Zkoumání incidentů zabezpečení pomocí nástroje Microsoft Copilot for Security

Microsoft Copilot for Security získává přehledy z dat Microsoft Entra prostřednictvím mnoha různých dovedností, jako je získání rizikových uživatelů Entra a získání protokolů auditu. Správci IT a analytici soc (Security Operations Center) můžou tyto dovednosti a další využít k získání správného kontextu, který pomáhá vyšetřovat a opravovat incidenty založené na identitách pomocí výzev přirozeného jazyka.

Tento článek popisuje, jak může analytik SOC nebo správce IT využít dovednosti Microsoft Entra k prošetření potenciálního incidentu zabezpečení.

Scénář

Natasha, analytik centra zabezpečení (SOC) ve společnosti Woodgrove Bank, obdrží výstrahu o potenciálním incidentu zabezpečení založeném na identitě. Výstraha indikuje podezřelou aktivitu z uživatelského účtu, který byl označen jako rizikový uživatel.

Prošetření

Natasha zahájí vyšetřování a přihlásí se ke službě Microsoft Copilot for Security. Aby bylo možné zobrazit uživatele, skupinu, rizikového uživatele, protokoly přihlášení, protokoly auditu a podrobnosti diagnostických protokolů, přihlásí se alespoň jako čtenář zabezpečení.

Získání podrobností o uživateli

Natasha začíná vyhledáním podrobností o příznaku uživatele: karita@woodgrovebank.com. Zkontroluje profilové informace uživatele, jako je pracovní pozice, oddělení, manažer a kontaktní údaje. Také kontroluje přiřazené role, aplikace a licence uživatele, aby porozuměla tomu, k jakým aplikacím a službám má uživatel přístup.

K získání informací, které potřebuje, používá následující výzvy:

• Zadejte všechny podrobnosti o uživateli a karita@woodgrovebank.com extrahujte ID objektu uživatele.
• Je účet tohoto uživatele povolený?
• Kdy bylo heslo naposledy změněno nebo resetovat?karita@woodgrovebank.com
• Máte karita@woodgrovebank.com v Microsoft Entra zaregistrovaná zařízení?
• Jaké jsou metody ověřování, pro karita@woodgrovebank.com které jsou zaregistrované, pokud existují?

Získání rizikových podrobností o uživateli

Abyste pochopili, proč karita@woodgrovebank.com byl označen příznakem rizikového uživatele, Natasha začne sledovat podrobnosti o rizikovém uživateli. Zkontroluje úroveň rizika uživatele (nízká, střední, vysoká nebo skrytá), podrobnosti o riziku (například přihlášení z neznámého umístění) a historii rizik (změny úrovně rizika v průběhu času). Také kontroluje detekce rizik a nedávné rizikové přihlašování, hledá podezřelou přihlašovací aktivitu nebo nemožné cestovní aktivity.

K získání informací, které potřebuje, používá následující výzvy:

• Jaká je úroveň rizika, stav a podrobnosti o karita@woodgrovebank.comriziku?
• Jaká je historie karita@woodgrovebank.comrizik?
• Uveďte seznam nedávných rizikových přihlášení pro karita@woodgrovebank.com.
• Uveďte podrobnosti o detekcích rizik pro karita@woodgrovebank.com.

Získání podrobností protokolů přihlašování

Natasha pak zkontroluje protokoly přihlášení pro uživatele a stav přihlášení (úspěch nebo selhání), umístění (město, stát, země), IP adresu, informace o zařízení (ID zařízení, operační systém, prohlížeč) a úroveň rizika přihlášení. Také zkontroluje ID korelace pro každou událost přihlášení, kterou je možné použít k dalšímu šetření.

K získání informací, které potřebuje, používá následující výzvy:

• Můžete mi dát protokoly přihlášení za karita@woodgrovebank.com posledních 48 hodin? Vložte tyto informace do formátu tabulky.
• Ukažte mi neúspěšná přihlášení za karita@woodgrovebank.com posledních 7 dnů a řekněte mi, co jsou IP adresy.

Získání podrobností protokolů auditu

Natasha kontroluje protokoly auditu a hledá neobvyklé nebo neoprávněné akce prováděné uživatelem. Kontroluje datum a čas každé akce, stav (úspěch nebo selhání), cílový objekt (například soubor, uživatel, skupina) a IP adresu klienta. Také zkontroluje ID korelace pro každou akci, kterou je možné použít k dalšímu šetření.

K získání informací, které potřebuje, používá následující výzvy:

• Získejte protokoly auditu Microsoft Entra po karita@woodgrovebank.com dobu posledních 72 hodin. Vložte informace do formátu tabulky.
• Zobrazit protokoly auditu pro tento typ události

Získání podrobností o skupině

Natasha pak zkontroluje skupiny, které jsou součástí, abyste zjistili, karita@woodgrovebank.com jestli je Karita členem jakékoli neobvyklé nebo citlivé skupiny. Zkontroluje členství ve skupinách a oprávnění přidružená k ID uživatele Karita. Zkontroluje typ skupiny (zabezpečení, distribuci nebo Office 365), typ členství (přiřazený nebo dynamický) a vlastníky skupiny v podrobnostech skupiny. Také zkontroluje role skupiny a určí, jaká oprávnění má ke správě prostředků.

K získání informací, které potřebuje, používá následující výzvy:

• Získejte skupiny uživatelů Microsoft Entra, které karita@woodgrovebank.com jsou členy. Vložte informace do formátu tabulky.
• Řekněte mi víc o skupině Finanční oddělení.
• Kdo jsou vlastníci skupiny Finanční oddělení?
• Jaké role má tato skupina?

Získání podrobností o diagnostických protokolech

Nakonec Natasha zkontroluje diagnostické protokoly, abyste získali podrobnější informace o operacích systému v době podezřelých aktivit. Vyfiltruje protokoly podle ID uživatele Johna a časů neobvyklého přihlášení.

K získání informací, které potřebuje, používá následující výzvy:

• Jaká je konfigurace diagnostického protokolu pro tenanta, ve které je karita@woodgrovebank.com zaregistrovaný?
• Které protokoly se shromažďují v tomto tenantovi?

Opravit

Pomocí Copilotu pro zabezpečení dokáže Natasha shromáždit komplexní informace o uživatelích, aktivitách přihlašování, protokolech auditu, detekcích rizikových uživatelů, členství ve skupinách a diagnostice systému. Po dokončení vyšetřování musí Natasha provést opatření k nápravě rizikového uživatele nebo je odblokovat.

Přečte si informace o nápravě rizik, odblokování uživatelů a playbookech odpovědí, aby určila možné akce, které se mají provést dále.

Další kroky

Přečtěte si další informace:

• Rizikoví uživatelé
• Co je riziko ve službě ID Protection?
• Zásady přístupu na základě rizik