Compartilhar via

Investigar incidentes de segurança usando o Microsoft Security Copilot

  • Artigo

O Microsoft Security Copilot obtém insights de seus dados do Microsoft Entra por meio de muitas habilidades diferentes, como Obter Usuários Arriscados do Entra e Obter Logs de Auditoria. Os administradores de TI e analistas do SOC (Centro de Operações de Segurança) podem usar essas habilidades e outras pessoas para obter o contexto certo para ajudar a investigar e corrigir incidentes baseados em identidade usando prompts de linguagem natural.

Este artigo descreve como um analista do SOC ou administrador de TI pode usar as habilidades do Microsoft Entra para investigar um possível incidente de segurança.

Cenário

Natasha, analista do SOC (Centro de Operações de Segurança) do Woodgrove Bank, recebe um alerta sobre um possível incidente de segurança baseado em identidade. O alerta indica atividade suspeita de uma conta de usuário que foi sinalizada como um usuário arriscado.

Investigar

Natasha inicia sua investigação e entra no Microsoft Security Copilot. Para exibir os detalhes de logs de usuário, grupo, usuário arriscado, logs de entrada, logs de auditoria e logs de diagnóstico, ela entra como pelo menos um Leitor de Segurança.

Obter detalhes do usuário

Natasha começa procurando detalhes do usuário sinalizado: karita@woodgrovebank.com. Ela analisa as informações de perfil do usuário, como cargo, departamento, gerente e informações de contato. Ela também verifica as funções, aplicativos e licenças atribuídos ao usuário para entender a quais aplicativos e serviços o usuário tem acesso.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Dê todos os detalhes do usuário para karita@woodgrovebank.com e extraia a ID do objeto do usuário.
  • A conta desse usuário está habilitada?
  • Quando a senha foi alterada pela última vez ou redefinida para karita@woodgrovebank.com?
  • karita@woodgrovebank.com tem dispositivos registrados no Microsoft Entra?
  • Quais são os métodos de autenticação registrados para karita@woodgrovebank.com se houver?

Obter detalhes arriscados do usuário

Para entender por que karita@woodgrovebank.com foi sinalizada como uma usuária arriscada, a Natasha começa a examinar os detalhes arriscados do usuário. Ela analisa o nível de risco do usuário (baixo, médio, alto ou oculto), o detalhe de risco (por exemplo, entrada de local desconhecido) e o histórico de riscos (alterações no nível de risco ao longo do tempo). Ela também verifica as detecções de risco e as recentes entradas arriscadas, procurando atividade de entrada suspeita ou atividade de viagem impossível.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Qual é o nível de risco, o estado e os detalhes de risco para karita@woodgrovebank.com?
  • Qual é o histórico de riscos para karita@woodgrovebank.com?
  • Listar as entradas arriscadas recentes para karita@woodgrovebank.com.
  • Listar os detalhes de detecções de risco para karita@woodgrovebank.com.

Obter detalhes de logs de entrada

Em seguida, Natasha revisa os logs de entrada do usuário e o status de entrada (êxito ou falha), local (cidade, estado, país), endereço IP, informações do dispositivo (ID do dispositivo, sistema operacional, navegador) e nível de risco de entrada. Ela também verifica a ID de correlação para cada evento de entrada, que pode ser usado para uma investigação mais aprofundada.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Você pode me dar logs de entrada para karita@woodgrovebank.com nas últimas 48 horas? Coloque essas informações em um formato de tabela.
  • Mostrar-me entradas com falha para karita@woodgrovebank.com nos últimos 7 dias e me diga quais são os endereços IP.

Obter detalhes dos logs de auditoria

Natasha verifica os logs de auditoria, procurando ações incomuns ou não autorizadas executadas pelo usuário. Ela verifica a data e a hora de cada ação, o status (êxito ou falha), o objeto de destino (por exemplo, arquivo, usuário, grupo) e o endereço IP do cliente. Ela também verifica a ID de correlação de cada ação, que pode ser usada para uma investigação mais aprofundada.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Obtenha logs de auditoria do Microsoft Entra para karita@woodgrovebank.com nas últimas 72 horas. Coloque informações no formato de tabela.
  • Mostre-me logs de auditoria para esse tipo de evento.

Obter detalhes do grupo

Natasha então revisa os grupos dos quais karita@woodgrovebank.com faz parte para ver se Karita é membro de grupos incomuns ou confidenciais. Ela analisa as associações de grupo e as permissões associadas à ID de usuário de Karita. Ela verifica o tipo de grupo (segurança, distribuição ou Office 365), tipo de associação (atribuído ou dinâmico) e os proprietários do grupo nos detalhes do grupo. Ela também analisa as funções do grupo para determinar quais permissões ele tem para gerenciar recursos.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Obtenha os grupos de usuários do Microsoft Entra dos quais karita@woodgrovebank.com é membro. Coloque informações no formato de tabela.
  • Fale-me mais sobre o grupo do Departamento de Finanças.
  • Quem são os proprietários do grupo do Departamento de Finanças?
  • Quais funções esse grupo tem?

Obter detalhes dos logs de diagnóstico

Por fim, Natasha revisa os logs de diagnóstico para obter informações mais detalhadas sobre as operações do sistema durante os tempos das atividades suspeitas. Ele filtra os logs pela ID de usuário de John e os tempos das entradas incomuns.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Qual é a configuração de log de diagnóstico para o locatário no qual karita@woodgrovebank.com está registrado?
  • Quais logs estão sendo coletados neste locatário?

Corrigir

Usando o Security Copilot, a Natasha é capaz de coletar informações abrangentes sobre o usuário, atividades de entrada, logs de auditoria, detecções de usuários arriscadas, associações de grupo e diagnóstico do sistema. Depois de concluir sua investigação, Natasha precisa tomar medidas para corrigir o usuário arriscado ou desbloqueá-lo.

Ela lê sobre correção de risco, desbloqueio de usuários e guias estratégicos de resposta para determinar possíveis ações a serem tomadas em seguida.

Próximas etapas

Saiba mais sobre: