Partager via


Classeur de rapport sur les opérations sensibles

En tant qu’administrateur informatique, vous devez être en mesure d’identifier les compromissions de votre environnement pour veiller à le maintenir dans un état sain.

Le classeur de rapport sur les opérations sensibles est conçu pour aider à identifier l’activité suspecte des applications et des principaux de service susceptible d’indiquer des compromissions dans l’environnement.

Cet article vous fournit une présentation du classeur Rapport sur les opérations sensibles.

Prérequis

Pour utiliser Azure Workbooks pour Microsoft Entra ID, vous avez besoin de :

  • Un locataire Microsoft Entra avec une licence Premium P1
  • Un espace de travail Log Analytics et accède à cet espace de travail
  • Les rôles appropriés pour Azure Monitor et Microsoft Entra ID

Espace de travail Log Analytics

Vous devez créer un espace de travail Log Analytics avant de pouvoir utiliser Microsoft Entra Workbooks. plusieurs facteurs déterminent l’accès aux espaces de travail Log Analytics. Vous avez besoin des rôles appropriés pour l’espace de travail et les ressources qui envoient les données.

Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics.

Rôles Azure Monitor

Azure Monitor fournit deux rôles intégrés pour l’affichage des données de surveillance et la modification des paramètres de supervision. Le contrôle d’accès en fonction du rôle (RBAC) Azure fournit également deux rôles Log Analytics intégrés qui accordent un accès similaire.

  • Affichage :

    • Lecteur d’analyse
    • Lecteur Log Analytics
  • Afficher et modifier les paramètres :

    • Contributeur d’analyse
    • Contributeur Log Analytics

Rôles Microsoft Entra

L'accès en lecture seule vous permet d'afficher les données du journal Microsoft Entra ID dans un classeur, d'interroger les données de Log Analytics ou de lire les journaux dans le centre d'administration Microsoft Entra. L'accès aux mises à jour ajoute la possibilité de créer et de modifier des paramètres de diagnostic pour envoyer des données Microsoft Entra à un espace de travail Log Analytics.

  • Lecture :

    • Lecteur de rapports
    • Lecteur de sécurité
    • Lecteur général
  • Mettre à jour :

    • Administrateur de la sécurité

Pour plus d'informations sur les rôles intégrés Microsoft Entra, voir Rôles intégrés Microsoft Entra.

Pour plus d’informations sur les rôles RBAC pour Log Analytics, consultez Rôles intégrés Azure.

Description

Catégorie du classeur

Ce classeur identifie les opérations sensibles récemment effectuées dans le locataire et susceptibles de compromettre le principal de service.

Si votre organisation découvre tout juste les classeurs Azure Monitor, vous devez intégrer vos journaux de connexion et d’audit Microsoft Entra avec Azure Monitor pour pouvoir accéder au classeur. Cette intégration vous permet de stocker, d’interroger et de visualiser vos journaux avec des workbooks pendant une période allant jusqu’à deux ans. Seuls les événements de connexion et d’audit créés après l’intégration d’Azure Monitor sont stockés. Le classeur ne contient donc pas d’informations avant cette date. Découvrez les prérequis des classeurs Azure Monitor pour Microsoft Entra ID. Si vous avez déjà intégré vos journaux de connexion et d’audit Microsoft Entra dans Azure Monitor, vous pouvez utiliser le classeur pour évaluer les informations passées.

Comment accéder au classeur

  1. Connectez-vous au centre d’administration Microsoft Entra à l’aide de la combinaison de rôles appropriée.

  2. Accédez à Identité>Surveillance et intégrité>Classeurs.

  3. Sélectionnez le classeur Rapport sur les opérations sensibles dans la section Dépannage.

Sections

Ce classeur est divisé en quatre sections :

Sections du classeur

  • Modification des informations d’identification/méthodes d’authentification des applications et des principaux de service : Ce rapport signale les acteurs qui ont récemment modifié les informations d’identification de nombreux principaux de service et indique le nombre d’informations d’identification modifiées de chaque type.

  • Octroi de nouvelles autorisations aux principaux de service : ce classeur met également en évidence les autorisations OAuth 2.0 récemment accordées aux principaux de service.

  • Mise à jour des appartenances aux rôles d’annuaire et aux groupes des principaux de service

  • Modification des paramètres de fédération : ce rapport met en évidence les cas où un utilisateur ou une application modifie des paramètres de fédération sur un domaine. Par exemple, il signale quand un nouvel objet TrustedRealm des services de fédération Active Directory (AD FS, Active Directory Federated Services), par exemple un certificat de signature, est ajouté au domaine. La modification des paramètres de fédération de domaine doit être rare.

Modification des informations d’identification/méthodes d’authentification des applications et des principaux de service

L’un des moyens les plus courants pour un attaquant de gagner en persistance dans l’environnement consiste à ajouter de nouvelles informations d’identification à des applications et principaux de service existants. Il peut ainsi s’authentifier sous l’identité de l’application ou du principal de service cible, ce qui lui accorde l’accès à toutes les ressources pour lesquelles il dispose d’autorisations.

Cette section contient les données suivantes pour vous aider à détecter les scénarios correspondants :

  • Ensemble des nouvelles informations d’identification ajoutées aux applications et aux principaux de service, avec le type d’informations d’identification

  • Principaux acteurs et nombre d’informations d’identification modifiées

  • Chronologie de toutes les modifications apportées aux informations d’identification

Octroi de nouvelles autorisations aux principaux de service

Dans le cas où l’attaquant ne parvient pas à trouver un principal de service ni une application doté d’un ensemble d’autorisations à privilège élevé qui lui permette d’obtenir un accès, il tente souvent d’ajouter les autorisations à un autre principal de service ou à une autre application.

Cette section comprend une répartition des autorisations AppOnly accordées aux principaux de service existants. Les administrateurs doivent enquêter sur tous les cas d'autorisations excessivement élevées accordées, y compris, mais sans s'y limiter, Exchange Online et Microsoft Graph.

Mise à jour des appartenances aux rôles d’annuaire et aux groupes des principaux de service

Dans la logique de l’attaquant qui ajoute de nouvelles autorisations à des applications et principaux de service existants, une autre approche consiste à les ajouter à des rôles d’annuaire ou groupes existants.

Cette section contient une vue d’ensemble de toutes les modifications apportées aux appartenances des principaux de service. Elle doit être examinée pour tout ajout à des rôles et groupes dotés de privilèges élevés.

Modification des paramètres de fédération

Il existe une autre approche courante pour prendre pied à long terme dans l’environnement :

  • Modifier les approbations des domaines fédérés du locataire
  • Ajouter un autre fournisseur d’identité SAML contrôlé par l’attaquant comme source d’authentification approuvée.

Cette section comprend les données suivantes :

  • Modifications apportées aux approbations de fédération de domaine existantes

  • Ajout de nouveaux domaines et approbations

Filtres

Ce paragraphe donne la liste des filtres pris en charge pour chaque section.

Modification des informations d’identification/méthodes d’authentification des applications et des principaux de service

  • Plage temporelle
  • Nom d’opération
  • Informations d'identification
  • Acteur
  • Exclusion de l’acteur

Octroi de nouvelles autorisations aux principaux de service

  • Plage temporelle
  • Application cliente
  • Ressource

Mise à jour des appartenances aux rôles d’annuaire et aux groupes des principaux de service

  • Plage temporelle
  • Opération
  • Utilisateur ou application à l’origine de l’opération

Modification des paramètres de fédération

  • Plage temporelle
  • Opération
  • Utilisateur ou application à l’origine de l’opération

Bonnes pratiques

    • Utilisez les informations d’identification modifiées de l’application et du principal de service** pour rechercher les informations d’identification ajoutées aux principaux de service qui ne sont pas fréquemment utilisées dans votre organisation. Servez-vous des filtres présents dans cette section pour examiner plus en détail les acteurs suspects et les principaux de service modifiés.
  • Utilisez les nouvelles autorisations accordées aux principaux de service pour détecter les autorisations étendues ou excessives ajoutées aux principaux de service par des acteurs susceptibles d'être compromis.

  • Utilisez la section des paramètres de fédération modifiés pour confirmer que le domaine/URL cible ajouté ou modifié constitue un comportement d'administrateur légitime. Les actions qui modifient ou ajoutent des approbations de fédération de domaine sont rares. Elles doivent être traitées comme des actions haute fidélité pour être examinées dès que possible.