Delen via

Beveiligingsincidenten onderzoeken met Microsoft Security Copilot

  • Artikel

Microsoft Security Copilot krijgt inzichten uit uw Microsoft Entra-gegevens via veel verschillende vaardigheden, zoals Get Entra Risky Users en Get Audit Logs. IT-beheerders en SOC-analisten (Security Operations Center) kunnen deze vaardigheden en anderen gebruiken om de juiste context te krijgen om identiteitsincidenten te onderzoeken en te herstellen met behulp van prompts in natuurlijke taal.

In dit artikel wordt beschreven hoe een SOC-analist of IT-beheerder de vaardigheden van Microsoft Entra kan gebruiken om een mogelijk beveiligingsincident te onderzoeken.

Scenario

Een SOC-analist (Security Operations Center) van Woodgrove Bank ontvangt een waarschuwing over een mogelijk beveiligingsincident op basis van identiteiten. De waarschuwing geeft verdachte activiteit aan van een gebruikersaccount dat als riskante gebruiker is gemarkeerd.

Onderzoeken

Microsoft Security Copilot start haar onderzoek en meldt zich aan bij Microsoft Security Copilot. Om de details van gebruikers, groepen, riskante gebruikers, aanmeldingslogboeken, auditlogboeken en diagnostische logboeken weer te geven, meldt ze zich aan als ten minste een beveiligingslezer.

Gebruikersgegevens ophalen

Het begint met het opzoeken van details van de gemarkeerde gebruiker: karita@woodgrovebank.com. Ze beoordeelt de profielgegevens van de gebruiker, zoals functie, afdeling, manager en contactgegevens. Ze controleert ook de toegewezen rollen, toepassingen en licenties van de gebruiker om te begrijpen tot welke toepassingen en services de gebruiker toegang heeft.

Ze gebruikt de volgende aanwijzingen om de informatie op te halen die ze nodig heeft:

  • Geef me alle gebruikersgegevens voor karita@woodgrovebank.com en extraheer de gebruikersobject-id.
  • Is het account van deze gebruiker ingeschakeld?
  • Wanneer is het wachtwoord voor het laatst gewijzigd of opnieuw ingesteld voor karita@woodgrovebank.com?
  • Heeft karita@woodgrovebank.com u geregistreerde apparaten in Microsoft Entra?
  • Waarvoor zijn de verificatiemethoden geregistreerd, indien van toepassing karita@woodgrovebank.com ?

Riskante gebruikersgegevens ophalen

Om te begrijpen waarom karita@woodgrovebank.com is gemarkeerd als riskante gebruiker, begint Average met het bekijken van de riskante gebruikersgegevens. Ze beoordeelt het risiconiveau van de gebruiker (laag, gemiddeld, hoog of verborgen), de risicodetails (bijvoorbeeld aanmelding vanaf onbekende locatie) en de risicogeschiedenis (wijzigingen in risiconiveau in de loop van de tijd). Ze controleert ook de risicodetecties en de recente riskante aanmeldingen, op zoek naar verdachte aanmeldingsactiviteiten of onmogelijke reisactiviteiten.

Ze gebruikt de volgende aanwijzingen om de informatie op te halen die ze nodig heeft:

  • Wat is het risiconiveau, de status en de risicogegevens voor karita@woodgrovebank.com?
  • Waar is de risicogeschiedenis voor karita@woodgrovebank.com?
  • Vermeld de recente riskante aanmeldingen voor karita@woodgrovebank.com.
  • Vermeld de details van de risicodetecties voor karita@woodgrovebank.com.

Details van aanmeldingslogboeken ophalen

Vervolgens controleert Microsoft de aanmeldingslogboeken voor de gebruiker en de aanmeldingsstatus (geslaagd of mislukt), locatie (plaats, staat, land), IP-adres, apparaatgegevens (apparaat-id, besturingssysteem, browser) en aanmeldingsrisiconiveau. Ze controleert ook de correlatie-id voor elke aanmeldingsgebeurtenis, die kan worden gebruikt voor verder onderzoek.

Ze gebruikt de volgende aanwijzingen om de informatie op te halen die ze nodig heeft:

  • Kunt u me aanmeldingslogboeken geven voor karita@woodgrovebank.com de afgelopen 48 uur? Plaats deze informatie in een tabelindeling.
  • Toon mislukte aanmeldingen voor karita@woodgrovebank.com de afgelopen 7 dagen en vertel me wat de IP-adressen zijn.

Details van auditlogboeken ophalen

De auditlogboeken worden gecontroleerd, op zoek naar ongebruikelijke of niet-geautoriseerde acties die door de gebruiker worden uitgevoerd. Ze controleert de datum en tijd van elke actie, de status (geslaagd of mislukt), het doelobject (bijvoorbeeld bestand, gebruiker, groep) en het IP-adres van de client. Ze controleert ook de correlatie-id voor elke actie, die kan worden gebruikt voor verder onderzoek.

Ze gebruikt de volgende aanwijzingen om de informatie op te halen die ze nodig heeft:

  • Download microsoft Entra-auditlogboeken voor karita@woodgrovebank.com de afgelopen 72 uur. Plaats informatie in tabelindeling.
  • Laat me auditlogboeken voor dit gebeurtenistype zien.

Groepsdetails ophalen

Vervolgens beoordeelt Microsoft de groepen die karita@woodgrovebank.com deel uitmaken van de groep om te zien of Karita lid is van ongebruikelijke of gevoelige groepen. Ze beoordeelt de groepslidmaatschappen en machtigingen die zijn gekoppeld aan de gebruikers-id van Karita. Ze controleert het groepstype (beveiliging, distributie of Office 365), lidmaatschapstype (toegewezen of dynamisch) en de eigenaren van de groep in de groepsdetails. Ze controleert ook de rollen van de groep om te bepalen welke machtigingen deze heeft voor het beheren van resources.

Ze gebruikt de volgende aanwijzingen om de informatie op te halen die ze nodig heeft:

  • Haal de Microsoft Entra-gebruikersgroepen op waarvan karita@woodgrovebank.com u lid bent. Plaats informatie in tabelindeling.
  • Vertel me meer over de groep FinanciĆ«n.
  • Wie zijn de eigenaren van de groep FinanciĆ«n?
  • Welke rollen heeft deze groep?

Details van diagnostische logboeken ophalen

Ten slotte beoordeelt Microsoft de diagnostische logboeken om gedetailleerdere informatie te krijgen over de activiteiten van het systeem tijdens de tijden van de verdachte activiteiten. Hij filtert de logboeken op de gebruikers-id van John en de tijden van de ongebruikelijke aanmeldingen.

Ze gebruikt de volgende aanwijzingen om de informatie op te halen die ze nodig heeft:

  • Wat zijn de configuratie van diagnostische logboeken voor de tenant waarin is karita@woodgrovebank.com geregistreerd?
  • Welke logboeken worden verzameld in deze tenant?

Herstellen

Met Behulp van Security Copilot kan Microsoft Uitgebreide informatie verzamelen over de gebruiker, aanmeldingsactiviteiten, auditlogboeken, riskante gebruikersdetecties, groepslidmaatschappen en systeemdiagnose. Na het voltooien van haar onderzoek moetGelezen actie ondernemen om de riskante gebruiker te herstellen of de blokkering ervan op te heffen.

Ze leest over risicoherstel, het deblokkeren van gebruikers en antwoordplaybooks om mogelijke acties te bepalen die hierna moeten worden uitgevoerd.

Volgende stappen

Meer informatie over: