使用风险用户摘要响应标识威胁

重要

本文中的信息仅适用于 Microsoft 安全 Copilot 抢先体验计划，这是一项仅限邀请的付费预览计划。 本文中的某些信息与预发行的产品有关，该产品在商业发布之前可能有重大修改。 Microsoft 对本文中所提供的信息不作任何明示或默示的保证。

Microsoft Entra ID 保护应用适用于 Microsoft Entra 的 Microsoft Copilot 的各种功能来汇总用户的风险级别，提供与事件相关的见解，并提供快速缓解建议。 标识风险调查是保护组织的关键步骤。 通过向 IT 管理员和安全运营中心 (SOC) 分析师提供适当的上下文来调查和修正标识风险和基于标识的事件，适用于 Microsoft Entra 的 Copilot 可帮助缩短解决时间。 风险用户摘要为管理员和响应者提供了对上下文中最重要信息的快速访问，以帮助他们进行调查。

快速响应标识威胁：

• 风险摘要：以自然语言总结用户风险级别提升的原因。
• 建议：获取有关如何缓解和响应此类攻击的指导，并通过快速链接访问帮助和文档。

本文介绍如何访问标识保护和适用于 Microsoft Entra 的 Copilot 的风险用户摘要功能。 使用此功能需要 Microsoft Entra ID P2 许可证。

调查有风险的用户

若要查看和调查风险用户，请执行以下操作：

1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心。

2. 导航到“保护”>“标识保护”，然后导航到“风险用户”报告。

3. 从风险用户报表中选择一个用户。

   

4. 在“风险用户详细信息”窗口中，信息显示在“汇总”中。

   

风险用户摘要包含三个部分：

• Copilot 提供的摘要：以自然语言总结 ID 保护为何将用户标记为有风险。
• 需要执行的操作：列出调查此事件并防止未来事件的后续步骤。
• 帮助和文档：列出帮助和文档的资源。

在此示例中，建议的修正是：

• 创建基于登录风险和用户风险的条件访问策略。

建议的帮助和文档包括：

• ID 保护中的风险是指什么？
• 事件响应剧本
• 基于风险的访问策略

后续步骤

• 详细了解风险用户。