使用风险用户摘要响应标识威胁

Microsoft Entra ID 保护应用适用于 Microsoft Entra 的 Microsoft Copilot 的各种功能来汇总用户的风险级别，提供与事件相关的见解，并提供快速缓解建议。 标识风险调查是保护组织的关键步骤。 Copilot for Microsoft Entra 通过向 IT 管理员和安全运营中心 (SOC) 分析师提供适当的上下文来调查和修正标识风险和基于标识的事件，帮助缩短解决时间。 风险用户摘要便于管理员和响应方快速访问上下文中最重要的信息以帮助调查。

快速响应标识威胁：

• 风险摘要：以自然语言总结用户风险级别提升的原因。
• 建议：获取有关如何缓解和响应此类攻击的指导，并通过快速链接访问帮助和文档。

本文介绍如何访问 Microsoft Entra ID 保护和适用于 Microsoft Entra 的Copilot 的风险用户摘要功能。 使用此功能需要 Microsoft Entra ID P2 许可证。

调查有风险的用户

若要查看和调查风险用户，请执行以下操作：

1. 至少以安全信息读取者身份登录到 Microsoft Entra 管理中心。

2. 导航到“保护”>“标识保护”，然后浏览到“风险用户”报告。

3. 从风险用户报表中选择一个用户。

   

4. 在“风险用户详细信息”窗口中，信息显示在“汇总”中。

   

风险用户摘要包含三个部分：

• Copilot 提供的摘要：以自然语言总结 ID 保护为何将用户标记为有风险。
• 需要执行的操作：列出调查此事件并防止未来事件的后续步骤。
• 帮助和文档：列出帮助和文档的资源。

在此示例中，建议的修正是：

• 创建登录风险和基于用户风险的条件访问策略。

建议的帮助和文档包括：

• ID 保护中存在哪些风险？
• 事件响应剧本
• 基于风险的访问策略

后续步骤

• 详细了解风险用户。