learn.microsoft.com Open in urlscan Pro
2a02:26f0:7100:9a1::3544  Public Scan

Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016517
Effective URL: https://learn.microsoft.com/fr-fr/entra/id-protection/concept-identity-protection-risks
Submission: On December 18 via api from DE — Scanned from FR

Form analysis 3 forms found in the DOM

Name: site-header-search-form-mobileGET /fr-fr/search/

<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form-mobile" data-bi-name="site-header-search-form-mobile" name="site-header-search-form-mobile" aria-label="Recherche" action="/fr-fr/search/">
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control ">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input-mobile"
        data-test-id="site-header-search-autocomplete-input-mobile" class="autocomplete-input input 
						
						width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-1-listbox" aria-controls="ax-1-listbox" aria-activedescendant="" aria-label="Recherche" aria-describedby="ms--site-header-search-autocomplete-input-mobile-description"
        placeholder="Recherche" data-bi-name="site-header-search-autocomplete-input-mobile" pattern=".*">
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--site-header-search-autocomplete-input-mobile-description"> Les suggestions sont filtrées à mesure que vous tapez </span>
    </div>
    <ul role="listbox" id="ax-1-listbox" data-test-id="site-header-search-autocomplete-input-mobile-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggestions" hidden="">
    </ul>
    <!---->
  </div>
  <!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
  <button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
  <input name="category" hidden="" value="">
</form>

Name: site-header-search-formGET /fr-fr/search/

<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form" data-bi-name="site-header-search-form" name="site-header-search-form" aria-label="Recherche" action="/fr-fr/search/">
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control ">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input" data-test-id="site-header-search-autocomplete-input" class="autocomplete-input input input-sm
						
						width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-0-listbox" aria-controls="ax-0-listbox" aria-activedescendant="" aria-label="Recherche" aria-describedby="ms--site-header-search-autocomplete-input-description"
        placeholder="Recherche" data-bi-name="site-header-search-autocomplete-input" pattern=".*">
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--site-header-search-autocomplete-input-description"> Les suggestions sont filtrées à mesure que vous tapez </span>
    </div>
    <ul role="listbox" id="ax-0-listbox" data-test-id="site-header-search-autocomplete-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggestions" hidden="">
    </ul>
    <!---->
  </div>
  <!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
  <button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
  <input name="category" hidden="" value="">
</form>

javascript:

<form action="javascript:" role="search" aria-label="Recherche" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-2">Recherche</label>
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control has-icons-left">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-2" data-test-id="ax-2" class="autocomplete-input input input-sm
						control has-icons-left
						width-full" type="text" aria-expanded="false" aria-owns="ax-3-listbox" aria-controls="ax-3-listbox" aria-activedescendant="" aria-describedby="ms--ax-2-description" placeholder="Filtrer par titre" pattern=".*">
      <span aria-hidden="true" class="icon is-small is-left">
        <span class="has-text-primary docon docon-filter-settings"></span>
      </span>
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--ax-2-description"> Les suggestions sont filtrées à mesure que vous tapez </span>
    </div>
    <ul role="listbox" id="ax-3-listbox" data-test-id="ax-2-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggestions" hidden="">
    </ul>
    <!---->
  </div>
</form>

Text Content

Passer au contenu principal

Nous utilisons des cookies facultatifs pour améliorer votre expérience sur nos
sites Web, par exemple en vous permettant de vous connecter aux réseaux sociaux,
et pour afficher de la publicité personnalisée en fonction de votre activités en
ligne. Si vous refusez les cookies facultatifs, seuls les cookies nécessaires
pour vous fournir les services seront utilisés. Vous pouvez modifier votre
sélection en cliquant sur « Gérer les cookies » au bas de la page. Déclaration
de confidentialité Cookies tiers

Accepter Refuser Gérer les cookies


MICROSOFT LEARN CHALLENGE

Nov 23, 2024 – Jan 10, 2025

Build skills in the latest technologies and earn a digital badge by January 10!

S’inscrire maintenant
Ignorer l’alerte

Ce navigateur n’est plus pris en charge.

Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières
fonctionnalités, des mises à jour de sécurité et du support technique.

Télécharger Microsoft Edge Plus d’informations sur Internet Explorer et
Microsoft Edge

Learn
Les suggestions sont filtrées à mesure que vous tapez
Se connecter


 * Profil
 * Paramètres

Se déconnecter

Learn
   
 * Découvrez
      
    * Documentation
      
      Articles détaillés sur les outils et les technologies de développement de
      Microsoft
   
      
    * Entrainement
      
      Parcours d’apprentissage et cours personnalisés
   
      
    * Titre de compétences
      
      Titres de compétences reconnus mondialement et approuvés dans le secteur
   
      
    * Questions et réponses
      
      Questions techniques et réponses modérées par Microsoft
   
      
    * Exemples de code
      
      Bibliothèque d’exemples de code pour les technologies et outils de
      développement Microsoft
   
      
    * Évaluations
      
      Conseils et recommandations interactifs organisés
   
      
    * Éléments décrits
      
      Des milliers d’heures de programmation originale d’experts Microsoft
   
      
   
   Microsoft Learn pour les organisations
   
   Améliorer les compétences techniques de votre équipe
   
   Accédez aux ressources curées pour améliorer les compétences de votre équipe
   et combler les lacunes.

   
 * Documentation du produit
      
    * ASP.NET
      
    * Azure
      
    * Dynamics 365
      
    * Microsoft 365
      
    * Microsoft Copilot
      
    * Microsoft Edge
      
    * Microsoft Entra
      
    * Microsoft Graph
      
    * Microsoft Intune
      
    * Microsoft Purview
      
    * Microsoft Teams
      
    * .NET
      
    * Power Apps
      
    * Power BI
      
    * Power Platform
      
    * PowerShell
      
    * SQL
      
    * Sysinternals
      
    * Visual Studio
      
    * Windows
      
    * Windows Server
      
   
   Voir tous les produits
   
   Microsoft Learn pour les organisations
   
   Améliorer les compétences techniques de votre équipe
   
   Accédez aux ressources curées pour améliorer les compétences de votre équipe
   et combler les lacunes.

   
 * Langues de développement
      
    * C++
      
    * C#
      
    * DAX
      
    * Java
      
    * OData
      
    * OpenAPI
      
    * Power Query M
      
    * VBA
      
   
   Microsoft Learn pour les organisations
   
   Améliorer les compétences techniques de votre équipe
   
   Accédez aux ressources curées pour améliorer les compétences de votre équipe
   et combler les lacunes.

   
 * Rubriques
      
    * Intelligence artificielle
      
    * Conformité
      
    * DevOps
      
    * Ingénierie de plateforme
      
    * Sécurité
      
   
   Microsoft Learn pour les organisations
   
   Améliorer les compétences techniques de votre équipe
   
   Accédez aux ressources curées pour améliorer les compétences de votre équipe
   et combler les lacunes.

   

Les suggestions sont filtrées à mesure que vous tapez
Se connecter


 * Profil
 * Paramètres

Se déconnecter
Microsoft Entra
   
 * Microsoft Entra ID
   
 * ID externe
   
 * Global Secure Access
   
 * Gouvernance informatique
   
 * Permissions Management
   
 * Documentation sur la sécurité de Microsoft
   
 * Résolution des problèmes
   
 * Plus
     
   * Microsoft Entra ID
     
   * ID externe
     
   * Global Secure Access
     
   * Gouvernance informatique
     
   * Permissions Management
     
   * Documentation sur la sécurité de Microsoft
     
   * Résolution des problèmes
     
   

Centre d’administration
Table des matières Quitter le mode focus

Recherche
Les suggestions sont filtrées à mesure que vous tapez
 * Documentation Microsoft Entra ID Protection
 * Vue d’ensemble
 * Concepts
   * Tableau de bord Microsoft Entra ID Protection
   * Que sont les risques ?
   * Stratégies de contrôle d’accès basées sur les risques
   * Expérience de connexion utilisateur
   * Sécurisation d’identités de charge de travail
   * Microsoft Entra ID Protection et les utilisateurs B2B
 * Guides pratiques
   * Déployer Microsoft Entra ID Protection
   * Configurer les notifications
   * Configuration de la stratégie
   * Simuler des détections de risques
   * Investiguer et corriger
   * Fournir des commentaires sur les détections de risques
   * Classeur d’analyse d’Impact
 * Informations de référence
 * Ressources

Télécharger le PDF
    
 1. Learn
    
    
 2. Microsoft Entra
    
    
 3. Protection de l'identifiant Microsoft Entra
    

    
 1. Learn
    
    
 2. Microsoft Entra
    
    
 3. Protection de l'identifiant Microsoft Entra
    

Lire en anglais Enregistrer
 * Ajouter à des collections
 * Ajouter au plan

Table des matières Lire en anglais Ajouter à des collections Ajouter au plan


--------------------------------------------------------------------------------

PARTAGER VIA

Facebook x.com LinkedIn Courrier

--------------------------------------------------------------------------------

Imprimer
Table des matières


QUE SONT LES DÉTECTIONS DE RISQUES ?

 * Article
 * 21/08/2024
 * 23 contributeurs

Commentaires


DANS CET ARTICLE

    
 1. Niveaux de risque
    
 2. Détections en temps réel et hors connexion
    
 3. Détections de risque mappées à riskEventType
    
 4. Détections Premium
    
 5. Détections non-Premium
    
 6. Questions courantes
    
 7. Contenu connexe
    

Afficher 3 de plus

Protection Microsoft Entra ID fournit aux organisations des informations sur les
activités suspectes dans leur tenant et leur permet de répondre rapidement pour
empêcher la survenue d’un risque supplémentaire. Les détections de risque sont
une ressource puissante qui peut inclure toute activité suspecte ou anormale
liée à un compte d’utilisateur dans le répertoire. Les détections de risque de
Protection ID peuvent être liées à un évènement utilisateur individuel ou à un
évènement de connexion et contribuer au score de risque global utilisateur
trouvé dans le Rapport des utilisateurs à risque.

Les détections de risque utilisateur peuvent marquer un compte d’utilisateur
légitime comme étant à risque lorsqu’un acteur de menace potentielle accède à un
compte en compromettant ses informations d’identification ou lorsqu’elles
détectent un type d’activité utilisateur anormale. Les détections de risque de
connexion représentent la probabilité qu’une demande d’authentification donnée
ne provienne pas du propriétaire autorisé du compte. La possibilité d’identifier
le risque au niveau de l’utilisateur et de la connexion est essentielle pour
permettre aux clients de sécuriser leur tenant.


NIVEAUX DE RISQUE

La protection d’identité catégorise les risques en trois niveaux : faible,
moyen, élevé. Niveaux de risque calculés par nos algorithmes Machine Learning et
représentant le degré de confiance de Microsoft que les informations
d’identification de l’utilisateur sont connues par une entité non autorisée.

 * Une détection de risque avec un niveau de risque Élevé signifie que Microsoft
   est quasiment certain que le compte est compromis.
 * Une détection de risque avec un niveau de risque Faible signifie que des
   anomalies sont présentes dans la connexion ou dans les informations
   d’identification d’un utilisateur, mais que nous sommes moins sûrs que ces
   anomalies indiquent que le compte est compromis.

De nombreuses détections peuvent déclencher plus d’un de nos niveaux de risque,
en fonction du nombre ou de la gravité des anomalies détectées. Par exemple,
desPropriétés de connexion inhabituelles peuvent se déclencher au niveau élevé,
moyen ou faible, en fonction de la confiance dans les signaux. Certaines
détections, telles que Informations d'identification fuitées et Adresse IP de
l’intervenant de menace vérifiée sont toujours remises comme étant à risque
élevé.

Le niveau de risque est important lorsqu’il s’agit de décider quelles détections
prioriser, examiner et corriger. Il joue également un rôle clé au niveau de la
configuration des stratégies d’accès conditionnel en fonction du risque, car
chaque stratégie peut être définie pour se déclencher sur un risque de risque
faible, moyen, élevé, ou nul. En fonction de la tolérance au risque de votre
organisation, vous pouvez créer des stratégies qui exigent une MFA ou une
réinitialisation de mot de passe quand Protection ID détecte un certain niveau
de risque pour l’un de vos utilisateurs. Ces stratégies peuvent guider
l’utilisateur à se corriger automatiquement pour résoudre le risque.

Important

Toutes les détections de niveau de risque « faible » et tous les utilisateurs
subsistent dans le produit pendant 6 mois, après quoi ils deviennent
automatiquement obsolètes, pour offrir une expérience d’enquête plus propre. Les
niveaux de risque moyens et élevés subsistent jusqu’à la correction ou le rejet.

Selon la tolérance de risque de votre organisation, vous pouvez créer des
stratégies qui exigent une authentification multifacteur (MFA) ou une
réinitialisation de mot de passe quand ID Protection détecte un certain niveau
de risque. Il est possible que ces stratégies puissent accompagner l’utilisateur
pour corriger automatiquement et résoudre le risque ou le bloquer en fonction de
vos tolérances.


DÉTECTIONS EN TEMPS RÉEL ET HORS CONNEXION

Protection ID utilise des techniques pour augmenter la précision des détections
de risque d’utilisateur et de connexion en calculant certains risques en temps
réel ou hors connexion après l’authentification. La détection de risque en temps
réel lors de la connexion offre l’avantage d’identifier les risques tôt, afin
que les clients puissent rapidement examiner la compromission potentielle. Les
détections qui calculent le risque hors connexion peuvent fournir plus
d’informations sur la façon dont l’acteur de menace a obtenu l’accès au compte
et l’impact sur l’utilisateur légitime. Certaines détections peuvent être
déclenchées hors connexion et au moment de la connexion, ce qui augmente la
confiance en étant précise sur la compromission.

Les détections déclenchées en temps réel prennent 5 à 10 minutes pour présenter
les informations dans les rapports. Les détections hors connexion prennent
jusqu’à 48 heures pour apparaître dans les rapports, car il faut du temps pour
évaluer les propriétés du risque potentiel.

Notes

Notre système peut détecter que l’événement à risque qui a contribué au score de
risque de l’utilisateur à risque était :

 * Un faux positif
 * Le risque de l’utilisateur a été corrigé par la stratégie :
   * Fin de l’authentification multifacteur
   * Modification du mot de passe sécurisé

Notre système ignorera l’état de risque et le détail de risque Sécurisation de
la connexion confirmée par IA apparaîtra et ne contribuera plus au risque
général de l’utilisateur.

Sur les données détaillées sur les risques, Détection du temps enregistre le
moment exact où un risque est identifié lors de la connexion d’un utilisateur,
ce qui permet d’avoir une évaluation des risques en temps réel et une
application de stratégie immédiate pour protéger l’utilisateur et
l’organisation. Détection la dernière mise à jour affiche la dernière mise à
jour d’une détection de risque, qui peut être provoquée par de nouvelles
informations, des changements au niveau du risque ou des actions
administratives, et garantit une gestion à jour des risques.

Ces champs sont essentiels pour la surveillance en temps réel, la réponse aux
menaces et le maintien d’un accès sécurisé aux ressources de l’organisation.


DÉTECTIONS DE RISQUE MAPPÉES À RISKEVENTTYPE

Agrandir le tableau

Détection d’événements à risque Type de détection Type riskEventType Détections
de risque de connexion Activité depuis une adresse IP anonyme Hors connexion
Premium riskyIPAddress Risque supplémentaire détecté (connexion) Temps réel ou
hors connexion Non-Premium generic = Classification de détection Premium pour
les tenants non-P2 L’administrateur a confirmé que cet utilisateur est compromis
Hors connexion Non-Premium adminConfirmedUserCompromised Jeton anormal Temps
réel ou hors connexion Premium anomalousToken Adresse IP anonyme Temps réel
Non-Premium anonymizedIPAddress Voyage inhabituel Hors connexion Premium
unlikelyTravel Voyage impossible Hors connexion Premium mcasImpossibleTravel
Adresse IP malveillante Hors connexion Premium maliciousIPAddress Accès en masse
aux fichiers sensibles Hors connexion Premium mcasFinSuspiciousFileAccess Veille
des menaces Microsoft Entra (connexion) Temps réel ou hors connexion Non-Premium
investigationsThreatIntelligence Nouveau pays Hors connexion Premium newCountry
Pulvérisation de mots de passe Hors connexion Premium passwordSpray Navigateur
suspect Hors connexion Premium suspiciousBrowser Transfert de boîte de réception
suspect Hors connexion Premium suspiciousInboxForwarding Règles suspectes de
manipulation de boîte de réception Hors connexion Premium
mcasSuspiciousInboxManipulationRules Anomalie de l’émetteur du jeton Hors
connexion Premium tokenIssuerAnomaly Propriétés de connexion inhabituelles Temps
réel Premium unfamiliarFeatures Adresse IP de l’intervenant de menace vérifiée
Temps réel Premium nationStateIP Détections de risque utilisateur Risque
supplémentaire détecté (utilisateur) Temps réel ou hors connexion Non-Premium
generic = Classification de détection Premium pour les tenants non-P2 Activité
anormale de l’utilisateur Hors connexion Premium anomalousUserActivity Attaquant
du milieu Hors connexion Premium attackerinTheMiddle Informations
d’identification divulguées Hors connexion Non-Premium leakedCredentials Veille
des menaces Microsoft Entra (utilisateur) Temps réel ou hors connexion
Non-Premium investigationsThreatIntelligence Tentative possible d’accès à un
jeton d’actualisation principal (PRT) Hors connexion Premium attemptedPrtAccess
Trafic d’API suspect Hors connexion Premium suspiciousAPITraffic Modèles d’envoi
suspects Hors connexion Premium suspiciousSendingPatterns L’utilisateur a
signalé une activité suspecte Hors connexion Premium
userReportedSuspiciousActivity

Pour plus d’informations sur les détections de risques liés aux identités de
charge de travail, accédez à Sécurisation des identités de charge de travail.


DÉTECTIONS PREMIUM

Les détections Premium suivantes ne sont visibles que par les clients utilisant
Microsoft Entra P2.


DÉTECTIONS DE RISQUE DE CONNEXION PREMIUM

ACTIVITÉ DEPUIS UNE ADRESSE IP ANONYME

Calculé hors connexion. Cette détection est découverte à l’aide d’informations
fournies par les applications Microsoft Defender pour le cloud. Cette détection
identifie que les utilisateurs étaient actifs depuis une adresse IP identifiée
comme une adresse IP de proxy anonyme.

JETON ANORMAL

Calculé en temps réel ou hors connexion. Cette détection indique qu’il existe
des caractéristiques anormales dans le jeton, comme une durée de vie de jeton
inhabituelle ou un jeton lu depuis un emplacement inhabituel. Cette détection
couvre les jetons de session et les jetons d’actualisation.

Le jeton anormal est réglé pour entraîner un bruit supérieur à celui des autres
détections au même niveau de risque. Ce compromis est choisi afin d’augmenter la
probabilité de détecter les jetons relus qui pourraient autrement passer
inaperçus. Il existe une probabilité plus élevée que la normale que certaines
des sessions marquées par cette détection sont des faux positifs. Nous vous
recommandons d’examiner les sessions signalées par cette détection dans le
contexte d’autres connexions de l’utilisateur. Si l’emplacement, l’application,
l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont inattendues
pour l’utilisateur, l’administrateur de l’abonné doit considérer ce risque comme
un indicateur de relecture potentielle du jeton.

Conseils pour examiner des détections de jetons anormaux.

VOYAGE INHABITUEL

Calculé hors connexion. Ce type de détection d’événement à risque identifie deux
connexions depuis des emplacements géographiquement distants, dont au moins un
pourrait être inhabituel pour l’utilisateur compte tenu de son comportement
passé. L’algorithme prend en compte de multiples facteurs, notamment le temps
entre les deux ouvertures de session et le temps qu’il faudrait à l’utilisateur
pour se rendre du premier endroit au second. Ce risque peut indiquer qu’un autre
utilisateur utilise les mêmes informations d’identification.

L’algorithme ignore les « faux positifs » évidents contribuant aux conditions de
voyage impossible, tels que les VPN et les emplacements régulièrement utilisés
par d’autres membres de l’organisation. Le système présente une période
d’apprentissage initiale la plus proche de 14 jours ou de 10 connexions lui
servant à assimiler le comportement de connexion des nouveaux utilisateurs.

Conseils pour examiner des détections de voyages atypiques.

VOYAGE IMPOSSIBLE

Calculé hors connexion. Cette détection est découverte à l’aide d’informations
fournies par les applications Microsoft Defender pour le cloud. Cette section
identifie les activités utilisateur (dans une seule session ou plusieurs)
provenant d’emplacements éloignés sur le plan géographique au cours d’une
période plus courte que la durée nécessaire pour aller du premier emplacement au
second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes
informations d’identification.

ADRESSE IP MALVEILLANTE

Calculé hors connexion. Cette détection indique une connexion à partir d’une
adresse IP malveillante. Une adresse IP est considérée comme malveillante quand
elle présente un taux d’échecs élevé en raison d’informations d’identification
non valides qu’elle envoie ou d’autres sources relatives à la réputation des
adresses IP. Dans certains cas, cette détection se déclenche pour des activités
malveillantes antérieures.

Conseils pour examiner des détections d’adresses IP malveillantes.

ACCÈS EN MASSE AUX FICHIERS SENSIBLES

Calculé hors connexion. Cette détection est découverte à l’aide d’informations
fournies par les applications Microsoft Defender pour le cloud. Cette détection
observe votre environnement et déclenche des alertes lorsque des utilisateurs
accèdent à plusieurs fichiers depuis Microsoft SharePoint Online ou Microsoft
OneDrive. Une alerte n’est déclenchée que si le nombre de fichiers accédés est
inhabituel pour l’utilisateur et si les fichiers peuvent contenir des
informations sensibles.

NOUVEAU PAYS

Calculé hors connexion. Cette détection est découverte à l’aide d’informations
fournies par les applications Microsoft Defender pour le cloud. Cette détection
prend en compte les emplacements d’activité précédents pour déterminer les
emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalies
stocke des informations sur les emplacements précédents utilisés par les
utilisateurs de l’organisation.

PULVÉRISATION DE MOTS DE PASSE

Calculé hors connexion. Une attaque par pulvérisation de mots de passe est
l’endroit où plusieurs identités sont attaquées en utilisant des mots de passe
communs dans une méthode de force brute unifiée. La détection des risques se
déclenche lorsque le mot de passe d’un compte est valide et qu’il y a une
tentative de connexion à ce compte. Cette détection signale que le mot de passe
de l’utilisateur a correctement été identifié via une attaque par pulvérisation
de mots de passe, et non que l’attaquant a pu accéder à des ressources.

Conseils pour examiner des détections d’adresses IP malveillantes.

NAVIGATEUR SUSPECT

Calculé hors connexion. La détection de navigateur suspect indique un
comportement anormal basé sur des activités de connexion suspectes sur plusieurs
locataires de différents pays dans le même navigateur.

Conseils pour examiner des détections de navigateur suspect.

TRANSFERT DE BOÎTE DE RÉCEPTION SUSPECT

Calculé hors connexion. Cette détection est découverte à l’aide d’informations
fournies par les applications Microsoft Defender pour le cloud. Cette détection
recherche les règles de transfert des e-mails suspects, par exemple, si un
utilisateur a créé une règle de boîte de réception assurant le transfert d’une
copie de tous les e-mails à une adresse externe.

RÈGLES SUSPECTES DE MANIPULATION DE BOÎTE DE RÉCEPTION

Calculé hors connexion. Cette détection est découverte à l’aide d’informations
fournies par les applications Microsoft Defender pour le cloud. Cette détection
surveille votre environnement et déclenche des alertes lorsque des règles
suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies
dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de
l’utilisateur est compromis, que les messages sont intentionnellement masqués et
que la boîte aux lettres est utilisée pour distribuer du courrier indésirable ou
des programmes malveillants dans votre organisation.

ANOMALIE DE L’ÉMETTEUR DU JETON

Calculé hors connexion. Cette détection des risques indique que l’émetteur de
jeton SAML pour le jeton SAML associé est potentiellement compromis. Les
revendications incluses dans le jeton sont inhabituelles ou correspondent aux
modèles d’attaquants connus.

Conseils pour examiner des détections d’anomalies liées à un émetteur de jeton.

PROPRIÉTÉS DE CONNEXION INHABITUELLES

Calculé en temps réel. Ce type de détection de risque prend en compte
l’historique des connexions passées pour rechercher des connexions anormales. Le
système stocke des informations sur les connexions précédentes et déclenche une
détection de risque lorsqu’une connexion se produit avec des propriétés qui ne
sont pas familières à l’utilisateur. Ces propriétés peuvent inclure
l’adresse IP, l’ASN, l’emplacement, l’appareil, le navigateur et le
sous-réseau IP du locataire. Les utilisateurs nouvellement créés sont mis
pendant un temps dans un « mode d’apprentissage », pendant lequel la détection
de risque des propriétés de connexion inhabituelle sont désactivées pendant que
nos algorithmes apprennent le comportement de l’utilisateur. La durée du mode
d’apprentissage est dynamique et varie selon le temps qu’il faut à l’algorithme
pour collecter suffisamment d’informations sur les modèles de connexion de
l’utilisateur. La durée minimale est de 5 jours. Un utilisateur peut revenir en
mode d’apprentissage après une longue période d’inactivité.

Nous exécutons également cette détection pour l’authentification de base (ou les
protocoles existants). Étant donné que ces protocoles ne proposent pas de
propriétés modernes telles que l’ID client, les données permettant de réduire le
nombre de faux positifs sont limitées. Nous recommandons à nos clients de passer
à l’authentification moderne.

Des propriétés de connexion inhabituelles peuvent être détectées sur des
connexions interactives et non interactives. Lorsque cette détection est
détectée sur des connexions non interactives, elle mérite des contrôles accrus
en raison du risque d’attaques par relecture de jetons.

La sélection d’un risque de propriétés de connexion inhabituelles vous permet de
consulter des informations supplémentaires qui fournissent plus de détails sur
la raison du déclenchement de ce risque.

ADRESSE IP DE L’INTERVENANT DE MENACE VÉRIFIÉE

Calculé en temps réel. Ce type de détection de risque indique une activité de
connexion cohérente avec les adresses IP connues associées aux intervenants de
l’état de la nation ou à des groupes criminels informatiques, sur la base de
données par le Centre de veille des menaces Microsoft (Microsoft Threat
Intelligence Center/MSTIC).


DÉTECTIONS DE RISQUE D’UTILISATEUR PREMIUM

ACTIVITÉ ANORMALE DE L’UTILISATEUR

Calculé hors connexion. Cette détection de risques base le comportement normal
de l’utilisateur-administrateur dans Microsoft Entra ID et détecte des schémas
de comportement anormaux tels que des changements suspects apportés à
l’annuaire. La détection est déclenchée sur l’administrateur qui fait le
changement ou sur l’objet qui a été modifié.

ATTAQUANT DU MILIEU

Calculé hors connexion. Également appelée Adversaire du milieu, cette détection
haute précision est déclenchée lorsqu’une session d’authentification est liée à
un proxy inverse malveillant. Dans ce type d’attaque, l’adversaire peut
intercepter les informations d’identification de l’utilisateur, y compris les
jetons émis à l’utilisateur. L’équipe Microsoft Security Research utilise
Microsoft 365 Defender pour capturer le risque identifié et élever l’utilisateur
à un niveau de risque Élevé. Nous recommandons aux administrateurs d’examiner
manuellement l’utilisateur lorsque cette détection est déclenchée pour vous
assurer que le risque est éliminé. L’élimination de ce risque peut nécessiter
une réinitialisation de mot de passe sécurisée ou une révocation des sessions
existantes.

TENTATIVE POSSIBLE D’ACCÈS À UN JETON D’ACTUALISATION PRINCIPAL (PRT)

Calculé hors connexion. Ce type de détection des risques est découvert à l’aide
d’informations fournies par Microsoft Defender for Endpoint (MDE). Un jeton
d’actualisation principal (PRT) est un artefact clé d’authentification Microsoft
Entra sur les appareils Windows 10, Windows Server 2016 et versions ultérieures,
iOS et Android. Un PRT est un jeton JSON Web Token (JWT) émis pour les brokers à
jetons Microsoft internes, qui permet d’activer l’authentification unique (SSO)
sur les applications utilisées sur ces appareils. Les attaquants peuvent tenter
d’accéder à cette ressource pour se déplacer latéralement dans une organisation
ou voler des informations d’identification. Cette détection place les
utilisateurs à un niveau de risque élevé et se déclenche uniquement dans les
organisations qui ont déployé MDE. Cette détection est de niveau de risque élevé
et nous vous recommandons une correction rapide de ces utilisateurs. Elle
apparaît rarement dans la plupart des organisations, en raison de son faible
volume.

TRAFIC D’API SUSPECT

Calculé hors connexion. Cette détection de risque est signalée lorsqu’un trafic
d’API Graph ou une énumération de répertoires anormaux sont observés. Un trafic
d’API suspect peut suggérer qu’un utilisateur est compromis et qu’il faut
effectuer une reconnaissance de l’environnement.

MODÈLES D’ENVOI SUSPECTS

Calculé hors connexion. Ce type de détection des risques est découvert à l’aide
des informations fournies par Microsoft Defender for Office 365 (MDO). Cette
alerte est générée lorsqu’une personne de votre organisation a envoyé un e-mail
suspect et qu’il risque d’être ou est interdit d’envoi d’e-mails. Cette
détection place les utilisateurs à un niveau de risque moyen et se déclenche
uniquement dans les organisations qui ont déployé MDO. Il s’agit d’une détection
à faible volume qui est rarement observée dans la plupart des organisations.

L’UTILISATEUR A SIGNALÉ UNE ACTIVITÉ SUSPECTE

Calculé hors connexion. Cette détection de risque est signalée quand un
utilisateur refuse une invite d’authentification multifacteur (MFA) et la
signale comme une activité suspecte. Une invite MFA non initiée par un
utilisateur peut signifier que ses informations d’identification sont
compromises.


DÉTECTIONS NON-PREMIUM

Les clients sans licence Microsoft Entra ID P2 reçoivent des détections
intitulées Risque supplémentaire détecté sans les informations détaillées sur la
détection que reçoivent les clients disposant de licences P2. Pour plus
d’informations, consultez les Exigences des licences.


DÉTECTIONS DE RISQUE DE CONNEXION NON-PREMIUM

RISQUE SUPPLÉMENTAIRE DÉTECTÉ (CONNEXION)

Calculé en temps réel ou hors connexion. Cette détection indique que l’une des
détections Premium a eu lieu. Les détections Premium n’étant visibles que pour
les clients Microsoft Entra ID P2, elles sont intitulées Risque supplémentaire
détecté pour les clients dépourvus de licences Microsoft Entra ID P2.

L’ADMINISTRATEUR A CONFIRMÉ QUE CET UTILISATEUR EST COMPROMIS

Calculé hors connexion. Cette détection indique qu’un administrateur a
sélectionné Confirmer que l’utilisateur est compromis dans l’interface
utilisateur des utilisateurs à risque ou en utilisant l’API riskyUsers. Pour
voir quel administrateur a confirmé que cet utilisateur était compromis,
consultez l’historique des risques de l’utilisateur (par le biais de l’interface
utilisateur ou de l’API).

ADRESSE IP ANONYME

Calculé en temps réel. Ce type de détection des risque détecte des connexions à
partir d’adresses IP anonymes (par exemple, navigateur Tor VPN anonyme). Ces
adresses IP sont généralement utilisées par des acteurs souhaitant masquer leurs
informations de connexion (adresse IP, emplacement, appareil, etc.) dans un but
potentiellement malveillant.

VEILLE DES MENACES MICROSOFT ENTRA (CONNEXION)

Calculé en temps réel ou hors connexion. Ce type de détection des risques
indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui
est cohérente avec des modèles d’attaque connus. Cette détection est basée sur
les sources de renseignements sur les menaces internes et externes de Microsoft.

Conseils pour examiner les détections provenant des renseignements sur les
menaces de Microsoft Entra.


DÉTECTIONS DE RISQUE D’UTILISATEUR NON-PREMIUM

RISQUE SUPPLÉMENTAIRE DÉTECTÉ (UTILISATEUR)

Calculé en temps réel ou hors connexion. Cette détection indique que l’une des
détections Premium a eu lieu. Les détections Premium n’étant visibles que pour
les clients Microsoft Entra ID P2, elles sont intitulées Risque supplémentaire
détecté pour les clients dépourvus de licences Microsoft Entra ID P2.

INFORMATIONS D’IDENTIFICATION DIVULGUÉES

Calculé hors connexion. Ce type de détection de risque indique que les
informations d’identification valides de l’utilisateur ont fuité. Souvent, quand
des cybercriminels compromettent les mots de passe valides d’utilisateurs
légitimes, ils le font dans le but de les rendre publics. Ce partage se fait
généralement en publiant publiquement sur le « dark web », via des sites de
pastebin, ou en échangeant et vendant des informations d’identification sur le
marché noir. Lorsque le service d’informations de connexion divulguées de
Microsoft acquiert des informations d’identification utilisateur à partir du
dark Web, de sites web de collage ou autres sources, ces informations sont
comparées aux informations d’identification valides actuelles des utilisateurs
Microsoft Entra pour rechercher des correspondances valides. Pour plus
d’informations sur informations de connexion fuitées, consultez Questions
courantes.

Conseils pour examiner des détections d’informations d’identification
divulguées.

VEILLE DES MENACES MICROSOFT ENTRA (UTILISATEUR)

Calculé hors connexion. Ce type de détection des risques indique une activité
utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec
des modèles d’attaque connus. Cette détection est basée sur les sources de
renseignements sur les menaces internes et externes de Microsoft.

Conseils pour examiner les détections provenant des renseignements sur les
menaces de Microsoft Entra.


QUESTIONS COURANTES


QUE SE PASSE-T-IL SI DES INFORMATIONS D’IDENTIFICATION INCORRECTES ONT ÉTÉ
UTILISÉES POUR TENTER DE SE CONNECTER ?

La protection des ID génère des détections de risque uniquement lorsque les
informations d’identification appropriées sont utilisées. Si des informations
d’identification incorrectes sont utilisées pour une connexion, elles ne
représentent pas un risque de compromission des informations d’identification.


LA SYNCHRONISATION DE HACHAGE DE MOT DE PASSE EST-ELLE REQUISE ?

Les détections de risque comme les informations d’identification divulguées
nécessitent la présence de hachages de mot de passe. Pour plus d’informations
sur la synchronisation de hachage du mot de passe, consultez l’article
Implémenter la synchronisation de hachage de mot de passe avec la
synchronisation Microsoft Entra Connect.


POURQUOI LES DÉTECTIONS DE RISQUE SONT-ELLES GÉNÉRÉES POUR LES COMPTES
DÉSACTIVÉS ?

Les comptes d’utilisateur dans un état désactivé peuvent être réactivés. Si les
informations d’identification d’un compte désactivé sont compromises et que le
compte est réactivé, des acteurs malveillants pourraient utiliser ces
informations d’identification pour y accéder. Protection ID génère des
détections de risque pour les activités suspectes sur ces comptes d’utilisateur
désactivés afin d’alerter les clients sur une compromission potentielle de
compte. Si un compte n’est plus utilisé et ne va pas être réactivé, les clients
doivent envisager sa suppression afin d’éviter toute compromission. Aucune
détection de risque n’est générée pour les comptes supprimés.


QUESTIONS COURANTES SUR LES INFORMATIONS D’IDENTIFICATION FUITÉES

OÙ MICROSOFT TROUVE-T-IL LES INFORMATIONS D’IDENTIFICATION DIVULGUÉES ?

Microsoft découvre des fuites d’informations d’identification à divers endroits,
notamment :

 * Sites de collage public où les acteurs malveillants publient généralement de
   tels documents.
 * Forces de l’ordre.
 * D’autres groupes chez Microsoft qui s’occupent des recherches sur le dark
   web.

POURQUOI NE VOIS-JE AUCUNE INFORMATION D’IDENTIFICATION DIVULGUÉE ?

Les informations d’identification divulguées sont traitées chaque fois que
Microsoft trouve une nouvelle occurrence de données accessibles au public. En
raison de leur nature sensible, les informations d’identification divulguées
sont supprimées peu après le traitement. Seules les nouvelles informations
d’identification fuitées détectées après que vous ayez activé la synchronisation
de hachage de mot de passe (PHS) sont traitées sur votre tenant. La vérification
par rapport aux paires d’informations d’identification précédemment détectées
n’est pas effectuée.

JE NE VOIS AUCUN ÉVÈNEMENT À RISQUE DE FUITE D’INFORMATIONS D’IDENTIFICATION

Si vous n’avez vu aucun évènement à risque concernant des informations
d’identification fuitées, cela peut être dû aux raisons suivantes :

 * Vous n’avez aucun PHS activé pour votre locataire.
 * Microsoft n'a trouvé aucune paire d’informations d’identification fuitées qui
   corresponde à vos utilisateurs.

À QUELLE FRÉQUENCE MICROSOFT TRAITE-T-IL LES NOUVELLES INFORMATIONS
D’IDENTIFICATION ?

Les informations d’identification sont traitées immédiatement après avoir été
trouvées, normalement en plusieurs lots par jour.


EMPLACEMENTS

L’emplacement dans les détections de risques est déterminé à l’aide de la
recherche d’adresse IP. Les connexions provenant d'emplacements nommés approuvés
améliorent la précision du calcul des risques de Protection Microsoft Entra ID,
réduisant ainsi le risque de connexion d'un utilisateur lorsqu'il s'authentifie
à partir d'un emplacement marqué comme fiable.


CONTENU CONNEXE

 * En savoir plus sur les stratégies d’accès basées sur les risques
 * Découvrir comment examiner les risques





--------------------------------------------------------------------------------


COMMENTAIRES

Cette page a-t-elle été utile ?

Yes No
Indiquer des commentaires sur le produit

--------------------------------------------------------------------------------


RESSOURCES SUPPLÉMENTAIRES



--------------------------------------------------------------------------------

Entrainement

Module

Examine Microsoft Entra ID Protection - Training

This module examines how Azure Identity Protection provides organizations the
same protection systems used by Microsoft to secure identities. MS-102

Certification

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel,
Microsoft Defender pour le cloud et Microsoft 365 Defender.



Français
California Consumer Privacy Act (CCPA) Vos choix de confidentialité
Thème
 * Clair
 * Sombre
 * Contraste élevé

 * Gérer les cookies
 * Versions antérieures
 * Blog
 * Collaboration
 * Confidentialité
 * Conditions d'utilisation
 * Accessibilité
 * Marques
 * © Microsoft 2024


RESSOURCES SUPPLÉMENTAIRES



--------------------------------------------------------------------------------

Entrainement

Module

Examine Microsoft Entra ID Protection - Training

This module examines how Azure Identity Protection provides organizations the
same protection systems used by Microsoft to secure identities. MS-102

Certification

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel,
Microsoft Defender pour le cloud et Microsoft 365 Defender.




DANS CET ARTICLE



Français
California Consumer Privacy Act (CCPA) Vos choix de confidentialité
Thème
 * Clair
 * Sombre
 * Contraste élevé

 * Gérer les cookies
 * Versions antérieures
 * Blog
 * Collaboration
 * Confidentialité
 * Conditions d'utilisation
 * Accessibilité
 * Marques
 * © Microsoft 2024