Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Security Copilot получает аналитические сведения из данных Microsoft Entra с помощью множества различных навыков, таких как Получение рискованных пользователей Entra и Получение журналов аудита. ИТ-администраторы и аналитики центра безопасности (SOC) могут использовать эти и другие навыки, чтобы получить необходимый контекст и помочь в расследовании и устранении инцидентов, связанных с удостоверениями, используя команды на естественном языке.
В этой статье описывается, как аналитик SOC или ИТ-администратор могут использовать навыки Microsoft Entra для расследования потенциального инцидента безопасности.
Предпосылки
- Клиент с поддержкой Security Copilot. Дополнительные сведения см. в статье "Начало работы с Microsoft Security Copilot ".
Сценарий и исследование
Наташа, аналитик центра безопасности (SOC) в Woodgrove Bank, получает предупреждение о потенциальном инциденте безопасности на основе удостоверений. Оповещение указывает на подозрительные действия из учетной записи пользователя, помеченной как рискованный пользователь. Она начинает свое расследование и входит в Microsoft Security Copilot или Центр администрирования Microsoft Entra. Чтобы просмотреть сведения о пользователях, группах, рискованных пользователях, журналах входа, журналах аудита и журналах диагностики, она входит по крайней мере с ролью Читатель безопасности. Она может использовать Microsoft Security Copilot для активации этой роли, если она заблокирована из-за отсутствия разрешений на выполнение определенных действий:
- Активируйте {требуемую роль}, чтобы выполнить {нужную задачу}.
Получение сведений о пользователе
Наташа начинается с поиска сведений о помеченных пользователей: karita@woodgrovebank.com Она просматривает сведения о профиле пользователя, такие как должность, отдел, менеджер и контактные данные. Она также проверяет назначенные пользователям роли, приложения и лицензии, чтобы понять, к каким приложениям и службам у пользователя есть доступ.
Она использует следующие запросы, чтобы получить необходимую информацию:
- Предоставьте мне все сведения о karita@woodgrovebank.com пользователе и извлеките идентификатор объекта пользователя.
- Включена ли учетная запись этого пользователя?
- Когда пароль был изменен или сброшен для karita@woodgrovebank.com?
- Есть karita@woodgrovebank.com ли зарегистрированные устройства в Microsoft Entra?
- Какие методы проверки подлинности зарегистрированы karita@woodgrovebank.com , если таковые имеются?
Получение сведений о рискованных пользователях
Чтобы понять, почему karita@woodgrovebank.com был помечен как рискованный пользователь, Наташа начинает смотреть на рискованные сведения о пользователе. Она проверяет уровень риска пользователя (низкий, средний, высокий или скрытый), подробные сведения о рисках (например, вход из незнакомого расположения) и журнал рисков (изменения уровня риска с течением времени). Она также проверяет обнаруженные риски и недавние попытки рискованных входов, ищет признаки подозрительной активности входа или невозможную активность, связанную с путешествиями.
Она использует следующие запросы, чтобы получить необходимую информацию:
- Каков уровень риска, статус и сведения о рисках для karita@woodgrovebank.com?
- Что такое журнал рисков для karita@woodgrovebank.com?
- Перечислить последние рискованные входы.karita@woodgrovebank.com
- Список сведений об обнаружении рисков для karita@woodgrovebank.com.
Получение сведений о журналах входа
Затем Наташа проверяет журналы входа для пользователя и состояния входа (успешное выполнение или сбой), расположение (город, штат, страна), IP-адрес, сведения об устройстве (идентификатор устройства, операционная система, браузер) и уровень риска входа. Она также проверяет идентификатор корреляции для каждого события входа, который можно использовать для дальнейшего изучения.
Она использует следующие запросы, чтобы получить необходимую информацию:
- Можете ли вы дать мне журналы входа за karita@woodgrovebank.com последние 48 часов? Поместите эти сведения в табличный формат.
- Покажите мне неудачные входы для karita@woodgrovebank.com за последние 7 дней и сообщите мне IP-адреса.
Получение сведений о журналах аудита
Наташа проверяет журналы аудита, ищет какие-либо необычные или несанкционированные действия, выполняемые пользователем. Она проверяет дату и время каждого действия, состояние (успех или сбой), целевой объект (например, файл, пользователь, группа) и IP-адрес клиента. Она также проверяет идентификатор корреляции для каждого действия, которое можно использовать для дальнейшего исследования.
Она использует следующие запросы, чтобы получить необходимую информацию:
- Получение журналов аудита Microsoft Entra за karita@woodgrovebank.com последние 72 часа. Поместите сведения в формат таблицы.
- Показать журналы аудита для этого типа события.
Получение сведений о группе
Наташа затем проверяет группы, частью которых является karita@woodgrovebank.com, чтобы выяснить, состоит ли Карита в каких-либо необычных или конфиденциальных группах. Она проверяет членство в группах и разрешения, связанные с идентификатором пользователя Karita. Она проверяет тип группы (безопасность, распространение или Office 365), тип членства (назначенный или динамический) и владельцы группы в сведениях о группе. Она также проверяет роли группы, чтобы определить, какие разрешения у нее имеются для управления ресурсами.
Она использует следующие запросы, чтобы получить необходимую информацию:
- Получите группы пользователей Microsoft Entra, членом которых является karita@woodgrovebank.com. Поместите сведения в формат таблицы.
- Расскажите мне больше о группе отдела финансов.
- Кто является владельцами группы отдела финансов?
- Какие роли у этой группы?
Деактивируйте свою роль
После выполнения задач с Microsoft Security Copilot Наташа должна отключить все повышенные роли, активированные во время ее сеанса, чтобы поддерживать рекомендации по обеспечению безопасности. Она использует следующую команду, чтобы деактивировать свою роль:
- Я завершена с моим исследованием или {требуемой задачей}, деактивируйте доступ.
Устранить
С помощью Security Copilot Наташа может собирать исчерпывающие сведения о пользователях, действиях входа, журналах аудита, обнаружения рискованных пользователей, членстве в группах и системной диагностике. После завершения расследования Наташа должна принять меры, чтобы исправить рискованного пользователя или разблокировать их.
Она читает о устранении рисков, разблокировке пользователей и планах реагирования, чтобы определить возможные шаги для дальнейших действий.
Связанный контент
Дополнительные сведения: