Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’infrastructure a de nombreux composants dans lesquels des vulnérabilités peuvent se produire si elles ne sont pas correctement configurées. Dans le cadre de votre stratégie de surveillance et d’alerte pour les événements d’infrastructure, de surveillance et d’alerte dans les domaines suivants :
Authentification et autorisation
Composants inclus de l’authentification hybride Serveurs de fédération
Stratégies
Abonnements
La surveillance et la génération d’alertes pour les composants de votre infrastructure d’authentification sont critiques. Toute compromission peut entraîner une compromission complète de l’ensemble de l’environnement. De nombreuses entreprises qui utilisent Microsoft Entra ID fonctionnent dans un environnement d’authentification hybride. Les composants cloud et locaux doivent être inclus dans votre stratégie de monitoring et d’alerte. Le fait de disposer d’un environnement d’authentification hybride introduit également un autre vecteur d’attaque pour votre environnement.
Nous recommandons que tous les composants soient considérés comme des ressources de plan de contrôle/de niveau 0 ainsi que les comptes utilisés pour les gérer. Reportez-vous à la section Sécurisation des biens privilégiés (SPA) pour obtenir des conseils sur la conception et la mise en œuvre de votre environnement. Ce guide comprend des suggestions pour chacun des composants d’authentification hybride qui pourraient potentiellement être utilisés pour un locataire Microsoft Entra.
La première étape pour pouvoir détecter les événements inattendus et les attaques potentielles consiste à établir une ligne de base. Pour tous les composants locaux énumérés dans cet article, consultez Déploiement de l’accès privilégié, qui fait partie du guide sécurisation des ressources privilégiées (SPA).
Emplacement des fichiers
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
Dans le portail Azure, vous pouvez voir les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le Portail Azure offre plusieurs méthodes d’intégration entre les journaux Microsoft Entra et d’autres outils, ce qui permet une plus grande automatisation du monitoring et des alertes :
Microsoft Sentinel : permet une analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités d’informations de sécurité et gestion d’événements (SIEM).
Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. Là où il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien au référentiel Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. À la place, le dépôt et les modèles sont créés et collectés par la communauté mondiale de la sécurité informatique.
Azure Monitor : permet de créer des alertes et supervisions automatisées de diverses conditions. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs intégré à des journaux SIEM : les journaux Microsoft Entra peuvent être intégrés à d’autres SIEM, par exemple Splunk, ArcSight, QRadar et Sumo Logic via l’intégration Azure Event Hubs.
Microsoft Defender for Cloud Apps : permet de découvrir et de gérer les applications, de gouverner toutes les applications et ressources, et de vérifier la conformité des applications cloud.
Sécurisation des identités de charge de travail avec Microsoft Entra ID Protection : permet de détecter les risques liés aux identités de charge de travail en fonction du comportement de connexion et des indicateurs de compromission hors connexion.
Le reste de cet article décrit quoi superviser et sur quoi déclencher des alertes. Il est organisé par type de menace. Quand il existe des solutions prédéfinies, vous trouverez des liens vers ces dernières, après le tableau. Sinon, vous pouvez créer des alertes à l’aide des outils précédents.
Infrastructure d’authentification
Dans les environnements hybrides qui contiennent des comptes et des ressources basés sur le Cloud et locaux, l’infrastructure Active Directory est un élément clé de la pile d’authentification. La pile est également une cible pour les attaques, et doit être configurée pour maintenir un environnement sécurisé et doit être analysée correctement. Des exemples de types actuels d’attaques utilisées sur votre infrastructure d’authentification utilisent des techniques de pulvérisation de mot de passe et de Solorigate. Vous trouverez ci-dessous des liens vers des articles que nous recommandons :
Présentation de la sécurisation de l’accès privilégié : cet article fournit une vue d’ensemble des techniques actuelles à l’aide de techniques de confiance nulle pour créer et maintenir un accès privilégié sécurisé.
Activités de domaine surveillées par Microsoft Defender pour Identity : cet article fournit une liste complète des activités pour surveiller et définir des alertes pour.
Didacticiel sur les alertes de sécurité Microsoft Defender pour Identity : cet article fournit des conseils sur la création et l’implémentation d’une stratégie d’alerte de sécurité.
Vous trouverez ci-dessous des liens vers des articles spécifiques qui se concentrent sur la surveillance et l’alerte de votre infrastructure d’authentification :
Comprendre et utiliser les chemins de mouvement latéral avec Microsoft Defender pour Identity : techniques de détection permettant d’identifier les cas où des comptes non sensibles sont utilisés pour accéder à des comptes réseau sensibles.
Utilisation des alertes de sécurité dans Microsoft Defender pour Identity : cet article explique comment passer en revue et gérer les alertes, une fois qu’elles ont été journalisées.
Les éléments suivants sont spécifiques à Rechercher :
| Éléments à analyser | Niveau de risque | Où | Remarques |
|---|---|---|---|
| Tendances de verrouillage extranet | Élevé | Microsoft Entra Connect Health | Consultez Surveiller AD FS avec Microsoft Entra Connect Health pour plus d’informations sur les outils et les techniques permettant de détecter les tendances de verrouillage sur l’extranet. |
| Connexions ayant échoué | Élevé | Connecter Health Portal | Exportez ou téléchargez le rapport Risky IP et suivez les conseils donnés dans le rapport Risky IP (aperçu public) pour les prochaines étapes. |
| Conformité aux réglementations relatives à la confidentialité | Faible | Microsoft Entra Connect Health | Configurez Microsoft Entra Connect Health pour désactiver les collectes de données et le monitoring à l’aide de l’article Confidentialité des utilisateurs et Microsoft Entra Connect Health. |
| Attaque par force brute potentielle sur LDAP | Moyenne | Microsoft Defender pour Identity | Utilisez le capteur pour détecter les attaques par force brute potentielles contre LDAP. |
| Reconnaissance d’énumération de compte | Moyenne | Microsoft Defender pour Identity | Utilisez le capteur pour faciliter la reconnaissance de l’énumération des comptes. |
| Corrélation générale entre Microsoft Entra ID et Azure AD FS | Moyenne | Microsoft Defender pour Identity | Utilisez les fonctionnalités pour mettre en corrélation les activités entre vos environnements Microsoft Entra ID et Azure AD FS. |
Surveillance d’authentification directe
L’authentification directe Microsoft Entra connecte les utilisateurs en validant leurs mots de passe directement par rapport à l’annuaire Active Directory sur site.
Les éléments suivants sont spécifiques à Rechercher :
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Erreurs d’authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Impossible de se connecter à Active Directory | Assurez-vous que les serveurs des agents sont membres de la même forêt Active Directory que les utilisateurs dont les mots de passe doivent être validés, et qu’ils peuvent se connecter à Active Directory. |
| Erreurs d’authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - Délai d’attente dépassé lors de la connexion à Active Directory | Vérifiez qu’Active Directory est disponible et répond aux demandes des agents. |
| Erreurs d’authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - Le nom d’utilisateur envoyé à l’agent n’était pas valide | Vérifiez que l’utilisateur tente de se connecter avec le nom d’utilisateur correct. |
| Erreurs d’authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - La validation a rencontré une WebException imprévisible | Erreur temporaire. Relancez la requête. Si l’erreur se reproduit, contactez le Support Microsoft. |
| Erreurs d’authentification directe Microsoft Entra | Moyenne | Journaux des applications et des services\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Une erreur s’est produite lors de la communication avec Active Directory | Consultez les journaux d’activité de l’agent pour plus d’informations, et vérifiez qu’Active Directory fonctionne comme prévu. |
| Erreurs d’authentification directe Microsoft Entra | Élevé | API de fonction Win32 LogonUserA | Événements de connexion 4624(s) : un compte a été correctement connecté -corrélation avec – 4625(F) : Échec de connexion d’un compte |
Utilisez avec les noms d’utilisateur suspects sur le contrôleur de domaine qui authentifie les demandes. Aide sur fonction LogonUserA (winbase.h) |
| Erreurs d’authentification directe Microsoft Entra | Moyenne | Script PowerShell du contrôleur de domaine | Consultez la requête après le tableau. | Utilisez les informations contenues dans Microsoft Entra Connect : Résolution des problèmes d’authentification directe pour obtenir des conseils d’aide. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Surveillance de la création de locataires Microsoft Entra
Les organisations peuvent avoir besoin d’effectuer un monitoring de la création de locataires Microsoft Entra, et d’émettre des alertes quand l’action est lancée par les identités de leur locataire à l’échelle de l’organisation. Le monitoring, dans ce scénario, fournit une visibilité du nombre de locataires créés et accessibles aux utilisateurs finaux.
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Création d’un locataire Microsoft Entra à l’aide d’une identité provenant de votre locataire. | Moyenne | Journaux d’audit Microsoft Entra | Catégorie : Gestion d’annuaire Activité : Créer une entreprise |
La ou les cibles affichent le TenantID créé |
Connecteur réseau privé
Microsoft Entra ID et le proxy d’application Microsoft Entra offrent aux utilisateurs distants une expérience d’authentification unique. Les utilisateurs se connectent de manière sécurisée aux applications locales sans réseau privé virtuel (VPN), ni serveurs à double hébergement et règles de pare-feu. Si votre serveur de connecteur de réseau privé Microsoft Entra est compromis, les attaquants peuvent modifier l’expérience de l’authentification unique ou modifier l’accès aux applications publiées.
Pour configurer le monitoring du proxy d’application, consultez Résoudre les problèmes de proxy d’application et les messages d’erreur. Le fichier de données qui consigne les informations est disponible dans Journaux des applications et des services\Microsoft\Réseau privé Microsoft Entra\Connecteur\Admin. Pour obtenir un guide de référence complet sur l’activité d’audit, consultez Référence sur l’activité d’audit Microsoft Entra. Éléments spécifiques à vérifier :
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Erreurs Kerberos | Moyenne | Outils divers | Moyenne | Aide sur l’authentification Kerberos sous erreurs Kerberos sur la Résolution des problèmes de proxy d’application et des messages d’erreur. |
| Problèmes de sécurité DC | Élevé | Journaux d’audit de sécurité DC | ID d’événement 4742(S) : un compte d’ordinateur a été modifié -et- Indicateur - Approuvé pour la délégation ou Indicateur - Approuvé pour authentifier la délégation |
Examinez tout changement d’indicateur. |
| Attaques de type « Pass-the-ticket » | Élevé | Suivez les conseils dans : Reconnaissance de principal de sécurité (LDAP) (ID externe 2038) Tutoriel : Alertes indiquant des informations d’identification compromises Présentation et utilisation des chemins de mouvement latéral avec Microsoft Defender pour Identity Présentation des profils d’entité |
Paramètres d’authentification héritée
Pour que l’authentification multifacteur (MFA) soit efficace, vous devez également bloquer l’authentification héritée. Vous devez ensuite surveiller votre environnement et alerter sur toute utilisation de l’authentification héritée. Les protocoles d’authentification hérités tels que POP, SMTP, IMAP et MAPI ne peuvent pas appliquer l’authentification MFA. Ces protocoles sont donc les points d’entrée préférés des attaquants. Pour plus d’informations sur les outils que vous pouvez utiliser pour bloquer l’authentification héritée, consultez Nouveaux outils pour bloquer l’authentification héritée dans votre organisation.
L’authentification héritée est capturée dans le journal de connexion Microsoft Entra dans le cadre des détails de l’événement. Vous pouvez utiliser le classeur Azure Monitor pour faciliter l’identification de l’utilisation de l’authentification héritée. Pour plus d’informations, consultez la section Connexions à l’aide de l’authentification traditionnelle, qui fait partie de la section Comment utiliser des classeurs Azure Monitor pour créer des rapports Microsoft Entra. Vous pouvez également utiliser le classeur protocoles non sécurisés pour Microsoft Sentinel. Pour plus d’informations, consultez Guide d’implémentation des classeurs des protocoles non sécurisés Microsoft Sentinel. Les activités spécifiques à surveiller sont les suivantes :
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Authentifications héritées | Élevé | Journal de connexion Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp : SMTP ClientApp : ActiveSync, accédez à EXO Autres Clients = SharePoint et EWS |
Dans les environnements de domaine fédéré, les échecs d’authentification ne sont pas enregistrés et n’apparaissent pas dans le journal. |
Microsoft Entra Connect
Microsoft Entra Connect fournit un emplacement centralisé qui permet la synchronisation des comptes et des attributs entre votre environnement local et Microsoft Entra basé sur le cloud. Microsoft Entra est l’outil de Microsoft conçu pour vous permettre d’atteindre et de remplir vos objectifs en matière d’identité hybride. Elle fournit les fonctionnalités suivantes :
Synchronisation de hachage de mot de passe : méthode d’authentification qui synchronise un hachage du mot de passe AD local d’un utilisateur avec Microsoft Entra ID.
Synchronisation : ce composant est chargé de créer des utilisateurs, des groupes et d’autres objets. Elle permet également de vérifier que les informations d’identité de vos utilisateurs et groupes locaux correspondent à celles situées dans le cloud. Cette synchronisation inclut également des hachages de mot de passe.
Analyse du fonctionnement : Microsoft Entra Connect Health peut assurer une supervision robuste et offrir un emplacement central dans le Portail Azure pour la visualisation de cette activité.
La synchronisation de l’identité entre votre environnement local et votre environnement cloud introduit une nouvelle surface d’attaque pour votre environnement local et votre environnement cloud. Nous recommandons :
Vous traitez vos serveurs principaux et intermédiaires Microsoft Entra Connect en tant que systèmes de niveau 0 dans votre plan de contrôle.
Vous suivez un ensemble standard de stratégies qui régissent chaque type de compte et son utilisation dans votre environnement.
Vous installez Microsoft Entra Connect et Connect Health. Celles-ci fournissent principalement des données opérationnelles pour l’environnement.
La journalisation des opérations de Microsoft Entra Connect se produit de différentes manières :
L’Assistant Microsoft Entra Connect enregistre les données dans
\ProgramData\AADConnect. Chaque fois que l’assistant est invoqué, un fichier de trace horodaté est créé. Le journal des traces peut être importé dans Sentinel ou d’autres outils Siem (Security information and Event Management) pour l’analyse.Certaines opérations lancent un script PowerShell pour capturer les informations de journalisation. Pour collecter ces données, vous devez vérifier que la journalisation des blocs de script est activée.
Supervision des modifications de configuration
Microsoft Entra ID utilise Microsoft SQL Server Data Engine ou SQL pour stocker les informations de configuration de Microsoft Entra Connect. Par conséquent, la surveillance et l’audit des fichiers journaux associés à la configuration doivent être inclus dans votre stratégie de surveillance et d’audit. En particulier, incluez les tables suivantes dans votre stratégie de surveillance et d’alerte.
| Éléments à analyser | Où | Remarques |
|---|---|---|
| mms_management_agent | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_partition | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_run_profile | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_server_configuration | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
| mms_synchronization_rule | Enregistrements d’audit du service SQL | Voir Enregistrements SQL Server Audit |
Pour plus d’informations sur la façon dont les informations de configuration doivent être surveillées, consultez :
Pour le serveur SQL, voir Enregistrements SQL Server Audit.
Pour Microsoft Sentinel, consultez Se connecter aux serveurs Windows pour collecter des événements de sécurité.
Pour plus d’informations sur la configuration et l’utilisation de Microsoft Entra Connect, voir Qu’est-ce que Microsoft Entra Connect ?
Supervision et résolution des problèmes
L’une des fonctions de Microsoft Entra Connect consiste à synchroniser le hachage entre le mot de passe local d’un utilisateur et Microsoft Entra ID. Si les mots de passe ne se synchronisent pas comme prévu, la synchronisation peut affecter un sous-ensemble d’utilisateurs ou tous les utilisateurs. Utilisez les éléments suivants pour vous aider à vérifier le bon fonctionnement ou à résoudre les problèmes :
Informations pour vérifier et résoudre les problèmes de synchronisation de hachage, consultez Résoudre les problèmes de synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync.
Modifications apportées aux espaces de connecteur, consultez Résoudre les problèmes liés aux objets et attributs Microsoft Entra Connect.
Ressources importantes sur la surveillance
| Éléments à analyser | Ressources |
|---|---|
| Validation de la synchronisation de hachage | Voir Résoudre les problèmes de synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync |
| Modifications apportées aux espaces de connecteur | Voir Résoudre les problèmes liés aux objets et attributs Microsoft Entra Connect |
| Modifications apportées aux règles que vous avez configurées | Effectuer le monitoring des changements apportés aux filtrages, domaines et UO, attributs et groupes |
| Modifications de SQL et de MSDE | Modifications apportées aux paramètres de journalisation et à l’ajout de fonctions personnalisées |
Surveillez les aspects suivants :
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Modifications du planificateur | Élevé | PowerShell | Set-ADSyncScheduler | Rechercher les modifications à planifier |
| Modifications apportées aux tâches planifiées | Élevé | Journaux d’audit Microsoft Entra | Activité = 4699(S) : une tâche planifiée a été supprimée ou Activité = 4701(S) : une tâche planifiée a été désactivée ou Activité = 4702(S) : une tâche planifiée a été mise à jour |
Surveiller tous les journaux d’activité |
Pour plus d’informations sur la journalisation des opérations de script PowerShell, consultez Activation de la journalisation des blocs de script, qui fait partie de la documentation de référence de PowerShell.
Pour plus d’informations sur la configuration de la journalisation PowerShell pour l’analyse par Splunk, consultez Obtenir des données dans Splunk User Behavior Analytics.
Surveillance de l’authentification unique transparente
L’authentification unique transparente (Seamless SSO) Microsoft Entra connecte automatiquement les utilisateurs lorsque leurs ordinateurs d’entreprise sont connectés au réseau de l’entreprise. L’authentification SSO transparente permet à vos utilisateurs d’accéder facilement à vos applications cloud sans avoir besoin d’autres composants locaux. SSO utilise l’authentification directe et les fonctionnalités de synchronisation de hachage de mot de passe fournies par Microsoft Entra Connect.
La surveillance de l’authentification unique et de l’activité Kerberos peut vous aider à détecter les modèles d’attaques générales de vol d’informations d’identification. Surveillez les informations suivantes :
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Erreurs associées à l’authentification unique et aux échecs de validation Kerberos | Moyenne | Journal de connexion Microsoft Entra | Liste des codes d’erreur de l’authentification unique à l’authentification unique. | |
| Requête pour dépanner les erreurs | Moyenne | PowerShell | Consultez le tableau suivant de la requête. Vérifiez dans chaque forêt l’authentification unique activée. | Vérifiez dans chaque forêt l’authentification unique activée. |
| Événements liés à Kerberos | Élevé | Surveillance de Microsoft Defender pour Identity | Passez en revue les conseils disponibles sur Microsoft Defender pour identifier les chemins de mouvement latéral d’identité (LMPs) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Stratégies de protection par mot de passe
Si vous déployez la protection par mot de passe Microsoft Entra, la surveillance et la génération de rapports sont des tâches essentielles. Ces liens détaillés vous aident à comprendre plusieurs techniques de supervision, notamment en vous expliquant où chaque service journalise les informations et en vous montrant comment créer des rapports sur l’utilisation de la protection par mot de passe Microsoft Entra.
L’agent de contrôleur de domaine (DC) et les services proxy consignent tous deux les messages du journal des événements. Toutes les cmdlets PowerShell décrites ci-dessous sont uniquement disponibles sur le serveur proxy (voir le module AzureADPasswordProtection PowerShell). Le logiciel de l’agent DC n’installe pas de module PowerShell.
Des informations détaillées sur la planification et la mise en œuvre de la protection des mots de passe locale sont disponibles dans Planifier et déployer la protection par mot de passe Microsoft Entra locale. Pour plus d’informations sur l’analyse, consultez Supervision de la protection par mot de passe Microsoft Entra locale. Sur chaque contrôleur de domaine, le logiciel du service d’agent DC écrit les résultats de chacune des opérations de validation de mot de passe (et un autre état) dans le journal d’événements local suivant :
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Journaux d'applications et de services\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Journaux des applications et des services\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Le journal d’administration de l’agent DC est la principale source d’informations pour superviser le comportement du logiciel. Par défaut, le journal des traces est désactivé et doit être activé pour que les données soient enregistrées. Pour résoudre les problèmes de proxy d’application et les messages d’erreur, des informations détaillées sont disponibles dans Résoudre les problèmes du proxy d’application Microsoft Entra. Les informations relatives à ces événements sont consignées :
Journaux des applications et des services\Microsoft\Réseau privé Microsoft Entra\Connecteur\Admin
Journal d’audit Microsoft Entra, proxy d’application de catégorie
Des informations de référence complètes sur les activités d’audit Microsoft Entra sont disponibles dans Référence sur l’activité d’audit Microsoft Entra.
Accès conditionnel
Dans Microsoft Entra ID, vous pouvez protéger l’accès à vos ressources en configurant des stratégies d’accès conditionnel. En tant qu’administrateur informatique, vous souhaitez vérifier que vos stratégies d’accès conditionnel fonctionnent comme prévu pour garantir la protection de vos ressources. Le monitoring et l’envoi d’alertes relatives aux changements apportés au service d’accès conditionnel permettent de garantir l’application des stratégies définies par votre organisation pour l’accès aux données. Microsoft Entra journalise les modifications apportées à l’accès conditionnel et fournit également des classeurs pour garantir que vos stratégies fournissent la couverture attendue.
Liens vers des classeurs
Monitorez les modifications apportées aux stratégies d’accès conditionnel en utilisant les informations suivantes :
| Éléments à analyser | Niveau de risque | Où | Filtre/Sous-filtre | Remarques |
|---|---|---|---|---|
| Nouvelle stratégie d’accès conditionnel créée par des intervenants non approuvés | Moyenne | Journaux d’audit Microsoft Entra | Activité : Ajouter une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ? Modèle Microsoft Sentinel Règles Sigma |
| Stratégie d’accès conditionnel supprimée par des intervenants non approuvés | Moyenne | Journaux d’audit Microsoft Entra | Activité : Supprimer une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ? Modèle Microsoft Sentinel Règles Sigma |
| Stratégie d’accès conditionnel mise à jour par des intervenants non approuvés | Moyenne | Journaux d’audit Microsoft Entra | Activité : Mettre à jour une stratégie d’accès conditionnel Catégorie : Stratégie Lancé par (intervenant) : Nom d’utilisateur principal |
Monitorez les modifications d’accès conditionnel et générez des alertes. « Lancé par (intervenant) : » est-il autorisé à modifier l’accès conditionnel ? Passez en revue les propriétés modifiées et comparez l’ancienne valeur et la nouvelle. Modèle Microsoft Sentinel Règles Sigma |
| Suppression d’un utilisateur d’un groupe utilisé pour délimiter les stratégies d’accès conditionnel critiques | Moyenne | Journaux d’audit Microsoft Entra | Activité : Supprimer un membre d’un groupe Catégorie : GroupManagement Cible : Nom d’utilisateur principal |
Surveillez et alertez les groupes utilisés pour étendre les stratégies d’accès conditionnel critiques. « Cible » est l’utilisateur qui a été supprimé. Règles Sigma |
| Ajout d’un utilisateur à un groupe utilisé pour délimiter les stratégies d’accès conditionnel critiques | Faible | Journaux d’audit Microsoft Entra | Activité : Ajouter un membre à un groupe Catégorie : GroupManagement Cible : Nom d’utilisateur principal |
Surveillez et alertez les groupes utilisés pour étendre les stratégies d’accès conditionnel critiques. « Cible » est l’utilisateur qui a été ajouté. Règles Sigma |
Étapes suivantes
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes consommateur
Opérations de sécurité pour les comptes privilégiés
Opérations de sécurité pour Privileged Identity Management