Udforsk funktionerne i Copilot i Microsoft Entra

  • 30 minutter

I denne øvelse udforsker du flere scenarier i den virkelige verden, der fremhæver fordelene og værdien ved Copilot i Microsoft Entra.

Bemærk

Miljøet for denne øvelse er en simulering, der genereres fra produktet. Som en begrænset simulering er links på en side muligvis ikke aktiveret, og tekstbaserede input, der ligger uden for det angivne script, understøttes muligvis ikke. Der vises en pop op-meddelelse med teksten "Denne funktion er ikke tilgængelig i simuleringen". Når dette sker, skal du vælge OK og fortsætte øvelsestrinnene.

Skærmbillede af pop op-skærmen, der angiver, at denne funktion ikke er tilgængelig i simuleringen.

Øvelse

Denne øvelse består af fire uafhængige opgaver, der udforsker funktionerne i Security Copilot i Microsoft Entra.

Denne øvelse bør tage ca. 30 minutter at fuldføre.

Bemærk

Når en laboratorieinstruktion opfordrer til at åbne et link til det simulerede miljø, anbefales det, at du åbner linket i et nyt browservindue, så du samtidig kan få vist instruktionerne og træningsmiljøet. Det gør du ved at vælge den højre musetast og vælge indstillingen.

Opgave: Forskning i og afhjælpning af risikode brugere med Copilot i Microsoft Entra

Du er identitetsadministrator med Woodgrove. Du mener, at der er nogle brugere i virksomheden, der kan være kompromitteret af phishing-angreb. Du vil bruge Copilot i Microsoft Entra til at gennemse alle risikoede brugere. Hvis du finder nogen, kan du bruge Copilot til at hjælpe dig med at løse problemet og forhindre fremtidige forekomster. Den primære bruger, du mistænker for at være kompromitteret, er Serena Markunaite.

  1. Åbn det simulerede miljø ved at vælge dette link: Microsoft Entra Administration.

  2. Rul ned i menuen til venstre, og åbn menuen Beskyttelse .

  3. Vælg Identitetsbeskyttelse i undermenuen.

    • Vi vil bruge dashboardet til at se på diagrammet Antal brugere med høj risiko. Bemærk, at der er registreret mere end 100 risikable brugeraktiviteter.
    • Vi vender tilbage til rapporten om et par minutter.

  4. Lad os undersøge potentielle risikoafhængige brugere.

  5. Vælg knappen Copilot øverst til højre på skærmen.

  6. Brug et øjeblik på at gennemse de eksempelprompter, der er angivet i Copilot.

  7. Angiv prompten Vis mig mine mest risikable brugere , og vælg pilen.

    • Bemærk, at den bruger, vi var bekymret for (Serena), er på listen.

  8. Se nederst i Copilot-svaret for at få et link til rapporten Over risikoberedskabsbrugere.

  9. Vælg linket Risky Users-rapport i Entra ID Protection.

  10. Vælg Serena Markunaite på listen over risikofyldte brugere.

    • Dette åbner en autogenereret copilot-oversigt over brugerrisiko. Du kan nu se en bestemt årsag til, at Serena er udsat for en forhøjet risiko.
    • Bemærk også Hvad du skal gøre-anbefalinger .

  11. Vi er nødt til at grave lidt dybere og se, om vi kan spore denne risikable brugeradfærd. Har de udført aktiviteter uden for deres normale brug?

  12. I dialogboksen Copilot skal du angive prompten Vis mig logon for Serena en dag før og efter beskeden.

    • Bemærk det mislykkede brugerlogonforsøg og derefter nogle øjeblikkelige vellykkede forsøg fra en alternativ IP-adresse. Det ligner mistænkelig adfærd.
    • Bare nulstilling af en adgangskode eller MFA er muligvis ikke nok, hvis en hacker har logget på systemet. Lad os kontrollere, om der er foretaget ændringer af MFA-indstillingerne for nylig.

  13. Angiv Copilot-prompten Hvilke MFA-metoder er tilgængelige for denne bruger?.

    • Bemærk, at firmaets MFA-standard for Password plus Authenticator stadig er angivet.

  14. Vi har undersøgt problemet og indsamlet de nødvendige oplysninger. Nu er tiden kommet til at planlægge afhjælpning af angreb i midten.

  15. Spørg copiloten om anbefalinger med prompten Hvad skal jeg gøre for at afhjælpe denne trussel, der er i midten?.

  16. Rul op i copilotvinduet for at gennemse hele svaret.

    • Copilot-svar omfatter måder at afhjælpe de aktuelle problemer på. Alle disse elementer er gode til at stoppe nuværende potentielle brud, men stopper ikke fremtidige forsøg. Hvad kan vi gøre?
    • Påmindelse – I de risikable brugeroplysninger er angivet Hvad du skal gøre anbefalinger til at sikre for fremtidige angreb.

  17. Der er et forslag om at bruge politikker for betinget adgang til at beskytte denne bruger. Brug Copilot til at få mere at vide.

  18. Angiv prompten Kan jeg bruge risikobaseret politik for betinget adgang til at automatisere svar på disse registreringer?

    • Bemærk, at du kan bruge politikker for betinget adgang. Det samme som de tidligere anbefalinger, vi fik.

  19. Bed Copilot om at give dig trinvise instruktioner til at konfigurere dette med prompten Hvordan ville jeg oprette en politik for logonrisikobaseret betinget adgang for denne bruger?.

    • Gennemse de angivne trin.

    Bemærk

    De genererede instruktioner gælder for en enkelt brugerpolitik. Microsoft anbefaler ikke, at du opretter en politik for hver bruger, men at oprette dem ved hjælp af sikkerhedsgrupper for at hjælpe med vedligeholdelse.

  20. Luk det simulerede miljø ved at afslutte browseren.

Anmeldelse: Du har fuldført denne laboratoriesimulering. Husk, hvordan du hurtigt kunne bruge Copilot til at få en liste over risikode brugere, undersøge deres identitetsbaserede aktiviteter, kontrollere, om kontoen blev kompromitteret, og finde en afhjælpningssti. Copilot embedded til Microsoft Entra er et værktøj til at understøtte din identitet og få adgang til administrative opgaver.

Opgave: Brug af Security Copilot i Microsoft Entra til fejlfinding af adgang

Du er identitetsadministrator med Woodgrove. Du er medlem af helpdesk og er blevet bedt om at undersøge en problembillet, der blev sendt af en ekstern medarbejder, som ofte arbejder på sikre kundeplaceringer. Medarbejderen rapporterer, at de ikke kan godkende, når de arbejder fra en kundes sikre placering, som ikke giver brugerne mulighed for at medbringe eksterne enheder, herunder mobilenheder og bærbare computere. Som identitetsadministrator ved du, at godkendelsesprocessen er konfigureret til altid at bruge telefonbaseret MFA, men du vil undersøge brugerens logonforsøg. Copilot kan hjælpe med at undersøge og undersøge, hvordan du hurtigt kan løse brugerlogon-udfordringen. Brugeren er Khamala Ervello.

  1. Åbn det simulerede miljø ved at vælge dette link: Microsoft Entra Administration.

  2. Vælg knappen Security Copilot øverst til højre på skærmen.

  3. Angiv prompten Fortæl mig mere om kher40@woodgrove.ms at få oplysninger om Khamala.

    • Bemærk detaljerne om, at Khamala er en gyldig bruger og bør have adgang.

  4. Vi er nødt til at undersøge det mislykkede forsøg på at logge på. Brug prompten Vis mig kher40@woodgrove.ms det seneste mislykkede logon for at få vist en logonfejl.

    • Bemærk, at den nøjagtige fejl, som den beskrevne bruger beskrev, skete, MFA-timeout.
    • Kan vi kontrollere, om der er andre mistænkelige aktiviteter?

  5. Angiv prompten i Security Copilot Var der usædvanlige eller risikable funktionsmåder for kher40@woodgrove.ms logonforsøg?.

    • Vi kan ikke se nogen risikabel eller usædvanlig funktionsmåde for denne bruger.
    • Kan vi hjælpe dem med at blive logget på, så de kan arbejde?

  6. Kontrollér, hvilke MFA-metoder der er tilgængelige på Woodgrove med prompten Hvilke godkendelsesmetoder betragtes som MFA?.

    • Bemærk listen over tilgængelige MFA-metoder og de angivne links til forskning deres værdi og styrke.

  7. FIDO2-adgangsnøgle er den mest sikre mulighed uden behov for telefonbekræftelse. Kan vi kontrollere, om Khamala er registreret til FIDO2?

  8. Kontakt Copilot ved hjælp af prompten Er kher40@woodgrove.ms registreret til FIDO2-godkendelse? .

    • Brugeren er ikke konfigureret til FIDO2. Kan vi få dem konfigureret til adgangskodeløs?

  9. Spørg copilot hvordan du konfigurerer dette med prompten Hvordan ville jeg gå om at få kher40@woodgrove.ms konfigureret til adgangskodeløs godkendelse?.

  10. Gennemse trinnet fra Security Copilot for at hjælpe Khamala med at konfigurere adgangskodeløs logon, så dette problem er løst.

  11. Når du har gennemgået trinnene med Khamala, kan du sende en mail med en kopi af instruktionerne.

  12. Luk det simulerede miljø ved at afslutte browseren.

Anmeldelse: Security Copilot i Microsoft Entra er din ledsager på helpdesk. Med nogle få enkle prompts kan du bekræfte en brugers rolle i virksomheden, undersøge, at vedkommendes konto ikke viser risikable aktiviteter, og hjælpe dem med at løse logonproblemer.

Opgave: Afhjælpning af sikkerhedsproblemer for apps med Security Copilot i Microsoft Entra

Du er identitetsadministrator med Woodgrove. Din virksomhed har i årenes løb brugt mange virksomhedsprogrammer, og nogle bruges ikke længere. Dit job er at spore ubrugt program i din Microsoft Entra-lejer og fjerne dem. Du bør undersøge, om der er nogen mistænkelig aktivitet knyttet til appsene eller deres data som en del af arbejdet. Security Copilot i Microsoft Entra kan hjælpe.

  1. Åbn det simulerede miljø ved at vælge dette link: Microsoft Entra Administration.

  2. Gennemse de data, der er angivet på Microsoft Entra-dashboardet.

  3. Find afsnittet om din secure Score for identitet.

    • Bemærk, at der er anbefalinger til, hvordan du kan gøre din lejer endnu mere sikker.
    • Bemærk, at et af elementerne er "Fjernet ubrugt program".

  4. Vælg knappen Security Copilot øverst til højre på skærmen.

  5. Brug prompten Vis ubrugte programmer til at finde ubrugte programmer.

    • Gennemse listen over apps.

  6. Det ville være dejligt at vide, hvem der ejer disse apps.

  7. Angiv prompten Hvem er ejerne af de tjenesteprincipaler, der er knyttet til disse apps? for at finde ejerne.

    • Bemærk, at mange af dem ikke har ejere.

  8. Lad os spørge copilot om, hvordan du fjerner appsene med prompten Hvordan fjerner jeg disse?.

  9. Gennemse de trin, der er angivet for at fjerne programmet manuelt ved hjælp af Microsoft Entra Administration, eller få vist PowerShell-scripts.

    Bemærk

    Selvom denne simulering ikke aktivt bruger disse trin til at fjerne programmet, kan du se, hvordan Security Copilot hurtigt kan hjælpe dig med at fjerne ubrugte programmer.

  10. Rul op i vinduet Copilot for at se listen over de apps, der oprindeligt blev leveret.

  11. Find programmet med navnet Woodgrove Intranet, og notér ejerens navn: Braden Goudy (Corp).

  12. Luk vinduet Security Copilot indtil videre.

  13. Vælg menuen Favoritter i menuen i venstre side af skærmen.

    • Favoritter er et godt sted at gemme dine mest anvendte værktøjer.

  14. Vælg Risikable aktiviteter på listen over favoritter.

    • Du kan også åbne menuen Beskyttelse og derefter vælge Risikable aktiviteter i menuen.

  15. Find Bradens navn på listen, og læg mærke til, at han er i fare.

  16. Vælg hans navn for at åbne en Security Copilot-oversigt over den risikable funktionsmåde.

    • Der er flere ukendte logonforsøg i deres historie.

  17. Gennemse forslagene til, hvordan du afhjælper eventuelle risici, som brugeren udgør.

  18. Luk det simulerede miljø ved at afslutte browseren.

Anmeldelse: I denne simulering brugte du Security Copilot til hurtigt at identificere ubrugte programmer og deres ejere. Du kunne finde den trinvise vejledning til at fjerne dem fra dit system. Derudover har du bemærket, at af de tre programmer med en ejer havde den, hvis ejer er angivet som Braden Goudy (Corp), ikke et tilknyttet bruger-id. Med disse oplysninger kunne du gennemse programejerens brug og finde en potentiel risikabel funktionsmåde.

Opgave: Udforskning af sikkerheds-copilot i Microsoft Entra

Du er identitetsadministrator med Woodgrove. Du er blevet underrettet om, at brugeren Rovshan Hasanli kan have nogle mærkelige adfærd, når der oprettes forbindelse til Woodgrove site. Du vil bruge overvågningslogfilerne til at undersøge aktiviteterne.

  1. Åbn det simulerede miljø ved at vælge dette link: Microsoft Entra Administration.

  2. I øverste højre side af skærmen skal du vælge knappen Security Copilot.

  3. Lad os starte med en simpel prompt som Fortæl mig om brugeren Rovshan Hasanli?. Bemærk, at promptsvaret viser, at feltet Konto aktiveret er angivet til falsk, så kontoen er deaktiveret.

  4. Vi skal finde oplysninger om brugeren fra overvågningslogfilerne. Brug prompten Vis microsoft Entra-overvågningsloghændelser, der blev startet af den pågældende bruger i den sidste uge , for at finde flere oplysninger.

    • Gennemse oplysningerne om den brugeradministratorrolle, der tildeles i PIM.
    • Bemærk, at Security Copilot huskede, at vi spurgte om Rovshan allerede, og holdt denne kontekst. Du kunne også have angivet navnet i prompten.
    • Uden Security Copilot skulle åbne loggene og manuelt søge efter poster.

  5. Lad os kontrollere brugerens logon med prompten Vis mig logon fra den pågældende bruger?.

    • Det er usædvanligt, at en bruger, hvis konto er deaktiveret, har kunnet logge på og bruge PIM.

  6. Rul op i vinduet Security Copilot for at finde linket Rovshan Hasanli's Profil fra den første forespørgsel, vi foretog i Security Copilot.

  7. Vælg linket Rovshan Hasanli's Profil.

    • Du kan også navigere til siden Alle brugere ved at gå til menuen til venstre og vælge Identitet, derefter Brugere og derefter Alle brugere.
    • Vælg feltet Søg efter brugere, og angiv Rovshan.
    • Vælg Rovshan Hasanli-kontoen .

  8. Det er interessant, at vi kan se, at kontoen er deaktiveret i statussen Konto.

  9. Gå tilbage til vinduerne Security Copilot , og rul til linket Overvågningslogge.

  10. Vælg linket Overvågningslogge.

    • Du kan også navigere til siden fra menuen til venstre ved at gå til Identitet, derefter Overvågning og tilstand og derefter logge på Logon.

  11. Når siden åbnes, skal du vælge knappen Tilføj filtre .

  12. Vælg Initieret af (agent) fra de mistede filtre, og angiv Rovshan, og vælg derefter Anvend.

    • Der er flere PIM-aktiviteter, der udføres af Rovshan.

  13. Gå igen tilbage til vinduet Security Copilot , og find linket Siden Logonhændelser.

  14. Vælg linket Siden Logonhændelser.

    • Du kan også navigere til siden fra menuen til venstre ved at gå til Identitet, derefter Overvågning og tilstand og derefter logge på Logon.

  15. Når siden åbnes, skal du vælge knappen Tilføj filtre .

  16. Vælg Bruger på listen, og vælg derefter Anvend.

  17. Angiv Rovshan i dialogboksen.

    • Gennemse listen over logonforsøg.

  18. Luk det simulerede miljø ved at afslutte browseren.

Anmeldelse: I denne korte simulering kan du se, hvordan Security Copilot i Microsoft Entra hurtigt kan dele oplysninger om en bestemt brugers aktivitet. Derefter indeholder Security Copilot links til, hvor du kan finde flere oplysninger for at få flere oplysninger. Med denne funktion kan du stille spørgsmål om Microsoft Entra-data uden at skulle gætte, hvor du skal gå hen.