Microsoft Security Copilot 简化了 Microsoft Entra 中的作监视,使管理员能够快速分析登录活动、调查审核日志、监视系统运行状况以及使用自然语言查询跟踪服务性能。 此功能有助于维护运营意识,并在问题影响组织之前快速识别和响应问题。
本文介绍了 IT 管理员如何使用 Microsoft Security Copilot 监视和操作技能,通过涵盖以下用例对其 Microsoft Entra 环境进行操作运行状况评审:
使用本文中的提示和示例,将调查结果编译为可采取行动的见解和报告,以便团队或管理层进行运营审查和事件响应。
先决条件
不同的监控和使用案例需要以下角色和许可证:
| 用例 | 角色 | 许可证 | 租户 |
|---|---|---|---|
| 登录日志 | 报表读取者、 安全读取者、 安全管理员或 全局读取者 | Microsoft Entra ID P1 或 P2 许可证 | 具有登录数据的任何公有云租户 |
| 审核日志 | 报表读取者、 安全读取者、 安全管理员或 全局管理员 | 需要免费许可证 | 具有审核活动的任何公有云租户 |
| 预配日志 | 报表读取者、 全局读取者或 应用程序所有者 | 免费 7 天,然后 Microsoft Entra ID P1 | 使用 Microsoft Entra 预配服务的任何租户 |
| 建议 | 应用程序管理员、 标识治理管理员、 特权角色管理员、 条件访问管理员、 安全管理员、 混合标识管理员、 身份验证策略管理员、 身份验证管理员 | 免费 Microsoft Entra ID 或 P1/P2 | 任何租户,也可在工作负荷 ID 中使用 |
| 运行状况监视警报 | 报表读取者、 支持管理员、 安全读取者、 安全操作员、 安全管理员或 全局读取者 | Microsoft Entra ID P2 许可证 | 公有云租户 |
| 服务级别协议 | 报表读取者 | 任何 Microsoft Entra ID 许可证 | 任何租户 |
在 Microsoft Entra 中启动安全助手
根据特定用例,使用适当的管理角色登录到Microsoft Entra管理中心。
从 Microsoft Entra 管理中心的 Copilot 按钮启动安全 Copilot 。
请参阅以下用例和提示,通过自然语言查询以检索信息或执行操作。
注释
如果某个动作因权限不足而被阻止,则会显示推荐的角色。 可以在安全 Copilot 聊天中使用以下提示来激活所需的角色。 这取决于拥有合格的角色分配,以提供必要的访问权限。
- 激活 {必需角色},以便我可以执行 {所需任务}。
分析登录活动
可以通过分析整个组织中的登录活动来开始评估。 了解身份验证模式和识别潜在问题对于维护组织中的安全性和用户体验至关重要。
应用程序和身份验证分析
首先调查与特定应用程序和身份验证方法相关的登录模式,以确保遵循安全策略并确定任何异常或问题。 使用以下提示获取所需的信息:
- 显示特定应用程序的登录。
- 显示没有多重身份验证的登录。
- 显示因特定条件访问策略而导致的登录失败。
- 显示使用不满意的条件访问策略的登录。
设备和位置分析
可以进一步分析基于设备符合性、作系统、浏览器和地理位置的登录活动,以监视异常模式或潜在的安全威胁,并确保适当使用公司设备。 使用以下提示获取所需的信息:
- 显示来自不合规设备的登录。
- 显示来自特定 Web 浏览器的登录名。
- 显示来自特定操作系统的登录活动。
- 显示来自特定位置的登录。
用户活动和安全监视
可以专注于单个用户活动,用于监控可疑行为或高风险登录情况,这些可能说明帐户被入侵或存在安全威胁,需要立即关注。 使用以下提示获取所需的信息:
- 显示自特定时间段以来的登录活动。
- 显示用户 Casey Jensen 的登录活动。
- 显示可疑的登录活动。
- 显示有风险的登录。
检查与管理和用户变更相关的审核日志
接下来,调查审核日志,以跟踪Microsoft Entra 环境中的管理员和用户所做的更改。 此分析有助于识别潜在的安全问题,确保合规性,并确保对管理活动进行适当的治理。 使用以下提示收集所需的信息:
组管理活动
你可以继续调查,方法是专注于组管理活动,这对于维护适当的访问控制非常重要,并确保跟踪与组相关的更改以实现安全性和合规性目的。 使用以下提示获取所需的信息:
- 显示最近删除的组。
- 最近删除了哪些组?
- 我的目录中上次删除的组?
- 谁创建了此组?
- 查找创建特定组的人。
- 组创建详细信息。
- 这些用户创建了哪些组?
- 显示特定用户创建的组。
- 列出用户 Casey Jensen 创建的所有组。
安全和身份验证活动
若要识别潜在的安全问题,请专注于审核日志中的安全和身份验证相关活动。 这有助于确保遵循安全策略,并及时调查任何可疑活动。 还可以调查服务主体的活动,从而确保这些关键操作正常运行。 使用以下提示获取所需的信息:
- 显示有风险的登录。
- 列出可疑登录名。
- 是否有任何有风险的身份验证?
- 列出此服务主体的作业。
分析预配活动
审查审核日志后,可以专注于 Microsoft Entra 环境中的预配活动。 预配日志提供对用户帐户生命周期作的宝贵见解,帮助管理员确保跨连接的应用程序和系统按预期创建、更新和删除用户。 此分析对于维护标识基础结构的完整性并确保流畅的用户管理过程至关重要。
用户配置监测
首先监控个人用户的预配活动,以便跟踪帐户生命周期事件,并确保预配操作对特定用户正常运作。 使用以下提示获取所需的信息:
- 显示此用户的预配日志。
- 获取用户的预配历史记录。
- 显示用户预配活动。
- 显示此用户的最近预配事件。
资源配置失败分析
发生预配问题时,必须快速识别并解决这些问题,以防止用户访问问题。 专注于预配失败,以便了解问题的原因并采取纠正措施。 使用以下提示获取所需的信息:
- 显示预配失败。
- 列出所有失败的预配尝试。
- 显示预配错误日志。
配置成功追踪
监视成功的预配操作,以确保您的预配服务正常运行并跟踪已完成的生命周期事件。 这有助于验证是否正确应用了预期更改。 使用以下提示获取所需的信息:
- 显示成功的配置删除。
- 预配服务是否成功删除了任何用户?
- 显示成功预配禁用。
- 预配服务是否成功禁用了任何用户?
- 显示成功的配置创建结果。
- 列出成功的对象创建。
提供作业状态监控
还可以监视预配作业的状态和性能,以确保它们正常运行,并确定可能需要注意的任何问题。 使用以下提示获取所需的信息:
- 检查预配作业状态。
- 我的预配作业是否已完成?
- 显示此服务主体的预配作业。
通过建议改进安全态势
若要全面了解安全状况,可以利用Microsoft Entra 建议,这有助于确定改进领域并提供可作的见解,以增强组织的安全性和符合最佳做法。
总体建议和安全评分
从常规建议和安全分数分析开始,大致了解租户的安全状况。 使用以下提示收集所需的信息:
- 列出所有 Entra 建议。
- 显示我的租户的历史 Secure Score 数据。
- 显示 Entra 建议“示例”及其详细信息。
- 显示受 Entra 建议影响的资源。
- 显示 Entra 建议“示例”的资源“示例”。
- 列出安全评分建议。
- 列出最佳做法建议。
按类别划分的目标建议
获得一般概述后,可以专注于特定类别的建议,以解决特定关注领域,例如条件访问策略、应用程序安全性和租户配置。 使用以下提示获取所需的信息:
- 列出条件访问策略的建议。
- 显示特定功能区域的 Entra 建议。
- 列出高优先级建议。
- 列出优先级较高的建议。
- 列出处于活动状态的建议。
- 列出用于改进应用组合运行状况的建议。
- 列出减少攻击面风险的建议。
- 列出用于改善应用安全状况的建议。
- 列出租户配置的建议。
- 按影响类型显示 Entra 建议。
应用程序凭据管理
还可以专注于应用程序凭据管理,以确保应用程序是安全的,并且凭据被正确管理,以防止未经授权的访问。 使用以下提示获取所需的信息:
- 哪些企业应用程序具有即将过期的凭据?
- 向我显示凭据即将过期的服务主体。
- 请显示那些凭据即将过期的应用程序。
- 租户中哪些应用过时或未使用?
- 列出未使用的应用。
监视系统运行状况
可以通过监视系统运行状况来继续评估,以检测异常,并在它们影响组织之前主动解决潜在问题。 主动运行状况监视有助于防止服务中断和维护系统可靠性。
健康警报监控
要概览系统的运行状况,可以从监控运行状况警报开始。 这有助于随时了解可能需要注意的任何问题,并确保系统以最佳方式运行。 使用以下提示获取所需的信息:
- 我的租户中有哪些健康警报?
- 列出所有活动运行状况监视警报。
- 我最近的健康监测警报是什么?
- 根据主动健康监控警报,哪些用户受到影响?
- 显示警报 ID [alertId] 的健康监控警报详情。
场景特定的健康监测
获得一般概述后,可以专注于特定的运行状况监视场景,以应对特定关注领域,例如多重身份验证(MFA)问题或设备合规性。 使用以下或与您场景相关的提示来获取所需的信息:
- 显示与 MFA 登录失败相关的健康监控警报。
- 显示托管设备的健康监控警报。
- 显示符合规范的设备健康监控警报。
- 显示设备场景健康监控警报。
跟踪服务级别协议性能
最后,可以评估服务级别协议(SLA)性能,以确保组织满足其承诺并确定任何改进领域。 监控身份验证的可用性 SLA,并审查服务中断情况下的 SLA 报告,以确保服务质量和服务补偿资格。
SLA 性能监控
使用以下提示监视 SLA 性能,并确定可能需要注意的任何潜在问题:
- Microsoft Entra 身份验证的 SLA 是什么?
- 我的Microsoft Entra SLA 是什么?
- Microsoft Entra 身份验证的 SLA 是什么?
- 显示租户的身份验证可用性。
- 我的租户在过去“X”个月中是否有 SLA 违约?