Exploración de las funcionalidades de Copilot en Microsoft Entra

  • 30 minutos

En este ejercicio, explorará varios escenarios reales que resaltan las ventajas y el valor de Copilot en Microsoft Entra.

Nota:

El entorno de este ejercicio es una simulación generada a partir del producto. Al ser una simulación limitada, es posible que los vínculos de alguna página no estén habilitados y que no se admiten las entradas de texto que se encuentren fuera del script especificado. Aparece un mensaje emergente que indica que "Esta característica no está disponible en la simulación". Cuando esto ocurra, seleccione Aceptar y continúe con los pasos del ejercicio.

Recorte de la pantalla emergente que indica que esta característica no está disponible en la simulación.

Ejercicio

Este ejercicio consta de cuatro tareas independientes que exploran las funcionalidades de Security Copilot en Microsoft Entra.

Este ejercicio debería tardar en completarse 30 minutos aproximadamente.

Nota:

Cuando una instrucción de laboratorio llama para abrir un vínculo al entorno simulado, se recomienda abrir el vínculo en una nueva ventana del explorador para poder ver simultáneamente las instrucciones y el entorno del ejercicio. Para ello, pulse la tecla derecha del mouse y seleccione la opción.

Tarea: Investigación y corrección de usuarios de riesgo con Copilot en Microsoft Entra

Usted es un administrador de identidades en Woodgrove. Cree que hay algunos usuarios en la empresa que podrían verse comprometidos por ataques de suplantación de identidad (phishing). Quiere usar Copilot en Microsoft Entra para revisar los usuarios de riesgo. Si encuentra alguno, puede usar Copilot para ayudarle a corregir el problema y evitar futuras repeticiones. El usuario principal que sospecha que está en peligro es Serena Markunaite.

  1. Para abrir el entorno simulado, seleccione este vínculo: Centro de administración de Microsoft Entra.

  2. En el menú de la izquierda, desplácese hacia abajo y abra el menú Protección .

  3. Seleccione Identity Protection en el submenú.

    • Queremos utilizar el panel de control para ver el gráfico del número de usuarios de alto riesgo. Observe que se detectan más de 100 actividades de usuario de riesgo.
    • Volveremos a este informe en un par de minutos.

  4. Vamos a realizar algunas investigaciones sobre posibles usuarios de riesgo.

  5. Seleccione el botón Copilot en la parte superior derecha de la pantalla.

  6. Dedique un momento a revisar las indicaciones de ejemplo que se proporcionan en Copilot.

  7. Escriba el mensaje Mostrarme mis usuarios más arriesgados y seleccione la flecha.

    • Tenga en cuenta que el usuario que nos preocupa (Serena) está en la lista.

  8. Mire la parte inferior de la respuesta de Copilot para ver un vínculo al informe Usuarios de riesgo.

  9. Seleccione el vínculo Informe de Usuarios de Riesgo en Entra ID Protection.

  10. Seleccione Serena Markunaite en la lista de Usuarios de riesgo.

    • Se abre un resumen de riesgo de usuario generado automáticamente por Copilot. Ahora ve una razón específica por la que Serena está en riesgo elevado.
    • Tenga en cuenta también las recomendaciones ¿Qué hacer ?

  11. Necesitamos profundizar un poco más y ver si podemos realizar un seguimiento de este comportamiento de usuario arriesgado. ¿Han realizado actividades fuera de su uso normal?

  12. En el cuadro de diálogo Copilot, escriba el mensaje Muéstrame los inicios de sesión de Serena un día antes y después de la alerta.

    • Tenga en cuenta el intento fallido de inicio de sesión del usuario, seguido de algunos intentos exitosos inmediatos desde una dirección IP alternativa. Parece un comportamiento sospechoso.
    • Restablecer solo una contraseña o la autenticación multifactor puede no ser suficiente si un atacante ha iniciado sesión en el sistema. Vamos a comprobar si se han realizado cambios en la configuración de MFA recientemente.

  13. Introduzca el mensaje de Copilot ¿Qué métodos MFA están disponibles para este usuario?

    • Tenga en cuenta que el estándar MFA de la empresa de Contraseña más Autenticador todavía está establecido.

  14. Hemos investigado el problema y recopilado la información necesaria. Ahora es el momento de planear la corrección de ataques de tipo atacante en el medio.

  15. Pregúntele a Copilot para obtener recomendaciones con la indicación ¿Qué debo hacer para corregir esta amenaza de atacante en el medio?.

  16. Desplácese hacia arriba en la ventana de copilot para revisar toda la respuesta.

    • La respuesta de Copilot incluye formas de corregir los problemas actuales. Todos estos elementos son excelentes para detener la posible vulneración actual, pero no detendrá los intentos futuros. ¿Qué podemos hacer?
    • Recordatorio: en los Detalles de usuario en riesgo, se proporcionan recomendaciones sobre qué hacer para protegerse de futuros ataques.

  17. Hay una sugerencia para usar directivas de acceso condicional para proteger a este usuario. Use Copilot para obtener más información.

  18. Escriba el mensaje ¿Puedo usar la directiva de acceso condicional basado en riesgos para automatizar la respuesta a estas detecciones?

    • Tenga en cuenta que puede usar directivas de acceso condicional. Igual que las recomendaciones anteriores que obtuvimos.

  19. Pida a Copilot que le proporcione instrucciones paso a paso para configurar esto con el mensaje ¿Cómo crearía una directiva de acceso condicional basada en riesgo de inicio de sesión para este usuario?.

    • Revise los pasos proporcionados.

    Nota:

    Las instrucciones generadas son para una sola directiva de usuario. Microsoft no recomienda crear una directiva para cada usuario, sino crearlas mediante grupos de seguridad para ayudar con el mantenimiento.

  20. Cierre el entorno simulado al salir del explorador.

Revisión: ha completado esta simulación de laboratorio. Recuerde cómo pudo usar rápidamente Copilot para obtener una lista de usuarios de riesgo, investigar sus actividades basadas en identidades, comprobar si la cuenta apareció en peligro y encontrar una ruta de corrección. Copilot integrado para Microsoft Entra es una poderosa herramienta para admitir su identidad y acceder a las tareas administrativas.

Tarea: Uso de Copilot de seguridad en Microsoft Entra para solucionar problemas de acceso

Usted es un administrador de identidades en Woodgrove. Eres miembro del departamento de soporte técnico y se te ha pedido que examines un ticket de incidencia enviado por un empleado remoto que a menudo trabaja en ubicaciones seguras de los clientes. El empleado informa de que no se pueden autenticar al trabajar desde la ubicación segura de un cliente que no permite a los usuarios traer ningún dispositivo externo, incluidos los dispositivos móviles y los portátiles. Como administrador de identidades, sabe que el proceso de autenticación está configurado para usar siempre MFA basado en teléfono, pero quiere investigar los intentos de inicio de sesión del usuario. Copilot puede ayudar a investigar y analizar cómo solucionar rápidamente el problema de inicio de sesión del usuario. El usuario es Khamala Ervello.

  1. Para abrir el entorno simulado, seleccione este vínculo: Centro de administración de Microsoft Entra.

  2. Seleccione el botón Security Copilot (Copilot de seguridad ) en la esquina superior derecha de la pantalla.

  3. Ingrese el mensaje Dígame más sobre kher40@woodgrove.ms para obtener detalles sobre Khamala.

    • Tenga en cuenta los detalles de que Khamala es un usuario válido y debe tener acceso.

  4. Necesitamos investigar el intento de inicio de sesión fallido. Use la indicación Mostrarme el inicio de sesión con errores más recientes de kher40@woodgrove.ms para obtener una vista del error de inicio de sesión.

    • Observe que se produjo el error exacto que ha descrito el usuario, tiempo de espera de MFA.
    • ¿Podemos comprobar si hay alguna otra actividad sospechosa?

  5. Escriba el mensaje en Security Copilot ¿Hubo algún comportamiento inusual o arriesgado en el intento de inicio de sesión kher40@woodgrove.ms?.

    • No vemos ningún comportamiento de riesgo o inusual para este usuario.
    • ¿Podemos ayudarles a iniciar sesión para que puedan trabajar?

  6. Compruebe qué métodos de autenticación multifactor (MFA) están disponibles en Woodgrove con la pregunta ¿Qué métodos de autenticación se consideran MFA?.

    • Observe la lista de métodos MFA disponibles y los vínculos proporcionados para investigar su valor y fuerza.

  7. La clave de acceso FIDO2 es la opción más segura, sin necesidad de verificación telefónica. ¿Podemos comprobar si Khamala está registrado para FIDO2?

  8. Verifique con Copilot usando el comando ¿Está kher40@woodgrove.ms registrado para la autenticación FIDO2? .

    • El usuario no está configurado para FIDO2, ¿podemos configurarlos para sin contraseña?

  9. Pregunte a copilot cómo configurar esto con el mensaje ¿Cómo puedo kher40@woodgrove.ms configurar la autenticación sin contraseña?.

  10. Revise el paso proporcionado por Security Copilot para ayudar a Khamala a configurar el inicio de sesión sin contraseña, por lo que este problema se resuelve.

  11. Después de revisar los pasos con Khamala, puede enviar un correo electrónico con una copia de las instrucciones.

  12. Cierre el entorno simulado al salir del explorador.

Revisión: Security Copilot en Microsoft Entra es su compañero en el departamento de soporte técnico. Con algunas indicaciones sencillas, puede confirmar el rol de un usuario en la empresa, investigar que su cuenta no muestra actividades de riesgo y ayudarle a resolver problemas de inicio de sesión.

Tarea: Corrección de problemas de seguridad de aplicaciones con Security Copilot en Microsoft Entra

Usted es un administrador de identidades en Woodgrove. Su empresa ha usado muchas aplicaciones empresariales a lo largo de los años, y algunas ya no se usan. El trabajo consiste en realizar un seguimiento de las aplicaciones sin usar en tu inquilino de Microsoft Entra y eliminarlas. Debe investigar si hay alguna actividad sospechosa asociada a las aplicaciones o sus datos como parte del trabajo. El Copilot de seguridad en Microsoft Entra puede ayudar.

  1. Para abrir el entorno simulado, seleccione este vínculo: Centro de administración de Microsoft Entra.

  2. Revise los datos proporcionados en el panel de Microsoft Entra.

  3. Busque la sección de Puntuación de seguridad de la identidad.

    • Tenga en cuenta que hay recomendaciones sobre cómo puede hacer que el inquilino sea aún más seguro.
    • Observe que uno de los elementos es "Se ha quitado la aplicación sin usar".

  4. Seleccione el botón Security Copilot (Copilot de seguridad ) en la esquina superior derecha de la pantalla.

  5. Usa el comando Mostrar aplicaciones sin usar para encontrar aplicaciones sin usar.

    • Revise la lista de aplicaciones.

  6. Sería genial saber quién posee esas aplicaciones.

  7. Escriba el mensaje ¿Quiénes son los propietarios de las entidades de servicio asociadas a estas aplicaciones? para buscar los propietarios.

    • Tenga en cuenta que muchos de ellos no tienen propietarios.

  8. Vamos a preguntar a copilot cómo quitar las aplicaciones con el mensaje ¿Cómo puedo quitarlas?.

  9. Revise los pasos proporcionados para quitar la aplicación manualmente mediante el Centro de administración de Microsoft Entra o ver los scripts de PowerShell.

    Nota:

    Aunque esta simulación no usa activamente estos pasos para quitar la aplicación, puede ver cómo Security Copilot puede ayudarle rápidamente a quitar aplicaciones sin usar.

  10. Desplácese hacia arriba en la ventana de Copilot para ver la lista de aplicaciones proporcionadas originalmente.

  11. Busque la aplicación denominada Woodgrove Intranet y tome nota del nombre del propietario: Braden Goudy (Corp).

  12. Cierre la ventana Security Copilot por ahora.

  13. Seleccione el menú Favoritos en el menú de la izquierda de la pantalla.

    • Favoritos es un excelente lugar para almacenar las herramientas más usadas.

  14. Seleccione Actividades de riesgo en la lista de favoritos.

    • Como alternativa, puede abrir el menú Protección y, a continuación, seleccionar Actividades de riesgo en el menú.

  15. Busque el nombre de Braden en la lista y observe que está en riesgo.

  16. Seleccione su nombre para abrir un Resumen de Security Copilot del comportamiento de riesgo.

    • Hay varios intentos de inicio de sesión desconocidos en su historial.

  17. Revise las sugerencias sobre cómo mitigar los riesgos que plantea el usuario.

  18. Cierre el entorno simulado al salir del explorador.

Revisión: En esta simulación, ha usado Security Copilot para ayudarle a identificar rápidamente las aplicaciones sin usar y sus propietarios. Ha podido encontrar las instrucciones paso a paso para quitarlas del sistema. Además, ha observado que de las tres aplicaciones con un propietario, la cuyo propietario aparece como Braden Goudy (Corp) no tenía un identificador de usuario asociado. Con esta información, pudo revisar el uso del propietario de la aplicación y encontrar algún comportamiento de riesgo potencial.

Tarea: Exploración de Security Copilot en Microsoft Entra

Usted es un administrador de identidades en Woodgrove. Se le ha advertido que el usuario Rovshan Hasanli podría tener algún comportamiento extraño al conectarse al sitio Woodgrove. Quieres usar los registros de auditoría para investigar las actividades.

  1. Para abrir el entorno simulado, seleccione este vínculo: Centro de administración de Microsoft Entra.

  2. En la parte superior derecha de la pantalla, seleccione el botón Seguridad Copilot.

  3. Comencemos con un mensaje sencillo como Cuéntame sobre el usuario Rovshan Hasanli?. Tenga en cuenta que la respuesta del mensaje muestra que el campo Account Enabled (Habilitado para la cuenta) está establecido en false, por lo que la cuenta está deshabilitada.

  4. Necesitamos averiguar información sobre el usuario de los registros de auditoría. Use el mensaje Mostrarme eventos de registro de auditoría de Microsoft Entra iniciados por ese usuario en la última semana para encontrar más información.

    • Revise la información sobre el rol administrador de usuarios que se asigna en PIM.
    • Observe que Security Copilot recordó que ya le preguntamos sobre Rovshan y mantuvo ese contexto. También podría haber especificado el nombre en la indicación.
    • Sin Security Copilot tendría que abrir los registros y buscar entradas manualmente.

  5. Vamos a comprobar el inicio de sesión del usuario con el mensaje ¿Mostrar inicios de sesión de ese usuario?

    • Es inusual que un usuario cuya cuenta esté deshabilitada ha podido iniciar sesión y usar PIM.

  6. Desplácese hacia arriba en la ventana de Security Copilot para encontrar el enlace Perfil de Rovshan Hasanli de la primera consulta que hicimos en Security Copilot.

  7. Seleccione el vínculo Perfil de Rovshan Hasanli.

    • Como alternativa, puede ir a la página Todos los usuarios ; para ello, vaya al menú del lado izquierdo y seleccione Identidad, después Usuarios y, a continuación, Todos los usuarios.
    • Seleccione el cuadro de búsqueda de usuarios y escriba Rovshan.
    • Seleccione la cuenta de Rovshan Hasanli .

  8. Interesante, podemos ver que la cuenta está deshabilitada en el estado Cuenta.

  9. Vuelva a las ventanas de Security Copilot y desplácese hasta el vínculo Registros de auditoría.

  10. Seleccione el enlace página Registros de auditoría.

    • Como alternativa, puede navegar a la página desde el menú del lado izquierdo; para ello, vaya a Identidad, luego Supervisión y salud, y a continuación registros de inicio de sesión.

  11. Cuando se abra la página, seleccione el botón Agregar filtros .

  12. Elija la opción Iniciado por (actor) en los filtros perdidos y escriba Rovshan y, a continuación, seleccione Aplicar.

    • Hay varias actividades de PIM realizadas por Rovshan.

  13. Vuelva a la ventana de Security Copilot y busque el vínculo página de eventos de inicio de sesión.

  14. Seleccione el vínculo página de eventos de inicio de sesión.

    • Como alternativa, puede navegar a la página desde el menú del lado izquierdo; para ello, vaya a Identidad, luego Supervisión y salud, y a continuación registros de inicio de sesión.

  15. Cuando se abra la página, seleccione el botón Agregar filtros .

  16. Elija Usuario en la lista y, a continuación, seleccione Aplicar.

  17. Escriba Rovshan en el cuadro de diálogo.

    • Revise la lista de intentos de inicio de sesión.

  18. Cierre el entorno simulado al salir del explorador.

Revisión: En esta breve simulación puede ver cómo Security Copilot en Microsoft Entra puede compartir rápidamente información sobre la actividad de un usuario específico. A continuación, Security Copilot incluye vínculos a donde se pueden encontrar más detalles para obtener más detalles. Esta característica le permite formular preguntas sobre los datos de Microsoft Entra, sin tener que adivinar dónde ir a continuación.