Microsoft Security Copilot를 사용하여 보안 인시던트 조사
Microsoft Security Copilot 는 Entra 위험한 사용자 가져오기 및 감사 로그 가져오기와 같은 다양한 기술을 통해 Microsoft Entra 데이터에서 인사이트를 가져옵니다. IT 관리자 및 SOC(보안 운영 센터) 분석가는 이러한 기술을 사용할 수 있고 다른 직원은 이 기술을 통해 자연어 프롬프트를 사용하여 ID 기반 인시던트를 조사하고 수정하는 데 도움이 되는 올바른 컨텍스트를 얻을 수 있습니다.
이 문서에서는 SOC 분석가 또는 IT 관리자가 Microsoft Entra 기술을 사용하여 잠재적인 보안 인시던트를 조사하는 방법을 설명합니다.
시나리오
Woodgrove Bank의 SOC(보안 운영 센터) 분석가인 Natasha는 잠재적인 ID 기반 보안 사고에 대한 경고를 받습니다. 경고는 위험한 사용자로 플래그가 지정된 사용자 계정의 의심스러운 활동을 나타냅니다.
조사
나타샤는 조사를 시작하고 Microsoft 보안 부조종사에 로그인합니다. 사용자, 그룹, 위험한 사용자, 로그인 로그, 감사 로그, 진단 로그 세부 정보를 보기 위해 최소한 보안 읽기 권한자로 로그인합니다.
사용자 세부 정보 가져오기
Natasha는 플래그가 지정된 사용자의 세부 정보를 조회하여 시작합니다 karita@woodgrovebank.com. 직함, 부서, 관리자, 연락처 정보와 같은 사용자의 프로필 정보를 검토합니다. 또한 사용자에게 할당된 역할, 애플리케이션 및 라이선스를 확인하여 사용자가 액세스할 수 있는 애플리케이션 및 서비스를 파악합니다.
다음 프롬프트를 사용하여 필요한 정보를 가져옵니다.
- karita@woodgrovebank.com에 대한 모든 사용자 세부 정보를 제공하고 사용자 개체 ID를 추출합니다.사용자 개체 ID에 대한 모든 사용자 세부 정보를 제공하고 추출합니다.
- 이 사용자의 계정을 사용할 수 있나요?
- karita@woodgrovebank.com의 암호를 마지막으로 변경했거나 재설정한 시기는 언제인가요?
- Microsoft Entra에서 karita@woodgrovebank.com에 등록된 디바이스가 있나요?
- karita@woodgrovebank.com에 등록된 인증 방법은 무엇인가요?
위험한 사용자 세부 정보 가져오기
Natasha는 karita@woodgrovebank.com이 위험한 사용자로 플래그가 지정된 이유를 이해하기 위해 위험한 사용자 세부 정보를 살펴보기 시작합니다. 사용자의 위험 수준(낮음, 중간, 높음, 숨김), 위험 세부 정보(예: 낯선 위치에서 로그인), 위험 기록(시간에 따른 위험 수준 변경)을 검토합니다. 또한 위험 감지 및 최근 위험한 로그인을 확인하여 의심스러운 로그인 활동 또는 불가능한 여행 활동을 찾습니다.
다음 프롬프트를 사용하여 필요한 정보를 가져옵니다.
- karita@woodgrovebank.com의 위험 수준, 상태, 위험 세부 정보는 무엇인가요?
- karita@woodgrovebank.com의 위험 기록은 무엇인가요?
- karita@woodgrovebank.com의 최근 위험한 로그인을 나열합니다.
- karita@woodgrovebank.com에 대한 위험 검색 세부 정보를 나열합니다.
로그인 로그 세부 정보 가져오기
그런 다음, Natasha는 사용자의 로그인 로그와 로그인 상태(성공 또는 실패), 위치(도시, 주, 국가), IP 주소, 디바이스 정보(디바이스 ID, 운영 체제, 브라우저), 로그인 위험 수준을 검토합니다. 또한 추가 조사에 사용할 수 있는 각 로그인 이벤트의 상관관계 ID를 확인합니다.
다음 프롬프트를 사용하여 필요한 정보를 가져옵니다.
- 지난 48시간 동안 karita@woodgrovebank.com에 대한 로그인 로그를 확인할 수 있나요? 이 정보를 테이블 형식으로 입력합니다.
- 지난 7일 동안 karita@woodgrovebank.com의 실패한 로그인을 표시하고 IP 주소가 무엇인지 알려주세요.
감사 로그 세부 정보 가져오기
Natasha는 감사 로그를 확인하여 사용자가 수행한 비정상적이거나 권한이 없는 작업을 찾습니다. 각 작업의 날짜 및 시간, 상태(성공 또는 실패), 대상 개체(예: 파일, 사용자, 그룹), 클라이언트 IP 주소를 확인합니다. 또한 추가 조사에 사용할 수 있는 각 작업에 대한 상관관계 ID를 확인합니다.
다음 프롬프트를 사용하여 필요한 정보를 가져옵니다.
- 지난 72시간 동안 karita@woodgrovebank.com이 속해 있는 Microsoft Entra 감사 로그를 가져옵니다. 정보를 테이블 형식으로 입력합니다.
- 이 이벤트 유형에 대한 감사 로그를 표시합니다.
그룹 정보 가져오기
그런 다음, Natasha는 karita@woodgrovebank.com이 속한 그룹을 검토하여 Karita가 특이하거나 민감한 그룹의 일원인지 확인합니다. 그녀는 Karita의 사용자 ID와 관련된 그룹 멤버 자격과 사용 권한을 검토합니다. 그룹 유형(보안, 배포, Office 365), 멤버 자격 유형(할당 또는 동적), 그룹 세부 정보에서 그룹의 소유자를 확인합니다. 또한 그룹의 역할을 검토하여 리소스 관리에 어떤 권한이 있는지 확인합니다.
다음 프롬프트를 사용하여 필요한 정보를 가져옵니다.
- karita@woodgrovebank.com이 구성원인 Microsoft Entra 사용자 그룹을 가져옵니다. 정보를 테이블 형식으로 입력합니다.
- 재무 부서 그룹에 대해 자세히 알려주세요.
- 재무 부서 그룹의 소유자는 누구인가요?
- 이 그룹에는 어떤 역할이 있나요?
진단 로그 세부 정보 가져오기
마지막으로, Natasha는 진단 로그를 검토하여 의심스러운 활동 기간 동안 시스템 운영에 대한 자세한 정보를 얻습니다. John의 사용자 ID와 비정상적인 로그인 시간을 사용하여 로그를 필터링합니다.
다음 프롬프트를 사용하여 필요한 정보를 가져옵니다.
- karita@woodgrovebank.com에 등록된 테넌트에 대한 진단 로그 구성은 무엇인가요?
- 이 테넌트에서 수집되는 로그는 무엇입니까?
수정
나타샤는 보안 코필로트를 사용하여 사용자, 로그인 활동, 감사 로그, 위험한 사용자 감지, 그룹 멤버 자격 및 시스템 진단에 대한 포괄적인 정보를 수집할 수 있습니다. 조사를 완료한 후 Natasha는 위험한 사용자를 수정하거나 차단을 해제하기 위한 조치를 취해야 합니다.
Natasha는 위험 수정, 사용자 차단 해제, 대응 플레이북에 대해 읽고 다음에 취할 수 있는 조치를 결정합니다.
다음 단계
자세히 알아보기: