Condividi tramite

Analizzare gli eventi imprevisti di sicurezza con Microsoft Security Copilot

  • Articolo

Microsoft Security Copilot ottiene informazioni dettagliate dai dati di Microsoft Entra attraverso molte competenze diverse, ad esempio Get Entra Risky Users (Ottieni utenti rischiosi) e Get Audit Logs (Ottieni log di controllo). Gli amministratori IT e gli analisti del Centro operazioni di sicurezza (SOC) possono usare queste competenze e altri utenti per ottenere il contesto appropriato per analizzare e correggere gli eventi imprevisti basati sull'identità usando i prompt del linguaggio naturale.

Questo articolo descrive in che modo un analista SOC o un amministratore IT potrebbe usare le competenze di Microsoft Entra per analizzare un potenziale evento imprevisto di sicurezza.

Scenario

Natasha, analista del Centro operativo per la sicurezza (SOC) presso Woodgrove Bank, riceve un avviso su un potenziale incidente di sicurezza basato sull'identità. L'avviso indica un'attività sospetta da un account utente contrassegnato come utente rischioso.

Indagine

Natasha avvia l'indagine e accede a Microsoft Security Copilot. Per visualizzare i dettagli utente, gruppo, utente rischioso, log di accesso, log di controllo e log di diagnostica, accede come almeno un lettore di sicurezza.

Ottenere i dettagli utente

Natasha inizia cercando i dettagli dell'utente contrassegnato: karita@woodgrovebank.com. Esamina le informazioni sul profilo dell'utente, ad esempio il titolo del lavoro, il reparto, il responsabile e le informazioni di contatto. Controlla anche i ruoli, le applicazioni e le licenze assegnati dell'utente per comprendere le applicazioni e i servizi a cui l'utente ha accesso.

Usa le istruzioni seguenti per ottenere le informazioni necessarie:

  • Assegnare tutti i dettagli utente ed karita@woodgrovebank.com estrarre l'ID oggetto utente.
  • L'account utente è abilitato?
  • Quando è stata modificata o reimpostata la password per l'ultima volta?karita@woodgrovebank.com
  • Sono karita@woodgrovebank.com presenti dispositivi registrati in Microsoft Entra?
  • Quali sono i metodi di autenticazione registrati per karita@woodgrovebank.com se presenti?

Ottenere i dettagli dell'utente rischioso

Per capire perché karita@woodgrovebank.com è stato contrassegnato come utente rischioso, Natasha inizia a esaminare i dettagli dell'utente rischioso. Esamina il livello di rischio dell'utente (basso, medio, alto o nascosto), i dettagli del rischio (ad esempio, l'accesso da una posizione non familiare) e la cronologia dei rischi (modifiche nel livello di rischio nel tempo). Controlla anche i rilevamenti dei rischi e gli accessi a rischio recenti, cercando attività di accesso sospette o attività di viaggio impossibili.

Usa le istruzioni seguenti per ottenere le informazioni necessarie:

  • Quali sono i dettagli del livello di rischio, dello stato e del rischio per karita@woodgrovebank.com?
  • Qual è la cronologia dei rischi per karita@woodgrovebank.com?
  • Elencare gli accessi a rischio recenti per karita@woodgrovebank.com.
  • Elencare i dettagli dei rilevamenti dei rischi per karita@woodgrovebank.com.

Ottenere i dettagli dei log di accesso

Natasha esamina quindi i log di accesso per l'utente e lo stato di accesso (esito positivo o negativo), la posizione (città, stato, paese), l'indirizzo IP, le informazioni sul dispositivo (ID dispositivo, sistema operativo, browser) e il livello di rischio di accesso. Controlla anche l'ID di correlazione per ogni evento di accesso, che può essere usato per ulteriori indagini.

Usa le istruzioni seguenti per ottenere le informazioni necessarie:

  • È possibile concedere i log di accesso per karita@woodgrovebank.com le ultime 48 ore? Inserire queste informazioni in un formato di tabella.
  • Mostra gli accessi non riusciti per karita@woodgrovebank.com gli ultimi 7 giorni e dimmi quali sono gli indirizzi IP.

Ottenere i dettagli dei log di controllo

Natasha controlla i log di controllo, cercando eventuali azioni insolite o non autorizzate eseguite dall'utente. Controlla la data e l'ora di ogni azione, lo stato (esito positivo o negativo), l'oggetto di destinazione (ad esempio, file, utente, gruppo) e l'indirizzo IP del client. Controlla anche l'ID di correlazione per ogni azione, che può essere usata per ulteriori indagini.

Usa le istruzioni seguenti per ottenere le informazioni necessarie:

  • Ottenere i log di controllo di Microsoft Entra per karita@woodgrovebank.com le ultime 72 ore. Inserire le informazioni in formato tabella.
  • Mostra i log di controllo per questo tipo di evento.

Ottenere i dettagli del gruppo

Natasha esamina quindi i gruppi che karita@woodgrovebank.com fanno parte di per vedere se Karita è membro di qualsiasi gruppo insolito o sensibile. Esamina le appartenenze ai gruppi e le autorizzazioni associate all'ID utente di Karita. Controlla il tipo di gruppo (sicurezza, distribuzione o Office 365), il tipo di appartenenza (assegnato o dinamico) e i proprietari del gruppo nei dettagli del gruppo. Esamina anche i ruoli del gruppo per determinare quali autorizzazioni ha per la gestione delle risorse.

Usa le istruzioni seguenti per ottenere le informazioni necessarie:

  • Ottenere i gruppi karita@woodgrovebank.com di utenti di Microsoft Entra di cui è membro. Inserire le informazioni in formato tabella.
  • Dimmi di più sul gruppo Reparto Finanziario.
  • Chi sono i proprietari del gruppo Reparto Finanziario?
  • Quali ruoli hanno questo gruppo?

Ottenere i dettagli dei log di diagnostica

Natasha esamina infine i log di diagnostica per ottenere informazioni più dettagliate sulle operazioni del sistema durante i tempi delle attività sospette. Filtra i log in base all'ID utente di John e ai tempi degli accessi insoliti.

Usa le istruzioni seguenti per ottenere le informazioni necessarie:

  • Qual è la configurazione del log di diagnostica per il tenant karita@woodgrovebank.com registrato in?
  • Quali log vengono raccolti in questo tenant?

Correggere

Usando Security Copilot, Natasha è in grado di raccogliere informazioni complete sull'utente, sulle attività di accesso, sui log di controllo, sui rilevamenti di utenti rischiosi, sulle appartenenze ai gruppi e sulla diagnostica di sistema. Dopo aver completato l'indagine, Natasha deve intervenire per correggere l'utente rischioso o sbloccarli.

Legge le informazioni sulla correzione dei rischi, sbloccare gli utenti e sui playbook di risposta per determinare le possibili azioni da intraprendere successivamente.

Passaggi successivi

Altre informazioni su: