Microsoft Copilot for Security を使用してインシデントを調査する
Microsoft Copilot for Security は、Entra の危険なユーザーの取得や監査ログの取得などのさまざまなスキルを通じて、Microsoft Entra データから分析情報を取得します。 IT 管理者とセキュリティ オペレーション センター (SOC) アナリストは、これらおよびその他のスキルを使用することで、ID ベースのインシデントを調査および修復するのに役立つ適切なコンテキストを、自然言語プロンプトを使って得ることができます。
この記事では、SOC アナリストまたは IT 管理者が Microsoft Entra スキルを使用して潜在的なセキュリティ インシデントを調査する方法について説明します。
シナリオ
Woodgrove Bank のセキュリティ オペレーション センター (SOC) アナリストである Natasha は、ID ベースのセキュリティ インシデントの可能性に関するアラートを受け取ります。 このアラートは、危険なユーザーとしてフラグが設定されているユーザー アカウントからの疑わしいアクティビティを示します。
調査
Natasha は調査を開始し、Microsoft Copilot for Security にサインインします。 ユーザー、グループ、危険なユーザー、サインイン ログ、監査ログ、診断ログの詳細を表示するには、少なくともセキュリティ閲覧者としてサインインします。
ユーザーの詳細を取得する
Natasha は、フラグが設定されたユーザー karita@woodgrovebank.com の詳細を調べることから始めます。 役職、部署、マネージャー、連絡先情報など、ユーザーのプロファイル情報を確認します。 また、ユーザーがアクセスできるアプリケーションとサービスを理解するために、ユーザーに割り当てられたロール、アプリケーション、ライセンスも確認します。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com についてのユーザーの詳細をすべて表示し、ユーザー オブジェクト ID を抽出します。"
- "このユーザーのアカウントは有効になっていますか?"
- "karita@woodgrovebank.com のパスワードが最後に変更またはリセットされたのはいつですか?"
- "Microsoft Entra に登録されている karita@woodgrovebank.com のデバイスはありますか?"
- "karita@woodgrovebank.com に対して登録されている認証方法は何ですか?"
危険なユーザーの詳細を取得する
karita@woodgrovebank.com に危険なユーザーとしてフラグが設定された理由を理解するために、Natasha は危険なユーザーの詳細の確認を開始します。 ユーザーのリスク レベル (低、中、高、非表示)、リスクの詳細 (未知の場所からのサインインなど)、リスクの履歴 (時間の経過に伴うリスク レベルの変化) を確認します。 また、リスク検出と最近の危険なサインインも確認し、不審なサインイン アクティビティやあり得ない移動アクティビティを探します。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com のリスク レベル、状態、リスクの 詳細はどのようなものですか?"
- "karita@woodgrovebank.com のリスク履歴はどうなっていますか?"
- "karita@woodgrovebank.com の最近の危険なサインインを一覧表示します。"
- "karita@woodgrovebank.com のリスク検出の詳細を一覧表示します。"
サインイン ログの詳細を取得する
Natasha は、ユーザーのサインイン ログとサインイン状態 (成功または失敗)、場所 (市区町村、州、国)、IP アドレス、デバイス情報 (デバイス ID、オペレーティング システム、ブラウザー)、サインイン リスク レベルを確認します。 また、サインイン イベントごとに関連付け ID も確認します。これは、詳細な調査に使用できます。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com の過去 48 時間のサインイン ログを用意できますか? この情報をテーブル形式で配置します。"
- "karita@woodgrovebank.com の過去 7 日間の失敗したサインインを表示し、IP アドレスが何かを教えてください。"
監査ログの詳細を取得する
Natasha は監査ログをチェックし、ユーザーが実行した通常とは異なるアクションまたは未承認のアクションを探します。 各アクションの日時、状態 (成功または失敗)、ターゲット オブジェクト (ファイル、ユーザー、グループなど)、クライアント IP アドレスを確認します。 さらに詳しい調査に使用できる各アクションの関連付け ID も確認します。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com の過去 72 時間の Microsoft Entra 監査ログを取得します。 情報をテーブル形式で配置します。"
- "このイベントの種類の監査ログを表示します。"
グループの詳細を取得する
その後、Natasha は、karita@woodgrovebank.com が属しているグループを確認し、Karita が通常とは異なるまたは機密性の高いグループのメンバーであるかどうかを確かめます。 Karita のユーザー ID に関連付けられているグループ メンバーシップとアクセス許可を確認します。 グループの種類 (セキュリティ、配布、または Office 365)、メンバーシップの種類 (割り当て済みまたは動的)、グループの所有者をグループの詳細で確認します。 また、グループのロールを確認して、リソースを管理するためにどのようなアクセス許可が付与されているかを確かめます。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com がメンバーである Microsoft Entra ユーザー グループを取得します。 情報をテーブル形式で配置します。"
- "財務部門グループの詳細を教えてください。"
- "財務部門グループの所有者は誰ですか?"
- "このグループにはどのようなロールがありますか?"
診断ログの詳細を取得する
最後に、Natasha は診断ログを確認して、疑わしいアクティビティが発生したときのシステムの動作に関するより詳細な情報を取得します。 John のユーザー ID と、通常とは異なるサインインの時間によってログをフィルター処理します。
次のプロンプトを使用して、必要な情報を取得します。
- "karita@woodgrovebank.com が登録されているテナントの診断ログ構成はどのようなものですか?"
- "このテナントで収集されているログはどれですか?"
修復
Copilot for Security を使用することで、Natasha はユーザー、サインイン アクティビティ、監査ログ、危険なユーザー検出、グループ メンバーシップ、システム診断に関する包括的な情報を収集できます。 調査が完了した後、Natasha は、危険なユーザーを修復するかブロック解除するアクションを実行する必要があります。
リスクの修復、ユーザーのブロック解除、対応プレイブックについて読み、次に実行できるアクションを決定します。
次のステップ
各項目の詳細情報