Partilhar via

Investigue incidentes de segurança usando o Microsoft Security Copilot

  • Artigo

O Microsoft Security Copilot obtém informações dos seus dados do Microsoft Entra através de muitas habilidades diferentes, como Obter Usuários Arriscados do Entra e Obter Logs de Auditoria. Os administradores de TI e os analistas do centro de operações de segurança (SOC) podem usar essas e outras habilidades para obter o contexto certo para ajudar a investigar e remediar incidentes baseados em identidade usando prompts de linguagem natural.

Este artigo descreve como um analista SOC ou administrador de TI pode usar as habilidades do Microsoft Entra para investigar um possível incidente de segurança.

Cenário

Natasha, analista do centro de operações de segurança (SOC) do Woodgrove Bank, recebe um alerta sobre um potencial incidente de segurança baseado em identidade. O alerta indica atividade suspeita de uma conta de usuário que foi sinalizada como um usuário arriscado.

Investigar

Natasha inicia sua investigação e entra no Microsoft Security Copilot. Para visualizar detalhes de usuário, grupo, usuário arriscado, logs de login, logs de auditoria e logs de diagnóstico, ela entra como pelo menos um Leitor de Segurança.

Obter detalhes do utilizador

Natasha começa procurando detalhes do usuário sinalizado: karita@woodgrovebank.com. Ela analisa as informações do perfil do usuário, como cargo, departamento, gerente e informações de contato. Ela também verifica as funções, aplicativos e licenças atribuídos ao usuário para entender a quais aplicativos e serviços o usuário tem acesso.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Dê-me todos os detalhes do usuário e karita@woodgrovebank.com extraia o ID do objeto do usuário.
  • A conta deste utilizador está ativada?
  • Quando a senha foi alterada ou redefinida pela última vez para karita@woodgrovebank.com?
  • Tem karita@woodgrovebank.com algum dispositivo registado no Microsoft Entra?
  • Quais são os métodos de autenticação para karita@woodgrovebank.com os quais estão registrados, se houver?

Obtenha detalhes de utilizador arriscados

Para entender por que karita@woodgrovebank.com foi sinalizado como um usuário arriscado, Natasha começa a olhar para os detalhes do usuário arriscado. Ela analisa o nível de risco do usuário (baixo, médio, alto ou oculto), os detalhes do risco (por exemplo, login de local desconhecido) e o histórico de risco (mudanças no nível de risco ao longo do tempo). Ela também verifica as deteções de risco e os recentes logins arriscados, procurando por atividades de login suspeitas ou atividades de viagem impossíveis.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Qual é o nível de risco, estado e detalhes de risco para karita@woodgrovebank.com?
  • Qual é o histórico de risco para karita@woodgrovebank.com?
  • Liste as entradas arriscadas recentes para karita@woodgrovebank.com.
  • Liste os detalhes das deteções de risco para karita@woodgrovebank.com.

Obter detalhes dos registos de início de sessão

Em seguida, Natasha analisa os logs de entrada do usuário e o status de login (sucesso ou falha), localização (cidade, estado, país), endereço IP, informações do dispositivo (ID do dispositivo, sistema operacional, navegador) e nível de risco de login. Ela também verifica a ID de correlação para cada evento de entrada, que pode ser usada para investigação adicional.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Podem fornecer-me registos de início de sessão das karita@woodgrovebank.com últimas 48 horas? Coloque essas informações em um formato de tabela.
  • Mostre-me entradas com falha nos karita@woodgrovebank.com últimos 7 dias e diga-me quais são os endereços IP.

Obter detalhes dos logs de auditoria

Natasha verifica os logs de auditoria, procurando por quaisquer ações incomuns ou não autorizadas realizadas pelo usuário. Ela verifica a data e a hora de cada ação, o status (sucesso ou falha), o objeto de destino (por exemplo, arquivo, usuário, grupo) e o endereço IP do cliente. Ela também verifica o ID de correlação para cada ação, que pode ser usado para uma investigação mais aprofundada.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Obtenha os logs de auditoria do Microsoft Entra das karita@woodgrovebank.com últimas 72 horas. Coloque as informações em formato de tabela.
  • Mostre-me logs de auditoria para esse tipo de evento.

Obter detalhes do grupo

Natasha então analisa os grupos dos quais karita@woodgrovebank.com faz parte para ver se Karita é membro de algum grupo incomum ou sensível. Ela analisa as associações de grupo e as permissões associadas ao ID de usuário de Karita. Ela verifica o tipo de grupo (segurança, distribuição ou Office 365), o tipo de associação (atribuído ou dinâmico) e os proprietários do grupo nos detalhes do grupo. Ela também analisa as funções do grupo para determinar quais permissões ele tem para gerenciar recursos.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Obtenha os grupos de usuários do Microsoft Entra dos quais karita@woodgrovebank.com é membro. Coloque as informações em formato de tabela.
  • Fale-me mais sobre o grupo do Departamento de Finanças.
  • Quem são os proprietários do grupo Departamento de Finanças?
  • Que papéis tem este grupo?

Obter detalhes de logs de diagnóstico

Finalmente, Natasha revisa os logs de diagnóstico para obter informações mais detalhadas sobre as operações do sistema durante os momentos das atividades suspeitas. Ele filtra os logs pelo ID de usuário de John e os horários dos logins incomuns.

Ela usa os seguintes prompts para obter as informações de que precisa:

  • Quais são as configurações do log de diagnóstico para o locatário registrado karita@woodgrovebank.com ?
  • Que logs estão sendo coletados neste locatário?

Remediar

Usando o Security Copilot, o Natasha é capaz de reunir informações abrangentes sobre o usuário, atividades de login, logs de auditoria, deteções de usuários arriscados, associações de grupo e diagnósticos do sistema. Depois de concluir sua investigação, Natasha precisa tomar medidas para remediar o usuário arriscado ou desbloqueá-lo.

Ela lê sobre correção de riscos, desbloqueio de usuários e manuais de resposta para determinar possíveis ações a serem tomadas em seguida.

Próximos passos

Saiba mais sobre: