Undersöka säkerhetsincidenter med Hjälp av Microsoft Security Copilot
Microsoft Security Copilot får insikter från dina Microsoft Entra-data genom många olika kunskaper, till exempel Get Entra Risky Users och Get Audit Logs( Hämta granskningsloggar). IT-administratörer och SOC-analytiker (Security Operations Center) kan använda dessa kunskaper och andra för att få rätt kontext för att undersöka och åtgärda identitetsbaserade incidenter med hjälp av frågor på naturligt språk.
Den här artikeln beskriver hur en SOC-analytiker eller IT-administratör kan använda Microsoft Entra-kunskaper för att undersöka en potentiell säkerhetsincident.
Scenario
Natasha, soc-analytiker på Woodgrove Bank, får en avisering om en potentiell identitetsbaserad säkerhetsincident. Aviseringen anger misstänkt aktivitet från ett användarkonto som har flaggats som en riskfylld användare.
Undersök
Natasha startar sin utredning och loggar in på Microsoft Security Copilot. För att visa information om användare, grupper, riskfyllda användare, inloggningsloggar, granskningsloggar och diagnostikloggar loggar loggar hon in som minst en säkerhetsläsare.
Hämta användarinformation
Natasha börjar med att leta upp information om den flaggade användaren: karita@woodgrovebank.com. Hon granskar användarens profilinformation, till exempel befattning, avdelning, chef och kontaktinformation. Hon kontrollerar också användarens tilldelade roller, program och licenser för att förstå vilka program och tjänster som användaren har åtkomst till.
Hon använder följande uppmaningar för att få den information hon behöver:
- Ge mig all användarinformation för karita@woodgrovebank.com och extrahera användarobjekt-ID:t.
- Är användarens konto aktiverat?
- När ändrades eller återställdes lösenordet senast för karita@woodgrovebank.com?
- Har karita@woodgrovebank.com du några registrerade enheter i Microsoft Entra?
- Vilka autentiseringsmetoder är registrerade för karita@woodgrovebank.com om några?
Hämta riskfylld användarinformation
För att förstå varför karita@woodgrovebank.com flaggades som en riskfylld användare börjar Natasha titta på den riskfyllda användarinformationen. Hon granskar användarens risknivå (låg, medel, hög eller dold), riskinformationen (till exempel inloggning från okänd plats) och riskhistoriken (ändringar i risknivå över tid). Hon kontrollerar också riskidentifieringarna och de senaste riskfyllda inloggningarna och letar efter misstänkt inloggningsaktivitet eller omöjlig reseaktivitet.
Hon använder följande uppmaningar för att få den information hon behöver:
- Vad är risknivån, tillståndet och riskinformationen för karita@woodgrovebank.com?
- Vad är riskhistoriken för karita@woodgrovebank.com?
- Visa en lista över de senaste riskfyllda inloggningarna för karita@woodgrovebank.com.
- Visa information om riskidentifieringar för karita@woodgrovebank.com.
Hämta information om inloggningsloggar
Natasha granskar sedan inloggningsloggarna för användaren och inloggningsstatusen (lyckad eller misslyckad), plats (stad, delstat, land), IP-adress, enhetsinformation (enhets-ID, operativsystem, webbläsare) och inloggningsrisknivå. Hon kontrollerar även korrelations-ID:t för varje inloggningshändelse, som kan användas för ytterligare undersökning.
Hon använder följande uppmaningar för att få den information hon behöver:
- Kan du ge mig inloggningsloggar karita@woodgrovebank.com för de senaste 48 timmarna? Placera den här informationen i tabellformat.
- Visa misslyckade inloggningar för karita@woodgrovebank.com de senaste 7 dagarna och berätta vad IP-adresserna är.
Hämta information om granskningsloggar
Natasha kontrollerar granskningsloggarna och letar efter ovanliga eller obehöriga åtgärder som utförs av användaren. Hon kontrollerar datum och tid för varje åtgärd, status (lyckades eller misslyckades), målobjektet (till exempel fil, användare, grupp) och klientens IP-adress. Hon kontrollerar också korrelations-ID:t för varje åtgärd, som kan användas för ytterligare undersökning.
Hon använder följande uppmaningar för att få den information hon behöver:
- Hämta Microsoft Entra-granskningsloggar karita@woodgrovebank.com för de senaste 72 timmarna. Placera information i tabellformat.
- Visa granskningsloggar för den här händelsetypen.
Hämta gruppinformation
Natasha granskar sedan de grupper som karita@woodgrovebank.com är en del av för att se om Karita är medlem i några ovanliga eller känsliga grupper. Hon granskar de gruppmedlemskap och behörigheter som är associerade med Karitas användar-ID. Hon kontrollerar grupptypen (säkerhet, distribution eller Office 365), medlemskapstyp (tilldelad eller dynamisk) och gruppens ägare i gruppinformationen. Hon granskar också gruppens roller för att avgöra vilka behörigheter den har för att hantera resurser.
Hon använder följande uppmaningar för att få den information hon behöver:
- Hämta de Microsoft Entra-användargrupper som karita@woodgrovebank.com är medlem i. Placera information i tabellformat.
- Berätta mer om ekonomiavdelningens grupp.
- Vilka är ägare till finansavdelningens grupp?
- Vilka roller har den här gruppen?
Hämta information om diagnostikloggar
Slutligen granskar Natasha diagnostikloggarna för att få mer detaljerad information om systemets åtgärder under tiden för misstänkta aktiviteter. Han filtrerar loggarna efter Johns användar-ID och tiderna för de ovanliga inloggningarna.
Hon använder följande uppmaningar för att få den information hon behöver:
- Vad är diagnostikloggkonfigurationen för klientorganisationen som är karita@woodgrovebank.com registrerad i?
- Vilka loggar samlas in i den här klientorganisationen?
Åtgärda
Med hjälp av Security Copilot kan Natasha samla in omfattande information om användaren, inloggningsaktiviteter, granskningsloggar, riskfyllda användaridentifieringar, gruppmedlemskap och systemdiagnostik. Efter att ha slutfört sin undersökning måste Natasha vidta åtgärder för att åtgärda den riskfyllda användaren eller avblockera dem.
Hon läser om riskreparation, avblockering av användare och svarsspelböcker för att fastställa möjliga åtgärder att vidta härnäst.
Nästa steg
Läs mer om: