Les autres domaines de Confiance Zéro ne sont pas traitées dans le mémorandum 22-09

Les autres articles de cet aide abordent le pilier de l’identité des principes de Confiance Zéro, comme décrit dans le Mémorandum M 22-09 à l’intention des chefs des départements et organismes exécutifs de l’Office of Management and Budget (OMB) des États-Unis. Cet article couvre les domaines du modèle de maturité Confiance Zéro au-delà du pilier de l’identité et traite des thèmes suivants :

• Visibilité
• Analyse
• Automatisation et orchestration
• Gouvernance

Visibilité

Il est important de surveiller votre locataire Microsoft Entra. Envisagez une violation et respectez les normes de conformité dans le mémorandum 22-09 et le mémorandum 21-31. Trois types de journaux principaux sont utilisés pour l’analyse et l’ingestion de la sécurité :

• Les journaux d’audit Azure, utilisés pour surveiller les activités opérationnelles du répertoire lui-même, telles que la création, la suppression, la mise à jour d’objets tels que les utilisateurs ou les groupes
  • Utilisés également pour apporter des modifications aux configurations Microsoft Entra, telles que des modifications à une stratégie d’accès conditionnel
  • Consultez Journaux d’audit dans Microsoft Entra ID
• Les journaux d’approvisionnement ont des informations sur les objets synchronisés à partir de Microsoft Entra ID vers des applications comme Service Now, à l’aide de Microsoft Identity Manager
  • Consultez Approvisionnement des journaux d’activité dans Microsoft Entra ID
• Les journaux de connexion Microsoft Entra, utilisés pour surveiller toutes les activités de connexion associées à des utilisateurs, des applications et des principaux de service.
  • Les journaux de connexion ont des catégories pour la différenciation
  • Les connexions interactives affichent les connexions réussies et ayant échoué, les stratégies appliquées et d’autres métadonnées
  • Les connexions utilisateur non interactives n’affichent aucune interaction lors de la connexion : les clients se connectent pour le compte de l’utilisateur, tels que les applications mobiles ou les clients e-mail
  • Les connexions du principal de service affichent la connexion du principal de service ou de l’application : services ou applications accédant aux services, aux applications ou au répertoire Microsoft Entra via l’API REST
  • Les connexions d’identités gérées pour les ressources Azure : ressources ou applications qui accèdent à des ressources Azure, telles qu’un service d’application web qui s’authentifie auprès d’un backend Azure SQL.
  • Consultez Journaux de connexion dans Microsoft Entra ID (préversion)

Dans les locataires Microsoft Entra ID gratuits, les entrées de journal sont stockées pendant sept jours. Les locataires disposant d’une licence Microsoft Entra ID P1 ou P2 conservent les entrées de journal pendant 30 jours.

Assurez-vous qu’un outil de gestion des informations et des événements de sécurité (SIEM) ingère les journaux. Utilisez les événements de connexion et d’audit pour mettre en corrélation les journaux d’application, d’infrastructure, de données, d’appareils et de réseau.

Nous vous recommandons d’intégrer les journaux Microsoft Entra à Microsoft Sentinel. Configurez un connecteur pour ingérer les journaux des locataires Microsoft Entra.

En savoir plus :

• Qu’est-ce que Microsoft Sentinel ?
• Connecter Microsoft Entra ID à Microsoft Sentinel

Pour les locataires Microsoft Entra, vous pouvez également configurer les paramètres de diagnostic pour envoyer les données vers un compte de stockage Azure, Azure Event Hubs ou l’espace de travail Log Analytics. Utilisez ces options de stockage pour intégrer d’autres outils SIEM pour collecter les données.

En savoir plus :

• Qu’est-ce que la surveillance Microsoft Entra ?
• Dépendances de déploiement pour la création de rapports et la surveillance de Microsoft Entra

Analyse

Vous pouvez utiliser les outils d’analyse suivants pour regrouper les informations provenant de Microsoft Entra ID et montrer les tendances de votre posture de sécurité par rapport à votre ligne de base. Les analyses permettent également d’évaluer et de rechercher des modèles ou des menaces dans Microsoft Entra ID.

• Microsoft Entra ID Protection analyse les connexions et d’autres sources de télémétrie à la recherche d’un comportement risqué
  • ID Protection attribue un score de risque à des événements de connexion
  • Empêchez les connexions, ou imposez une authentification par étape, pour accéder à une ressource ou une application en fonction du score de risque
  • Consultez Qu’est-ce qu’ID Protection ?
• Les rapports sur l’utilisation et les informations Microsoft Entra comportent des informations similaires aux classeurs Azure Sentinel, notamment les applications avec les tendances d’utilisation ou de connexion les plus élevées.
  • Utilisez des rapports pour comprendre les tendances agrégées pouvant indiquer une attaque ou d’autres événements
  • Consultez Utilisation et informations dans Microsoft Entra ID
• Microsoft Sentinel analyse les informations de Microsoft Entra ID :
  • Microsoft Sentinel User and Entity Behavior Analytics (UEBA) fournit des informations sur les menaces potentielles provenant des entités utilisateur, hôte, adresse IP et application.
  • Utilisez des modèles de règle d’analyse spécifiques pour rechercher les menaces et les alertes dans vos journaux Microsoft Entra. Votre analyste de la sécurité ou des opérations peut trier et corriger les menaces.
  • Les classeurs Microsoft Sentinel aident à visualiser les sources de données Microsoft Entra. Consultez les connexions par pays/région ou applications.
  • Consultez Classeurs Microsoft Sentinel couramment utilisés
  • Consultez Visualiser les données collectées
  • Consultez Identifier les menaces avancées avec UEBA dans Microsoft Sentinel

Automatisation et orchestration

L’automatisation dans Confiance Zéro permet de corriger les alertes en raison de menaces ou de modifications de sécurité. Dans Microsoft Entra ID, l’intégration de l’automatisation aide à clarifier les actions pour améliorer la posture de sécurité. L’automatisation est basée sur les informations reçues de la surveillance et de l’analyse.

Utilisez les appels REST de l’API Microsoft Graph pour accéder à Microsoft Entra ID de manière programmatique. Cet accès nécessite une identité Microsoft Entra avec des autorisations et une étendue. Avec l’API Graph, intégrez d’autres outils.

Nous vous recommandons de configurer une fonction Azure ou une application logique Azure pour utiliser une identité gérée affectée par le système. L’application logique ou fonction possède des étapes ou un code pour automatiser les actions. Attribuez des autorisations à l’identité gérée pour accorder au principal de service les autorisations de répertoire pour effectuer les actions. Accordez des droits minimum aux identités gérées.

En savoir plus : Que sont les identités gérées pour les ressources Azure ?

Les modules Microsoft Graph PowerShell constituent un autre point d’intégration de l’automation. Utilisez Microsoft Graph PowerShell pour effectuer des tâches ou des configurations courantes dans Microsoft Entra ID, ou incorporer dans des fonctions Azure ou des runbooks Azure Automation.

Gouvernance

Documentez vos processus d’exploitation de l’environnement Microsoft Entra. Utilisez les fonctionnalités Microsoft Entra pour les fonctionnalités de gouvernance appliquées aux étendues dans Microsoft Entra ID.

En savoir plus :

• Guide de référence sur les opérations de Microsoft Entra ID Governance
• Guide des opérations de sécurité Microsoft Entra
• Qu’est-ce que Microsoft Entra ID Governance ?
• Respecter les exigences d’autorisation du mémorandum 22-09.

Étapes suivantes

• Respecter les exigences d’identité du mémorandum 22-09 avec Microsoft Entra ID
• Système de gestion des identités au niveau de l’entreprise
• Répondre aux exigences d’authentification multifacteur du mémorandum 22-09
• Répondre aux exigences d’autorisation du mémorandum 22-09
• Sécurisation des identités avec la Confiance Zéro