Prozkoumání možností Copilotu v Microsoft Entra

  • 30 min

V tomto cvičení prozkoumáte více reálných scénářů, které zvýrazňují výhody a hodnotu Copilotu v Microsoft Entra.

Poznámka:

Prostředí pro toto cvičení je simulace generovaná z produktu. Jako omezenou simulaci nemusí být odkazy na stránce povoleny a textové vstupy, které spadají mimo zadaný skript, nemusí být podporovány. Zobrazí se automaticky otevíraná zpráva s informací, že tato funkce není v rámci simulace dostupná. Pokud k tomu dojde, vyberte OK a pokračujte v krocích cvičení.

Snímek obrazovky s automaticky otevíranou obrazovkou označující, že tato funkce není v simulaci dostupná

Cvičení

Toto cvičení se skládá ze čtyř nezávislých úkolů, které v Microsoft Entra prozkoumávají možnosti Security Copilot.

Dokončení tohoto cvičení by mělo trvat přibližně 30 minut.

Poznámka:

Když cvičení volá otevření odkazu na simulované prostředí, doporučuje se otevřít odkaz v novém okně prohlížeče, abyste mohli zobrazit pokyny a prostředí cvičení současně. Uděláte to tak, že vyberete správnou klávesu myši a vyberete možnost.

Úkol: Výzkum a náprava rizikových uživatelů pomocí Copilotu v Microsoft Entra

Jste správce identity ve společnosti Woodgrove. Domníváte se, že ve společnosti jsou někteří uživatelé, kteří mohou být napadeni útoky phishing. Chcete použít Copilot v Microsoft Entra ke kontrole všech rizikových uživatelů. Pokud nějaké najdete, můžete pomocí Copilotu problém napravit a zabránit budoucím výskytům. Primárním uživatelem, kterého máte podezření na napadení, je Serena Markunaite.

  1. Otevřete simulované prostředí výběrem tohoto odkazu: Centrum pro správu Microsoft Entra.

  2. V nabídce vlevo se posuňte dolů a otevřete nabídku Ochrana .

  3. V podnabídce vyberte Službu Identity Protection .

    • Chceme použít řídicí panel k zobrazení grafu Počet vysoce rizikových uživatelů. Všimněte si, že se zjistilo více než 100 rizikových aktivit uživatelů.
    • Za pár minut se k této zprávě vrátíme.

  4. Pojďme prozkoumat potenciální rizikové uživatele.

  5. V pravém horním rohu obrazovky vyberte tlačítko Copilot .

  6. Chvíli si projděte ukázkové výzvy, které jsou k dispozici ve Copilotu.

  7. Zadejte výzvu Ukaž mi mé nejrizikovější uživatele a vyberte šipku.

    • Všimněte si, že uživatel, o který jsme se báli (Serena), je v seznamu.

  8. Podívejte se do dolní části odpovědi Copilot na odkaz na výkaz Rizikoví uživatelé.

  9. Vyberte odkaz Sestava rizikových uživatelů v nástroji Entra ID Protection.

  10. Ze seznamu Rizikových uživatelů vyberte Serena Markunaite .

    • Tím se otevře automaticky vygenerovaný uživatelský souhrn rizik nástroje Copilot. Teď vidíte konkrétní důvod, proč je Serena ohrožená.
    • Všimněte si také doporučení k tomu, co dělat .

  11. Musíme se trochu hlouběji podívat a zjistit, jestli můžeme sledovat toto rizikové chování uživatelů. Provedli aktivity mimo jejich normální využití?

  12. V dialogovém okně Copilot zadejte výzvu Ukaž mi přihlášení pro Serenu den před a po upozornění.

    • Všimněte si neúspěšného pokusu o přihlášení uživatele a potom několik okamžitých úspěšných pokusů z alternativní IP adresy. Vypadá to jako podezřelé chování.
    • Resetování hesla nebo vícefaktorového ověřování nemusí stačit, pokud se útočník přihlásil k systému. Pojďme se podívat, jestli se v nedávné době v nastavení vícefaktorového ověřování provedly nějaké změny.

  13. Zadejte výzvu Copilot , jaké metody vícefaktorového ověřování jsou pro tohoto uživatele k dispozici?.

    • Všimněte si, že standard společnosti pro dvoufaktorové ověřování (MFA) zahrnující heslo a autentizátor je stále v platnosti.

  14. Prozkoumali jsme problém a shromáždili jsme potřebné informace. Teď je čas naplánovat řešení útoků typu man-in-the-middle.

  15. Požádejte copilot o doporučení s výzvou Co mám udělat ke zmírnění hrozby útoku typu man-in-the-middle?

  16. Posuňte se v okně copilotu nahoru a zkontrolujte celou odpověď.

    • Odpověď Copilotu zahrnuje způsoby nápravy aktuálních problémů. Všechny tyto položky jsou skvělé k zastavení aktuálního potenciálního porušení zabezpečení, ale nezastaví budoucí pokusy. Co můžeme udělat?
    • Připomenutí – V údajích o rizikovém uživateli jsme uvedli doporučení, co dělat k zabezpečení před budoucími útoky.

  17. Existuje návrh na použití zásad podmíněného přístupu k ochraně tohoto uživatele. Další informace najdete pomocí Copilotu.

  18. Zadejte výzvu Lze použít zásady podmíněného přístupu založené na riziku k automatizaci reakcí na tyto detekce?

    • Mějte na paměti, že můžete použít zásady podmíněného přístupu. Stejné jako u předchozích doporučení, která jsme získali.

  19. Požádejte Copilot, aby vám poskytl podrobné pokyny k nastavení s výzvou Jak vytvořit zásady podmíněného přístupu na základě rizik přihlašování pro tohoto uživatele?

    • Projděte si uvedené kroky.

    Poznámka:

    Vygenerované pokyny jsou určené pro jedinou uživatelskou politiku. Microsoft nedoporučuje, abyste pro každého uživatele vytvořili zásady, ale abyste je vytvořili pomocí skupin zabezpečení, které vám pomůžou s údržbou.

  20. Zavřete simulované prostředí ukončením prohlížeče.

Kontrola: Dokončili jste tuto simulaci testovacího prostředí. Vzpomeňte si, jak jste mohli rychle použít Copilot k získání seznamu rizikových uživatelů, prozkoumání aktivit založených na identitě, kontrola, jestli se účet objevil ohrožený, a najít cestu nápravy. Copilot Embedded pro Microsoft Entra je výkonný nástroj, který podporuje úlohy správy identit a přístupu.

Úloha: Řešení potíží s přístupem pomocí Security Copilot v Microsoft Entra

Jste správce identity ve společnosti Woodgrove. Jste členem helpdesku a byli požádáni, abyste se podívali na lístek problémů, který odeslal vzdálený zaměstnanec, který často pracuje na zabezpečených místech zákazníků. Zaměstnanci hlásí, že se nemůžou ověřit při práci ze zabezpečeného umístění zákazníka, které neumožňuje uživatelům přinést žádná externí zařízení včetně mobilních zařízení a přenosných počítačů. Jako správce identity víte, že proces ověřování je nastavený tak, aby vždy používal vícefaktorové ověřování založené na telefonu, ale chcete prozkoumat pokusy o přihlášení uživatele. Copilot může pomoct prozkoumat a zjistit, jak rychle vyřešit výzvu přihlášení uživatele. Uživatel je Khamala Ervello.

  1. Otevřete simulované prostředí výběrem tohoto odkazu: Centrum pro správu Microsoft Entra.

  2. Vyberte tlačítko Security Copilot v pravém horním rohu obrazovky.

  3. Zadejte výzvu Řekněte mi více o kher40@woodgrove.ms, abyste získali podrobnosti o Khamale.

    • Všimněte si podrobností, že Khamala je platným uživatelem a měl by mít přístup.

  4. Potřebujeme prozkoumat neúspěšný pokus o přihlášení. Pomocí výzvy Zobrazit poslední kher40@woodgrove.ms neúspěšné přihlášení získáte přehled o chybách přihlášení.

    • Všimněte si, že k přesnému selhání, které uživatel popsal, došlo k vypršení časového limitu vícefaktorového ověřování.
    • Můžeme zkontrolovat, jestli nedošlo k nějaké jiné podezřelé aktivitě?

  5. Zadejte výzvu v okně Security Copilot Bylo nějaké neobvyklé nebo rizikové chování pro kher40@woodgrove.ms pokus o přihlášení?.

    • U tohoto uživatele se nezobrazuje žádné rizikové ani neobvyklé chování.
    • Můžeme jim pomoct přihlásit se, aby mohli pracovat?

  6. Zkontrolujte, jaké metody vícefaktorového ověřování jsou k dispozici na webu Woodgrove s výzvou , které metody ověřování se považují za MFA?.

    • Všimněte si seznamu dostupných metod vícefaktorového ověřování a uvedených odkazů na výzkum jejich hodnoty a síly.

  7. Klíč FIDO2 je nejbezpečnější možností bez nutnosti ověření telefonu. Můžeme zjistit, jestli je Khamala zaregistrovaná pro FIDO2?

  8. Zeptejte se Copilota pomocí výzvy Je kher40@woodgrove.ms registrován pro FIDO2 autentizaci?.

    • Uživatel není nastavený pro FIDO2, můžeme ho nastavit pro bez hesla?

  9. Zeptejte se copilotu, jak to nastavit s výzvou Jak se mám pustit do kher40@woodgrove.ms nastavení ověřování bez hesla?

  10. Projděte si krok, který poskytuje služba Security Copilot a pomozte Khamala nastavit přihlašování bez hesla, takže tento problém se vyřeší.

  11. Jakmile si projdete kroky s Khamala, můžete poslat e-mail s kopií pokynů.

  12. Zavřete simulované prostředí ukončením prohlížeče.

Recenze: Security Copilot in Microsoft Entra je váš společník na helpdesku. S několika jednoduchými výzvami můžete potvrdit roli uživatele ve společnosti, zjistit, že jeho účet nezobrazuje rizikové aktivity, a pomoct jim vyřešit problémy s přihlášením.

Úkol: Náprava problémů se zabezpečením aplikace pomocí Security Copilot v Microsoft Entra

Jste správce identity ve společnosti Woodgrove. Vaše společnost v průběhu let používala mnoho podnikových aplikací a některé už se nepoužívají. Vaším úkolem je sledovat nepoužívané aplikace v tenantovi Microsoft Entra a odebrat je. V rámci práce byste měli zjistit, jestli jsou k aplikacím nebo jejich datům přidružené nějaké podezřelé aktivity. Copilot zabezpečení v Microsoft Entra může pomoci.

  1. Otevřete simulované prostředí výběrem tohoto odkazu: Centrum pro správu Microsoft Entra.

  2. Zkontrolujte data uvedená na řídicím panelu Microsoft Entra.

  3. Najděte sekci vašeho skóre zabezpečení identity.

    • Všimněte si, že existují doporučení, jak můžete tenanta ještě více zabezpečit.
    • Všimněte si, že jedna z položek je Odebraná nepoužitá aplikace.

  4. Vyberte tlačítko Security Copilot v pravém horním rohu obrazovky.

  5. Pomocí výzvy Zobrazit nepoužívané aplikace vyhledejte všechny nepoužívané aplikace.

    • Zkontrolujte seznam aplikací.

  6. Bylo by skvělé vědět, kdo tyto aplikace vlastní.

  7. Zadejte výzvu Kdo jsou vlastníci služebních principálů přidružených k těmto aplikacím? pro nalezení vlastníků.

    • Všimněte si, že mnoho z nich nemá vlastníky.

  8. Pojďme se zeptat copilotu, jak odebrat aplikace s výzvou Jak je odeberu?.

  9. Projděte si kroky uvedené k ručnímu odebrání aplikace pomocí Centra pro správu Microsoft Entra nebo zobrazení skriptů PowerShellu.

    Poznámka:

    I když tato simulace tyto kroky aktivně nepoužívá k odebrání aplikace, uvidíte, jak vám může funkce Security Copilot rychle pomoct odebrat nepoužívané aplikace.

  10. Posuňte se v okně Copilotu nahoru a zobrazte seznam aplikací, které byly původně k dispozici.

  11. Vyhledejte aplikaci s názvem Woodgrove Intranet a poznamenejte si jméno vlastníka: Braden Goudy (Corp).

  12. Prozatím zavřete okno Security Copilot.

  13. V nabídce na levé straně obrazovky vyberte nabídku Oblíbené .

    • Oblíbené položky jsou skvělým místem pro ukládání nejčastěji používaných nástrojů.

  14. V seznamu oblíbených položek vyberte Rizikové aktivity .

    • Případně můžete otevřít nabídku Ochrana a pak v nabídce vybrat Rizikové aktivity .

  15. Najděte bradenovo jméno v seznamu a všimněte si, že je ohrožen.

  16. Vyberte jeho jméno pro otevření souhrnu rizikového chování v nástroji Security Copilot.

    • V jejich historii je několik neznámých pokusů o přihlášení.

  17. Projděte si návrhy, jak zmírnit všechna rizika, která uživatel představuje.

  18. Zavřete simulované prostředí ukončením prohlížeče.

Recenze: V této simulaci jste použili nástroj Security Copilot, který vám pomůže rychle identifikovat nepoužívané aplikace a jejich vlastníky. Mohli jste najít podrobné pokyny k jejich odebrání ze systému. Navíc jste si všimli, že ze tří aplikací s vlastníkem ta, jejíž vlastník je uveden jako Braden Goudy (Corp), neměla přidružené ID uživatele. Pomocí těchto informací jste mohli zkontrolovat využití vlastníka aplikace a najít potenciální rizikové chování.

Úkol: Zkoumání Security Copilot v Microsoft Entra

Jste správce identity ve společnosti Woodgrove. Byli jste upozorněni, že uživatel Rovshan Hasanli může mít nějaké podivné chování při připojování k webu Woodgrove. K prozkoumání aktivit chcete použít protokoly auditu.

  1. Otevřete simulované prostředí výběrem tohoto odkazu: Centrum pro správu Microsoft Entra.

  2. V pravém horním rohu obrazovky vyberte tlačítko Security Copilot.

  3. Začněme jednoduchou výzvou, jako je Řekněte mi o uživateli Rovshan Hasanli? Všimněte si, že v odpovědi výzvy je pole Povolení účtu nastavené na hodnotu 'nepravdivé', takže účet je zakázaný.

  4. Potřebujeme zjistit informace o uživateli z protokolů auditu. Další informace najdete pomocí výzvy Zobrazit události protokolu auditu Microsoft Entra iniciované tímto uživatelem v posledním týdnu .

    • Zkontrolujte informace o přiřazené roli správce uživatelů v PIM.
    • Všimněte si, že Security Copilot si vzpomněl, že jsme se už ptali na Rovshana a udržel tento kontext. Název můžete zadat také v příkazovém řádku.
    • Bez funkce Security Copilot by bylo nutné protokoly otevřít a ručně vyhledat položky.

  5. Pojďme zkontrolovat přihlášení uživatele pomocí výzvy Zobrazit přihlášení od daného uživatele?.

    • Je neobvyklé, že uživatel, jehož účet je zakázaný, se mohl přihlásit a používat PIM.

  6. Posuňte se v okně Security Copilot nahoru a najděte odkaz profil Rovshana Hasanliho z prvního dotazu, který jsme v Security Copilot provedli.

  7. Vyberte odkaz profil uživatele Rovshan Hasanli.

    • Případně můžete přejít na stránku Všichni uživatelé tak, že přejdete do nabídky na levé straně a vyberete Možnost Identita, Pak Uživatelé a Pak Všichni uživatelé.
    • Vyberte pole Hledat pro uživatele a zadejte Rovshan.
    • Vyberte účet Rovshan Hasanli .

  8. Zajímavé, můžeme vidět, že účet je zakázaný ve stavu účtu.

  9. Vraťte se do oken Security Copilota a přejděte k odkazu na stránku Protokoly auditu.

  10. Vyberte odkaz na stránku Protokoly auditu.

    • Alternativně můžete přejít na stránku z nabídky na levé straně tak, že přejdete na Položku Identita, Pak Monitorování a Stav a pak Protokoly přihlášení.

  11. Po otevření stránky vyberte tlačítko Přidat filtry .

  12. Ze ztracených filtrů zvolte Inicializováno podle (actor) a zadejte Rovshan, pak vyberte Použít.

    • Rovshan provádí několik aktivit PIM.

  13. Opět se vraťte do okna Security Copilot a najděte odkaz na stránku událostí přihlášení.

  14. Vyberte odkaz stránka událostí přihlášení.

    • Alternativně můžete přejít na stránku z nabídky na levé straně tak, že přejdete na Položku Identita, Pak Monitorování a Stav a pak Protokoly přihlášení.

  15. Po otevření stránky vyberte tlačítko Přidat filtry .

  16. Ze seznamu zvolte Uživatel a poté vyberte Použít.

  17. Do dialogového okna zadejte Rovshan .

    • Zkontrolujte seznam pokusů o přihlášení.

  18. Zavřete simulované prostředí ukončením prohlížeče.

Přehled: V této krátké simulaci uvidíte, jak dokáže Security Copilot v Microsoft Entra rychle sdílet informace o aktivitě konkrétního uživatele. Security Copilot pak obsahuje odkazy na místa, kde najdete další podrobnosti. Tato funkce umožňuje klást otázky týkající se dat Microsoft Entra, aniž byste museli hádat, kam dál.