Explorar os recursos do Copilot no Microsoft Entra

  • 30 minutos

Neste exercício, você explorará vários cenários do mundo real que realçam os benefícios e o valor do Copilot no Microsoft Entra.

Observação

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e pode não haver suporte para entradas baseadas em texto que estejam fora do script especificado. Uma mensagem pop-up é exibida informando: "Esse recurso não está disponível dentro da simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.

Captura de tela do pop-up indicando que esse recurso não está disponível na simulação.

Exercício

Este exercício consiste em quatro tarefas independentes que exploram os recursos do Security Copilot no Microsoft Entra.

Este exercício deve levar aproximadamente 30 minutos para ser concluído.

Observação

Quando uma instrução de laboratório exigir a abertura de um link para o ambiente simulado, é recomendável que você abra o link em uma nova janela do navegador para que possa exibir as instruções e o ambiente do exercício ao mesmo tempo. Para fazer isso, selecione a tecla direita do mouse e selecione a opção.

Tarefa: Pesquisa e correção de usuários arriscados com o Copilot no Microsoft Entra

Você é um administrador de identidade da Woodgrove. Você acredita que há alguns usuários na empresa que podem ser comprometidos por ataques de phishing. Você deseja usar o Copilot no Microsoft Entra para examinar os usuários arriscados. Se encontrar algum, você poderá usar Copilot para ajudá-lo a corrigir o problema e evitar ocorrências futuras. A principal usuária que você suspeita ser comprometida é Serena Markunaite.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. No menu à esquerda, role para baixo e abra o menu Proteção .

  3. Selecione Proteção de Identidade no submenu.

    • Queremos usar o Painel para examinar o gráfico do número de usuários de alto risco. Observe que há mais de 100 atividades de usuários arriscadas detectadas.
    • Voltaremos a este relatório em alguns minutos.

  4. Vamos fazer algumas pesquisas sobre possíveis usuários arriscados.

  5. Selecione o botão Copilot no canto superior direito da tela.

  6. Reserve um momento para examinar os prompts de exemplo fornecidos no Copilot.

  7. Insira o prompt Mostrar meus usuários mais arriscados e selecione a seta.

    • Observe que o usuário com quem estávamos preocupados (Serena) está na lista.

  8. Examine a parte inferior da resposta do Copilot para obter um link para o relatório Usuários Arriscados.

  9. Selecione o link Relatório de usuários arriscados no Entra ID Protection.

  10. Selecione Serena Markunaite na lista de Usuários Arriscados.

    • Isso abre um resumo de risco do usuário gerado automaticamente pelo Copilot. Agora você vê uma razão específica por que Serena está em risco elevado.
    • Observe também as O que fazer recomendações.

  11. Precisamos nos aprofundar um pouco mais e ver se podemos acompanhar esse comportamento arriscado do usuário. Eles realizaram atividades fora do uso normal?

  12. Na caixa de diálogo Copilot, insira o prompt Mostre-me os logins para a Serena um dia antes e um dia depois do alerta.

    • Observe a tentativa de entrada do usuário com falha e, em seguida, algumas tentativas imediatas bem-sucedidas de um endereço IP alternativo. Parece um comportamento suspeito.
    • Apenas redefinir uma senha ou MFA pode não ser suficiente se um invasor tiver feito logon no sistema. Vamos verificar se alguma alteração foi feita nas configurações da MFA recentemente.

  13. Insira o prompt Copilot quais métodos de MFA estão disponíveis para esse usuário?.

    • Note que o padrão MFA da empresa, com Senha mais Autenticador, ainda permanece configurado.

  14. Pesquisamos a questão e reunimos as informações necessárias. Agora é hora de planejar a correção de ataques do estilo attacker in the middle.

  15. Peça ao copilot recomendações com a solicitação O que devo fazer para corrigir essa ameaça de attacker in the middle?.

  16. Role a janela do Copilot para cima para analisar toda a resposta.

    • A resposta do copilot inclui maneiras de corrigir os problemas atuais. Todos esses itens são ótimos para impedir uma potencial violação atual, mas não impedirão tentativas futuras. O que podemos fazer?
    • Lembrete – Nos Detalhes do Usuário Arriscado , foram fornecidas as recomendações de o que fazer para proteger ataques futuros.

  17. Há uma sugestão para usar políticas de Acesso Condicional para proteger esse usuário. Use Copilot para saber mais.

  18. Insira o prompt Posso usar a política de acesso condicional baseada em risco para automatizar a resposta a essas detecções?

    • Observe que você pode usar políticas de Acesso Condicional. O mesmo que as recomendações anteriores que obtivemos.

  19. Peça ao Copilot para fornecer instruções passo a passo para configurar isso com o prompt Como eu criaria uma política de acesso condicional baseada em risco de entrada para esse usuário?.

    • Examine as etapas fornecidas.

    Observação

    As instruções geradas são para uma única política de usuário. A Microsoft não recomenda que você faça uma política para cada usuário, mas crie-a usando grupos de segurança para ajudar na manutenção.

  20. Feche o ambiente simulado saindo do navegador.

Revisão: Você concluiu esta simulação de laboratório. Lembre-se de como você conseguiu usar rapidamente o Copilot para obter uma lista de usuários arriscados, pesquisar suas atividades baseadas em identidade, verificar se a conta parecia comprometida e encontrar um caminho de correção. O Copilot integrado ao Microsoft Entra é uma ferramenta poderosa para dar suporte às suas tarefas administrativas de identidade e acesso.

Tarefa: Usando o Security Copilot no Microsoft Entra para solucionar problemas de acesso

Você é um administrador de identidade da Woodgrove. Você é membro do suporte técnico e foi solicitado a investigar um tíquete de problema enviado por um funcionário remoto que trabalha frequentemente em locais seguros de clientes. O funcionário relata que não consegue autenticar ao trabalhar no local seguro de um cliente que não permite que os usuários tragam dispositivos externos, incluindo dispositivos móveis e laptops. Como administrador de identidade, você sabe que o processo de autenticação está configurado para sempre usar a MFA baseada em telefone, mas você deseja investigar as tentativas de entrada do usuário. O Copilot pode ajudar a investigar e pesquisar como resolver rapidamente o desafio de entrada do usuário. O usuário é Khamala Ervello.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. Selecione o botão Security Copilot no canto superior direito da tela.

  3. Insira a solicitação Fale mais sobre kher40@woodgrove.ms para obter detalhes sobre Khamala.

    • Observe os detalhes de que Khamala é um usuário válido e deve ter acesso.

  4. Precisamos pesquisar a tentativa de entrada com falha. Use a solicitação Mostre-me entrada de kher40@woodgrove.ms com falha mais recente para obter uma exibição sobre a falha de entrada.

    • Observe que a falha exata descrita pelo usuário ocorreu: tempo limite da autenticação multifator (MFA).
    • Podemos verificar se há outra atividade suspeita?

  5. Insira a solicitação no Security Copilot Houve algum comportamento incomum ou arriscado na tentativa de entrada de kher40@woodgrove.ms?.

    • Não vemos nenhum comportamento arriscado ou incomum para esse usuário.
    • Podemos ajudá-los a fazer logon, para que eles possam trabalhar?

  6. Verifique quais métodos de MFA estão disponíveis no Woodgrove com o prompt Quais métodos de autenticação são considerados MFA?.

    • Observe a lista de métodos de MFA disponíveis e os links fornecidos para pesquisar seu valor e força.

  7. A chave de passagem FIDO2 é a opção mais segura, sem a necessidade de verificação telefônica. Podemos verificar se Khamala está registrado para FIDO2?

  8. Verifique com o Copilot usando o prompt Está kher40@woodgrove.ms registrado para autenticação FIDO2? .

    • O usuário não está configurado para FIDO2, podemos configurá-lo para sem senha?

  9. Pergunte ao copilot como configurar isso com o prompt Como eu faria para configurar kher40@woodgrove.ms para autenticação sem senha?.

  10. Examine a etapa fornecida pelo Security Copilot para ajudar Khamala a configurar a entrada sem senha, para que esse problema seja resolvido.

  11. Depois de examinar as etapas com Khamala, você pode enviar um email com uma cópia das instruções.

  12. Feche o ambiente simulado saindo do navegador.

Revisão: O Security Copilot no Microsoft Entra é seu companheiro na assistência técnica. Com alguns prompts simples, você pode confirmar a função de um usuário na empresa, pesquisar que sua conta não está mostrando atividades arriscadas e ajudá-lo a resolver problemas de entrada.

Tarefa: Corrigir problemas de segurança do aplicativo com o Security Copilot no Microsoft Entra

Você é um administrador de identidade da Woodgrove. Sua empresa tem usado muitos aplicativos empresariais ao longo dos anos e alguns não são mais usados. Seu trabalho é rastrear aplicativos não utilizados no tenant do Microsoft Entra e removê-los. Você deve pesquisar se há alguma atividade suspeita associada aos aplicativos ou seus dados como parte do trabalho. O Copilot de Segurança no Microsoft Entra pode ajudar.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. Examine os dados fornecidos no painel do Microsoft Entra.

  3. Localize a seção em sua Classificação de segurança de identidade.

    • Observe que há recomendações sobre como você pode tornar seu locatário ainda mais seguro.
    • Observe que um dos itens é "Aplicativo não utilizado removido".

  4. Selecione o botão Security Copilot no canto superior direito da tela.

  5. Use o prompt Mostrar-me aplicativos não utilizados para localizar aplicativos não utilizados.

    • Examine a lista de aplicativos.

  6. Seria ótimo saber quem é o proprietário desses aplicativos.

  7. Insira o prompt Quem são os proprietários das entidades de serviço associadas a esses aplicativos? para localizar os proprietários.

    • Observe que muitos deles não têm proprietários.

  8. Vamos perguntar ao copilot como remover os aplicativos com o prompt Como posso removê-los?.

  9. Examine as etapas fornecidas para remover o aplicativo manualmente usando o Centro de administração do Microsoft Entra ou exibir scripts do PowerShell.

    Observação

    Embora essa simulação não use ativamente essas etapas para remover o aplicativo, você pode ver como o Security Copilot pode ajudá-lo rapidamente a remover aplicativos não utilizados.

  10. Role para cima na janela copilot para ver a lista de aplicativos fornecidos originalmente.

  11. Localize o aplicativo chamado Woodgrove Intranet e anote o nome do proprietário: Braden Goudy (Corp).

  12. Feche a janela Security Copilot por enquanto.

  13. Selecione o menu Favoritos no menu no lado esquerdo da tela.

    • Favoritos é um ótimo lugar para armazenar suas ferramentas mais usadas.

  14. Selecione atividades arriscadas na lista de favoritos.

    • Como alternativa, você pode abrir o menu Proteção e selecionar Atividades Arriscadas no menu.

  15. Encontre o nome de Braden na lista e observe que ele está em risco.

  16. Selecione seu nome para abrir um resumo do Security Copilot sobre o comportamento arriscado.

    • Há várias tentativas de entrada desconhecidas em seu histórico.

  17. Examine as sugestões sobre como atenuar os riscos representados pelo usuário.

  18. Feche o ambiente simulado saindo do navegador.

Revisão: Nesta simulação, você usou o Security Copilot para ajudá-lo a identificar rapidamente aplicativos não utilizados e seus proprietários. Você conseguiu encontrar as instruções passo a passo para removê-las do seu sistema. Além disso, você notou que dos três aplicativos com um proprietário, aquele cujo proprietário está listado como Braden Goudy (Corp) não tinha uma ID de usuário associada. Com essas informações, você conseguiu examinar o uso do proprietário do aplicativo e encontrar algum comportamento potencialmente arriscado.

Tarefa: Explorar o Security Copilot no Microsoft Entra

Você é um administrador de identidade da Woodgrove. Você foi avisado de que o usuário Rovshan Hasanli pode ter algum comportamento estranho ao se conectar ao site do Woodgrove. Você deseja usar os Logs de Auditoria para pesquisar as atividades.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. No lado superior direito da tela, selecione o botão Copilot de Segurança.

  3. Vamos começar com um prompt simples como Diga-me sobre o usuário Rovshan Hasanli?. Observe que a resposta do prompt mostra que o campo Conta Habilitada está definido como false, de modo que a conta está desabilitada.

  4. Precisamos descobrir informações sobre o usuário nos Logs de Auditoria. Use o prompt Mostrar-me eventos de log de auditoria do Microsoft Entra iniciados por esse usuário na última semana para encontrar mais informações.

    • Examine as informações sobre a função de Administrador de Usuário que está sendo atribuída no PIM.
    • Observe que o Copilot de Segurança lembrou que já perguntamos sobre Rovshan e manteve esse contexto. Você também pode ter especificado o nome no prompt.
    • Sem o Security Copilot teria que abrir os logs e pesquisar manualmente as entradas.

  5. Vamos verificar a entrada do usuário com a solicitação Mostre-me entradas desse usuário..

    • É incomum que um usuário cuja conta esteja desabilitada tenha sido capaz de entrar e usar o PIM.

  6. Role para cima na janela Copilot de Segurança até encontrar o link perfil de Rovshan Hasanli da primeira consulta que fizemos no Security Copilot.

  7. Selecione o link perfil de Rovshan Hasanli.

    • Como alternativa, você pode navegar até a página Todos os Usuários acessando o menu do lado esquerdo e escolhendo Identidade, depois Usuários e, em seguida, Todos os Usuários.
    • Selecione Pesquisar na caixa de usuários e digite Rovshan.
    • Selecione a conta Rovshan Hasanli .

  8. Interessante, podemos ver que a conta está desabilitada no status da Conta.

  9. Retorne às janelas do Security Copilot e navegue até o link página de Logs de auditoria.

  10. Selecione o link página de Logs de Auditoria.

    • Como alternativa, você pode navegar até a página no menu do lado esquerdo acessando Identidade, Monitoramento & saúde e, em seguida, Registros de entrada.

  11. Quando a página for aberta, selecione o botão Adicionar filtros .

  12. Escolha o Iniciado por (ator) nos filtros perdidos e insira Rovshan e selecione Aplicar.

    • Há várias atividades de PIM executadas por Rovshan.

  13. Volte novamente à janela do Security Copilot e localize o link página de Eventos de entrada.

  14. Selecione o link página de eventos de login.

    • Como alternativa, você pode navegar até a página no menu do lado esquerdo acessando Identidade, Monitoramento & saúde e, em seguida, Registros de entrada.

  15. Quando a página for aberta, selecione o botão Adicionar filtros .

  16. Escolha Usuário na lista e selecione Aplicar.

  17. Insira Rovshan na caixa de diálogo.

    • Verifique a lista de tentativas de login.

  18. Feche o ambiente simulado saindo do navegador.

Revisão: Nesta breve simulação, você pode ver como o Security Copilot no Microsoft Entra é capaz de compartilhar rapidamente informações sobre a atividade de um usuário específico. Em seguida, o Security Copilot inclui links para onde mais detalhes podem ser encontrados. Esse recurso permite que você faça perguntas sobre os dados do Microsoft Entra, sem precisar adivinhar para onde ir a seguir.