Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Security Copilot obtiene información de los datos de Microsoft Entra a través de muchas funciones diferentes, como Obtener usuarios de riesgo de Entra y Obtener registros de auditoría. Los administradores de TI y los analistas del Centro de operaciones de seguridad (SOC) pueden usar estas aptitudes y otros para obtener el contexto adecuado para ayudar a investigar y corregir incidentes basados en identidades mediante avisos de lenguaje natural.
En este artículo se describe cómo un analista de SOC o un administrador de TI podría usar las aptitudes de Microsoft Entra para investigar un posible incidente de seguridad.
Prerrequisitos
- Un inquilino con Security Copilot habilitado. Consulte Introducción a Microsoft Security Copilot para obtener más información.
Escenario e investigación
Natasha, analista de centro de operaciones de seguridad (SOC) en Woodgrove Bank, recibe una alerta sobre un posible incidente de seguridad basado en identidades. La alerta indica actividad sospechosa de una cuenta de usuario que se ha marcado como un usuario de riesgo. Inicia su investigación e inicia sesión en Microsoft Security Copilot o en el Centro de administración de Microsoft Entra. Para ver los detalles de usuario, grupo, usuario de riesgo, registros de inicio de sesión, registros de auditoría y registros de diagnóstico, ella inicia sesión como lector de seguridad como mínimo. Puede usar Microsoft Security Copilot para activar este rol si está bloqueado debido a la falta de permisos para realizar determinadas acciones:
- Active la {función requerida} para que pueda realizar {tarea deseada}.
Obtención de detalles del usuario
Natasha comienza buscando detalles del usuario marcado: karita@woodgrovebank.com. Revisa la información de perfil del usuario, como el puesto de trabajo, el departamento, el administrador y la información de contacto. También comprueba los roles, aplicaciones y licencias asignados del usuario para comprender a qué aplicaciones y servicios tiene acceso el usuario.
Usa las siguientes indicaciones para obtener la información que necesita:
- Dame todos los detalles del usuario de karita@woodgrovebank.com y extrae el id. de objeto de usuario.
- ¿Está habilitada la cuenta de este usuario?
- ¿Cuándo se ha cambiado o restablecido la contraseña por última vez para karita@woodgrovebank.com?
- ¿karita@woodgrovebank.com tiene algún dispositivo registrado en Microsoft Entra?
- ¿Cuáles son los métodos de autenticación que se registran para karita@woodgrovebank.com si los hay?
Obtención de detalles de usuario de riesgo
Para comprender por qué karita@woodgrovebank.com se marcó como un usuario de riesgo, Natasha comienza a examinar los detalles del usuario de riesgo. Revisa el nivel de riesgo del usuario (bajo, medio, alto o oculto), el detalle del riesgo (por ejemplo, el inicio de sesión desde una ubicación desconocida) y el historial de riesgos (cambios en el nivel de riesgo a lo largo del tiempo). También comprueba las detecciones de riesgo y los inicios de sesión de riesgo recientes, buscando actividad de inicio de sesión sospechosa o actividad de viaje imposible.
Usa las siguientes indicaciones para obtener la información que necesita:
- ¿Cuál es el nivel de riesgo, el estado y los detalles de riesgo de karita@woodgrovebank.com?
- ¿Cuál es el historial de riesgos de karita@woodgrovebank.com?
- Lista de inicios de sesión de riesgo recientes de karita@woodgrovebank.com.
- Enumere los detalles de las detecciones de riesgo para karita@woodgrovebank.com.
Obtener detalles de los registros de inicio de sesión
Después, Natasha revisa los registros de inicio de sesión del usuario y el estado de inicio de sesión (correcto o erróneo), ubicación (ciudad, estado, país), dirección IP, información del dispositivo (id. de dispositivo, sistema operativo, explorador) e nivel de riesgo de inicio de sesión. También comprueba el identificador de correlación de cada evento de inicio de sesión, que se puede usar para una investigación más detallada.
Usa las siguientes indicaciones para obtener la información que necesita:
- ¿Puedes darme registros de inicio de sesión de karita@woodgrovebank.com durante las últimas 48 horas? Coloca esta información en formato de tabla.
- Muéstrame los inicios de sesión fallidos de karita@woodgrovebank.com en los últimos 7 días e infórmame de las direcciones IP.
Obtención de los detalles de los registros de auditoría
Natasha comprueba los registros de auditoría, buscando cualquier acción inusual o no autorizada realizada por el usuario. Comprueba la fecha y hora de cada acción, el estado (correcto o erróneo), el objeto de destino (por ejemplo, archivo, usuario, grupo) y la dirección IP del cliente. También comprueba el identificador de correlación de cada acción, que se puede usar para una investigación más detallada.
Usa las siguientes indicaciones para obtener la información que necesita:
- Obtén los registros de auditoría de Microsoft Entra de karita@woodgrovebank.com durante las últimas 72 horas. Coloca la información en formato de tabla.
- Mostrar registros de auditoría para este tipo de evento.
Obtención de detalles del grupo
Natasha revisa los grupos que karita@woodgrovebank.com forman parte de para ver si Karita es miembro de cualquier grupo inusual o confidencial. Revisa las pertenencias a grupos y los permisos asociados con el identificador de usuario de Karita. Comprueba el tipo de grupo (seguridad, distribución u Office 365), tipo de pertenencia (asignado o dinámico) y los propietarios del grupo en los detalles del grupo. También revisa los roles del grupo para determinar qué permisos tiene para administrar recursos.
Usa las siguientes indicaciones para obtener la información que necesita:
- Obtenga los grupos de usuarios de Microsoft Entra de los que karita@woodgrovebank.com es miembro. Coloca la información en formato de tabla.
- Cuéntame más sobre el grupo del Departamento de Finanzas.
- ¿Quiénes son los propietarios del grupo del Departamento de Finanzas?
- ¿Qué roles tiene este grupo?
Desactivar el rol
Después de completar sus tareas con Microsoft Security Copilot, Natasha debe desactivar los roles elevados activados durante su sesión para mantener los procedimientos recomendados de seguridad. Usa la siguiente instrucción para desactivar su rol:
- He terminado con mi investigación o {tarea deseada}, desactive mi acceso.
Remediar
Con Security Copilot, Natasha puede recopilar información completa sobre el usuario, las actividades de inicio de sesión, los registros de auditoría, las detecciones de usuarios de riesgo, las pertenencias a grupos y los diagnósticos del sistema. Después de completar su investigación, Natasha debe tomar medidas para corregir el usuario arriesgado o desbloquearlos.
Lee sobre la corrección de riesgos, el desbloqueo de los usuarios y los cuadernos de estrategias de respuesta para determinar las posibles acciones que se van a realizar a continuación.
Contenido relacionado
Más información sobre: