Microsoft Entra에서 코필로트의 기능 살펴보기

  • 30분

이 연습에서는 Microsoft Entra에서 Copilot의 이점과 가치를 강조하는 여러 실제 시나리오를 살펴봅니다.

비고

이 연습의 환경은 제품에서 생성된 시뮬레이션입니다. 제한된 시뮬레이션으로 페이지의 링크가 사용하도록 설정되지 않을 수 있으며 지정된 스크립트를 벗어나는 텍스트 기반 입력은 지원되지 않을 수 있습니다. "이 기능은 시뮬레이션 내에서 사용할 수 없습니다."라는 팝업 메시지가 표시됩니다. 이 경우 확인을 선택하고 연습 단계를 계속합니다.

시뮬레이션 내에서 이 기능을 사용할 수 없음을 나타내는 팝업 화면의 스크린샷.

연습

이 연습은 Microsoft Entra의 보안 코필로트의 기능을 탐색하는 네 가지 독립적인 작업으로 구성됩니다.

이 연습을 완료하는 데 약 30분 정도 소요됩니다.

비고

랩 지침에서 시뮬레이션 환경에 대한 링크를 열어야 하는 경우 지침과 연습 환경을 동시에 볼 수 있도록 새 브라우저 창에서 링크를 여는 것이 좋습니다. 이렇게 하려면 마우스 오른쪽 키를 선택하고 옵션을 선택합니다.

작업: Microsoft Entra에서 Copilot를 사용하여 위험한 사용자의 연구 및 수정

Woodgrove의 ID 관리자입니다. 피싱 공격으로 인해 손상될 수 있는 일부 사용자가 회사에 있다고 생각합니다. Microsoft Entra에서 Copilot를 사용하여 위험한 사용자를 검토하려고 합니다. 발견되면 Copilot를 사용하여 문제를 수정하고 향후 발생을 방지할 수 있습니다. 손상될 것으로 의심되는 기본 사용자는 Serena Markunaite입니다.

  1. Microsoft Entra 관리 센터 링크를 선택하여 시뮬레이션된 환경을 엽니다.

  2. 왼쪽 메뉴에서 아래로 스크롤하여 보호 메뉴를 엽니다.

  3. 하위 메뉴에서 ID 보호를 선택합니다.

    • 대시보드를 사용하여 위험 수준이 높은 사용자 수 차트를 확인하려고 합니다. 100개 이상의 위험한 사용자 활동이 감지되었습니다.
    • 몇 분 후에 이 보고서로 돌아갑니다.

  4. 잠재적인 위험한 사용자에 대한 몇 가지 연구를 수행해 보겠습니다.

  5. 화면 오른쪽 위에서 코필로트 단추를 선택합니다.

  6. 잠시 시간을 내어 Copilot에서 제공되는 샘플 프롬프트를 검토합니다.

  7. 가장 위험한 사용자 표시 프롬프트를 입력하고 화살표를 선택합니다.

    • 참고로, 우려했던 사용자(Serena)가 목록에 있습니다.

  8. 위험한 사용자 보고서에 대한 링크는 Copilot 응답의 아래쪽을 참조하세요.

  9. Entra ID Protection에서 위험한 사용자 보고서 링크를 선택합니다.

  10. 위험한 사용자 목록에서 Serena Markunaite 를 선택합니다.

    • 이렇게 하면 Copilot 자동 생성된 사용자 위험 요약이 열립니다. 이제 세레나가 높은 위험에 처한 구체적인 이유를 알 수 있습니다.
    • 또한 수행할 권장 사항에 유의하세요.

  11. 좀 더 자세히 살펴보고 이 위험한 사용자 동작을 추적할 수 있는지 확인해야 합니다. 정상적인 사용 외의 활동을 수행했나요?

  12. 코파일럿 대화 상자에서 경고 하루 전과 후, Serena의 로그인 기록을 보여주세요 프롬프트를 입력합니다.

    • 실패한 사용자 로그인 시도에 유의한 다음, 대체 IP 주소에서 몇 가지 즉각적인 성공적인 시도를 시도합니다. 의심스러운 동작처럼 보입니다.
    • 공격자가 시스템에 로그인한 경우 암호 또는 MFA를 다시 설정하는 것만으로는 충분하지 않을 수 있습니다. 최근에 MFA 설정이 변경되었는지 확인해 보겠습니다.

  13. 이 사용자에게 어떤 MFA 방법을 사용할 수 있지?라고 Copilot 프롬프트를 입력합니다.

    • 암호 및 Authenticator의 회사 MFA 표준은 여전히 설정되어 있습니다.

  14. 우리는 문제를 연구하고 필요한 정보를 수집했습니다. 지금은 중간자 공격 유형에 대한 대응을 계획할 때입니다.

  15. 공격자-중간 위협을 수정하려면 어떻게 해야 하나요?라는 프롬프트를 사용하여 부조종사에게 권장 사항을 요청합니다.

  16. 부조종사 창에서 위로 스크롤하여 전체 응답을 검토합니다.

    • 부조종사 응답에는 현재 문제를 해결하는 방법이 포함되어 있습니다. 이러한 모든 항목은 현재 잠재적인 위반을 중지하는 데 좋지만 향후 시도를 중지하지는 않습니다. 우리는 무엇을 할 수 있는가?
    • 미리 알림 - 위험한 사용자 세부 정보 에서 향후 공격을 보호하기 위해 수행할 권장 사항을 제공했습니다.

  17. 조건부 액세스 정책을 사용하여 이 사용자를 보호하는 제안이 있습니다. 자세한 내용은 코필로트를 사용하세요.

  18. 위험 기반 조건부 액세스 정책을 사용하여 이러한 감지에 대한 반응을 자동화할 수 있어?라고 프롬프트를 입력합니다.

    • 조건부 액세스 정책을 사용할 수 있습니다. 이전 권장 사항과 동일합니다.

  19. 사용자에 대한 로그인 위험 기반 조건부 액세스 정책을 만들려면 어떻게 해야 하나요?라는 프롬프트를 사용하여 이를 설정하는 단계별 지침을 Copilot에 요청합니다.

    • 제공된 단계를 검토합니다.

    비고

    생성된 지침은 단일 사용자 정책에 대한 것입니다. Microsoft는 각 사용자에 대한 정책을 만드는 것이 아니라 유지 관리를 돕기 위해 보안 그룹을 사용하여 만드는 것이 좋습니다.

  20. 브라우저를 종료하여 시뮬레이션된 환경을 닫습니다.

리뷰: 이 실습 시뮬레이션을 완료했습니다. Copilot를 사용하여 위험한 사용자 목록을 얻고, ID 기반 활동을 연구하고, 계정이 손상된 것으로 나타났는지 확인하고, 수정 경로를 찾을 수 있었던 방법을 기억하세요. Microsoft Entra에 포함된 Copilot은 ID 및 접근 관리 업무를 지원하는 강력한 도구입니다.

작업: Microsoft Entra에서 보안 Copilot를 사용하여 액세스 문제 해결

Woodgrove의 ID 관리자입니다. 여러분은 기술 지원팀의 구성원이며 보안 고객 위치에서 근무하는 원격 직원이 제출한 문제 티켓을 조사하라는 요청을 받았습니다. 직원은 사용자가 모바일 장치 및 노트북을 포함한 외부 디바이스를 가져올 수 없는 고객의 안전한 위치에서 작업할 때 인증할 수 없다고 보고합니다. 아이덴티티 관리자로서 인증 프로세스가 항상 전화 기반 다단계 인증(MFA)을 사용하도록 설정되어 있다는 것을 알고 있지만, 사용자의 로그인 시도를 조사하려고 합니다. Copilot는 사용자 로그인 문제를 신속하게 해결하는 방법을 조사하고 조사하는 데 도움이 될 수 있습니다. 사용자가 Khamala Ervello입니다.

  1. Microsoft Entra 관리 센터 링크를 선택하여 시뮬레이션된 환경을 엽니다.

  2. 화면 오른쪽 위에서 보안 부조종사 단추를 선택합니다.

  3. kher40@woodgrove.ms에 대해 좀 더 이야기해줘라고 프롬프트를 입력하여 Khamala에 대한 세부 정보를 얻으세요.

    • Khamala가 유효한 사용자이며 액세스 권한이 있어야 한다는 세부 정보를 확인할 수 있습니다.

  4. 실패한 로그인 시도를 조사해야 합니다. 가장 최근에 실패한 로그인 표시 프롬프트를 사용하여 로그인 실패 현황을 확인하세요.

    • 사용자가 설명한 정확한 실패가 발생했음을 확인합니다( MFA 시간 제한).
    • 다른 의심스러운 활동이 있는지 확인할 수 있나요?

  5. 보안 코필로트에 프롬프트를 입력합니다. 로그인 시도 시 kher40@woodgrove.ms 비정상적이거나 위험한 동작이 있나요?

    • 이 사용자에 대한 위험하거나 비정상적인 동작은 표시되지 않습니다.
    • 그들이 작업할 수 있도록 로그인하는 것을 도와줄 수 있을까요?

  6. Woodgrove에서 MFA로 간주되는 인증 방법은 무엇입니까?라는 메시지를 사용하여 사용 가능한 MFA 방법을 확인하세요.

    • 사용 가능한 MFA 메서드 목록과 해당 가치와 강도를 연구하기 위한 제공된 링크를 확인합니다.

  7. FIDO2 암호는 전화 확인 없이도 가장 안전한 옵션입니다. Khamala가 FIDO2에 등록되어 있는지 확인할 수 있나요?

  8. FIDO2 인증에 등록되어 있는지 확인하려면 프롬프트 kher40@woodgrove.ms 를 사용하여 Copilot에 문의하세요.

    • 사용자가 FIDO2에 대해 설정되지 않은 경우 암호 없이 설정할 수 있나요?

  9. Copilot에게 암호 없는 인증을 위해 kher40@woodgrove.ms를 설정하려면 어떻게 하지? 프롬프트를 사용해서 설정 방법을 물어보세요.

  10. 보안 코필로트가 제공하는 단계를 검토하여 Khamala가 암호 없는 로그인을 설정하는 데 도움을 주므로 이 문제가 해결됩니다.

  11. Khamala로 단계를 검토한 후에는 지침의 복사본이 포함된 이메일을 보낼 수 있습니다.

  12. 브라우저를 종료하여 시뮬레이션된 환경을 닫습니다.

검토: Microsoft Entra의 보안 코필로트는 기술 지원팀의 동반자입니다. 몇 가지 간단한 프롬프트를 사용하여 회사에서 사용자의 역할을 확인하고, 계정이 위험한 활동을 표시하지 않는지 연구하고, 로그인 문제를 해결하는 데 도움을 줄 수 있습니다.

작업: Microsoft Entra에서 보안 부조종사로 앱 보안 문제 해결

Woodgrove의 ID 관리자입니다. 회사에서 수년 동안 많은 엔터프라이즈 애플리케이션을 사용했으며 일부는 더 이상 사용되지 않습니다. 작업은 Microsoft Entra 테넌트에서 사용되지 않는 애플리케이션을 추적하고 제거하는 것입니다. 작업의 일부로 앱 또는 해당 데이터와 관련된 의심스러운 활동이 있는지 조사해야 합니다. Microsoft Entra의 Security Copilot은 도움을 줄 수 있습니다.

  1. Microsoft Entra 관리 센터 링크를 선택하여 시뮬레이션된 환경을 엽니다.

  2. Microsoft Entra 대시보드에 제공된 데이터를 검토합니다.

  3. ID 보안 점수에서 섹션을 찾습니다.

    • 테넌트 보안을 더욱 안전하게 만드는 방법에 대한 권장 사항이 있습니다.
    • 항목 중 하나는 "사용되지 않는 응용 프로그램 제거"입니다.

  4. 화면 오른쪽 위에 있는 보안 부조종사 단추를 선택합니다.

  5. 사용하지 않은 애플리케이션 표시 프롬프트를 사용하여 사용되지 않는 애플리케이션을 찾습니다.

    • 앱 목록을 검토합니다.

  6. 해당 앱을 누가 소유하고 있는지 아는 것이 좋습니다.

  7. 이러한 앱과 연결된 서비스 주체의 소유자는 누구인가요? 프롬프트를 입력하여 소유자를 찾습니다.

    • 그들 중 많은 사람들이 소유자가 없습니다.

  8. 부조종사에게 앱을 어떻게 제거할 수 있는지 “이것들을 어떻게 제거합니까?”라는 프롬프트로 물어봅시다.

  9. Microsoft Entra 관리 센터를 사용하여 애플리케이션을 수동으로 제거하거나 PowerShell 스크립트를 보려면 제공된 단계를 검토합니다.

    비고

    이 시뮬레이션은 이러한 단계를 적극적으로 사용하여 애플리케이션을 제거하지 않지만, 보안 Copilot가 사용하지 않는 애플리케이션을 신속하게 제거하는 데 어떻게 도움이 되는지 확인할 수 있습니다.

  10. 코필로트 창에서 위로 스크롤하여 원래 제공된 앱 목록을 확인합니다.

  11. Woodgrove Intranet이라는 애플리케이션을 찾고 소유자의 이름인 Braden Goudy(Corp)를 기록해 둡니다.

  12. 지금은 보안 부조종사 창을 닫습니다.

  13. 화면 왼쪽의 메뉴에서 즐겨찾기 메뉴를 선택합니다.

    • 즐겨찾기는 가장 일반적으로 사용되는 도구를 저장하기에 좋은 장소입니다.

  14. 즐겨찾 기 목록에서 위험한 활동을 선택합니다.

    • 또는 보호 메뉴를 연 다음 메뉴에서 위험한 활동을 선택할 수 있습니다.

  15. 목록에서 Braden의 이름을 찾아 그가 위험에 처해 있음을 알 수 있습니다.

  16. 본인의 이름을 선택하여 위험한 동작에 대한 Security Copilot 요약을 엽니다.

    • 그들의 역사에는 익숙하지 않은 로그인 시도가 몇 가지 있습니다.

  17. 사용자가 초래하는 위험을 완화하는 방법에 대한 제안을 검토합니다.

  18. 브라우저를 종료하여 시뮬레이션된 환경을 닫습니다.

검토: 이 시뮬레이션에서는 보안 코필로트를 사용하여 사용하지 않는 애플리케이션과 해당 소유자를 신속하게 식별했습니다. 시스템에서 제거하는 단계별 지침을 찾을 수 있었습니다. 또한 소유자가 있는 세 개의 애플리케이션 중 소유자가 Braden Goudy(Corp)로 나열된 애플리케이션에 연결된 사용자 ID가 없는 것을 발견했습니다. 이 정보를 사용하여 애플리케이션 소유자의 사용량을 검토하고 잠재적인 위험한 동작을 찾을 수 있었습니다.

작업: Microsoft Entra의 Security Copilot 살펴보기

Woodgrove의 ID 관리자입니다. 사용자 Rovshan Hasanli가 Woodgrove 사이트에 연결하면 이상한 동작을 보일 수 있다고 조언을 받았습니다. 감사 로그를 사용하여 활동을 조사하려고 합니다.

  1. Microsoft Entra 관리 센터 링크를 선택하여 시뮬레이션된 환경을 엽니다.

  2. 화면의 오른쪽 위에서 보안 부조종사 단추를 선택합니다.

  3. 사용자 Rovshan Hasanli에 대해 알려주세요?와 같은 간단한 프롬프트로 시작해 보겠습니다. 프롬프트 응답에는 계정 사용 필드가 false로 설정되어 있으므로 계정을 사용할 수 없음이 표시됩니다.

  4. 감사 로그에서 사용자에 대한 정보를 찾아야 합니다. 자세한 내용을 보려면 지난 주에 해당 사용자가 시작한 Microsoft Entra 감사 로그 이벤트 표시 프롬프트를 사용합니다.

    • PIM에서 할당되는 사용자 관리자 역할에 대한 정보를 검토합니다.
    • 보안 코필로트는 우리가 이미 Rovshan에 대해 물었다는 것을 기억하고, 그 맥락을 유지했다. 프롬프트에서도 이름을 지정할 수 있습니다.
    • 보안 코필로트가 없으면 로그를 열고 수동으로 항목을 검색해야 합니다.

  5. 해당 사용자의 로그인 표시 프롬프트를 사용하여 사용자의 로그인을 확인해 보겠습니다.

    • 계정이 비활성화된 사용자가 로그인하여 PIM을 사용할 수 있었던 것은 이례적인 일입니다.

  6. 보안 코필로트 창에서 위로 스크롤하여 보안 코필로트에서 한 첫 번째 쿼리에서 Rovshan Hasanli의 프로필 링크를 찾습니다.

  7. Rovshan Hasanli의 프로필 링크를 선택합니다.

    • 또는 왼쪽 메뉴에서 Identity를 선택한 다음 Users, 그리고 All Users를 선택하여 모든 사용자 페이지로 이동할 수 있습니다.
    • 사용자 검색 상자를 선택하고 Rovshan을 입력합니다.
    • Rovshan Hasanli 계정을 선택합니다.

  8. 흥미로운 점은 계정 상태에서 계정이 비활성화된 것을 볼 수 있습니다.

  9. 보안 코필로트 창으로 돌아가서 감사 로그 링크 페이지로 스크롤합니다.

  10. 감사 로그 페이지 링크를 선택합니다.

    • 또는 ID, 모니터링 및 상태, 로그인 로그로 이동하여 왼쪽 메뉴에서 페이지로 이동할 수 있습니다.

  11. 페이지가 열리면 필터 추가 단추를 선택합니다.

  12. 손실된 필터에서 시작자(행위자)를 선택하고Rovshan을 입력한 다음 적용을 선택합니다.

    • Rovshan에서 수행하는 몇 가지 PIM 작업이 있습니다.

  13. 다시 보안 코필로트 창으로 돌아가서 링크 로그인 이벤트 페이지를 찾습니다.

  14. 링크 로그인 이벤트 페이지를 선택합니다.

    • 또는 ID, 모니터링 및 상태, 로그인 로그로 이동하여 왼쪽 메뉴에서 페이지로 이동할 수 있습니다.

  15. 페이지가 열리면 필터 추가 단추를 선택합니다.

  16. 목록에서 사용자를선택한 다음 적용을 선택합니다.

  17. 대화 상자에 Rovshan 을 입력합니다.

    • 로그인 시도 목록을 검토합니다.

  18. 브라우저를 종료하여 시뮬레이션된 환경을 닫습니다.

검토: 이 짧은 시뮬레이션에서는 Microsoft Entra의 보안 코필로트가 특정 사용자의 활동에 대한 정보를 신속하게 공유할 수 있는 방법을 확인할 수 있습니다. 그러면 Security Copilot은 더 자세한 정보를 얻을 수 있는 링크를 포함합니다. 이 기능을 사용하면 다음에 어디로 가야 하는지 추측할 필요 없이 Microsoft Entra 데이터에 대해 질문할 수 있습니다.