Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита идентификаторов Microsoft Entra применяет возможности Copilot в Microsoft Entra для сводки уровня риска пользователя, предоставления аналитических сведений, относящихся к инциденту, и предоставления рекомендаций по быстрому устранению рисков. Исследование рисков идентификации является важным шагом для защиты организации. Copilot в Microsoft Entra помогает сократить время на разрешение, предоставив ИТ-администраторам и аналитикам центра безопасности (SOC) необходимый контекст для исследования и устранения рисков безопасности удостоверений и инцидентов, связанных с удостоверениями. Сводные данные о рискованных пользователях предоставляют администраторам и респондентам быстрый доступ к наиболее важной информации в контексте для помощи в их расследовании.
Быстро реагировать на угрозы идентификации:
- Обзор рисков: на естественном языке объясните, почему уровень риска пользователя был повышен.
- Рекомендации. Получение рекомендаций по устранению и реагированию на эти типы атак с краткими ссылками на справку и документацию.
В этой статье описывается, как получить доступ к возможности сводного обзора рискованных пользователей в Microsoft Entra ID Protection и Copilot в Microsoft Entra. Для использования этой функции требуются лицензии Microsoft Entra ID P2.
Замечание
Если агент управления рисками удостоверений включен в арендаторе, в этом представлении появится отдельная сводка о рискованных пользователях.
Предпосылки
- Клиент с поддержкой Security Copilot. Дополнительные сведения см. в статье "Начало работы с Microsoft Security Copilot ".
Изучение рискованных пользователей
Чтобы просмотреть и исследовать рискованных пользователей, выполните приведенные ниже действия.
Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.
Перейдите к Защита идентификаторов>Рискованные пользователи.
Выберите пользователя из отчета о рискованных пользователях.
В окне "Сведения о рискованных пользователях" информация отображается в виде сводки.
Сводка о рискованных пользователях содержит три раздела:
- Сводка по Copilot: сводка на естественном языке, почему защита идентификаторов помечает пользователя как риск.
- Что делать: перечислены следующие шаги для расследования этого инцидента и предотвращения будущих инцидентов.
- Справка и документация: список ресурсов для справки и документации.
В этом примере рекомендуемые исправления:
- Создайте политики условного доступа на основе рисков входа и рисков пользователя.
Предлагаемая справка и документация:
- Что такое риск в защите идентификаторов?
- Сборники схем реагирования на инциденты
- Политики доступа на основе рисков
Изучение рискованных пользователей с помощью Copilot
Запустите программу Security Copilot с помощью кнопки Copilot в центре администрирования Microsoft Entra. Используйте вопросы или запросы на естественном языке:
- Список пользователей или их идентификация на основе риска
- Извлечение сведений о рисках для конкретного пользователя
- Сводка журнала рисков пользователей
Список пользователей или их идентификация на основе риска
С помощью Microsoft Security Copilot вы можете легко получить и сводные сведения о состоянии риска пользователей в вашей системе.
Рассмотрим пример.
- Перечислить всех пользователей, помеченных как рискованные.
- Отображение пользователей, которые в настоящее время подвергаются риску.
- Определите пользователей, которые были помечены как рискованные.
- Список всех пользователей, которые были скомпрометированы.
- Отображение пользователей, которые в настоящее время считаются безопасными.
- Сколько пользователей в настоящее время помечены как рискованные?
- Укажите количество всех рискованных пользователей.
Сведения о рисках для конкретного пользователя
Используя Microsoft Security Copilot, вы можете сосредоточиться на определенном пользователе и определить уровень риска.
Рассмотрим пример.
- Определение того, является ли этот пользователь высоким риском в настоящее время
- Отображение подробных сведений о рисках для этого пользователя
История рисков пользователей
С помощью Microsoft Security Copilot вы можете получить прошлую информацию о пользователе, чтобы проследить его историю рисков.
- Отображение журнала рисков для этого пользователя
- Если этот пользователь когда-либо был помечен как рискованный
- Был ли этот пользователь ранее подвержен риску
Связанный контент
- Узнайте больше о рискованных пользователях.