Поделиться через

Исследование инцидентов безопасности с помощью Microsoft Security Copilot

  • Статья

Microsoft Security Copilot получает аналитические сведения от данных Microsoft Entra с помощью множества различных навыков, таких как Получение пользователей, рискованных пользователей и получение журналов аудита. ИТ-администраторы и аналитики центра безопасности (SOC) могут использовать эти навыки и другие, чтобы получить правильный контекст, чтобы помочь изучить и исправить инциденты на основе удостоверений с помощью запросов естественного языка.

В этой статье описывается, как аналитик SOC или ИТ-администратор могут использовать навыки Microsoft Entra для расследования потенциального инцидента безопасности.

Сценарий

Наташа, аналитик центра безопасности (SOC) в Woodgrove Bank, получает предупреждение о потенциальном инциденте безопасности на основе удостоверений. Оповещение указывает на подозрительные действия из учетной записи пользователя, помеченной как рискованный пользователь.

Анализ

Наташа начинает расследование и входит в Microsoft Security Copilot. Чтобы просмотреть сведения о пользователях, группах, рискованных пользователях, журналах входа, журналах аудита и журналах диагностики, она входит по крайней мере в средство чтения безопасности.

Получение сведений о пользователе

Наташа начинается с поиска сведений о помеченных пользователей: karita@woodgrovebank.com Она просматривает сведения о профиле пользователя, такие как должность, отдел, менеджер и контактные данные. Она также проверяет назначенные пользователям роли, приложения и лицензии, чтобы понять, к каким приложениям и службам у пользователя есть доступ.

Она использует следующие запросы, чтобы получить необходимую информацию:

  • Предоставьте мне все сведения о karita@woodgrovebank.com пользователе и извлеките идентификатор объекта пользователя.
  • Включена ли учетная запись этого пользователя?
  • Когда пароль был изменен или сброшен?karita@woodgrovebank.com
  • Есть karita@woodgrovebank.com ли зарегистрированные устройства в Microsoft Entra?
  • Какие методы проверки подлинности зарегистрированы karita@woodgrovebank.com , если таковые имеются?

Получение сведений о рискованных пользователях

Чтобы понять, почему karita@woodgrovebank.com был помечен как рискованный пользователь, Наташа начинает смотреть на рискованные сведения о пользователе. Она проверяет уровень риска пользователя (низкий, средний, высокий или скрытый), подробные сведения о рисках (например, вход из незнакомого расположения) и журнал рисков (изменения уровня риска с течением времени). Она также проверяет обнаружения рисков и недавние рискованные входы, ищет подозрительные действия входа или невозможное действие путешествия.

Она использует следующие запросы, чтобы получить необходимую информацию:

  • Что такое уровень риска, состояние и сведения о karita@woodgrovebank.comрисках?
  • Что такое журнал рисков для karita@woodgrovebank.com?
  • Перечислить последние рискованные входы.karita@woodgrovebank.com
  • Список сведений об обнаружении рисков для karita@woodgrovebank.com.

Получение сведений о журналах входа

Затем Наташа проверяет журналы входа для пользователя и состояния входа (успешное выполнение или сбой), расположение (город, штат, страна), IP-адрес, сведения об устройстве (идентификатор устройства, операционная система, браузер) и уровень риска входа. Она также проверяет идентификатор корреляции для каждого события входа, который можно использовать для дальнейшего изучения.

Она использует следующие запросы, чтобы получить необходимую информацию:

  • Можете ли вы дать мне журналы входа за karita@woodgrovebank.com последние 48 часов? Поместите эти сведения в табличный формат.
  • Показать мне неудачные входы в течение karita@woodgrovebank.com последних 7 дней и сообщите мне, что такое IP-адреса.

Получение сведений о журналах аудита

Наташа проверяет журналы аудита, ищет какие-либо необычные или несанкционированные действия, выполняемые пользователем. Она проверяет дату и время каждого действия, состояние (успех или сбой), целевой объект (например, файл, пользователь, группа) и IP-адрес клиента. Она также проверяет идентификатор корреляции для каждого действия, которое можно использовать для дальнейшего исследования.

Она использует следующие запросы, чтобы получить необходимую информацию:

  • Получение журналов аудита Microsoft Entra за karita@woodgrovebank.com последние 72 часа. Поместите сведения в формат таблицы.
  • Показать журналы аудита для этого типа события.

Получение сведений о группе

Наташа затем проверяет группы, которые являются частью, чтобы увидеть, karita@woodgrovebank.com является ли Карита членом любой необычной или конфиденциальной группы. Она проверяет членство в группах и разрешения, связанные с идентификатором пользователя Karita. Она проверяет тип группы (безопасность, распространение или Office 365), тип членства (назначенный или динамический) и владельцы группы в сведениях о группе. Она также проверяет роли группы, чтобы определить, какие разрешения у нее имеются для управления ресурсами.

Она использует следующие запросы, чтобы получить необходимую информацию:

  • Получите группы пользователей Microsoft Entra, karita@woodgrovebank.com которые являются членами. Поместите сведения в формат таблицы.
  • Расскажите мне больше о группе отдела финансов.
  • Кто является владельцами группы отдела финансов?
  • Какие роли у этой группы?

Получение сведений о журналах диагностики

Наконец, Наташа проверяет журналы диагностики, чтобы получить более подробную информацию об операциях системы во время подозрительных действий. Он фильтрует журналы по идентификатору пользователя Джона и времени необычных входов.

Она использует следующие запросы, чтобы получить необходимую информацию:

  • Какова конфигурация журнала диагностика для клиента, зарегистрированного karita@woodgrovebank.com в?
  • Какие журналы собираются в этом клиенте?

Remediate

С помощью Security Copilot Наташа может собирать исчерпывающие сведения о пользователях, действиях входа, журналах аудита, обнаружения рискованных пользователей, членстве в группах и системных диагностика. После завершения расследования Наташа должна принять меры, чтобы исправить рискованного пользователя или разблокировать их.

Она читает о исправлении рисков, разблокировки пользователей и сборниках схем ответов, чтобы определить возможные действия для дальнейших действий.

Следующие шаги

Дополнительные сведения: