Menyelidiki insiden keamanan menggunakan Microsoft Copilot for Security
Microsoft Copilot for Security mendapatkan wawasan dari data Microsoft Entra Anda melalui berbagai keterampilan, seperti Mendapatkan Pengguna Berisiko Entra dan Mendapatkan Log Audit. Admin TI dan analis pusat operasi keamanan (SOC) dapat menggunakan keterampilan ini dan lainnya untuk mendapatkan konteks yang tepat untuk membantu menyelidiki dan memulihkan insiden berbasis identitas menggunakan perintah bahasa alami.
Artikel ini menjelaskan bagaimana analis SOC atau admin TI dapat menggunakan keterampilan Microsoft Entra untuk menyelidiki potensi insiden keamanan.
Skenario
Natasha, analis security operations center (SOC) di Woodgrove Bank, menerima pemberitahuan tentang potensi insiden keamanan berbasis identitas. Pemberitahuan menunjukkan aktivitas mencurigakan dari akun pengguna yang telah ditandai sebagai pengguna berisiko.
Menyelidiki
Natasha memulai penyelidikannya dan masuk ke Microsoft Copilot for Security. Untuk melihat pengguna, grup, pengguna berisiko, log masuk, log audit, dan detail log diagnostik, dia masuk sebagai setidaknya Pembaca Keamanan.
Mendapatkan detail pengguna
Natasha dimulai dengan mencari detail pengguna yang ditandai: karita@woodgrovebank.com. Dia meninjau informasi profil pengguna seperti jabatan, departemen, manajer, dan informasi kontak. Dia juga memeriksa peran, aplikasi, dan lisensi yang ditetapkan pengguna untuk memahami aplikasi dan layanan apa yang dapat diakses pengguna.
Dia menggunakan perintah berikut untuk mendapatkan informasi yang dia butuhkan:
- Beri saya semua detail pengguna untuk karita@woodgrovebank.com dan ekstrak ID Objek pengguna.
- Apakah akun pengguna ini diaktifkan?
- Kapan kata sandi terakhir diubah atau direset untuk karita@woodgrovebank.com?
- Apakah karita@woodgrovebank.com memiliki perangkat terdaftar di Microsoft Entra?
- Apa metode autentikasi yang terdaftar karita@woodgrovebank.com jika ada?
Dapatkan detail pengguna berisiko
Untuk memahami mengapa karita@woodgrovebank.com ditandai sebagai pengguna berisiko, Natasha mulai melihat detail pengguna yang berisiko. Dia meninjau tingkat risiko pengguna (rendah, sedang, tinggi, atau tersembunyi), detail risiko (misalnya, masuk dari lokasi yang tidak dikenal), dan riwayat risiko (perubahan tingkat risiko dari waktu ke waktu). Dia juga memeriksa deteksi risiko dan proses masuk berisiko baru-baru ini, mencari aktivitas masuk yang mencurigakan atau aktivitas perjalanan yang tidak mungkin.
Dia menggunakan perintah berikut untuk mendapatkan informasi yang dia butuhkan:
- Berapa tingkat risiko, status, dan detail risiko untuk karita@woodgrovebank.com?
- Untuk apa riwayat karita@woodgrovebank.comrisiko?
- Cantumkan rincian masuk berisiko baru-baru ini untuk karita@woodgrovebank.com.
- Cantumkan detail deteksi risiko untuk karita@woodgrovebank.com.
Mendapatkan detail log masuk
Natasha kemudian meninjau log masuk untuk pengguna dan status masuk (keberhasilan atau kegagalan), lokasi (kota, negara bagian, negara), alamat IP, informasi perangkat (ID perangkat, sistem operasi, browser), dan tingkat risiko masuk. Dia juga memeriksa ID korelasi untuk setiap peristiwa masuk, yang dapat digunakan untuk penyelidikan lebih lanjut.
Dia menggunakan perintah berikut untuk mendapatkan informasi yang dia butuhkan:
- Dapatkah Anda memberi saya log masuk selama karita@woodgrovebank.com 48 jam terakhir? Letakkan informasi ini dalam format tabel.
- Perlihatkan saya gagal masuk selama karita@woodgrovebank.com 7 hari terakhir dan beri tahu saya alamat IP tersebut.
Mendapatkan detail log audit
Natasha memeriksa log audit, mencari tindakan yang tidak biasa atau tidak sah yang dilakukan oleh pengguna. Dia memeriksa tanggal dan waktu setiap tindakan, status (berhasil atau gagal), objek target (misalnya, file, pengguna, grup), dan alamat IP klien. Dia juga memeriksa ID korelasi untuk setiap tindakan, yang dapat digunakan untuk penyelidikan lebih lanjut.
Dia menggunakan perintah berikut untuk mendapatkan informasi yang dia butuhkan:
- Dapatkan log audit Microsoft Entra selama karita@woodgrovebank.com 72 jam terakhir. Letakkan informasi dalam format tabel.
- Tampilkan log audit untuk tipe kejadian ini.
Mendapatkan detail grup
Natasha kemudian meninjau grup-grup yang karita@woodgrovebank.com menjadi bagian untuk melihat apakah Karita adalah anggota dari grup yang tidak biasa atau sensitif. Dia meninjau keanggotaan grup dan izin yang terkait dengan ID pengguna Karita. Dia memeriksa jenis grup (keamanan, distribusi, atau Office 365), jenis keanggotaan (ditetapkan atau dinamis), dan pemilik grup dalam detail grup. Dia juga meninjau peran grup untuk menentukan izin apa yang dimilikinya untuk mengelola sumber daya.
Dia menggunakan perintah berikut untuk mendapatkan informasi yang dia butuhkan:
- Dapatkan grup pengguna Microsoft Entra yang karita@woodgrovebank.com merupakan anggotanya. Letakkan informasi dalam format tabel.
- Ceritakan lebih lanjut tentang grup Departemen Keuangan.
- Siapa adalah pemilik grup Departemen Keuangan?
- Peran apa yang dimiliki grup ini?
Mendapatkan detail log diagnostik
Terakhir, Natasha meninjau log diagnostik untuk mendapatkan informasi yang lebih rinci tentang operasi sistem selama waktu aktivitas yang mencurigakan. Dia memfilter log berdasarkan ID pengguna John dan waktu masuk yang tidak biasa.
Dia menggunakan perintah berikut untuk mendapatkan informasi yang dia butuhkan:
- Apa konfigurasi log diagnostik untuk penyewa yang karita@woodgrovebank.com terdaftar di?
- Log mana yang dikumpulkan di penyewa ini?
Memperbaiki
Dengan menggunakan Copilot for Security, Natasha dapat mengumpulkan informasi komprehensif tentang pengguna, aktivitas masuk, log audit, deteksi pengguna berisiko, keanggotaan grup, dan diagnostik sistem. Setelah menyelesaikan penyelidikannya, Natasha perlu mengambil tindakan untuk memulihkan pengguna berisiko atau membuka blokirnya.
Dia membaca tentang remediasi risiko, membuka blokir pengguna, dan playbook respons untuk menentukan kemungkinan tindakan yang akan diambil berikutnya.
Langkah berikutnya
Pelajari lebih lanjut tentang: