通过

使用Microsoft Security Copilot调查安全事件

Microsoft 安全 Copilot 通过许多不同的技能(例如获取 Entra 风险用户和获取审核日志)从 Microsoft Entra 数据中获取见解。 IT 管理员和安全运营中心(SOC)分析师可以使用这些技能及其他技能来获得正确的上下文,以帮助他们借助自然语言提示调查和修正基于标识的事件。

本文介绍了 SOC 分析师或 IT 管理员如何使用 Microsoft Entra 技能调查潜在的安全事件。

先决条件

场景和调查

Woodgrove Bank 的安全运营中心(SOC)分析师 Natasha 收到有关潜在基于标识的安全事件的警报。 该警报指示已标记为有风险用户的用户帐户中的可疑活动。 她开始调查,并登录到 Microsoft Security CopilotMicrosoft Entra 管理中心。 为了查看用户、组、有风险的用户、登录日志、审核日志和诊断日志详细信息,她至少以 安全读取者身份登录。 如果由于缺少执行某些操作的权限而被阻止,她可以使用 Microsoft Security Copilot 激活此角色:

  • 激活 {必需角色},以便我可以执行 {所需任务}。

获取用户详细信息

Natasha 首先查找已标记用户的详细信息: karita@woodgrovebank.com。 她查看用户的个人资料信息,例如职务、部门、经理和联系信息。 她还检查用户分配的角色、应用程序和许可证,以了解用户有权访问哪些应用程序和服务。

她使用以下提示获取她所需的信息:

  • 为我提供karita@woodgrovebank.com的所有用户详细信息并提取用户对象 ID。
  • 是否已启用此用户帐户?
  • 上次更改或重置 karita@woodgrovebank.com密码的时间是何时?
  • karita@woodgrovebank.com Microsoft Entra 中是否有任何已注册设备?
  • 注册的身份验证方法 karita@woodgrovebank.com (如果有)是什么?

获取有风险的用户详细信息

为了了解为什么 karita@woodgrovebank.com 被标记为有风险的用户,Natasha 开始查看有风险的用户详细信息。 她查看用户的风险级别(低、中、高或隐藏)、风险详细信息(例如,来自不熟悉的位置登录)和风险历史记录(随时间变化的风险级别)。 她还检查风险检测和最近的有风险的登录,寻找可疑的登录活动或不可能的旅行活动。

她使用以下提示获取她所需的信息:

  • 风险级别、状态和风险详细信息 karita@woodgrovebank.com是什么?
  • 风险历史记录 karita@woodgrovebank.com是什么?
  • 列出karita@woodgrovebank.com的最近风险登录。
  • 列出风险检测的详细信息 karita@woodgrovebank.com。

获取登录日志详细信息

Natasha 然后查看用户的登录日志以及登录状态(成功或失败)、位置(城市、州、国家/地区)、IP 地址、设备信息(设备 ID、作系统、浏览器)和登录风险级别。 她还检查每个登录事件的相关 ID,该 ID 可用于进一步调查。

她使用以下提示获取她所需的信息:

  • 能否为我提供过去 48 小时内karita@woodgrovebank.com的登录日志? 将这些信息放入表格中。
  • 请显示过去 7 天内karita@woodgrovebank.com的失败登录记录,并告诉我这些记录的 IP 地址是什么。

获取审核日志详细信息

Natasha 检查审核日志,查找用户执行的任何异常或未经授权的操作。 她检查每个作的日期和时间、状态(成功或失败)、目标对象(例如文件、用户、组)和客户端 IP 地址。 她还检查每个动作的相关联的 ID,该 ID 可用于进一步调查。

她使用以下提示获取她所需的信息:

  • 获取过去 72 小时内karita@woodgrovebank.com的 Microsoft Entra 审核日志。 将信息放入表格中。
  • 显示此事件类型的审核日志。

获取组详细信息

然后,Natasha 会审查 karita@woodgrovebank.com 所属的群组,以确定 Karita 是否是任何异常或敏感群组的成员。 她查看与 Karita 的用户 ID 关联的组成员身份和权限。 她检查组类型(安全、分发或 Office 365)、成员身份类型(已分配或动态),以及组详细信息中的组所有者。 她还审查组的角色,以确定它拥有哪些权限来管理资源。

她使用以下提示获取她所需的信息:

  • 获取 karita@woodgrovebank.com 属于的 Microsoft Entra 用户组。 将信息放入表格中。
  • 告诉我有关财务部组的详细信息。
  • 财务部组的所有者是谁?
  • 此组有哪些角色?

停用角色

在完成 Microsoft Security Copilot 的任务后,Natasha 需要停用在会话中激活的任何高权限角色,以维护安全最佳实践。 她使用以下提示停用她的角色:

  • 我已完成调查或 {所需任务},请停用我的访问权限。

修正

使用安全 Copilot,Natasha 能够收集有关用户、登录活动、审核日志、有风险的用户检测、组成员身份和系统诊断的综合信息。 完成调查后,Natasha 需要采取措施来缓解有风险的用户或解除阻止。

她阅读了 有关风险缓解用户解封响应手册 的信息,以确定下一步可能采取的措施。

相关内容

了解有关以下方面的详细信息:

  • Last updated on