De mogelijkheden van Copilot in Microsoft Entra verkennen

  • 30 minuten

In deze oefening verkent u meerdere praktijkscenario's die de voordelen en waarde van Copilot in Microsoft Entra benadrukken.

Opmerking

De omgeving voor deze oefening is een simulatie die is gegenereerd op basis van het product. Als beperkte simulatie worden koppelingen op een pagina mogelijk niet ingeschakeld en worden invoer op basis van tekst die buiten het opgegeven script valt mogelijk niet ondersteund. Er wordt een pop-upbericht weergegeven met de tekst 'Deze functie is niet beschikbaar in de simulatie'. Wanneer dit gebeurt, selecteert u OK en gaat u verder met de stappen voor de oefening.

Schermopname van het pop-upscherm dat aangeeft dat deze functie niet beschikbaar is in de simulatie.

Oefening

Deze oefening bestaat uit vier onafhankelijke taken die de mogelijkheden van Security Copilot in Microsoft Entra verkennen.

Het duurt ongeveer 30 minuten voordat deze oefening is voltooid.

Opmerking

Wanneer een labinstructie aanroept om een koppeling naar de gesimuleerde omgeving te openen, is het raadzaam om de koppeling in een nieuw browservenster te openen, zodat u de instructies en de oefeningsomgeving tegelijk kunt bekijken. Hiervoor selecteert u de rechtermuistoets en selecteert u de optie.

Taak: Onderzoek en herstel van riskante gebruikers met Copilot in Microsoft Entra

U bent een identiteitsbeheerder bij Woodgrove. U denkt dat er enkele gebruikers in het bedrijf zijn die mogelijk worden aangetast door phishingaanvallen. U wilt Copilot in Microsoft Entra gebruiken om riskante gebruikers te controleren. Als u iets vindt, kunt u Copilot gebruiken om het probleem op te lossen en toekomstige gebeurtenissen te voorkomen. De primaire gebruiker die u vermoedt dat er inbreuk wordt gemaakt, is Serena Markunaite.

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Entra-beheercentrum.

  2. Schuif in het menu aan de linkerkant omlaag en open het menu Beveiliging .

  3. Selecteer Identity Protection in het submenu.

    • We willen het dashboard gebruiken om de grafiek aantal gebruikers met een hoog risico te bekijken. U ziet dat er meer dan 100 riskante gebruikersactiviteiten zijn gedetecteerd.
    • We komen over een paar minuten terug naar dit rapport.

  4. Laten we wat onderzoek doen naar potentiële riskante gebruikers.

  5. Selecteer de Copilot-knop in de rechterbovenhoek van het scherm.

  6. Neem even de tijd om de voorbeeldprompts te bekijken die zijn opgegeven in Copilot.

  7. Voer de prompt Toon mijn meest riskante gebruikers in en selecteer de pijl.

    • Opmerking: de gebruiker waarover we bezorgd waren (Serena) staat in de lijst.

  8. Bekijk de onderkant van het Copilot-antwoord voor een koppeling naar het rapport Riskante gebruikers.

  9. Selecteer de link Rapport Riskante Gebruikers in Entra ID Protection.

  10. Selecteer Serena Markunaite in de lijst met riskante gebruikers.

    • Hiermee opent u een samenvatting van het automatisch gegenereerde gebruikersrisico van Copilot. U ziet nu een specifieke reden waarom Serena een verhoogd risico loopt.
    • Let ook op de aanbevelingen voor wat u moet doen .

  11. We moeten wat dieper graven en kijken of we dit riskante gebruikersgedrag kunnen bijhouden. Hebben ze activiteiten uitgevoerd buiten hun normale gebruik?

  12. Voer in het copilot-dialoogvenster de prompt Toon me de aanmeldingen voor de Serena één dag voor en na de waarschuwing in.

    • Noteer de mislukte aanmeldingspoging van de gebruiker en enkele onmiddellijke geslaagde pogingen vanuit een alternatief IP-adres. Lijkt op verdacht gedrag.
    • Het opnieuw instellen van een wachtwoord of MFA is mogelijk niet voldoende als een aanvaller zich heeft aangemeld bij het systeem. Laten we eens kijken of er onlangs wijzigingen zijn aangebracht in de MFA-instellingen.

  13. Voer de Copilot-prompt in welke MFA-methoden beschikbaar zijn voor deze gebruiker?

    • Houd er rekening mee dat de MFA-standaard van het bedrijf, namelijk wachtwoord en authenticator, nog steeds is ingesteld.

  14. We hebben het probleem onderzocht en de benodigde informatie verzameld. Het is nu tijd om maatregelen te plannen tegen aanvaller-in-de-middel aanvallen.

  15. Vraag copilot om aanbevelingen met de prompt Wat moet ik doen om deze aanvaller-in-the-middle-bedreiging te verhelpen?

  16. Schuif omhoog in het copilot-venster om het volledige antwoord te bekijken.

    • Copilot-antwoord bevat manieren om de huidige problemen op te lossen. Al deze items zijn geweldig om te stoppen met de huidige potentiële inbreuk, maar zullen toekomstige pogingen niet stoppen. Wat kunnen we doen?
    • Herinnering: in de riskante gebruikersgegevens is opgegeven wat u moet doen om te beveiligen voor toekomstige aanvallen.

  17. Er is een suggestie voor het gebruik van beleid voor voorwaardelijke toegang om deze gebruiker te beveiligen. Gebruik Copilot voor meer informatie.

  18. Voer de prompt in : Kan ik beleid voor voorwaardelijke toegang op basis van risico's gebruiken om de reactie op deze detecties te automatiseren?

    • Houd er rekening mee dat u beleid voor voorwaardelijke toegang kunt gebruiken. Hetzelfde als de vorige aanbevelingen die we hebben gekregen.

  19. Vraag Copilot u stapsgewijze instructies te geven om dit in te stellen met de prompt Hoe kan ik een op aanmeldingsrisico gebaseerd voorwaardelijk toegangsbeleid voor deze gebruiker maken?

    • Bekijk de opgegeven stappen.

    Opmerking

    De gegenereerde instructies zijn voor één gebruikersbeleid. Microsoft raadt u niet aan een beleid te maken voor elke gebruiker, maar om ze te maken met behulp van beveiligingsgroepen om te helpen met onderhoud.

  20. Sluit de gesimuleerde omgeving door de browser af te sluiten.

Beoordeling: U hebt deze labsimulatie voltooid. Denk eraan hoe u Copilot snel kunt gebruiken om een lijst met riskante gebruikers op te halen, hun activiteiten op basis van identiteit te onderzoeken, te controleren of het account is aangetast en een herstelpad te vinden. Copilot embedded voor Microsoft Entra is een krachtige tool ter ondersteuning van uw identiteit en toegang tot beheertaken.

Taak: Beveiligings-Copilot gebruiken in Microsoft Entra om problemen met toegang op te lossen

U bent een identiteitsbeheerder bij Woodgrove. U bent lid van de helpdesk en bent gevraagd om een probleemticket te bekijken dat is ingediend door een externe werknemer die vaak op veilige klantlocaties werkt. De werknemer meldt dat ze zich niet kunnen verifiëren wanneer ze werken vanaf de beveiligde locatie van een klant die gebruikers niet toestaat externe apparaten, waaronder mobiele apparaten en laptops, mee te nemen. Als identiteitsbeheerder weet u dat het verificatieproces is ingesteld om altijd op telefoon gebaseerde MFA te gebruiken, maar u wilt de aanmeldingspogingen van de gebruiker onderzoeken. Copilot kan helpen onderzoeken en uitzoeken hoe de aanmeldingsproblemen van de gebruiker snel kunnen worden opgelost. De gebruiker is Khamala Ervello.

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Entra-beheercentrum.

  2. Selecteer de knop Security Copilot in de rechterbovenhoek van het scherm.

  3. Voer de prompt Vertel me meer over kher40@woodgrove.ms om details over Khamala te krijgen.

    • Let op de details dat Khamala een geldige gebruiker is en toegang moet hebben.

  4. We moeten de mislukte aanmeldingspoging onderzoeken. Gebruik de prompt Toon me kher40@woodgrove.ms de meest recente mislukte aanmelding om een overzicht te krijgen van aanmeldingsfouten.

    • U merkt op dat de exacte fout die de gebruiker heeft beschreven inderdaad heeft plaatsgevonden: een MFA-time-out.
    • Kunnen we controleren of er andere verdachte activiteiten zijn?

  5. Voer de prompt Was er ongebruikelijk of riskant gedrag bij de kher40@woodgrove.ms aanmeldingspoging? in Security Copilot in.

    • We zien geen riskant of ongebruikelijk gedrag voor deze gebruiker.
    • Kunnen we hen helpen om aangemeld te raken, zodat ze kunnen werken?

  6. Controleer of er MFA-methoden beschikbaar zijn bij Woodgrove met de prompt Welke verificatiemethoden worden beschouwd als MFA?.

    • Noteer de lijst met beschikbare MFA-methoden en de verstrekte koppelingen om hun waarde en sterkte te onderzoeken.

  7. FIDO2-wachtwoordsleutel is de veiligste optie, zonder dat u telefoonverificatie nodig hebt. Kunnen we controleren of Khamala is geregistreerd voor FIDO2?

  8. Neem contact op met Copilot met behulp van de prompt Is kher40@woodgrove.ms geregistreerd voor FIDO2-verificatie?

    • De gebruiker is niet ingesteld voor FIDO2, kunnen we ze instellen voor wachtwoordloos?

  9. Vraag copilot hoe u dit instelt met de opdracht Hoe kan ik kher40@woodgrove.ms instellen voor wachtwoordloze authenticatie?.

  10. Bekijk de stap van Security Copilot om Khamala te helpen bij het instellen van aanmelding zonder wachtwoord, dus dit probleem is opgelost.

  11. Nadat u de stappen met Khamala hebt bekeken, kunt u een e-mail verzenden met een kopie van de instructies.

  12. Sluit de gesimuleerde omgeving door de browser af te sluiten.

Beoordeling: Security Copilot in Microsoft Entra is uw hulp bij de helpdesk. Met enkele eenvoudige aanwijzingen kunt u de rol van een gebruiker in het bedrijf bevestigen, onderzoeken of hun account geen riskante activiteiten weergeeft en hen helpen bij het oplossen van aanmeldingsproblemen.

Taak: Problemen met app-beveiliging oplossen met Security Copilot in Microsoft Entra

U bent een identiteitsbeheerder bij Woodgrove. Uw bedrijf heeft in de loop der jaren veel bedrijfstoepassingen gebruikt en sommige toepassingen worden niet meer gebruikt. Uw taak is om ongebruikte toepassingen in uw Microsoft Entra-tenant op te sporen en te verwijderen. U moet onderzoeken of er verdachte activiteiten zijn gekoppeld aan de apps of hun gegevens als onderdeel van het werk. Security Copilot in Microsoft Entra kan u helpen.

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Entra-beheercentrum.

  2. Controleer de gegevens op het Microsoft Entra-dashboard.

  3. Zoek de sectie over uw identiteitsbeveiligingsscore.

    • Houd er rekening mee dat er aanbevelingen zijn voor hoe u uw tenant nog veiliger kunt maken.
    • U ziet dat een van de items 'Ongebruikte toepassing verwijderd' is.

  4. Selecteer de knop Security Copilot in de rechterbovenhoek van het scherm.

  5. Gebruik de prompt Ongebruikte toepassingen weergeven om ongebruikte toepassingen te vinden.

    • Bekijk de lijst met apps.

  6. Het zou geweldig zijn om te weten wie eigenaar is van deze apps.

  7. Voer de vraag in wie de eigenaren zijn van de service-principals die aan deze apps zijn gekoppeld? om de eigenaren te vinden.

    • Houd er rekening mee dat veel van hen geen eigenaren hebben.

  8. Laten we copilot vragen hoe u de apps verwijdert met de prompt Hoe verwijder ik deze?

  9. Bekijk de stappen voor het handmatig verwijderen van de toepassing met behulp van het Microsoft Entra-beheercentrum of bekijk PowerShell-scripts.

    Opmerking

    Hoewel deze simulatie deze stappen niet actief gebruikt om de toepassing te verwijderen, kunt u zien hoe Security Copilot u snel kan helpen ongebruikte toepassingen te verwijderen.

  10. Schuif omhoog in het Copilot-venster om de lijst met apps weer te geven die oorspronkelijk zijn opgegeven.

  11. Zoek de toepassing Woodgrove Intranet en noteer de naam van de eigenaar: Braden Goudy (Corp).

  12. Sluit het venster Security Copilot voorlopig.

  13. Selecteer het menu Favorieten in het menu aan de linkerkant van het scherm.

    • Favorieten is een geweldige plek om uw meest gebruikte hulpprogramma's op te slaan.

  14. Selecteer Riskante activiteiten in de lijst met favorieten.

    • U kunt ook het menu Beveiliging openen en vervolgens Riskante activiteiten selecteren in het menu.

  15. Zoek Bradens naam op de lijst en merk op dat hij Risico heeft.

  16. Selecteer zijn naam om een Security Copilot-samenvatting van het riskante gedrag te openen.

    • Er zijn verschillende onbekende aanmeldingspogingen in hun geschiedenis.

  17. Bekijk de suggesties voor het beperken van eventuele risico's van de gebruiker.

  18. Sluit de gesimuleerde omgeving door de browser af te sluiten.

Beoordeling: In deze simulatie hebt u Security Copilot gebruikt om u te helpen snel ongebruikte toepassingen en hun eigenaren te identificeren. U hebt de stapsgewijze instructies gevonden om ze uit uw systeem te verwijderen. Bovendien hebt u gemerkt dat van de drie toepassingen met een eigenaar, degene waarvan de eigenaar wordt vermeld als Braden Goudy (Corp) geen gekoppelde gebruikers-id heeft. Met deze informatie kunt u het gebruik van de eigenaar van de toepassing controleren en een potentieel riskant gedrag vinden.

Taak: BeveiligingsCopilot verkennen in Microsoft Entra

U bent een identiteitsbeheerder bij Woodgrove. Er is u verteld dat de gebruiker Rovshan Hasanli zich mogelijk vreemd gedraagt bij het maken van verbinding met de Woodgrove-site. U wilt de auditlogboeken gebruiken om de activiteiten te onderzoeken.

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Entra-beheercentrum.

  2. Selecteer rechtsboven in het scherm de knop Security Copilot.

  3. Laten we beginnen met een eenvoudige prompt zoals Vertel me over gebruiker Rovshan Hasanli? In het promptantwoord ziet u dat het veld Account ingeschakeld is ingesteld op False, dus het account is uitgeschakeld.

  4. We moeten informatie over de gebruiker uit de auditlogboeken vinden. Gebruik de prompt Show me Microsoft Entra audit log events geïnitieerd door die gebruiker in de afgelopen week voor meer informatie.

    • Bekijk de informatie over de rol Gebruikersbeheerder die wordt toegewezen in PIM.
    • Let op dat de Security Copilot zich herinnerde dat we al naar Rovshan vroegen en die context heeft behouden. U kunt ook de naam in de prompt hebben opgegeven.
    • Zonder Security Copilot moeten de logboeken worden geopend en handmatig naar vermeldingen worden gezocht.

  5. Laten we de aanmelding van de gebruiker controleren met de prompt Aanmeldingen weergeven van die gebruiker?.

    • Het is ongebruikelijk dat een gebruiker van wie het account is uitgeschakeld, zich heeft kunnen aanmelden en PIM kan gebruiken.

  6. Schuif omhoog in het venster Security Copilot naar de link Rovshan Hasanli's Profile uit de eerste query die we in Security Copilot hebben uitgevoerd.

  7. Selecteer de koppeling Rovshan Hasanli's Profiel.

    • U kunt ook naar de pagina Alle gebruikers navigeren door naar het menu aan de linkerkant te gaan en Identiteit te kiezen, vervolgens Gebruikers en vervolgens Alle gebruikers.
    • Selecteer het vak Zoeken naar gebruikers en voer Rovshan in.
    • Selecteer het Rovshan Hasanli-account .

  8. Interessant, we kunnen zien dat het account is uitgeschakeld in de accountstatus.

  9. Ga terug naar het Security Copilot-venster en scroll naar de Audit Logs-pagina.

  10. Selecteer de Auditlogboekenpagina link.

    • U kunt ook vanuit het menu aan de linkerkant naar de pagina navigeren door naar Identiteit te gaan, vervolgens Bewaking en status en vervolgens aanmeldingslogboeken.

  11. Wanneer de pagina wordt geopend, selecteert u de knop Filters toevoegen .

  12. Kies de door (actor) geïnitieerde uit de verloren filters en voer Rovshan in, selecteer Toepassen.

    • Er zijn verschillende PIM activiteiten uitgevoerd door Rovshan.

  13. Ga opnieuw terug naar het venster van Security Copilot en zoek de link naar de Aanmeldingsgebeurtenissen-pagina.

  14. Selecteer de koppeling Aanmeldingsgebeurtenissenpagina.

    • U kunt ook vanuit het menu aan de linkerkant naar de pagina navigeren door naar Identiteit te gaan, vervolgens Bewaking en status en vervolgens aanmeldingslogboeken.

  15. Wanneer de pagina wordt geopend, selecteert u de knop Filters toevoegen .

  16. Kies Gebruiker in de lijst en selecteer Vervolgens Toepassen.

  17. Voer Rovshan in het dialoogvenster in.

    • Bekijk de lijst met aanmeldingspogingen.

  18. Sluit de gesimuleerde omgeving door de browser af te sluiten.

Review: In deze korte simulatie kunt u zien hoe Security Copilot in Microsoft Entra snel informatie kan delen over de activiteit van een specifieke gebruiker. Vervolgens bevat Security Copilot koppelingen naar waar meer details kunnen worden gevonden voor meer informatie. Met deze functie kunt u vragen stellen over Microsoft Entra-gegevens, zonder te raden waar u naartoe moet gaan.