Verständnis der Systemzustandsüberwachung mit Microsoft Security Copilot

Microsoft Security Copilot optimiert die Betriebsüberwachung in Microsoft Entra, indem Administratoren schnell Anmeldeaktivitäten analysieren, Überwachungsprotokolle untersuchen, Systemintegrität überwachen und die Dienstleistung mithilfe von Abfragen in natürlicher Sprache nachverfolgen können. Diese Funktion trägt dazu bei, das Betriebsbewusstsein aufrechtzuerhalten und Probleme schnell zu identifizieren und darauf zu reagieren, bevor sie sich auf Ihre Organisation auswirken.

In diesem Artikel wird beschrieben, wie ein IT-Administrator microsoft Security Copilot Monitoring and Operations Skills verwenden kann, um eine Betriebsintegritätsprüfung ihrer Microsoft Entra-Umgebung durchzuführen, indem die folgenden Anwendungsfälle behandelt werden:

• Analysieren von Anmeldeaktivitäten
• Untersuchen Sie Auditprotokolle auf administrative und Benutzeränderungen
• Analysieren von Bereitstellungsaktivitäten
• Verbessern des Sicherheitsstatus durch Empfehlungen
• Überwachen der Systemintegrität und proaktive Adressierung von Warnungen
• Verfolgen der Leistung der Service-Level-Vereinbarung (SLA)

Verwenden Sie die Eingabeaufforderungen und Beispiele in diesem Artikel, um Ihre Ergebnisse in umsetzbare Erkenntnisse und Berichte für operative Überprüfungen und Die Reaktion auf Vorfälle durch Ihr Team oder Ihr Management zu kompilieren.

Voraussetzungen

Die folgenden Rollen und Lizenzen sind für verschiedene Überwachungs- und Betriebsanwendungsfälle erforderlich:

Anwendungsfall	Rolle	Lizenz	Tenant
Anmeldeprotokolle	Berichtsleser, Sicherheitsleseberechtigter, Sicherheitsadministrator oder globaler Reader	Microsoft Entra ID P1- oder P2-Lizenz	Jeder öffentlicher Cloud-Mandant mit Zugangsdaten
Überwachungsprotokolle	Berichtsleser, Sicherheitsleseberechtigter, Sicherheitsadministrator oder globaler Administrator	Kostenlose Lizenz erforderlich	Jeder öffentliche Cloudmandant mit Überwachungsaktivität
Bereitstellungsprotokolle	Berichtsleser, globaler Reader oder Anwendungsbesitzer	Kostenlos für 7 Tage, dann Microsoft Entra ID P1 danach	Jeder Mandant, der den Microsoft Entra-Bereitstellungsdienst verwendet
Empfehlungen	Anwendungsadministrator, Identitätsgovernance-Administrator, Administrator für privilegierte Rollen, Administrator für bedingten Zugriff, Sicherheitsadministrator, Hybrididentitätsadministrator, Authentifizierungsrichtlinienadministrator, Authentifizierungsadministrator	Kostenlose Microsoft Entra-ID oder P1/P2	Jeder Mandant, auch in der Workload-ID verfügbar
Warnungen zur Integritätsüberwachung	Berichtsleser, Helpdesk-Administrator, Sicherheitsleseberechtigter, Sicherheitsoperator, Sicherheitsadministrator oder globaler Reader	Microsoft Entra ID P2-Lizenzen	Öffentliches Cloud-Kundenkonto
Vereinbarung zum Servicelevel	Berichtsleser	Jede Microsoft Entra ID-Lizenz	Jeder Mandant

Security Copilot in Microsoft Entra starten

1. Melden Sie sich bei Microsoft Entra Admin Center mit den entsprechenden administrativen Rollen für Ihr Szenario an, basierend auf den jeweiligen Anwendungsfällen.

2. Starten Sie Security Copilot über die Schaltfläche "Copilot " im Microsoft Entra Admin Center.

   

3. In den folgenden Anwendungsfällen finden Sie Anweisungen zum Abrufen von Informationen oder Zum Ausführen von Aktionen mithilfe von Abfragen in natürlicher Sprache.

Hinweis

Wenn eine Aktion durch unzureichende Berechtigungen blockiert wird, wird eine empfohlene Rolle angezeigt. Sie können die folgende Eingabeaufforderung im Security Copilot-Chat verwenden, um die erforderliche Rolle zu aktivieren. Dies hängt davon ab, dass eine berechtigte Rollenzuweisung vorhanden ist, die den erforderlichen Zugriff ermöglicht.

• Aktivieren Sie die {erforderliche Rolle}, damit ich {die gewünschte Aufgabe ausführen kann.

Analysieren von Anmeldeaktivitäten

Sie können Ihre Bewertung beginnen, indem Sie Anmeldeaktivitäten in Ihrer Organisation analysieren. Das Verständnis von Authentifizierungsmustern und das Identifizieren potenzieller Probleme ist entscheidend für die Aufrechterhaltung der Sicherheit und benutzererfahrung in Ihrer Organisation.

Anwendungs- und Authentifizierungsanalyse

Untersuchen Sie zunächst Anmeldemuster im Zusammenhang mit bestimmten Anwendungen und Authentifizierungsmethoden, um sicherzustellen, dass Sicherheitsrichtlinien befolgt werden, und um Anomalien oder Probleme zu identifizieren. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Anzeigen von Anmeldungen für eine bestimmte Anwendung.
• Anmeldungen ohne mehrstufige Authentifizierung anzeigen.
• Anzeigen von Anmeldefehlern aufgrund einer bestimmten Richtlinie für bedingten Zugriff.
• Anzeigen von Anmeldungen mit nicht zufriedenen Richtlinien für bedingten Zugriff.

Geräte- und Standortanalyse

Sie können Anmeldeaktivitäten basierend auf Gerätecompliance, Betriebssystemen, Browsern und geografischen Standorten weiter analysieren, um auf ungewöhnliche Muster oder potenzielle Sicherheitsbedrohungen zu überwachen und sicherzustellen, dass Unternehmensgeräte angemessen verwendet werden. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Anzeigen von Anmeldungen von nicht kompatiblen Geräten.
• Anzeigen von Anmeldungen aus bestimmten Webbrowsern.
• Anmeldeinformationen von bestimmten Betriebssystemen anzeigen.
• Anzeigen von Anmeldungen aus bestimmten Standorten.

Benutzeraktivität und Sicherheitsüberwachung

Sie können einzelne Benutzeraktivitäten verbessern, um verdächtiges Verhalten zu überwachen, oder riskante Anmeldungen, die auf kompromittierte Konten oder Sicherheitsbedrohungen hinweisen können, die sofortige Aufmerksamkeit erfordern. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Anzeigen von Anmeldeaktivitäten seit einem bestimmten Zeitraum.
• Anzeigen der Anmeldeaktivität für den Benutzer Casey Jensen.
• Verdächtige Anmeldeaktivitäten anzeigen.
• Anzeigen riskanter Anmeldungen.

Untersuchen der Überwachungsprotokolle für Änderungen auf Administratorebene und Änderungen durch Benutzer

Untersuchen Sie als Nächstes Überwachungsprotokolle, um Von Administratoren und Benutzern in Ihrer Microsoft Entra-Umgebung vorgenommene Änderungen nachzuverfolgen. Diese Analyse hilft dabei, potenzielle Sicherheitsprobleme zu identifizieren, compliance zu gewährleisten und eine ordnungsgemäße Governance der administrativen Aktivitäten sicherzustellen. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen zu sammeln:

Gruppenverwaltungsaktivitäten

Sie können Ihre Untersuchung fortsetzen, indem Sie sich auf Gruppenverwaltungsaktivitäten konzentrieren, die für die Aufrechterhaltung der richtigen Zugriffskontrollen wichtig sind und sicherstellen, dass gruppenbezogene Änderungen zu Sicherheits- und Compliancezwecken nachverfolgt werden. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Zuletzt gelöschte Gruppen anzeigen.
• Welche Gruppen wurden kürzlich gelöscht?
• Zuletzt gelöschte Gruppen in meinem Verzeichnis?
• Wer hat diese Gruppe erstellt?
• Erfahren Sie, wer eine bestimmte Gruppe erstellt hat.
• Details zur Gruppenerstellung.
• Welche Gruppen wurden von diesen Benutzern erstellt?
• Anzeigen von Gruppen, die von bestimmten Benutzern erstellt wurden.
• Listet alle Gruppen auf, die vom Benutzer Casey Jensen erstellt wurden.

Sicherheits- und Authentifizierungsaktivitäten

Um potenzielle Sicherheitsprobleme zu identifizieren, konzentrieren Sie sich auf Sicherheits- und Authentifizierungsaktivitäten in den Überwachungsprotokollen. Dadurch wird sichergestellt, dass Sicherheitsrichtlinien befolgt werden und verdächtige Aktivitäten umgehend untersucht werden. Sie können auch Dienstprinzipalaktivitäten untersuchen, um sicherzustellen, dass diese kritischen Vorgänge ordnungsgemäß funktionieren. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Zeig mir riskante Login-Versuche.
• Auflisten verdächtiger Anmeldungen.
• Gibt es riskante Authentifizierungen?
• Aufträge für diesen Dienstprinzipal auflisten.

Analysieren von Bereitstellungsaktivitäten

Nachdem Sie Überwachungsprotokolle untersucht haben, können Sie sich speziell auf die Bereitstellungsaktivitäten in Ihrer Microsoft Entra-Umgebung konzentrieren. Bereitstellungsprotokolle bieten wertvolle Einblicke in Lebenszyklusvorgänge von Benutzerkonten, wodurch Administratoren sicherstellen können, dass Benutzer erstellt, aktualisiert und gelöscht werden, wie sie für verbundene Anwendungen und Systeme vorgesehen sind. Diese Analyse ist entscheidend für die Aufrechterhaltung der Integrität Ihrer Identitätsinfrastruktur und die Gewährleistung reibungsloser Benutzerverwaltungsprozesse.

Überwachung der Benutzerbereitstellung

Überwachen Sie zunächst einzelne Benutzerbereitstellungsaktivitäten, um Kontolebenszyklusereignisse nachzuverfolgen und sicherzustellen, dass Bereitstellungsvorgänge für bestimmte Benutzer ordnungsgemäß funktionieren. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Bereitstellungsprotokolle für diesen Benutzer anzeigen.
• Den Bereitstellungsverlauf für den Benutzer abrufen.
• Benutzerbereitstellungsaktivitäten anzeigen.
• Letzte Bereitstellungsereignisse für diesen Benutzer anzeigen.

Analyse von Bereitstellungsfehlern

Wenn Bereitstellungsprobleme auftreten, ist es wichtig, sie schnell zu identifizieren und zu beheben, um Probleme mit dem Benutzerzugriff zu verhindern. Konzentrieren Sie sich auf Bereitstellungsfehler, um zu verstehen, was schief gegangen ist, und ergreifen Sie Korrekturmaßnahmen. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Bereitstellungsfehler anzeigen.
• Listet alle fehlgeschlagenen Bereitstellungsversuche auf.
• Zeigen Sie die Bereitstellungsfehlerprotokolle an.

Bereitstellen der Erfolgsnachverfolgung

Überwachen Sie erfolgreiche Bereitstellungsvorgänge, um sicherzustellen, dass Ihr Bereitstellungsdienst optimal funktioniert und abgeschlossene Lebenszyklusereignisse nachverfolgt. Dadurch wird sichergestellt, dass beabsichtigte Änderungen ordnungsgemäß angewendet werden. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Zeigen Sie die erfolgreichen Bereitstellungslöschungen an.
• Wurden Benutzer erfolgreich vom Bereitstellungsdienst gelöscht?
• Anzeigen einer erfolgreichen Bereitstellung deaktiviert.
• Wurden Benutzer vom Bereitstellungsdienst erfolgreich deaktiviert?
• Erfolgreiche Bereitstellungs-Erstellungen anzeigen.
• Erfolgreiche Objekterstellung auflisten.

Statusüberwachung des Bereitstellungsauftrags

Sie können auch den Status und die Leistung Ihrer Bereitstellungsaufträge überwachen, um sicherzustellen, dass sie ordnungsgemäß ausgeführt werden, und alle Probleme identifizieren, die möglicherweise Aufmerksamkeit erfordern. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Überprüfen sie den Status des Bereitstellungsauftrags.
• Ist mein Bereitstellungsauftrag abgeschlossen?
• Anzeigen von Bereitstellungsaufträgen für diesen Dienstprinzipal.

Verbessern des Sicherheitsstatus durch Empfehlungen

Um einen umfassenden Überblick über Ihren Sicherheitsstatus zu erhalten, können Sie Microsoft Entra-Empfehlungen nutzen, die ihnen dabei helfen können, Verbesserungsbereiche zu identifizieren und umsetzbare Einblicke zu bieten, um die Sicherheit und Compliance Ihrer Organisation mit bewährten Methoden zu verbessern.

Allgemeine Empfehlungen und Sicherheitsbewertung

Beginnen Sie mit allgemeinen Empfehlungen und Sicherheitsbewertungsanalysen, um einen Überblick über den Sicherheitsstatus Ihres Mandanten zu erhalten. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen zu sammeln:

• Alle Entra-Empfehlungen auflisten.
• Zeigen Sie die historischen Secure Score-Daten meines Mandanten an.
• Zeigen Sie die Entra-Empfehlung "Beispiel" und deren Details an.
• Zeigen Sie die von einer Entra-Empfehlung betroffenen Ressourcen an.
• Ressource "example" der Entra-Empfehlung "example" anzeigen.
• Listet Empfehlungen für die Sicherheitsbewertung auf.
• Empfehlungen für bewährte Methoden auflisten.

Gezielte Empfehlungen nach Kategorie

Sobald Sie eine allgemeine Übersicht haben, können Sie sich auf bestimmte Kategorien von Empfehlungen konzentrieren, um bestimmte Themenbereiche zu behandeln, z. B. Richtlinien für bedingten Zugriff, Anwendungssicherheit und Mandantenkonfiguration. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Listet Empfehlungen für Richtlinien für bedingten Zugriff auf.
• Anzeigen von Entra-Empfehlungen für einen bestimmten Featurebereich.
• Empfehlungen mit hoher Priorität auflisten.
• Listet Empfehlungen mit hoher Priorität auf.
• Listet empfehlungen auf, die aktiv sind.
• Listet Empfehlungen auf, um den App-Portfoliostatus zu verbessern.
• Listet Empfehlungen auf, um das Oberflächenbereichsrisiko zu reduzieren.
• Listet Empfehlungen auf, um den Sicherheitsstatus meiner Apps zu verbessern.
• Listet Empfehlungen für die Mandantenkonfiguration auf.
• Anzeigen von Entra-Empfehlungen nach Auswirkungstyp.

Verwaltung von Anwendungszugangsdaten

Sie können sich auch auf die Verwaltung von Anwendungsanmeldeinformationen konzentrieren, um sicherzustellen, dass Ihre Anwendungen sicher sind und dass Anmeldeinformationen ordnungsgemäß verwaltet werden, um nicht autorisierten Zugriff zu verhindern. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Welche Unternehmensanwendungen haben Zugangsdaten, die bald ablaufen?
• Zeige mir Diensteprincipals mit Anmeldeinformationen, die bald ablaufen.
• Anwendungen mit Anmeldeinformationen anzeigen, die bald ablaufen.
• Welche unserer Apps sind überholt oder werden in der Umgebung nicht verwendet?
• Listet die nicht verwendeten Apps auf.

Überwachen der Systemgesundheit

Sie können Ihre Bewertung fortsetzen, indem Sie die Systemintegrität überwachen, um Anomalien zu erkennen und potenzielle Probleme proaktiv zu beheben, bevor sie sich auf Ihre Organisation auswirken. Proaktive Gesundheitsüberwachung kann dazu beitragen, Dienstunterbrechungen zu verhindern und die Systemzuverlässigkeit aufrechtzuerhalten.

Gesundheitswarnungsüberwachung

Für eine allgemeine Übersicht über den Zustand Ihres Systems können Sie damit beginnen, Gesundheitswarnungen zu überwachen. Auf diese Weise können Sie über alle Probleme informiert bleiben, die Aufmerksamkeit erfordern können, und sicherstellen, dass Ihre Systeme optimal funktionieren. Verwenden Sie die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:

• Welche Gesundheitswarnungen habe ich in meinem Mandanten?
• Alle aktiven Warnungen zur Gesundheitsüberwachung auflisten.
• Was sind meine jüngsten Benachrichtigungen zur Gesundheitsüberwachung?
• Welche Benutzer sind von den aktiven Warnhinweisen zur Zustandsüberwachung betroffen?
• Anzeigen von Warnungsdetails zur Integritätsüberwachung für warnungs-ID [alertId].

Szenariospezifische Gesundheitsüberwachung

Sobald Sie eine allgemeine Übersicht haben, können Sie sich auf bestimmte Gesundheitsüberwachungsszenarien konzentrieren, um bestimmte Problembereiche zu beheben, z. B. Probleme mit der mehrstufigen Authentifizierung (Multifactor Authentication, MFA) oder Gerätekompatibilität. Verwenden Sie die folgenden Eingabeaufforderungen oder für Ihr Szenario spezifischen Anweisungen, um die benötigten Informationen zu erhalten:

• Warnungen zur Integritätsüberwachung im Zusammenhang mit MFA-Anmeldefehlern anzeigen.
• Zeige mir Warnungen zur Überwachung des Gerätezustands von verwalteten Geräten.
• Zeige mir Benachrichtigungen zur konformen Geräteintegritätsüberwachung an.
• Zeigen Sie mir Warnungen zur Gesundheitsüberwachung des Geräteszenarios an.

Überwachen der Leistung des Service-Level-Vertrags

Schließlich können Sie ihre SLA-Leistung (Service Level Agreement) bewerten, um sicherzustellen, dass Ihre Organisation ihre Verpflichtungen erfüllt und alle Verbesserungsbereiche identifiziert. Überwachen Sie SLA für die Authentifizierungsverfügbarkeit und überprüfen Sie SLA-Berichte in Verbindung mit Dienstausfällen, um die Dienstqualität und die Berechtigung für Dienstguthaben sicherzustellen.

SLA-Leistungsüberwachung

Verwenden Sie die folgenden Eingabeaufforderungen, um die SLA-Leistung zu überwachen und potenzielle Probleme zu identifizieren, die möglicherweise Aufmerksamkeit erfordern:

• Was ist mein SLA für die Microsoft Entra-Authentifizierung?
• Was ist mein Microsoft Entra SLA?
• Was ist die SLA der Microsoft Entra-Authentifizierung?
• Zeig mir die Authentifizierungsverfügbarkeit meines Mieters an.
• Hat mein Mandant in den letzten "X"-Monaten eine SLA-Verletzung gehabt?

Verwandte Inhalte

• Weitere Informationen zur Microsoft Entra Health Monitoring
• Weitere Informationen zur Überprüfung von Warnmeldungen der Gesundheitsüberwachung von Microsoft Entra
• Weitere Informationen zur SLA-Leistung für Microsoft Entra-ID
• Weitere Informationen zu Anmeldeprotokollen in der Microsoft Entra-ID
• Weitere Informationen zu Überwachungsprotokollen in der Microsoft Entra-ID
• Weitere Informationen zu Bereitstellungsprotokollen in der Microsoft Entra-ID