Utilisation d'Azure AD Identity Protection pour la détection et la correction des risques

Utilisation d'Azure AD Identity Protection pour la détection et la correction des risques

14/12/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l’utilisation d’Azure AD Identity Protection pour détecter, enquêter et remédier aux risques d’identité dans leurs environnements. Azure AD Identity Protection est une fonctionnalité de Microsoft Entra ID (anciennement Azure Active Directory) qui automatise la détection et la correction des risques basés sur l'identité, protégeant ainsi les organisations contre les menaces telles que les informations d'identification compromises, les attaques par force brute et les accès non autorisés [1].

Présentation

Les identités sont le nouveau périmètre de sécurité. Avec le passage au cloud et au travail à distance, la protection de l’identité des utilisateurs est devenue plus critique que jamais. Les attaques de phishing, les fuites d'identifiants, la pulvérisation de mots de passe et l'accès à partir d'emplacements inhabituels sont des menaces constantes qui peuvent conduire à une compromission des comptes et, par conséquent, à des violations de données et à des interruptions de service. Azure AD Identity Protection fournit une solution proactive et automatisée pour identifier les activités à risque, évaluer le niveau de risque associé aux utilisateurs et aux connexions et appliquer des stratégies de correction en temps réel pour protéger les identités de votre organisation [2].

Ce guide pratique couvrira les concepts fondamentaux d'Azure AD Identity Protection, notamment les types de détection des risques, les stratégies de risque des utilisateurs et de connexion, la configuration de ces stratégies, l'intégration avec l'accès conditionnel Azure AD, ainsi que l'enquête et la correction des risques. Des instructions étape par étape et des exemples de configuration seront fournis afin que le lecteur puisse implémenter et valider Azure AD Identity Protection, renforçant la sécurité de son identité et assurant une réponse efficace aux incidents de sécurité d'identité de manière autonome, professionnelle et fiable.

Pourquoi Azure AD Identity Protection est-il crucial ?

  • Détection des risques en temps réel : utilise les algorithmes d'apprentissage automatique et de renseignement sur les menaces de Microsoft pour détecter automatiquement les activités suspectes telles que les connexions à partir d'emplacements anonymes, les adresses IP infectées, les déplacements impossibles et les fuites d'informations d'identification.
  • Évaluation adaptative des risques : attribue un niveau de risque (faible, moyen, élevé) à chaque utilisateur et entrée en fonction d'une variété de facteurs, permettant des réponses proportionnées à la menace.
  • Politiques de correction automatique : vous permet de configurer des politiques qui nécessitent automatiquement l'authentification multifacteur, réinitialisent les mots de passe ou bloquent l'accès en réponse à des niveaux de risque spécifiques.
  • Intégration de l'accès conditionnel : fonctionne en conjonction avec l'accès conditionnel Azure AD pour appliquer des contrôles d'accès adaptatifs basés sur le risque d'identité.
  • Visibilité et enquête : fournit des rapports détaillés sur les détections de risques, les utilisateurs de risques et les entrées de risques, facilitant ainsi les enquêtes et la réponse aux incidents.
  • Réduire la charge de travail SOC : automatise le tri et la résolution de nombreux incidents d'identité, permettant ainsi au personnel de sécurité de se concentrer sur des menaces plus complexes.

Prérequis

Pour utiliser Azure AD Identity Protection, vous aurez besoin des éléments suivants :

  1. Licence : Azure AD Identity Protection nécessite une licence Microsoft Entra ID P2 (anciennement Azure AD Premium P2) [3].
  2. Accès administratif : Un compte avec le rôle d'« Administrateur de sécurité », d'« Administrateur d'accès conditionnel » ou d'« Administrateur global » dans le portail Azure (https://portal.azure.com).
  3. MFA configuré : pour que les politiques de connexion et de risque utilisateur fonctionnent efficacement, les utilisateurs doivent avoir configuré et enregistré l'authentification multifacteur (MFA). L’utilisation d’Azure AD Multi-Factor Authentication est recommandée.

Étape par étape : configuration de la protection des identités Azure AD

Nous configurerons des politiques de risque pour protéger vos identités.

1. Accès à Azure AD Identity Protection

  1. Ouvrez votre navigateur et accédez au portail Azure : « https://portal.azure.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le champ de recherche supérieur, tapez « Azure AD Identity Protection » et sélectionnez-le dans les résultats.

2. Configuration de la politique de risque utilisateur

Cette politique définit l'action à entreprendre lorsqu'un utilisateur est détectécomme étant à risque (par exemple, fuite d'informations d'identification, activité anormale persistante).

  1. Dans le volet de navigation gauche d'Azure AD Identity Protection, sélectionnez Politiques de risque utilisateur.

  2. Responsabilités :

    • Sous « Utilisateurs », sélectionnez « Tous les utilisateurs » ou « Sélectionner des individus et des groupes » pour appliquer la politique à des utilisateurs ou à des groupes de test spécifiques. Pour commencer, il est recommandé de postuler à un groupe test.
    • En option, vous pouvez « Supprimer des utilisateurs et des groupes » (par exemple, comptes de service, administrateurs d'urgence).

  3. Conditions :

    • Sous « Risque utilisateur », définissez le niveau de risque qui déclenchera la politique (par exemple « Élevé »). Vous pouvez commencer par « Moyen et supérieur » et ajuster si nécessaire.

  4. Contrôles :

    • Accès : sélectionnez « Autoriser l'accès ».
    • Appliquer la politique : sélectionnez « Exiger un changement de mot de passe sécurisé ».
      • Explication : Si un utilisateur atteint le niveau de risque configuré, il sera obligé de changer son mot de passe lors de la prochaine connexion. Ceci est crucial en cas de fuite d’informations d’identification.

  5. Activer la stratégie : définissez sur « Activé ».

  6. Cliquez sur Enregistrer.

3. Configuration de la politique de risque de connexion

Cette politique définit l'action à entreprendre lorsqu'une tentative de connexion est détectée comme étant risquée (par exemple à partir d'un emplacement inhabituel, d'une adresse IP anonyme, d'une adresse IP infectée).

  1. Dans le volet de navigation gauche d'Azure AD Identity Protection, sélectionnez Politiques de risque entrant.

  2. Responsabilités :

    • Sous « Utilisateurs », sélectionnez « Tous les utilisateurs » ou « Sélectionner des individus et des groupes ».
    • En option, vous pouvez « Supprimer des utilisateurs et des groupes ».

  3. Conditions :

    • Dans « Risque d'entrée », définissez le niveau de risque qui déclenchera la politique (par exemple « Moyen »).

  4. Contrôles :

    • Accès : sélectionnez « Autoriser l'accès ».
    • Appliquer la politique : sélectionnez « Exiger une authentification multifacteur ».
      • Explication : Si une entrée est détectée comme risquée, l'utilisateur devra relever un défi MFA, même si cela n'est normalement pas requis. Cela permet de vérifier l'identité de l'utilisateur.

  5. Activer la stratégie : définissez sur « Activé ».

  6. Cliquez sur Enregistrer.

4. Configuration de la stratégie MFA du registre

Cette politique garantit que les nouveaux utilisateurs ou les utilisateurs qui n'ont pas encore enregistré MFA sont invités à le faire, ce qui est une condition préalable aux politiques de risque.

  1. Dans le volet de navigation gauche d'Azure AD Identity Protection, sélectionnez Politique d'enregistrement MFA.

  2. Responsabilités :

    • Sous « Utilisateurs », sélectionnez « Tous les utilisateurs » ou « Sélectionner des individus et des groupes ».
    • En option, vous pouvez « Supprimer des utilisateurs et des groupes ».

  3. Appliquer la politique : défini sur « Activé ».

  4. Cliquez sur Enregistrer.

5. Enquête sur les utilisateurs et les entrées à risque

Identity Protection fournit des rapports pour surveiller et enquêter sur les activités à risque.

  1. Dans le volet de navigation gauche d'Azure AD Identity Protection, sélectionnez Utilisateurs à risque.

    • Ce rapport répertorie les utilisateurs qui ont été détectés comme étant à risque, ainsi que leur niveau de risque et leur dernière détection de risque.

  2. Cliquez sur un utilisateur pour voir les détails du risque, y compris les détections de risques spécifiques (par exemple, « fuite d'informations d'identification », « entrée IP anonyme »).

  3. Dans le volet de navigation de gauche, sélectionnez Entrées de risque.

    • Ce rapport répertorie les tentatives de connexion détectées comme risquées, ainsi que le niveau de risque et les détails de connexion.

  4. Cliquez sur une entrée de risque pour afficher tous les détails, notamment le type de détection, l'emplacement, l'appareil et l'application.

6. Remédier manuellement aux risques

Bien que les stratégies automatisent la correction, vous devrez peut-être corriger manuellement les risques.

  1. Pour les utilisateurs à risque :

    • Dans le rapport « Utilisateurs à risque », sélectionnez un utilisateur.
    • Vous pouvez choisir « Confirmer l'utilisateur compromis » (cela déclenchera la politique de risque utilisateur, forçant un changement de mot de passe) ou « Ignorer le risque utilisateur » (si vous déterminez que le risque est un faux positif).

  2. Pour les entrées de risque :

    • Dans le rapport « Entrées de risque », sélectionnez une entrée.
    • Vous pouvez choisir « Confirmer le compromis » ou « Confirmer la sécurité » (s'il s'agit d'un faux positif).

Validation et tests

Il est essentiel de tester Azure AD Identity Protection pour garantir le bon fonctionnement des stratégies.comme prévu.

1. Simulation des risques entrants (IP anonyme)

  1. Utilisez un VPN ou un proxy pour vous connecter à Internet depuis un emplacement autre que votre lieu de travail habituel qui peut être classé comme IP anonyme (par exemple un serveur proxy public, Tor).

  2. Essayez de vous connecter au portail Azure ou à une application connectée à Azure AD avec un compte de test.

    • Résultat attendu : si la stratégie de risque de connexion est définie sur « Moyen » ou « Élevé » et « Exiger une authentification multifacteur », vous devriez être invité à terminer l'authentification multifacteur. Si le risque est « élevé » et que la politique est définie sur « Bloquer l'accès », l'accès sera refusé.

  3. Vérifiez le rapport « Entrées de risque » dans Azure AD Identity Protection. Vous devriez voir une entrée de risque pour le compte de test avec le type de détection « Entrée IP anonyme ».

2. Simulation des risques utilisateur (fuite d'informations d'identification)

Vous ne pouvez pas simuler directement la fuite d'informations d'identification, mais vous pouvez tester la politique de risque utilisateur en définissant manuellement un utilisateur test au niveau de risque « Élevé » (à des fins de test uniquement dans un environnement contrôlé).

  1. Dans le rapport « Utilisateurs à risque », sélectionnez un utilisateur test.
  2. Cliquez sur « Confirmer l'utilisateur compromis » (cela définira le risque utilisateur sur « Élevé » et déclenchera la politique).
  3. Demandez à l'utilisateur test d'essayer de se connecter.
    • Résultat attendu : l'utilisateur doit être invité à modifier son mot de passe lors de la prochaine connexion, comme configuré dans la stratégie de risque utilisateur.

3. Vérification des journaux d'audit et des journaux d'entrée

  1. Dans le portail Azure, accédez à « Azure Active Directory » > « Surveillance » > « Journaux entrants ».
  2. Filtrez les journaux par « Statut de risque d'entrée » et « Statut de risque d'utilisateur » pour voir les entrées qui ont été évaluées et les actions prises.

Conseils de sécurité et bonnes pratiques

  • Commencez par le mode Rapport : lors de la configuration des politiques de risque, commencez par le mode « Rapport uniquement » pour comprendre l'impact des politiques avant de les appliquer en mode d'application. Cela permet d'identifier les faux positifs sans interrompre les utilisateurs.
  • Éducation des utilisateurs : éduquez les utilisateurs sur l'importance de la MFA et sur la manière de répondre aux demandes de modification de mot de passe ou aux défis MFA. Expliquez-leur les avantages de la protection de l’identité.
  • Intégration avec l'accès conditionnel : utilisez la protection de l'identité en conjonction avec l'accès conditionnel pour créer des politiques d'accès adaptatives plus sophistiquées. Par exemple, bloquer l'accès aux applications critiques si le risque d'entrée est « élevé ».
  • Surveillance continue : surveillez régulièrement les rapports « Utilisateurs à risque » et « Entrées à risque » pour enquêter sur les activités suspectes et garantir que les politiques fonctionnent comme prévu.
  • Examen périodique des politiques : examinez et ajustez régulièrement vos politiques de risque pour vous adapter aux changements dans le paysage des menaces et aux exigences de l'entreprise.
  • Intégration SIEM/SOAR : intégrez les alertes Azure AD Identity Protection à votre SIEM (par exemple Microsoft Sentinel) pour une vue centralisée et une automatisation plus complète des réponses aux incidents.
  • Donner la priorité aux utilisateurs privilégiés : concentrez-vous sur la protection des utilisateurs hautement privilégiés (administrateurs) avec les politiques de risque les plus strictes.

Dépannage courant

  • Les utilisateurs ne sont pas invités à modifier le MFA/mot de passe : Vérifiez que l'utilisateur dispose d'une licence Azure AD P2. Assurez-vous que les politiques de risque sont « Activées » et que l'utilisateur est inclus dans les affectations. Vérifiez si l'utilisateur a déjà enregistré MFA.
  • Faux positifs de risque : enquêtez sur les détections de risques pour comprendre pourquoi elles ont été déclenchées. Vous pouvez « Confirmer la sécurité » pour les entrées ou « Ignorer le risque utilisateur » pour les utilisateurs si vous êtes sûr qu'il n'y a aucune menace. Ajustez les conditions de la politique de risque si nécessaire (par exemple, augmentez le niveau de risque qui déclenche la politique).
  • Utilisateurs incorrectement bloqués : si la politique de risque de connexion est définie sur « Bloquer l'accès » pour un risque « Moyen » ou « Faible », cela peut entraîner des blocages excessifs. Examinez le niveau de risque et les mesures politiques. Envisagez d'utiliser « Exiger une authentification multifacteur » au lieu de « Bloquer l'accès » pour les risques moyens.
  • Problèmes d'enregistrement MFA : assurez-vous que la politique d'enregistrement MFA est « Activée » et que les utilisateurs sont inclus.toi. Recherchez d’autres politiques d’accès conditionnel susceptibles d’interférer.
  • Les détections de risques n'apparaissent pas : vérifiez que la protection de l'identité est activée et qu'il existe un trafic d'authentification dans votre Azure AD. L'apparition des détections de risques peut prendre un certain temps, notamment pour les risques liés aux utilisateurs.

Conclusion

Azure AD Identity Protection est un outil indispensable pour protéger les identités dans les environnements cloud modernes. En automatisant la détection et la correction des risques liés à l'identité, il permet aux organisations de répondre rapidement aux menaces, de réduire la surface d'attaque et de renforcer leur posture de sécurité globale. La mise en œuvre minutieuse des politiques de risque, combinée à la formation des utilisateurs et à une surveillance continue, permet aux équipes de sécurité de protéger de manière proactive les identités les plus critiques. Grâce à ce guide pratique, les professionnels de la sécurité seront bien équipés pour configurer, valider et gérer Azure AD Identity Protection, garantissant ainsi que leurs identités restent sécurisées et résilientes contre les cybermenaces en constante évolution.

Références :

[1] Microsoft Apprendre. Qu'est-ce que la protection Microsoft Entra ID ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Apprendre. Qu'est-ce que la détection des risques ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Apprendre. Exigences de licence pour Microsoft Entra ID Protection. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Apprendre. Configurez les politiques de risque pour Microsoft Entra ID Protection. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Apprendre. Enquêtez sur les risques avec Microsoft Entra ID Protection. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Apprendre. Corriger les risques et débloquer les utilisateurs. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock