet article fournit une infrastructure pour vous aider à commencer et à présenter certains des scénarios les plus courants et des actions recommandées.

Conditions préalables

La licence Microsoft Entra ID P2 ou Microsoft Entra Suite est requise pour un accès complet aux fonctionnalités microsoft Entra ID Protection.
Le lecteur global est le rôle le moins privilégié requis pour afficher les rapports de risque.
Le lecteur de rapports est le rôle le moins privilégié requis pour afficher les journaux de connexion et d’audit.

Triage initial

Lors du démarrage du triage initial, nous vous recommandons les actions suivantes :

Passez en revue le tableau de bord protection des ID pour visualiser le nombre d’attaques, le nombre d’utilisateurs à haut risque et d’autres métriques importantes en fonction des détections dans votre environnement.
Passez en revue les rapports de risque pour examiner les détails de tous les utilisateurs à risque récents, connexions ou détections.
Passez en revue le classeur Analyse d’impact pour comprendre les scénarios où le risque est évident dans votre environnement et quelles stratégies d’accès basées sur les risques doivent être activées pour gérer les utilisateurs et les connexions à haut risque.
Passez en revue les journaux de connexion pour identifier les activités similaires avec les mêmes caractéristiques. Cette activité peut indiquer que d’autres comptes ont été compromis.
1. Si des caractéristiques communes telles que l’adresse IP, l’emplacement géographique, la réussite/l’échec, etc. sont identifiées, envisagez de les bloquer avec une stratégie d’accès conditionnel.
2. Examinez les ressources susceptibles d’avoir été compromises, notamment les téléchargements de données potentiels ou d’éventuelles modifications administratives.
3. Activer les stratégies de correction automatique via l’accès conditionnel.
Avec Insider Risk Management via Microsoft Purview, vous pouvez vérifier si l’utilisateur a effectué d’autres activités risquées, telles que le téléchargement d’un grand volume de fichiers à partir d’un nouvel emplacement. Ce comportement est une indication forte d’une compromission possible.

Si vous pensez qu’un attaquant peut emprunter l’identité de l’utilisateur, vous devez lui demander de réinitialiser son mot de passe et d’exécuter une authentification multifacteur, ou le bloquer tout en révoquant tous les jetons d’actualisation et d’accès.

Infrastructure d’examen et de correction des risques

Les organisations peuvent utiliser l’infrastructure suivante pour examiner les activités suspectes. Lorsque le risque est détecté, la première étape recommandée est l’auto-correction, si c’est une option. La auto-remédiation peut se produire via la réinitialisation de mot de passe en libre-service ou par le biais d’un flux de remédiation d’une stratégie d’accès conditionnel fondée sur le risque.

Si la correction automatique n’est pas une option, un administrateur doit corriger le risque. La correction est effectuée en appelant une réinitialisation de mot de passe, ce qui oblige l’utilisateur à réinscrire l’authentification multifacteur, à bloquer l’utilisateur ou à révoquer les sessions utilisateur. L’organigramme suivant montre le flux recommandé lorsqu’un risque est détecté :

Une fois que le risque est contenu, une enquête supplémentaire peut être nécessaire pour marquer le risque comme sûr, compromis ou pour l’ignorer.

Vérifiez les journaux de connexion et vérifiez si l’activité est normale pour l’utilisateur donné.
1. Examinez les activités passées de l’utilisateur, notamment les propriétés suivantes pour voir si elles sont normales pour l’utilisateur donné.
  - Application : l’application est-elle couramment utilisée par l’utilisateur ?
  - Appareil : l’appareil est-il inscrit ou conforme ?
  - Emplacement : l’utilisateur se rend-il à un autre emplacement ou accède-t-il à des appareils à partir de plusieurs emplacements ?
  - Adresse IP
  - Chaîne de l'agent utilisateur
Examinez l’utilisation d’autres outils de sécurité, le cas échéant.
- Si vous disposez de Microsoft Sentinel, recherchez les alertes correspondantes susceptibles d’indiquer un problème plus important.
- Si vous disposez de Microsoft Defender XDR, vous pouvez suivre un événement à risque utilisateur via d’autres alertes, incidents et chaîne MITRE ATT&CK associée.
  - Pour naviguer à partir du rapport Utilisateurs à risque, sélectionnez un utilisateur > sélectionnez les points de suspension (...) > sélectionnez Examiner avec Microsoft 365 Defender.
Contactez l’utilisateur pour confirmer s’il reconnaît la connexion ; toutefois, gardez à l’esprit que l’e-mail ou Teams peut être compromis.
1. Vérifiez les informations dont vous disposez, par exemple :
  - Timestamp
  - Application
  - Appareil
  - Emplacement
  - Adresse IP
En fonction des résultats de l’examen, marquez l’utilisateur ou la connexion comme confirmé(e) compromis(e) ou confirmé(e) sécurisé(e) ou ignorez le risque.
Configurez des stratégies d’accès conditionnel basées sur les risques pour empêcher des attaques similaires ou combler les lacunes de couverture.

Examiner des détections spécifiques

Certaines détections de risques nécessitent des étapes d’investigation spécifiques. Les sections suivantes décrivent certaines des détections de risques les plus courantes et les actions recommandées.

Renseignement sur les menaces Microsoft Entra

Pour examiner une détection de risque Microsoft Entra Threat Intelligence, procédez comme suit en fonction des informations fournies dans le champ « Informations supplémentaires » du volet Détails de détection des risques :

Si la connexion provient d’une adresse IP suspecte :
1. Vérifiez si l’adresse IP présente un comportement suspect dans votre environnement.
2. L’adresse IP génère-t-elle un nombre élevé de défaillances pour un utilisateur ou un groupe d’utilisateurs dans votre répertoire ?
3. Le trafic de l’adresse IP provient-il d’un protocole ou d’une application inattendus, par exemple de protocoles hérités Exchange ?
4. Si l’adresse IP correspond à un fournisseur de services cloud, assurez-vous qu’aucune application d’entreprise légitime ne s’exécute à partir de la même adresse IP.
Compte a été victime d’une attaque par pulvérisation de mots de passe
1. Vérifiez qu’aucun autre utilisateur de votre répertoire n’est la cible de la même attaque.
2. Déterminez si d’autres utilisateurs ont des connexions avec des modèles atypiques similaires vus dans la connexion détectée dans le même délai. Les attaques par pulvérisation de mots de passe peuvent afficher des modèles inhabituels concernant les éléments suivants :
  - Chaîne d’agent utilisateur
  - Application
  - Protocole
  - Plages d’adresses IP/ASN
  - Heure et fréquence des connexions
La détection a été déclenchée par une règle en temps réel
1. Vérifiez qu’aucun autre utilisateur de votre répertoire n’est la cible de la même attaque. Ces informations peuvent être trouvées à l’aide du numéro TI_RI_#### affecté à la règle.
2. Les règles en temps réel protègent des nouvelles attaques identifiées par Renseignement sur les menaces de Microsoft. Si plusieurs utilisateurs de votre annuaire ont été la cible de la même attaque, examinez les modèles inhabituels dans d’autres attributs de la connexion.

Détections de voyage atypiques

Si vous confirmez que l’activité n’a pas été effectuée par un utilisateur légitime :
1. Marquez la connexion comme compromise et déclenchez une réinitialisation de mot de passe si elle n'a pas déjà été effectuée par auto-correction.
2. Bloquez l’utilisateur si l’attaquant a la possibilité de réinitialiser le mot de passe ou d'effectuer l’authentification multifacteur.
Si un utilisateur est connu pour utiliser l’adresse IP dans l’étendue de ses tâches, confirmez que la connexion est sécurisée.
Si vous confirmez que l’utilisateur a récemment voyagé vers la destination mentionnée dans l’alerte, confirmez la connexion en toute sécurité.
Si vous vérifiez que la plage d’adresses IP provient d’un VPN approuvé, confirmez la connexion comme sécurisée et ajoutez la plage d’adresses IP VPN aux emplacements nommés dans Microsoft Entra ID et Microsoft Defender for Cloud Apps.

Détections d'anomalies de jetons et d'émetteurs de jetons

Si vous vérifiez que l’activité n’a pas été effectuée par un utilisateur légitime à l’aide d’une combinaison d’alertes à risque, d’emplacement, d’application, d’adresse IP, d’agent utilisateur ou d’autres caractéristiques inattendues pour l’utilisateur :
1. Marquez la connexion comme compromise et déclenchez une réinitialisation de mot de passe si elle n’a pas déjà été effectuée par auto-rémédiation.
2. Bloquez l’utilisateur si un attaquant a accès à la réinitialisation du mot de passe ou à l’exécution d’une authentification multifacteur.
3. Configurez des stratégies d’accès conditionnel basées sur les risques pour exiger la réinitialisation de mot de passe, effectuer l’authentification multifacteur ou bloquer l’accès pour toutes les connexions à haut risque.
Si vous confirmez l’emplacement, l’application, l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont attendues pour l’utilisateur et qu’il n’y a pas d’autres indications de compromission, autorisez l’utilisateur à se corriger automatiquement avec une stratégie d’accès conditionnel basée sur les risques ou si un administrateur confirme la connexion en toute sécurité.

Pour en savoir plus sur les détections basées sur les jetons, consultez le billet de blog Tactiques de jeton : procédure permettant d’empêcher un vol de jeton cloud, de le détecter et d’y répondre et le Playbook sur l’examen d’un vol de jeton.

Détections suspectes de navigateur

Cette détection indique que l’utilisateur n’utilise pas couramment le navigateur ou l’activité dans le navigateur ne correspond pas au comportement normal de l’utilisateur.

Confirmez que la connexion est compromise et procédez à une réinitialisation de mot de passe si elle n’a pas déjà été effectuée par auto-réparation. Bloquez l’utilisateur si un attaquant a accès à la réinitialisation du mot de passe ou à l’exécution d’une authentification multifacteur.
Configurez des stratégies d’accès conditionnel basées sur les risques pour exiger la réinitialisation de mot de passe, effectuer l’authentification multifacteur ou bloquer l’accès pour toutes les connexions à haut risque.

Détections d’adresses IP malveillantes

Si vous vérifiez que l’activité n’a pas été effectuée par un utilisateur légitime :
1. Confirmez que la connexion est compromise et procédez à une réinitialisation de mot de passe si elle n’a pas déjà été effectuée par auto-réparation.
2. Bloquez l’utilisateur si un attaquant a accès à la réinitialisation du mot de passe ou à l’exécution d’une authentification multifacteur et à la réinitialisation du mot de passe et révoquez tous les jetons.
3. Configurez des stratégies d’accès conditionnel basées sur les risques pour exiger la réinitialisation de mot de passe ou effectuer l’authentification multifacteur pour toutes les connexions à haut risque.
Si vous confirmez que l’utilisateur utilise l’adresse IP dans l’étendue de ses tâches, vérifiez que la connexion est sécurisée.

Détections de pulvérisation de mot de passe

Si vous vérifiez que l’activité n’a pas été effectuée par un utilisateur légitime :
1. Marquez la connexion comme compromise et déclenchez une réinitialisation de mot de passe si elle n’a pas déjà été effectuée par auto-rémédiation.
2. Bloquez l’utilisateur si un attaquant a accès à la réinitialisation du mot de passe ou à l’exécution d’une authentification multifacteur et à la réinitialisation du mot de passe et révoquez tous les jetons.
Si vous confirmez que l’utilisateur utilise l’adresse IP dans l’étendue de ses tâches, vérifiez que la connexion est sécurisée.
Si vous vérifiez que le compte n’est pas compromis et qu’aucun indicateur de pulvérisation de force brute ou de mot de passe n’est observé sur le compte :
1. Permettre à l'utilisateur de s'auto-corriger avec une stratégie d'accès conditionnel basée sur les risques ou de faire confirmer la connexion comme sécurisée par un administrateur.
2. Assurez-vous que le verrouillage intelligent Microsoft Entra est configuré de manière appropriée pour éviter les verrouillages de compte inutiles.

Pour en savoir plus sur les détections de risques de pulvérisation de mots de passe, consultez l’article Examen de la pulvérisation de mots de passe.

Détections d’informations d’identification divulguées

Si cette détection a identifié des informations d’identification divulguées pour un utilisateur :

Confirmez que l'utilisateur est compromis et procédez à une réinitialisation de mot de passe si cela n'a pas déjà été effectué par auto-réparation.
Bloquez l’utilisateur si un attaquant a accès à la réinitialisation du mot de passe ou à l’exécution d’une authentification multifacteur et à la réinitialisation du mot de passe et révoquez tous les jetons.

Atténuer les risques futurs

Ajoutez des VPN d’entreprise et des plages d’adresses IP à des emplacements nommés dans vos stratégies d’accès conditionnel pour réduire les faux positifs.
Envisagez de créer une base de données des voyageurs connus pour le reporting des voyages organisationnels mis à jour et croisez les activités de voyage à son aide.
Fournissez des commentaires dans ID Protection pour améliorer la précision de la détection et réduire les faux positifs.

Étapes suivantes

Rétroaction

Cette page vous a-t-elle été utile ?

Last updated on 2025-10-08