learn.microsoft.com
Open in
urlscan Pro
2a02:26f0:7100:9a1::3544
Public Scan
Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016517
Effective URL: https://learn.microsoft.com/fr-fr/entra/id-protection/concept-identity-protection-risks
Submission: On December 18 via api from DE — Scanned from FR
Effective URL: https://learn.microsoft.com/fr-fr/entra/id-protection/concept-identity-protection-risks
Submission: On December 18 via api from DE — Scanned from FR
Form analysis
3 forms found in the DOMName: site-header-search-form-mobile — GET /fr-fr/search/
<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form-mobile" data-bi-name="site-header-search-form-mobile" name="site-header-search-form-mobile" aria-label="Recherche" action="/fr-fr/search/">
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input-mobile"
data-test-id="site-header-search-autocomplete-input-mobile" class="autocomplete-input input
width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-1-listbox" aria-controls="ax-1-listbox" aria-activedescendant="" aria-label="Recherche" aria-describedby="ms--site-header-search-autocomplete-input-mobile-description"
placeholder="Recherche" data-bi-name="site-header-search-autocomplete-input-mobile" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-header-search-autocomplete-input-mobile-description"> Les suggestions sont filtrées à mesure que vous tapez </span>
</div>
<ul role="listbox" id="ax-1-listbox" data-test-id="site-header-search-autocomplete-input-mobile-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggestions" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>
Name: site-header-search-form — GET /fr-fr/search/
<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form" data-bi-name="site-header-search-form" name="site-header-search-form" aria-label="Recherche" action="/fr-fr/search/">
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input" data-test-id="site-header-search-autocomplete-input" class="autocomplete-input input input-sm
width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-0-listbox" aria-controls="ax-0-listbox" aria-activedescendant="" aria-label="Recherche" aria-describedby="ms--site-header-search-autocomplete-input-description"
placeholder="Recherche" data-bi-name="site-header-search-autocomplete-input" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-header-search-autocomplete-input-description"> Les suggestions sont filtrées à mesure que vous tapez </span>
</div>
<ul role="listbox" id="ax-0-listbox" data-test-id="site-header-search-autocomplete-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggestions" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>
javascript:
<form action="javascript:" role="search" aria-label="Recherche" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-2">Recherche</label>
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control has-icons-left">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-2" data-test-id="ax-2" class="autocomplete-input input input-sm
control has-icons-left
width-full" type="text" aria-expanded="false" aria-owns="ax-3-listbox" aria-controls="ax-3-listbox" aria-activedescendant="" aria-describedby="ms--ax-2-description" placeholder="Filtrer par titre" pattern=".*">
<span aria-hidden="true" class="icon is-small is-left">
<span class="has-text-primary docon docon-filter-settings"></span>
</span>
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--ax-2-description"> Les suggestions sont filtrées à mesure que vous tapez </span>
</div>
<ul role="listbox" id="ax-3-listbox" data-test-id="ax-2-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggestions" hidden="">
</ul>
<!---->
</div>
</form>
Text Content
Passer au contenu principal Nous utilisons des cookies facultatifs pour améliorer votre expérience sur nos sites Web, par exemple en vous permettant de vous connecter aux réseaux sociaux, et pour afficher de la publicité personnalisée en fonction de votre activités en ligne. Si vous refusez les cookies facultatifs, seuls les cookies nécessaires pour vous fournir les services seront utilisés. Vous pouvez modifier votre sélection en cliquant sur « Gérer les cookies » au bas de la page. Déclaration de confidentialité Cookies tiers Accepter Refuser Gérer les cookies MICROSOFT LEARN CHALLENGE Nov 23, 2024 – Jan 10, 2025 Build skills in the latest technologies and earn a digital badge by January 10! S’inscrire maintenant Ignorer l’alerte Ce navigateur n’est plus pris en charge. Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique. Télécharger Microsoft Edge Plus d’informations sur Internet Explorer et Microsoft Edge Learn Les suggestions sont filtrées à mesure que vous tapez Se connecter * Profil * Paramètres Se déconnecter Learn * Découvrez * Documentation Articles détaillés sur les outils et les technologies de développement de Microsoft * Entrainement Parcours d’apprentissage et cours personnalisés * Titre de compétences Titres de compétences reconnus mondialement et approuvés dans le secteur * Questions et réponses Questions techniques et réponses modérées par Microsoft * Exemples de code Bibliothèque d’exemples de code pour les technologies et outils de développement Microsoft * Évaluations Conseils et recommandations interactifs organisés * Éléments décrits Des milliers d’heures de programmation originale d’experts Microsoft Microsoft Learn pour les organisations Améliorer les compétences techniques de votre équipe Accédez aux ressources curées pour améliorer les compétences de votre équipe et combler les lacunes. * Documentation du produit * ASP.NET * Azure * Dynamics 365 * Microsoft 365 * Microsoft Copilot * Microsoft Edge * Microsoft Entra * Microsoft Graph * Microsoft Intune * Microsoft Purview * Microsoft Teams * .NET * Power Apps * Power BI * Power Platform * PowerShell * SQL * Sysinternals * Visual Studio * Windows * Windows Server Voir tous les produits Microsoft Learn pour les organisations Améliorer les compétences techniques de votre équipe Accédez aux ressources curées pour améliorer les compétences de votre équipe et combler les lacunes. * Langues de développement * C++ * C# * DAX * Java * OData * OpenAPI * Power Query M * VBA Microsoft Learn pour les organisations Améliorer les compétences techniques de votre équipe Accédez aux ressources curées pour améliorer les compétences de votre équipe et combler les lacunes. * Rubriques * Intelligence artificielle * Conformité * DevOps * Ingénierie de plateforme * Sécurité Microsoft Learn pour les organisations Améliorer les compétences techniques de votre équipe Accédez aux ressources curées pour améliorer les compétences de votre équipe et combler les lacunes. Les suggestions sont filtrées à mesure que vous tapez Se connecter * Profil * Paramètres Se déconnecter Microsoft Entra * Microsoft Entra ID * ID externe * Global Secure Access * Gouvernance informatique * Permissions Management * Documentation sur la sécurité de Microsoft * Résolution des problèmes * Plus * Microsoft Entra ID * ID externe * Global Secure Access * Gouvernance informatique * Permissions Management * Documentation sur la sécurité de Microsoft * Résolution des problèmes Centre d’administration Table des matières Quitter le mode focus Recherche Les suggestions sont filtrées à mesure que vous tapez * Documentation Microsoft Entra ID Protection * Vue d’ensemble * Concepts * Tableau de bord Microsoft Entra ID Protection * Que sont les risques ? * Stratégies de contrôle d’accès basées sur les risques * Expérience de connexion utilisateur * Sécurisation d’identités de charge de travail * Microsoft Entra ID Protection et les utilisateurs B2B * Guides pratiques * Déployer Microsoft Entra ID Protection * Configurer les notifications * Configuration de la stratégie * Simuler des détections de risques * Investiguer et corriger * Fournir des commentaires sur les détections de risques * Classeur d’analyse d’Impact * Informations de référence * Ressources Télécharger le PDF 1. Learn 2. Microsoft Entra 3. Protection de l'identifiant Microsoft Entra 1. Learn 2. Microsoft Entra 3. Protection de l'identifiant Microsoft Entra Lire en anglais Enregistrer * Ajouter à des collections * Ajouter au plan Table des matières Lire en anglais Ajouter à des collections Ajouter au plan -------------------------------------------------------------------------------- PARTAGER VIA Facebook x.com LinkedIn Courrier -------------------------------------------------------------------------------- Imprimer Table des matières QUE SONT LES DÉTECTIONS DE RISQUES ? * Article * 21/08/2024 * 23 contributeurs Commentaires DANS CET ARTICLE 1. Niveaux de risque 2. Détections en temps réel et hors connexion 3. Détections de risque mappées à riskEventType 4. Détections Premium 5. Détections non-Premium 6. Questions courantes 7. Contenu connexe Afficher 3 de plus Protection Microsoft Entra ID fournit aux organisations des informations sur les activités suspectes dans leur tenant et leur permet de répondre rapidement pour empêcher la survenue d’un risque supplémentaire. Les détections de risque sont une ressource puissante qui peut inclure toute activité suspecte ou anormale liée à un compte d’utilisateur dans le répertoire. Les détections de risque de Protection ID peuvent être liées à un évènement utilisateur individuel ou à un évènement de connexion et contribuer au score de risque global utilisateur trouvé dans le Rapport des utilisateurs à risque. Les détections de risque utilisateur peuvent marquer un compte d’utilisateur légitime comme étant à risque lorsqu’un acteur de menace potentielle accède à un compte en compromettant ses informations d’identification ou lorsqu’elles détectent un type d’activité utilisateur anormale. Les détections de risque de connexion représentent la probabilité qu’une demande d’authentification donnée ne provienne pas du propriétaire autorisé du compte. La possibilité d’identifier le risque au niveau de l’utilisateur et de la connexion est essentielle pour permettre aux clients de sécuriser leur tenant. NIVEAUX DE RISQUE La protection d’identité catégorise les risques en trois niveaux : faible, moyen, élevé. Niveaux de risque calculés par nos algorithmes Machine Learning et représentant le degré de confiance de Microsoft que les informations d’identification de l’utilisateur sont connues par une entité non autorisée. * Une détection de risque avec un niveau de risque Élevé signifie que Microsoft est quasiment certain que le compte est compromis. * Une détection de risque avec un niveau de risque Faible signifie que des anomalies sont présentes dans la connexion ou dans les informations d’identification d’un utilisateur, mais que nous sommes moins sûrs que ces anomalies indiquent que le compte est compromis. De nombreuses détections peuvent déclencher plus d’un de nos niveaux de risque, en fonction du nombre ou de la gravité des anomalies détectées. Par exemple, desPropriétés de connexion inhabituelles peuvent se déclencher au niveau élevé, moyen ou faible, en fonction de la confiance dans les signaux. Certaines détections, telles que Informations d'identification fuitées et Adresse IP de l’intervenant de menace vérifiée sont toujours remises comme étant à risque élevé. Le niveau de risque est important lorsqu’il s’agit de décider quelles détections prioriser, examiner et corriger. Il joue également un rôle clé au niveau de la configuration des stratégies d’accès conditionnel en fonction du risque, car chaque stratégie peut être définie pour se déclencher sur un risque de risque faible, moyen, élevé, ou nul. En fonction de la tolérance au risque de votre organisation, vous pouvez créer des stratégies qui exigent une MFA ou une réinitialisation de mot de passe quand Protection ID détecte un certain niveau de risque pour l’un de vos utilisateurs. Ces stratégies peuvent guider l’utilisateur à se corriger automatiquement pour résoudre le risque. Important Toutes les détections de niveau de risque « faible » et tous les utilisateurs subsistent dans le produit pendant 6 mois, après quoi ils deviennent automatiquement obsolètes, pour offrir une expérience d’enquête plus propre. Les niveaux de risque moyens et élevés subsistent jusqu’à la correction ou le rejet. Selon la tolérance de risque de votre organisation, vous pouvez créer des stratégies qui exigent une authentification multifacteur (MFA) ou une réinitialisation de mot de passe quand ID Protection détecte un certain niveau de risque. Il est possible que ces stratégies puissent accompagner l’utilisateur pour corriger automatiquement et résoudre le risque ou le bloquer en fonction de vos tolérances. DÉTECTIONS EN TEMPS RÉEL ET HORS CONNEXION Protection ID utilise des techniques pour augmenter la précision des détections de risque d’utilisateur et de connexion en calculant certains risques en temps réel ou hors connexion après l’authentification. La détection de risque en temps réel lors de la connexion offre l’avantage d’identifier les risques tôt, afin que les clients puissent rapidement examiner la compromission potentielle. Les détections qui calculent le risque hors connexion peuvent fournir plus d’informations sur la façon dont l’acteur de menace a obtenu l’accès au compte et l’impact sur l’utilisateur légitime. Certaines détections peuvent être déclenchées hors connexion et au moment de la connexion, ce qui augmente la confiance en étant précise sur la compromission. Les détections déclenchées en temps réel prennent 5 à 10 minutes pour présenter les informations dans les rapports. Les détections hors connexion prennent jusqu’à 48 heures pour apparaître dans les rapports, car il faut du temps pour évaluer les propriétés du risque potentiel. Notes Notre système peut détecter que l’événement à risque qui a contribué au score de risque de l’utilisateur à risque était : * Un faux positif * Le risque de l’utilisateur a été corrigé par la stratégie : * Fin de l’authentification multifacteur * Modification du mot de passe sécurisé Notre système ignorera l’état de risque et le détail de risque Sécurisation de la connexion confirmée par IA apparaîtra et ne contribuera plus au risque général de l’utilisateur. Sur les données détaillées sur les risques, Détection du temps enregistre le moment exact où un risque est identifié lors de la connexion d’un utilisateur, ce qui permet d’avoir une évaluation des risques en temps réel et une application de stratégie immédiate pour protéger l’utilisateur et l’organisation. Détection la dernière mise à jour affiche la dernière mise à jour d’une détection de risque, qui peut être provoquée par de nouvelles informations, des changements au niveau du risque ou des actions administratives, et garantit une gestion à jour des risques. Ces champs sont essentiels pour la surveillance en temps réel, la réponse aux menaces et le maintien d’un accès sécurisé aux ressources de l’organisation. DÉTECTIONS DE RISQUE MAPPÉES À RISKEVENTTYPE Agrandir le tableau Détection d’événements à risque Type de détection Type riskEventType Détections de risque de connexion Activité depuis une adresse IP anonyme Hors connexion Premium riskyIPAddress Risque supplémentaire détecté (connexion) Temps réel ou hors connexion Non-Premium generic = Classification de détection Premium pour les tenants non-P2 L’administrateur a confirmé que cet utilisateur est compromis Hors connexion Non-Premium adminConfirmedUserCompromised Jeton anormal Temps réel ou hors connexion Premium anomalousToken Adresse IP anonyme Temps réel Non-Premium anonymizedIPAddress Voyage inhabituel Hors connexion Premium unlikelyTravel Voyage impossible Hors connexion Premium mcasImpossibleTravel Adresse IP malveillante Hors connexion Premium maliciousIPAddress Accès en masse aux fichiers sensibles Hors connexion Premium mcasFinSuspiciousFileAccess Veille des menaces Microsoft Entra (connexion) Temps réel ou hors connexion Non-Premium investigationsThreatIntelligence Nouveau pays Hors connexion Premium newCountry Pulvérisation de mots de passe Hors connexion Premium passwordSpray Navigateur suspect Hors connexion Premium suspiciousBrowser Transfert de boîte de réception suspect Hors connexion Premium suspiciousInboxForwarding Règles suspectes de manipulation de boîte de réception Hors connexion Premium mcasSuspiciousInboxManipulationRules Anomalie de l’émetteur du jeton Hors connexion Premium tokenIssuerAnomaly Propriétés de connexion inhabituelles Temps réel Premium unfamiliarFeatures Adresse IP de l’intervenant de menace vérifiée Temps réel Premium nationStateIP Détections de risque utilisateur Risque supplémentaire détecté (utilisateur) Temps réel ou hors connexion Non-Premium generic = Classification de détection Premium pour les tenants non-P2 Activité anormale de l’utilisateur Hors connexion Premium anomalousUserActivity Attaquant du milieu Hors connexion Premium attackerinTheMiddle Informations d’identification divulguées Hors connexion Non-Premium leakedCredentials Veille des menaces Microsoft Entra (utilisateur) Temps réel ou hors connexion Non-Premium investigationsThreatIntelligence Tentative possible d’accès à un jeton d’actualisation principal (PRT) Hors connexion Premium attemptedPrtAccess Trafic d’API suspect Hors connexion Premium suspiciousAPITraffic Modèles d’envoi suspects Hors connexion Premium suspiciousSendingPatterns L’utilisateur a signalé une activité suspecte Hors connexion Premium userReportedSuspiciousActivity Pour plus d’informations sur les détections de risques liés aux identités de charge de travail, accédez à Sécurisation des identités de charge de travail. DÉTECTIONS PREMIUM Les détections Premium suivantes ne sont visibles que par les clients utilisant Microsoft Entra P2. DÉTECTIONS DE RISQUE DE CONNEXION PREMIUM ACTIVITÉ DEPUIS UNE ADRESSE IP ANONYME Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection identifie que les utilisateurs étaient actifs depuis une adresse IP identifiée comme une adresse IP de proxy anonyme. JETON ANORMAL Calculé en temps réel ou hors connexion. Cette détection indique qu’il existe des caractéristiques anormales dans le jeton, comme une durée de vie de jeton inhabituelle ou un jeton lu depuis un emplacement inhabituel. Cette détection couvre les jetons de session et les jetons d’actualisation. Le jeton anormal est réglé pour entraîner un bruit supérieur à celui des autres détections au même niveau de risque. Ce compromis est choisi afin d’augmenter la probabilité de détecter les jetons relus qui pourraient autrement passer inaperçus. Il existe une probabilité plus élevée que la normale que certaines des sessions marquées par cette détection sont des faux positifs. Nous vous recommandons d’examiner les sessions signalées par cette détection dans le contexte d’autres connexions de l’utilisateur. Si l’emplacement, l’application, l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont inattendues pour l’utilisateur, l’administrateur de l’abonné doit considérer ce risque comme un indicateur de relecture potentielle du jeton. Conseils pour examiner des détections de jetons anormaux. VOYAGE INHABITUEL Calculé hors connexion. Ce type de détection d’événement à risque identifie deux connexions depuis des emplacements géographiquement distants, dont au moins un pourrait être inhabituel pour l’utilisateur compte tenu de son comportement passé. L’algorithme prend en compte de multiples facteurs, notamment le temps entre les deux ouvertures de session et le temps qu’il faudrait à l’utilisateur pour se rendre du premier endroit au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification. L’algorithme ignore les « faux positifs » évidents contribuant aux conditions de voyage impossible, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation. Le système présente une période d’apprentissage initiale la plus proche de 14 jours ou de 10 connexions lui servant à assimiler le comportement de connexion des nouveaux utilisateurs. Conseils pour examiner des détections de voyages atypiques. VOYAGE IMPOSSIBLE Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette section identifie les activités utilisateur (dans une seule session ou plusieurs) provenant d’emplacements éloignés sur le plan géographique au cours d’une période plus courte que la durée nécessaire pour aller du premier emplacement au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification. ADRESSE IP MALVEILLANTE Calculé hors connexion. Cette détection indique une connexion à partir d’une adresse IP malveillante. Une adresse IP est considérée comme malveillante quand elle présente un taux d’échecs élevé en raison d’informations d’identification non valides qu’elle envoie ou d’autres sources relatives à la réputation des adresses IP. Dans certains cas, cette détection se déclenche pour des activités malveillantes antérieures. Conseils pour examiner des détections d’adresses IP malveillantes. ACCÈS EN MASSE AUX FICHIERS SENSIBLES Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection observe votre environnement et déclenche des alertes lorsque des utilisateurs accèdent à plusieurs fichiers depuis Microsoft SharePoint Online ou Microsoft OneDrive. Une alerte n’est déclenchée que si le nombre de fichiers accédés est inhabituel pour l’utilisateur et si les fichiers peuvent contenir des informations sensibles. NOUVEAU PAYS Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection prend en compte les emplacements d’activité précédents pour déterminer les emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalies stocke des informations sur les emplacements précédents utilisés par les utilisateurs de l’organisation. PULVÉRISATION DE MOTS DE PASSE Calculé hors connexion. Une attaque par pulvérisation de mots de passe est l’endroit où plusieurs identités sont attaquées en utilisant des mots de passe communs dans une méthode de force brute unifiée. La détection des risques se déclenche lorsque le mot de passe d’un compte est valide et qu’il y a une tentative de connexion à ce compte. Cette détection signale que le mot de passe de l’utilisateur a correctement été identifié via une attaque par pulvérisation de mots de passe, et non que l’attaquant a pu accéder à des ressources. Conseils pour examiner des détections d’adresses IP malveillantes. NAVIGATEUR SUSPECT Calculé hors connexion. La détection de navigateur suspect indique un comportement anormal basé sur des activités de connexion suspectes sur plusieurs locataires de différents pays dans le même navigateur. Conseils pour examiner des détections de navigateur suspect. TRANSFERT DE BOÎTE DE RÉCEPTION SUSPECT Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection recherche les règles de transfert des e-mails suspects, par exemple, si un utilisateur a créé une règle de boîte de réception assurant le transfert d’une copie de tous les e-mails à une adresse externe. RÈGLES SUSPECTES DE MANIPULATION DE BOÎTE DE RÉCEPTION Calculé hors connexion. Cette détection est découverte à l’aide d’informations fournies par les applications Microsoft Defender pour le cloud. Cette détection surveille votre environnement et déclenche des alertes lorsque des règles suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis, que les messages sont intentionnellement masqués et que la boîte aux lettres est utilisée pour distribuer du courrier indésirable ou des programmes malveillants dans votre organisation. ANOMALIE DE L’ÉMETTEUR DU JETON Calculé hors connexion. Cette détection des risques indique que l’émetteur de jeton SAML pour le jeton SAML associé est potentiellement compromis. Les revendications incluses dans le jeton sont inhabituelles ou correspondent aux modèles d’attaquants connus. Conseils pour examiner des détections d’anomalies liées à un émetteur de jeton. PROPRIÉTÉS DE CONNEXION INHABITUELLES Calculé en temps réel. Ce type de détection de risque prend en compte l’historique des connexions passées pour rechercher des connexions anormales. Le système stocke des informations sur les connexions précédentes et déclenche une détection de risque lorsqu’une connexion se produit avec des propriétés qui ne sont pas familières à l’utilisateur. Ces propriétés peuvent inclure l’adresse IP, l’ASN, l’emplacement, l’appareil, le navigateur et le sous-réseau IP du locataire. Les utilisateurs nouvellement créés sont mis pendant un temps dans un « mode d’apprentissage », pendant lequel la détection de risque des propriétés de connexion inhabituelle sont désactivées pendant que nos algorithmes apprennent le comportement de l’utilisateur. La durée du mode d’apprentissage est dynamique et varie selon le temps qu’il faut à l’algorithme pour collecter suffisamment d’informations sur les modèles de connexion de l’utilisateur. La durée minimale est de 5 jours. Un utilisateur peut revenir en mode d’apprentissage après une longue période d’inactivité. Nous exécutons également cette détection pour l’authentification de base (ou les protocoles existants). Étant donné que ces protocoles ne proposent pas de propriétés modernes telles que l’ID client, les données permettant de réduire le nombre de faux positifs sont limitées. Nous recommandons à nos clients de passer à l’authentification moderne. Des propriétés de connexion inhabituelles peuvent être détectées sur des connexions interactives et non interactives. Lorsque cette détection est détectée sur des connexions non interactives, elle mérite des contrôles accrus en raison du risque d’attaques par relecture de jetons. La sélection d’un risque de propriétés de connexion inhabituelles vous permet de consulter des informations supplémentaires qui fournissent plus de détails sur la raison du déclenchement de ce risque. ADRESSE IP DE L’INTERVENANT DE MENACE VÉRIFIÉE Calculé en temps réel. Ce type de détection de risque indique une activité de connexion cohérente avec les adresses IP connues associées aux intervenants de l’état de la nation ou à des groupes criminels informatiques, sur la base de données par le Centre de veille des menaces Microsoft (Microsoft Threat Intelligence Center/MSTIC). DÉTECTIONS DE RISQUE D’UTILISATEUR PREMIUM ACTIVITÉ ANORMALE DE L’UTILISATEUR Calculé hors connexion. Cette détection de risques base le comportement normal de l’utilisateur-administrateur dans Microsoft Entra ID et détecte des schémas de comportement anormaux tels que des changements suspects apportés à l’annuaire. La détection est déclenchée sur l’administrateur qui fait le changement ou sur l’objet qui a été modifié. ATTAQUANT DU MILIEU Calculé hors connexion. Également appelée Adversaire du milieu, cette détection haute précision est déclenchée lorsqu’une session d’authentification est liée à un proxy inverse malveillant. Dans ce type d’attaque, l’adversaire peut intercepter les informations d’identification de l’utilisateur, y compris les jetons émis à l’utilisateur. L’équipe Microsoft Security Research utilise Microsoft 365 Defender pour capturer le risque identifié et élever l’utilisateur à un niveau de risque Élevé. Nous recommandons aux administrateurs d’examiner manuellement l’utilisateur lorsque cette détection est déclenchée pour vous assurer que le risque est éliminé. L’élimination de ce risque peut nécessiter une réinitialisation de mot de passe sécurisée ou une révocation des sessions existantes. TENTATIVE POSSIBLE D’ACCÈS À UN JETON D’ACTUALISATION PRINCIPAL (PRT) Calculé hors connexion. Ce type de détection des risques est découvert à l’aide d’informations fournies par Microsoft Defender for Endpoint (MDE). Un jeton d’actualisation principal (PRT) est un artefact clé d’authentification Microsoft Entra sur les appareils Windows 10, Windows Server 2016 et versions ultérieures, iOS et Android. Un PRT est un jeton JSON Web Token (JWT) émis pour les brokers à jetons Microsoft internes, qui permet d’activer l’authentification unique (SSO) sur les applications utilisées sur ces appareils. Les attaquants peuvent tenter d’accéder à cette ressource pour se déplacer latéralement dans une organisation ou voler des informations d’identification. Cette détection place les utilisateurs à un niveau de risque élevé et se déclenche uniquement dans les organisations qui ont déployé MDE. Cette détection est de niveau de risque élevé et nous vous recommandons une correction rapide de ces utilisateurs. Elle apparaît rarement dans la plupart des organisations, en raison de son faible volume. TRAFIC D’API SUSPECT Calculé hors connexion. Cette détection de risque est signalée lorsqu’un trafic d’API Graph ou une énumération de répertoires anormaux sont observés. Un trafic d’API suspect peut suggérer qu’un utilisateur est compromis et qu’il faut effectuer une reconnaissance de l’environnement. MODÈLES D’ENVOI SUSPECTS Calculé hors connexion. Ce type de détection des risques est découvert à l’aide des informations fournies par Microsoft Defender for Office 365 (MDO). Cette alerte est générée lorsqu’une personne de votre organisation a envoyé un e-mail suspect et qu’il risque d’être ou est interdit d’envoi d’e-mails. Cette détection place les utilisateurs à un niveau de risque moyen et se déclenche uniquement dans les organisations qui ont déployé MDO. Il s’agit d’une détection à faible volume qui est rarement observée dans la plupart des organisations. L’UTILISATEUR A SIGNALÉ UNE ACTIVITÉ SUSPECTE Calculé hors connexion. Cette détection de risque est signalée quand un utilisateur refuse une invite d’authentification multifacteur (MFA) et la signale comme une activité suspecte. Une invite MFA non initiée par un utilisateur peut signifier que ses informations d’identification sont compromises. DÉTECTIONS NON-PREMIUM Les clients sans licence Microsoft Entra ID P2 reçoivent des détections intitulées Risque supplémentaire détecté sans les informations détaillées sur la détection que reçoivent les clients disposant de licences P2. Pour plus d’informations, consultez les Exigences des licences. DÉTECTIONS DE RISQUE DE CONNEXION NON-PREMIUM RISQUE SUPPLÉMENTAIRE DÉTECTÉ (CONNEXION) Calculé en temps réel ou hors connexion. Cette détection indique que l’une des détections Premium a eu lieu. Les détections Premium n’étant visibles que pour les clients Microsoft Entra ID P2, elles sont intitulées Risque supplémentaire détecté pour les clients dépourvus de licences Microsoft Entra ID P2. L’ADMINISTRATEUR A CONFIRMÉ QUE CET UTILISATEUR EST COMPROMIS Calculé hors connexion. Cette détection indique qu’un administrateur a sélectionné Confirmer que l’utilisateur est compromis dans l’interface utilisateur des utilisateurs à risque ou en utilisant l’API riskyUsers. Pour voir quel administrateur a confirmé que cet utilisateur était compromis, consultez l’historique des risques de l’utilisateur (par le biais de l’interface utilisateur ou de l’API). ADRESSE IP ANONYME Calculé en temps réel. Ce type de détection des risque détecte des connexions à partir d’adresses IP anonymes (par exemple, navigateur Tor VPN anonyme). Ces adresses IP sont généralement utilisées par des acteurs souhaitant masquer leurs informations de connexion (adresse IP, emplacement, appareil, etc.) dans un but potentiellement malveillant. VEILLE DES MENACES MICROSOFT ENTRA (CONNEXION) Calculé en temps réel ou hors connexion. Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft. Conseils pour examiner les détections provenant des renseignements sur les menaces de Microsoft Entra. DÉTECTIONS DE RISQUE D’UTILISATEUR NON-PREMIUM RISQUE SUPPLÉMENTAIRE DÉTECTÉ (UTILISATEUR) Calculé en temps réel ou hors connexion. Cette détection indique que l’une des détections Premium a eu lieu. Les détections Premium n’étant visibles que pour les clients Microsoft Entra ID P2, elles sont intitulées Risque supplémentaire détecté pour les clients dépourvus de licences Microsoft Entra ID P2. INFORMATIONS D’IDENTIFICATION DIVULGUÉES Calculé hors connexion. Ce type de détection de risque indique que les informations d’identification valides de l’utilisateur ont fuité. Souvent, quand des cybercriminels compromettent les mots de passe valides d’utilisateurs légitimes, ils le font dans le but de les rendre publics. Ce partage se fait généralement en publiant publiquement sur le « dark web », via des sites de pastebin, ou en échangeant et vendant des informations d’identification sur le marché noir. Lorsque le service d’informations de connexion divulguées de Microsoft acquiert des informations d’identification utilisateur à partir du dark Web, de sites web de collage ou autres sources, ces informations sont comparées aux informations d’identification valides actuelles des utilisateurs Microsoft Entra pour rechercher des correspondances valides. Pour plus d’informations sur informations de connexion fuitées, consultez Questions courantes. Conseils pour examiner des détections d’informations d’identification divulguées. VEILLE DES MENACES MICROSOFT ENTRA (UTILISATEUR) Calculé hors connexion. Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft. Conseils pour examiner les détections provenant des renseignements sur les menaces de Microsoft Entra. QUESTIONS COURANTES QUE SE PASSE-T-IL SI DES INFORMATIONS D’IDENTIFICATION INCORRECTES ONT ÉTÉ UTILISÉES POUR TENTER DE SE CONNECTER ? La protection des ID génère des détections de risque uniquement lorsque les informations d’identification appropriées sont utilisées. Si des informations d’identification incorrectes sont utilisées pour une connexion, elles ne représentent pas un risque de compromission des informations d’identification. LA SYNCHRONISATION DE HACHAGE DE MOT DE PASSE EST-ELLE REQUISE ? Les détections de risque comme les informations d’identification divulguées nécessitent la présence de hachages de mot de passe. Pour plus d’informations sur la synchronisation de hachage du mot de passe, consultez l’article Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect. POURQUOI LES DÉTECTIONS DE RISQUE SONT-ELLES GÉNÉRÉES POUR LES COMPTES DÉSACTIVÉS ? Les comptes d’utilisateur dans un état désactivé peuvent être réactivés. Si les informations d’identification d’un compte désactivé sont compromises et que le compte est réactivé, des acteurs malveillants pourraient utiliser ces informations d’identification pour y accéder. Protection ID génère des détections de risque pour les activités suspectes sur ces comptes d’utilisateur désactivés afin d’alerter les clients sur une compromission potentielle de compte. Si un compte n’est plus utilisé et ne va pas être réactivé, les clients doivent envisager sa suppression afin d’éviter toute compromission. Aucune détection de risque n’est générée pour les comptes supprimés. QUESTIONS COURANTES SUR LES INFORMATIONS D’IDENTIFICATION FUITÉES OÙ MICROSOFT TROUVE-T-IL LES INFORMATIONS D’IDENTIFICATION DIVULGUÉES ? Microsoft découvre des fuites d’informations d’identification à divers endroits, notamment : * Sites de collage public où les acteurs malveillants publient généralement de tels documents. * Forces de l’ordre. * D’autres groupes chez Microsoft qui s’occupent des recherches sur le dark web. POURQUOI NE VOIS-JE AUCUNE INFORMATION D’IDENTIFICATION DIVULGUÉE ? Les informations d’identification divulguées sont traitées chaque fois que Microsoft trouve une nouvelle occurrence de données accessibles au public. En raison de leur nature sensible, les informations d’identification divulguées sont supprimées peu après le traitement. Seules les nouvelles informations d’identification fuitées détectées après que vous ayez activé la synchronisation de hachage de mot de passe (PHS) sont traitées sur votre tenant. La vérification par rapport aux paires d’informations d’identification précédemment détectées n’est pas effectuée. JE NE VOIS AUCUN ÉVÈNEMENT À RISQUE DE FUITE D’INFORMATIONS D’IDENTIFICATION Si vous n’avez vu aucun évènement à risque concernant des informations d’identification fuitées, cela peut être dû aux raisons suivantes : * Vous n’avez aucun PHS activé pour votre locataire. * Microsoft n'a trouvé aucune paire d’informations d’identification fuitées qui corresponde à vos utilisateurs. À QUELLE FRÉQUENCE MICROSOFT TRAITE-T-IL LES NOUVELLES INFORMATIONS D’IDENTIFICATION ? Les informations d’identification sont traitées immédiatement après avoir été trouvées, normalement en plusieurs lots par jour. EMPLACEMENTS L’emplacement dans les détections de risques est déterminé à l’aide de la recherche d’adresse IP. Les connexions provenant d'emplacements nommés approuvés améliorent la précision du calcul des risques de Protection Microsoft Entra ID, réduisant ainsi le risque de connexion d'un utilisateur lorsqu'il s'authentifie à partir d'un emplacement marqué comme fiable. CONTENU CONNEXE * En savoir plus sur les stratégies d’accès basées sur les risques * Découvrir comment examiner les risques -------------------------------------------------------------------------------- COMMENTAIRES Cette page a-t-elle été utile ? Yes No Indiquer des commentaires sur le produit -------------------------------------------------------------------------------- RESSOURCES SUPPLÉMENTAIRES -------------------------------------------------------------------------------- Entrainement Module Examine Microsoft Entra ID Protection - Training This module examines how Azure Identity Protection provides organizations the same protection systems used by Microsoft to secure identities. MS-102 Certification Microsoft Certified: Security Operations Analyst Associate - Certifications Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender. Français California Consumer Privacy Act (CCPA) Vos choix de confidentialité Thème * Clair * Sombre * Contraste élevé * Gérer les cookies * Versions antérieures * Blog * Collaboration * Confidentialité * Conditions d'utilisation * Accessibilité * Marques * © Microsoft 2024 RESSOURCES SUPPLÉMENTAIRES -------------------------------------------------------------------------------- Entrainement Module Examine Microsoft Entra ID Protection - Training This module examines how Azure Identity Protection provides organizations the same protection systems used by Microsoft to secure identities. MS-102 Certification Microsoft Certified: Security Operations Analyst Associate - Certifications Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender. DANS CET ARTICLE Français California Consumer Privacy Act (CCPA) Vos choix de confidentialité Thème * Clair * Sombre * Contraste élevé * Gérer les cookies * Versions antérieures * Blog * Collaboration * Confidentialité * Conditions d'utilisation * Accessibilité * Marques * © Microsoft 2024