Partager via

Examiner les incidents de sécurité avec Microsoft Security Copilot

  • Article

Microsoft Security Copilot obtient des insights à partir de vos données Microsoft Entra via de nombreuses compétences différentes, notamment Obtenir les utilisateurs à risque d’Entra et Obtenir les journaux d’audit. Les administrateurs informatiques et les analystes de centre des opérations de sécurité (SOC) peuvent utiliser ces compétences, entre autres, afin d’obtenir le bon contexte pour aider à investiguer et à corriger des incidents basés sur l’identité à l’aide de prompts en langage naturel.

Cet article décrit comment un analyste SOC ou un administrateur informatique pourrait utiliser les compétences Microsoft Entra pour investiguer un incident de sécurité potentiel.

Scénario

Natasha, analyste SOC chez Woodgrove Bank, reçoit une alerte concernant un incident de sécurité potentiel basé sur l’identité. L’alerte indique une activité suspecte à partir d’un compte d’utilisateur ayant été marqué comme utilisateur à risque.

Étudier

Natasha commence son examen et se connecte à Microsoft Security Copilot. Pour afficher les détails d’un utilisateur, d’un groupe, d’un utilisateur à risque, des journaux de connexion, des journaux d’audit et des journaux de diagnostic, elle se connecte au moins en tant que Lecteur de sécurité.

Obtenir les détails de l’utilisateur

Natasha commence par rechercher les détails relatifs à l’utilisateur en question : karita@woodgrovebank.com. Elle examine les informations de profil de l’utilisateur, telles que le poste, le service, le responsable et les informations de contact. Elle vérifie également les rôles, applications et licences attribués à l’utilisateur afin de savoir à quels services et applications l’utilisateur a accès.

Elle utilise les prompts suivants pour obtenir les informations dont elle a besoin :

  • Donnez-moi tous les détails sur karita@woodgrovebank.com et extrayez l’ID d’objet utilisateur.
  • Le compte de cet utilisateur est-il activé ?
  • Quand le mot de passe a-t-il été modifié ou réinitialisé pour karita@woodgrovebank.com ?
  • karita@woodgrovebank.com a-t-elle des appareils inscrits dans Microsoft Entra ?
  • Quelles sont les méthodes d’authentification inscrites pour karita@woodgrovebank.com, le cas échéant ?

Obtenir les détails de l’utilisateur à risque

Pour comprendre pourquoi karita@woodgrovebank.com a été marquée comme utilisateur à risque, Natasha commence par examiner les détails de l’utilisateur à risque. Elle examine le niveau de risque de l’utilisateur (faible, moyen, élevé ou masqué), les détails du risque (par exemple, connexion à partir d’une localisation inconnue) et l’historique des risques (évolution du niveau de risque au fil du temps). Elle vérifie également les détections de risque et les connexions à risque récentes, en recherchant une activité de connexion suspecte ou une activité de type Voyage impossible.

Elle utilise les prompts suivants pour obtenir les informations dont elle a besoin :

  • Quel sont le niveau de risque, l’état et les détails des risques pour karita@woodgrovebank.com ?
  • Quel est l’historique des risques pour karita@woodgrovebank.com ?
  • Répertoriez les connexions à risque récentes pour karita@woodgrovebank.com.
  • Répertoriez les détails des détections de risque pour karita@woodgrovebank.com.

Obtenir les détails des journaux de connexion

Natasha passe ensuite en revue les journaux de connexion pour l’utilisateur et l’état de connexion (réussite ou échec), la localisation (ville, état, pays), l’adresse IP, les informations d’appareil (ID d’appareil, système d’exploitation, navigateur) et le niveau de risque de connexion. Elle vérifie également l’ID de corrélation pour chaque événement de connexion, qui peut être utilisé pour une investigation approfondie.

Elle utilise les prompts suivants pour obtenir les informations dont elle a besoin :

  • Pouvez-vous me donner les journaux de connexion pour karita@woodgrovebank.com pour les 48 dernières heures ? Placez ces informations dans un format de tableau.
  • Montrez-moi les connexions ayant échoué pour karita@woodgrovebank.com pendant les sept derniers jours, et dites-moi quelles sont les adresses IP.

Obtenir les détails des journaux d’audit

Natasha vérifie les journaux d’audit, en recherchant des actions inhabituelles ou non autorisées effectuées par l’utilisateur. Elle vérifie la date et l’heure de chaque action, l’état (réussite ou échec), l’objet cible (par exemple, fichier, utilisateur, groupe) et l’adresse IP du client. Elle vérifie également l’ID de corrélation pour chaque action, qui peut être utilisée pour une investigation approfondie.

Elle utilise les prompts suivants pour obtenir les informations dont elle a besoin :

  • Récupérez les journaux d’audit Microsoft Entra pour karita@woodgrovebank.com pour les 72 dernières heures. Placez les informations dans un format de tableau.
  • Montrez-moi les journaux d’audit pour ce type d’événement.

Obtenir les détails des groupes

Natasha passe ensuite en revue les groupes dont karita@woodgrovebank.com fait partie, pour voir si Karita est membre d’un groupe inhabituel ou sensible. Elle passe en revue les appartenances aux groupes et les autorisations associées à l’ID utilisateur de Karita. Elle vérifie le type de groupe (sécurité, distribution ou Office 365), le type d’appartenance (affecté ou dynamique) et les propriétaires du groupe dans les détails du groupe. Elle passe également en revue les rôles du groupe afin de déterminer les autorisations dont il dispose pour la gestion des ressources.

Elle utilise les prompts suivants pour obtenir les informations dont elle a besoin :

  • Récupérez les groupes d’utilisateurs Microsoft Entra dont karita@woodgrovebank.com est membre. Placez les informations dans un format de tableau.
  • Dites m’en davantage sur le groupe Service des finances.
  • Qui sont les propriétaires du groupe Service des finances ?
  • De quels rôles ce groupe dispose-t-il ?

Obtenir les détails des journaux de diagnostic

Pour finir, Natasha passe en revue les journaux de diagnostic afin d’obtenir des informations plus détaillées sur les opérations du système au cours des activités suspectes. Elle filtre les journaux en fonction de l’ID utilisateur de John et les horaires des connexions inhabituelles.

Elle utilise les prompts suivants pour obtenir les informations dont elle a besoin :

  • Quelle est la configuration du journal de diagnostic pour le locataire dans lequel karita@woodgrovebank.com est inscrite ?
  • Quels sont les journaux collectés dans ce locataire ?

Corriger

En utilisant Security Copilot, Natasha peut collecter des informations complètes sur l’utilisateur, les activités de connexion, les journaux d’audit, les détections d’utilisateurs à risque, les appartenances aux groupes et les diagnostics système. Une fois son investigation terminée, Natasha doit prendre des mesures pour corriger l’utilisateur à risque ou le débloquer.

Elle consulte la documentation relative à la correction des risques, au déblocage des utilisateurs et aux playbooks de réponses afin de déterminer les actions possibles à effectuer pour la suite.

Étapes suivantes

Pour en savoir plus :