Quel est le risque ?What is risk?

Les détections de risques dans Azure AD Identity Protection incluent toutes les actions suspectes identifiées liées aux comptes d’utilisateur dans l’annuaire.Risk detections in Azure AD Identity Protection include any identified suspicious actions related to user accounts in the directory.

Identity Protection offre aux organisations un accès à des ressources puissantes pour voir et traiter rapidement ces actions suspectes.Identity Protection provides organizations access to powerful resources to see and respond quickly to these suspicious actions.

Vue d’ensemble de la sécurité montrant les utilisateurs et les connexions à risque

Notes

Identity Protection génère des détections de risques uniquement quand les informations d’identification correctes sont utilisées.Identity Protection generates risk detections only when the correct credentials are used. Si des informations d’identification incorrectes sont utilisées sur une connexion, elles ne représentent pas un risque de compromission des informations d’identification.If incorrect credentials are used on a sign-in, it does not represent risk of credential compromise.

Types de risques et détectionRisk types and detection

Il existe deux types d’utilisateurs et de connexions à risque, ainsi que deux types de détections ou de calculs en temps réel et hors connexion.There are two types of risk User and Sign-in and two types of detection or calculation Real-time and Offline.

Les détections en temps réel peuvent ne pas apparaître dans les rapports pendant cinq à dix minutes.Real-time detections may not show up in reporting for five to ten minutes. Les détections hors connexion peuvent ne pas apparaître dans les rapports pendant 2 à 24 heures.Offline detections may not show up in reporting for two to twenty-four hours.

Risque de l’utilisateurUser risk

Un risque utilisateur reflète la probabilité qu’une identité ou un compte donné soit compromis.A user risk represents the probability that a given identity or account is compromised.

Ces risques sont calculés hors connexion à l’aide de sources d’informations sur les menaces internes et externes de Microsoft, dont des chercheurs en sécurité, des professionnels de la justice, des équipes de sécurité de Microsoft et d’autres sources approuvées.These risks are calculated offline using Microsoft's internal and external threat intelligence sources including security researchers, law enforcement professionals, security teams at Microsoft, and other trusted sources.

Détection d’événements à risqueRisk detection DescriptionDescription
Informations d’identification divulguéesLeaked credentials Ce type de détection d’événement à risque indique que les informations d’identification valides de l’utilisateur ont fuité.This risk detection type indicates that the user's valid credentials have been leaked. Souvent, lorsque les cybercriminels compromettent les mots de passe valides d’utilisateurs légitimes, ils le font dans le but de les rendre publics.When cybercriminals compromise valid passwords of legitimate users, they often share those credentials. Ce partage se fait généralement en publiant publiquement sur le « dark web », via des sites de pastebin, ou en échangeant et vendant des informations d’identification sur le marché noir.This sharing is typically done by posting publicly on the dark web, paste sites, or by trading and selling the credentials on the black market. Lorsque le service d’informations de connexion fuitées de Microsoft acquiert des informations d’identification utilisateur sur le dark web, des ou d’autres sources, ces informations sont comparées aux informations d’identification valides actuelles des utilisateurs d’Azure AD pour rechercher des correspondances valides.When the Microsoft leaked credentials service acquires user credentials from the dark web, paste sites, or other sources, they are checked against Azure AD users' current valid credentials to find valid matches. Pour plus d’informations sur informations de connexion divulguées, consultez Questions courantes.For more information about leaked credentials, see Common questions.
Azure AD Threat IntelligenceAzure AD threat intelligence Ce type de détection d’événement à risque indique une activité utilisateur inhabituelle pour l’utilisateur donné ou qui est cohérente avec des modèles d’attaque connus selon les sources internes et externes de Microsoft Threat Intelligence.This risk detection type indicates user activity that is unusual for the given user or is consistent with known attack patterns based on Microsoft's internal and external threat intelligence sources.

Risque à la connexionSign-in risk

Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l'identité.A sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner.

Ces risques peuvent être calculés en temps réel ou hors connexion à l’aide de sources d’informations sur les menaces internes et externes de Microsoft, dont des chercheurs en sécurité, des professionnels de la justice, des équipes de sécurité de Microsoft et d’autres sources approuvées.These risks can be calculated in real-time or calculated offline using Microsoft's internal and external threat intelligence sources including security researchers, law enforcement professionals, security teams at Microsoft, and other trusted sources.

Détection d’événements à risqueRisk detection Type de détectionDetection type DescriptionDescription
Adresse IP anonymeAnonymous IP address Temps réelReal-time Ce type de détection des risque détecte des connexions à partir d’adresses IP anonymes (par exemple, navigateur Tor VPN anonyme).This risk detection type indicates sign-ins from an anonymous IP address (for example, Tor browser or anonymous VPN). Ces adresses IP sont généralement utilisées par des acteurs souhaitant masquer leur télémétrie de connexion (adresse IP, emplacement, appareil, etc.) dans un but potentiellement malveillant.These IP addresses are typically used by actors who want to hide their login telemetry (IP address, location, device, etc.) for potentially malicious intent.
Voyage inhabituelAtypical travel Hors connexionOffline Ce type de détection d’événement à risque identifie deux connexions depuis des emplacements géographiquement distants, dont au moins un est inhabituel pour l’utilisateur compte tenu de son comportement passé.This risk detection type identifies two sign-ins originating from geographically distant locations, where at least one of the locations may also be atypical for the user, given past behavior. Entre autres facteurs, cet algorithme Machine Learning prend en compte le délai écoulé entre les deux connexions et le temps nécessaire pour se déplacer du premier emplacement au second, ce qui indique qu’un autre utilisateur utilise les mêmes informations d’identification.Among several other factors, this machine learning algorithm takes into account the time between the two sign-ins and the time it would have taken for the user to travel from the first location to the second, indicating that a different user is using the same credentials.

L’algorithme ignore les « faux positifs » évidents contribuant aux conditions de voyage impossible, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation.The algorithm ignores obvious "false positives" contributing to the impossible travel conditions, such as VPNs and locations regularly used by other users in the organization. Le système présente une période d’apprentissage initiale la plus proche de 14 jours ou de 10 connexions lui servant à assimiler le comportement de connexion des nouveaux utilisateurs.The system has an initial learning period of the earliest of 14 days or 10 logins, during which it learns a new user's sign-in behavior.
Adresse IP liée à un programme malveillantMalware linked IP address Hors connexionOffline Ce type de détection d’événement à risque indique les connexions depuis des adresses IP infectées par des logiciels malveillants, qui sont connus pour communiquer activement avec un serveur bot,This risk detection type indicates sign-ins from IP addresses infected with malware that is known to actively communicate with a bot server. Cette détection est effectuée en mettant en corrélation des adresses IP d’appareils d’utilisateurs avec des adresses ayant été en contact avec un serveur robot actif.This detection is determined by correlating IP addresses of the user's device against IP addresses that were in contact with a bot server while the bot server was active.
Propriétés de connexion inhabituellesUnfamiliar sign-in properties Temps réelReal-time Ce type de détection d’événement à risque prend en compte l’historique des connexions antérieures (IP, latitude / longitude et NSA) pour rechercher des connexions anormales. Le système stocke les informations sur les emplacements précédents d’un utilisateur et considère ces emplacements comme « connus ».This risk detection type considers past sign-in history (IP, Latitude / Longitude and ASN) to look for anomalous sign-ins. The system stores information about previous locations used by a user, and considers these "familiar" locations. La détection d’événement à risque est déclenchée quand la connexion a lieu depuis un emplacement qui ne figure pas déjà dans la liste des emplacements connus.The risk detection is triggered when the sign-in occurs from a location that's not already in the list of familiar locations. Les utilisateurs nouvellement créés seront en « mode d’apprentissage » pendant une période de temps durant laquelle les détections d’événements à risque des propriétés de connexion inconnues seront désactivées alors que nos algorithmes apprennent le comportement de l’utilisateur.Newly created users will be in "learning mode" for a period of time in which unfamiliar sign-in properties risk detections will be turned off while our algorithms learn the user's behavior. La durée du mode d’apprentissage est dynamique et varie selon le temps qu’il faut à l’algorithme pour collecter suffisamment d’informations sur les modèles de connexion de l’utilisateur.The learning mode duration is dynamic and depends on how much time it takes the algorithm to gather enough information about the user's sign-in patterns. La durée minimale est de 5 jours.The minimum duration is five days. Un utilisateur peut revenir en mode d’apprentissage après une longue période d’inactivité.A user can go back into learning mode after a long period of inactivity. Le système ignore également les connexions depuis les appareils connus et les emplacements géographiquement proches d’un emplacement connu.The system also ignores sign-ins from familiar devices, and locations that are geographically close to a familiar location.

Nous exécutons également cette détection pour l’authentification de base (ou les protocoles existants).We also run this detection for basic authentication (or legacy protocols). Étant donné que ces protocoles ne proposent pas les propriétés modernes, telles que l’ID client, les données de télémétrie pour réduire le nombre de faux positifs sont limitées.Because these protocols do not have modern properties such as client ID, there is limited telemetry to reduce false positives. Nous recommandons à nos clients de passer à l’authentification moderne.We recommend our customers to move to modern authentication.
L’administrateur a confirmé que cet utilisateur est compromisAdmin confirmed user compromised Hors connexionOffline Cette détection indique qu’un administrateur a sélectionné « Confirmer que l’utilisateur est compromis » dans l’interface utilisateur Utilisateurs à risque ou à l’aide de l’API riskyUsers.This detection indicates an admin has selected 'Confirm user compromised' in the Risky users UI or using riskyUsers API. Pour voir quel administrateur a confirmé que cet utilisateur est compromis, consultez l’historique des risques de l’utilisateur (par le biais de l’interface utilisateur ou de l’API).To see which admin has confirmed this user compromised, check the user's risk history (via UI or API).
Adresse IP malveillanteMalicious IP address Hors connexionOffline Cette détection indique une connexion à partir d’une adresse IP malveillante.This detection indicates sign-in from a malicious IP address. Une adresse IP est considérée comme malveillante quand elle présente un taux d’échecs élevé en raison d’informations d’identification non valides qu’elle envoie ou d’autres sources relatives à la réputation des adresses IP.An IP address is considered malicious based on high failure rates because of invalid credentials received from the IP address or other IP reputation sources.
Règles suspectes de manipulation de boîte de réceptionSuspicious inbox manipulation rules Hors connexionOffline Cette détection est découverte par Microsoft Cloud App Security (MCAS).This detection is discovered by Microsoft Cloud App Security (MCAS). Cette détection dresse le profil de votre environnement et déclenche des alertes lorsque des règles suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies dans la boîte de réception d'un utilisateur.This detection profiles your environment and triggers alerts when suspicious rules that delete or move messages or folders are set on a user's inbox. Cela peut indiquer que le compte de l’utilisateur est compromis, que les messages sont intentionnellement masqués et que la boîte aux lettres est utilisée pour distribuer le courrier indésirable ou les logiciels malveillants dans votre organisation.This detection may indicate that the user's account is compromised, that messages are being intentionally hidden, and that the mailbox is being used to distribute spam or malware in your organization.
Pulvérisation de mots de passePassword spray Hors connexionOffline Une attaque par pulvérisation de mots de passe est l’endroit où plusieurs noms d’utilisateur sont attaqués à l’aide de mots de passe communs dans une méthode de force brute unifiée pour obtenir un accès non autorisé.A password spray attack is where multiple usernames are attacked using common passwords in a unified brute force manner to gain unauthorized access. Cette détection des risques est déclenchée lorsqu’une attaque par pulvérisation de mots de passe a été effectuée.This risk detection is triggered when a password spray attack has been performed.
Voyage impossibleImpossible travel Hors connexionOffline Cette détection est découverte par Microsoft Cloud App Security (MCAS).This detection is discovered by Microsoft Cloud App Security (MCAS). Cette détection identifie deux activités de l’utilisateur (dans une seule ou plusieurs sessions) provenant d’emplacements éloignés sur le plan géographique au cours d’une période plus courte que la durée nécessaire à l’utilisateur pour aller du premier emplacement au second, indiquant qu’un autre utilisateur utilise les mêmes informations d’identification.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials.

Autres détections de risquesOther risk detections

Détection d’événements à risqueRisk detection Type de détectionDetection type DescriptionDescription
Risque supplémentaire détectéAdditional risk detected Temps réel ou hors connexionReal-time or Offline Cette détection indique que l’une des détections Premium ci-dessus a eu lieu.This detection indicates that one of the above premium detections was detected. Étant donné que les détections Premium ne sont visibles que pour les clients Azure AD Premium P2, on les appelle « Risque supplémentaire détecté » pour les clients dépourvus de licences Azure AD Premium P2.Since the premium detections are visible only to Azure AD Premium P2 customers, they are titled "additional risk detected" for customers without Azure AD Premium P2 licenses.

Questions courantesCommon questions

Niveaux de risqueRisk levels

La protection d’identité catégorise les risques en trois niveaux : faible, moyen, sévère.Identity Protection categorizes risk into three tiers: low, medium, and high.

Bien que Microsoft ne communique pas en détail sur l'évaluation du risque, nous pouvons affirmer que chaque niveau souligne avec un peu plus de certitude que l'utilisateur ou la connexion est compromis(e).While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. Par exemple, une instance de propriétés de connexion non connues pour un utilisateur pourrait être moins dangereuse que la divulgation d’informations d’identification pour un autre utilisateur.For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

Synchronisation de hachage du mot de passePassword hash synchronization

Les détections de risque comme les informations d’identification divulguées et la vaporisation de mots de passe nécessitent la présence de hachages de mot de passe pour la détection.Risk detections like leaked credentials and password spray require the presence of password hashes for detection to occur. Pour plus d’informations sur la synchronisation de hachage du mot de passe, consultez l’article Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Azure AD Connect.For more information about password hash synchronization, see the article, Implement password hash synchronization with Azure AD Connect sync.

Informations d’identification divulguéesLeaked credentials

Où Microsoft trouve-t-il les informations d’identification divulguées ?Where does Microsoft find leaked credentials?

Microsoft découvre des fuites d'informations d'identification à divers endroits, notamment :Microsoft finds leaked credentials in a variety of places, including:

  • Les sites de téléchargement publics tels que pastebin.com et paste.ca où les malfaiteurs publient généralement ce genre de contenu.Public paste sites such as pastebin.com and paste.ca where bad actors typically post such material. Ce genre de site est la première étape pour les malfaiteurs en quête d'informations d’identification volées.This location is most bad actors' first stop on their hunt to find stolen credentials.
  • Forces de l'ordre.Law enforcement agencies.
  • D'autres groupes chez Microsoft qui s’occupent des recherches sur le dark web.Other groups at Microsoft doing dark web research.

Pourquoi ne vois-je aucune information d'identification divulguée ?Why aren't I seeing any leaked credentials?

Les informations d'identification divulguées sont traitées chaque fois que Microsoft trouve une nouvelle occurrence de données accessibles au public.Leaked credentials are processed anytime Microsoft finds a new, publicly available batch. En raison de leur nature sensible, les informations d'identification divulguées sont supprimés peu après le traitement.Due to the sensitive nature, the leaked credentials are deleted shortly after processing. Seules les nouvelles informations d’identification divulguées détectées après l’activation de la synchronisation de hachage de mot de passe (PHS) seront traitées pour votre locataire.Only new leaked credentials found after you enable password hash synchronization (PHS) will be processed against your tenant. La vérification par rapport aux paires d’informations d’identification précédemment détectées n’est pas effectuée.Verifying against previously found credential pairs is not performed.

Je n’ai pas vu d’événements à risque concernant les informations d’identification divulguées depuis un moment.I haven't seen any leaked credential risk events for quite some time?

Si vous n’avez pas vu d’événements à risque concernant les informations d’identification divulguées, cela peut être dû à plusieurs raisons :If you haven't seen any leaked credential risk events, it's because of the following reasons:

  • Vous n'avez aucun PHS activé pour votre locataire.You don't have PHS enabled for your tenant.
  • Microsoft n'a trouvé aucune paire d’informations d’identification divulguées et correspondant à vos utilisateurs.Microsoft hasn't found any leaked credential pairs that match your users.

À quelle fréquence Microsoft traite-t-il les nouvelles informations d’identification ?How often does Microsoft process new credentials?

Les informations d’identification sont traitées immédiatement après avoir été détectées, normalement en plusieurs lots par jour.Credentials are processed immediately after they have been found, normally in multiple batches per day.

Étapes suivantesNext steps