通过

使用 Microsoft 安全 Copilot 调查安全事件

  • 项目

Microsoft 安全 Copilot通过许多不同的技能(例如,获取 Entra 风险用户和获取审核日志)从 Microsoft Entra 数据获取见解。 IT 管理员和安全运营中心 (SOC) 分析师可以使用这些技能和其他技能获得正确的上下文,以帮助使用自然语言提示调查和修正基于标识的事件。

本文介绍了 SOC 分析师或 IT 管理员如何使用 Microsoft Entra 技能调查潜在的安全事件。

场景

Woodgrove Bank 的安全运营中心 (SOC) 分析师 Natasha 收到了有关潜在基于标识的安全事件的警报。 该警报指示已标记为风险用户的用户帐户中存在可疑活动。

调查

Natasha 开始调查,并登录到Microsoft 安全 Copilot。 为了查看用户、组、风险用户、登录日志、审核日志和诊断日志详细信息,她至少以安全读取者登录。

获取用户详情

Natasha 先查找已标记用户的详细信息:karita@woodgrovebank.com。 她查看用户配置文件信息,例如职务、部门、经理和联系信息。 她还检查用户分配的角色、应用程序和许可证,以了解用户有权访问哪些应用程序和服务。

她使用以下提示获取所需信息:

  • 为我提供karita@woodgrovebank.com的所有用户详细信息并提取用户对象 ID。
  • 是否已启用此用户帐户?
  • 上次更改或重置karita@woodgrovebank.com的密码是什么时候?
  • karita@woodgrovebank.com Microsoft Entra 中是否有任何已注册设备?
  • 有哪些注册karita@woodgrovebank.com的身份验证方法(如果有)?

获取风险用户详细信息

为了了解为什么karita@woodgrovebank.com被标记为风险用户,Natasha 开始查看风险用户详细信息。 她查看用户的风险级别(低、中、高或隐藏)、风险详细信息(例如,来自不熟悉的位置登录)和风险历史记录(随时间变化的风险级别)。 她还检查风险检测和最近风险登录,查找可疑的登录活动或不可能旅行活动。

她使用以下提示获取所需信息:

  • karita@woodgrovebank.com的风险级别、状态和风险详细信息是什么?
  • karita@woodgrovebank.com的风险历史记录是什么?
  • 列出karita@woodgrovebank.com的最近风险登录。
  • 列出karita@woodgrovebank.com的风险检测详细信息。

获取登录日志详细信息

然后,Natasha 查看用户的登录日志以及登录状态(成功或失败)、位置(城市、州、国家/地区)、IP 地址、设备信息(设备 ID、操作系统、浏览器)和登录风险级别。 她还检查每个登录事件的相关 ID,该 ID 可用于进一步调查。

她使用以下提示获取所需信息:

  • 能否为我提供过去 48 小时内karita@woodgrovebank.com的登录日志? 将这些信息放入表格中。
  • 向我显示过去 7 天内karita@woodgrovebank.com的失败登录,并告诉我 IP 地址。

获取审核日志详细信息

Natasha 检查了审核日志,查找用户执行的任何异常或未经授权的操作。 她检查每个操作的日期和时间、状态(成功或失败)、目标对象(例如文件、用户、组)和客户端 IP 地址。 她还检查每个操作的相关 ID,该 ID 可用于进一步调查。

她使用以下提示获取所需信息:

  • 获取过去 72 小时内karita@woodgrovebank.com的 Microsoft Entra 审核日志。 将信息放入表格中。
  • 向我显示此事件类型的审核日志。

获取组详细信息

然后,Natasha 查看karita@woodgrovebank.com所属的组,以查看 Karita 是否是任何异常或敏感组的成员。 她查看与 Karita 的用户 ID 关联的组成员身份和权限。 她检查组类型(安全、分发或 Office 365)、成员身份类型(已分配或动态),以及组详细信息中的组所有者。 她还查看组的角色,以确定它拥有管理资源的哪些权限。

她使用以下提示获取所需信息:

  • 获取karita@woodgrovebank.com是其成员的 Microsoft Entra 用户组。 将信息放入表格中。
  • 告诉我有关财务部组的详细信息。
  • 财务部组的所有者是谁?
  • 此组有哪些角色?

获取诊断日志详细信息

最后,Natasha 查看了诊断日志,以获取有关可疑活动期间系统操作的更多详细信息。 她按 John 的用户 ID 和异常登录次数筛选日志。

她使用以下提示获取所需信息:

  • karita@woodgrovebank.com注册的租户的诊断日志配置是什么?
  • 此租户中正在收集哪些日志?

修正

使用安全 Copilot,Natasha 能够收集有关用户、登录活动、审核日志、风险用户检测、组成员身份和系统诊断的综合信息。 完成调查后,Natasha 需要采取措施来修正风险用户或对用户解除封锁。

她阅读了有关风险修正对用户解除封锁以及响应 playbook的信息以确定下一步可能执行的操作。

后续步骤

了解有关以下方面的详细信息: