Investigación de incidentes de seguridad mediante Microsoft Copilot para seguridad

Microsoft Copilot para seguridad obtiene información de los datos de Microsoft Entra mediante muchas aptitudes diferentes, como Obtener usuarios de riesgo de Entra y Obtener registros de auditoría. Los administradores de TI y los analistas del Centro de operaciones de seguridad (SOC) pueden usar estas aptitudes y otras para obtener el contexto adecuado a fin de ayudar a investigar y corregir incidentes basados en identidades mediante avisos de lenguaje natural.

En este artículo se describe cómo un analista de SOC o un administrador de TI podría usar las aptitudes de Microsoft Entra para investigar un posible incidente de seguridad.

Escenario

Natasha, analista del centro de operaciones de seguridad (SOC) en Woodgrove Bank, recibe una alerta sobre un posible incidente de seguridad basado en identidades. La alerta indica actividad sospechosa de una cuenta de usuario que se ha marcado como un usuario de riesgo.

Investigación

Natasha inicia su investigación e inicia sesión en Microsoft Copilot para seguridad. Para ver los detalles del usuario, grupo, usuario de riesgo, registros de inicio de sesión, registros de auditoría y registros de diagnóstico, inicia sesión como mínimo en un lector de seguridad.

Obtención de detalles del usuario

Natasha comienza buscando detalles del usuario marcado: karita@woodgrovebank.com. Revisa la información de perfil del usuario, como el puesto de trabajo, el departamento, el responsable y la información de contacto. También comprueba los roles asignados, las aplicaciones y las licencias del usuario para comprender a qué aplicaciones y servicios tiene acceso el usuario.

Usa las siguientes indicaciones para obtener la información que necesita:

• Dame todos los detalles del usuario de karita@woodgrovebank.com y extrae el id. de objeto de usuario.
• ¿Está habilitada la cuenta de este usuario?
• ¿Cuándo se cambió o se restableció la contraseña de karita@woodgrovebank.com por última vez?
• ¿karita@woodgrovebank.com tiene algún dispositivo registrado en Microsoft Entra?
• ¿Cuáles son los métodos de autenticación que están registrados para karita@woodgrovebank.com, si los hay?

Obtención de los detalles del usuario de riesgo

Para comprender por qué karita@woodgrovebank.com se marcó como un usuario de riesgo, Natasha comienza a examinar los detalles del usuario de riesgo. Revisa el nivel de riesgo del usuario (bajo, medio, alto u oculto), el detalle del riesgo (por ejemplo, el inicio de sesión desde una ubicación desconocida) y el historial de riesgos (cambios en el nivel de riesgo a lo largo del tiempo). También comprueba las detecciones de riesgo y los inicios de sesión de riesgo recientes, buscando actividad de inicio de sesión de riesgo o actividad de viaje imposible.

Usa las siguientes indicaciones para obtener la información que necesita:

• ¿Cuál es el nivel de riesgo, el estado y los detalles de riesgo de karita@woodgrovebank.com?
• ¿Cuál es el historial de riesgos de karita@woodgrovebank.com?
• Lista de inicios de sesión de riesgo recientes de karita@woodgrovebank.com.
• Lista de los detalles de detecciones de riesgo de karita@woodgrovebank.com.

Obtención de los detalles de los registros de inicio de sesión

Después, Natasha revisa los registros de inicio de sesión del usuario y el estado de inicio de sesión (correcto o erróneo), ubicación (ciudad, estado, país), dirección IP, información del dispositivo (id. de dispositivo, sistema operativo, explorador) y nivel de riesgo de inicio de sesión. También comprueba el Id. de correlación de cada evento de inicio de sesión, que se puede usar para obtener una investigación más detallada.

Usa las siguientes indicaciones para obtener la información que necesita:

• ¿Puedes darme registros de inicio de sesión de karita@woodgrovebank.com durante las últimas 48 horas? Coloca esta información en formato de tabla.
• Muéstrame inicios de sesión erróneos de karita@woodgrovebank.com durante los últimos 7 días y dime cuáles son las direcciones IP.

Obtención de los detalles de los registros de auditoría

Natasha comprueba los registros de auditoría, buscando cualquier acción inusual o no autorizada que ha realizado el usuario. Comprueba la fecha y hora de cada acción, el estado (correcto o erróneo), el objeto de destino (por ejemplo, archivo, usuario, grupo) y la dirección IP del cliente. También comprueba el Id. de correlación de cada acción, que se puede usar para obtener una investigación más detallada.

Usa las siguientes indicaciones para obtener la información que necesita:

• Obtén los registros de auditoría de Microsoft Entra de karita@woodgrovebank.com durante las últimas 72 horas. Coloca la información en formato de tabla.
• Muéstrame registros de auditoría para este tipo de evento.

Obtención de los detalles del grupo

Luego, Natasha revisa los grupos de los que karita@woodgrovebank.com forma parte para ver si Karita es miembro de cualquier grupo inusual o confidencial. Revisa las pertenencias a grupos y los permisos asociados con el identificador de usuario de Karita. Comprueba el tipo de grupo (seguridad, distribución u Office 365), tipo de pertenencia (asignado o dinámico) y los propietarios del grupo en los detalles del grupo. También revisa los roles del grupo a fin de determinar qué permisos tiene para administrar recursos.

Usa las siguientes indicaciones para obtener la información que necesita:

• Obtén los grupos de usuarios de Microsoft Entra de los que karita@woodgrovebank.com es miembro. Coloca la información en formato de tabla.
• Cuéntame más sobre el grupo Departamento financiero.
• ¿Quiénes son los propietarios del grupo Departamento financiero?
• ¿Qué roles tiene este grupo?

Obtención de los detalles de registros de diagnóstico

Por último, Natasha revisa los registros de diagnóstico para obtener información más detallada sobre las operaciones del sistema durante las veces en las que se han producido actividades sospechosas. Filtra los registros por el identificador de usuario de John y las horas de los inicios de sesión inusuales.

Usa las siguientes indicaciones para obtener la información que necesita:

• ¿Cuál es la configuración del registro de diagnóstico para el inquilino en el que se ha registrado karita@woodgrovebank.com?
• ¿Qué registros se recopilan en este inquilino?

Corrección

Con Copilot para seguridad, Natasha puede recopilar información completa sobre el usuario, las actividades de inicio de sesión, los registros de auditoría, las detecciones de usuarios de riesgo, las pertenencias a grupos y el diagnóstico del sistema. Después de completar su investigación, Natasha debe tomar medidas para corregir los usuarios de riesgo o desbloquearlos.

Lee sobre corrección de riesgos, desbloquear a los usuarios y cuadernos de estrategias de respuesta para determinar las posibles acciones que se van a realizar a continuación.

Pasos siguientes

Más información sobre:

• Usuarios de riesgo
• ¿Qué es el riesgo en ID Protection?
• Directivas de acceso basadas en riesgos