Opérations de sécurité pour les comptes privilégiés dans Microsoft Entra ID
La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Les pirates informatiques dérobent des informations d’identification et utilisent d’autres méthodes pour cibler les comptes privilégiés et accéder aux données sensibles.
En général, la sécurité d’une organisation est axée sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, en raison de l’utilisation d’applications SaaS (Software as a Service) et d’appareils personnels sur Internet, cette approche a perdu en efficacité.
Microsoft Entra ID utilise la gestion des identités et des accès (IAM) comme plan de contrôle. Dans la couche d’identité de votre organisation, les utilisateurs affectés à des rôles administratifs privilégiés ont le contrôle. Les comptes utilisés pour l’accès doivent être protégés, que l’environnement soit local, dans le cloud ou dans un environnement hybride.
Vous êtes entièrement responsable de toutes les couches de sécurité de votre environnement informatique local. Lorsque vous utilisez les services Azure, la prévention et la réponse aux problèmes sont des responsabilités qui sont partagées entre Microsoft en tant que fournisseur de services cloud, et vous en tant que client.
- Pour plus d’informations sur le modèle de responsabilité partagée, consultez Responsabilité partagée dans le cloud.
- Pour plus d'informations sur la sécurisation de l'accès pour les utilisateurs privilégiés, consultez Sécurisation de l'accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.
- Pour bénéficier d’un large choix de vidéos, de guides pratiques et de contenu concernant les concepts clés des identités privilégiées, consultez la documentation Privileged Identity Management.
Fichiers journaux à superviser
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
À partir du portail Azure, vous pouvez afficher les journaux d'audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs façons d'intégrer les journaux Microsoft Entra à d'autres outils qui permettent une plus grande automatisation de la surveillance et des alertes :
Microsoft Azure Sentinel. Permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités SIEM (Security Information and Event Management).
Règles Sigma - Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.
Azure Monitor. Permet de créer des alertes et supervisions automatisées de diverses conditions. avec possibilité de créer ou d’utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs intégré à un système SIEM. Permet de transmettre les journaux Microsoft Entra à d’autres systèmes SIEM, comme Splunk, ArcSight, QRadar et Sumo Logic, via l’intégration d’Azure Event Hubs. Pour plus d’informations, consultez Diffuser les journaux Microsoft Entra vers un hub d’événements Azure.
Microsoft Defender for Cloud Apps. Permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.
Microsoft Graph. Vous permet d’exporter des données et d’utiliser Microsoft Graph pour effectuer d’autres analyses. Pour plus d’informations, consultez SDK Microsoft Graph PowerShell et Microsoft Entra ID Protection.
Identity Protection. Génère trois rapports clés que vous pouvez utiliser dans le cadre de votre investigation :
Utilisateurs à risque. Contient des informations sur les utilisateurs à risque, des détails sur les détections, l’historique de toutes les connexions à risque et l’historique des risques.
Connexions à risque. Contient des informations concernant une connexion potentiellement suspecte. Pour plus d’informations sur l’investigation des informations de ce rapport, consultez Examiner les risques.
Détections de risques. Contient des informations sur les autres risques déclenchés lorsqu’un risque est détecté et d’autres informations pertinentes, telles que l’emplacement de connexion et les détails de Microsoft Defender for Cloud Apps.
Sécurisation des identités de charge de travail avec Identity Protection Preview. À utiliser pour détecter les risques sur les identités de charge de travail entre le comportement des connexions et les indicateurs hors connexion de compromission.
Même si nous déconseillons cette pratique, les comptes privilégiés peuvent bénéficier de droits d’administration permanents. Si vous choisissez d’utiliser des privilèges permanents et que le compte est compromis, cela peut avoir un effet très négatif. Nous vous recommandons de classer par ordre de priorité les comptes privilégiés de monitoring et d’inclure les comptes dans votre configuration Privileged Identity Management (PIM). Pour plus d’informations sur PIM, consultez Commencer à utiliser Privileged Identity Management. De plus, nous vous recommandons de valider que les comptes administrateur :
- Sont requis.
- Disposent des privilèges minimum pour exécuter les activités requises.
- Sont protégées au minimum avec l’authentification multifacteur.
- Sont exécutés à partir de stations de travail à accès privilégié ou de stations de travail d’administration sécurisée (SAW).
Le reste de cet article décrit ce que nous vous recommandons de superviser et sur quoi déclencher des alertes. L’article est organisé selon le type de menace. Lorsqu’il existe des solutions prédéfinies spécifiques, nous en indiquons le lien après le tableau. Sinon, vous pouvez créer des alertes à l’aide des outils décrits plus haut.
Cet article fournit des détails sur la définition de bases de référence, ainsi que sur l’audit de la connexion et de l’utilisation des comptes privilégiés. Il aborde également les outils et les ressources que vous pouvez utiliser pour aider à préserver l’intégrité de vos comptes privilégiés. Le contenu est organisé sur les sujets suivants :
- Comptes de secours d’urgence
- Connexion à un compte privilégié
- Modifications des comptes privilégiés
- Groupes privilégiés
- Attribution et élévation de privilèges
Comptes d’accès d’urgence
Il est primordial que vous empêchiez le verrouillage accidentel de votre locataire Microsoft Entra.
Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode cloud uniquement, attribué indéfiniment au rôle Administrateur général. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités à des scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.
Envoyez une alerte haute priorité chaque fois qu’un compte d’accès d’urgence est utilisé.
Découverte
Étant donné que les comptes de secours sont utilisés uniquement en cas de situation d’urgence, votre supervision ne doit pas détecter d’activité de compte. Envoyez une alerte haute priorité chaque fois qu’un compte d’accès d’urgence est utilisé ou modifié. L’un des événements suivants peut indiquer qu’un mauvais intervenant tente de compromettre vos environnements :
- Connexion.
- Modification du mot de passe du compte.
- Modification des rôles ou de l’autorisation du compte.
- Ajout ou modification des informations d’identification ou de la méthode d’authentification.
Pour plus d’informations sur la gestion des comptes d’accès d’urgence, consultez Gérer les comptes d’administration de l’accès d’urgence dans Microsoft Entra. Pour plus d’informations sur la création d’une alerte pour un compte d’accès d’urgence, consultez Créer une règle d’alerte.
Connexion à un compte privilégié
Surveillez l’activité de connexion de toutes les comptes privilégiés en utilisant les journaux de connexion Microsoft Entra comme source de données. Outre les informations de réussite et d’échec de connexion, les journaux contiennent les informations suivantes :
- Interruptions
- Appareil
- Emplacement
- Risque
- Application
- Date et heure
- Le compte est-il désactivé ?
- Verrouillage.
- Fraude MFA
- Échec d’accès conditionnel
Éléments à surveiller
Vous pouvez surveiller les événements de connexion à un compte privilégié dans les journaux de connexion Microsoft Entra. Signalez et menez des investigations sur les événements suivants pour les comptes privilégiés.
| Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
|---|---|---|---|---|
| Échec de connexion, seuil de mot de passe incorrect | Élevée | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 50126 |
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes. Modèle Microsoft Sentinel Règles Sigma |
| Échec en raison des exigences de l’accès conditionnel | Élevée | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 53003 -et- Motif de l’échec = Bloqué par l’accès conditionnel |
Cet événement peut indiquer qu’un attaquant tente d’accéder au compte. Modèle Microsoft Sentinel Règles Sigma |
| Comptes privilégiés qui ne suivent pas la stratégie de nommage | Abonnement Azure | Répertorier les attributions de rôle Azure à l’aide du portail Azure | Répertoriez les attributions de rôles pour les abonnements et envoyez des alertes lorsque le nom de connexion ne correspond pas au format de votre organisation. Par exemple, l’utilisation de ADM_ comme préfixe. | |
| Interruption | Élevé, moyen | Connexions Microsoft Entra | État = Interrompu -et- Code d’erreur = 50074 -et- Motif de l’échec = Authentification forte requise État = Interrompu -et- Code d’erreur = 500121 Motif de l’échec = Échec de l’authentification lors d’une demande d’authentification forte |
Cet événement peut indiquer qu’un attaquant dispose du mot de passe du compte, mais qu’il ne peut pas répondre correctement à la demande d’authentification multifacteur. Modèle Microsoft Sentinel Règles Sigma |
| Comptes privilégiés qui ne suivent pas la stratégie de nommage | Élevée | Annuaire Microsoft Entra | Répertorier Microsoft Entra attributions de rôles | Répertoriez les attributions de rôles Microsoft Entra et envoyez une alerte quand l’UPN ne correspond pas au format de votre organisation. Par exemple, l’utilisation de ADM_ comme préfixe. |
| Découvrir les comptes privilégiés non inscrits à l’authentification multifacteur | Élevé | API Microsoft Graph | Exécutez la requête IsMFARegistered = false pour les comptes administrateur. Lister credentialUserRegistrationDetails - Microsoft Graph version bêta | Auditez et vérifiez si l’événement est intentionnel ou si c’est un oubli. |
| Verrouillage de compte | Élevée | Journal de connexion Microsoft Entra | État = échec -et- Code d’erreur = 50053 |
Définissez un seuil de base de référence, puis effectuez une supervision et ajustez-le pour l’adapter aux comportements de votre organisation et limiter la génération de fausses alertes. Modèle Microsoft Sentinel Règles Sigma |
| Compte désactivé ou bloqué pour les connexions | Faible | Journal de connexion Microsoft Entra | État = échec -et- Cible = UPN de l’utilisateur -et- Code d’erreur = 50057 |
Cet événement peut indiquer qu’un utilisateur tente d’accéder à un compte une fois qu’il a quitté l’organisation. Même si le compte est bloqué, il est important d’enregistrer et de signaler cette activité. Modèle Microsoft Sentinel Règles Sigma |
| Blocage ou alerte de fraude MFA | Élevée | Journal de connexion Microsoft Entra/Azure Log Analytics | Connexions>Détails de l’authentification Détails du résultat = MFA refusé, code de fraude entré | L’utilisateur privilégié a indiqué qu’il n’a pas lancé d’invite d’authentification multifacteur, ce qui peut indiquer qu’un attaquant a le mot de passe du compte. Modèle Microsoft Sentinel Règles Sigma |
| Blocage ou alerte de fraude MFA | Élevée | Journal d’audit Microsoft Entra /Azure Log Analytics | Type d’activité = Fraude signalée - L’utilisateur ne peut pas utiliser MFA ou fraude signalée - Aucune action entreprise (selon les paramètres au niveau du locataire pour le rapport de fraude) | L’utilisateur privilégié a indiqué qu’il n’a pas lancé d’invite d’authentification multifacteur, ce qui peut indiquer qu’un attaquant a le mot de passe du compte. Modèle Microsoft Sentinel Règles Sigma |
| Connexions à des comptes privilégiés en dehors des contrôles attendus | Journal de connexion Microsoft Entra | État = échec UserPricipalName = <Compte d’administrateur> Emplacement = <emplacement non approuvé> Adresse IP = <adresse IP non approuvée> Informations sur l’appareil = <navigateur non approuvé, système d’exploitation> |
Supervisez et signalez toute entrée que vous avez définie comme non approuvée. Modèle Microsoft Sentinel Règles Sigma |
|
| En dehors des heures de connexion normales | Élevée | Journal de connexion Microsoft Entra | État = réussite -et- Emplacement = -et- Heure = En dehors des heures de travail |
Surveillez et signalez les connexions qui se produisent en dehors des périodes attendues. Il est important de trouver le modèle de travail normal pour chaque compte privilégié et de signaler les modifications non planifiées en dehors des périodes de travail normales. Les connexions en dehors des heures de travail normales peuvent indiquer une compromission ou des menaces potentielles provenant d’initiés. Modèle Microsoft Sentinel Règles Sigma |
| Risque Identity Protection | Élevé | Journaux Identity Protection | État du risque = Risqué -et- Niveau de risque = Faible, moyen, élevé -et- Activité = Connexion/TOR inhabituels, etc. |
Cet événement indique qu’il existe une anomalie détectée avec la connexion pour le compte et que vous devez recevoir une alerte à ce sujet. |
| Modification de mot de passe | Élevée | Journaux d'audit Microsoft Entra | Intervenant de l’activité = Administrateur/libre-service -et- Cible = Utilisateur -et- État = Réussite ou échec |
Alertez en cas de changement d’un mot de passe de compte administrateur. Écrivez une requête pour les comptes privilégiés. Modèle Microsoft Sentinel Règles Sigma |
| Modifier le protocole d’authentification hérité | Élevée | Journal de connexion Microsoft Entra | Application cliente = Autre client, IMAP, POP3, MAPI, SMTP, etc. -et- Nom d’utilisateur = UPN -et- Application = Exchange (exemple) |
De nombreuses attaques utilisent l’authentification héritée. Par conséquent, s’il y a une modification dans le protocole d’authentification pour l’utilisateur, cela peut indiquer une attaque. Modèle Microsoft Sentinel Règles Sigma |
| Nouvel appareil ou emplacement | Élevée | Journal de connexion Microsoft Entra | Informations sur l’appareil = ID de l’appareil -et- Browser -et- Système d''exploitation -et- Conforme/géré -et- Cible = Utilisateur -et- Emplacement |
La plupart des activités d’administration doivent provenir d’appareils à accès privilégié, à partir d’un nombre limité d’emplacements. Pour cette raison, signalez les nouveaux périphériques ou emplacements. Modèle Microsoft Sentinel Règles Sigma |
| Le paramètre d’alerte d’audit est modifié | Élevée | Journaux d'audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Activité = Désactiver l’alerte PIM -et- État = réussite |
Les modifications apportées à une alerte principale doivent être signalées si elles sont inattendues. Modèle Microsoft Sentinel Règles Sigma |
| Administrateurs s’authentifiant auprès d’autres locataires Microsoft Entra | Moyenne | Journal de connexion Microsoft Entra | État = réussite ID de locataire de ressource != ID de locataire d’accueil |
En cas de délimitation aux utilisateurs privilégiés, ce moniteur détecte lorsqu’un administrateur s’authentifie auprès d’un autre locataire Microsoft Entra avec une identité dans le locataire de votre organisation. Alerter si l’ID de locataire de ressource n’est pas égal à l’ID de locataire d’accueil Modèle Microsoft Sentinel Règles Sigma |
| L’état de l’utilisateur administrateur est passé d’invité à membre | Moyenne | Journaux d'audit Microsoft Entra | Activité : Mettre à jour l’utilisateur Catégorie : UserManagement UserType modifié d’invité à membre |
Monitorer et alerter en cas de changement de type d’utilisateur (d’invité à membre). Ce changement était-il prévu ? Modèle Microsoft Sentinel Règles Sigma |
| Utilisateurs invités à un locataire par des inviteurs non approuvés | Moyenne | Journaux d'audit Microsoft Entra | Activité : Inviter un utilisateur externe Catégorie : UserManagement Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorer et alerter si des intervenants non approuvés invitent des utilisateurs externes. Modèle Microsoft Sentinel Règles Sigma |
Modifications par des comptes privilégiés
Surveillez tous les changements effectués et tentés par un compte privilégié. Ces données vous permettent d’établir quelle est l’activité normale pour chaque compte privilégié et de signaler l’activité qui dévie de celle attendue. Les journaux d’audit Microsoft Entra sont utilisés pour enregistrer ce type d’événement. Pour plus d’informations sur les journaux d’audit Microsoft Entra, consultez Journaux d’audit dans Microsoft Entra ID.
Services de domaine Microsoft Entra
Les comptes privilégiés auxquels des autorisations ont été attribuées dans Microsoft Entra Domain Services peuvent effectuer des tâches pour Microsoft Entra Domain Services qui affectent la posture de sécurité de vos machines virtuelles hébergées par Azure qui utilisent Microsoft Entra Domain Services. Activez les audits de sécurité sur les machines virtuelles et surveillez les journaux. Pour plus d’informations sur l’activation des audits Microsoft Entra Domain Services et pour obtenir la liste des privilèges sensibles, consultez les ressources suivantes :
- Activer les audits de sécurité pour Microsoft Entra Domain Services
- Auditer l’utilisation de privilèges sensibles
| Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
|---|---|---|---|---|
| Modifications tentées et terminées | Élevée | Journaux d'audit Microsoft Entra | Date et heure -et- Service -et- Catégorie et nom de l’activité (laquelle) -et- État = Réussite ou échec -et- Cible -et- Initiateur ou intervenant (qui) |
Toutes les modifications non planifiées doivent être signalées par une alerte immédiatement. Ces journaux doivent être conservés pour aider à l’investigation. Toutes les modifications apportées au niveau du locataire doivent être examinées immédiatement (lien vers la documentation Infra) pour réduire la posture de sécurité de votre locataire. L’exclusion de comptes de l’authentification multifacteur ou de l’accès conditionnel en est un exemple. Signalez les ajouts ou modifications apportés à des applications. Consultez Guide des opérations de sécurité Microsoft Entra pour les applications. |
| Exemple Tentative de modification ou modification effectuée sur des applications ou des services à valeur élevée |
Élevé | Journal d’audit | Service -et- Catégorie et nom de l’activité |
Date et heure, Service, Catégorie et nom de l’activité, État = Réussite ou échec, Cible, Initiateur ou acteur (qui) |
| Modifications privilégiées dans Microsoft Entra Domain Services | Élevée | Services de domaine Microsoft Entra | Rechercher l’événement 4673 | Activer les audits de sécurité pour Microsoft Entra Domain Services Pour obtenir la liste de tous les événements privilégiés, consultez Auditer l’utilisation de privilèges sensibles. |
Modifications apportées à des comptes privilégiés
Examinez les modifications apportées aux privilèges et règles d’authentification des comptes privilégiés, en particulier si la modification offre un privilège plus élevé ou la capacité d’effectuer des tâches dans votre environnement Microsoft Entra.
| Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
|---|---|---|---|---|
| Création d’un compte privilégié | Moyenne | Journaux d'audit Microsoft Entra | Service = répertoire principal -et- Catégorie = Gestion des utilisateurs -et- Type d’activité = Ajouter un utilisateur -corrélation avec – Type de catégorie = Gestion des rôles -et- Type d’activité = Ajout un membre au rôle -et- Propriétés modifiées = Role.DisplayName |
Surveillez la création de comptes privilégiés. Recherchez la corrélation sur un bref intervalle de temps entre la création et la suppression de comptes. Modèle Microsoft Sentinel Règles Sigma |
| Modifications apportées aux méthodes d’authentification | Élevée | Journaux d'audit Microsoft Entra | Service = méthode d’authentification -et- Type d’activité = Informations de sécurité inscrites par l’utilisateur -et- Catégorie = Gestion des utilisateurs |
Cette modification peut indiquer qu’une personne malveillante ajoute une méthode d’authentification au compte afin d’obtenir un accès continu. Modèle Microsoft Sentinel Règles Sigma |
| Signaler les modifications apportées aux autorisations de compte privilégié | Élevée | Journaux d'audit Microsoft Entra | Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre éligible (permanent) -ou- Type d’activité = Ajouter un membre éligible (éligible) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Cette alerte concerne en particulier les comptes auxquels les rôles attribués sont inconnus ou en dehors de leurs responsabilités normales. Règles Sigma |
| Comptes privilégiés inutilisés | Moyenne | Révision d’accès à Microsoft Entra | Passez en revue tous les mois les comptes d’utilisateurs privilégiés inactifs. Règles Sigma |
|
| Comptes exemptés de l’accès conditionnel | Élevé | Journaux Azure Monitor -ou- Révisions d’accès |
Accès conditionnel = Insights et rapports | Tout compte exempté de l’accès conditionnel contourne probablement les contrôles de sécurité et est plus vulnérable à la compromission. Les comptes de secours sont exemptés. Consultez les informations sur la façon de superviser les comptes de secours plus loin dans cet article. |
| Ajout d’un passe d’accès temporaire à un compte privilégié | Élevée | Journaux d'audit Microsoft Entra | Activité : Informations de sécurité inscrites par l’administrateur Raison de l’état : Méthode de passe d’accès temporaire inscrite par l’administrateur pour l’utilisateur Catégorie : UserManagement Lancé par (intervenant) : Nom d’utilisateur principal Cible : Nom d’utilisateur principal |
Monitorer et alerter en cas de passe d’accès temporaire créée pour un utilisateur privilégié. Modèle Microsoft Sentinel Règles Sigma |
Pour plus d’informations sur la surveillance des exceptions pour les stratégies d’accès conditionnel, consultez Insights et reporting sur l’accès conditionnel.
Pour plus d’informations sur la découverte des comptes privilégiés inutilisés, consultez Créer une révision d’accès des rôles Microsoft Entra dans Privileged Identity Management.
Attribution et élévation
Le fait de disposer de comptes privilégiés configurés en continu avec des capacités élevées peut augmenter la surface d’attaque et les risques liés à votre limite de sécurité. Préférez à cela un accès juste-à-temps en utilisant une procédure d’élévation. Ce type de système vous permet d’attribuer des droits pour les rôles privilégié. Les administrateurs élèvent leurs privilèges sur ces rôles uniquement lorsqu’ils effectuent des tâches qui en ont besoin. L’utilisation d’un processus d’élévation vous permet de surveiller les élévations et l’absence d’utilisation de comptes privilégiés.
Établir une ligne de base
Pour surveiller les exceptions, vous devez d’abord créer une ligne de base. Déterminer les informations suivantes pour ces éléments
Comptes d’administration
- Votre stratégie de compte privilégié
- Utilisation de comptes locaux pour administrer des ressources locales
- Utilisation de comptes basés sur le cloud pour administrer des ressources basées sur le cloud
- Approche de la séparation et de la supervision des autorisations administratives pour les ressources locales et basées sur le cloud
Protection des rôles privilégiés
- Stratégie de protection pour les rôles dotés de privilèges administratifs
- Stratégie organisationnelle pour l’utilisation de comptes privilégiés
- Stratégie et principes pour le maintien de privilèges permanents ou l’octroi d’un accès approuvé et limité dans le temps
Les concepts et les informations suivants aident à déterminer les stratégies :
- Principes d’administration juste-à-temps. Utilisez les journaux Microsoft Entra pour capturer des informations sur l’exécution de tâches d’administration communes à votre environnement. Déterminez le temps d’exécution habituel des tâches.
- Principes d’administration juste-assez. Déterminez le rôle avec le moins de privilèges, qui peut être un rôle personnalisé, nécessaire pour les tâches d’administration. Pour plus d’informations, consultez Rôles les moins privilégiés par tâche dans Microsoft Entra ID.
- Établissement d’une stratégie d’élévation. Après avoir obtenu des insights du type de privilège élevé requis et de la durée nécessaire pour chaque tâche, créez des stratégies qui reflètent l’utilisation de privilèges élevés pour votre environnement. Par exemple, définissez une stratégie pour limiter l’élévation de rôle à une heure.
Après avoir établi votre base de référence et défini la stratégie, vous pouvez configurer la supervision pour détecter et signaler toute utilisation en dehors de la stratégie.
Découverte
Prêtez une attention particulière aux modifications apportées à l’attribution et à l’élévation des privilèges.
Éléments à surveiller
Vous pouvez superviser les modifications de comptes privilégiés à l’aide de journaux d’audit Microsoft Entra et de journaux Azure Monitor. Incluez les modifications suivantes dans votre processus de supervision.
| Éléments à analyser | Niveau de risque | Where | Filtre/sous-filtre | Notes |
|---|---|---|---|---|
| Ajouté au rôle privilégié éligible | Élevée | Journaux d'audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre au rôle terminé (éligible) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Tout compte éligible à un rôle reçoit maintenant un accès privilégié. Si l’attribution est inattendue ou est appliquée à un rôle qui n’est pas la responsabilité du titulaire du compte, étudiez le problème. Modèle Microsoft Sentinel Règles Sigma |
| Rôles attribués hors PIM | Élevée | Journaux d'audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Ajouter un membre au rôle (permanent) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Ces rôles doivent être étroitement supervisés et signalés. Les utilisateurs ne doivent pas se voir attribuer des rôles en dehors de PIM dans la mesure du possible. Modèle Microsoft Sentinel Règles Sigma |
| Élévations | Moyenne | Journaux d'audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité =- Ajouter un membre au rôle terminé (activation PIM) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Une fois élevé, un compte privilégié peut apporter des modifications susceptibles d’affecter la sécurité de votre locataire. Toutes les élévations doivent être journalisées et, si elles se produisent en dehors du modèle standard pour cet utilisateur, elles doivent être signalées et examinées si elles ne sont pas planifiées. |
| Approbations et refus des demandes d’élévation | Faible | Journaux d'audit Microsoft Entra | Service = Révision de l’accès -et- Catégorie = UserManagement -et- Type d’activité = Demande approuvée ou refusée -et- Initié par (acteur) = UPN |
Supervisez toutes les élévations, car cela peut vous donner une indication claire de la chronologie d’une attaque. Modèle Microsoft Sentinel Règles Sigma |
| Modifications apportées aux paramètres PIM | Élevée | Journaux d'audit Microsoft Entra | Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité = Mettre à jour le paramètre de rôle dans PIM -et- Raison de l’état = Authentification multifacteur à l’activation désactivée (exemple) |
L’une de ces actions est susceptible de réduire le niveau de sécurité de l’élévation PIM et permettre aux attaquants d’obtenir facilement un compte privilégié. Modèle Microsoft Sentinel Règles Sigma |
| L’élévation ne se produit pas sur SAW/PAW | Élevée | Journaux de connexion Microsoft Entra | ID de périphérique -et- Browser -et- Système d''exploitation -et- Conforme/géré Corrélation avec : Service = PIM -et- Catégorie = Gestion des rôles -et- Type d’activité =- Ajouter un membre au rôle terminé (activation PIM) -et- État = Réussite ou échec -et- Propriétés modifiées = Role.DisplayName |
Si cette modification est configurée, toute tentative d’élévation sur un appareil non-PAW/SAW doit faire l’objet d’une enquête immédiate car cela pourrait indiquer qu’un attaquant essaie d’utiliser le compte. Règles Sigma |
| Élévation pour gérer tous les abonnements Azure | Élevé | Azure Monitor | Onglet Journal d’activité Onglet Activité de l’annuaire Nom de l’opération = Affecte l’appelant au rôle Administrateur de l’accès utilisateur -et- Catégorie d’événement = Administration -et- État = Réussite, démarrage, échec -et- Événement lancé par |
Cette modification doit être examinée immédiatement si elle n’est pas planifiée. Ce paramètre peut permettre à un attaquant d’accéder aux abonnements Azure de votre environnement. |
Pour plus d’informations sur la gestion de l’élévation de privilège, consultez Élever l’accès pour gérer tous les abonnements et groupes d’administration Azure. Pour plus d’informations sur la supervision des élévations de privilèges à l’aide des informations disponibles dans les journaux Microsoft Entra, consultez la section Journal d’activité Azure de la documentation Azure Monitor.
Pour plus d’informations sur la configuration d’alertes pour les rôles Azure, consultez Configurer des alertes de sécurité pour les rôles de ressources Azure dans Privileged Identity Management.
Étapes suivantes
Consultez les articles suivants sur les opérations de sécurité :
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes consommateur
Opérations de sécurité pour Privileged Identity Management
Opérations de sécurité pour les applications