共用方式為

使用 Microsoft Security Copilot 調查安全性事件

  • 發行項

Microsoft安全性 Copilot 會透過許多不同的技能,從您的Microsoft Entra 數據取得深入解析,例如取得 Entra Risky Users 和取得稽核記錄。 IT 系統管理員和安全性作業中心 (SOC) 分析員可以使用這些技能和其他人員來獲得正確內容,以協助使用自然語言提示調查並補救身分識別型的事件。

本文說明 SOC 分析員或 IT 系統管理員如何使用 Microsoft Entra 技能來調查潛在的安全性事件。

案例

Woodgrove Bank 的安全營運中心 (SOC) 分析員 Natasha 收到有關潛在身分識別型安全事件警報。 該警報表示有已標記為風險性使用者帳戶的可疑活動。

調查

娜塔莎開始調查,並登入 Microsoft安全科皮洛特。 為了檢視使用者、群組、風險性使用者、登入記錄、稽核記錄和診斷記錄詳細資料,她至少會以安全性讀取器身分登入。

取得使用者詳細資料

Natasha 一開始會查閱已標幟使用者的詳細資料:karita@woodgrovebank.com。 她會檢閱使用者的設定檔資訊,例如職稱、部門、經理和連絡資訊。 她也會檢查使用者指派的角色、應用程式和授權,以了解使用者可存取哪些應用程式和服務。

她會使用下列提示來取得她所需的資訊:

  • 為我提供 karita@woodgrovebank.com 的所有使用者詳細資料,並擷取使用者物件識別碼。
  • 此使用者帳戶已啟用嗎?
  • karita@woodgrovebank.com 密碼上次變更或重設的時間為何?
  • karita@woodgrovebank.com 在 Microsoft Entra 中是否有任何已註冊的裝置?
  • 如果有的話 karita@woodgrovebank.com 註冊的身份驗證方法是什麼?

取得風險性使用者詳細資料

如要了解為何 karita@woodgrovebank.com 被標幟為有風險的使用者,Natasha 會開始查看風險性使用者詳細資料。 她會檢閱使用者的風險層 (低、中、高,或隱藏)、風險詳細資料 (例如從陌生的位置登入),以及風險歷程記錄 (隨著時間變化的風險等級)。 她還會檢查風險偵測和最近的風險事件登入,尋找可疑的登入活動或不可能的旅行活動。

她會使用下列提示來取得她所需的資訊:

  • karita@woodgrovebank.com 風險層級、狀態和風險詳細資料為何?
  • karita@woodgrovebank.com 風險歷程記錄為何?
  • 列出 karita@woodgrovebank.com 最近的風險登入。
  • 列出 karita@woodgrovebank.com 的風險偵測詳細資料。

取得登入記錄詳細資料

Natasha 接著會檢閱使用者登入記錄,以及登入狀態 (成功或失敗)、位置 (城市、州、國家/地區)、IP 位址、裝置資訊 (裝置識別碼、作業系統、瀏覽器),以及登入風險等級。 她也會檢查每個登入事件的相互關聯識別碼,這可用於進一步調查。

她會使用下列提示來取得她所需的資訊:

  • 您可以提供過去 48 小時 karita@woodgrovebank.com 的登入記錄嗎? 以表格格式放置此資訊。
  • 顯示 karita@woodgrovebank.com 過去 7 天的登入失敗,並告訴我 IP 地址為何。

取得稽核記錄詳細資料

Natasha 會檢查稽核記錄,尋找使用者執行的任何異常或未經授權的動作。 她會檢查每個動作的日期和時間、狀態 (成功或失敗)、目標物件 (例如檔案、使用者、群組) 和用戶端 IP 位址。 她也會檢查每個動作的相互關聯識別碼,這可用於進一步調查。

她會使用下列提示來取得她所需的資訊:

  • 取得 karita@woodgrovebank.com 過去 72 小時內的 Microsoft Entra 稽核記錄。 以表格格式放置資訊。
  • 顯示此事件類型的稽核記錄。

取得群組詳細資料

然後,Natasha 會查看 karita@woodgrovebank.com 所屬的群組,看看 Karita 是否屬於任何異常或敏感群組的成員。 她會檢閱與 Karita 使用者識別碼相關聯的群組成員資格和權限。 她會檢查群組類型 (安全性、散發或 Office 365)、成員資格類型 (已指派或動態),以及群組詳細資料中的群組擁有者。 她也會檢閱群組的角色,以判斷其管理資源的權限。

她會使用下列提示來取得她所需的資訊:

  • 取得 karita@woodgrovebank.com 所屬的 Microsoft Entra 使用者群組。 以表格格式放置資訊。
  • 深入瞭解財務部門群組。
  • 財務部群組的擁有者是誰?
  • 此群組有哪些角色?

取得診斷記錄詳細資料

最後,Natasha 會檢閱診斷記錄,以在可疑活動期間取得系統作業的詳細資訊。 他依 John 的使用者識別碼和異常登入時間來篩選記錄。

她會使用下列提示來取得她所需的資訊:

  • karita@woodgrovebank.com 註冊的租用戶的診斷記錄設定為何?
  • 此租用戶中正在收集哪些記錄?

補救

透過使用安全性 Copilot,Natasha 能夠收集使用者、登入活動、稽核記錄、有風險的使用者偵測、群組成員資格和系統診斷的完整資訊。 完成調查之後,Natasha 必須採取動作來補救風險性使用者或將其解除封鎖。

她閱讀了風險補救解除封鎖使用者回應劇本,以判斷下一步可能採取的動作。

下一步

深入了解: