Qu’est-ce qu’Identity Protection ?
Identity Protection est un outil qui permet aux organisations d'accomplir trois tâches principales :
- Automatiser la détection et la correction des risques liés à l'identité
- Examiner les risques à l'aide des données disponibles sur le portail
- Exporter les données de détection des risques vers des utilitaires tiers pour une analyse plus approfondie
Pour protéger vos utilisateurs, Identity Protection s'appuie sur les connaissances acquises par Microsoft au niveau des organisations avec Azure AD, de l'espace grand public avec les comptes Microsoft et des jeux avec Xbox. Microsoft analyse 6 500 milliards de signaux par jour pour identifier les menaces et protéger les clients.
Les signaux générés par Identity Protection et transmis à celui-ci peuvent également être transmis à des outils tels que l'Accès conditionnel pour prendre des décisions en matière d'accès, ou renvoyés à un outil SIEM (Security Information and Event Management) pour un examen plus approfondi en fonction des stratégies appliquées par votre organisation.
Pourquoi l'automatisation est-elle importante ?
Dans son billet de blog d'octobre 2018, Alex Weinert, qui dirige l'équipe Identity Security and Protection de Microsoft, explique pourquoi l'automatisation est si importante pour gérer le volume des événements :
Chaque jour, nos systèmes d'apprentissage automatique et heuristiques fournissent des scores de risque pour 18 milliards de tentatives de connexion correspondant à plus de 800 millions de comptes distincts, dont 300 millions relèvent de manière perceptible d'adversaires (entités telles que des auteurs malveillants et des pirates informatiques).
L'an dernier, lors de la conférence Ignite, j'ai évoqué les trois principales attaques auxquelles nos systèmes d'identité sont confrontés. Voici le volume récent de ces attaques
- Attaque par rejeu : 4,6 milliards d'attaques détectées en mai 2018
- Pulvérisation de mots de passe : 350 000 en avril 2018
- Hameçonnage : ces attaques sont difficiles à quantifier, mais nous avons observé 23 millions d'événements à risque en mars 2018, dont beaucoup étaient liés au hameçonnage
Détection d'événements à risque et solutions pour y remédier
Identity Protection identifie les risques selon les classifications suivantes :
| Type de détection des risques | Description |
|---|---|
| Adresse IP anonyme | Connexion à partir d'une adresse IP anonyme (par exemple : navigateur Tor, VPN anonymes). |
| Voyage inhabituel | Connexion à partir d’un emplacement inhabituel par rapport aux dernières connexions de l’utilisateur. |
| Adresse IP liée à un programme malveillant | Connexion à partir d’une adresse IP liée à un programme malveillant. |
| Propriétés de connexion inhabituelles | Connexion avec des propriétés inhabituelles pour l’utilisateur concerné. |
| Informations d'identification divulguées | Indique que les informations d’identification valides de l’utilisateur ont été divulguées. |
| Pulvérisation de mots de passe | Indique que plusieurs noms d’utilisateurs font l’objet d’une attaque par force brute unifiée avec des mots de passe courants. |
| Azure AD Threat Intelligence | Les sources de renseignements sur les menaces internes et externes de Microsoft ont identifié un modèle d’attaque connu. |
| Nouveau pays | Cette détection est découverte par Microsoft Cloud App Security (MCAS). |
| Activité depuis une adresse IP anonyme | Cette détection est découverte par Microsoft Cloud App Security (MCAS). |
| Transfert de boîte de réception suspect | Cette détection est découverte par Microsoft Cloud App Security (MCAS). |
Pour plus de détails sur ces risques et sur la façon dont ils sont calculés, consultez l'article Qu'est-ce qu'un risque ?.
Les signaux de risque peuvent déclencher des mesures correctives (par exemple en obligeant les utilisateurs à utiliser Azure AD Multi-Factor Authentication ou à réinitialiser leur mot de passe à l’aide de la réinitialisation de mot de passe en libre-service) ou bloquer les utilisateurs jusqu’à ce qu’un administrateur intervienne.
Examen des risques
Les administrateurs peuvent examiner les détections et prendre des mesures manuelles si nécessaire. Les administrateurs utilisent trois rapports clés pour les examens dans Identity Protection :
- Utilisateurs à risque
- Connexions risquées
- Détections de risques
Vous trouverez des informations supplémentaires dans l'article Procédure : Examiner les risques.
Niveaux de risque
La protection d’identité catégorise les risques en trois niveaux : faible, moyen, sévère.
Bien que Microsoft ne communique pas en détail sur l'évaluation du risque, nous pouvons affirmer que chaque niveau souligne avec un peu plus de certitude que l'utilisateur ou la connexion est compromis(e). Par exemple, une instance de propriétés de connexion non connues pour un utilisateur pourrait être moins dangereuse que la divulgation d’informations d’identification pour un autre utilisateur.
Exportation des données liées aux risques
Les données d’Identity Protection peuvent être exportées vers d’autres outils à des fins d’archivage, d’examen et de mise en corrélation. Les API basées sur Microsoft Graph permettent aux organisations de collecter ces données pour un traitement ultérieur dans un outil tel que SIEM. Pour plus d'informations sur l'accès à l'API Identity Protection, consultez l'article Prise en main d'Azure Active Directory Identity Protection et de Microsoft Graph.
Pour en savoir plus sur l'intégration des informations d'Identity Protection dans Azure Sentinel, consultez l'article Connecter des données depuis Azure AD Identity Protection.
Autorisations
Identity Protection exige que les utilisateurs disposent d'une des autorisations d'accès suivantes : Lecteur de sécurité, Opérateur de sécurité, Administrateur de la sécurité, Lecteur général ou Administrateur général.
| Role | Peut | Ne peut pas |
|---|---|---|
| Administrateur général | Accès complet à Identity Protection | |
| Administrateur de sécurité | Accès complet à Identity Protection | Réinitialiser un mot de passe pour un utilisateur |
| Opérateur de sécurité | Afficher tous les rapports Identity Protection et le panneau Vue d’ensemble Ignorer le risque lié à l’utilisateur, confirmer que la connexion est sécurisée, confirmer la compromission |
Configurer ou modifier des stratégies Réinitialiser un mot de passe pour un utilisateur Configurer des alertes |
| Lecteur de sécurité | Afficher tous les rapports Identity Protection et le panneau Vue d’ensemble | Configurer ou modifier des stratégies Réinitialiser un mot de passe pour un utilisateur Configurer des alertes Envoyer des commentaires sur les détections |
Actuellement, le rôle d’opérateur de sécurité ne permet pas d’accéder au rapport sur les connexions risquées.
Les administrateurs d’accès conditionnel peuvent également créer des stratégies qui prennent en compte le risque lié à la connexion en tant que condition. Pour plus d’informations, consultez l’article Accès conditionnel : Conditions.
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P2. Pour trouver la licence adaptée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuit, Applications Office 365 et Premium.
| Fonctionnalité | Détails | Applications Azure AD Free / Microsoft 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Stratégies de risque | Stratégie de risque utilisateur (via Identity Protection) | Non | Non | Oui |
| Stratégies de risque | Stratégie de risque de connexion (via Identity Protection ou l’accès conditionnel) | Non | Non | Oui |
| Rapports de sécurité | Vue d’ensemble | Non | Non | Oui |
| Rapports de sécurité | Utilisateurs à risque | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Accès total |
| Rapports de sécurité | Connexions risquées | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Accès total |
| Rapports de sécurité | Détections de risques | Non | Informations limitées. Aucun tiroir de détails. | Accès total |
| Notifications | Alertes Utilisateurs à risque détectés | Non | Non | Oui |
| Notifications | Synthèse hebdomadaire | Non | Non | Oui |
| Stratégie d'inscription MFA | Non | Non | Oui |
Vous trouverez des informations supplémentaires sur ces rapports détaillés dans l’article Procédure : Examiner les risques.