Freigeben über


Anwenden von Prinzipien von Zero Trust auf Microsoft Security Copilot

Zusammenfassung: Um Zero Trust-Prinzipien auf Ihre Umgebung für Microsoft Security Copilot anzuwenden, müssen Sie fünf Schutzebenen anwenden:

  1. Schützen Sie Administratorkonten und Konten von SecOps-Fachkräften durch Richtlinien für Identität und Zugriff.
  2. Wenden Sie den geringstprivilegierten Zugriff auf die Administratorkonten und Konten von SecOps-Fachkräften an, einschließlich der Zuweisung von minimalen Rollen zu den Benutzerkonto.
  3. Verwalten und schützen Sie die Geräte von Administratoren und Administratorinnen sowie SecOps-Fachkräften.
  4. Stellen Sie Bedrohungsschutz bereit, oder überprüfen Sie Ihren Bedrohungsschutz.
  5. Sicherer Zugriff auf Sicherheitsprodukte von Drittanbietern, die Sie in Security Copilot integrieren.

Diagramm mit den vier Schritten zum Anwenden von Zero Trust-Prinzipien auf Microsoft Security Copilot.

Einführung

Als Teil der Einführung von Microsoft Security Copilot in Ihre Umgebung empfiehlt Microsoft, dass Sie eine starke Grundlage für sicherheit für Ihre Administrator- und SecOps-Mitarbeiterbenutzerkonten und -geräte erstellen. Microsoft empfiehlt auch, sicherzustellen, dass Sie Tools zum Schutz vor Bedrohungen konfiguriert haben. Wenn Sie Sicherheitsprodukte von Drittanbietern in Security Copilot integrieren, stellen Sie außerdem sicher, dass Sie den geschützten Zugriff auf diese Produkte und zugehörige Daten haben.

Glücklicherweise gibt es Anleitungen für eine starke Sicherheitsbasis in Form von Zero Trust. Die Zero Trust-Sicherheitsstrategie behandelt jede Verbindung und Ressourcenanforderung so, als ob sie von einem nicht kontrollierten Netzwerk und einem böswilligen Akteur stammte. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: „Niemals vertrauen, immer überprüfen“.

Von Sicherheitsportalen aus bietet Security Copilot eine natürliche Sprache, eine Hilfs-Copilot-Erfahrung, die Unterstützung hilft:

  • Sicherheitsfachkräfte in End-to-End-Szenarien wie Incident Response, Suche nach Cyberbedrohungen, Sammeln von Informationen und Verwaltung des Sicherheitsstatus

  • IT-Fachkräfte in Richtlinienauswertung und -konfiguration, Troubleshooting von Geräte- und Benutzerzugriffsproblemen sowie Leistungsüberwachung

Security Copilot verwendet Daten aus Ereignisprotokollen, Warnungen, Vorfällen und Richtlinien für Ihre Microsoft- und Drittanbieterabonnements und Sicherheitsprodukte. Wenn ein Angreifer ein Administrator- oder Sicherheitsmitarbeiterbenutzerkonto kompromittiert, dem eine Rolle "Security Copilot" zugewiesen wurde, kann er Security Copilot und seine Ergebnisse verwenden, um zu verstehen, wie Ihr SecOps-Team Angriffe in Bearbeitung adressiert. Angreifer und Angreiferinnen können diese Informationen dann verwenden, dann nutzen, um Versuche zu vereiteln, auf einen Vorfall zu reagieren, den sie möglicherweise selbst ausgelöst haben.

Daher ist es wichtig, sicherzustellen, dass Sie geeignete Maßnahmen zur Risikominderung in Ihrer Umgebung getroffen haben.

Logische Architektur

Die erste Verteidigungslinie bei der Einführung von Security Copilot besteht darin, die Prinzipien von Zero Trust auf die Konten und Geräte von Administrator- und SecOps-Mitarbeitern anzuwenden. Es ist auch wichtig, sicherzustellen, dass Ihre Organisation das Prinzip der geringsten Rechte anwendet. Zusätzlich zu copilot-spezifischen Rollen bestimmen die zugewiesenen Rollen für Administratoren und SecOps-Mitarbeiter in Ihren Sicherheitstools, auf welche Daten sie zugreifen können, während Sie Security Copilot verwenden.

Es ist leicht zu verstehen, warum diese Gegenmaßnahmen wichtig sind, indem Sie sich die logische Architektur von Security Copilot ansehen, die hier gezeigt wird.

Diagramm der logischen Architektur von Security Copilot mit Benutzern und Geräten, Sicherheitsprodukten und der Security Copilot-Dienstarchitektur.

In der Abbildung:

  • SecOps-Teammitglieder können die Verwendung einer Copilot-Erfahrung auffordern, z. B. die von Security Copilot, Microsoft Defender XDR und Microsoft Intune angeboten werden.

  • Zu den Security Copilot-Komponenten gehören:

    • Der Security Copilot-Dienst, der Antworten auf Benutzer- und qualifikationsbasierte Eingabeaufforderungen koordiniert.

    • Eine Reihe von Large Language Models (LLMs) für Security Copilot.

    • Plug-Ins für bestimmte Produkte Vorinstallierte Plug-Ins für Microsoft-Produkte werden bereitgestellt Diese Plug-Ins dienen der Vor- und Nachbearbeitung von Prompts.

    • Ihre Abonnementdaten Die SecOps-Daten für Ereignisprotokolle, Warnungen, Vorfälle und Richtlinien, die in den Abonnements gespeichert sind Weitere Informationen zu den am häufigsten verwendeten Datenquellen für Sicherheitsprodukte finden Sie in diesem Microsoft Sentinel-Artikel.

    • Dateien, die Sie hochladen Sie können bestimmte Dateien in Security Copilot hochladen und diese in den Umfang der Eingabeaufforderungen einschließen.

Jedes Microsoft-Sicherheitsprodukt mit einer Copilot-Erfahrung bietet nur Zugriff auf den mit diesem Produkt verbundenen Datensatz, z. B. Ereignisprotokolle, Warnungen, Vorfälle und Richtlinien. Security Copilot bietet Zugriff auf alle Datensätze, auf die der Benutzer Zugriff hat.

Weitere Informationen finden Sie unter "Erste Schritte mit Microsoft Security Copilot".

Wie funktioniert die Authentifizierung im Auftrag von Security Copilot?

Security Copilot verwendet die von OAuth 2.0 bereitgestellte Authentifizierung im Auftrag von OBO. Dies ist ein Authentifizierungsflow, der von der Delegierung in OAuth bereitgestellt wird. Wenn ein SecOps-Benutzer eine Eingabeaufforderung ausgibt, übergibt Security Copilot die Identität und Berechtigungen des Benutzers über die Anforderungskette. Dadurch wird verhindert, dass der Benutzer oder die Benutzerin Zugriff auf Ressourcen erhält, auf die er keinen Zugriff haben sollte.

Weitere Informationen zur OBO-Authentifizierung finden Sie unter Microsoft Identity Platform und On-Behalf-Of-Flow von OAuth 2.0.

Verwendung von Prompts in einem Microsoft-Sicherheitsprodukt: eingebettetes Beispiel für Microsoft Intune

Wenn Sie eine der eingebetteten Erfahrungen von Security Copilot verwenden, wird der Umfang der Daten durch den Kontext des produkts bestimmt, das Sie verwenden. Wenn Sie beispielsweise einen Prompt in Microsoft Intune ausgeben, werden die Ergebnisse ausschließlich auf der Grundlage der von Microsoft Intune bereitgestellten Daten und des Kontexts erstellt.

Dies ist die logische Architektur beim Ausgeben von Prompts aus der eingebetteten Microsoft Intune-Oberfläche.

Diagramm der logischen Architektur für Security Copilot mit Microsoft Intune als Sicherheitsprodukt, ein Plug-In und Intune-Datentypen hervorgehoben.

In der Abbildung:

  • Intune-Administratoren und -Administratorinnen verwenden Microsoft Copilot in er Intune-Oberfläche, um Prompts zu übermitteln.

  • Die Security Copilot-Komponente koordiniert Antworten auf die Eingabeaufforderungen mit:

    • Die LLMs for Security Copilot.

    • Das vorinstallierte Microsoft Intune-Plug-In

    • Die Intune-Daten für Geräte, Richtlinien und Sicherheitsstatus, die in Ihrem Microsoft 365-Abonnement gespeichert werden

Integration in Sicherheitsprodukte von Drittanbietern

Security Copilot bietet die Möglichkeit, Plug-Ins für Produkte von Drittanbietern zu hosten. Diese Plug-Ins von Drittanbietern bieten Zugriff auf die zugehörigen Daten. Diese Plug-Ins und ihre zugehörigen Daten existieren außerhalb der Sicherheitsvertrauensstellungsgrenze von Microsoft. Folglich ist es wichtig, sicherzustellen, dass Sie den Zugriff auf diese Anwendungen und die zugehörigen Daten geschützt haben.

Dies ist die logische Architektur von Security Copilot mit Sicherheitsprodukten von Drittanbietern.

Diagramm der erweiterten logischen Architektur für Security Copilot zur Unterstützung von Sicherheitsprodukten von Drittanbietern.

In der Abbildung:

  • Security Copilot lässt sich über Plug-Ins in Sicherheitsprodukte von Drittanbietern integrieren.
  • Diese Plug-Ins bieten Zugriff auf die mit dem Produkt verbundenen Daten, z. B. Protokolle und Warnungen.
  • Diese Drittanbieterkomponenten befinden sich außerhalb der Sicherheitsvertrauensstellungsgrenze von Microsoft.

Anwenden von Sicherheitsminderungen auf Ihre Umgebung für Security Copilot

Der Rest dieses Artikels führt Sie durch die Schritte zum Anwenden der Prinzipien von Zero Trust, um Ihre Umgebung auf Security Copilot vorzubereiten.

Schritt Task Anwendung von Zero Trust-Prinzipien
1 Stellen Sie Identitäts- und Zugriffsrichtlinien für Administratoren und Administratorinnen sowie SecOps-Fachkräfte bereit oder überprüfen Sie diese. Explizit verifizieren
2 Wenden Sie die geringsten Rechte auf Administrator- und SecOps-Benutzerkonten an. Geringstmögliche Zugriffsberechtigungen verwenden
3 Schützen Sie Geräte für den privilegierten Zugriff. Explizit verifizieren
4 Stellen Sie Bedrohungsschutzdienste bereit, oder überprüfen Sie Ihre Bedrohungsschutzdienste. Von einer Sicherheitsverletzung ausgehen
5 Schützen Sie den Zugriff auf Sicherheitsprodukte und -daten von Drittanbietern. Explizit verifizieren

Verwenden des Zugriffs mit den geringsten Rechten

Von einer Sicherheitsverletzung ausgehen

Es gibt mehrere Ansätze, mit denen Sie Administratoren und SecOps-Mitarbeiter in Security Copilot integrieren können, während Sie Schutzmaßnahmen für Ihre Umgebung konfigurieren.

Onboarding pro Benutzer in Security Copilot

Führen Sie mindestens eine Checkliste für Ihre Administratoren und SecOps-Mitarbeiter durch, bevor Sie eine Rolle für Security Copilot zuweisen. Dies eignet sich gut für kleine Teams und Organisationen, die mit einer Test- oder Pilotgruppe beginnen möchten.

Beispiel für eine Checkliste zum Onboarding Ihres Administrators und SecOps-Mitarbeiters für Security Copilot.

Phasenweise Bereitstellung von Security Copilot

Für große Umgebungen funktioniert eine eher standardmäßige phasenweise Bereitstellung gut. In diesem Modell sprechen Sie Gruppen von Benutzern und Benutzerinnen gleichzeitig an, um den Schutz zu konfigurieren und Rollen zuzuweisen.

Dies ist ein Beispielmodell.

Diagramm einer phasenweisen Standardbereitstellung für Security Copilot, einschließlich Auswerten, Pilotprojekten und vollständigen Bereitstellungsphasen.

In der Abbildung:

  • In der Phase "Auswerten" wählen Sie eine kleine Gruppe von Administrator- und SecOps-Benutzern aus, auf die Sie Zugriff auf Security Copilot haben möchten, und wenden Identitäts- und Zugriffs- und Geräteschutz an.
  • In der Pilotphase wählen Sie die nächste Gruppe von Administrator- und SecOps-Benutzerkonten aus, und wenden Schutzmaßnahmen für Identität und Zugriff sowie Geräte an.
  • In der vollständigen Bereitstellungsphase wenden Sie Schutzmaßnahmen für Identität und Zugriff sowie Geräte für die restlichen Administrator- und SecOps-Benutzerkonten an.
  • Am Ende jeder Phase weisen Sie den Benutzerkonten die entsprechende Rolle in Security Copilot zu.

Da sich verschiedene Organisationen in verschiedenen Phasen der Bereitstellung von Zero Trust-Schutzmaßnahmen für ihre Umgebung befinden können, gehen Sie in jedem dieser Schritte wie folgt vor:

  • Wenn Sie keinen der im Schritt beschriebenen Schutzmaßnahmen verwenden, nehmen Sie sich zeit, um sie für Ihren Administrator und Ihre SecOps-Mitarbeiter bereitzustellen, bevor Sie Rollen zuweisen, die Security Copilot enthalten.
  • Wenn Sie bereits einige der im Schritt beschriebenen Schutzmaßnahmen verwenden, verwenden Sie die Informationen im Schritt als Prüfliste, und stellen Sie sicher, dass jeder angegebene Schutz pilotiert und bereitgestellt wurde, bevor Sie Rollen zuweisen, die Security Copilot enthalten.

Schritt 1. Bereitstellen oder Überprüfen von Identitäts- und Zugriffsrichtlinien für Administrator- und SecOps-Fachkräfte

Um zu verhindern, dass schlechte Akteure Security Copilot verwenden, um schnell Informationen zu Cyberangriffen zu erhalten, besteht der erste Schritt darin, sie daran zu hindern, Zugang zu erhalten. Sie müssen sicherstellen, dass Administratoren und Administratorinnen sowie SecOps-Fachkräfte Folgendes beachten:

  • Benutzerkonten müssen die Multi-Faktor-Authentifizierung (MFA) verwenden (damit ihr Zugang nicht allein durch das Erraten von Benutzerkennwörtern kompromittiert werden kann), und sie müssen ihre Kennwörter ändern, wenn risikoreiche Aktivitäten entdeckt werden.
  • Geräte müssen den Intune-Verwaltungs- und Gerätecompliancerichtlinien entsprechen.

Empfehlungen für Identitäts- und Zugriffsrichtlinien finden Sie im Schritt zu Identität und Zugriff in Zero Trust für Microsoft 365 Copilot. Stellen Sie basierend auf den Empfehlungen in diesem Artikel sicher, dass in Ihrer resultierenden Konfiguration die folgenden Richtlinien für alle SecOps-Mitarbeiterbenutzerkonten und deren Geräte angewendet werden:

Diese Empfehlungen entsprechen der Schutzebene Spezialsicherheit in den Zero Trust-Identitäts- und Gerätezugriffsrichtlinien von Microsoft. Das folgende Diagramm veranschaulicht die empfohlenen drei Schutzebenen: Startpunkt, Enterprise und Spezial. Die Enterprise-Schutzebene wird als Mindestebenefür Ihre privilegierten Konten empfohlen.

Diagramm der Zero Trust-Zugriffsrichtlinien für Identitäten und Geräte mit den drei Schutzebenen: Startpunkt, Enterprise und Spezialsicherheit

Im Diagramm werden die empfohlenen Richtlinien für den bedingten Zugriff von Microsoft Entra, die Intune-Gerätecompliance und den Intune-App-Schutz für jede der drei Ebenen dargestellt:

  • Startpunkt erfordert keine Geräteverwaltung.
  • Unternehmen wird für Zero Trust empfohlen und als Mindestmaß für den Zugriff auf Security Copilot und Ihre Sicherheitsprodukte und damit verbundenen Daten von Drittanbietern.
  • Spezialisierte Sicherheit wird für den Zugriff auf Security Copilot und Ihre Sicherheitsprodukte und zugehörigen Daten von Drittanbietern empfohlen.

Jede dieser Richtlinien wird ausführlicher in Allgemeine Zero Trust-Identitäts- und Gerätezugriffsrichtlinien für Microsoft 365-Organisationen beschrieben.

Konfigurieren einer separaten Gruppe von Richtlinien für privilegierte Benutzer und Benutzerinnen

Wenn Sie diese Richtlinien für Ihre Administrator und Administratorinnen sowie Ihre SecOps-Fachkräfte konfigurieren, erstellen Sie einen separaten Satz von Richtlinien für diese privilegierten Benutzer und Benutzerinnen. Fügen Sie ihre Administratoren und Administratorinnen beispielsweise nicht den gleichen Richtlinien hinzu, die den Zugriff nicht privilegierter Benutzer und Benutzerinnen auf Apps wie Microsoft 365 und Salesforce steuern. Verwenden Sie einen dedizierten Satz von Richtlinien mit Schutzmaßnahmen, die für privilegierte Konten geeignet sind.

Einbeziehen von Sicherheitstools in den Bereich von Richtlinien für bedingten Zugriff

Derzeit gibt es keine einfache Möglichkeit, bedingten Zugriff für Security Copilot zu konfigurieren. Weil die On-Behalf-Of-Authentifizierung für den Zugriff auf Daten in Sicherheitstools verwendet wird, müssen Sie jedoch sicherstellen, dass Sie bedingten Zugriff für diese Tools, zu denen Microsoft Entra ID und Microsoft Intune gehören können, konfiguriert haben.

Schritt 2. Anwenden der geringsten Rechte auf Administrator- und SecOps-Benutzerkonten

Dieser Schritt umfasst das Konfigurieren der entsprechenden Rollen innerhalb von Security Copilot. Dazu gehört auch die Überprüfung Ihrer Administrator- und SecOps-Benutzerkonten, um sicherzustellen, dass ihnen die geringstmöglichen Berechtigungen für die vorgesehene Arbeit zugewiesen werden.

Zuweisen von Benutzerkonten zu Security Copilot-Rollen

Das Berechtigungsmodell für Security Copilot enthält Rollen in Microsoft Entra ID und Security Copilot.

Produkt Rollen Beschreibung
Microsoft Entra ID Sicherheitsadministrator

Globaler Administrator
Diese Microsoft Entra-Rollen erben die Rolle des Copilot-Besitzers in Security Copilot. Verwenden Sie diese privilegierten Rollen nur, um Security Copilot in Ihre Organisation zu integrieren.
Security Copilot Copilot-Besitzer

Copilot-Mitwirkender
Diese beiden Rollen umfassen den Zugriff auf die Verwendung von Security Copilot. Die meisten Ihrer Administratoren und Administratoren sowie SecOps-Fachkräfte können die Rolle Copilot-Mitwirkender verwenden.

Die Rolle des Copilot-Besitzers umfasst die Möglichkeit, benutzerdefinierte Plug-Ins zu veröffentlichen und Einstellungen zu verwalten, die sich auf alle Security Copilot auswirken.

Es ist wichtig zu wissen, dass standardmäßig allen Benutzern und Benutzerinnen im Mandanten Zugriff als „Copilot-Mitwirkender“ Zugriff gewährt wird. Bei dieser Konfiguration wird der Zugriff auf die Daten Ihres Sicherheitstools durch die Berechtigungen geregelt, die Sie für jedes Sicherheitstool konfiguriert haben. Ein Vorteil dieser Konfiguration ist, dass die eingebetteten Erfahrungen von Security Copilot sofort für Ihren Administrator und SecOps-Mitarbeiter innerhalb der Produkte verfügbar sind, die sie täglich verwenden. Dies funktioniert gut, wenn Sie bereits eine starke Praxis des geringstprivilegierten Zugriffs innerhalb Ihrer Organisation eingeführt haben.

Wenn Sie einen schrittweisen Ansatz für die Einführung von Security Copilot an Ihren Administrator und SecOps-Mitarbeiter durchführen möchten, während Sie den geringsten privilegierten Zugriff in Ihrer Organisation optimieren, entfernen Sie alle Benutzer aus der Rolle " Copilot-Mitwirkender ", und fügen Sie Sicherheitsgruppen hinzu, sobald Sie bereit sind.

Weitere Informationen finden Sie in den folgenden Microsoft Security Copilot-Ressourcen:

Konfigurieren oder Überprüfen des geringstprivilegierten Zugriffs für Administrator- und SecOps-Benutzerkonten

Die Einführung von Security Copilot ist ein guter Zeitpunkt, um den Zugriff Ihres Administrators und SecOps-Mitarbeiterbenutzerkonten zu überprüfen, um sicherzustellen, dass Sie mit dem Prinzip der geringsten Berechtigungen für den Zugriff auf bestimmte Produkte folgen. Hierzu gehören die folgenden Aufgaben:

  • Überprüfen Sie die Berechtigungen für die spezifischen Produkte, mit den Ihre Administratoren und Administratorinnen sowie SecOps-Fachkräfte arbeiten. Beispielsweise finden Sie Informationen zu Microsoft Entra unter Rollen mit den geringsten Berechtigungen nach Aufgabe.
  • Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um mehr Kontrolle über den Zugriff auf Security Copilot zu erlangen.
  • Verwenden Sie Microsoft Purview Privileged Access Management, um die präzise Zugriffssteuerung für privilegierte Administratoraufgaben in Office 365 zu konfigurieren.

Verwenden von Microsoft Entra Privileged Identity Management zusammen mit Security Copilot

Mit Microsoft Entra Privileged Identity Management (PIM) können Sie die Rollen verwalten, steuern und überwachen, die für den Zugriff auf Security Copilot erforderlich sind. Mit PIM können Sie Folgendes tun:

  • Bereitstellen einer zeitabhängigen Rollenaktivierung
  • Anfordern einer Genehmigung bei der Aktivierung privilegierter Rollen
  • Erzwingen von MFA zum Aktivieren jeder Rolle
  • Abrufen von Benachrichtigungen bei der Aktivierung von privilegierten Rollen
  • Führen Sie Zugriffsüberprüfungen durch, um sicherzustellen, dass Administrator- und SecOps-Mitarbeiterbenutzerkonten die ihnen zugewiesenen Rollen noch benötigen.
  • Führen Sie Überprüfungen von Zugriffs- und Rollenänderungen für Administrator- und SecOps-Mitarbeiterkonten durch.

Verwenden der Verwaltung des privilegierten Zugriffs zusammen mit Security Copilot

Microsoft Purview Privileged Access Management unterstützt Sie durch die Einschränkung des dauerhaften Zugriffs auf vertrauliche Daten oder des Zugriff auf kritische Konfigurationseinstellungen dabei, Ihre Organisation vor Sicherheitsverletzungen zu schützen und Best Practices für Compliance einzuhalten. Anstelle von Administratoren mit konstantem Zugriff werden Just-in-Time-Zugriffsregeln für Aufgaben implementiert, die erhöhte Berechtigungen benötigen. Anstelle von Administratoren mit konstantem Zugriff werden Just-in-Time-Zugriffsregeln für Aufgaben implementiert, die erhöhte Berechtigungen benötigen. Weitere Informationen finden Sie unter Privileged Access Management.

Schritt 3. Schützen von Geräten für den privilegierten Zugriff

In Schritt 1 haben Sie Richtlinien für den bedingten Zugriff konfiguriert, die verwaltete und konforme Geräte für Ihre Administratoren und Administratorinnen sowie SecOps-Fachkräfte erforderlich machten. Für zusätzliche Sicherheit können Sie Geräte mit privilegiertem Zugriff für Ihre Mitarbeiter bereitstellen, um auf Sicherheitstools und -daten zuzugreifen, einschließlich Security Copilot. Ein Gerät mit privilegiertem Zugriff ist eine „gehärtete“ Workstation, die über eine klare Anwendungssteuerung und einen entsprechenden Anwendungsschutz verfügt. Die Workstation verwendet Credential Guard, Device Guard, App Guard und Exploit Guard, um den Host vor Angreifern zu schützen.

Weitere Informationen zum Konfigurieren eines Geräts für den privilegierten Zugriff finden Sie unter Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs.

Um diese Geräte vorzuschreiben, müssen Sie Ihre Intune-Gerätecompliancerichtlinie aktualisieren. Wenn Sie Administratoren und Administratorinnen sowie SecOps-Fachkräfte auf gehärtete Geräte umstellen, müssen Sie Ihre Sicherheitsgruppen von der ursprünglichen Gerätecompliancerichtlinie auf die neue Richtlinie umstellen. Die Regel für bedingten Zugriff kann unverändert bleiben.

Schritt 4. Bereitstellen oder Überprüfen Ihrer Bedrohungsschutzdienste

Um die Aktivitäten von schlechten Akteuren zu erkennen und zu verhindern, dass sie Zugriff auf Security Copilot erhalten, stellen Sie sicher, dass Sie Sicherheitsvorfälle mit einer umfassenden Suite von Bedrohungsschutzdiensten erkennen und darauf reagieren können, einschließlich Microsoft Defender XDR mit Microsoft 365, Microsoft Sentinel und anderen Sicherheitsdiensten und -produkten.

Verwenden Sie die folgenden Ressourcen.

`Scope` Beschreibung und Ressourcen
In Microsoft Entra integrierte Microsoft 365- und SaaS-Apps Im Artikel Zero Trust für Microsoft 365 Copilot finden Sie eine Anleitung, wie Sie den Schutz vor Bedrohungen erhöhen können, beginnend mit den Microsoft 365 E3-Plänen und weiter mit den Microsoft E5-Plänen.

Informationen zu Microsoft 365 E5-Plänen finden Sie auch unter Evaluieren und Testen der Microsoft Defender XDR-Sicherheit.
Ihre Azure-Cloudressourcen

Ihre Ressourcen in Clouds anderer Anbieter, z. B. Amazon Web Services (AWS)
Die unten angegebenen Ressourcen erleichtern den Einstieg in Defender for Cloud:

- Microsoft Defender für Cloud
- Anwenden von Zero Trust-Prinzipien auf IaaS-Anwendungen in AWS
Ihr digitaler Bestand mit allen Microsoft XDR-Tools und Microsoft Sentinel Der Lösungsleitfaden zur Implementieren von Microsoft Sentinel und Microsoft Defender XDR für Zero Trust führt durch die Einrichtung von Microsoft eXtended Detection and Response (XDR)-Tools zusammen mit Microsoft Sentinel, damit Ihre Organisation schneller auf Cybersicherheitsangriffe reagieren und diese beheben kann.

Schritt 5. Schützen des Zugriffs auf Sicherheitsprodukte und -daten von Drittanbietern

Wenn Sie Sicherheitsprodukte von Drittanbietern in Security Copilot integrieren, stellen Sie sicher, dass Sie zugriff auf diese Produkte und zugehörige Daten haben. Microsoft Zero Trust-Leitfaden enthält Empfehlungen zum Schutz des Zugriffs auf SaaS-Apps. Sie können diese Empfehlungen für Ihre Sicherheitsprodukte von Drittanbietern verwenden.

Zum Schutz mit Identitäts- und Gerätezugriffsrichtlinien sind die Änderungen an den allgemeinen Richtlinien für SaaS-Anwendungen im folgenden Diagramm rot umrandet. Dies sind die Richtlinien, denen Sie Ihre Sicherheitsprodukte von Drittanbietern hinzufügen können.

Diagramm der Zero Trust-Identitäts- und Gerätezugriffsrichtlinien und der hervorgehobenen Änderungen an Schutzstufen für SaaS-Apps

Sie sollten in Betracht ziehen, für Ihre Sicherheitsprodukte und -apps von Drittanbietern einen dedizierten Satz von Richtlinien zu erstellen. Auf diese Weise können Sie an Ihre Sicherheitsprodukte höhere Anforderungen stellen als an Produktivitäts-Apps wie Dropbox und Salesforce. Fügen Sie beispielsweise Tanium und alle anderen Sicherheitsprodukte von Drittanbietern dem gleichen Satz von Richtlinien für bedingten Zugriff hinzu. Wenn Sie strengere Anforderungen für Geräte Ihrer Administratoren und Administratorinnen sowie Ihrer SecOps-Fachkräften erzwingen möchten, konfigurieren Sie auch eindeutige Richtlinien für die Intune-Gerätecompliance und den Intune-App-Schutz, und weisen Sie diese Richtlinien Ihren Administratoren und Administratorinnen sowie SecOps-Fachkräften zu.

Weitere Informationen zum Hinzufügen Ihrer Sicherheitsprodukte zu Microsoft Entra ID und dem Umfang Ihrer Richtlinien für bedingten Zugriffs und zugehöriger Richtlinien (oder zum Konfigurieren eines neuen Satzes von Richtlinien) finden Sie unter Hinzufügen von SaaS-Apps zu Microsoft Entra ID und zum Umfang der Richtlinien.

Je nach Sicherheitsprodukt kann es sinnvoll sein, Microsoft Defender for Cloud-Apps zu verwenden, um die Nutzung dieser Apps zu überwachen und Sitzungssteuerungsmaßnahmen anzuwenden. Wenn diese Sicherheitsanwendungen die Speicherung von Daten in einem der von Microsoft Purview unterstützten Dateitypen beinhalten, können Sie Defender for Cloud verwenden, um diese Daten mithilfe von Vertraulichkeitsbezeichnungen und DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) zu überwachen und zu schützen. Weitere Informationen finden Sie unter Integrieren von SaaS-Apps für Zero Trust in Microsoft 365.

Beispiel für Tanium SSO

Tanium ist ein Anbieter von Endpunktverwaltungstools und bietet ein benutzerdefiniertes Tanium Skills-Plug-In für Security Copilot. Dieses Plug-In hilft, Prompts und Antworten zu erstellen, die die von Tanium gesammelte Informationen und Erkenntnisse nutzen.

Hier ist die logische Architektur von Security Copilot mit dem Tanium Skills-Plug-In.

Diagramm der logischen Architektur für Security Copilot mit Tanium SSO als Plug-In eines Drittanbieters und mit Tanium-Drittanbieterdaten hervorgehoben.

In der Abbildung:

  • Tanium Skills ist ein benutzerdefiniertes Plug-In für Microsoft Security Copilot.
  • Tanium Skills ermöglicht den Zugriff auf Prompts und Antworten, die auf von Tanium gesammelten Informationen und Erkenntnissen basieren, und hilft bei deren Erstellung.

So schützen Sie den Zugriff auf Tanium-Produkte und zugehörige Daten:

  1. Verwenden Sie den Microsoft Entra ID-Anwendungskatalog, um Tanium SSO zu suchen und ihrem Mandanten hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen einer Unternehmensanwendung. Ein spezifisches Beispiel für Tanium finden Sie unter Microsoft Entra SSO-Integration in Tanium SSO.
  2. Fügen Sie Tanium SSO dem Umfang Ihrer Zero Trust-Identitäts- und Zugriffsrichtlinien hinzu.

Nächste Schritte

Sehen Sie sich das Video "Microsoft Security Copilot entdecken" an.

Weitere Artikel finden Sie in den folgenden Artikeln zu Zero Trust und Copilots von Microsoft:

Siehe auch die Microsoft Security Copilot-Dokumentation.

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.