Explore os recursos do Copilot no Microsoft Entra

  • 30 minutos

Neste exercício, você explora vários cenários do mundo real que destacam os benefícios e o valor do Copilot no Microsoft Entra.

Observação

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e entradas baseadas em texto que não se enquadram no script especificado podem não ser suportadas. Uma mensagem pop-up é exibida informando: "Este recurso não está disponível na simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.

Captura de ecrã do ecrã pop-up que indica que esta funcionalidade não está disponível na simulação.

Exercício

Este exercício consiste em quatro tarefas independentes que exploram os recursos do Security Copilot no Microsoft Entra.

Este exercício deve levar aproximadamente 30 minutos para ser concluído.

Observação

Quando uma instrução de laboratório pede para abrir um link para o ambiente simulado, é recomendável que você abra o link em uma nova janela do navegador para que você possa visualizar simultaneamente as instruções e o ambiente de exercício. Para fazer isso, selecione a tecla direita do mouse e selecione a opção.

Tarefa: Pesquisa e remediação de usuários de risco com Copilot no Microsoft Entra

Você é um administrador de identidade do Woodgrove. Você acredita que existem alguns usuários na empresa que podem ser comprometidos por ataques de phishing. Você deseja usar o Copilot no Microsoft Entra para revisar todos os usuários arriscados. Se encontrar algum, você pode usar o Copilot para ajudá-lo a corrigir o problema e evitar ocorrências futuras. A principal utilizadora que suspeita estar comprometida é Serena Markunaite.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. No menu à esquerda, role para baixo e abra o menu Proteção .

  3. Selecione Proteção de identidade no submenu.

    • Queremos usar o Painel para examinar o gráfico Número de usuários de alto risco. Observe que há mais de 100 atividades arriscadas do usuário detetadas.
    • Voltaremos a este relatório dentro de alguns minutos.

  4. Vamos fazer algumas pesquisas sobre potenciais usuários arriscados.

  5. Selecione o botão Copilot no canto superior direito da tela.

  6. Reserve um momento para revisar os prompts de amostra fornecidos no Copilot.

  7. Digite o prompt Mostra-me os meus utilizadores mais arriscados e selecione a seta.

    • Note, o usuário com o qual estávamos preocupados (Serena) está na lista.

  8. Observe a parte inferior da resposta do Copilot para obter um link para o relatório Usuários Arriscados.

  9. Selecione o link Relatório de usuários arriscados no Entra ID Protection.

  10. Selecione Serena Markunaite na lista de Usuários Arriscados.

    • Isso abre um resumo de risco do usuário gerado automaticamente pelo Copilot. Agora você vê uma razão específica pela qual Serena está em risco elevado.
    • Observe também as recomendações sobre o que fazer .

  11. Precisamos cavar um pouco mais fundo e ver se podemos rastrear esse comportamento arriscado do usuário. Realizaram atividades fora do seu uso normal?

  12. Na caixa de diálogo Copilot, digite o prompt Mostre-me os logins para a Serena um dia antes e depois do alerta.

    • Observe a tentativa de login do usuário com falha e, em seguida, algumas tentativas bem-sucedidas imediatas de um endereço IP alternativo. Parece comportamento suspeito.
    • Apenas redefinir uma senha ou MFA pode não ser suficiente se um invasor tiver feito login no sistema. Vamos verificar se alguma alteração foi feita nas configurações de MFA recentemente.

  13. Digite o prompt Copilot Quais métodos de MFA estão disponíveis para este usuário?.

    • Observe que o padrão MFA da empresa de Senha mais Autenticador ainda está definido.

  14. Pesquisámos a questão e recolhemos as informações necessárias. Agora é hora de planejar a remediação de ataques no estilo atacante no meio.

  15. Peça recomendações ao copiloto com o prompt O que devo fazer para remediar essa ameaça do atacante no meio?.

  16. Role para cima na janela do copiloto para rever a resposta completa.

    • A resposta do copiloto inclui formas de remediar os problemas atuais. Todos esses itens são ótimos para impedir possíveis violações atuais, mas não impedirão futuras tentativas. O que podemos fazer?
    • Lembrete - Nos Detalhes do Usuário Arriscado foram fornecidas recomendações sobre o que fazer para proteger ataques futuros.

  17. Há uma sugestão para usar políticas de Acesso Condicional para proteger esse usuário. Use o Copilot para saber mais.

  18. Insira o prompt Posso usar a política de acesso condicional baseada em risco para automatizar a resposta a essas deteções?

    • Observe que você pode usar políticas de Acesso Condicional. O mesmo que as recomendações anteriores que recebemos.

  19. Peça ao Copilot para lhe dar instruções passo a passo para configurar isso com o prompt Como eu criaria uma política de acesso condicional baseada em risco para este usuário?.

    • Analise as etapas fornecidas.

    Observação

    As instruções geradas são para uma única política de usuário. A Microsoft não recomenda que você crie uma política para cada usuário, mas que as crie usando grupos de segurança para ajudar na manutenção.

  20. Feche o ambiente simulado saindo do navegador.

Revisão: Você concluiu esta simulação de laboratório. Lembre-se de como você foi capaz de usar rapidamente o Copilot para obter uma lista de usuários arriscados, pesquisar suas atividades baseadas em identidade, verificar se a conta parecia comprometida e encontrar um caminho de correção. O Copilot incorporado para Microsoft Entra é uma ferramenta poderosa para suportar a sua identidade e aceder a tarefas administrativas.

Tarefa: Usando o Security Copilot no Microsoft Entra para solucionar problemas de acesso

Você é um administrador de identidade do Woodgrove. Você é membro da assistência técnica e foi-lhe pedido que analisasse um chamado de suporte enviado por um funcionário remoto que frequentemente trabalha em locais seguros de clientes. O funcionário relata que não consegue autenticar ao trabalhar a partir do local seguro de um cliente que não permite que os usuários tragam dispositivos externos, incluindo dispositivos móveis e laptops. Como administrador de identidade, você sabe que o processo de autenticação está configurado para sempre usar MFA baseada em telefone, mas deseja investigar as tentativas de entrada do usuário. O Copilot pode ajudar a investigar e pesquisar como resolver rapidamente o desafio de login do usuário. O usuário é Khamala Ervello.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. Selecione o botão Security Copilot no canto superior direito da tela.

  3. Digite o prompt Diga-me mais sobre kher40@woodgrove.ms para obter mais informações sobre Khamala.

    • Observe os detalhes de que Khamala é um usuário válido e deve ter acesso.

  4. Precisamos investigar o sinal fracassado na tentativa. Use o prompt Mostrar kher40@woodgrove.ms falha de login mais recente para ver uma falha de login.

    • Repare que a falha exata que o utilizador descreveu realmente aconteceu: um tempo limite de autenticação multifator (MFA).
    • Podemos verificar se há alguma outra atividade suspeita?

  5. Digite o prompt em Security Copilot Houve algum comportamento incomum ou arriscado para kher40@woodgrove.ms a tentativa de login?.

    • Não vemos nenhum comportamento arriscado ou incomum para este usuário.
    • Podemos ajudá-los a iniciar sessão, para que possam trabalhar?

  6. Verifique quais métodos de MFA estão disponíveis no Woodgrove com o prompt Quais métodos de autenticação são considerados MFA?.

    • Observe a lista de métodos de MFA disponíveis e os links fornecidos para pesquisar seu valor e força.

  7. A chave de acesso FIDO2 é a opção mais segura, sem a necessidade de verificação do telefone. Podemos verificar se Khamala está registrado para FIDO2?

  8. Verifique com o Copilot usando o prompt Está kher40@woodgrove.ms registrado para autenticação FIDO2? .

    • O usuário não está configurado para FIDO2, podemos configurá-los para sem senha?

  9. Pergunte ao copilot como configurar isso com o prompt kher40@woodgrove.ms.

  10. Reveja o passo fornecido pelo Security Copilot para ajudar Khamala a configurar o início de sessão sem palavra-passe, para que este problema seja resolvido.

  11. Depois de rever os passos com Khamala, pode enviar um e-mail com uma cópia das instruções.

  12. Feche o ambiente simulado saindo do navegador.

Revisão: O Security Copilot no Microsoft Entra é o seu companheiro no helpdesk. Com alguns prompts simples, você pode confirmar o papel de um usuário na empresa, pesquisar se sua conta não está mostrando atividades arriscadas e ajudá-lo a resolver problemas de login.

Tarefa: Corrigir problemas de segurança de aplicativos com o Security Copilot no Microsoft Entra

Você é um administrador de identidade do Woodgrove. Sua empresa tem usado muitos aplicativos corporativos ao longo dos anos, e alguns não são mais usados. Seu trabalho é rastrear aplicativos não utilizados em seu locatário do Microsoft Entra e removê-los. Você deve pesquisar se há alguma atividade suspeita associada aos aplicativos ou seus dados como parte do trabalho. O Security Copilot no Microsoft Entra pode ajudar.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. Analise os dados fornecidos no painel do Microsoft Entra.

  3. Encontre a secção sobre o seu Identity Secure Score.

    • Tenha em atenção que existem recomendações sobre como pode tornar o seu inquilino ainda mais seguro.
    • Observe que um dos itens é "Aplicativo não utilizado removido".

  4. Selecione o botão Security Copilot no canto superior direito da tela.

  5. Use o prompt Mostrar aplicativos não utilizados para encontrar aplicativos não utilizados.

    • Reveja a lista de aplicações.

  6. Seria ótimo saber quem é o proprietário desses aplicativos.

  7. Digite o prompt Quem são os proprietários das entidades de serviço associadas a esses aplicativos? para encontrar os proprietários.

    • Note que muitos deles não têm donos.

  8. Vamos perguntar ao copilot como remover os aplicativos com o prompt Como faço para removê-los?.

  9. Analise as etapas fornecidas para remover o aplicativo manualmente usando o centro de administração do Microsoft Entra ou exibir scripts do PowerShell.

    Observação

    Embora essa simulação não use ativamente essas etapas para remover aplicativos, você pode ver como o Security Copilot pode ajudá-lo rapidamente a remover aplicativos não utilizados.

  10. Role para cima na janela Copilot para ver a lista de aplicativos originalmente fornecidos.

  11. Encontre o aplicativo chamado Woodgrove Intranet e tome nota do nome do proprietário: Braden Goudy (Corp).

  12. Feche a janela Security Copilot por enquanto.

  13. Selecione o menu Favoritos no menu do lado esquerdo da tela.

    • Favoritos é um ótimo lugar para armazenar suas ferramentas mais usadas.

  14. Selecione Atividades arriscadas na lista de favoritos.

    • Como alternativa, você pode abrir o menu Proteção e, em seguida, selecionar Atividades de risco no menu.

  15. Encontre o nome de Braden na lista e observe que ele está em risco.

  16. Selecione seu nome para abrir um resumo do Copilot de Segurança do comportamento de risco.

    • Há várias tentativas de login desconhecidas em sua história.

  17. Analise as sugestões sobre como mitigar quaisquer riscos apresentados pelo usuário.

  18. Feche o ambiente simulado saindo do navegador.

Revisão: Nesta simulação, você usou o Security Copilot para ajudá-lo a identificar rapidamente os aplicativos não utilizados e seus proprietários. Você foi capaz de encontrar as instruções passo-a-passo para removê-los do seu sistema. Além disso, você notou que dos três aplicativos com um proprietário, aquele cujo proprietário está listado como Braden Goudy (Corp) não tinha um ID de usuário associado. Com essas informações, você pôde analisar o uso do proprietário do aplicativo e encontrar algum comportamento de risco potencial.

Tarefa: Explorar o Copilot de Segurança no Microsoft Entra

Você é um administrador de identidade do Woodgrove. Você foi avisado de que o usuário Rovshan Hasanli pode ter algum comportamento estranho ao se conectar ao site Woodgrove. Você deseja usar os Logs de Auditoria para pesquisar as atividades.

  1. Abra o ambiente simulado selecionando este link: Centro de administração do Microsoft Entra.

  2. No canto superior direito do ecrã, selecione o botão Security Copilot.

  3. Vamos começar com um prompt simples como Diga-me sobre o usuário Rovshan Hasanli?. Observe que a resposta do prompt mostra que o campo Conta habilitada está definido como false, portanto, a conta está desativada.

  4. Precisamos descobrir informações sobre o usuário nos Logs de Auditoria. Use o prompt Mostrar eventos de log de auditoria do Microsoft Entra iniciados por esse usuário na última semana para encontrar mais informações.

    • Revise as informações sobre a função de Administrador de Usuário que está sendo atribuída no PIM.
    • Observe que o Copiloto de Segurança lembrou que já perguntamos sobre Rovshan e manteve esse contexto. Você também poderia ter especificado o nome no prompt.
    • Sem o Security Copilot teria que abrir os logs e procurar manualmente por entradas.

  5. Vamos verificar o início de sessão do utilizador com a mensagem Mostrar início de sessão desse utilizador?.

    • É incomum que um usuário cuja conta está desativada tenha conseguido entrar e usar o PIM.

  6. Role para cima na janela Security Copilot para encontrar o link Perfil de Rovshan Hasanli da primeira consulta que fizemos no Security Copilot.

  7. Selecione o link Perfil de Rovshan Hasanli.

    • Como alternativa, você pode navegar até a página Todos os usuários indo para o menu do lado esquerdo e escolhendo Identidade, depois Usuários e Todos os usuários.
    • Selecione a caixa Pesquisar para usuários e digite Rovshan.
    • Selecione a conta Rovshan Hasanli .

  8. Interessante, podemos ver que a conta está desativada no status da conta.

  9. Regresse às janelas do Security Copilot e desloque-se até à página de Registos de Auditoria.

  10. Selecione o link Página de registos de auditoria.

    • Como alternativa, pode navegar até à página no menu do lado esquerdo indo para Identidade, depois Monitorização e saúde e, em seguida, Registos de entrada.

  11. Quando a página abrir, selecione o botão Adicionar filtros .

  12. Escolha Iniciado por (ator) nos filtros perdidos e digite Rovshan e, em seguida, selecione Aplicar.

    • Existem várias atividades do PIM realizadas por Rovshan.

  13. Volte novamente à janela Security Copilot e encontre o link Página de eventos de login.

  14. Selecione o link Página de eventos de login.

    • Como alternativa, pode navegar até à página no menu do lado esquerdo indo para Identidade, depois Monitorização e saúde e, em seguida, Registos de entrada.

  15. Quando a página abrir, selecione o botão Adicionar filtros .

  16. Escolha Usuário na lista e, em seguida, selecione Aplicar.

  17. Digite Rovshan na caixa de diálogo.

    • Reveja a lista de tentativas de início de sessão.

  18. Feche o ambiente simulado saindo do navegador.

Revisão: Nesta breve simulação, você pode ver como o Security Copilot no Microsoft Entra é capaz de compartilhar rapidamente informações sobre a atividade de um usuário específico. Em seguida, o Security Copilot inclui links para onde mais detalhes podem ser encontrados para obter mais detalhes. Este recurso permite que você faça perguntas sobre os dados do Microsoft Entra, sem ter que adivinhar para onde ir em seguida.