Microsoft Security Copilot は、Entra のリスクの高いユーザーの取得や監査ログの取得など、さまざまなスキルを通じて Microsoft Entra データから分析情報を取得します。 IT 管理者とセキュリティ オペレーション センター (SOC) アナリストは、これらのスキルや他のユーザーを使用して、自然言語プロンプトを使用して ID ベースのインシデントを調査および修復するのに役立つ適切なコンテキストを得ることができます。
この記事では、SOC アナリストまたは IT 管理者が Microsoft Entra スキルを使用して潜在的なセキュリティ インシデントを調査する方法について説明します。
[前提条件]
- Security Copilot が有効になっているテナント。 詳細については、「 Microsoft Security Copilot の概要 」を参照してください。
シナリオと調査
Woodgrove Bank のセキュリティ オペレーション センター (SOC) アナリストである Natasha は、潜在的な ID ベースのセキュリティ インシデントに関するアラートを受け取ります。 このアラートは、危険なユーザーとしてフラグが設定されているユーザー アカウントからの疑わしいアクティビティを示します。 調査を開始し、 Microsoft Security Copilot または Microsoft Entra 管理センターにサインインします。 ユーザー、グループ、危険なユーザー、サインイン ログ、監査ログ、診断ログの詳細を表示するには、少なくとも セキュリティ閲覧者としてサインインします。
ユーザーの詳細を取得する
Natasha は、フラグ付きユーザーの詳細 ( karita@woodgrovebank.com) を調べることから始めます。 役職、部署、マネージャー、連絡先情報など、ユーザーのプロファイル情報を確認します。 また、ユーザーがアクセスできるアプリケーションとサービスを理解するために、ユーザーの割り当てられたロール、アプリケーション、ライセンスも確認します。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com についてのユーザーの詳細をすべて表示し、ユーザー オブジェクト ID を抽出します。"
- このユーザーのアカウントは有効になっていますか?
- karita@woodgrovebank.comのパスワードが最後に変更またはリセットされたのはいつですか?
- "Microsoft Entra に登録されている karita@woodgrovebank.com のデバイスはありますか?"
- karita@woodgrovebank.comに登録されている認証方法 (ある場合)
危険なユーザーの詳細を取得する
karita@woodgrovebank.comが危険なユーザーとしてフラグ付けされた理由を理解するために、Natasha は危険なユーザーの詳細の確認を開始します。 ユーザーのリスク レベル (低、中、高、非表示)、リスクの詳細 (未知の場所からのサインインなど)、およびリスク履歴 (時間の経過に伴うリスク レベルの変化) を確認します。 また、リスク検出と最近の危険なサインインも確認し、不審なサインイン アクティビティやあり得ない旅行アクティビティを探します。
次のプロンプトを使用して、必要な情報を取得します。
- karita@woodgrovebank.comのリスク レベル、状態、およびリスクの詳細は何ですか?
- karita@woodgrovebank.comのリスク履歴は何ですか?
- "karita@woodgrovebank.com の最近の危険なサインインを一覧表示します。"
- karita@woodgrovebank.comのリスク検出の詳細を一覧表示します。
サインイン ログの詳細を取得する
Natasha は、ユーザーのサインイン ログとサインイン状態 (成功または失敗)、場所 (市区町村、州、国)、IP アドレス、デバイス情報 (デバイス ID、オペレーティング システム、ブラウザー)、サインイン リスク レベルを確認します。 また、サインイン イベントごとに関連付け ID も確認します。これは、詳細な調査に使用できます。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com の過去 48 時間のサインイン ログを用意できますか? この情報をテーブル形式で配置します。"
- 過去 7 日間の karita@woodgrovebank.com で失敗したサインインを表示し、IP アドレスを教えてください。
監査ログの詳細を取得する
Natasha は監査ログをチェックし、ユーザーが実行した通常とは異なるアクションまたは未承認のアクションを探します。 各アクションの日時、状態 (成功または失敗)、ターゲット オブジェクト (ファイル、ユーザー、グループなど)、クライアント IP アドレスを確認します。 さらに詳しい調査に使用できる各アクションの関連付け ID も確認します。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com の過去 72 時間の Microsoft Entra 監査ログを取得します。 情報をテーブル形式で配置します。"
- このイベントの種類の監査ログを表示します。
グループの詳細を取得する
その後、Natasha は、 karita@woodgrovebank.com が属しているグループを確認して、Karita が異常または機密性の高いグループのメンバーであるかどうかを確認します。 彼女は、Karita のユーザー ID に関連付けられているグループ メンバーシップとアクセス許可を確認します。 グループの詳細で、グループの種類 (セキュリティ、配布、または Office 365)、メンバーシップの種類 (割り当て済みまたは動的)、そしてグループの所有者を確認します。 また、グループのロールを確認して、リソースを管理するためのアクセス許可を決定します。
次のプロンプトを使用して、必要な情報を取得します。
- karita@woodgrovebank.comメンバーである Microsoft Entra ユーザー グループを取得します。 情報をテーブル形式で配置します。"
- 財務部グループの詳細を教えてください。
- 財務部グループの所有者は誰ですか?
- このグループにはどのようなロールがありますか?
改善する
Natasha は、Security Copilot を使用して、ユーザー、サインイン アクティビティ、監査ログ、危険なユーザー検出、グループ メンバーシップ、およびシステム診断に関する包括的な情報を収集できます。 調査が完了したら、Natasha は危険なユーザーを修復したりブロックを解除したりするためのアクションを実行する必要があります。
リスクの修復、ユーザーのブロック解除、プレイブックへの対応について読み、次に実行できるアクションを決定します。
関連コンテンツ
詳細については、以下をご覧ください。