learn.microsoft.com
Open in
urlscan Pro
2a02:26f0:11a:397::3544
Public Scan
Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016517
Effective URL: https://learn.microsoft.com/fr-fr/azure/active-directory/identity-protection/concept-identity-protection-risks
Submission: On March 07 via api from DE — Scanned from FR
Effective URL: https://learn.microsoft.com/fr-fr/azure/active-directory/identity-protection/concept-identity-protection-risks
Submission: On March 07 via api from DE — Scanned from FR
Form analysis 0 forms found in the DOM
Text Content
Passer au contenu principal Ce navigateur n’est plus pris en charge. Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique. Télécharger Microsoft Edge Plus d’informations sur Internet Explorer et Microsoft Edge Table des matières Quitter le mode focus Lire en anglais Enregistrer Table des matières Lire en anglais Enregistrer Imprimer Twitter LinkedIn Facebook Courrier Table des matières QUEL EST LE RISQUE ? * Article * 03/06/2023 * 14 minutes de lecture * 10 contributeurs Commentaires DANS CET ARTICLE Les détections de risques dans Azure AD Identity Protection incluent toutes les actions suspectes identifiées liées aux comptes d’utilisateur dans l’annuaire. Les détections de risques (utilisateur et de connexion) contribuent au score de risque de l’utilisateur global qui se trouve dans le rapport utilisateurs à risque. Identity Protection offre aux organisations un accès à des ressources puissantes pour voir et traiter rapidement ces actions suspectes. Notes Identity Protection génère des détections de risques uniquement quand les informations d’identification correctes sont utilisées. Si des informations d’identification incorrectes sont utilisées sur une connexion, elles ne représentent pas un risque de compromission des informations d’identification. TYPES DE RISQUES ET DÉTECTION Le risque peut être détecté au niveau de l’utilisateur ou de la Connexion et il existe deux types de détection ou de calcul : en temps réel et hors connexion. Certains risques sont considérés comme Premium et n’affectent que les clients Azure AD Premium P2, tandis que d’autres affectent les clients Gratuit et Azure AD Premium P1. Un risque de connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l'identité. Une activité à risque peut être détectée pour un utilisateur qui n’est pas lié à une connexion malveillante spécifique, mais à l’utilisateur lui-même. Les détections en temps réel peuvent ne pas apparaître dans les rapports pendant 5 à 10 minutes. Les détections hors connexion peuvent ne pas apparaître dans les rapports pendant 48 heures. Notes Notre système peut détecter que l’événement à risque qui a contribué au score de risque de l’utilisateur à risque était : * Un faux positif * Le risque de l’utilisateur a été corrigé par la stratégie : * Fin de l’authentification multifacteur * Modification du mot de passe sécurisé. Notre système ignorera l’état de risque et le détail de risque « L’intelligence artificielle a confirmé que la connexion est sécurisée » apparaîtra et ne contribuera plus au risque général de l’utilisateur. DÉTECTIONS PREMIUM Les détections Premium ne sont visibles que par les clients utilisant Azure AD Premium P2. Les clients sans licence Azure AD Premium P2 reçoivent toujours les détections Premium, mais celles-ci indiquent « risque supplémentaire détecté ». RISQUE À LA CONNEXION DÉTECTIONS DE RISQUE DE CONNEXION PREMIUM Détection d’événements à risque Type de détection Description Voyage inhabituel Hors connexion Ce type de détection d’événement à risque identifie deux connexions depuis des emplacements géographiquement distants, dont au moins un est inhabituel pour l’utilisateur compte tenu de son comportement passé. L’algorithme prend en compte de multiples facteurs, notamment le temps entre les deux ouvertures de session et le temps qu’il aurait fallu à l’utilisateur pour se rendre du premier endroit au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification. L’algorithme ignore les « faux positifs » évidents contribuant aux conditions de voyage impossible, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation. Le système présente une période d’apprentissage initiale la plus proche de 14 jours ou de 10 connexions lui servant à assimiler le comportement de connexion des nouveaux utilisateurs. Jeton anormal Hors connexion Cette détection indique qu’il existe des caractéristiques anormales dans le jeton, telles qu’une durée de vie de jeton inhabituelle ou un jeton émis à partir d’un emplacement inconnu. Cette détection couvre les jetons de session et les jetons d’actualisation. REMARQUE : le jeton anormal est réglé pour entraîner un bruit supérieur à celui des autres détections au même niveau de risque. Ce compromis est choisi afin d’augmenter la probabilité de détecter les jetons relus qui peuvent autrement passer inaperçus. Étant donné qu’il s’agit d’une détection de bruit élevé, il est plus probable que certaines des sessions signalées par cette détection soient de faux positifs. Nous vous recommandons d’examiner les sessions signalées par cette détection dans le contexte d’autres connexions de l’utilisateur. Si l’emplacement, l’application, l’adresse IP, l’agent utilisateur ou d’autres caractéristiques sont inattendues pour l’utilisateur, l’administrateur de l’abonné doit considérer ce risque comme un indicateur de relecture potentielle des jetons. Anomalie de l’émetteur du jeton Hors connexion Cette détection des risques indique que l’émetteur de jeton SAML pour le jeton SAML associé est potentiellement compromis. Les revendications incluses dans le jeton sont inhabituelles ou correspondent aux modèles d’attaquants connus. Adresse IP liée à un programme malveillant Hors connexion Ce type de détection d’événement à risque indique les connexions depuis des adresses IP infectées par des logiciels malveillants, qui sont connus pour communiquer activement avec un serveur bot, Grâce à la détection des adresses IP des appareils des utilisateurs avec des adresses ayant été en contact avec un serveur robot lorsqu’il était actif. Cette détection est déconseillée . Azure Identity protection ne génère plus de nouvelles détections d’« Adresse IP liée à un programme malveillant ». Les clients qui ont actuellement des détections d’« Adresse IP liée à un programme malveillant » dans leur locataire pourront toujours les afficher, les corriger ou les ignorer jusqu’à ce que la durée de 90 jours de rétention des détections soit atteinte. Navigateur suspect Hors connexion La détection de navigateur suspect indique un comportement anormal basé sur des activités de connexion suspectes sur plusieurs locataires de différents pays dans le même navigateur. Propriétés de connexion inhabituelles Temps réel Ce type de détection de risque prend en compte l’historique des connexions passées pour rechercher des connexions anormales. Le système stocke des informations sur les connexions précédentes et déclenche une détection de risque lorsqu’une connexion se produit avec des propriétés qui ne sont pas familières à l’utilisateur. Ces propriétés peuvent inclure l’adresse IP, l’ASN, l’emplacement, l’appareil, le navigateur et le sous-réseau IP du locataire. Les utilisateurs nouvellement créés seront en « mode d’apprentissage ». Durant cette période, les détections de risque des propriétés de connexion inhabituelles seront désactivées pendant que nos algorithmes apprennent le comportement de l’utilisateur. La durée du mode d’apprentissage est dynamique et varie selon le temps qu’il faut à l’algorithme pour collecter suffisamment d’informations sur les modèles de connexion de l’utilisateur. La durée minimale est de 5 jours. Un utilisateur peut revenir en mode d’apprentissage après une longue période d’inactivité. Nous exécutons également cette détection pour l’authentification de base (ou les protocoles existants). Étant donné que ces protocoles ne proposent pas les propriétés modernes, telles que l’ID client, les données de télémétrie pour réduire le nombre de faux positifs sont limitées. Nous recommandons à nos clients de passer à l’authentification moderne. Des propriétés de connexion inhabituelles peuvent être détectées sur des connexions interactives et non interactives. Lorsque cette détection est détectée sur des connexions non interactives, elle mérite des contrôles accrus en raison du risque d’attaques par relecture de jetons. Adresse IP malveillante Hors connexion Cette détection indique une connexion à partir d’une adresse IP malveillante. Une adresse IP est considérée comme malveillante quand elle présente un taux d’échecs élevé en raison d’informations d’identification non valides qu’elle envoie ou d’autres sources relatives à la réputation des adresses IP. Règles suspectes de manipulation de boîte de réception Hors connexion Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette détection surveille votre environnement et déclenche des alertes lorsque des règles suspectes qui suppriment ou déplacent des messages ou des dossiers sont définies dans la boîte de réception d’un utilisateur. Cela peut indiquer que le compte de l’utilisateur est compromis, que les messages sont intentionnellement masqués et que la boîte aux lettres est utilisée pour distribuer le courrier indésirable ou les logiciels malveillants dans votre organisation. Pulvérisation de mots de passe Hors connexion Une attaque par pulvérisation de mots de passe est l’endroit où plusieurs noms d’utilisateur sont attaqués à l’aide de mots de passe communs dans une méthode de force brute unifiée pour obtenir un accès non autorisé. Cette détection des risques est déclenchée lorsqu’une attaque par pulvérisation de mots de passe a été effectuée avec succès. Par exemple, l’attaquant est correctement authentifié dans l’instance détectée. Voyage impossible Hors connexion Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette section identifie les activités de l’utilisateur (dans une seule ou plusieurs sessions) provenant d’emplacements éloignés sur le plan géographique au cours d’une période plus courte que la durée nécessaire à l’utilisateur pour aller du premier emplacement au second. Ce risque peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification. Nouveau pays Hors connexion Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette détection prend en compte les emplacements d’activité précédents pour déterminer les emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalies stocke des informations sur les emplacements précédents utilisés par les utilisateurs de l’organisation. Activité depuis une adresse IP anonyme Hors connexion Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette détection identifie que les utilisateurs étaient actifs depuis une adresse IP qui a été identifiée comme une adresse IP de proxy anonyme. Transfert de boîte de réception suspect Hors connexion Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette détection recherche les règles de transfert des e-mails suspects, par exemple, si un utilisateur a créé une règle de boîte de réception assurant le transfert d’une copie de tous les e-mails à une adresse externe. Accès en masse aux fichiers sensibles Hors connexion Cette détection est découverte par les Applications Microsoft Defender pour le cloud. Cette détection observe votre environnement et déclenche des alertes lorsque les utilisateurs accèdent à plusieurs fichiers à partir de Microsoft SharePoint ou Microsoft OneDrive. Une alerte est déclenchée uniquement si le nombre de fichiers utilisés est rare pour l’utilisateur et si les fichiers peuvent contenir des informations sensibles DÉTECTIONS DE RISQUE DE CONNEXION NON-PREMIUM Détection d’événements à risque Type de détection Description Risque supplémentaire détecté Temps réel ou hors connexion Cette détection indique que l’une des détections Premium a eu lieu. Étant donné que les détections Premium ne sont visibles que pour les clients Azure AD Premium P2, on les appelle « risque supplémentaire détecté » pour les clients dépourvus de licences Azure AD Premium P2. Adresse IP anonyme Temps réel Ce type de détection des risque détecte des connexions à partir d’adresses IP anonymes (par exemple, navigateur Tor VPN anonyme). Ces adresses IP sont généralement utilisées par des acteurs souhaitant masquer leurs informations de connexion (adresse IP, emplacement, appareil, etc.) dans un but potentiellement malveillant. L’administrateur a confirmé que cet utilisateur est compromis Hors connexion Cette détection indique qu’un administrateur a sélectionné « Confirmer que l’utilisateur est compromis » dans l’interface utilisateur Utilisateurs à risque ou à l’aide de l’API riskyUsers. Pour voir quel administrateur a confirmé que cet utilisateur est compromis, consultez l’historique des risques de l’utilisateur (par le biais de l’interface utilisateur ou de l’API). Azure AD Threat Intelligence Hors connexion Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft. DÉTECTIONS LIÉES AUX UTILISATEURS DÉTECTIONS DE RISQUE D’UTILISATEUR PREMIUM Détection d’événements à risque Type de détection Description Tentative possible d’accès à un jeton d’actualisation principal (PRT) Hors connexion Ce type de détection des risques est détecté par Microsoft Defender pour point de terminaison (MDE). Un jeton d’actualisation principal (PRT) est un artefact clé d’authentification Azure AD sur les appareils Windows 10, Windows Server 2016 et ultérieur, iOS et Android. Un PRT est un jeton JWT (JSON Web Token) émis spécialement pour les répartiteurs de jetons Microsoft internes afin d’activer l’authentification unique (SSO) sur les applications utilisées sur ces appareils. Les attaquants peuvent tenter d’accéder à cette ressource pour se déplacer latéralement dans une organisation ou voler des informations d’identification. Cette détection place les utilisateurs à haut risque et se déclenche uniquement dans les organisations qui ont déployé MDE. Il s’agit d’une détection à faible volume qui est rarement observée par la plupart des organisations. Toutefois, lorsqu’elle se produit, il s’agit d’un risque élevé qui doit être atténué pour les utilisateurs. Activité anormale de l’utilisateur Hors connexion Cette détection des risques base le comportement normal de l’utilisateur d’administration dans Azure AD et détecte des schémas de comportement anormaux tels que des changements suspects apportés à l’annuaire. La détection est déclenchée sur l’administrateur qui fait le changement ou sur l’objet qui a été modifié. L’utilisateur a signalé une activité suspecte Hors connexion Cette détection de risque est signalée par un utilisateur qui a refusé une invite d’authentification multifacteur (MFA) et l’a signalée comme une activité suspecte. Une invite MFA qui n’a pas été initiée par l’utilisateur peut signifier que les informations d’identification de l’utilisateur ont été compromises. DÉTECTIONS DE RISQUE D’UTILISATEUR NON-PREMIUM Détection d’événements à risque Type de détection Description Risque supplémentaire détecté Temps réel ou hors connexion Cette détection indique que l’une des détections Premium a eu lieu. Étant donné que les détections Premium ne sont visibles que pour les clients Azure AD Premium P2, on les appelle « risque supplémentaire détecté » pour les clients dépourvus de licences Azure AD Premium P2. Informations d’identification divulguées Hors connexion Ce type de détection d’événement à risque indique que les informations d’identification valides de l’utilisateur ont fuité. Souvent, lorsque les cybercriminels compromettent les mots de passe valides d’utilisateurs légitimes, ils le font dans le but de les rendre publics. Ce partage se fait généralement en publiant publiquement sur le « dark web », via des sites de pastebin, ou en échangeant et vendant des informations d’identification sur le marché noir. Lorsque le service d’informations de connexion divulguées de Microsoft acquiert des informations d’identification utilisateur à partir du dark Web, de collage de sites ou autres sources, ces informations sont comparées aux informations d’identification valides actuelles des utilisateurs Azure AD pour rechercher des correspondances valides. Pour plus d’informations sur informations de connexion divulguées, consultez Questions courantes. Azure AD Threat Intelligence Hors connexion Ce type de détection des risques indique une activité utilisateur qui est inhabituelle pour l’utilisateur, ou qui est cohérente avec des modèles d’attaque connus. Cette détection est basée sur les sources de renseignements sur les menaces internes et externes de Microsoft. QUESTIONS COURANTES NIVEAUX DE RISQUE La protection d’identité catégorise les risques en trois niveaux : faible, moyen, sévère. Quand vous configurez des stratégies Identity Protection, vous pouvez également les configurer pour qu’elles se déclenchent au niveau Pas de risque. Le niveau Aucun risque signifie qu’il n’existe aucune indication active que l’identité de l’utilisateur a été compromise. Microsoft ne fournit pas de détails spécifiques sur la façon dont le risque est calculé. Chaque niveau de risque apporte une confiance plus élevée que l’utilisateur ou la connexion est compromise. Par exemple, une instance de propriétés de connexion non connues pour un utilisateur pourrait être moins dangereuse que la divulgation d’informations d’identification pour un autre utilisateur. SYNCHRONISATION DE HACHAGE DU MOT DE PASSE Les détections de risque comme les informations d’identification divulguées nécessitent la présence de hachages de mot de passe. Pour plus d’informations sur la synchronisation de hachage du mot de passe, consultez l’article Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Azure AD Connect. POURQUOI CES DÉTECTIONS DE RISQUES SONT-ELLES GÉNÉRÉES POUR LES COMPTES D’UTILISATEURS DÉSACTIVÉS ? Vous pouvez réactiver des comptes d’utilisateurs désactivés. Si les informations d’identification d’un compte désactivé sont compromises et que le compte est réactivé, des acteurs malveillants pourraient utiliser ces informations d’identification pour y accéder. Azure Identity Protection génère des détections de risques pour des activités suspectes sur les comptes d’utilisateurs désactivés afin d’alerter les clients en cas de compromission de compte potentielle. Si un compte n’est plus utilisé et ne sera pas réactivé, les clients doivent envisager de le supprimer afin d’éviter toute compromission. Aucune détection de risque n’est générée pour les comptes supprimés. INFORMATIONS D’IDENTIFICATION DIVULGUÉES OÙ MICROSOFT TROUVE-T-IL LES INFORMATIONS D’IDENTIFICATION DIVULGUÉES ? Microsoft découvre des fuites d'informations d'identification à divers endroits, notamment : * Les sites de téléchargement publics tels que pastebin.com et paste.ca où les malfaiteurs publient généralement ce genre de contenu. Ce genre de site est la première étape pour les malfaiteurs en quête d'informations d’identification volées. * Forces de l'ordre. * D'autres groupes chez Microsoft qui s’occupent des recherches sur le dark web. POURQUOI NE VOIS-JE AUCUNE INFORMATION D'IDENTIFICATION DIVULGUÉE ? Les informations d'identification divulguées sont traitées chaque fois que Microsoft trouve une nouvelle occurrence de données accessibles au public. En raison de leur nature sensible, les informations d'identification divulguées sont supprimées peu après le traitement. Seules les nouvelles informations d’identification divulguées détectées après l’activation de la synchronisation de hachage de mot de passe (PHS) seront traitées pour votre locataire. La vérification par rapport aux paires d’informations d’identification précédemment détectées n’est pas effectuée. JE N’AI PAS VU D’ÉVÉNEMENTS À RISQUE CONCERNANT LES INFORMATIONS D’IDENTIFICATION DIVULGUÉES DEPUIS UN MOMENT. Si vous n’avez pas vu d’événements à risque concernant les informations d’identification divulguées, cela peut être dû à plusieurs raisons : * Vous n'avez aucun PHS activé pour votre locataire. * Microsoft n'a trouvé aucune paire d’informations d’identification divulguées et correspondant à vos utilisateurs. À QUELLE FRÉQUENCE MICROSOFT TRAITE-T-IL LES NOUVELLES INFORMATIONS D’IDENTIFICATION ? Les informations d’identification sont traitées immédiatement après avoir été détectées, normalement en plusieurs lots par jour. EMPLACEMENTS L'emplacement dans les détections de risques est déterminé par la recherche d'adresse IP. ÉTAPES SUIVANTES * Stratégies disponibles pour atténuer les risques * Examiner les risques * Corriger et débloquer des utilisateurs * Vue d’ensemble de la sécurité -------------------------------------------------------------------------------- RESSOURCES SUPPLÉMENTAIRES Thème * Clair * Sombre * Contraste élevé * * Versions antérieures * Blog * Collaboration * Confidentialité * Conditions d'utilisation * Accessibilité * Marques * © Microsoft 2023 RESSOURCES SUPPLÉMENTAIRES DANS CET ARTICLE Thème * Clair * Sombre * Contraste élevé * * Versions antérieures * Blog * Collaboration * Confidentialité * Conditions d'utilisation * Accessibilité * Marques * © Microsoft 2023