Le module Identité permet de surveiller les comportements suspects sur votre Active Directory (AD), il analyse les flux d'authentification et de connexion.
Autrement dit, le module analyse en profondeur les interactions dans l'Active Directory : qui se connecte à quoi, à quelle fréquence, quels objets interagissent entre eux, à quels moments ?
1. Paramétrage et résultats
Pour fonctionner correctement :
-
L’EDR doit être installé sur le contrôleur de domaine
-
Un outil de patch management (comme Intune) est recommandé
-
✅ Aucune action requise de votre part : Stoïk configure tout depuis le portail CrowdStrike
Les résultats sont visibles directement dans Stoïk Protect, onglet “End-Points” > “Identités”.
2. Etendue du module Identity Threat Protection
- ITP peut également être déployé sur EntraID pour analyser les flux d'authentification et de connexion sur cette partie Cloud.
Cf. Article Comment déployer l'option ITP avec Entra ID ? - Le module ITP de CrowdStrike analyse par défaut l'ensembles des comptes de l'Active Directory. Il n'est pas possible d'en exclure une partie.
👉 Limiter l’analyse à certains comptes fausserait les résultats et réduirait drastiquement la capacité de détection des attaques latentes.
💡 Recevoir une alerte sur un compte sans privilèges est une opportunité précieuse : cela permet d’identifier les premiers signes d’intrusion dans le système.
⚠️ À l’inverse, si l’alerte concerne un compte à privilèges élevés (tier 0), il est souvent déjà trop tard : la compromission est avancée et les dégâts potentiellement graves.