Guide des opérations de sécurité Microsoft Entra pour les applications
Les applications présentent une surface d’attaque pour les violations de la sécurité, elles doivent faire l’objet d’une surveillance. Même si elles ne sont pas ciblées aussi souvent que les comptes d’utilisateurs, des violations peuvent se produire. Dans la mesure où les applications s’exécutent souvent sans intervention humaine, les attaques peuvent être plus difficiles à détecter.
Cet article fournit des conseils pour superviser les événements d’application et créer des alertes les concernant. Il est régulièrement mis à jour pour vous permettre d’effectuer les tâches suivantes :
Empêcher les applications malveillantes d’accéder aux données de manière non autorisée
Empêcher les applications d’être compromises par des acteurs malveillants
Rassembler des insights pour créer et configurer de nouvelles applications de manière plus sécurisée
Si vous n’êtes pas familier avec le fonctionnement des applications dans Microsoft Entra ID, consultez Applications et principes de service dans Microsoft Entra ID.
Remarque
Si vous n’avez pas encore consulté la présentation des opérations de sécurité de Microsoft Entra, envisagez de le faire maintenant.
Ce que vous devez surveiller
Quand vous effectuez le monitoring des journaux des applications à la recherche d’incidents de sécurité, passez en revue la liste suivante pour différencier une activité normale d’une activité malveillante. Les événements suivants peuvent indiquer des problèmes de sécurité. Chacun d’eux est traité dans l’article.
Tout changement survenant en dehors des planifications et processus métier habituels
Modification des informations d’identification des applications
Autorisations d’application
Principal de service attribué à un ID Microsoft Entra ou à un rôle de contrôle d’accès en fonction du rôle (RBAC) Azure
Applications pour lesquelles des privilèges élevés ont été octroyés aux autorisations
Changements apportés à Azure Key Vault
Utilisateur final octroyant son consentement aux applications
Blocage du consentement de l’utilisateur final en fonction du niveau de risque
Modifications de la configuration de l’application
URI (identificateur de ressource universel) changé ou non standard
Changements apportés aux propriétaires d’applications
URL de déconnexion modifiées
Emplacement des fichiers
Les fichiers journaux que vous pouvez utiliser pour l’investigation et la supervision sont les suivants :
À partir du portail Azure, vous pouvez afficher les journaux d’audit Microsoft Entra et les télécharger sous forme de fichiers CSV (valeurs séparées par des virgules) ou JSON (JavaScript Object Notation). Le portail Azure propose plusieurs façons d’intégrer les journaux Microsoft Entra à d'autres outils, ce qui permet une plus grande automatisation de la surveillance et des alertes :
Microsoft Sentinel : active l’analytique de sécurité intelligente au niveau de l’entreprise en fournissant des fonctionnalités SIEM (Gestion des informations et des événements de sécurité).
Règles Sigma : Sigma est un standard ouvert évolutif d’écriture de règles et de modèles que les outils de gestion automatisés peuvent utiliser pour analyser les fichiers journaux. S’il existe des modèles Sigma pour nos critères de recherche recommandés, nous avons ajouté un lien vers le dépôt Sigma. Les modèles Sigma ne sont pas écrits, testés et gérés par Microsoft. Le référentiel et les modèles sont plutôt créés et collectés par les experts en sécurité informatique à l’échelle mondiale.
Azure Monitor : permet de mettre en place des alertes et un monitoring automatisés répondant à diverses situations. Peut créer ou utiliser des classeurs pour combiner des données provenant de différentes sources.
Azure Event Hubs intégré à un SIEM- Les journaux Microsoft Entra peuvent être intégrés à d'autres SIEM comme Splunk, ArcSight, QRadar et Sumo Logic via l’intégration d’Azure Event Hubs.
Microsoft Defender for Cloud Apps : permet de découvrir et gérer les applications, de gouverner les applications et les ressources, et de vérifier la conformité de vos applications cloud.
Sécurisation des identités de charge de travail avec Protection des ID Microsoft Entra : permet de détecter les risques liés aux identités de charge de travail en fonction du comportement de connexion et des indicateurs de compromission hors connexion.
La majeure partie du monitoring et des alertes est produite par vos stratégies d’accès conditionnel. Vous pouvez utiliser le classeur Insights et rapports sur l’accès conditionnel pour examiner les effets d’une ou de plusieurs stratégies d’accès conditionnel sur vos connexions ainsi que leurs résultats, notamment l’état de l’appareil. Utilisez le workbook pour voir un récapitulatif et identifier les effets sur une période donnée. Vous pouvez également vous en servir pour investiguer les connexions d’un utilisateur spécifique.
Le reste de cet article décrit nos recommandations pour configurer un monitoring et des alertes efficaces. Il est organisé par type de menace. Quand il existe des solutions prédéfinies, nous plaçons un lien vers celles-ci ou nous fournissons des exemples après le tableau. Dans le cas contraire, vous pouvez créer des alertes à l’aide des outils précédents.
Informations d’identification d’application
De nombreuses applications utilisent des informations d’identification pour s’authentifier dans Microsoft Entra ID. Toutes les autres informations d’identification ajoutées en dehors des processus attendus peuvent être celles d’un acteur malveillant utilisant ces informations d’identification. Nous vous recommandons d’utiliser des certificats X509 émis par des autorités de confiance ou des identités managées, plutôt que des secrets clients. Toutefois, si vous devez utiliser des secrets clients, suivez les bonnes pratiques pour sécuriser les applications. Remarque : Les mises à jour des applications et des principaux de service sont journalisées sous la forme de deux entrées dans le journal d’audit.
Effectuez un monitoring des applications pour identifier celles dont les délais d’expiration d’informations d’identification sont particulièrement longs.
Remplacez les informations d’identification de longue durée par des informations d’identification de courte durée. Vérifiez que les informations d’identification ne sont pas commitées dans les dépôts de code, et qu’elles sont stockées de manière sécurisée.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Ajout d’informations d’identification à des applications existantes | Élevé | Journaux d’audit Microsoft Entra | Répertoire Service-Core, Category-ApplicationManagement Activité : Mise à jour de la gestion des certificats d’application et des secrets -et- Activité : Mise à jour du principal de service ou de l’application |
Une alerte est émise quand les informations d’identification sont ajoutées en dehors des heures d’ouverture ou des workflows habituels, quand elles sont ajoutées avec des types non utilisés dans votre environnement, ou quand elles sont ajoutées à un principal de service qui ne prend pas en charge les flux SAML. Modèle Microsoft Sentinel Règles Sigma |
| Informations d’identification dont la durée de vie est supérieure à celle autorisée par vos stratégies. | Moyen | Microsoft Graph | État et date de fin des informations d’identification de la clé d’application -et- Informations d’identification de mot de passe d’application |
Vous pouvez utiliser l’API Microsoft Graph pour trouver les dates de début et de fin des informations d’identification, et évaluer les durées de vie qui dépassent les valeurs autorisées. Consultez le script PowerShell situé sous ce tableau. |
Les fonctionnalités prédéfinies de monitoring et d’alertes suivantes sont disponibles :
Microsoft Sentinel : alerte lors de l’ajout de nouvelles informations d’identification d’application ou de principal de service
Azure Monitor : classeur Microsoft Entra pour vous aider à évaluer le risque Solorigate – Microsoft Tech Community
Defender for Cloud Apps : guide d’investigation des alertes de détection d’anomalie de Defender for Cloud Apps
PowerShell : exemple de script PowerShell permettant de rechercher la durée de vie des informations d’identification.
Autorisations d’application
Tout comme les comptes Administrateur, les applications peuvent se voir attribuer des rôles privilégiés. Les applications peuvent se voir attribuer tout rôle Microsoft Entra (tels qu’Administrateur d’utilisateurs) ou des rôles Azure RBAC (comme Lecteur de facturation). Dans la mesure où elles peuvent s’exécuter sans qu’un utilisateur soit présent et en tant que service d’arrière-plan, effectuez une surveillance particulièrement rigoureuse des applications qui se voient octroyer des autorisations ou des rôles privilégiés.
Principal de service affecté à un rôle
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Application affectée au rôle Azure RBAC ou au rôle Microsoft Entra | Élevé à moyen | Journaux d’audit Microsoft Entra | Type : Principal de service Activité : « Ajouter un membre à un rôle » ou « Ajouter un membre éligible à un rôle » -ou- « Ajouter un membre inclus dans une étendue à un rôle ». |
Pour les rôles à privilèges élevés, le risque est élevé. Pour les rôles qui ont des privilèges moins élevés, le risque est moyen. Alertez chaque fois qu’une application est affectée à un rôle Azure ou à un rôle Microsoft Entra en dehors des procédures normales de gestion des modifications ou de configuration. Modèle Microsoft Sentinel Règles Sigma |
Applications recevant des autorisations avec privilèges élevés
Les applications doivent suivre le principe des privilèges minimum. Investiguez les autorisations des applications pour vérifier qu’elles sont nécessaires. Vous pouvez créer un rapport sur les consentements octroyés aux applications pour identifier ces dernières, et mettre en évidence les autorisations privilégiées.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Application se voyant accorder des autorisations à privilèges élevés, telles que des autorisations « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail. ) | Élevé | Journaux d’audit Microsoft Entra | « Ajouter une attribution de rôle d’application à un principal de service » -où- Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph) -et- AppRole.Value identifie une autorisation d’application à privilèges élevés (rôle d’application). |
Applications se voyant accorder des autorisations générales comme « .All » (Directory.ReadWrite.All) ou des autorisations étendues (Mail. ) Modèle Microsoft Sentinel Règles Sigma |
| Administrateur accordant des autorisations d’application (rôles d’application) ou des autorisations déléguées à privilèges élevés | Élevé | Portail Microsoft 365 | « Ajouter une attribution de rôle d’application à un principal de service » -où- Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph) « Ajout de l’octroi de permissions déléguées » -où- Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph) -et- DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés. |
Alerte lorsqu’un administrateur donne son consentement à une application. Recherchez en particulier les consentements accordés en dehors des activités et des procédures de modification habituelles. Modèle Microsoft Sentinel Modèle Microsoft Sentinel Modèle Microsoft Sentinel Règles Sigma |
| L’application se voit accorder des autorisations pour Microsoft Graph, Exchange, SharePoint ou Microsoft Entra ID. | Élevé | Journaux d’audit Microsoft Entra | « Ajout de l’octroi de permissions déléguées » -ou- « Ajouter une attribution de rôle d’application à un principal de service » -où- Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph, Exchange Online, etc.) |
Déclenchez une alerte comme à la ligne précédente. Modèle Microsoft Sentinel Règles Sigma |
| Des autorisations d’application (rôles d’application) sont accordées pour d’autres API. | Moyen | Journaux d’audit Microsoft Entra | « Ajouter une attribution de rôle d’application à un principal de service » -où- Target(s) identifie toute autre API. |
Déclenchez une alerte comme à la ligne précédente. Règles Sigma |
| Des autorisations déléguées à privilèges élevés sont accordées pour le compte de tous les utilisateurs | Élevé | Journaux d’audit Microsoft Entra | « Ajouter l’octroi d’autorisations déléguées », où Target(s) identifie une API avec des données sensibles (par exemple Microsoft Graph) DelegatedPermissionGrant.Scope comprend des autorisations à privilèges élevés. -et- DelegatedPermissionGrant.ConsentType est « AllPrincipals ». |
Déclenchez une alerte comme à la ligne précédente. Modèle Microsoft Sentinel Modèle Microsoft Sentinel Modèle Microsoft Sentinel Règles Sigma |
Pour plus d’informations sur la supervision des autorisations d’application, consultez ce tutoriel : Investiguer et corriger les applications OAuth à risque.
Azure Key Vault
Utilisez Azure Key Vault pour stocker les secrets de votre locataire. Nous vous recommandons de prêter attention aux changements apportés à la configuration et aux activités de Key Vault.
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Qui accède à vos coffres de clés, de quelle façon et à quel moment. | Moyen | Journaux Azure Key Vault | Type de ressource : coffres de clés | Recherchez les accès à Key Vault en dehors des processus et des heures standard ainsi que les changements apportés à la liste ACL de Key Vault. Modèle Microsoft Sentinel Règles Sigma |
Une fois que vous avez configuré Azure Key Vault, activez la journalisation. Découvrez quand et comment les utilisateurs accèdent à vos coffres de clés Key Vault, et comment configurer des alertes sur Key Vault pour notifier les listes de distribution ou les utilisateurs attribués par e-mail, par téléphone, par SMS ou à l’aide d’une notification Event Grid, si l’intégrité est impactée. De plus, la configuration du monitoring avec des insights Key Vault vous fournit une capture instantanée des requêtes, des performances, des échecs et de la latence de Key Vault. Log Analytics comprend également des exemples de requêtes pour Azure Key Vault auxquels vous pouvez accéder en sélectionnant votre coffre de clés, puis en sélectionnant « Journaux » sous « Supervision ».
Consentement de l’utilisateur
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Consentement de l’utilisateur pour une application | Faible | Journaux d’audit Microsoft Entra | Activité : Consentement accordé à une application / ConsentContext.IsAdminConsent = false | Recherchez les comptes très visibles ou dotés de privilèges élevés, les demandes d’autorisation à haut risque provenant des applications, les applications dont les noms sont suspects, par exemple les noms génériques, mal orthographiés, etc. Modèle Microsoft Sentinel Règles Sigma |
Le fait d’octroyer son consentement à une application n’est pas un acte malveillant. Toutefois, vous devez investiguer tous les nouveaux consentements d’utilisateur afin d’y rechercher d’éventuelles applications suspectes. Vous pouvez limiter les opérations de consentement de l’utilisateur.
Pour plus d’informations sur les opérations de consentement, reportez-vous aux ressources suivantes :
Consentement de l’utilisateur bloqué en raison d’un consentement risqué
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Consentement de l’utilisateur bloqué en raison d’un consentement risqué | Moyen | Journaux d’audit Microsoft Entra | Annuaire principal/ApplicationManagement/Consentement pour une application Raison de l’échec = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Supervisez et analysez chaque fois qu’un consentement est bloqué à cause des risques. Recherchez les comptes très visibles ou dotés de privilèges élevés, les demandes d’autorisation à haut risque provenant des applications, ou les applications dont les noms sont suspects, par exemple les noms génériques, mal orthographiés, etc. Modèle Microsoft Sentinel Règles Sigma |
Flux d’authentification des applications
Il existe plusieurs flux dans le protocole OAuth 2.0. Le flux recommandé pour une application dépend du type d’application généré. Dans certains cas, plusieurs flux sont disponibles pour l’application. Dans ce cas précis, certains flux d’authentification sont recommandés par rapport à d’autres. En particulier, évitez les informations d’identification de mot de passe du propriétaire de la ressource (ROPC), car elles obligent l’utilisateur à exposer ses informations d’identification de mot de passe actuelles à l’application. L’application utilise ensuite les informations d’identification pour authentifier l’utilisateur auprès du fournisseur d’identité. La plupart des applications doivent utiliser le flux de code d’authentification, ou le flux de code d’authentification avec PKCE (Proof Key for Code Exchange), car ce flux est recommandé.
Le seul scénario où ROPC est suggéré est celui du test automatisé d’applications. Pour plus d’informations, consultez Exécuter des tests d’intégration automatisés.
Le flux de code d’appareil est un autre flux de protocole OAuth 2.0 pour les appareils soumis à des contraintes d’entrée. Il n’est pas utilisé dans tous les environnements. Quand le flux de code d’appareil apparaît dans l’environnement, et qu’il n’est pas utilisé dans un scénario d’appareil soumis à des contraintes d’entrée. Une investigation plus approfondie est nécessaire pour une application mal configurée ou éventuellement quelque chose de malveillant. Le flux de code de l’appareil peut également être bloqué ou autorisé dans l’accès conditionnel. Consultez Flux d’authentification d’accès conditionnel pour plus d’informations.
Monitorez l’authentification des applications en utilisant les informations suivantes :
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Applications qui utilisent le flux d’authentification ROPC | Moyen | Journal de connexion Microsoft Entra | État = Réussite Protocole d’authentification-ROPC |
Un niveau de confiance élevé est placé dans cette application, car les informations d’identification peuvent être mises en cache ou stockées. Passez si possible à un flux d’authentification plus sécurisé. Cela doit être utilisé uniquement pour les tests automatisés des applications, le cas échéant. Pour en savoir plus, consultez Plateforme d’identités Microsoft et informations d’identification du mot de passe du propriétaire de la ressource OAuth 2.0. Règles Sigma |
| Applications utilisant le flux de code d’appareil | Faible à moyen | Journal de connexion Microsoft Entra | État = Réussite Protocole d’authentification-Code d’appareil |
Les flux de code d’appareil sont utilisés pour les appareils soumis à des contraintes d’entrée, qui n’existent pas forcément dans tous les environnements. Si des flux de code d’appareil réussis apparaissent sans nécessité particulière, investiguez leur validité. Pour plus d’informations, consultez Plateforme d’identités Microsoft et flux d’octroi d’autorisation d’appareil OAuth 2.0. Règles Sigma |
Modifications de la configuration de l’application
Effectuez un monitoring des changements apportés à la configuration de l’application. Plus précisément, surveillez les changements apportés à la configuration de l’URI (Uniform Resource Identifier), de la propriété et de l’URL de déconnexion.
Modification des URI non résolus et de redirection
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| URI non résolu | Élevé | Journaux Microsoft Entra et inscription d’application | Répertoire Service-Core, Category-ApplicationManagement Activité : Mise à jour de l’application Réussite : nom de propriété AppAddress |
Par exemple, recherchez les URI non résolus pointant vers un nom de domaine qui n’existe plus ou qui ne vous appartient pas explicitement. Modèle Microsoft Sentinel Règles Sigma |
| Modification de la configuration des URI de redirection | Élevé | Journaux Microsoft Entra | Répertoire Service-Core, Category-ApplicationManagement Activité : Mise à jour de l’application Réussite : nom de propriété AppAddress |
Recherchez les URI qui n’utilisent pas HTTPS*, les URI avec des caractères génériques à la fin ou le domaine de l’URL, les URI qui ne sont pas uniques à l’application, les URI qui pointent vers un domaine que vous ne contrôlez pas. Modèle Microsoft Sentinel Règles Sigma |
Déclenchez une alerte quand ces changements sont détectés.
Ajout, modification ou suppression des URI AppID
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Modifications apportées à l’URI AppID | Élevé | Journaux Microsoft Entra | Répertoire Service-Core, Category-ApplicationManagement Activité : Mise à jour Application Activité : Mise à jour du principal de service |
Recherchez les modifications d’URI AppID, telles que l’ajout, la modification ou la suppression de l’URI. Modèle Microsoft Sentinel Règles Sigma |
Déclenchez une alerte quand ces changements sont détectés en dehors des procédures approuvées de gestion des changements.
Nouveau propriétaire
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Modifications apportées à la propriété des applications | Moyen | Journaux Microsoft Entra | Répertoire Service-Core, Category-ApplicationManagement Activité : Ajouter un propriétaire à une application |
Recherchez les ajouts d’utilisateurs en tant que propriétaires d’une application en dehors des activités habituelles de gestion des changements. Modèle Microsoft Sentinel Règles Sigma |
Modification ou suppression d’une URL de déconnexion
| Ce qu’il faut surveiller | Niveau de risque | Emplacement | Filtre/Sous-filtre | Remarque |
|---|---|---|---|---|
| Changements apportés à une URL de déconnexion | Faible | Journaux Microsoft Entra | Répertoire Service-Core, Category-ApplicationManagement Activité : Mise à jour de l’application -et- Activité : Mise à jour du principal de service |
Recherchez toute modification apportée à une URL de déconnexion. Les entrées vides ou les entrées correspondant à des emplacements inexistants empêchent un utilisateur de mettre fin à une session. Modèle Microsoft Sentinel Règles Sigma |
Ressources
Boîte à outils GitHub Microsoft Entra : https://github.com/microsoft/AzureADToolkit
Vue d’ensemble et conseils pour la sécurité Azure Key Vault : Vue d’ensemble de la sécurité Azure Key Vault
Informations et outils sur les risques Solorigate : Classeur Microsoft Entra pour vous aider à accéder aux risques Solorigate
Conseils pour la détection des attaques OAuth : Ajout inhabituel d’informations d’identification à une application OAuth
Informations de configuration de surveillance Microsoft Entra pour les SIEM : Outils partenaires avec intégration Azure Monitor
Étapes suivantes
Vue d’ensemble des opérations de sécurité Microsoft Entra
Opérations de sécurité pour les comptes d’utilisateur
Opérations de sécurité pour les comptes de consommateur
Opérations de sécurité pour les comptes privilégiés
Opérations de sécurité pour Privileged Identity Management