Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Güvenlik Copilot , Entra Riskli Kullanıcıları Alma ve Denetim Günlüklerini Alma gibi birçok farklı beceri aracılığıyla Microsoft Entra verilerinizden içgörüler alır. BT yöneticileri ve güvenlik operasyonları merkezi (SOC) analistleri, doğal dil istemlerini kullanarak kimlik tabanlı olayları araştırmaya ve düzeltmeye yardımcı olmak üzere doğru bağlamı elde etmek için bu becerileri ve diğerlerini kullanabilir.
Bu makalede, bir SOC analistinin veya BT yöneticisinin olası bir güvenlik olayını araştırmak için Microsoft Entra becerilerini nasıl kullanabileceği açıklanmaktadır.
Senaryo
Woodgrove Bank'ta güvenlik operasyonları merkezi (SOC) analisti olan Natasha, kimlik tabanlı olası bir güvenlik olayı hakkında uyarı alıyor. Uyarı, riskli kullanıcı olarak işaretlenmiş bir kullanıcı hesabından şüpheli etkinliği gösterir.
Araştır
Natasha araştırmaya başlar ve Microsoft Güvenlik Yardımcı Pilotu'nda oturum açar. Kullanıcı, grup, riskli kullanıcı, oturum açma günlükleri, denetim günlükleri ve tanılama günlüklerinin ayrıntılarını görüntülemek için en azından Güvenlik Okuyucusu olarak oturum açar.
Kullanıcı ayrıntılarını alma
Natasha, bayrak eklenmiş kullanıcının ayrıntılarını arayarak başlar: karita@woodgrovebank.com. kullanıcının iş unvanı, departman, yönetici ve iletişim bilgileri gibi profil bilgilerini gözden geçirmesi. Ayrıca kullanıcının hangi uygulama ve hizmetlere erişimi olduğunu anlamak için kullanıcının atanan rollerini, uygulamalarını ve lisanslarını denetler.
İhtiyaç duyduğu bilgileri almak için aşağıdaki istemleri kullanır:
- Bana tüm kullanıcı ayrıntılarını karita@woodgrovebank.com verin ve kullanıcı Nesne Kimliğini ayıklayın.
- Bu kullanıcının hesabı etkin mi?
- Parola en son ne zaman değiştirildi veya ne zaman karita@woodgrovebank.comsıfırlandı?
- Microsoft Entra'da kayıtlı cihazlar var mı karita@woodgrovebank.com ?
- Varsa hangi kimlik doğrulama yöntemleri için karita@woodgrovebank.com kaydedilir?
Riskli kullanıcı ayrıntılarını alma
Natasha, neden karita@woodgrovebank.com riskli bir kullanıcı olarak işaretlendiği anlamak için riskli kullanıcı ayrıntılarına bakmaya başlar. Kullanıcının risk düzeyini (düşük, orta, yüksek veya gizli), risk ayrıntılarını (örneğin, bilinmeyen konumdan oturum açma) ve risk geçmişini (zaman içinde risk düzeyindeki değişiklikler) gözden geçirmektedir. Ayrıca, şüpheli oturum açma etkinliğini veya imkansız seyahat etkinliğini arayarak risk algılamalarını ve son riskli oturum açmaları kontrol eder.
İhtiyaç duyduğu bilgileri almak için aşağıdaki istemleri kullanır:
- Risk düzeyi, durumu ve risk ayrıntıları karita@woodgrovebank.comnedir?
- Risk geçmişi karita@woodgrovebank.comnedir?
- için karita@woodgrovebank.comson riskli oturum açma adımlarını listeleyin.
- için karita@woodgrovebank.comrisk algılama ayrıntılarını listeleyin.
Oturum açma günlüklerinin ayrıntılarını alma
Natasha daha sonra kullanıcının oturum açma günlüklerini ve oturum açma durumu (başarı veya başarısızlık), konum (şehir, eyalet, ülke), IP adresi, cihaz bilgileri (cihaz kimliği, işletim sistemi, tarayıcı) ve oturum açma risk düzeyini gözden geçirin. Ayrıca, daha fazla araştırma için kullanılabilecek her oturum açma olayının bağıntı kimliğini de denetler.
İhtiyaç duyduğu bilgileri almak için aşağıdaki istemleri kullanır:
- Son 48 saat için karita@woodgrovebank.com bana oturum açma günlükleri verebilir misin? Bu bilgileri tablo biçiminde yerleştirin.
- Son 7 gün için başarısız oturum açmaları karita@woodgrovebank.com göster ve IP adreslerinin ne olduğunu söyle.
Denetim günlüklerinin ayrıntılarını alma
Natasha, kullanıcı tarafından gerçekleştirilen olağan dışı veya yetkisiz eylemleri arayarak denetim günlüklerini denetler. Her eylemin tarih ve saatini, durumu (başarı veya başarısızlık), hedef nesneyi (örneğin, dosya, kullanıcı, grup) ve istemci IP adresini denetler. Ayrıca her eylemin bağıntı kimliğini de denetler ve bu kimlik daha fazla araştırma için kullanılabilir.
İhtiyaç duyduğu bilgileri almak için aşağıdaki istemleri kullanır:
- Son 72 saat için karita@woodgrovebank.com Microsoft Entra denetim günlüklerini alın. Bilgileri tablo biçiminde yerleştirin.
- Bu olay türü için denetim günlüklerini göster.
Grup ayrıntılarını alma
Ardından Natasha, Karita'nın olağan dışı veya hassas grupların karita@woodgrovebank.com üyesi olup olmadığını görmek için bu grupları gözden geçirin. Karita'nın kullanıcı kimliğiyle ilişkili grup üyeliklerini ve izinlerini inceler. Grup ayrıntılarında grup türünü (güvenlik, dağıtım veya Office 365), üyelik türünü (atanan veya dinamik) ve grubun sahiplerini denetler. Ayrıca, kaynakları yönetmek için hangi izinlere sahip olduğunu belirlemek için grubun rollerini gözden geçirir.
İhtiyaç duyduğu bilgileri almak için aşağıdaki istemleri kullanır:
- Üyesi olan karita@woodgrovebank.com Microsoft Entra kullanıcı gruplarını alın. Bilgileri tablo biçiminde yerleştirin.
- Finans Departmanı grubu hakkında daha fazla bilgi verin.
- Finans Departmanı grubunun sahipleri kimlerdir?
- Bu grubun hangi rolleri var?
Düzelt
Natasha, Güvenlik Copilot'ı kullanarak kullanıcı, oturum açma etkinlikleri, denetim günlükleri, riskli kullanıcı algılamaları, grup üyelikleri ve sistem tanılamaları hakkında kapsamlı bilgiler toplayabilir. Araştırmasını tamamladıktan sonra Natasha'nın riskli kullanıcıyı düzeltmek veya engelini kaldırmak için işlem yapması gerekir.
Daha sonra yapılması gereken olası eylemleri belirlemek için risk düzeltme, kullanıcıların engelini kaldırma ve yanıt playbook'ları hakkında bilgi ediniyor.
Sonraki adımlar
Aşağıdakiler hakkında daha fazla bilgi edinin: