Partager via


Guide des opérations de sécurité Microsoft Entra pour les applications

Les applications présentent une surface d’attaque pour les violations de la sécurité, elles doivent faire l’objet d’une surveillance. Même si elles ne sont pas ciblées aussi souvent que les comptes d’utilisateurs, des violations peuvent se produire. Dans la mesure où les applications s’exécutent souvent sans intervention humaine, les attaques peuvent être plus difficiles à détecter.

Cet article fournit des conseils pour superviser les événements d’application et créer des alertes les concernant. Il est régulièrement mis à jour pour vous permettre d’effectuer les tâches suivantes :

  • Empêcher les applications malveillantes d’accéder aux données de manière non autorisée

  • Empêcher les applications d’être compromises par des acteurs malveillants

  • Rassembler des insights pour créer et configurer de nouvelles applications de manière plus sécurisée

Si vous n’êtes pas familier avec le fonctionnement des applications dans Microsoft Entra ID, consultez Applications et principes de service dans Microsoft Entra ID.

Remarque

Si vous n’avez pas encore consulté la présentation des opérations de sécurité de Microsoft Entra, envisagez de le faire maintenant.

Ce que vous devez surveiller

Quand vous effectuez le monitoring des journaux des applications à la recherche d’incidents de sécurité, passez en revue la liste suivante pour différencier une activité normale d’une activité malveillante. Les événements suivants peuvent indiquer des problèmes de sécurité. Chacun d’eux est traité dans l’article.

  • Tout changement survenant en dehors des planifications et processus métier habituels

  • Modification des informations d’identification des applications

  • Autorisations d’application

    • Principal de service attribué à un ID Microsoft Entra ou à un rôle de contrôle d’accès en fonction du rôle (RBAC) Azure

    • Applications pour lesquelles des privilèges élevés ont été octroyés aux autorisations

    • Changements apportés à Azure Key Vault

    • Utilisateur final octroyant son consentement aux applications

    • Blocage du consentement de l’utilisateur final en fonction du niveau de risque

  • Modifications de la configuration de l’application

    • URI (identificateur de ressource universel) changé ou non standard

    • Changements apportés aux propriétaires d’applications

    • URL de déconnexion modifiées

Emplacement des fichiers

Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :

À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs façons d’intégrer les journaux Microsoft Entra à d'autres outils, ce qui permet une plus grande automatisation de la surveillance et des alertes :

  • Microsoft Sentinel : active l’analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités SIEM (Gestion des informations et des événements de sécurité).

  • Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.

  • Azure Monitor : permet de mettre en place des alertes et un monitoring automatisés répondant à diverses situations. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.

  • Azure Event Hubs intégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d'autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.

  • Microsoft Defender for Cloud Apps : permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.

  • Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques liés aux identités de charge de travail en fonction du comportement de connexion et des indicateurs de compromission hors connexion.

La majeure partie du monitoring et des alertes est produite par vos stratégies d’accès conditionnel. Vous pouvez utiliser le classeur Insights et rapports sur l’accès conditionnel pour examiner les effets d’une ou de plusieurs stratégies d’accès conditionnel sur vos connexions ainsi que leurs résultats, notamment l’état de l’appareil. Utilisez le workbook pour voir un récapitulatif et identifier les effets sur une période donnée. Vous pouvez également vous en servir pour investiguer les connexions d’un utilisateur spécifique.

Le reste de cet article décrit nos recommandations pour configurer un monitoring et des alertes efficaces. Il est organisé par type de menace. Quand il existe des solutions prédéfinies, nous plaçons un lien vers celles-ci ou nous fournissons des exemples après le tableau. Dans le cas contraire, vous pouvez créer des alertes à l’aide des outils précédents.

Informations d’identification d’application

De nombreuses applications utilisent des informations d’identification pour s’authentifier dans Microsoft Entra ID. Toutes les autres informations d’identification ajoutées en dehors des processus attendus peuvent être celles d’un acteur malveillant utilisant ces informations d’identification. Nous vous recommandons d’utiliser des certificats X509 émis par des autorités de confiance ou des identités managées, plutôt que des secrets clients. Toutefois, si vous devez utiliser des secrets clients, suivez les bonnes pratiques pour sécuriser les applications. Remarque : Les mises à jour des applications et des principaux de service sont journalisées sous la forme de deux entrées dans le journal d’audit.

  • Effectuez un monitoring des applications pour identifier celles dont les délais d’expiration d’informations d’identification sont particulièrement longs.

  • Remplacez les informations d’identification de longue durée par des informations d’identification de courte durée. Vérifiez que les informations d’identification ne sont pas commitées dans les dépôts de code, et qu’elles sont stockées de manière sécurisée.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Ajout d’informations d’identification à des applications existantes Élevé Journaux d’audit Microsoft Entra Répertoire Service-Core, Category-ApplicationManagement
Activité : Mise à jour de la gestion des certificats d’application et des secrets
-et-
Activité : Mise à jour du principal de service ou de l’application
Une alerte est émise quand les informations d’identification sont ajoutées en dehors des heures d’ouverture ou des workflows habituels, quand elles sont ajoutées avec des types non utilisés dans votre environnement, ou quand elles sont ajoutées à un principal de service qui ne prend pas en charge les flux SAML.
Modèle Microsoft Sentinel

Règles Sigma
Informations d’identification dont la durée de vie est supérieure à celle autorisée par vos stratégies. Moyen Microsoft Graph État et date de fin des informations d’identification de la clé d’application
-et-
Informations d’identification de mot de passe d’application
Vous pouvez utiliser l’API Microsoft Graph pour trouver les dates de début et de fin des informations d’identification, et évaluer les durées de vie qui dépassent les valeurs autorisées. Consultez le script PowerShell situé sous ce tableau.

Les fonctionnalités prédéfinies de monitoring et d’alertes suivantes sont disponibles :

Autorisations d’application

Tout comme les comptes Administrateur, les applications peuvent se voir attribuer des rôles privilégiés. Les applications peuvent se voir attribuer tout rôle Microsoft Entra (tels qu’Administrateur d’utilisateurs) ou des rôles Azure RBAC (comme Lecteur de facturation). Dans la mesure où elles peuvent s’exécuter sans qu’un utilisateur soit présent et en tant que service d’arrière-plan, effectuez une surveillance particulièrement rigoureuse des applications qui se voient octroyer des autorisations ou des rôles privilégiés.

Principal de service affecté à un rôle

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Application affectée au rôle Azure RBAC ou au rôle Microsoft Entra Élevé à moyen Journaux d’audit Microsoft Entra Type : Principal de service
Activité : « Ajouter un membre à un rôle » ou « Ajouter un membre éligible à un rôle »
-ou-
« Ajouter un membre inclus dans une étendue à un rôle ».
Pour les rôles à privilèges élevés, le risque est élevé. Pour les rôles qui ont des privilèges moins élevés, le risque est moyen. Alertez chaque fois qu’une application est affectée à un rôle Azure ou à un rôle Microsoft Entra en dehors des procédures normales de gestion des modifications ou de configuration.
Modèle Microsoft Sentinel

Règles Sigma

Applications recevant des autorisations avec privilèges élevés

Les applications doivent suivre le principe des privilèges minimum. Investiguez les autorisations des applications pour vérifier qu’elles sont nécessaires. Vous pouvez créer un rapport sur les consentements octroyés aux applications pour identifier ces dernières, et mettre en évidence les autorisations privilégiées.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Application se voyant accorder des autorisations à privilèges élevés, telles que des autorisations « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail. ) Élevé Journaux d’audit Microsoft Entra « Ajouter une attribution de rôle d’application à un principal de service »
-où-
Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph)
-et-
AppRole.Value identifie une autorisation d’application à privilèges élevés (rôle d’application).
Applications se voyant accorder des autorisations générales comme « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail. )
Modèle Microsoft Sentinel

Règles Sigma
Administrateur accordant des autorisations d’application (rôles d’application) ou des autorisations déléguées à privilèges élevés Élevé Portail Microsoft 365 « Ajouter une attribution de rôle d’application à un principal de service »
-où-
Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph)
« Ajout de l’octroi de permissions déléguées »
-où-
Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph)
-et-
DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés.
Alerte lorsqu’un administrateur donne son consentement à une application. Recherchez en particulier les consentements accordés en dehors des activités et des procédures de modification habituelles.
Modèle Microsoft Sentinel
Modèle Microsoft Sentinel
Modèle Microsoft Sentinel

Règles Sigma
L’application se voit accorder des autorisations pour Microsoft Graph, Exchange, SharePoint ou Microsoft Entra ID. Élevé Journaux d’audit Microsoft Entra « Ajout de l’octroi de permissions déléguées »
-ou-
« Ajouter une attribution de rôle d’application à un principal de service »
-où-
Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph, Exchange Online, etc.)
Déclenchez une alerte comme à la ligne précédente.
Modèle Microsoft Sentinel

Règles Sigma
Des autorisations d’application (rôles d’application) sont accordées pour d’autres API. Moyen Journaux d’audit Microsoft Entra « Ajouter une attribution de rôle d’application à un principal de service »
-où-
Target(s) identifie toute autre API.
Déclenchez une alerte comme à la ligne précédente.
Règles Sigma
Des autorisations déléguées à privilèges élevés sont accordées pour le compte de tous les utilisateurs Élevé Journaux d’audit Microsoft Entra « Ajouter l’octroi d’autorisations déléguées », où Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph)
DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés.
-et-
DelegatedPermissionGrant.ConsentType est « AllPrincipals ».
Déclenchez une alerte comme à la ligne précédente.
Modèle Microsoft Sentinel
Modèle Microsoft Sentinel
Modèle Microsoft Sentinel

Règles Sigma

Pour plus d’informations sur la supervision des autorisations d’application, consultez ce tutoriel : Investiguer et corriger les applications OAuth à risque.

Azure Key Vault

Utilisez Azure Key Vault pour stocker les secrets de votre locataire. Nous vous recommandons de prêter attention aux changements apportés à la configuration et aux activités de Key Vault.

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Qui accède à vos coffres de clés, de quelle façon et à quel moment. Moyen Journaux Azure Key Vault Type de ressource : coffres de clés Recherchez les accès à Key Vault en dehors des processus et des heures standard ainsi que les changements apportés à la liste ACL de Key Vault.
Modèle Microsoft Sentinel

Règles Sigma

Une fois que vous avez configuré Azure Key Vault, activez la journalisation. Découvrez quand et comment les utilisateurs accèdent à vos coffres de clés Key Vault, et comment configurer des alertes sur Key Vault pour notifier les listes de distribution ou les utilisateurs attribués par e-mail, par téléphone, par SMS ou à l’aide d’une notification Event Grid, si l’intégrité est impactée. De plus, la configuration du monitoring avec des insights Key Vault vous fournit une capture instantanée des requêtes, des performances, des échecs et de la latence de Key Vault. Log Analytics comprend également des exemples de requêtes pour Azure Key Vault auxquels vous pouvez accéder en sélectionnant votre coffre de clés, puis en sélectionnant « Journaux » sous « Supervision ».

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Consentement de l’utilisateur pour une application Faible Journaux d’audit Microsoft Entra Activité : Consentement accordé à une application / ConsentContext.IsAdminConsent = false Recherchez les comptes très visibles ou dotés de privilèges élevés, les demandes d’autorisation à haut risque provenant des applications, les applications dont les noms sont suspects, par exemple les noms génériques, mal orthographiés, etc.
Modèle Microsoft Sentinel

Règles Sigma

Le fait d’octroyer son consentement à une application n’est pas un acte malveillant. Toutefois, vous devez investiguer tous les nouveaux consentements d’utilisateur afin d’y rechercher d’éventuelles applications suspectes. Vous pouvez limiter les opérations de consentement de l’utilisateur.

Pour plus d’informations sur les opérations de consentement, reportez-vous aux ressources suivantes :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Consentement de l’utilisateur bloqué en raison d’un consentement risqué Moyen Journaux d’audit Microsoft Entra Annuaire principal/ApplicationManagement/Consentement pour une application
Raison de l’échec = Microsoft.online.Security.userConsent
BlockedForRiskyAppsExceptions
Supervisez et analysez chaque fois qu’un consentement est bloqué à cause des risques. Recherchez les comptes très visibles ou dotés de privilèges élevés, les demandes d’autorisation à haut risque provenant des applications, ou les applications dont les noms sont suspects, par exemple les noms génériques, mal orthographiés, etc.
Modèle Microsoft Sentinel

Règles Sigma

Flux d’authentification des applications

Il existe plusieurs flux dans le protocole OAuth 2.0. Le flux recommandé pour une application dépend du type d’application généré. Dans certains cas, plusieurs flux sont disponibles pour l’application. Dans ce cas précis, certains flux d’authentification sont recommandés par rapport à d’autres. En particulier, évitez les informations d’identification de mot de passe du propriétaire de la ressource (ROPC), car elles obligent l’utilisateur à exposer ses informations d’identification de mot de passe actuelles à l’application. L’application utilise ensuite les informations d’identification pour authentifier l’utilisateur auprès du fournisseur d’identité. La plupart des applications doivent utiliser le flux de code d’authentification, ou le flux de code d’authentification avec PKCE (Proof Key for Code Exchange), car ce flux est recommandé.

Le seul scénario où ROPC est suggéré est celui du test automatisé d’applications. Pour plus d’informations, consultez Exécuter des tests d’intégration automatisés.

Le flux de code d’appareil est un autre flux de protocole OAuth 2.0 pour les appareils soumis à des contraintes d’entrée. Il n’est pas utilisé dans tous les environnements. Quand le flux de code d’appareil apparaît dans l’environnement, et qu’il n’est pas utilisé dans un scénario d’appareil soumis à des contraintes d’entrée. Une investigation plus approfondie est nécessaire pour une application mal configurée ou éventuellement quelque chose de malveillant. Le flux de code de l’appareil peut également être bloqué ou autorisé dans l’accès conditionnel. Consultez Flux d’authentification d’accès conditionnel pour plus d’informations.

Monitorez l’authentification des applications en utilisant les informations suivantes :

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Applications qui utilisent le flux d’authentification ROPC Moyen Journal de connexion Microsoft Entra État = Réussite

Protocole d’authentification-ROPC
Un niveau de confiance élevé est placé dans cette application, car les informations d’identification peuvent être mises en cache ou stockées. Passez si possible à un flux d’authentification plus sécurisé. Cela doit être utilisé uniquement pour les tests automatisés des applications, le cas échéant. Pour en savoir plus, consultez Plateforme d’identités Microsoft et informations d’identification du mot de passe du propriétaire de la ressource OAuth 2.0.

Règles Sigma
Applications utilisant le flux de code d’appareil Faible à moyen Journal de connexion Microsoft Entra État = Réussite

Protocole d’authentification-Code d’appareil
Les flux de code d’appareil sont utilisés pour les appareils soumis à des contraintes d’entrée, qui n’existent pas forcément dans tous les environnements. Si des flux de code d’appareil réussis apparaissent sans nécessité particulière, investiguez leur validité. Pour plus d’informations, consultez Plateforme d’identités Microsoft et flux d’octroi d’autorisation d’appareil OAuth 2.0.

Règles Sigma

Modifications de la configuration de l’application

Effectuez un monitoring des changements apportés à la configuration de l’application. Plus précisément, surveillez les changements apportés à la configuration de l’URI (Uniform Resource Identifier), de la propriété et de l’URL de déconnexion.

Modification des URI non résolus et de redirection

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
URI non résolu Élevé Journaux Microsoft Entra et inscription d’application Répertoire Service-Core, Category-ApplicationManagement
Activité : Mise à jour de l’application
Réussite : nom de propriété AppAddress
Par exemple, recherchez les URI non résolus pointant vers un nom de domaine qui n’existe plus ou qui ne vous appartient pas explicitement.
Modèle Microsoft Sentinel

Règles Sigma
Modification de la configuration des URI de redirection Élevé Journaux Microsoft Entra Répertoire Service-Core, Category-ApplicationManagement
Activité : Mise à jour de l’application
Réussite : nom de propriété AppAddress
Recherchez les URI qui n’utilisent pas HTTPS*, les URI avec des caractères génériques à la fin ou le domaine de l’URL, les URI qui ne sont pas uniques à l’application, les URI qui pointent vers un domaine que vous ne contrôlez pas.
Modèle Microsoft Sentinel

Règles Sigma

Déclenchez une alerte quand ces changements sont détectés.

Ajout, modification ou suppression des URI AppID

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Modifications apportées à l’URI AppID Élevé Journaux Microsoft Entra Répertoire Service-Core, Category-ApplicationManagement
Activité : Mise à jour
Application
Activité : Mise à jour du principal de service
Recherchez les modifications d’URI AppID, telles que l’ajout, la modification ou la suppression de l’URI.
Modèle Microsoft Sentinel

Règles Sigma

Déclenchez une alerte quand ces changements sont détectés en dehors des procédures approuvées de gestion des changements.

Nouveau propriétaire

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Modifications apportées à la propriété des applications Moyen Journaux Microsoft Entra Répertoire Service-Core, Category-ApplicationManagement
Activité : Ajouter un propriétaire à une application
Recherchez les ajouts d’utilisateurs en tant que propriétaires d’une application en dehors des activités habituelles de gestion des changements.
Modèle Microsoft Sentinel

Règles Sigma

Modification ou suppression d’une URL de déconnexion

Ce qu’il faut surveiller Niveau de risque Emplacement Filtre/Sous-filtre Remarque
Changements apportés à une URL de déconnexion Faible Journaux Microsoft Entra Répertoire Service-Core, Category-ApplicationManagement
Activité : Mise à jour de l’application
-et-
Activité : Mise à jour du principal de service
Recherchez toute modification apportée à une URL de déconnexion. Les entrées vides ou les entrées correspondant à des emplacements inexistants empêchent un utilisateur de mettre fin à une session.
Modèle Microsoft Sentinel
Règles Sigma

Ressources

Étapes suivantes

Vue d’ensemble des opérations de sécurité Microsoft Entra

Opérations de sécurité pour les comptes d’utilisateur

Opérations de sécurité pour les comptes de consommateur

Opérations de sécurité pour les comptes privilégiés

Opérations de sécurité pour Privileged Identity Management

Opérations de sécurité pour les appareils

Opérations de sécurité pour l’infrastructure