Pour rappel, Azure Active Directory est le service de Microsoft qui gère les annuaires et les identités basées sur le cloud mutualisé. Ce programme inclut une suite complète de fonctionnalités telles que l’authentification multifacteur, l’administration des mots de passe et l'inscription d’appareils. Il intègre également une fonctionnalité pour gérer des comptes privilégiés, le contrôle d’accès selon le rôle, la surveillance de l’utilisation de l’application, la création d’audit complet, la sécurité, les alertes, etc.
« Ensemble, ces changements ont amélioré de plus de 100% notre capacité à détecter les signatures d’inscription compromises », a déclaré Alex Simons, vice-président d’entreprise, Division des identités Microsoft.
« Nous avons également réduit notre taux de faux positifs de 30%, ce qui signifie une expérience de connexion plus transparente pour les utilisateurs légitimes et moins d'enquêtes pour votre personnel des opérations de sécurité ».
Les propriétés de connexion inconnues de Azure AD Identity Protection, disponibles pour les clients disposant d’un abonnement Azure AD Premium P2, sont des algorithmes conçus pour détecter en temps réel si une action de connexion donnée utilise des propriétés non vues récemment par l'utilisateur qui tente de se connecter.
Les nouvelles propriétés de connexion inconnues améliorées entraînent trois niveaux de risque, du risque nul au risque élevé, chacun d'entre eux étant associé à la probabilité que l'authentification analysée soit compromise sur la base d'un score de risque.
Ce score de risque « représente la probabilité que la connexion soit compromise en fonction du comportement de connexion passé de l'utilisateur » et est généré en fonction de l'analyse de plusieurs propriétés, notamment « les identifiants de périphérique, l’adresse IP, l’emplacement, les adresses IP d'entreprise des clients hébergés, les opérateurs IP et les sessions de navigateur disponibles ».
« Nous nous adaptons en permanence pour en ajouter de nouvelles ! L'une des nouvelles fonctionnalités, l'ID de client de messagerie Exchange Active Sync (EAS), nous permet de réduire considérablement les faux positifs lorsque les utilisateurs sont en itinérance sur des réseaux mobiles », a expliqué Maria Puertas Calvo, Microsoft lead data scientist.
Les faux positifs déclenchés par les versions précédentes de l'algorithme ont été réduits par l'ajout d'un composant qui examine également les adresses IP d'entreprise des utilisateurs, une approche qui réduit considérablement les erreurs de détection de connexion compromises.
Les quatre catégories de risques en temps réel d’attribution d’une connexion sont les suivantes:
- Risque élevé : il est très probable que la connexion soit compromise.
- Risque moyen : il y a une chance raisonnable que la connexion soit compromise.
- Risque faible : il y a un faible risque que la connexion soit compromise.
- Aucun risque détecté : la probabilité que la connexion soit compromise est négligeable.
La version améliorée d'Identity Protection est disponible et peut aider les administrateurs informatiques à hiérarchiser les sondes de connexion à risque avec l'aide des niveaux de risque en temps réel récemment ajoutés.
Cette version actualisée d'Identity Protection regroupe également de nouvelles détections basées sur l'analyse des comportements des utilisateurs et des entités (UEBA) pour les niveaux de risque moyen et élevé, ainsi que la prise en charge des niveaux à faible risque.
« Pour tirer pleinement parti de cette détection, ainsi que d'autres, assurez-vous de configurer des stratégies d'accès conditionnel qui permettent de limiter automatiquement les risques dans votre organisation », a noté Puertas Calvo. « Par exemple, vous pouvez configurer une stratégie pour exiger une authentification multifacteurs lors de connexions à risque moyen et une autre pour bloquer les connexions à risque élevé ».
Source : Microsoft