Poznaj możliwości Copilot dla Microsoft Entra

  • 30 min

W tym ćwiczeniu zapoznasz się z wieloma rzeczywistymi scenariuszami, które podkreślają korzyści i wartość Copilota w Microsoft Entra.

Uwaga / Notatka

Środowisko tego ćwiczenia to symulacja wygenerowana na podstawie produktu. W ramach ograniczonej symulacji linki na stronie mogą nie być włączone, a dane wejściowe oparte na tekście, które znajdują się poza określonym skryptem, mogą nie być obsługiwane. Zostanie wyświetlony komunikat wyskakujący z informacją: "Ta funkcja nie jest dostępna w ramach symulacji". W takim przypadku wybierz przycisk OK i kontynuuj wykonywanie ćwiczenia.

Zrzut ekranu przedstawiający wyskakujący ekran wskazujący, że ta funkcja nie jest dostępna w symulacji.

Ćwiczenie

To ćwiczenie składa się z czterech niezależnych zadań, które eksplorują możliwości rozwiązania Security Copilot w firmie Microsoft Entra.

Wykonanie tego ćwiczenia powinno potrwać około 30 minut.

Uwaga / Notatka

Gdy instrukcja laboratorium wywołuje otwarcie linku do symulowanego środowiska, zaleca się otwarcie linku w nowym oknie przeglądarki, aby można było jednocześnie wyświetlić instrukcje i środowisko ćwiczeń. Aby to zrobić, kliknij prawym przyciskiem myszy i wybierz opcję.

Zadanie: Badania i korygowanie ryzykownych użytkowników za pomocą narzędzia Copilot w firmie Microsoft Entra

Jesteś administratorem tożsamości w Woodgrove. Uważasz, że niektórzy użytkownicy w firmie mogą być zagrożeni atakami phishingowymi. Chcesz użyć Copilot w Microsoft Entra, aby przejrzeć ryzykownych użytkowników. Jeśli znajdziesz jakiekolwiek, możesz użyć narzędzia Copilot, aby pomóc w skorygowaniu problemu i zapobiec przyszłym wystąpieniom. Głównym użytkownikiem podejrzanym o naruszenie zabezpieczeń jest Serena Markunaite.

  1. Otwórz symulowane środowisko, wybierając ten link: Centrum administracyjne firmy Microsoft Entra.

  2. Z menu po lewej stronie przewiń w dół i otwórz menu Ochrona .

  3. Wybierz pozycję Identity Protection z podmenu.

    • Chcemy użyć pulpitu nawigacyjnego, aby przyjrzeć się wykresowi liczby użytkowników wysokiego ryzyka. Zauważ, że wykryto ponad 100 ryzykownych działań użytkowników.
    • Wrócimy do tego sprawozdania w ciągu kilku minut.

  4. Zróbmy kilka badań na temat potencjalnych ryzykownych użytkowników.

  5. Wybierz przycisk Copilot w prawym górnym rogu ekranu.

  6. Poświęć chwilę na przejrzenie przykładowych poleceń podanych w Copilot.

  7. Wprowadź monit Pokaż mi najbardziej ryzykownych użytkowników i wybierz strzałkę.

    • Uwaga: użytkownik, którego obawialiśmy się (Serena) znajduje się na liście.

  8. Spójrz na końcu odpowiedzi Copilot, gdzie znajdziesz link do raportu Ryzykowni użytkownicy.

  9. Wybierz link Raport "Ryzykowni Użytkownicy" w Entra ID Protection.

  10. Wybierz Serena Markunaite z listy Ryzykownych Użytkowników.

    • Spowoduje to otwarcie automatycznie wygenerowanego podsumowania ryzyka użytkownika Copilot. Teraz widzisz konkretny powód, dla którego Serena jest na podwyższonym ryzyku.
    • Zwróć również uwagę na zalecenia dotyczące co zrobić.

  11. Musimy zagłębić się w nieco głębiej i sprawdzić, czy możemy śledzić to ryzykowne zachowanie użytkownika. Czy wykonali jakieś czynności poza swoim normalnym zakresem?

  12. W oknie dialogowym Copilot wprowadź monit Pokaż mi logowania użytkownika Serena dzień przed i dzień po powiadomieniu.

    • Zwróć uwagę na nieudaną próbę logowania użytkownika, a następnie niektóre natychmiastowe pomyślne próby z alternatywnego adresu IP. Wygląda na podejrzane zachowanie.
    • Samo zresetowanie hasła lub uwierzytelniania wieloskładnikowego może nie wystarczyć, jeśli osoba atakująca zalogowała się do systemu. Sprawdźmy, czy ostatnio wprowadzono jakieś zmiany w ustawieniach uwierzytelniania wieloskładnikowego.

  13. Wprowadź monit Copilot What MFA methods are available for this user? (Jakie metody uwierzytelniania wieloskładnikowego są dostępne dla tego użytkownika?).

    • Należy pamiętać, że standard uwierzytelniania wieloskładnikowego firmy Password plus Authenticator jest nadal obowiązujący.

  14. Zbadaliśmy problem i zebraliśmy potrzebne informacje. Teraz nadszedł czas, aby zaplanować korygowanie ataków atakujących w stylu środkowym.

  15. Zapytaj kopilota o zalecenia, używając polecenia Co należy zrobić, aby zneutralizować zagrożenie typu "atakujący w środku"?.

  16. Przewiń w górę w oknie Copilot, aby przejrzeć pełną odpowiedź.

    • Odpowiedź Copilot obejmuje sposoby korygowania bieżących problemów. Wszystkie te elementy są doskonałe, aby powstrzymać obecne potencjalne naruszenie, ale nie powstrzymają przyszłych prób. Co możemy zrobić?
    • Przypomnienie — w obszarze Ryzykowne szczegóły użytkownikapodano zalecenia dotyczące zabezpieczania przyszłych ataków.

  17. Istnieje sugestia dotycząca używania zasad dostępu warunkowego w celu ochrony tego użytkownika. Użyj Copilot, aby dowiedzieć się więcej.

  18. Wprowadź monit Czy mogę użyć zasad dostępu warunkowego opartego na ryzyku, aby zautomatyzować odpowiedź na te wykrycia?

    • Należy pamiętać, że można użyć zasad dostępu warunkowego. Tak samo jak w przypadku poprzednich zaleceń, które otrzymaliśmy.

  19. Poproś Copilot o podanie instrukcji krok po kroku, aby skonfigurować to za pomocą monitu Jak utworzyć zasady dostępu warunkowego uwzględniające ryzyko logowania dla tego użytkownika?.

    • Przejrzyj podane kroki.

    Uwaga / Notatka

    Wygenerowane instrukcje dotyczą jednej zasady użytkownika. Firma Microsoft nie zaleca tworzenia zasad dla każdego użytkownika, ale tworzenia ich przy użyciu grup zabezpieczeń w celu ułatwienia konserwacji.

  20. Zamknij symulowane środowisko , zamykając przeglądarkę.

Przegląd: Ukończyłeś tę symulację laboratoryjną. Pamiętaj, że możesz szybko użyć narzędzia Copilot, aby uzyskać listę ryzykownych użytkowników, zbadać swoje działania oparte na tożsamościach, sprawdzić, czy konto zostało naruszone, i znaleźć ścieżkę korygowania. Copilot zintegrowany z Microsoft Entra to potężne narzędzie wspierające obsługę zadań administracyjnych związanych z tożsamością i dostępem.

Zadanie: Rozwiązywanie problemów z dostępem przy użyciu narzędzia Security Copilot w firmie Microsoft Entra

Jesteś administratorem tożsamości w Woodgrove. Jesteś członkiem działu pomocy technicznej i poproszono Cię o zajrzenie do zgłoszenia problemu przesłanego przez pracownika zdalnego, który często pracuje w zabezpieczonych lokalizacjach klientów. Pracownik zgłasza, że nie może uwierzytelnić się podczas pracy z bezpiecznej lokalizacji klienta, która nie zezwala użytkownikom na korzystanie z żadnych urządzeń zewnętrznych, w tym urządzeń przenośnych i laptopów. Jako administrator tożsamości wiesz, że proces uwierzytelniania jest skonfigurowany tak, aby zawsze używał uwierzytelniania wieloskładnikowego opartego na telefonie, ale chcesz zbadać próby logowania użytkownika. Copilot może pomóc zbadać i zbadać, jak szybko rozwiązać problem z logowaniem użytkownika. Użytkownik to Khamala Ervello.

  1. Otwórz symulowane środowisko, wybierając ten link: Centrum administracyjne firmy Microsoft Entra.

  2. Wybierz przycisk Security Copilot w prawym górnym rogu ekranu.

  3. Wprowadź monit Powiedz mi więcej na temat kher40@woodgrove.ms, aby uzyskać szczegółowe informacje na temat Khamala.

    • Zwróć uwagę na szczegóły, że Khamala jest uprawnionym użytkownikiem i powinien mieć dostęp.

  4. Musimy zbadać nieudaną próbę logowania. Użyj monitu Pokaż mi najnowsze kher40@woodgrove.ms nieudane logowanie, aby uzyskać widok niepowodzenia logowania.

    • Zwróć uwagę, że wystąpił dokładnie ten błąd, który opisał użytkownik: przekroczenie limitu czasu uwierzytelniania wieloskładnikowego.
    • Czy możemy sprawdzić, czy istnieją jakieś inne podejrzane działania?

  5. Wprowadź monit w obszarze Security Copilot Czy wystąpiły jakieś nietypowe lub ryzykowne zachowania związane z kher40@woodgrove.ms próbą logowania?.

    • Nie widzimy żadnych ryzykownych ani nietypowych zachowań dla tego użytkownika.
    • Czy możemy pomóc im się zalogować, aby mogli pracować?

  6. Sprawdź, jakie metody uwierzytelniania wieloskładnikowego są dostępne w witrynie Woodgrove z monitem Które metody uwierzytelniania są uznawane za uwierzytelnianie wieloskładnikowe?.

    • Zwróć uwagę na listę dostępnych metod uwierzytelniania wieloskładnikowego oraz udostępnione linki do badania ich wartości i siły.

  7. Klucz dostępu FIDO2 jest najbezpieczniejszą opcją bez konieczności weryfikacji telefonu. Czy możemy sprawdzić, czy Khamala jest zarejestrowany dla FIDO2?

  8. Sprawdź w aplikacji Copilot, korzystając z monitu Czy kher40@woodgrove.ms został zarejestrowany do uwierzytelniania FIDO2? .

    • Użytkownik nie jest skonfigurowany na potrzeby FIDO2. Czy możemy go skonfigurować do logowania bezhasłowego?

  9. Zapytaj Copilot, jak skonfigurować to za pomocą monitu Jak mogę skonfigurować kher40@woodgrove.ms na potrzeby uwierzytelniania bez hasła?.

  10. Przejrzyj krok opisany przez Security Copilot, aby pomóc Khamali skonfigurować logowanie bez hasła, aby rozwiązać ten problem.

  11. Po zapoznaniu się z krokami w języku Khamala możesz wysłać wiadomość e-mail z kopią instrukcji.

  12. Zamknij symulowane środowisko , zamykając przeglądarkę.

Przegląd: Security Copilot w Microsoft Entra jest twoim towarzyszem na stanowisku pomocy technicznej. Za pomocą kilku prostych monitów możesz potwierdzić rolę użytkownika w firmie, zbadać, czy ich konto nie pokazuje ryzykownych działań i pomóc im rozwiązać problemy z logowaniem.

Zadanie: Korygowanie problemów z zabezpieczeniami aplikacji w rozwiązaniu Security Copilot w firmie Microsoft Entra

Jesteś administratorem tożsamości w Woodgrove. Twoja firma korzysta z wielu aplikacji dla przedsiębiorstw od lat, a niektóre nie są już używane. Twoim zadaniem jest odnalezienie nieużywanych aplikacji w dzierżawie Microsoft Entra i ich usunięcie. Należy zbadać, czy w ramach pracy występują jakiekolwiek podejrzane działania związane z aplikacjami lub ich danymi. Copilot zabezpieczeń w Microsoft Entra może pomóc.

  1. Otwórz symulowane środowisko, wybierając ten link: Centrum administracyjne firmy Microsoft Entra.

  2. Przejrzyj dane podane na pulpicie nawigacyjnym firmy Microsoft Entra.

  3. Znajdź sekcję dotyczącą wskaźnika bezpieczeństwa tożsamości.

    • Zwróć uwagę, że istnieją zalecenia dotyczące tego, jak można jeszcze bardziej zabezpieczyć dzierżawę.
    • Zwróć uwagę, że jeden z elementów to "Usunięto nieużywaną aplikację".

  4. Wybierz przycisk Security Copilot w prawym górnym rogu ekranu.

  5. Użyj monitu Pokaż nieużywane aplikacje, aby znaleźć wszystkie nieużywane aplikacje.

    • Przejrzyj listę aplikacji.

  6. Wspaniale byłoby wiedzieć, kto jest właścicielem tych aplikacji.

  7. Wprowadź monit Kto jest właścicielem jednostek usługi skojarzonych z tymi aplikacjami? aby znaleźć właścicieli.

    • Należy pamiętać, że wielu z nich nie ma właścicieli.

  8. Zapytajmy copilot, jak usunąć aplikacje poleceniem Jak je usunąć?.

  9. Przejrzyj kroki podane w celu ręcznego usunięcia aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra lub wyświetl skrypty programu PowerShell.

    Uwaga / Notatka

    Chociaż ta symulacja nie korzysta aktywnie z tych kroków w celu usunięcia aplikacji, możesz zobaczyć, jak rozwiązanie Security Copilot może szybko pomóc w usunięciu nieużywanych aplikacji.

  10. Przewiń w górę w oknie Copilot , aby wyświetlić pierwotnie dostarczoną listę aplikacji.

  11. Znajdź aplikację o nazwie Woodgrove Intranet i zanotuj nazwę właściciela: Braden Goudy (Corp).

  12. Zamknij okno Security Copilot na chwilę.

  13. Wybierz menu Ulubione z menu po lewej stronie ekranu.

    • Ulubione to doskonałe miejsce do przechowywania najczęściej używanych narzędzi.

  14. Wybierz pozycję Ryzykowne działania z listy ulubionych.

    • Alternatywnie możesz otworzyć menu Ochrona , a następnie wybrać pozycję Ryzykowne działania z menu.

  15. Znajdź nazwisko Bradena na liście i zwróć uwagę, że jest zagrożony.

  16. Wybierz jego nazwisko, aby otworzyć podsumowanie Copilot dotyczące ryzykownego zachowania.

    • Jest kilka nieznanych prób logowania w ich historii.

  17. Przejrzyj sugestie dotyczące ograniczania ryzyka stwarzanego przez użytkownika.

  18. Zamknij symulowane środowisko , zamykając przeglądarkę.

Przegląd: W tej symulacji użyto narzędzia Security Copilot, aby ułatwić szybkie identyfikowanie nieużywanych aplikacji i ich właścicieli. Udało Ci się znaleźć instrukcje krok po kroku, aby usunąć je z systemu. Ponadto zauważyliśmy, że z trzech aplikacji z właścicielem, ten, którego właściciel jest wymieniony jako Braden Goudy (Corp) nie miał skojarzonego identyfikatora użytkownika. Dzięki tym informacjom można było przejrzeć użycie właściciela aplikacji i znaleźć pewne potencjalne ryzykowne zachowanie.

Zadanie: Eksplorowanie rozwiązania Security Copilot w firmie Microsoft Entra

Jesteś administratorem tożsamości w Woodgrove. Użytkownik Rovshan Hasanli może mieć dziwne zachowanie podczas nawiązywania połączenia z witryną Woodgrove. Chcesz użyć dzienników inspekcji, aby zbadać działania.

  1. Otwórz symulowane środowisko, wybierając ten link: Centrum administracyjne firmy Microsoft Entra.

  2. W prawym górnym rogu ekranu wybierz przycisk Security Copilot.

  3. Zacznijmy od prostego monitu, takiego jak Powiedz mi o użytkowniku Rovshan Hasanli?. Zwróć uwagę, że w wyniku odpowiedzi monitu pole nazwane "Włączone konto" ma wartość false, więc konto jest wyłączone.

  4. Musimy dowiedzieć się więcej o użytkowniku z dzienników inspekcji. Użyj monitu Pokaż mi zdarzenia dziennika inspekcji firmy Microsoft Entra zainicjowane przez tego użytkownika w ciągu ostatniego tygodnia , aby uzyskać więcej informacji.

    • Przejrzyj informacje o roli administratora użytkowników przypisanej w usłudze PIM.
    • Zwróć uwagę, że Security Copilot pamiętał, że zapytaliśmy już o Rovshan i zachowaliśmy ten kontekst. Można było również określić nazwę w poleceniu.
    • Bez zabezpieczenia Copilot musiałby otworzyć dzienniki i ręcznie wyszukać wpisy.

  5. Sprawdźmy logowanie użytkownika przy użyciu monitu Pokaż logowania z tego użytkownika?.

    • Nietypowe jest to, że użytkownik, którego konto jest wyłączone, mogło się zalogować i korzystać z usługi PIM.

  6. Przewiń w górę w oknie Security Copilot, aby znaleźć link Profil Rovshana Hasanli przy pierwszym zapytaniu, które zrobiliśmy w Security Copilot.

  7. Wybierz link Profil Rovshan Hasanli.

    • Alternatywnie możesz przejść do strony Wszyscy użytkownicy , przechodząc do menu po lewej stronie i wybierając pozycję Tożsamość, a następnie Pozycję Użytkownicy, a następnie Wszyscy użytkownicy.
    • Wybierz pole Wyszukaj użytkownika, a następnie wprowadź nazwę Rovshan.
    • Wybierz konto Rovshan Hasanli .

  8. Co ciekawe, konto jest wyłączone w Statusie konta.

  9. Wróć do okien Security Copilot i przejdź do strony Dzienników inspekcji.

  10. Wybierz link strona Dzienników inspekcji.

    • Alternatywnie możesz przejść do strony z menu po lewej stronie, przechodząc do pozycji Tożsamość, a następnie monitorowanie i kondycję, a następnie dzienniki logowania.

  11. Po otwarciu strony wybierz przycisk Dodaj filtry .

  12. Wybierz pozycję Zainicjowane przez (aktor) z dostępnych filtrów i wprowadź Rovshan, a następnie wybierz pozycję Zastosuj.

    • Istnieje kilka działań PIM wykonywanych przez Rovshan.

  13. Ponownie wróć do okna Security Copilot i znajdź link Zdarzenia logowania.

  14. Wybierz link do strony zdarzeń logowania.

    • Alternatywnie możesz przejść do strony z menu po lewej stronie, przechodząc do pozycji Tożsamość, a następnie monitorowanie i kondycję, a następnie dzienniki logowania.

  15. Po otwarciu strony wybierz przycisk Dodaj filtry .

  16. Wybierz pozycję Użytkownik z listy, a następnie wybierz pozycję Zastosuj.

  17. Wprowadź Rovshan w oknie dialogowym.

    • Przejrzyj listę prób logowania.

  18. Zamknij symulowane środowisko , zamykając przeglądarkę.

Recenzja: W tej krótkiej symulacji można zobaczyć, jak rozwiązanie Security Copilot w firmie Microsoft Entra umożliwia szybkie udostępnianie informacji o działaniu określonego użytkownika. Następnie Security Copilot zawiera linki do miejsca, w którym można znaleźć więcej szczegółów, aby uzyskać więcej szczegółów. Ta funkcja umożliwia zadawanie pytań dotyczących danych firmy Microsoft Entra bez konieczności odgadnięcia, gdzie należy przejść dalej.