Condividi tramite

Informazioni sul monitoraggio dell'integrità con Microsoft Security Copilot

Microsoft Security Copilot semplifica il monitoraggio operativo in Microsoft Entra consentendo agli amministratori di analizzare rapidamente le attività di accesso, analizzare i log di controllo, monitorare l'integrità del sistema e tenere traccia delle prestazioni del servizio usando query in linguaggio naturale. Questa funzionalità consente di mantenere la consapevolezza operativa e identificare e rispondere rapidamente ai problemi prima che influiscano sull'organizzazione.

Questo articolo descrive in che modo un amministratore IT può usare le competenze di monitoraggio e operazioni di Microsoft Security Copilot per eseguire una verifica dell'integrità operativa dell'ambiente Microsoft Entra, coprendo i casi d'uso seguenti:

Usare i prompt e gli esempi in questo articolo per compilare i risultati in informazioni attuabili e report per revisioni operative e risposta agli incidenti da parte del team o della dirigenza.

Prerequisiti

Per diversi casi d'uso di monitoraggio e operazioni sono necessari i ruoli e le licenze seguenti:

Caso d'uso Ruolo Licenza Tenant
Registri di accesso Lettore di report, lettore di sicurezza, amministratore della sicurezza o lettore globale Licenza Microsoft Entra ID P1 o P2 Qualsiasi tenant del cloud pubblico con dati di accesso
Log di controllo Lettore di report, Lettore di sicurezza, Amministratore della sicurezza o Amministratore globale Licenza gratuita richiesta Qualsiasi tenant del cloud pubblico con attività di controllo
Log di provisioning Lettore di report, lettore globale o proprietario dell'applicazione Gratuito per 7 giorni, quindi Microsoft Entra ID P1 successivamente Qualsiasi tenant che usa il servizio di provisioning di Microsoft Entra
Raccomandazioni Amministratore dell'applicazione, Amministratore della governance delle identità, Amministratore ruolo con privilegi, Amministratore accesso condizionale, Amministratore della sicurezza, Amministratore identità ibrida, Amministratore criteri di autenticazione, Amministratore autenticazione ID Microsoft Entra gratuito o P1/P2 Qualsiasi tenant, disponibile anche in ID workload
Avvisi di monitoraggio dell'integrità Lettore di report, amministratore helpdesk, lettore di sicurezza, operatore di sicurezza, amministratore della sicurezza o lettore globale Licenze microsoft Entra ID P2 Tenant del cloud pubblico
Contratto di servizio Lettore report Qualsiasi licenza di Microsoft Entra ID Qualsiasi tenant

Avviare Security Copilot in Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra con i ruoli amministrativi appropriati per lo scenario in base ai casi d'uso specifici.

  2. Avviare Security Copilot dal pulsante Copilot nell'interfaccia di amministrazione di Microsoft Entra.

    Screenshot che mostra Security Copilot nell'interfaccia di amministrazione di Microsoft Entra.

  3. Fare riferimento ai casi d'uso e alle richieste seguenti per recuperare informazioni o eseguire azioni usando query in linguaggio naturale.

Annotazioni

Se un'azione è bloccata da autorizzazioni insufficienti, viene visualizzato un ruolo consigliato. È possibile usare il prompt seguente nella chat di Security Copilot per attivare il ruolo richiesto. Ciò dipende dalla presenza di un'assegnazione di ruolo idonea che fornisce l'accesso necessario.

  • Attivare il {ruolo obbligatorio} in modo che sia possibile eseguire {l'attività desiderata}.

Analizzare le attività di accesso

È possibile iniziare la valutazione analizzando le attività di accesso nell'intera organizzazione. Comprendere i modelli di autenticazione e identificare potenziali problemi è fondamentale per mantenere la sicurezza e l'esperienza utente nell'organizzazione.

Analisi dell'applicazione e dell'autenticazione

Per iniziare, esaminare i modelli di accesso correlati a applicazioni e metodi di autenticazione specifici per garantire che i criteri di sicurezza vengano seguiti e per identificare eventuali anomalie o problemi. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Visualizzare gli accessi a un'applicazione specifica.
  • Mostra gli accessi senza autenticazione a più fattori.
  • Visualizzare gli errori di accesso a causa di un criterio di accesso condizionale specifico.
  • Mostra gli accessi con criteri di accesso condizionale non soddisfatti.

Analisi del dispositivo e della posizione

È possibile analizzare ulteriormente le attività di accesso in base alla conformità dei dispositivi, ai sistemi operativi, ai browser e alle posizioni geografiche per monitorare modelli insoliti o potenziali minacce alla sicurezza e assicurarsi che i dispositivi aziendali vengano usati in modo appropriato. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Mostra gli accessi da dispositivi non conformi.
  • Mostra gli accessi provenienti da browser web specifici.
  • Mostra gli accessi da sistemi operativi specifici.
  • Mostra gli accessi da posizioni specifiche.

Monitoraggio delle attività e della sicurezza degli utenti

È possibile accedere alle singole attività utente per monitorare il comportamento sospetto o gli accessi rischiosi che possono indicare account compromessi o minacce alla sicurezza che richiedono attenzione immediata. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Mostra le attività di accesso da un periodo di tempo specifico.
  • Mostra l'attività di accesso per l'utente Casey Jensen.
  • Mostra attività di accesso sospette.
  • Visualizzare gli accessi a rischio.

Analizzare i registri di audit per le modifiche amministrative e degli utenti

Esaminare quindi i log di controllo per tenere traccia delle modifiche apportate dagli amministratori e dagli utenti nell'ambiente Microsoft Entra. Questa analisi consente di identificare potenziali problemi di sicurezza, garantire la conformità e garantire una corretta governance delle attività amministrative. Usare le istruzioni seguenti per raccogliere le informazioni necessarie:

Attività di gestione dei gruppi

È possibile continuare l'indagine concentrandosi sulle attività di gestione dei gruppi, che è importante per mantenere i controlli di accesso appropriati e garantire che le modifiche correlate ai gruppi vengano monitorate per scopi di sicurezza e conformità. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Mostra i gruppi eliminati di recente.
  • Quali gruppi sono stati eliminati di recente?
  • Ultimi gruppi eliminati nella mia directory?
  • Chi ha creato questo gruppo?
  • Scopri chi ha creato un gruppo specifico.
  • Dettagli sulla creazione del gruppo.
  • Quali gruppi sono stati creati da questi utenti?
  • Mostra i gruppi creati da utenti specifici.
  • Elencare tutti i gruppi creati dall'utente Casey Jensen.

Attività di sicurezza e autenticazione

Per identificare potenziali problemi di sicurezza, concentrarsi sulle attività correlate alla sicurezza e all'autenticazione nei log di controllo. In questo modo si garantisce che i criteri di sicurezza vengano seguiti e che eventuali attività sospette vengano analizzate tempestivamente. È anche possibile analizzare le attività dell'entità servizio per assicurarsi che queste operazioni critiche funzionino correttamente. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Mostra gli accessi rischiosi.
  • Elencare gli account di accesso sospetti.
  • Esistono autenticazioni rischiose?
  • Elencare i lavori per questo principale di servizio.

Analizzare le attività di provisioning

Dopo aver esaminato i log di controllo, è possibile concentrarsi specificamente sulle attività di provisioning all'interno dell'ambiente Microsoft Entra. I log di provisioning forniscono informazioni dettagliate preziose sulle operazioni del ciclo di vita degli account utente, consentendo agli amministratori di assicurarsi che gli utenti vengano creati, aggiornati ed eliminati come previsto in applicazioni e sistemi connessi. Questa analisi è fondamentale per mantenere l'integrità dell'infrastruttura di gestione delle identità e garantire processi di gestione utente uniformi.

Monitoraggio del provisioning degli utenti

Per iniziare, monitorare le singole attività di provisioning degli utenti per tenere traccia degli eventi del ciclo di vita degli account e assicurarsi che le operazioni di provisioning funzionino correttamente per utenti specifici. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Mostra i log di provisioning per questo utente.
  • Ottieni la cronologia del provisioning per l'utente.
  • Visualizzare l'attività di provisioning degli utenti.
  • Mostra gli eventi di provisioning recenti per questo utente.

Analisi degli errori di provisioning

Quando si verificano problemi di provisioning, è importante identificarli e risolverli rapidamente per evitare problemi di accesso degli utenti. Concentrarsi sugli errori di provisioning per comprendere cosa è andato storto e intraprendere un'azione correttiva. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Visualizzare gli errori di provisioning.
  • Elencare tutti i tentativi di provisioning non riusciti.
  • Visualizzare i log degli errori di provisioning.

Rilevamento dell'esito positivo del provisioning

Monitorare le operazioni di provisioning riuscite per assicurarsi che il servizio di provisioning funzioni in modo ottimale e per tenere traccia degli eventi del ciclo di vita completati. Ciò consente di verificare che le modifiche previste vengano applicate correttamente. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Mostra le eliminazioni di provisioning completate con successo.
  • Qualche utente è stato eliminato con successo dal servizio di provisioning?
  • Mostra la disabilitazione del provisioning con esito positivo.
  • Alcuni utenti sono stati disabilitati con successo dal servizio di provisioning?
  • Mostra le creazioni di provisioning riuscite.
  • Elencare le creazioni degli oggetti riuscite.

Monitoraggio dello stato del lavoro di provisioning

È anche possibile monitorare lo stato e le prestazioni dei processi di provisioning per assicurarsi che vengano eseguiti correttamente e identificare eventuali problemi che potrebbero richiedere attenzione. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Verificare lo stato del processo di provisioning.
  • Il processo di provisioning è stato completato?
  • Mostra i processi di provisioning per questo principale del servizio.

Migliorare il comportamento di sicurezza tramite raccomandazioni

Per ottenere una panoramica completa del comportamento di sicurezza, è possibile sfruttare le raccomandazioni di Microsoft Entra, che consentono di identificare le aree di miglioramento e fornire informazioni dettagliate utili per migliorare la sicurezza e la conformità dell'organizzazione con le procedure consigliate.

Raccomandazioni generali e punteggio di sicurezza

Iniziare con le raccomandazioni generali e l'analisi dei punteggi sicuri per ottenere una panoramica del comportamento di sicurezza del tenant. Usare le istruzioni seguenti per raccogliere le informazioni necessarie:

  • Elencare tutte le raccomandazioni di Entra.
  • Visualizzare i dati cronologici del punteggio di sicurezza del tenant.
  • Mostra la raccomandazione Entra "example" e i relativi dettagli.
  • Mostra le risorse interessate da una raccomandazione Entra.
  • Mostra la risorsa "example" della raccomandazione Entra "example".
  • Elencare le raccomandazioni relative al punteggio di sicurezza.
  • Elencare le raccomandazioni sulle procedure consigliate.

Raccomandazioni mirate per categoria

Dopo aver ottenuto una panoramica generale, è possibile concentrarsi su categorie specifiche di raccomandazioni per affrontare particolari aree di preoccupazione, ad esempio i criteri di accesso condizionale, la sicurezza delle applicazioni e la configurazione del tenant. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Elencare le raccomandazioni per i criteri di accesso condizionale.
  • Mostra le raccomandazioni di Entra per un'area di funzionalità specifica.
  • Elencare le raccomandazioni ad alta priorità.
  • Elencare le raccomandazioni con priorità alta.
  • Elencare le raccomandazioni attive.
  • Elenca le raccomandazioni per migliorare l'integrità del portfolio di app.
  • Elenca raccomandazioni per ridurre il rischio di superficie.
  • Elenca le raccomandazioni per migliorare il comportamento di sicurezza delle app personali.
  • Elenco delle raccomandazioni per la configurazione del tenant.
  • Mostra i consigli di Entra per tipo di impatto.

Gestione delle credenziali delle applicazioni

È anche possibile concentrarsi sulla gestione delle credenziali delle applicazioni per assicurarsi che le applicazioni siano sicure e che le credenziali vengano gestite correttamente per impedire l'accesso non autorizzato. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Quali applicazioni aziendali hanno le credenziali per scadere?
  • Mostrami i principali del servizio con le credenziali che stanno per scadere.
  • Mostra le applicazioni con credenziali in scadenza a breve.
  • Quali delle nostre app sono obsolete o inutilizzate nel tenant?
  • Elencare le app inutilizzate.

Monitorare l'integrità del sistema

È possibile continuare la valutazione monitorando l'integrità del sistema per rilevare le anomalie e risolvere in modo proattivo i potenziali problemi prima che influiscano sull'organizzazione. Il monitoraggio proattivo della salute può aiutare a prevenire interruzioni del servizio e a mantenere l'affidabilità del sistema.

Monitoraggio degli avvisi di stato di salute

Per una panoramica generale dell'integrità del sistema, è possibile iniziare monitorando gli avvisi di integrità. Ciò consente di rimanere informati su eventuali problemi che possono richiedere attenzione e garantisce che i sistemi funzionino in modo ottimale. Usare le istruzioni seguenti per ottenere le informazioni necessarie:

  • Quali avvisi di salute ho nel mio tenant?
  • Elenca tutti gli avvisi di monitoraggio della salute attivi.
  • Quali sono gli avvisi di monitoraggio della salute recenti?
  • Quali utenti sono interessati secondo gli avvisi di monitoraggio della salute attivi?
  • Mostrami i dettagli dell'avviso di monitoraggio della salute per l'ID avviso [alertId].

Monitoraggio dello stato specifico dello scenario

Dopo aver ottenuto una panoramica generale, è possibile concentrarsi su scenari specifici di monitoraggio dell'integrità per affrontare particolari aree di preoccupazione, ad esempio problemi di autenticazione a più fattori (MFA) o conformità dei dispositivi. Usare le istruzioni seguenti o quelle specifiche dello scenario per ottenere le informazioni necessarie:

  • Mostrami avvisi di monitoraggio sulla salute correlati all'errore di accesso con MFA.
  • Visualizza gli avvisi di monitoraggio dell'integrità dei dispositivi gestiti.
  • Mostra avvisi di monitoraggio dell'integrità dei dispositivi conformi.
  • Mostrami gli avvisi di monitoraggio della salute dello scenario del dispositivo.

Tenere traccia delle prestazioni del contratto di servizio

Infine, è possibile valutare le prestazioni del contratto di servizio per garantire che l'organizzazione soddisfi i propri impegni e identificare eventuali aree di miglioramento. Monitorare il contratto di servizio per la disponibilità dell'autenticazione ed esaminare i report del contratto di servizio in combinazione con le interruzioni del servizio per garantire la qualità e l'idoneità del servizio per i crediti del servizio.

Monitoraggio delle prestazioni SLA

Usare le istruzioni seguenti per monitorare le prestazioni del contratto di servizio e identificare eventuali problemi che potrebbero richiedere attenzione:

  • Qual è il contratto di servizio per l'autenticazione di Microsoft Entra?
  • Che cos'è il contratto di servizio microsoft Entra?
  • Qual è il contratto di servizio dell'autenticazione di Microsoft Entra?
  • Fammi vedere la disponibilità dell'autenticazione del tenant del mio inquilino.
  • Il mio inquilino ha avuto una violazione dell'SLA negli ultimi "X" mesi?

Contenuti correlati

  • Last updated on