Megosztás a következőn keresztül:

Biztonsági incidensek vizsgálata a Microsoft Copilot for Security használatával

  • Cikk

A Microsoft Copilot for Security számos különböző képességen keresztül, például az Entra kockázatos felhasználóinak lekérése és az auditnaplók lekérése révén betekintést nyer a Microsoft Entra-adatokba. Az informatikai rendszergazdák és a biztonsági üzemeltetési központ (SOC) elemzői ezeket a készségeket és másokat arra használhatják, hogy megfelelő kontextust kapjanak az identitásalapú incidensek természetes nyelvi kérések használatával történő kivizsgálásához és elhárításához.

Ez a cikk azt ismerteti, hogy egy SOC-elemző vagy informatikai rendszergazda hogyan használhatja a Microsoft Entra képességeit egy lehetséges biztonsági incidens kivizsgálására.

Eset

Natasha, a Woodgrove Bank biztonsági üzemeltetési központjának (SOC) elemzője riasztást kap egy lehetséges identitásalapú biztonsági incidensről. A riasztás egy kockázatos felhasználóként megjelölt felhasználói fiók gyanús tevékenységét jelzi.

Vizsgálat

Natasha megkezdi a nyomozást, és bejelentkezik a Microsoft Copilot for Security szolgáltatásba. A felhasználó, a csoport, a kockázatos felhasználó, a bejelentkezési naplók, az auditnaplók és a diagnosztikai naplók adatainak megtekintéséhez legalább biztonsági olvasóként jelentkezik be.

Felhasználói adatok lekérése

Natasha először megkeresi a megjelölt felhasználó részleteit: karita@woodgrovebank.com. Áttekinti a felhasználó profiladatait, például a beosztást, a részleget, a vezetőt és a kapcsolattartási adatokat. Emellett ellenőrzi a felhasználó hozzárendelt szerepköreit, alkalmazásait és licenceit, hogy megértse, milyen alkalmazásokhoz és szolgáltatásokhoz férhet hozzá a felhasználó.

A következő utasításokat használja a szükséges információk lekéréséhez:

  • Adja meg az összes felhasználói adatot, karita@woodgrovebank.com és bontsa ki a felhasználói objektum azonosítóját.
  • Engedélyezve van ennek a felhasználónak a fiókja?
  • Mikor módosult utoljára a jelszó, vagy mikor lett visszaállítva a karita@woodgrovebank.comjelszó?
  • Rendelkezik karita@woodgrovebank.com regisztrált eszközökkel a Microsoft Entra-ban?
  • Milyen hitelesítési módszerek vannak regisztrálva karita@woodgrovebank.com , ha vannak ilyenek?

Kockázatos felhasználói adatok lekérése

Annak megértéséhez, hogy miért karita@woodgrovebank.com lett kockázatos felhasználóként megjelölve, Natasha elkezdi áttekinteni a kockázatos felhasználók adatait. Áttekinti a felhasználó kockázati szintjét (alacsony, közepes, magas vagy rejtett), a kockázat részleteit (például ismeretlen helyről való bejelentkezést), valamint a kockázati előzményeket (a kockázati szint időbeli változásait). Emellett ellenőrzi a kockázatészleléseket és a legutóbbi kockázatos bejelentkezéseket, gyanús bejelentkezési tevékenységet vagy lehetetlen utazási tevékenységet keres.

A következő utasításokat használja a szükséges információk lekéréséhez:

  • Mi a kockázati szint, az állapot és a karita@woodgrovebank.comkockázat részletei?
  • Mi a kockázati előzmények?karita@woodgrovebank.com
  • A legutóbbi kockázatos bejelentkezések listázása a következőhöz karita@woodgrovebank.com: .
  • A kockázatészlelés részleteinek felsorolása a következőhöz karita@woodgrovebank.com: .

Bejelentkezési naplók adatainak lekérése

Natasha ezután áttekinti a felhasználó bejelentkezési naplóit és a bejelentkezési állapotot (sikeres vagy sikertelen), a helyet (várost, államot, országot), az IP-címet, az eszköz adatait (eszközazonosító, operációs rendszer, böngésző) és a bejelentkezési kockázati szintet. Emellett ellenőrzi az egyes bejelentkezési események korrelációs azonosítóját is, amely további vizsgálathoz használható.

A következő utasításokat használja a szükséges információk lekéréséhez:

  • Meg tudja adni a bejelentkezési naplókat karita@woodgrovebank.com az elmúlt 48 órában? Ezeket az információkat táblázatos formátumban helyezheti el.
  • Mutassa meg az elmúlt 7 nap sikertelen bejelentkezéseit karita@woodgrovebank.com , és mondja el, mik az IP-címek.

Naplók részleteinek lekérése

Natasha ellenőrzi az auditnaplókat, és megkeresi a felhasználó által végrehajtott szokatlan vagy jogosulatlan műveleteket. Ellenőrzi az egyes műveletek dátumát és időpontját, az állapotot (sikeres vagy sikertelen), a célobjektumot (például fájl, felhasználó, csoport) és az ügyfél IP-címét. Emellett ellenőrzi az egyes műveletek korrelációs azonosítóját is, amely további vizsgálathoz használható.

A következő utasításokat használja a szükséges információk lekéréséhez:

  • Az elmúlt 72 órában lekérheti a Microsoft Entra auditnaplóit karita@woodgrovebank.com . Adatok táblázatos formátumban való elhelyezése.
  • Naplók megjelenítése ehhez az eseménytípushoz.

Csoportadatok lekérése

Natasha ezután áttekinti azokat a csoportokat, amelyek részét képezik annak ellenőrzéséhez, karita@woodgrovebank.com hogy Karita tagja-e bármilyen szokatlan vagy érzékeny csoportnak. Áttekinti a Karita felhasználói azonosítójával társított csoporttagságokat és engedélyeket. Ellenőrzi a csoport típusát (biztonság, disztribúció vagy Office 365), tagság típusát (hozzárendelt vagy dinamikus), valamint a csoport tulajdonosait a csoport adatai között. Emellett áttekinti a csoport szerepköreit, hogy meghatározza, milyen engedélyekkel rendelkezik az erőforrások kezeléséhez.

A következő utasításokat használja a szükséges információk lekéréséhez:

  • Kérje le azokat a Microsoft Entra-felhasználói csoportokat, amelyek karita@woodgrovebank.com tagjai. Adatok táblázatos formátumban való elhelyezése.
  • Tudjon meg többet a Pénzügyi Részleg csoportról.
  • Kik a Pénzügyi Részleg csoport tulajdonosai?
  • Milyen szerepkörökhöz tartozik ez a csoport?

Diagnosztikai naplók részleteinek lekérése

Végül Natasha áttekinti a diagnosztikai naplókat, hogy részletesebb információkat kapjon a rendszer műveleteiről a gyanús tevékenységek idején. A naplókat John felhasználói azonosítója és a szokatlan bejelentkezések időpontja alapján szűri.

A következő utasításokat használja a szükséges információk lekéréséhez:

  • Milyen diagnosztikai naplókonfiguráció van a regisztrált bérlőhöz karita@woodgrovebank.com ?
  • Mely naplók gyűjtése történik ebben a bérlőben?

Javítás

A Copilot for Security használatával a Natasha átfogó információkat gyűjthet a felhasználóról, a bejelentkezési tevékenységekről, az auditnaplókról, a kockázatos felhasználói észlelésekről, a csoporttagságokról és a rendszerdiagnosztikáról. A vizsgálat befejezése után Natasha-nak lépéseket kell tennie a kockázatos felhasználó szervizeléséhez vagy a letiltás feloldásához.

A kockázatkezelésről, a felhasználók letiltásának feloldásáról és a válasz forgatókönyvekről olvas, hogy meghatározza a következő lépések lehetséges lépéseit.

Következő lépések

További információk: