Untersuchen von Sicherheitsincidents mithilfe von Microsoft Security Copilot
Mit Microsoft Security Copilot erhalten Sie durch zahlreiche verschiedene Skills, etwa Skills zum Abrufen von Entra-Risikobenutzenden und Überwachungsprotokollen, Erkenntnisse zu Ihren Microsoft Entra-Daten. IT-Administratoren und SOC-Analysten (Security Operations Center) können diese Skills und viele weitere nutzen, um den richtigen Kontext zu erhalten und dadurch identitätsbasierte Vorfälle mithilfe von Prompts in natürlicher Sprache zu untersuchen und zu behandeln.
In diesem Artikel wird beschrieben, wie SOC-Analysten oder IT-Administratoren die Microsoft Entra-Skills verwenden können, um einen potenziellen Sicherheitsvorfall zu untersuchen.
Szenario
Natasha, ein SOC-Analyst der Woodgrove Bank, erhält eine Warnung über einen potenziellen identitätsbasierten Sicherheitsvorfall. Die Warnung weist auf verdächtige Aktivitäten eines Benutzerkontos hin, das als Risikobenutzer gekennzeichnet wurde.
Untersuchen
Natasha beginnt ihre Untersuchung und meldet sich bei Microsoft Security Copilot an. Um Details zu Benutzern, Gruppen, Risikobenutzern sowie Anmelde-, Überwachungs- und Diagnoseprotokollen anzuzeigen, muss sie sich mindestens als Sicherheitsleseberechtigter anmelden.
Abrufen von Benutzerinformationen
Natasha sieht sich zunächst die Details des gekennzeichneten Benutzers an: karita@woodgrovebank.com. Sie überprüft die Profilinformationen des Benutzers, z. B. Position, Abteilung, Vorgesetzter und Kontaktinformationen. Außerdem überprüft sie die zugewiesenen Rollen, Anwendungen und Lizenzen des Benutzers, um zu ermitteln, auf welche Anwendungen und Dienste der Benutzer zugreifen kann.
Sie verwendet die folgenden Prompts, um die benötigten Informationen abzurufen:
- Zeigen Sie mir alle Benutzerdetails für karita@woodgrovebank.com an, und extrahieren Sie die Benutzerobjekt-ID.
- Ist das Konto dieses Benutzers aktiviert?
- Wann wurde das Kennwort zuletzt geändert oder für karita@woodgrovebank.com zurückgesetzt?
- Verfügt karita@woodgrovebank.com über registrierte Geräte in Microsoft Entra?
- Welche Authentifizierungsmethoden sind für karita@woodgrovebank.com registriert?
Abrufen von Details zu Risikobenutzern
Um zu verstehen, warum karita@woodgrovebank.com als Risikobenutzer gekennzeichnet wurde, sieht sich Natasha zunächst die Details des Risikobenutzers an. Sie überprüft die Risikostufe des Benutzers (niedrig, mittel, hoch oder ausgeblendet), die Risikodetails (z. B. Anmeldung von einem unbekannten Standort) und den Risikoverlauf (Änderungen der Risikostufe im Zeitverlauf). Außerdem überprüft sie die Risikoerkennungen und die letzten Risikoanmeldungen, sucht nach verdächtigen Anmeldeaktivitäten oder unmöglichen Ortswechselaktivitäten.
Sie verwendet die folgenden Prompts, um die benötigten Informationen abzurufen:
- Wie lauten Risikoniveau, Status und Risikodetails für karita@woodgrovebank.com?
- Wie ist der Risikoverlauf für karita@woodgrovebank.com?
- Listen Sie die letzten Risikoanmeldungen für karita@woodgrovebank.com auf.
- Listen Sie die Risikoerkennungsdetails für karita@woodgrovebank.com auf.
Abrufen von Anmeldeprotokolldetails
Natasha überprüft dann die Anmeldeprotokolle für den Benutzer und den Anmeldestatus (Erfolg oder Fehler), Standort (Ort, Bundesland, Land), IP-Adresse, Geräteinformationen (Geräte-ID, Betriebssystem, Browser) und Anmelderisikostufe. Außerdem überprüft sie die Korrelations-ID für jedes Anmeldeereignis, die zur weiteren Untersuchung verwendet werden kann.
Sie verwendet die folgenden Prompts, um die benötigten Informationen abzurufen:
- Können Sie Anmeldeprotokolle für karita@woodgrovebank.com der letzten 48 Stunden abrufen? Stellen Sie diese Informationen im Tabellenformat dar.
- Zeigen Sie fehlerhafte Anmeldungen für karita@woodgrovebank.com in den letzten 7 Tagen sowie die entsprechenden IP-Adressen an.
Abrufen von Überwachungsprotokolldetails
Natasha sieht sich die Überwachungsprotokolle an und sucht nach ungewöhnlichen oder nicht autorisierten Aktionen, die vom Benutzer ausgeführt wurden. Sie überprüft das Datum und die Uhrzeit jeder Aktion, den Status (Erfolg oder Fehler), das Zielobjekt (z. B. Datei, Benutzer, Gruppe) und die Client-IP-Adresse. Außerdem überprüft sie die Korrelations-ID für jede Aktion, die zur weiteren Untersuchung verwendet werden kann.
Sie verwendet die folgenden Prompts, um die benötigten Informationen abzurufen:
- Rufen Sie Microsoft Entra-Überwachungsprotokolle für karita@woodgrovebank.com der letzten 72 Stunden ab. Stellen Sie die Informationen im Tabellenformat dar.
- Zeigen Sie Überwachungsprotokolle für diesen Ereignistyp an.
Abrufen von Gruppendetails
Natasha überprüft im Anschluss die Gruppen, denen karita@woodgrovebank.com angehört, um festzustellen, ob Karita Mitglied einer ungewöhnlichen oder sensiblen Gruppe ist. Sie überprüft die Gruppenmitgliedschaften und Berechtigungen, die mit der Benutzer-ID von Karita verknüpft sind. Sie überprüft den Gruppentyp (Sicherheitsgruppe, Verteilergruppe oder Office 365-Gruppe), den Mitgliedschaftstyp (zugewiesen oder dynamisch) und die Besitzer der Gruppe in den Gruppendetails. Darüber hinaus prüft sie die Rollen der Gruppe, um ihre Berechtigungen für die Verwaltung von Ressourcen zu ermitteln.
Sie verwendet die folgenden Prompts, um die benötigten Informationen abzurufen:
- Rufen Sie die Microsoft Entra-Benutzergruppen ab, in denen karita@woodgrovebank.com Mitglied ist. Stellen Sie die Informationen im Tabellenformat dar.
- Stellen Sie weitere Informationen zur Gruppe „Finanzabteilung“ bereit.
- Wer sind die Besitzer der Gruppe „Finanzabteilung“?
- Welche Rollen hat diese Gruppe?
Abrufen von Diagnoseprotokolldetails
Schließlich überprüft Natasha die Diagnoseprotokolle, um detailliertere Informationen zu den Systemvorgängen während der Zeit verdächtiger Aktivitäten zu erhalten. Sie filtert die Protokolle nach Johns Benutzer-ID und der Zeit ungewöhnlicher Anmeldungen.
Sie verwendet die folgenden Prompts, um die benötigten Informationen abzurufen:
- Wie lautet die Diagnoseprotokollkonfiguration für den Mandanten, in dem karita@woodgrovebank.com registriert ist?
- Welche Protokolle werden in diesem Mandanten gesammelt?
Korrigieren
Mithilfe von Security Copilot kann Natasha umfassende Informationen zum Benutzende, Anmeldeaktivitäten, Überwachungsprotokolle, Risikobenutzendenerkennungen, Gruppenmitgliedschaften und Systemdiagnosen sammeln. Nach Abschluss Ihrer Untersuchung muss Natasha Maßnahmen ergreifen, um den Risikobenutzer zu behandeln oder seine Blockierung aufzuheben.
Sie liest über Risikobehebung, Aufheben der Benutzerblockierung und Playbooks zur Reaktion auf Vorfälle, um mögliche Aktionen zu bestimmen, die als Nächstes ausgeführt werden sollten.
Nächste Schritte
Weitere Informationen: