Aplicación de principios de Confianza cero a Microsoft Security Copilot
Resumen: para aplicar Confianza cero principios a su entorno para Microsoft Security Copilot, debe aplicar cinco capas de protección:
- Proteja las cuentas de usuario de administrador y del personal de SecOps con directivas de identidad y acceso.
- Aplique el acceso con privilegios mínimos a las cuentas de usuario de administrador y de personal de SecOps, incluida la asignación de los roles mínimos de cuenta de usuario.
- Administre y proteja los dispositivos del personal de Administración y SecOps.
- Implemente o valide la protección contra amenazas.
- Proteja el acceso a productos de seguridad de terceros que integre con Security Copilot.
Introducción
Como parte de la introducción de Microsoft Security Copilot en su entorno, Microsoft recomienda crear una base sólida de seguridad para sus cuentas de usuario y dispositivos de personal de SecOps y administradores. Microsoft también recomienda asegurarse de que ha configurado las herramientas de protección contra amenazas. Si va a integrar productos de seguridad de terceros con Security Copilot, asegúrese también de que ha protegido el acceso a estos productos y datos relacionados.
Afortunadamente, existe una guía para implementar una base de seguridad sólida en forma de confianza cero. La estrategia de seguridad de confianza cero trata cada conexión y solicitud de recursos como si se originara en una red no controlada y un actor malintencionado. Independientemente de dónde se origina la solicitud o de los recursos a los que accede, la confianza cero nos enseña a "desconfiar y comprobar siempre".
Desde los portales de seguridad, Security Copilot proporciona un lenguaje natural, una experiencia de copilot de asistencia que ayuda a admitir:
Profesionales de seguridad en escenarios de un extremo a otro, como la respuesta a incidentes, la búsqueda de amenazas, la recopilación de inteligencia y la administración de posiciones.
Profesionales de TI en la evaluación y configuración de directivas, solución de problemas de acceso de dispositivos y usuarios, y supervisión del rendimiento.
Security Copilot usa datos de registros de eventos, alertas, incidentes y directivas para sus suscripciones y productos de seguridad de Microsoft y de terceros. Si un atacante pone en peligro una cuenta de usuario de administrador o personal de seguridad que se ha asignado a un rol de Copilot de seguridad, puede usar Security Copilot y sus resultados para comprender cómo su equipo de SecOps está abordando los ataques en curso. El atacante podría usar después esta información para frustrar los intentos de respuesta ante un incidente, posiblemente uno iniciado por él mismo.
Por lo tanto, es fundamental asegurarse de que ha aplicado las mitigaciones adecuadas en su entorno.
Arquitectura lógica
La primera línea de defensa al introducir Security Copilot es aplicar los principios de Confianza cero a las cuentas y dispositivos del personal de administración y SecOps. También es importante asegurarse de que su organización aplica el principio de privilegios mínimos. Además de los roles específicos de Copilot, los roles asignados para el personal de administración y SecOps dentro de las herramientas de seguridad determinan a qué datos tienen acceso mientras usan Security Copilot.
Es fácil entender por qué estas mitigaciones son importantes examinando la arquitectura lógica de Security Copilot que se muestra aquí.
En el diagrama:
Los miembros del equipo de SecOps pueden solicitar el uso de una experiencia de copilot, como las que ofrece Security Copilot, Microsoft Defender XDR y Microsoft Intune.
Entre los componentes de Copilot de seguridad se incluyen:
El servicio Security Copilot, que organiza las respuestas a las solicitudes basadas en usuarios y aptitudes.
Conjunto de modelos de lenguaje grande (LLM) para Security Copilot.
Complementos para productos específicos. Se proporcionan complementos preinstalados para productos de Microsoft. Estos complementos procesarán las indicaciones antes y después de los procesos.
Los datos de la suscripción. Los datos de SecOps para registros de eventos, alertas, incidentes y directivas almacenados en las suscripciones. Para más información, consulte este artículo de Microsoft Sentinel para los orígenes de datos más comunes para productos de seguridad.
Archivos que cargue. Puede cargar archivos específicos en Security Copilot e incluirlos en el ámbito de las solicitudes.
Cada producto de seguridad de Microsoft con una experiencia de copiloto solo proporciona acceso al conjunto de datos asociado a ese producto, como registros de eventos, alertas, incidentes y directivas. Security Copilot proporciona acceso a todos los conjuntos de datos a los que el usuario tiene acceso.
Para obtener más información, consulte Introducción a Microsoft Security Copilot.
¿Cómo funciona la autenticación en nombre de con Security Copilot?
Security Copilot usa la autenticación en nombre de (OBO) proporcionada por OAuth 2.0. Consiste en un flujo de autenticación proporcionado por delegación en OAuth. Cuando un usuario de SecOps emite un mensaje, Security Copilot pasa la identidad y los permisos del usuario a través de la cadena de solicitudes. Esto impide que el usuario obtenga permiso para los recursos a los que no debe tener acceso.
Para más información sobre la autenticación delegada, consulte Plataforma de identidad de Microsoft y flujo de autenticación delegada de OAuth2.0.
Escribir indicaciones dentro de un producto de seguridad de Microsoft: ejemplo insertado para Microsoft Intune
Cuando se usa una de las experiencias insertadas de Security Copilot, el ámbito de los datos viene determinado por el contexto del producto que usa. Por ejemplo, si emite una indicación dentro de Microsoft Intune, los resultados se generan solo a partir de datos y contexto proporcionados por Microsoft Intune.
Esta es la arquitectura lógica al emitir indicaciones desde la experiencia insertada de Microsoft Intune.
En el diagrama:
Los administradores de Intune usan la experiencia de Microsoft Copilot en Intune para enviar indicaciones.
El componente Security Copilot organiza las respuestas a las solicitudes mediante:
Las MÁQUINAS virtuales para Security Copilot.
El complemento preinstalado de Microsoft Intune.
Los datos de Intune para dispositivos, directivas y posición de seguridad almacenados en su suscripción de Microsoft 365.
Integración con productos de seguridad de terceros
Security Copilot ofrece la capacidad de hospedar complementos para productos de terceros. Estos complementos de terceros proporcionan acceso a sus datos asociados. Estos complementos y sus datos asociados residen fuera del límite de confianza de seguridad de Microsoft. Por lo tanto, es importante asegurarse de que ha protegido el acceso a estas aplicaciones y sus datos asociados.
Esta es la arquitectura lógica de Security Copilot con productos de seguridad de terceros.
En el diagrama:
- Security Copilot se integra con productos de seguridad de terceros a través de complementos.
- Estos complementos proporcionan acceso a los datos asociados al producto, como registros y alertas.
- Estos componentes de terceros residen fuera del límite de confianza de seguridad de Microsoft.
Aplicación de mitigaciones de seguridad a su entorno para Security Copilot
El resto de este artículo le guía por los pasos para aplicar los principios de Confianza cero para preparar su entorno para Security Copilot.
| Paso | Tarea | Principios de confianza cero aplicados |
|---|---|---|
| 1 | Implemente o valide las directivas de identidad y acceso para el personal de administración y SecOps. | Comprobación explícita |
| 2 | Aplique privilegios mínimos a las cuentas de usuario de administrador y SecOps. | Uso del acceso con privilegios mínimos |
| 3 | Proteja los dispositivos para el acceso con privilegios. | Comprobación explícita |
| 4 | Implemente o valide los servicios de protección contra amenazas. | Dar por hecho que habrá intrusiones al sistema |
| 5 | Proteja el acceso a datos y productos de seguridad de terceros. | Comprobación explícita Utilizar el acceso con privilegios mínimos Dar por hecho que habrá intrusiones al sistema |
Hay varios enfoques que puede adoptar para incorporar al administrador y al personal de SecOps a Security Copilot mientras configura las protecciones para su entorno.
Incorporación por usuario a Security Copilot
Como mínimo, recorra una lista de comprobación para el administrador y el personal de SecOps antes de asignar un rol para Security Copilot. Esto funciona bien para equipos y organizaciones pequeños que quieren empezar con un grupo piloto o de prueba.
Implementación por fases de Security Copilot
Para entornos grandes, una implementación por fases más estándar funciona bien. En este modelo, se abordan grupos de usuarios al mismo tiempo para configurar la protección y asignar roles.
Aquí se muestra un modelo de ejemplo.
En la ilustración:
- En la fase De evaluación , elige un pequeño conjunto de usuarios de administrador y SecOps a los que quiere tener acceso a Security Copilot y aplica las protecciones de identidad y acceso y dispositivos.
- En la fase Piloto, elige el siguiente conjunto de usuarios de administrador y SecOps y aplica protecciones de identidad y acceso y de dispositivos.
- En la fase de Implementación completa, se aplican protecciones de identidad y acceso y de dispositivos para el resto de los usuarios de administrador y SecOps.
- Al final de cada fase, asigne el rol adecuado en Security Copilot a las cuentas de usuario.
Dado que diferentes organizaciones pueden estar en varias fases de la implementación de protecciones de Confianza cero para su entorno, en cada uno de estos pasos:
- Si no usa ninguna de las protecciones descritas en el paso, dedique el tiempo a probarlas e implementarlas en el administrador y el personal de SecOps antes de asignar roles que incluyan Security Copilot.
- Si ya usa algunas de las protecciones descritas en el paso, use la información del paso como lista de comprobación y compruebe que cada protección indicada se ha piloto e implementado antes de asignar roles que incluyan Security Copilot.
Paso 1. Implementación o validación de directivas de identidad y acceso para el administrador y el personal de SecOps
Para evitar que los actores malintencionados usen Security Copilot para obtener rápidamente información sobre los ciberataques, el primer paso es impedir que obtengan acceso. Debe asegurarse de esto en relación con el administrador y el personal de SecOps:
- Es obligatorio que las cuentas de usuario usen la autenticación multifactor (MFA) (para que no se pueda poner en peligro el acceso a estas tan solo adivinando las contraseñas de usuario) y es obligatorio cambiar las contraseñas de estas cuando se detecta actividad de alto riesgo.
- Los dispositivos deben cumplir las directivas de cumplimiento de dispositivos y administración de Intune.
Para obtener recomendaciones sobre directivas de identidad y acceso, consulte el paso de identidad y acceso en Confianza cero para Microsoft 365 Copilot. En función de las recomendaciones de este artículo, asegúrese de que la configuración resultante aplica las siguientes directivas para todas las cuentas de usuario del personal de SecOps y sus dispositivos:
- Usar siempre MFA para inicios de sesión
- Bloquear clientes que no admiten la autenticación moderna
- Requerir que los equipos y dispositivos móviles siguen las reglas de cumplimiento
- Los usuarios de alto riesgo deben cambiar sus contraseñas (solo para Microsoft 365 E5)
- Requerir adherirse a las directivas de cumplimiento de dispositivos de Intune
Estas recomendaciones se alinean con el nivel de protección de seguridad Especializado en las directivas de acceso a dispositivos e identidades de Confianza cero de Microsoft. En el diagrama siguiente, se muestran los tres niveles de protección recomendados: Punto inicial, Empresarial y Especializado. El nivel de protección Empresarial se recomienda como un requisito mínimo para las cuentas con privilegios.
En el diagrama, se muestran las directivas recomendadas para el acceso condicional de Microsoft Entra, el cumplimiento de dispositivos de Intune y la protección de aplicaciones de Intune para cada uno de los tres niveles:
- Punto inicial, que no requiere la administración de dispositivos.
- Se recomienda enterprise para Confianza cero y como mínimo para el acceso a Security Copilot y sus productos de seguridad de terceros y datos relacionados.
- Se recomienda una seguridad especializada para el acceso a Security Copilot y sus productos de seguridad de terceros y datos relacionados.
Cada una de estas directivas se describe con más detalle en Directivas comunes de acceso a dispositivos e identidades de Confianza cero para organizaciones de Microsoft 365.
Configuración de un conjunto independiente de directivas para usuarios con privilegios
Al configurar estas directivas para el personal de administración y SecOps, cree un conjunto independiente de directivas para estos usuarios con privilegios. Por ejemplo, no agregue los administradores al mismo conjunto de directivas que rigen el acceso de usuarios sin privilegios a aplicaciones como Microsoft 365 y Salesforce. Use un conjunto dedicado de directivas con protecciones adecuadas para las cuentas con privilegios.
Inclusión de herramientas de seguridad en el ámbito de las directivas de acceso condicional
Por ahora, no hay una manera fácil de configurar el acceso condicional para Copilot de seguridad. Sin embargo, dado que la autenticación delegada se usa para acceder a los datos dentro de las herramientas de seguridad, asegúrese de que ha configurado el acceso condicional para estas herramientas, que pueden ser Microsoft Entra ID y Microsoft Intune.
Paso 2. Aplicación de privilegios mínimos a las cuentas de usuario de administrador y SecOps
Este paso incluye la configuración de los roles adecuados en Security Copilot. También incluye revisar las cuentas de usuario de administrador y SecOps para asegurarse de que se les asigna la menor cantidad de privilegios para el trabajo que necesiten realizar.
Asignación de cuentas de usuario a roles de Copilot de seguridad
El modelo de permisos para Security Copilot incluye roles en Microsoft Entra ID y Security Copilot.
| Producto | Roles | Descripción |
|---|---|---|
| Microsoft Entra ID | Administrador de seguridad Administrador global |
Estos roles de Microsoft Entra heredan el rol de propietario de Copilot en Security Copilot. Use solo estos roles con privilegios para incorporar Security Copilot a su organización. |
| Seguridad de Copilot | Propietario de Copilot Colaborador de Copilot |
Estos dos roles incluyen el acceso para usar Security Copilot. La mayoría de los administradores y el personal de SecOps pueden usar el rol Colaborador de Copilot. El rol propietario de Copilot incluye la capacidad de publicar complementos personalizados y administrar la configuración que afecta a todo Security Copilot. |
Es importante saber que, de forma predeterminada, todos los usuarios del inquilino tienen acceso de colaborador de Copilot. Con esta configuración, el acceso a los datos de la herramienta de seguridad se rige por los permisos configurados para cada una de las herramientas de seguridad. Una ventaja de esta configuración es que las experiencias insertadas de Security Copilot están disponibles inmediatamente para el administrador y el personal de SecOps dentro de los productos que usan diariamente. Esto funciona bien si ya ha adoptado una práctica segura de acceso con privilegios mínimos dentro de la organización.
Si quiere adoptar un enfoque preconfigurado para introducir Security Copilot al administrador y al personal de SecOps mientras optimiza el acceso con privilegios mínimos en su organización, quite Todos los usuarios del rol colaborador de Copilot y agregue grupos de seguridad a medida que esté listo.
Para obtener más información, consulte estos recursos de Microsoft Security Copilot:
Configuración o revisión del acceso con privilegios mínimos para las cuentas de usuario de administrador y SecOps
Introducción a Security Copilot es un buen momento para revisar el acceso de sus cuentas de usuario de administrador y personal de SecOps para asegurarse de que sigue con el principio de privilegios mínimos para su acceso a productos específicos. Esto incluye las siguientes tareas:
- Revise los privilegios concedidos para los productos específicos con los que trabaja el administrador y el personal de SecOps. Por ejemplo, para Microsoft Entra, consulte Roles con privilegios mínimos por tarea.
- Use Microsoft Entra Privileged Identity Management (PIM) para obtener un mayor control sobre el acceso a Security Copilot.
- Use Administración de acceso con privilegios de Microsoft Purview para configurar un control de acceso pormenorizado sobre tareas de administrador con privilegios en Office 365.
Uso de Microsoft Entra Privileged Identity Management junto con Security Copilot
Microsoft Entra Privileged Identity Management (PIM) permite administrar, controlar y supervisar los roles necesarios para acceder a Security Copilot. Con PIM, puede hacer lo siguiente:
- Proporcionar la activación de roles basada en el tiempo.
- Requerir aprobación para activar los roles con privilegios.
- Exigir MFA para activar cualquier rol.
- Obtener notificaciones cuando se activan los roles con privilegios.
- Realizar revisiones de acceso para asegurarse de que las cuentas de usuario de administrador y del personal de SecOps siguen necesitando sus roles asignados.
- Realizar auditorías sobre los cambios de acceso y roles para el administrador y el personal de SecOps.
Uso de la administración de acceso con privilegios junto con Security Copilot
La administración de acceso con privilegios de Microsoft Purview ayuda a proteger a su organización frente a infracciones y ayuda a cumplir los procedimientos recomendados de cumplimiento al limitar el acceso permanente a datos confidenciales o al acceso a las opciones de configuración críticas. En lugar de que los administradores tengan acceso constante, se implementan reglas de acceso Just-In-Time para las tareas que necesitan permisos elevados. En lugar de que los administradores tengan acceso constante, se implementan reglas de acceso Just-In-Time para las tareas que necesitan permisos elevados. Para más información, consulte Administración de acceso con privilegios.
Paso 3. Protección de dispositivos para el acceso con privilegios
En el paso 1, ha configurado directivas de acceso condicional que requerían dispositivos administrados y compatibles para el administrador y el personal de SecOps. Para mayor seguridad, puede implementar dispositivos de acceso con privilegios para que el personal lo use al acceder a los datos y herramientas de seguridad, incluido Security Copilot. Un dispositivo de acceso con privilegios es una estación de trabajo protegida que tiene un control y una protección de las aplicaciones claros. La estación de trabajo usa la protección de credenciales, dispositivos, aplicaciones y frente a vulnerabilidades para proteger al host de atacantes.
Para más información sobre cómo configurar un dispositivo para el acceso con privilegios, consulte Protección de dispositivos como parte de la historia de acceso con privilegios.
Para requerir estos dispositivos, asegúrese de actualizar la directiva de cumplimiento de dispositivos de Intune. Si va a realizar la transición del administrador y del personal de SecOps a dispositivos protegidos, cambie los grupos de seguridad de la directiva de cumplimiento del dispositivo original a la nueva directiva. La regla de acceso condicional puede permanecer igual.
Paso 4. Implementación o validación de servicios de protección contra amenazas
Para detectar las actividades de actores incorrectos y evitar que obtengan acceso a Security Copilot, asegúrese de que puede detectar y responder a incidentes de seguridad con un conjunto completo de servicios de protección contra amenazas, que incluyen XDR de Microsoft Defender con Microsoft 365, Microsoft Sentinel y otros servicios y productos de seguridad.
Use los siguientes recursos.
| Ámbito | Descripción y recursos |
|---|---|
| Aplicaciones SaaS y Microsoft 365 integradas con Microsoft Entra | Consulta el artículo Confianza cero para Microsoft 365 Copilot para obtener instrucciones sobre cómo aumentar la protección contra amenazas empezando por planes de Microsoft 365 E3 y progresando con planes de Microsoft E5. Para los planes de Microsoft 365 E5, consulte también Evaluación y prueba piloto de seguridad de Microsoft Defender XDR. |
| Recursos en la nube de Azure Sus recursos en otros proveedores de nube, como Amazon Web Services (AWS) |
Use los siguientes recursos para empezar a trabajar con Defender for Cloud: - Microsoft Defender for Cloud - Aplicación de principios de Confianza cero a aplicaciones IaaS en AWS |
| Su patrimonio digital con todas las herramientas de Microsoft XDR y Microsoft Sentinel | La guía de la solución Implementación de Microsoft Sentinel y Microsoft Defender XDR para Confianza cero le muestra el proceso de configuración de las herramientas de detección y respuesta extendidas de Microsoft, junto con Microsoft Sentinel, para acelerar la capacidad de su organización para responder y corregir los ataques de ciberseguridad. |
Paso 5. Protección del acceso a datos y productos de seguridad de terceros
Si va a integrar productos de seguridad de terceros con Security Copilot, asegúrese de que ha protegido el acceso a estos productos y a los datos relacionados. La guía de Confianza cero de Microsoft incluye recomendaciones para proteger el acceso a las aplicaciones SaaS. Estas recomendaciones se pueden usar para los productos de seguridad de terceros.
Para la protección con directivas de acceso a dispositivos e identidades, los cambios en las directivas comunes para las aplicaciones SaaS se describen en rojo en el diagrama siguiente. Estas son las directivas a las que puede agregar sus productos de seguridad de terceros.
En el caso de los productos y aplicaciones de seguridad de terceros, considere la posibilidad de crear un conjunto dedicado de directivas para estos. Esto le permite tratar sus productos de seguridad con mayores requisitos en comparación con las aplicaciones de productividad, como Dropbox y Salesforce. Por ejemplo, agregue Tanium y todos los demás productos de seguridad de terceros al mismo conjunto de directivas de acceso condicional. Si quiere aplicar requisitos más estrictos para los dispositivos para el administrador y el personal de SecOps, configure también directivas únicas para el cumplimiento de dispositivos de Intune y la protección de aplicaciones de Intune y asígnelas al personal de administración y SecOps.
Para obtener más información sobre cómo agregar los productos de seguridad a Microsoft Entra ID y al ámbito del acceso condicional y las directivas relacionadas (o configurar un nuevo conjunto de directivas), consulte Agregar aplicaciones SaaS a Microsoft Entra ID y al ámbito de las directivas.
En función del producto de seguridad, podría ser adecuado usar Microsoft Defender for Cloud Apps para supervisar el uso de estas aplicaciones y aplicar controles de sesión. Además, si estas aplicaciones de seguridad incluyen almacenamiento de datos en cualquiera de los tipos de archivo admitidos por Microsoft Purview, puede usar Defender for Cloud para supervisar y proteger estos datos mediante etiquetas de confidencialidad y directivas de prevención de pérdida de datos (DLP). Para más información, consulte Integración de aplicaciones SaaS para Confianza cero con Microsoft 365.
Ejemplo del inicio de sesión único de Tanium
Tanium es un proveedor de herramientas de administración de puntos de conexión y ofrece un complemento personalizado de aptitudes de Tanium para Security Copilot. Este complemento ayuda a fundamentar las indicaciones y respuestas, que aprovechan los datos y la información recopilada por Tanium.
Esta es la arquitectura lógica de Security Copilot con el complemento Tanium Skills.
En el diagrama:
- Tanium Skills es un complemento personalizado para Microsoft Security Copilot.
- Tanium Skills proporciona acceso y ayuda a fundamentar tanto las indicaciones como las respuestas que utilizan los datos y la información recopilados por Tanium.
Para proteger el acceso a los productos de Tanium y a los datos relacionados:
- Use la Galería de aplicaciones de Microsoft Entra ID para buscar y agregar el inicio de sesión único de Tanium al inquilino. Consulte Adición de una aplicación empresarial. Para obtener un ejemplo específico de Tanium, consulte Integración del inicio de sesión único de Microsoft Entra con el inicio de sesión único de Tanium.
- Agregue el inicio de sesión único de Tanium al ámbito de las directivas de acceso e identidad de Confianza cero.
Pasos siguientes
Vea el vídeo Discover Microsoft Security Copilot (Descubrir Microsoft Security Copilot).
Consulte estos artículos adicionales para conocer sobre Confianza cero y Copilots de Microsoft:
Consulte también la documentación de Microsoft Security Copilot.
Referencias
Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.