Le module Identité permet de surveiller les comportements suspects sur votre Active Directory (AD). Le module analyse en profondeur les interactions dans l’AD : qui se connecte à quoi, à quelle fréquence, quels objets interagissent entre eux, à quels moments ?
1. Paramétrage et résultats
Pour fonctionner correctement :
-
L’EDR doit être installé sur le contrôleur de domaine
-
Un outil de patch management (comme Intune) est recommandé
-
✅ Aucune action requise de votre part : Stoïk configure tout depuis le portail CrowdStrike
Les résultats sont visibles directement dans Stoïk Protect, onglet “End-Points” > “Identités”.
2. Etendue du module Identity Threat Protection
Le module ITP de CrowdStrike analyse par défaut l'ensembles des comptes de l'Active Directory. Il n'est pas possible d'en exclure une partie.
👉 A ce stade, c’est une limitation technique imposée par le module CrowdStrike.
👉 Toutefois, limiter l’analyse à certains comptes fausserait les résultats et réduirait drastiquement la capacité de détection des attaques latentes.
💡 Recevoir une alerte sur un compte sans privilèges est une opportunité précieuse : cela permet d’identifier les premiers signes d’intrusion dans le système.
⚠️ À l’inverse, si l’alerte concerne un compte à privilèges élevés (tier 0), il est souvent déjà trop tard : la compromission est avancée et les dégâts potentiellement graves.