Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot erhält Einblicke aus Ihren Microsoft Entra-Daten durch viele verschiedene Funktionen, wie "Erhalte Entra risikoreiche Benutzer" und "Erhalte Prüfprotokolle". IT-Administratoren und SOC-Analysten (Security Operations Center) können diese und andere Fähigkeiten nutzen, um den angemessenen Kontext zu gewinnen und identitätsbasierte Vorfälle mithilfe von Eingabeaufforderungen in natürlicher Sprache zu untersuchen und zu beheben.
In diesem Artikel wird beschrieben, wie ein SOC-Analyst oder IT-Administrator die Microsoft Entra-Fähigkeiten verwenden kann, um einen potenziellen Sicherheitsvorfall zu untersuchen.
Voraussetzungen
- Ein Mandant mit aktiviertem Security Copilot. Weitere Informationen finden Sie unter "Erste Schritte mit Microsoft Security Copilot ".
Szenario und Untersuchung
Natasha, ein SOC-Analyst (Security Operations Center) der Woodgrove Bank, erhält eine Warnung über einen potenziellen identitätsbasierten Sicherheitsvorfall. Die Warnung weist auf verdächtige Aktivitäten aus einem Benutzerkonto hin, das als riskanter Benutzer gekennzeichnet wurde. Sie startet ihre Untersuchung und meldet sich bei Microsoft Security Copilot oder dem Microsoft Entra Admin Center an. Um Einzelheiten zu Benutzer-, Gruppen-, risikobehafteten Benutzer-, Anmelde-, Überwachungs- und Diagnoseprotokollen anzuzeigen, meldet sie sich als mindestens Sicherheitsleser an. Sie kann Microsoft Security Copilot verwenden, um diese Rolle zu aktivieren, wenn sie aufgrund fehlender Berechtigungen zum Ausführen bestimmter Aktionen blockiert wird:
- Aktivieren Sie die {erforderliche Rolle}, damit ich {desired task} ausführen kann.
Abrufen von Benutzerdetails
Natasha beginnt mit dem Nachschlagen von Details des gekennzeichneten Benutzers: karita@woodgrovebank.com. Sie überprüft die Profilinformationen des Benutzers wie Position, Abteilung, Manager und Kontaktinformationen. Außerdem überprüft sie die zugewiesenen Rollen, Anwendungen und Lizenzen des Benutzers, um zu verstehen, auf welche Anwendungen und Dienste der Benutzer zugreifen kann.
Sie verwendet die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:
- Zeigen Sie mir alle Benutzerdetails für karita@woodgrovebank.com an, und extrahieren Sie die Benutzerobjekt-ID.
- Ist das Konto dieses Benutzers aktiviert?
- Wann wurde das Kennwort zuletzt geändert oder zurückgesetzt?karita@woodgrovebank.com
- Verfügt karita@woodgrovebank.com über registrierte Geräte in Microsoft Entra?
- Welche Authentifizierungsmethoden sind für karita@woodgrovebank.com registriert, falls vorhanden?
Abrufen riskanter Benutzerdetails
Um zu verstehen, warum karita@woodgrovebank.com als riskanter Benutzer gekennzeichnet wurde, beginnt Natasha mit der Betrachtung der riskanten Benutzerdetails. Sie überprüft das Risikoniveau des Benutzers (niedrig, mittel, hoch oder ausgeblendet), das Risikodetail (z. B. anmeldung von einem unbekannten Standort) und den Risikoverlauf (Änderungen des Risikoniveaus im Laufe der Zeit). Außerdem überprüft sie die Risikoerkennungen und die jüngsten riskanten Anmeldungen, sucht nach verdächtigen Anmeldeaktivitäten oder unmöglichen Reiseaktivitäten.
Sie verwendet die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:
- Wie hoch ist das Risikoniveau, der Status und die Risikodetails für karita@woodgrovebank.com?
- Was ist die Risikogeschichte für karita@woodgrovebank.com?
- Listen Sie die letzten Risikoanmeldungen für karita@woodgrovebank.com auf.
- Listen Sie die Details zu Risikowarnungen für karita@woodgrovebank.com auf.
Abrufen von Anmeldeprotokolldetails
Natasha überprüft dann die Anmeldeprotokolle für den Benutzer und den Anmeldestatus (Erfolg oder Fehler), Standort (Ort, Bundesland, Land), IP-Adresse, Geräteinformationen (Geräte-ID, Betriebssystem, Browser) und Anmelderisikostufe. Außerdem überprüft sie die Korrelations-ID für jedes Anmeldeereignis, das zur weiteren Untersuchung verwendet werden kann.
Sie verwendet die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:
- Können Sie Anmeldeprotokolle für karita@woodgrovebank.com der letzten 48 Stunden abrufen? Stellen Sie diese Informationen im Tabellenformat dar.
- Zeigen Sie mir fehlgeschlagene Anmeldungen für karita@woodgrovebank.com die letzten 7 Tage an, und teilen Sie mir mit, was die IP-Adressen sind.
Abrufen der Überwachungsprotokolldetails
Natasha überprüft die Überwachungsprotokolle und sucht nach ungewöhnlichen oder nicht autorisierten Aktionen, die vom Benutzer ausgeführt werden. Sie überprüft das Datum und die Uhrzeit jeder Aktion, den Status (Erfolg oder Fehler), das Zielobjekt (z. B. Datei, Benutzer, Gruppe) und die Client-IP-Adresse. Sie überprüft auch die Korrelations-ID für jede Aktion, die zur weiteren Untersuchung verwendet werden kann.
Sie verwendet die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:
- Rufen Sie Microsoft Entra-Überwachungsprotokolle für karita@woodgrovebank.com der letzten 72 Stunden ab. Stellen Sie die Informationen im Tabellenformat dar.
- Überwachungsprotokolle für diesen Ereignistyp anzeigen.
Abrufen von Gruppendetails
Natasha überprüft dann die Gruppen, deren Mitglied karita@woodgrovebank.com ist, um festzustellen, ob Karita Mitglied irgendeiner ungewöhnlichen oder sensiblen Gruppe ist. Sie überprüft die Gruppenmitgliedschaften und Berechtigungen, die mit der Benutzer-ID von Karita verknüpft sind. Sie überprüft den Gruppentyp (Sicherheit, Verteilung oder Office 365), den Mitgliedschaftstyp (zugewiesen oder dynamisch) und die Besitzer der Gruppe in den Gruppendetails. Außerdem überprüft sie die Rollen der Gruppe, um zu bestimmen, welche Berechtigungen sie für die Verwaltung von Ressourcen hat.
Sie verwendet die folgenden Eingabeaufforderungen, um die benötigten Informationen abzurufen:
- Rufen Sie die Microsoft Entra-Benutzergruppen ab, bei denen karita@woodgrovebank.com Mitglied ist. Stellen Sie die Informationen im Tabellenformat dar.
- Erzählen Sie mir mehr über die Finanzabteilungsgruppe.
- Wer sind die Besitzer der Finanzabteilungsgruppe?
- Welche Rollen hat diese Gruppe?
Deaktivieren Ihrer Rolle
Nach Abschluss ihrer Aufgaben mit Microsoft Security Copilot muss Natasha alle während ihrer Sitzung aktivierten erhöhten Rollen deaktivieren, um bewährte Methoden für die Sicherheit beizubehalten. Sie verwendet die folgende Eingabeaufforderung, um ihre Rolle zu deaktivieren:
- Ich bin mit meiner Untersuchung oder {gewünschten Aufgabe} fertig, deaktiviert meinen Zugriff.
Korrigieren
Mithilfe von Security Copilot kann Natasha umfassende Informationen über den Benutzer, Anmeldeaktivitäten, Überwachungsprotokolle, riskante Benutzererkennungen, Gruppenmitgliedschaften und Systemdiagnosen sammeln. Nach Abschluss ihrer Untersuchung muss Natasha Maßnahmen ergreifen, um den riskanten Benutzer zu beheben oder die Blockierung aufzuheben.
Sie liest Informationen zur Risikobehebung, zum Entsperren von Benutzern und zu Antwort-Playbooks, um mögliche nächste Schritte zu ermitteln.
Verwandte Inhalte
Weitere Informationen zu: