Guide pratique pour examiner les risques

Identity Protection fournit aux organisations trois rapports qu’elles peuvent utiliser pour investiguer les risques liés à l’identité dans leur environnement. Ces rapports incluent les utilisateurs à risque, les connexions risquées, les identités de charge de travail à risque et les détections de risques. L’examen des événements est essentielle pour mieux comprendre et identifier les points faibles de votre stratégie de sécurité. Tous ces rapports autorisent le téléchargement des événements au format .CSV ou leur intégration à d’autres solutions de sécurité, comme un outil SIEM dédié, pour une analyse plus approfondie.

Les organisations peuvent tirer parti des intégrations d’API Microsoft Graph pour agréger des données avec d’autres sources auxquelles elles peuvent accéder en tant qu’organisations.

Les trois rapports se trouvent dans le centre d’administration Microsoft Entra>Protection>Protection des identités.

Parcourir les rapports

Chaque rapport démarre avec une liste de toutes les détections pour la période indiquée en haut du rapport. Chaque rapport permet l’ajout ou la suppression de colonnes en fonction des préférences de l’administrateur. Les administrateurs peuvent choisir de télécharger les données au format .CSV ou JSON. Les rapports peuvent être filtrés à l’aide des filtres situés dans la partie supérieure du rapport.

La sélection d’entrées individuelles peut activer des entrées supplémentaires en haut du rapport, comme la possibilité de confirmer qu’une connexion est compromise ou sécurisée, de confirmer qu’un utilisateur est compromis ou d’ignorer le risque de l’utilisateur.

La sélection d’entrées individuelles développe une fenêtre de détails sous les détections. L’affichage des détails permet aux administrateurs d’examiner les problèmes et d’effectuer des actions pour chaque détection.

Utilisateurs à risque

Le rapport sur les utilisateurs à risque répertorie tous les utilisateurs dont les comptes sont actuellement, ou ont été considérés, comme étant à risque de compromission. Les comptes des utilisateurs à risque doivent être examinés et corrigés pour empêcher tout accès non autorisé aux ressources.

Pourquoi un utilisateur est-il à risque ?

Un utilisateur est considéré comme « à risque » dans les cas suivants :

• Son compte fait l’objet d’une ou plusieurs connexions risquées.
• Un ou plusieurs risques ont été détectés sur son compte (informations d’identification divulguées, par exemple).

Examiner les utilisateurs à risque

Pour afficher et examiner les connexions à risque d’un utilisateur, sélectionnez l’onglet « Connexions à risque récentes » ou le lien « Connexions à risque des utilisateurs ».

Pour afficher et examiner les risques liés au compte d’un utilisateur, sélectionnez l’onglet « Détections non liées à une connexion » ou le lien « Détections de risque de l’utilisateur ».

L’onglet « Historique des risques » affiche également tous les événements qui ont entraîné un changement de risque de l’utilisateur au cours des 90 derniers jours. Cette liste inclut les détections de risques ayant contribué à l’augmentation du niveau de risque de l’utilisateur, ainsi que les actions de correction de l’administrateur qui ont permis de le réduire. Consultez-la pour comprendre en quoi le niveau de risque de l’utilisateur a changé.

Les informations indiquées dans le rapport Utilisateurs à risque permettent aux administrateurs de trouver :

• Quels sont les utilisateurs à risques ? Pour qui les risques ont-ils été corrigés ou éliminés ?
• Détails sur les détections
• Historique de toutes les connexions à risque
• Historique des risques

Les administrateurs peuvent ensuite choisir d’agir sur ces événements. Les administrateurs peuvent choisir d’effectuer les opérations suivantes :

• Réinitialiser le mot de passe de l’utilisateur
• Confirmer la compromission de l’utilisateur
• Ignorer le risque lié à l’utilisateur
• Empêcher l’utilisateur de se connecter
• Examiner plus en détail avec Microsoft Defender pour Identity

Comprendre l’étendue

1. Envisagez de créer une base de données des voyageurs connus pour les rapports de voyages organisationnels mis à jour et utilisez-la pour croiser les activités de voyage.
2. Ajoutez des VPN d’entreprise et des plages d’adresses IP aux emplacements nommés pour réduire les faux positifs.
3. Passez en revue les journaux pour identifier les activités similaires présentant les mêmes caractéristiques. Il peut s’agir d’une indication que davantage de comptes sont compromis.
   1. Si des activités présentent des caractéristiques communes comme l’adresse IP, la géographie, la réussite/l’échec, etc., envisagez de les bloquer avec une stratégie d’accès conditionnel.
   2. Passez en revue les ressources qui ont pu faire l’objet d’une compromission, comme des modifications administratives ou des téléchargements de données potentiels.
   3. Activer les stratégies de correction automatique par le biais de l’accès conditionnel
4. Si vous constatez que l’utilisateur a effectué d’autres activités à risque, comme le téléchargement d’un grand volume de fichiers à partir d’un nouvel emplacement, cela est très clairement le signe d’une éventuelle compromission.

Connexions risquées

Le rapport des connexions à risque contient des données filtrables correspondant aux 30 derniers jours (1 mois).

Les informations indiquées dans le rapport des connexions à risque permettent aux administrateurs de trouver :

• Les connexions classées comme étant à risque, celles confirmées comme étant compromises, celles confirmées comme étant sécurisées, celles rejetées ou corrigées.
• Les niveaux de risque en temps réel et agrégés associés aux tentatives de connexion.
• Types de détections déclenchées
• Stratégies d’accès conditionnel appliquées
• Détails MFA
• Informations sur l'appareil
• Informations de l'application
• Informations sur l’emplacement

Les administrateurs peuvent ensuite choisir d’agir sur ces événements. Les administrateurs peuvent choisir d’effectuer les opérations suivantes :

• Confirmer que la connexion est compromise
• Confirmer que la connexion est sécurisée

Détections de risques

Le rapport des détections de risques contient des données filtrables correspondant aux 90 derniers jours (3 mois).

Les informations indiquées dans le rapport des détections de risques permettent aux administrateurs de trouver :

• Des informations sur chaque détection de risques, y compris le type
• Les autres risques déclenchés en même temps
• L’emplacement de la tentative de connexion
• Lien vers plus d’informations sur Microsoft Defender for Cloud Apps.

Les administrateurs peuvent ensuite choisir de revenir au rapport des risques ou des connexions de l’utilisateur pour effectuer des actions en fonction des informations recueillies.

Infrastructure d’investigation

Les organisations peuvent utiliser les infrastructures suivantes pour commencer à examiner une activité suspecte. Les investigations peuvent nécessiter une conversation avec l’utilisateur concerné, l’examen des journaux de connexion ou des journaux d’audit pour citer quelques exemples.

1. Consultez les journaux et vérifiez si l’activité suspecte est normale pour l’utilisateur donné.
   1. Examinez les activités passées de l’utilisateur, notamment au moins les propriétés suivantes pour voir si elles sont normales pour l’utilisateur donné.
      1. Application
      2. Appareil : l’appareil est-il inscrit ou conforme ?
      3. Emplacement : l’utilisateur se rend-il à un autre emplacement ou accède-t-il à des appareils à partir de plusieurs emplacements ?
      4. Adresse IP
      5. Chaîne d’agent utilisateur
   2. Si vous avez accès à d’autres outils de sécurité comme Microsoft Sentinel, recherchez les alertes correspondantes qui pourraient indiquer un problème plus important.
   3. Les organisations ayant accès à Microsoft 365 Defender peuvent suivre un événement à risque pour un utilisateur via d’autres alertes et incidents associés et via la chaîne MITRE ATT&CK.
      1. Sélectionnez l’utilisateur dans le rapport « Utilisateurs à risque ».
      2. Sélectionnez les points de suspension (…) dans la barre d’outils, puis choisissez Examiner avec Microsoft 365 Defender.
2. Contactez l’utilisateur pour vérifier s’il reconnaît la connexion. Des méthodes comme l’e-mail ou Teams peuvent être compromises.
   1. Confirmez les informations dont vous disposez, par exemple :
      1. Application
      2. Appareil
      3. Emplacement
      4. Adresse IP

Examiner la veille des menaces avec Microsoft Entra

Pour examiner la veille des menaces Microsoft Entra, suivez ces étapes :

Si des informations supplémentaires s’affichent pour la détection :

1. Connexion à partir d’une adresse IP suspecte :
   1. Vérifiez si l’adresse IP présente un comportement suspect dans votre environnement.
   2. L’adresse IP génère-t-elle un nombre élevé de défaillances pour un utilisateur ou un groupe d’utilisateurs dans votre répertoire ?
   3. Le trafic de l’adresse IP provient-il d’un protocole ou d’une application inattendus, par exemple de protocoles hérités Exchange ?
   4. Si l’adresse IP correspond à un fournisseur de services cloud, assurez-vous qu’aucune application d’entreprise légitime ne s’exécute à partir de la même adresse IP.
2. Ce compte a été victime d’une attaque par pulvérisation de mot de passe :
   1. Vérifiez qu’aucun autre utilisateur de votre répertoire n’est la cible de la même attaque.
   2. Les autres utilisateurs ont-ils des connexions avec des modèles inhabituels similaires dans la connexion détectée dans le même délai d’exécution ? Les attaques par pulvérisation de mot de passe peuvent afficher des modèles inhabituels dans :
      1. Chaîne d’agent utilisateur
      2. Application
      3. Protocol
      4. Plages d’adresses IP/ASN
      5. Heure et fréquence des connexions
3. Cette détection a été déclenchée par une règle en temps réel :
   1. Vérifiez qu’aucun autre utilisateur de votre répertoire n’est la cible de la même attaque. Vous pouvez la trouver par le numéro TI_RI_#### attribué à la règle.
   2. Les règles en temps réel protègent contre les nouvelles attaques identifiées par la veille des menaces de Microsoft. Si plusieurs utilisateurs de votre répertoire ont été la cible de la même attaque, examinez les modèles inhabituels dans d’autres attributs de la connexion.

Examiner les risques avec Microsoft 365 Defender

Les organisations qui ont déployé Microsoft 365 Defender et Microsoft Defender pour Identity tirent davantage parti des signaux Identity Protection. Cette valeur se présente sous la forme d’une corrélation renforcée avec d’autres données provenant d’autres parties de l’organisation, ainsi que d’un examen et d’une réponse automatisées supplémentaires.

Dans Microsoft 365 Defender, les professionnels et administrateurs de la sécurité peuvent établir des connexions à des activités suspectes à partir de certaines zones. Par exemple :

• Alertes dans Defender pour Identity
• Microsoft Defender for Endpoint
• Microsoft Defender pour le cloud
• Microsoft Defender for Cloud Apps

Pour en savoir plus sur la façon d’examiner les activités suspectes à l’aide de Microsoft 365 Defender, consultez les articles Examiner les ressources dans Microsoft Defender pour Identity et Examiner les incidents dans Microsoft 365 Defender.

Pour en savoir plus sur ces alertes et leur structure, consultez l’article Présentation des alertes de sécurité.

État de l’examen

Lorsque le personnel de sécurité examine les risques dans Microsoft 365 Defender et Defender pour Identity, les raisons et états suivants sont renvoyés à Identity Protection dans le portail, ainsi que dans les API.

Étapes suivantes

• Corriger le problème et débloquer des utilisateurs
• Stratégies disponibles pour atténuer les risques
• Activer les stratégies de connexion et de risque utilisateur