Entender o monitoramento de saúde com o Microsoft Security Copilot

O Microsoft Security Copilot simplifica o monitoramento operacional no Microsoft Entra, permitindo que os administradores analisem rapidamente as atividades de entrada, investiguem logs de auditoria, monitorem a integridade do sistema e acompanhem o desempenho do serviço usando consultas de linguagem natural. Essa funcionalidade ajuda a manter a conscientização operacional e identificar e responder rapidamente a problemas antes que eles afetem sua organização.

Este artigo descreve como um administrador de TI pode usar as habilidades de monitoramento e operações do Microsoft Security Copilot para realizar uma revisão de integridade operacional de seu ambiente do Microsoft Entra cobrindo os seguintes casos de uso:

• Analisar atividades de login
• Investigar logs de auditoria para alterações administrativas e de usuário
• Analisar atividades de provisionamento
• Melhorar a postura de segurança por meio de recomendações
• Monitorar a integridade do sistema e resolver alertas proativamente
• Monitorar o desempenho do SLA

Utilize os prompts e exemplos neste artigo para compilar suas descobertas em insights e relatórios acionáveis para revisões operacionais e resposta a incidentes pela sua equipe ou gestão.

Pré-requisitos

As seguintes funções e licenças são necessárias para diferentes casos de uso de monitoramento e operações:

Caso de uso	Função	Licença	Inquilino
Registros de entrada	Leitor de Relatórios, Leitor de Segurança, Administrador de Segurança ou Leitor Global	Licença P1 ou P2 do Microsoft Entra ID	Qualquer locatário de nuvem pública com dados de autenticação
Logs de auditoria	Leitor de Relatórios, Leitor de Segurança, Administrador de Segurança ou Administrador Global	Licença gratuita necessária	Qualquer locatário de nuvem pública com atividade de auditoria
Logs de provisionamento	Leitor de Relatórios, Leitor Global ou Proprietário do Aplicativo	Gratuito por 7 dias e, depois, Microsoft Entra ID P1	Qualquer locatário usando o serviço de provisionamento do Microsoft Entra
Recomendações	Administrador de Aplicativos, Administrador de Governança de Identidade, Administrador de Funções Com Privilégios, Administrador de Acesso Condicional, Administrador de Segurança, Administrador de Identidade Híbrida, Administrador de Política de Autenticação, Administrador de Autenticação	ID gratuita do Microsoft Entra ou P1/P2	Qualquer inquilino, também disponível na ID de carga de trabalho
Alertas de monitoramento de integridade	Leitor de Relatórios, Administrador de Assistência Técnica, Leitor de Segurança, Operador de Segurança, Administrador de Segurança ou Leitor Global	Licenças do Microsoft Entra ID P2	Locatário de nuvem pública
Contrato de Nível de Serviço	Leitor de Relatórios	Qualquer licença de Microsoft Entra ID	Qualquer locatário

Lançar o Security Copilot no Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra com as funções administrativas apropriadas para seu cenário com base nos casos de uso específicos.

2. Inicie o Security Copilot no botão Copilot no Centro de administração do Microsoft Entra.

   

3. Consulte os seguintes casos de uso e prompts para recuperar informações ou executar ações usando consultas de linguagem natural.

Observação

Se uma ação for bloqueada por permissões insuficientes, uma função recomendada será exibida. Você pode usar o prompt a seguir no chat do Security Copilot para ativar a função necessária. Isso depende de ter uma atribuição de função qualificada que forneça o acesso necessário.

• Ative a {função necessária} para que eu possa executar {a tarefa desejada}.

Analisar atividades de login

Você pode começar sua avaliação analisando as atividades de entrada em toda a sua organização. Entender os padrões de autenticação e identificar possíveis problemas é crucial para manter a segurança e a experiência do usuário em sua organização.

Análise de aplicação e autenticação

Comece investigando padrões de entrada relacionados a aplicativos específicos e métodos de autenticação para garantir que as políticas de segurança estejam sendo seguidas e identificar quaisquer anomalias ou problemas. Use os seguintes prompts para obter as informações necessárias:

• Mostrar logins em um aplicativo específico.
• Mostrar acessos sem autenticação multifatorial.
• Mostrar falhas de entrada devido a uma política de Acesso Condicional específica.
• Mostre logins com políticas de acesso condicional não satisfeitas.

Análise de dispositivo e local

Você pode analisar ainda mais as atividades de entrada com base na conformidade do dispositivo, sistemas operacionais, navegadores e localizações geográficas para monitorar padrões incomuns ou possíveis ameaças à segurança e garantir que os dispositivos corporativos estejam sendo usados adequadamente. Use os seguintes prompts para obter as informações necessárias:

• Mostrar logins de dispositivos não compatíveis.
• Mostrar logons de navegadores da Web específicos.
• Mostrar logons de sistemas operacionais específicos.
• Mostrar logins de locais específicos.

Atividade do usuário e monitoramento de segurança

Você pode aprimorar as atividades individuais do usuário para monitorar comportamentos suspeitos ou entradas arriscadas que podem indicar contas comprometidas ou ameaças de segurança que exigem atenção imediata. Use os seguintes prompts para obter as informações necessárias:

• Mostrar atividades de entrada desde um período de tempo específico.
• Exibir atividade de login para o usuário Casey Jensen.
• Mostrar atividades suspeitas de logon.
• Exibir logins arriscados.

Investigar logs de auditoria para alterações administrativas e de usuário

Em seguida, investigue os logs de auditoria para controlar as alterações feitas por administradores e usuários em seu ambiente do Microsoft Entra. Essa análise ajuda a identificar possíveis problemas de segurança, garantir a conformidade e garantir a governança adequada das atividades administrativas. Use os seguintes prompts para coletar as informações necessárias:

Atividades de gerenciamento de grupo

Você pode continuar sua investigação focando nas atividades de gerenciamento de grupo, o que é importante para manter controles de acesso adequados e garantir que as alterações relacionadas ao grupo sejam controladas para fins de segurança e conformidade. Use os seguintes prompts para obter as informações necessárias:

• Mostre-me grupos excluídos recentemente.
• Quais grupos foram excluídos recentemente?
• Últimos grupos excluídos no meu diretório?
• Quem criou esse grupo?
• Descubra quem criou um grupo específico.
• Detalhes de criação de grupo.
• Quais grupos foram criados por esses usuários?
• Mostrar grupos criados por usuários específicos.
• Liste todos os grupos criados pelo usuário Casey Jensen.

Atividades de segurança e autenticação

Para identificar possíveis problemas de segurança, concentre-se nas atividades relacionadas à segurança e à autenticação nos logs de auditoria. Isso ajuda a garantir que as políticas de segurança estejam sendo seguidas e que quaisquer atividades suspeitas sejam imediatamente investigadas. Você também pode investigar as atividades da entidade de serviço para garantir que essas operações críticas estejam funcionando corretamente. Use os seguintes prompts para obter as informações necessárias:

• Mostre-me logins arriscados.
• Listar logons suspeitos.
• Há autenticações arriscadas?
• Listar trabalhos para este principal de serviço.

Analisar atividades de provisionamento

Depois de investigar logs de auditoria, você pode se concentrar especificamente em atividades de provisionamento no ambiente do Microsoft Entra. Os logs de provisionamento fornecem informações valiosas sobre as operações de ciclo de vida da conta de usuário, ajudando os administradores a garantir que os usuários estejam sendo criados, atualizados e excluídos conforme pretendido em aplicativos e sistemas conectados. Essa análise é crucial para manter a integridade da infraestrutura de identidade e garantir processos de gerenciamento de usuários suaves.

Monitoramento de provisionamento de usuário

Comece monitorando atividades individuais de provisionamento de usuários para acompanhar eventos de ciclo de vida da conta e garantir que as operações de provisionamento estejam funcionando corretamente para usuários específicos. Use os seguintes prompts para obter as informações necessárias:

• Mostrar logs de provisionamento para esse usuário.
• Obtenha o histórico de provisionamento para o usuário.
• Mostrar atividade de provisionamento de usuário.
• Mostrar eventos de provisionamento recentes para esse usuário.

Análise de falha de provisionamento

Quando ocorrem problemas de provisionamento, é importante identificá-los e resolvê-los rapidamente para evitar problemas de acesso do usuário. Concentre-se em falhas de provisionamento para entender o que deu errado e tomar medidas corretivas. Use os seguintes prompts para obter as informações necessárias:

• Mostrar falhas de provisionamento.
• Listar todas as tentativas de provisionamento com falha.
• Mostrar os logs de erros de provisionamento.

Acompanhamento de êxito do provisionamento

Monitore operações de provisionamento bem-sucedidas para garantir que seu serviço de provisionamento esteja funcionando de forma ideal e para acompanhar eventos de ciclo de vida concluídos. Isso ajuda a verificar se as alterações pretendidas estão sendo aplicadas corretamente. Use os seguintes prompts para obter as informações necessárias:

• Mostrar as exclusões de provisionamento bem-sucedidas.
• Algum usuário foi excluído com êxito pelo serviço de provisionamento?
• Mostrar desativações bem-sucedidas de provisionamento.
• Alguns usuários foram desabilitados com êxito pelo serviço de provisionamento?
• Mostrar criação de provisionamento bem-sucedida.
• Listar criações de objeto bem-sucedidas.

Monitoramento de status da tarefa de provisionamento

Você também pode monitorar o status e o desempenho de seus trabalhos de provisionamento para garantir que eles estejam sendo executados corretamente e identificar quaisquer problemas que possam precisar de atenção. Use os seguintes prompts para obter as informações necessárias:

• Verifique o status da tarefa de provisionamento.
• Meu trabalho de provisionamento foi concluído?
• Mostrar tarefas de provisionamento para este principal do serviço.

Melhorar a postura de segurança por meio de recomendações

Para obter uma visão abrangente de sua postura de segurança, você pode aproveitar as recomendações do Microsoft Entra, que podem ajudar a identificar áreas de melhoria e fornecer insights acionáveis para aprimorar a segurança e a conformidade da sua organização com as práticas recomendadas.

Recomendações gerais e pontuação de segurança

Comece com recomendações gerais e análise de pontuação segura para obter uma visão geral da postura de segurança do locatário. Use os seguintes prompts para coletar as informações necessárias:

• Listar todas as recomendações do Entra.
• Mostrar os dados históricos de Classificação de Segurança do meu locatário.
• Mostrar "exemplo" de recomendação do Entra e seus detalhes.
• Mostrar os recursos afetados por uma recomendação do Entra.
• Mostrar o recurso "exemplo" da recomendação do Entra "exemplo".
• Listar recomendações para aprimorar a pontuação de segurança.
• Listar recomendações de práticas recomendadas.

Recomendações direcionadas por categoria

Depois de ter uma visão geral, você pode se concentrar em categorias específicas de recomendações para abordar determinadas áreas de preocupação, como políticas de acesso condicional, segurança do aplicativo e configuração de locatário. Use os seguintes prompts para obter as informações necessárias:

• Listar recomendações para políticas de acesso condicional.
• Mostrar recomendações do Entra para uma área de recurso específica.
• Listar recomendações de alta prioridade.
• Listar recomendações com alta prioridade.
• Listar recomendações que estão ativas.
• Listar recomendações para melhorar a integridade do portfólio de aplicativos.
• Listar recomendações para reduzir o risco de área de superfície.
• Listar recomendações para melhorar a posição de segurança dos meus aplicativos.
• Listar recomendações para configuração de locatário.
• Mostrar recomendações do Entra por tipo de impacto.

Gerenciamento de credenciais de aplicativo

Você também pode se concentrar no gerenciamento de credenciais de aplicativo para garantir que seus aplicativos estejam seguros e que as credenciais estejam sendo gerenciadas corretamente para impedir o acesso não autorizado. Use os seguintes prompts para obter as informações necessárias:

• Quais aplicativos empresariais têm credenciais prestes a expirar?
• Mostre-me principais de serviço com credenciais que expirarão em breve.
• Mostre-me aplicativos com credenciais que estão expirando em breve.
• Quais dos nossos aplicativos estão obsoletos ou não são utilizados no locatário?
• Listar os aplicativos não utilizados.

Monitorar a integridade do sistema

Você pode continuar sua avaliação monitorando a integridade do sistema para detectar anomalias e resolver proativamente possíveis problemas antes que eles afetem sua organização. O monitoramento proativo de saúde pode ajudar a evitar interrupções no serviço e manter a confiabilidade do sistema.

Monitoramento de alertas de saúde

Para obter uma visão geral da integridade do sistema, você pode começar monitorando alertas de integridade. Isso ajuda você a se manter informado sobre quaisquer problemas que possam exigir atenção e garante que seus sistemas estejam funcionando de forma ideal. Use os seguintes prompts para obter as informações necessárias:

• Quais alertas de integridade eu tenho no meu locatário?
• Listar todos os alertas de monitoramento de saúde ativos.
• Quais são meus alertas recentes de monitoramento de saúde?
• Quais usuários são afetados de acordo com os alertas de monitoramento de saúde ativo?
• Mostre-me os detalhes do alerta de monitoramento de saúde para o ID do alerta [alertId].

Monitoramento de saúde específico do cenário

Depois de ter uma visão geral, você pode se concentrar em cenários específicos de monitoramento de integridade para abordar áreas de interesse específicas, como problemas de MFA (autenticação multifator) ou conformidade do dispositivo. Use os prompts a seguir ou os específicos para seu cenário para obter as informações necessárias:

• Mostre-me alertas relacionados ao monitoramento de saúde do sistema devido a falhas de autenticação MFA.
• Mostre-me alertas de monitoramento de integridade do dispositivo gerenciado.
• Mostre-me alertas de monitoramento de integridade do dispositivo compatíveis.
• Mostre-me alertas de monitoramento da integridade operacional do dispositivo.

Acompanhar o desempenho do Contrato de Nível de Serviço

Por fim, você pode avaliar o desempenho do SLA (Contrato de Nível de Serviço) para garantir que sua organização esteja cumprindo seus compromissos e identificar quaisquer áreas de melhoria. Monitore o SLA quanto à disponibilidade de autenticação e examine os relatórios do SLA em conjunto com interrupções de serviço para garantir a qualidade do serviço e a qualificação para créditos de serviço.

Monitoramento de desempenho do SLA

Use os seguintes prompts para monitorar o desempenho do SLA e identificar possíveis problemas que possam exigir atenção:

• O que é meu SLA para autenticação do Microsoft Entra?
• O que é meu SLA do Microsoft Entra?
• O que é o SLA da autenticação do Microsoft Entra?
• Mostre-me a disponibilidade de autenticação do meu locatário.
• Meu locatário teve uma violação de SLA nos últimos "X" meses?

Conteúdo relacionado

• Saiba mais sobre o monitoramento do Microsoft Entra Health
• Saiba mais sobre como investigar alertas de monitoramento do Microsoft Entra Health
• Saiba mais sobre o desempenho do SLA do Microsoft Entra ID
• Saiba mais sobre os registros de login no Microsoft Entra ID
• Saiba mais sobre logs de auditoria na Identidade do Microsoft Entra
• Saiba mais sobre logs de provisionamento no Microsoft Entra ID