Udostępnij za pośrednictwem

Badanie zdarzeń zabezpieczeń przy użyciu rozwiązania Microsoft Security Copilot

  • Artykuł

Narzędzie Microsoft Security Copilot uzyskuje szczegółowe informacje z danych firmy Microsoft Entra za pośrednictwem wielu różnych umiejętności, takich jak Uzyskiwanie ryzykownych użytkowników firmy Entra i Uzyskiwanie dzienników inspekcji. Administratorzy IT i analitycy centrum operacji zabezpieczeń (SOC) mogą wykorzystać te umiejętności i inne osoby, aby uzyskać odpowiedni kontekst, aby ułatwić badanie i korygowanie zdarzeń opartych na tożsamościach przy użyciu monitów języka naturalnego.

W tym artykule opisano, jak analityk SOC lub administrator IT może wykorzystać umiejętności firmy Microsoft Entra do zbadania potencjalnego zdarzenia zabezpieczeń.

Scenariusz

Natasha, analityk centrum operacji zabezpieczeń (SOC) w Woodgrove Bank, otrzymuje alert o potencjalnym zdarzeniu zabezpieczeń opartym na tożsamościach. Alert wskazuje podejrzane działania z konta użytkownika, które zostało oflagowane jako ryzykowny użytkownik.

Zbadaj

Natasha rozpoczyna dochodzenie i loguje się do Microsoft Security Copilot. Aby wyświetlić informacje o użytkownikach, grupach, ryzykownych użytkownikach, dziennikach logowania, dziennikach inspekcji i dziennikach diagnostycznych, loguje się jako co najmniej czytelnik zabezpieczeń.

Pobieranie szczegółów użytkownika

Natasha zaczyna się od wyszukania szczegółów oflagowanych użytkowników: karita@woodgrovebank.com. Przegląda informacje o profilu użytkownika, takie jak stanowisko, dział, menedżer i informacje kontaktowe. Sprawdza również przypisane role, aplikacje i licencje użytkownika, aby zrozumieć, do jakich aplikacji i usług ma dostęp użytkownik.

Używa następujących monitów, aby uzyskać potrzebne informacje:

  • Nadaj mi wszystkie szczegóły karita@woodgrovebank.com użytkownika i wyodrębnij identyfikator obiektu użytkownika.
  • Czy to konto użytkownika jest włączone?
  • Kiedy hasło zostało ostatnio zmienione lub zresetowane dla karita@woodgrovebank.com?
  • Czy karita@woodgrovebank.com masz zarejestrowane urządzenia w usłudze Microsoft Entra?
  • Jakie są metody uwierzytelniania, dla których są zarejestrowane karita@woodgrovebank.com , jeśli istnieją?

Uzyskiwanie szczegółowych informacji o ryzykownych użytkownikach

Aby zrozumieć, dlaczego karita@woodgrovebank.com został oflagowany jako ryzykowny użytkownik, Natasha zaczyna patrzeć na ryzykowne szczegóły użytkownika. Przegląda poziom ryzyka użytkownika (niski, średni, wysoki lub ukryty), szczegóły ryzyka (na przykład logowanie z nieznanej lokalizacji) i historię ryzyka (zmiany na poziomie ryzyka w czasie). Sprawdza również wykrycia ryzyka i niedawne ryzykowne logowania, szukając podejrzanej aktywności logowania lub niemożliwej aktywności podróży.

Używa następujących monitów, aby uzyskać potrzebne informacje:

  • Jakie są szczegóły karita@woodgrovebank.comdotyczące poziomu ryzyka, stanu i ryzyka?
  • Jaka jest historia ryzyka dla karita@woodgrovebank.com?
  • Wyświetl listę ostatnich ryzykownych logów dla usługi karita@woodgrovebank.com.
  • Wyświetl szczegóły wykrywania ryzyka dla elementu karita@woodgrovebank.com.

Uzyskiwanie szczegółów dzienników logowania

Następnie Natasha przegląda dzienniki logowania dla użytkownika i stan logowania (powodzenie lub niepowodzenie), lokalizację (miasto, stan, kraj), adres IP, informacje o urządzeniu (identyfikator urządzenia, system operacyjny, przeglądarka) i poziom ryzyka logowania. Sprawdza również identyfikator korelacji dla każdego zdarzenia logowania, które może być używane do dalszego badania.

Używa następujących monitów, aby uzyskać potrzebne informacje:

  • Czy możesz nadać mi dzienniki logowania przez karita@woodgrovebank.com ostatnie 48 godzin? Umieść te informacje w formacie tabeli.
  • Pokaż nieudane logowania w karita@woodgrovebank.com ciągu ostatnich 7 dni i powiedz mi, jakie są adresy IP.

Pobieranie szczegółów dzienników inspekcji

Natasha sprawdza dzienniki inspekcji, wyszukując wszelkie nietypowe lub nieautoryzowane akcje wykonywane przez użytkownika. Sprawdza datę i godzinę każdej akcji, stan (powodzenie lub niepowodzenie), obiekt docelowy (na przykład plik, użytkownik, grupę) i adres IP klienta. Sprawdza również identyfikator korelacji dla każdej akcji, która może być używana do dalszego badania.

Używa następujących monitów, aby uzyskać potrzebne informacje:

  • Pobierz dzienniki inspekcji karita@woodgrovebank.com firmy Microsoft dla ostatnich 72 godzin. Umieść informacje w formacie tabeli.
  • Pokaż dzienniki inspekcji dla tego typu zdarzenia.

Pobieranie szczegółów grupy

Natasha następnie przegląda grupy, które karita@woodgrovebank.com są częścią, aby sprawdzić, czy Karita jest członkiem wszelkich nietypowych lub wrażliwych grup. Przegląda członkostwa w grupach i uprawnienia skojarzone z identyfikatorem użytkownika Karita. Sprawdza typ grupy (zabezpieczenia, dystrybucja lub office 365), typ członkostwa (przypisany lub dynamiczny) oraz właścicieli grupy w szczegółach grupy. Przegląda również role grupy, aby określić, jakie uprawnienia ma do zarządzania zasobami.

Używa następujących monitów, aby uzyskać potrzebne informacje:

  • Pobierz grupy użytkowników entra firmy Microsoft, które karita@woodgrovebank.com są członkiem. Umieść informacje w formacie tabeli.
  • Powiedz mi więcej o grupie Departament Finansów.
  • Kim są właściciele grupy Departamentu Finansów?
  • Jakie role ma ta grupa?

Pobieranie szczegółów dzienników diagnostycznych

Na koniec Natasha przegląda dzienniki diagnostyczne, aby uzyskać bardziej szczegółowe informacje o operacjach systemu w czasie podejrzanych działań. Filtruje dzienniki według identyfikatora użytkownika Johna i czasów nietypowych logowań.

Używa następujących monitów, aby uzyskać potrzebne informacje:

  • Jaka jest konfiguracja dziennika diagnostyki dla dzierżawy, w której jest zarejestrowana karita@woodgrovebank.com ?
  • Które dzienniki są zbierane w tej dzierżawie?

Korygowanie

Korzystając z rozwiązania Security Copilot, Natasha może zbierać kompleksowe informacje o użytkowniku, działaniach logowania, dziennikach inspekcji, ryzykownych wykrywaniach użytkowników, członkostwie w grupach i diagnostyce systemu. Po zakończeniu badania Natasha musi podjąć działania w celu skorygowania ryzykownych użytkowników lub odblokowania ich.

Odczytuje informacje na temat korygowania ryzyka, odblokowywania użytkowników i podręczników reagowania w celu określenia możliwych działań, które należy wykonać dalej.

Następne kroki

Dowiedz się więcej na następujące tematy: