在 Microsoft Entra 中探索 Copilot 的功能

  • 30 分钟

在本练习中,你将探索多个真实场景,其中突出显示了 Microsoft Entra 中 Copilot 的优势和价值。

注释

本练习的环境是从产品生成的模拟环境。 由于是有限的模拟,因此页面上的链接可能未启用,并且不支持超出指定脚本范围的文本输入。 将显示一条弹出消息,指出“此功能在模拟中不可用。发生这种情况时,请选择“确定”并继续执行练习步骤。

弹出屏幕的屏幕截图,指示此功能在模拟中不可用。

练习

本练习由四个独立任务组成,用于探索 Microsoft Entra 中 Security Copilot 的功能。

完成此练习大约需要 30 分钟

注释

当实验室说明要求打开模拟环境的链接时,我们建议在新浏览器窗口中打开该链接,这样就可以同时查看说明和练习环境。 为此,请选择鼠标右键,然后选择该选项。

任务:使用 Microsoft Entra 中的 Copilot 研究和修正风险用户

你是 Woodgrove 的标识管理员。 你认为公司中有一些用户可能会受到网络钓鱼攻击的攻击。 你想要在 Microsoft Entra 中使用 Copilot 查看任何有风险的用户。 如果发现任何问题,可以使用 Copilot 来帮助解决问题并防止将来再次发生。 你怀疑被入侵的主要用户是 Serena Markunaite。

  1. 通过选择以下链接打开模拟环境: Microsoft Entra 管理中心

  2. 在左侧菜单中,向下滚动并打开 “保护 ”菜单。

  3. 从子菜单中选择 “标识保护 ”。

    • 我们希望使用仪表板查看 高风险用户数量图表。 请注意,检测到超过 100 个有风险的用户活动。
    • 几分钟后,我们将会再来看这份报告。

  4. 让我们对潜在有风险的用户进行一些研究。

  5. 从屏幕右上角选择 Copilot 按钮。

  6. 花点时间查看 Copilot 中提供的示例提示。

  7. 输入提示 “显示我最有风险的用户 ”,然后选择箭头。

    • 请注意,我们关注的用户(Serena)位于列表中。

  8. 查看 Copilot 响应底部的链接以访问“有风险的用户”报告

  9. 选择 Entra ID Protection 中的‘有风险用户’报告链接。

  10. 从有风险的用户列表中选择 Serena Markunaite

    • 这会打开 Copilot 自动生成的用户风险摘要。 现在,你看到了塞雷娜面临风险提升的具体原因。
    • 另请注意 待办事项建议

  11. 我们需要更深入地挖掘,看看是否可以跟踪这种有风险的用户行为。 他们是否已在正常使用之外执行活动?

  12. 在 Copilot 对话框中,输入提示 显示警报前后一天塞雷娜的登录情况

    • 请注意失败的用户登录尝试,然后注意从备用 IP 地址立即成功的尝试。 看起来是可疑行为。
    • 如果攻击者已登录到系统,则只需重置密码或 MFA 可能是不够的。 让我们检查最近是否对 MFA 设置进行了任何更改。

  13. 输入 Copilot 提示 该用户可用的 MFA 方法有哪些?

    • 请注意,仍然设置了密码与 Authenticator 的公司 MFA 标准。

  14. 我们已研究这个问题,并收集了所需的信息。 现在是时候计划制止中间人攻击了。

  15. 使用提示“我该如何制止这种中间人攻击威胁?”让 Copilot 提供建议

  16. 在 copilot 窗口中向上滚动以查看整个响应。

    • Copilot 的响应中包含了解决当前问题的方法。 所有这些措施都非常适合防止当前的潜在泄露,但是无法阻止未来的尝试。 我们能做什么?
    • 提醒 - 在 “有风险的用户详细信息 ”中提供了 “如何执行 建议”来保护将来的攻击。

  17. 建议使用 条件访问策略来保护此用户。 使用 Copilot 了解详细信息。

  18. 输入提示 是否可以使用基于风险的条件访问策略自动响应这些检测?

    • 请注意,可以使用条件访问策略。 我们得到的建议与前面的建议相同。

  19. 使用提示“如何为此用户创建基于登录风险的条件访问策略?”让 Copilot 提供设置的分步说明

    • 查看提供的步骤。

    注释

    生成的说明适用于单个用户策略。 Microsoft不建议为每个用户制定策略,而是使用安全组创建策略来帮助维护。

  20. 通过退出浏览器关闭 模拟环境

回顾:你已完成该实验室模拟。 请记住,如何快速使用 Copilot 获取有风险的用户列表,研究其基于标识的活动,检查帐户是否出现泄露,并找到修正路径。 为 Microsoft Entra 嵌入的 Copilot 是一种支持身份验证和访问控制管理任务的强大工具。

任务:在 Microsoft Entra 中使用 Security Copilot 排查访问问题

你是 Woodgrove 的标识管理员。 你是一名客服人员,已被要求调查一名远程员工提交的故障单,该员工经常在安全的客户地点工作。 员工报告,他们在从客户的安全位置工作时无法进行身份验证,该位置不允许用户携带任何外部设备,包括移动设备和笔记本电脑。 作为标识管理员,你知道身份验证过程设置为始终使用基于电话的 MFA,但你想要调查用户的登录尝试。 Copilot 可以帮助调查和研究如何快速解决用户登录挑战。 用户是 Khamala Ervello。

  1. 通过选择以下链接打开模拟环境: Microsoft Entra 管理中心

  2. 选择屏幕右上角的 “安全 Copilot ”按钮。

  3. 输入提示“为我详细介绍 kher40@woodgrove.ms”以获取有关 Khamala 的详细信息

    • 请注意相关详细信息,Khamala 是合法用户,应具有访问权限。

  4. 我们需要研究失败的登录尝试。 使用提示“显示 kher40@woodgrove.ms 最近失败的登录”,了解登录失败情况

    • 请注意,用户描述的故障“MFA 超时”确实发生了。
    • 我们能否检查是否有任何其他可疑活动?

  5. 在 Security Copilot 中输入提示“kher40@woodgrove.ms 的登录尝试是否存在异常或有风险的行为?”

    • 对于此用户,我们看不到任何有风险或异常的行为。
    • 我们能帮助他们登录,以便他们可以工作吗?

  6. 查看 Woodgrove 中有哪些 MFA 方法,提示哪些 身份验证方法被视为 MFA?

    • 请注意可用的 MFA 方法和提供的链接,以研究其价值和强度。

  7. FIDO2 密钥是最安全的选项,无需电话验证。 我们能否检查 Khamala 是否已注册 FIDO2?

  8. 使用提示“kher40@woodgrove.ms 是否注册了 FIDO2 身份验证?”在 Copilot 中进行检查

    • 用户尚未设置 FIDO2,我们可以为他们设置无密码登录吗?

  9. 使用提示“我该如何为 kher40@woodgrove.ms 设置无密码身份验证?”询问 Copilot 如何进行此设置

  10. 查看由安全 Copilot 提供的步骤,以帮助 Khamala 设置无密码登录,从而解决此问题。

  11. 与 Khamala 一起查看这些步骤后,您可以发送一封电子邮件,其中包含说明的副本。

  12. 通过退出浏览器关闭 模拟环境

审阅:Microsoft Entra 中的 Security Copilot 是你的客户服务小帮手。 通过一些简单的提示,可以确认用户在公司中的角色,研究其帐户未显示有风险的活动,并帮助他们解决登录问题。

任务:使用 Microsoft Entra 中的安全助手修复应用安全问题

你是 Woodgrove 的标识管理员。 多年来,贵公司使用了许多企业应用程序,有些应用程序不再使用。 你的工作是跟踪Microsoft Entra 租户中未使用的应用程序,并删除它们。 你应该研究是否有与应用或其数据关联的可疑活动作为工作的一部分。 Microsoft Entra 中的 Security Copilot 可以提供帮助。

  1. 通过选择以下链接打开模拟环境: Microsoft Entra 管理中心

  2. 查看 Microsoft Entra 仪表板上提供的数据。

  3. 查找有关“标识安全分数”的部分

    • 请注意,有关如何使租户更安全,有一些建议。
    • 请注意,其中一项是“已删除未使用的应用程序”。

  4. 选择屏幕右上角的 “安全副驾” 按钮。

  5. 使用提示 “显示未使用的应用程序 ”查找任何未使用的应用程序。

    • 查看应用列表。

  6. 知道谁拥有这些应用会很棒。

  7. 输入提示 谁是与这些应用关联的服务主体的所有者? 以查找所有者。

    • 请注意,其中许多人没有所有者。

  8. 让我们询问copilot如何通过提示How do I remove these?来删除应用。

  9. 查看提供的步骤,了解如何使用 Microsoft Entra 管理中心手动删除应用程序或查看 PowerShell 脚本。

    注释

    虽然此模拟没有主动使用这些步骤来删除应用程序,但可以看到安全 Copilot 如何快速帮助你删除未使用的应用程序。

  10. Copilot 窗口中 向上滚动以查看最初提供的应用列表。

  11. 找到名为 Woodgrove Intranet 的应用程序,并记下所有者的姓名: Braden Goudy (Corp)

  12. 暂时关闭安全 Copilot窗口。

  13. 从屏幕左侧的菜单中选择“ 收藏夹”菜单

    • 收藏夹是存储最常用的工具的绝佳位置。

  14. 从收藏夹列表中选择 风险活动

    • 或者,可以打开 “保护 ”菜单,然后从菜单中选择 “有风险的活动 ”。

  15. 在列表中找到 布拉登的名字 ,并注意到他是有风险的。

  16. 选择他的姓名以打开“Security Copilot 的风险行为摘要”

    • 他们的历史记录中有几次异常的登录尝试。

  17. 查看有关如何缓解用户构成的任何风险的建议。

  18. 通过退出浏览器关闭 模拟环境

查看:在此模拟中,你使用了安全 Copilot 来帮助你快速识别未使用的应用程序及其所有者。 你能够找到从系统中删除它们的分步说明。 此外,你注意到,在具有所有者的三个应用程序中,所有者列为 Braden Goudy (Corp) 的应用程序没有关联的用户 ID。 利用此信息,可以查看应用程序所有者的使用情况,并找到一些潜在的风险行为。

任务:探索 Microsoft Entra 中的 Security Copilot

你是 Woodgrove 的标识管理员。 你被告知,用户罗夫山哈桑利在连接到 Woodgrove 网站时可能有一些奇怪的行为。 你想要使用审核日志来研究活动。

  1. 通过选择以下链接打开模拟环境: Microsoft Entra 管理中心

  2. 在屏幕的右上角,选择 “安全副手”按钮

  3. 让我们从一个简单的提示开始,例如“能否向我介绍用户 Rovshan Hasanli?”。 请注意,提示响应显示“启用帐户”字段设置为 false,因此帐户处于禁用状态。

  4. 我们需要从 审核日志中找出有关用户的信息。 使用提示“显示该用户在过去一周内发起的 Microsoft Entra 审核日志事件”来查找详细信息

    • 查看在 PIM 中分配的用户管理员角色的相关信息。
    • 请注意,Security Copilot 记住了我们询问过有关 Rovshan already 的情况,并保留了这一上下文。 还可以在提示符中指定名称。
    • 如果没有 Security Copilot,就必须打开日志并手动搜索条目。

  5. 让我们使用提示 “显示该用户的登录信息?”来检查用户的登录情况。

    • 禁用其帐户的用户能够登录并使用 PIM 是不寻常的。

  6. “安全 Copilot”窗口中向上滚动,找到我们在安全 Copilot 中执行的第一个查询中的链接“Rovshan Hasanli 的个人资料”

  7. 选择 Rovshan Hasanli 的个人资料链接。

    • 或者,可以转到左侧菜单并选择“标识”,然后选择“用户”,然后导航到“所有用户”页。
    • 在用户框选择“搜索”并输入“Rovshan”
    • 选择 罗夫山哈桑利 帐户。

  8. 有趣的是,可以看到帐户在帐户状态已禁用

  9. 返回到 安全 Copilot 窗口 并滚动到“ 审核日志”链接页

  10. 选择审核日志页链接。

    • 或者,可以通过依次转到“标识”、“监视和运行状况”和“登录日志”,从左侧菜单导航到页面

  11. 当页面打开时,选择 “添加筛选器 ”按钮。

  12. 从丢失的筛选器中选择“发起者(行动者)”,然后输入“Rovshan”,然后选择“应用”

    • 有 Rovshan 执行的几个 PIM 活动。

  13. 再次返回到 “安全 Copilot”窗口 并找到“ 登录事件”链接

  14. 选择链接 “登录事件”页

    • 或者,可以通过依次转到“标识”、“监视和运行状况”和“登录日志”,从左侧菜单导航到页面

  15. 当页面打开时,选择 “添加筛选器 ”按钮。

  16. 从列表中选择 “用户 ”,然后选择“ 应用”。

  17. 在对话框中输入 Rovshan

    • 请查看登录尝试列表。

  18. 通过退出浏览器关闭 模拟环境

查看:在此简短模拟中,可以查看 Microsoft Entra 中的 Security Copilot 如何快速共享有关特定用户活动的信息。 然后,Security Copilot 添加了可以找到更多详细信息的来源链接,以获取更多详细信息。 此功能允许你询问有关 Microsoft Entra 数据的问题,而无需猜测接下来要去哪里。