IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft augmente de 100% la détection de comptes compromis dans Azure AD
Grâce à Unfamiliar Sign-in Properties

Le , par Stéphane le calme

95PARTAGES

4  0 
Microsoft a annoncé que la précision de ses algorithmes de détection Azure Active Directory Identity Protection avait été augmentée de 100%, tandis que le taux de faux positifs avait été réduit d'environ 30%.

Pour rappel, Azure Active Directory est le service de Microsoft qui gère les annuaires et les identités basées sur le cloud mutualisé. Ce programme inclut une suite complète de fonctionnalités telles que l’authentification multifacteur, l’administration des mots de passe et l'inscription d’appareils. Il intègre également une fonctionnalité pour gérer des comptes privilégiés, le contrôle d’accès selon le rôle, la surveillance de l’utilisation de l’application, la création d’audit complet, la sécurité, les alertes, etc.

« Ensemble, ces changements ont amélioré de plus de 100% notre capacité à détecter les signatures d’inscription compromises », a déclaré Alex Simons, vice-président d’entreprise, Division des identités Microsoft.

« Nous avons également réduit notre taux de faux positifs de 30%, ce qui signifie une expérience de connexion plus transparente pour les utilisateurs légitimes et moins d'enquêtes pour votre personnel des opérations de sécurité ».

Les propriétés de connexion inconnues de Azure AD Identity Protection, disponibles pour les clients disposant d’un abonnement Azure AD Premium P2, sont des algorithmes conçus pour détecter en temps réel si une action de connexion donnée utilise des propriétés non vues récemment par l'utilisateur qui tente de se connecter.


Les nouvelles propriétés de connexion inconnues améliorées entraînent trois niveaux de risque, du risque nul au risque élevé, chacun d'entre eux étant associé à la probabilité que l'authentification analysée soit compromise sur la base d'un score de risque.

Ce score de risque « représente la probabilité que la connexion soit compromise en fonction du comportement de connexion passé de l'utilisateur » et est généré en fonction de l'analyse de plusieurs propriétés, notamment « les identifiants de périphérique, l’adresse IP, l’emplacement, les adresses IP d'entreprise des clients hébergés, les opérateurs IP et les sessions de navigateur disponibles ».

« Nous nous adaptons en permanence pour en ajouter de nouvelles ! L'une des nouvelles fonctionnalités, l'ID de client de messagerie Exchange Active Sync (EAS), nous permet de réduire considérablement les faux positifs lorsque les utilisateurs sont en itinérance sur des réseaux mobiles », a expliqué Maria Puertas Calvo, Microsoft lead data scientist.

Les faux positifs déclenchés par les versions précédentes de l'algorithme ont été réduits par l'ajout d'un composant qui examine également les adresses IP d'entreprise des utilisateurs, une approche qui réduit considérablement les erreurs de détection de connexion compromises.

Les quatre catégories de risques en temps réel d’attribution d’une connexion sont les suivantes:
  • Risque élevé : il est très probable que la connexion soit compromise.
  • Risque moyen : il y a une chance raisonnable que la connexion soit compromise.
  • Risque faible : il y a un faible risque que la connexion soit compromise.
  • Aucun risque détecté : la probabilité que la connexion soit compromise est négligeable.

La version améliorée d'Identity Protection est disponible et peut aider les administrateurs informatiques à hiérarchiser les sondes de connexion à risque avec l'aide des niveaux de risque en temps réel récemment ajoutés.

Cette version actualisée d'Identity Protection regroupe également de nouvelles détections basées sur l'analyse des comportements des utilisateurs et des entités (UEBA) pour les niveaux de risque moyen et élevé, ainsi que la prise en charge des niveaux à faible risque.

« Pour tirer pleinement parti de cette détection, ainsi que d'autres, assurez-vous de configurer des stratégies d'accès conditionnel qui permettent de limiter automatiquement les risques dans votre organisation », a noté Puertas Calvo. « Par exemple, vous pouvez configurer une stratégie pour exiger une authentification multifacteurs lors de connexions à risque moyen et une autre pour bloquer les connexions à risque élevé ».

Source : Microsoft

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Neckara
Inactif https://www.developpez.com
Le 02/08/2019 à 16:13
Ouais, enfin une augmentation de 100% et une diminution de 30% ne veulent strictement rien dire.

+100% de 0% ça fait 0%, et +100% de 50%, ça fait 100%, i.e. une différence de 0 à 50 points d'augmentation en fonction du taux de base.
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 02/08/2019 à 18:23
Citation Envoyé par walfrat Voir le message
Donc même si tu pars d'un quasiment 100% en faux positif a 70%, c'est un gros progrès.
Et de fait ce n'est pas une passoire puisqu'on parle de faux positifs.
En effet, ils parlent de faux positifs de leur système de détection d'anomalie, et non de leur système d'authentification.

Mea culpa.
1  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 02/08/2019 à 17:25
Je te rejoins sur le +100% mais pas sur le -30%.

Que le taux de faux positif soit de 50% ou 10% de base, -30%, ça reste un beau progrès, réussir à améliorer la détection et réduire le taux de faux positif, c'est quand même une bonne performance.
0  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 02/08/2019 à 17:37
Citation Envoyé par walfrat Voir le message
Je te rejoins sur le +100% mais pas sur le -30%.
-30% de 100%, c'est 70%, ce qui est une vraie passoire.
-30% de 1%, c'est 0,66%, et il devient de plus en plus dur de gagner en performances.

Améliorer les performances c'est très facile. Sur une chose sur laquelle je travaille, je passe de 45% d'accuracy à 5% (ce qui est encore assez élevé).
En même temps quand on part d'un très mauvais système... c'est facile d'améliorer.

Si je n'ai pas les performances de bases, ainsi que les modalités utilisée... je ne peux que très difficilement me faire un avis.
0  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 02/08/2019 à 17:59
Le -30% est sur le nombre de faux positif.

Donc même si tu pars d'un quasiment 100% en faux positif a 70%, c'est un gros progrès.
Et de fait ce n'est pas une passoire puisqu'on parle de faux positifs.

En plus si tu combine les résultats ça donne :
  • Sur une base de "sur 100 comptes dont 10 compromis j'en détecte 1 et en remonte 10 faux positifs => je passe a 2 de détecté et 7 faux positifs. Ca fait plus que 3 fois plus de faux positifs au lieu de 10 fois, c'est un gros progrès


Ca aurait été sympa cependant d'avoir les chiffres brutes, mais comme d'habitude on préfère choisir celui qu'on préfère. D'ailleurs il manque le ratio positif vs faux positifs.
0  0