Entdecken Sie die Funktionen von Copilot in Microsoft Entra

  • 30 Minuten

In dieser Übung erkunden Sie mehrere, reale Szenarien, die die Vorteile und den Wert von Copilot in Microsoft Entra hervorheben.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Da es sich um eine eingeschränkte Simulation handelt, werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Eine Popupmeldung zeigt an, dass "Dieses Feature ist in der Simulation nicht verfügbar" angezeigt wird. Wählen Sie in diesem Fall "OK" aus, und fahren Sie mit den Übungsschritten fort.

Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Übung

Diese Übung besteht aus vier unabhängigen Aufgaben, die die Funktionen von Security Copilot in Microsoft Entra untersuchen.

Diese Übung dauert ca. 30 Minuten.

Hinweis

Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie gleichzeitig die Anweisungen und die Übungsumgebung anzeigen können. Wählen Sie dazu die rechte Maustaste und dann die Option aus.

Aufgabe: Recherchieren und Beheben riskanter Benutzer mit Copilot in Microsoft Entra

Sie sind ein Identitäts-Admin bei Woodgrove. Sie glauben, dass es einige Benutzer im Unternehmen gibt, die durch Phishingangriffe kompromittiert werden können. Sie möchten Copilot in Microsoft Entra verwenden, um riskante Benutzer zu überprüfen. Wenn Sie einen finden, können Sie Copilot verwenden, um das Problem zu beheben und zukünftige Vorkommen zu verhindern. Der primäre Benutzer, den Sie für kompromittiert halten, ist Serena Markunaite.

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Entra Admin Center.

  2. Scrollen Sie im Menü auf der linken Seite nach unten, und öffnen Sie das Menü "Schutz ".

  3. Wählen Sie im Untermenü den Identitätsschutz aus.

    • Wir möchten das Dashboard verwenden, um sich das Diagramm "Anzahl der Benutzer mit hohem Risiko" anzusehen. Beachten Sie, dass mehr als 100 riskante Benutzeraktivitäten erkannt wurden.
    • Wir werden in ein paar Minuten zu diesem Bericht zurückkehren.

  4. Lassen Sie uns einige Untersuchungen zu potenziellen riskanten Benutzern durchführen.

  5. Wählen Sie oben rechts auf dem Bildschirm die Schaltfläche "Copilot " aus.

  6. Nehmen Sie sich einen Moment Zeit, um die Beispielaufforderungen zu überprüfen, die in Copilot bereitgestellt werden.

  7. Geben Sie die Eingabeaufforderung "Meine riskantesten Benutzer anzeigen " ein, und wählen Sie den Pfeil aus.

    • Beachten Sie, dass der Benutzer, um den wir uns Sorgen gemacht haben (Serena), in der Liste ist.

  8. Sehen Sie sich unten in der Copilot-Antwort einen Link zum Bericht "Risky Users" an.

  9. Wählen Sie den Link Risikobenutzerbericht in Entra ID Protectionaus.

  10. Wählen Sie Serena Markunaite aus der Liste der riskanten Benutzer aus.

    • Dadurch wird eine automatisch generierte Zusammenfassung des Benutzerrisikos von Copilot geöffnet. Sie sehen nun einen bestimmten Grund, warum Serena ein erhöhtes Risiko hat.
    • Beachten Sie außerdem die Was zu tun ist Empfehlungen.

  11. Wir müssen etwas tiefer gehen und sehen, ob wir dieses riskante Benutzerverhalten nachverfolgen können. Haben sie Aktivitäten außerhalb ihrer normalen Nutzung durchgeführt?

  12. Geben Sie im Copilot-Dialogfeld die Eingabeaufforderung Zeigen Sie mir die Anmeldungen für die Serena einen Tag vor und nach der Warnung ein.

    • Beachten Sie den fehlgeschlagenen Benutzeranmeldungsversuch und dann einige sofortige erfolgreiche Versuche aus einer alternativen IP-Adresse. Sieht wie verdächtiges Verhalten aus.
    • Das Zurücksetzen eines Kennworts oder einer MFA reicht möglicherweise nicht aus, wenn sich ein Angreifer beim System angemeldet hat. Überprüfen wir, ob kürzlich Änderungen an den MFA-Einstellungen vorgenommen wurden.

  13. Geben Sie die Copilot-Abfrage Welche MFA-Methoden sind für diesen Benutzer verfügbar? ein.

    • Beachten Sie, dass der MFA-Standard des Unternehmens "Password plus Authenticator" weiterhin angewandt wird.

  14. Wir haben das Problem recherchiert und die erforderlichen Informationen gesammelt. Jetzt ist es an der Zeit, die Behebung von Angriffen im Attacker-in-the-Middle-Stil zu planen.

  15. Fragen Sie den Copilot nach Empfehlungen mit der Aufforderung Was sollte ich tun, um diese Man-in-the-Middle-Bedrohung zu beheben?.

  16. Scrollen Sie im Copilot-Fenster nach oben, um die gesamte Antwort zu überprüfen.

    • Die Copilot-Antwort umfasst Möglichkeiten, die aktuellen Probleme zu beheben. All diese Maßnahmen sind hervorragend geeignet, um den aktuellen potenziellen Vorfall zu verhindern, aber künftige Versuche werden sie nicht verhindern. Was können wir tun?
    • Erinnerung – In den Riskanten Benutzerdetails werden Empfehlungen gegeben, was zu tun ist, um sich vor zukünftigen Angriffen zu schützen.

  17. Es gibt einen Vorschlag, richtlinien für den bedingten Zugriff zu verwenden, um diesen Benutzer zu schützen. Verwenden Sie Copilot, um mehr zu erfahren.

  18. Geben Sie die Eingabeaufforderung Kann ich eine risikobasierte Richtlinie für den bedingten Zugriff verwenden, um die Reaktion auf diese Erkennungen zu automatisieren? ein.

    • Beachten Sie, dass Sie Richtlinien für den bedingten Zugriff verwenden können. Identisch mit den vorherigen Empfehlungen, die wir erhalten haben.

  19. Bitten Sie Copilot, Ihnen Schritt-für-Schritt-Anleitungen zu geben, wie Sie mit der Eingabeaufforderung Wie erstelle ich eine richtlinienbasierte Zugriffsregelung basierend auf Anmelderisiken für diesen Benutzer? einrichten können.

    • Überprüfen Sie die bereitgestellten Schritte.

    Hinweis

    Die generierten Anweisungen gelten für eine einzelne Benutzerrichtlinie. Microsoft empfiehlt nicht, eine Richtlinie für jeden Benutzer zu erstellen, sondern sie mithilfe von Sicherheitsgruppen zu erstellen, um bei der Wartung zu helfen.

  20. Schließen Sie die simulierte Umgebung , indem Sie den Browser beenden.

Überprüfen: Sie haben diese Laborsimulation abgeschlossen. Denken Sie daran, wie Sie Copilot schnell verwenden konnten, um eine Liste riskanter Benutzer zu erhalten, ihre identitätsbasierten Aktivitäten zu recherchieren, zu überprüfen, ob das Konto kompromittiert angezeigt wurde, und einen Korrekturpfad zu finden. Copilot eingebettet für Microsoft Entra ist ein Power-Tool zur Unterstützung Ihrer Identitäts- und Zugriffsverwaltungsaufgaben.

Aufgabe: Verwenden von Security Copilot in Microsoft Entra zur Problembehandlung beim Zugriff

Sie sind ein Identitäts-Admin bei Woodgrove. Sie sind Mitglied des Helpdesks und wurden aufgefordert, ein Problemticket zu prüfen, das von einem Remotemitarbeiter übermittelt wurde, der häufig an sicheren Kundenstandorten arbeitet. Der Mitarbeiter meldet, dass er sich nicht authentifizieren kann, wenn er vom sicheren Standort eines Kunden arbeitet, der es Benutzern nicht ermöglicht, externe Geräte einschließlich mobiler Geräte und Laptops mitzubringen. Als Identitätsadministrator wissen Sie, dass der Authentifizierungsprozess so eingerichtet ist, dass immer telefonbasierte MFA verwendet wird, Sie aber die Anmeldeversuche des Benutzers untersuchen möchten. Copilot kann dabei helfen, die Herausforderung der Benutzeranmeldung schnell zu untersuchen und zu recherchieren. Der Benutzer ist Khamala Ervello.

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Entra Admin Center.

  2. Wählen Sie oben rechts auf dem Bildschirm die Schaltfläche "Security Copilot " aus.

  3. Geben Sie die Eingabeaufforderung "Erzählen Sie mir mehr über kher40@woodgrove.ms Khamala" ein, um weitere Informationen zu erhalten.

    • Beachten Sie die Details, dass Khamala ein gültiger Benutzer ist und Zugriff haben sollte.

  4. Wir müssen den fehlgeschlagenen Anmeldeversuch recherchieren. Verwenden Sie die Eingabeaufforderung "Zuletzt fehlgeschlagene Anmeldung anzeigen kher40@woodgrove.ms", um Einblick in Anmeldefehler zu erhalten.

    • Beachten Sie, dass der genaue Fehler, den der Benutzer beschrieben hat, aufgetreten ist: MFA-Timeout.
    • Können wir überprüfen, ob andere verdächtige Aktivitäten vorhanden sind?

  5. Geben Sie die Eingabeaufforderung in Security Copilot ein: Gab es ungewöhnliches oder riskantes Verhalten bei kher40@woodgrove.ms dem Anmeldeversuch?

    • Wir sehen kein riskantes oder ungewöhnliches Verhalten für diesen Benutzer.
    • Können wir ihnen helfen, angemeldet zu werden, damit sie arbeiten können?

  6. Überprüfen Sie, welche MFA-Methoden bei Woodgrove mit der Eingabeaufforderung verfügbar sind Welche Authentifizierungsmethoden gelten als MFA?.

    • Beachten Sie die Liste der verfügbaren MFA-Methoden und die bereitgestellten Links zur Recherche ihrer Werte und Stärke.

  7. FIDO2-Passkey ist die sicherste Option, ohne dass eine Telefonüberprüfung erforderlich ist. Können wir überprüfen, ob Khamala für FIDO2 registriert ist?

  8. Erkundigen Sie sich bei Copilot mit der Eingabeaufforderung Ist kher40@woodgrove.ms für die FIDO2-Authentifizierung registriert? .

    • Ist der Benutzer nicht für FIDO2 eingerichtet, können wir ihn passwortlos einrichten?

  9. Fragen Sie den Copiloten, wie Sie dies mit der Eingabeaufforderung Wie gehe ich vor, um kher40@woodgrove.ms für die passwortlose Authentifizierung einzurichten? einrichten können.

  10. Überprüfen Sie den Von Security Copilot bereitgestellten Schritt, um Khamala bei der Einrichtung kennwortloser Anmeldung zu unterstützen, sodass dieses Problem behoben ist.

  11. Nachdem Sie die Schritte mit Khamala überprüft haben, können Sie eine E-Mail mit einer Kopie der Anweisungen senden.

  12. Schließen Sie die simulierte Umgebung , indem Sie den Browser beenden.

Review: Security Copilot in Microsoft Entra ist Ihr Begleiter am Helpdesk. Mit einigen einfachen Eingabeaufforderungen können Sie die Rolle eines Benutzers im Unternehmen bestätigen, recherchieren, dass sein Konto keine riskanten Aktivitäten anzeigt, und ihnen bei der Behebung von Anmeldeproblemen helfen.

Aufgabe: Beheben von App-Sicherheitsproblemen mit Security Copilot in Microsoft Entra

Sie sind ein Identitäts-Admin bei Woodgrove. Ihr Unternehmen hat viele Unternehmensanwendungen im Laufe der Jahre verwendet, und einige werden nicht mehr verwendet. Ihr Auftrag besteht darin, nicht verwendete Anwendungen in Ihrem Microsoft Entra-Mandanten nachzuverfolgen und zu entfernen. Sie sollten recherchieren, ob verdächtige Aktivitäten mit den Apps oder deren Daten im Rahmen der Arbeit verknüpft sind. Security Copilot in Microsoft Entra kann ihnen helfen.

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Entra Admin Center.

  2. Überprüfen Sie die im Microsoft Entra-Dashboard bereitgestellten Daten.

  3. Suchen Sie den Abschnitt zu Ihrer Identitätssicherheitsbewertung.

    • Beachten Sie, dass Sie Empfehlungen dazu haben, wie Sie Ihren Mandanten noch sicherer machen können.
    • Beachten Sie, dass eines der Elemente "Nicht verwendete Anwendung entfernt" ist.

  4. Wählen Sie oben rechts auf dem Bildschirm die Schaltfläche "Security Copilot " aus.

  5. Verwenden Sie die Eingabeaufforderung " Nicht verwendete Anwendungen anzeigen ", um nicht verwendete Anwendungen zu finden.

    • Überprüfen Sie die Liste der Apps.

  6. Es wäre großartig zu wissen, wer diese Apps besitzt.

  7. Um die Besitzer zu finden, geben Sie die Eingabe Wer sind die Besitzer der Dienstprinzipale, die diesen Apps zugeordnet sind? ein.

    • Beachten Sie, dass viele von ihnen keine Besitzer haben.

  8. Lassen Sie uns Copilot fragen, wie wir die Apps mithilfe der Eingabeaufforderung Wie entferne ich diese? entfernen können.

  9. Überprüfen Sie die Schritte, die bereitgestellt werden, um die Anwendung manuell mithilfe des Microsoft Entra Admin Centers zu entfernen, oder sehen Sie sich PowerShell-Skripts an.

    Hinweis

    Obwohl diese Simulation diese Schritte nicht aktiv zum Entfernen der Anwendung verwendet, können Sie sehen, wie Security Copilot Ihnen dabei helfen kann, nicht verwendete Anwendungen schnell zu entfernen.

  10. Scrollen Sie im Copilot-Fenster nach oben, um die Liste der ursprünglich bereitgestellten Apps anzuzeigen.

  11. Suchen Sie die Anwendung "Woodgrove Intranet", und notieren Sie sich den Namen des Besitzers: Braden Goudy (Corp).

  12. Schließen Sie jetzt das Security Copilot-Fenster .

  13. Wählen Sie im Menü auf der linken Seite des Bildschirms das Menü "Favoriten" aus.

    • Favoriten sind ein großartiger Ort, um Ihre am häufigsten verwendeten Tools zu speichern.

  14. Wählen Sie riskante Aktivitäten aus der Liste der Favoriten aus.

    • Alternativ können Sie das Menü "Schutz " öffnen und dann im Menü "Riskante Aktivitäten " auswählen.

  15. Suchen Sie Bradens Namen in der Liste, und beachten Sie, dass er gefährdet ist.

  16. Wählen Sie seinen Namen aus, um eine Security Copilot-Zusammenfassung des riskanten Verhaltens zu öffnen.

    • Es gibt mehrere unbekannte Anmeldeversuche im Verlauf.

  17. Überprüfen Sie die Vorschläge, wie jegliche Risiken, die durch den Benutzer entstehen, abgemildert werden können.

  18. Schließen Sie die simulierte Umgebung , indem Sie den Browser beenden.

Überprüfen: In dieser Simulation haben Sie Security Copilot eingesetzt, um schnell nicht verwendete Anwendungen und deren Besitzer zu identifizieren. Sie konnten die schrittweisen Anleitungen finden, um sie aus Ihrem System zu entfernen. Darüber hinaus haben Sie bemerkt, dass die drei Anwendungen mit einem Besitzer, deren Besitzer als Braden Goudy (Corp) aufgeführt ist, keine zugeordnete Benutzer-ID haben. Mit diesen Informationen konnten Sie die Verwendung des Anwendungsbesitzers überprüfen und ein mögliches riskantes Verhalten finden.

Aufgabe: Erkunden von Security Copilot in Microsoft Entra

Sie sind ein Identitäts-Admin bei Woodgrove. Ihnen wurde mitgeteilt, dass der Benutzer Rovshan Hasanli möglicherweise ein seltsames Verhalten zeigen könnte, wenn er sich mit der Woodgrove-Seite verbindet. Sie möchten die Überwachungsprotokolle verwenden, um die Aktivitäten zu recherchieren.

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Entra Admin Center.

  2. Wählen Sie oben rechts auf dem Bildschirm die Schaltfläche "Security Copilot" aus.

  3. Beginnen wir mit einer einfachen Eingabeaufforderung wie "Sagen Sie mir über Benutzer Rovshan Hasanli?". Beachten Sie, dass in der Eingabeaufforderungsantwort das Feld "Konto aktiviert" auf "false" festgelegt ist, sodass das Konto deaktiviert ist.

  4. Wir müssen Informationen über den Benutzer aus den Überwachungsprotokollen ermitteln. Verwenden Sie die Eingabeaufforderung "Microsoft Entra-Überwachungsprotokollereignisse anzeigen", die von diesem Benutzer in der letzten Woche initiiert wurden , um weitere Informationen zu finden.

    • Überprüfen Sie die Informationen zur Rolle "Benutzeradministrator", die in PIM zugewiesen wird.
    • Beachten Sie, dass der Security Copilot daran erinnert hat, dass wir bereits nach Rovshan gefragt und diesen Kontext beibehalten haben. Sie könnten auch den Namen in der Eingabeaufforderung angegeben haben.
    • Ohne Security Copilot müssten die Protokolle geöffnet und manuell nach Einträgen gesucht werden.

  5. Überprüfen wir die Anmeldung des Benutzers mit der Eingabeaufforderung " Anmeldedaten von diesem Benutzer anzeigen".

    • Es ist ungewöhnlich, dass ein Benutzer, dessen Konto deaktiviert ist, sich anmelden und PIM verwenden konnte.

  6. Scrollen Sie im Security Copilot-Fenster nach oben, um den Link Rovshan Hasanlis Profil aus der ersten Abfrage zu finden, die wir in Security Copilot getan haben.

  7. Wählen Sie den Link Rovshan Hasanlis Profil aus.

    • Alternativ können Sie zur Seite "Alle Benutzer " navigieren, indem Sie zum linken Seitenmenü wechseln und "Identität" und dann " Benutzer" und dann " Alle Benutzer" auswählen.
    • Wählen Sie das Feld "Nach Benutzern suchen " aus, und geben Sie "Rovshan" ein.
    • Wählen Sie das Konto von Rovshan Hasanli aus.

  8. Interessant ist, dass das Konto im Kontostatusdeaktiviert ist.

  9. Kehren Sie zum Security Copilot-Fenster zurück, und scrollen Sie zur Seite Überwachungsprotokolle.

  10. Wählen Sie den Link zur Seite „Überwachungsprotokolle“.

    • Alternativ können Sie über das linke Seitenmenü zu der Seite navigieren, indem Sie zu Identität, dann Überwachung & Zustand und anschließend zu Anmeldeprotokolle wechseln.

  11. Wenn die Seite geöffnet wird, wählen Sie die Schaltfläche " Filter hinzufügen " aus.

  12. Wählen Sie die Initiiert von (Akteur) aus den verlorenen Filtern aus, geben Sie Rovshan ein, und wählen Sie schließlich Anwenden aus.

    • Es gibt mehrere PIM-Aktivitäten von Rovshan.

  13. Kehren Sie erneut zum Security Copilot-Fenster zurück und suchen Sie den Link zur Seite "Anmeldeereignisse".

  14. Wählen Sie den Link Seite für Anmeldeereignisse aus.

    • Alternativ können Sie über das linke Seitenmenü zu der Seite navigieren, indem Sie zu Identität, dann Überwachung & Zustand und anschließend zu Anmeldeprotokolle wechseln.

  15. Wenn die Seite geöffnet wird, wählen Sie die Schaltfläche " Filter hinzufügen " aus.

  16. Wählen Sie Benutzende aus der Liste aus, und wählen Sie dann Anwenden aus.

  17. Geben Sie Rovshan in das Dialogfeld ein.

    • Überprüfen Sie die Liste der Anmeldeversuche.

  18. Schließen Sie die simulierte Umgebung , indem Sie den Browser beenden.

Review: In dieser kurzen Simulation können Sie sehen, wie Security Copilot in Microsoft Entra informationen über die Aktivität eines bestimmten Benutzers schnell freigeben kann. Anschließend enthält Security Copilot Links dazu, wo weitere Details zu finden sind. Mit diesem Feature können Sie Fragen zu Microsoft Entra-Daten stellen, ohne zu erraten, wohin Sie als Nächstes gehen müssen.