Foire aux questions ITDR

Microsoft Entra ID.

Oui, vous pouvez ajouter plusieurs locataires Entra ID depuis la page Paramètres d'identité. Retrouvez plus de renseignements sur Paramètres d'identité.

ITDR exige Entra ID P1 ou P2, disponibles en tant que produits autonomes, de modules complémentaires, ou inclus avec d'autres licences Microsoft telles que Microsoft 365 E3 et E5, Microsoft Business Premium, et Microsoft 365 Frontline Worker F1, F3, et F5. La version gratuite de Microsoft Entra ID offre un accès restreint aux API Microsoft, car elle limite l’ingestion de certaines données et les types de contrôles pouvant être exécutés.

ITDR s'appuie sur les API Microsoft pour collecter des informations de compte. Microsoft restreint également l'accès à certaines API en fonction de la licence. Par conséquent, certaines informations (telles que si un utilisateur est administrateur ou si la MFA lui a été appliquée) pourraient mettre plus longtemps à apparaitre après la mise à niveau de la licence. Il peut s'écouler jusqu'à une semaine avant que Microsoft ne mette à jour les données utilisateur. Vous pourrez néanmoins vérifier les informations en consultant le rapport d'activité dans le centre d'administration Microsoft Entra. Pour plus d'informations, voir Activité des méthodes d’authentification. Si les informations contenues dans le rapport utilisateur ne sont pas mises à jour, les résultats ITDR seront également incorrects jusqu'à ce que Microsoft actualise les informations.

Plusieurs raisons sont possibles :

• Vous ne disposez pas de la licence Microsoft Entra ID requise, telle que P1 ou P2.
• Vous avez récemment mis à niveau votre licence, mais Microsoft n'a pas encore actualisé les données. Pour plus de détails, consultez « Combien de temps faut-il à ITDR pour se mettre à jour après avoir effectué la mise à niveau d'Entra ID Free vers une licence P1 ou P2 ? »

• Vous utilisez un fournisseur de MFA tiers tel qu'Okta ou Duo avec une configuration héritée. Dans ce cas de figure, l’état MFA sera incorrect car Microsoft Entra ID ne stocke pas les informations d’authentification au niveau de l'utilisateur pour les fournisseurs de MFA externes. Nous pourrons cependant déduire que vous utilisez un fournisseur externe si vous utilisez les nouvelles méthodes d'authentification externe de Microsoft dans la configuration de votre locataire Entra ID.

  Pour plus d'informations, consultez le Blog Microsoft Entra. Des informations de configuration complémentaires sont disponibles pour Duo et Okta. Retrouvez plus de renseignements dans la documentation Duo et la documentation Okta.

ITDR effectue une multitude d'évaluations différentes, chacune responsable de l'exécution de différents contrôles, qui sont effectués aux intervalles suivants :

• Contrôles de posture Entra ID : Toutes les 2 heures.
• Contrôle des ressources dormantes : Toutes les 2 heures.

Après la configuration initiale, nous collectons l'intégralité des données depuis Microsoft Entra ID. Nous vérifions ensuite les mises à jour en fonction des types de données ci-dessous :

• Détails de l’utilisateur : Toutes les 10 minutes.
• Détails des principaux de service et des applications : Toutes les 10 minutes.
• Groupes : Toutes les 10 minutes.
• Appareils : Toutes les 10 minutes.
• Configuration MFA de l’utilisateur : Toutes les 15 minutes.
• Activité de l’utilisateur (Dernière connexion) : Toutes les 6 heures.
• Données des domaines : Toutes les 24 heures.

Le Score de Posture de risque lié à l’identité est mis à jour quotidiennement en fonction des changements survenus la veille. Le score augmente ou diminue en fonction de la présence de nouvelles détections ou de la résolution ou du rejet de détections existantes.

Vous pouvez consulter la liste des contrôles dans l'onglet Préférences de contrôle de posture sur la page Paramètres d'identité. Retrouvez plus de renseignements sur Paramètres d'identité.

Oui, vous pouvez activer et désactiver les contrôles de posture dans l'onglet Préférences de contrôle de posture sur la page Paramètres d'identité. Retrouvez plus de renseignements sur Paramètres d'identité.

Non, ITDR est un logiciel que vous consultez. Cependant, si vous souscrivez au service MDR, le contrôle des risques liés à l’identité sera pris en compte dans les enquêtes menées par l'équipe MDR Ops.

L'équipe MDR Ops se concentre sur un sous-ensemble détections critiques pouvant indiquer la présence d’une menace active dans votre environnement. C’est à vous de surveiller et de gérer les détections ITDR.

L'équipe MDR Ops se sert du contexte d'identité supplémentaire obtenu de Microsoft Entra ID pour mieux comprendre les utilisateurs et les risques associés. Ceci permet d’accélérer les processus d'investigation et de réponse pour toutes les détections, qu’elles soient liées ou non à l'identité, lorsque une corrélation a été trouvée avec un utilisateur.

La balise « administrateur » est activée pour les utilisateurs assignés à des rôles reconnus comme administratifs ou privilégiés par Entra ID. Ces rôles bénéficient généralement d’un contrôle important des ressources du répertoire, des utilisateurs ou des paramètres de sécurité. Voici une liste des rôles Entra ID entrainant l’activation de la balise « administrateur » :

• Administrateur général : Accès complet à toutes les fonctionnalités administratives dans Entra ID.
• Administrateur de rôle privilégié : Gère l’attribution des rôles dans Entra ID, y compris l’assignation d'autres administrateurs.
• Administrateur d’utilisateurs : Gère les comptes utilisateurs, les groupes et certains attributs utilisateur.
• Administrateur de sécurité : Dispose d’un accès complet à toutes les fonctions et paramètres de sécurité.
• Administrateur de conformité : Gère les fonctionnalités liées à la conformité telles que la découverte électronique et l'audit.
• Administrateur d'application : Gère l’enregistrement des applications et les paramètres dans Entra ID.
• Administrateur d'authentification : Peut consulter, définir et réinitialiser les méthodes et les contrôles liés à l’authentification, y compris la réinitialisation des mots de passe.
• Administrateur Exchange : Peut gérer tous les aspects du produit Exchange.
• Administrateur SharePoint : Peut gérer tous les aspects du service SharePoint.
• Administrateur Teams : Peut gérer le service Microsoft Teams.
• Administrateur Intune : Gère la configuration et les paramètres de gestion des appareils dans Microsoft Intune.
• Administrateur de facturation : Gère les abonnements, la facturation et les tickets de support.
• Administrateur du support technique : Limité à la réinitialisation des mots de passe et aux tâches de dépannage de base.
• Administrateur de support de service : Gère les paramètres liés au support de service.
• Lecteurs d’annuaire (si combiné avec d'autres rôles privilégiés) : Peut lire les informations d’annuaire; généralement attribué pour élever les privilèges d’un autre rôle.
• Lecteur global/général (si combiné avec un autre rôle privilégié) : Accès en lecture seule à tous les services Entra ID et Microsoft; peut activer la balise « administrateur » lorsqu'il est combiné avec un autre rôle d'administrateur.
• Lecteur de rapports (si combiné avec un autre rôle d'administrateur) : Accès aux rapports et aux journaux; souvent combiné avec d'autres responsabilités administratives.
• Administrateur de l’accès conditionnel : Gère les stratégies d’accès conditionnel.
• Administrateur Identity Governance : Gère les paramètres liés à la gouvernance des identités, aux révisions d'accès et à la gestion des droits.
• Rôles personnalisés ayant des privilèges administratifs : Un rôle personnalisé doté d’autorisations administratives comparables à celles des rôles ci-dessus peut également déclencher la balise « administrateur ».

Cette liste couvre les rôles Entra ID prédéfinis qui déclenchent actuellement la balise « administrateur ». Ces comportements pourraient changer en cas de mise à jour ou de création de nouveaux rôles par Microsoft.

Si la dernière connexion de l’utilisateur remonte à plus de 90 jours, nous le définissons en tant qu’identité dormante.

Les fuites d’identifiants sont surveillées en permanence. Dès que nous découvrons une correspondance dans l'ensemble de données, nous la traitons pour déterminer si elle est valide.

Afin de pouvoir générer des résultats exploitables, nous corrélons et validons les données analysées de la manière suivante :

1. Nous vérifions tout d’abord que l’identité active en question existe chez les fournisseurs d'identité définis.
2. Nous déterminons ensuite la date de la fuite initiale du mot de passe en texte clair ou haché en fonction des données historiques disponibles. Ceci est important car les nouveaux combolistes contiennent souvent des anciennes données provenant de fuites précédentes.
3. S’il s’agit d’un mot de passe en clair, nous le comparons ensuite aux exigences générales de complexité pour les mots de passe dans Microsoft Entra ID dans le but d’éliminer les valeurs non valides.
4. Pour terminer, nous comparons la date de fuite initiale à la date du dernier changement de mot de passe. Si la fuite initiale s'est produite après le dernier changement de mot de passe, nous générons une détection.

Après avoir généré une détection, nous vérifions si le compte associé a activé la MFA et si oui, de quel type il s’agit. Vous trouverez ci-dessous les niveaux de risque attribués en fonction du type d'utilisateur, du type de fuite et du type de configuration MFA :

Non, nous ne stockons aucun mot de passe en clair ou valeur de hachage. Nous n'avons pas non plus la possibilité de capturer ces informations chez les fournisseurs d'identité. Lors de la recherche et de la collecte de données, nous appliquons une empreinte personnalisée aux valeurs observées, puis catégorisons l'enregistrement comme un mot de passe en clair ou haché. Ce processus nous permet de déterminer l'unicité des mots de passe et d’analyser les données sans avoir à conserver les valeurs de mot de passe sous-jacentes.

Nous utilisons des données recueillies sur le Dark Web, dans des marketplaces tels que Russian Marketplace et Genesis Market, les sites TOR, les canaux Telegram publics et cachés, ainsi que des fichiers de type infostealer.