Descripción de cómo habilitar Microsoft Security Copilot

  • 5 minutos

Para empezar a usar Microsoft Security Copilot, las organizaciones deben tomar medidas para incorporar el servicio y los usuarios. Entre ellas se incluyen las siguientes:

  1. Aprovisionamiento de la capacidad de Copilot
  2. Configuración del entorno predeterminado
  3. Asignación de permisos de rol

Aprovisionamiento de capacidad

Microsoft Security Copilot se vende como una oferta de consumo, lo que significa que se factura mensualmente a los clientes en función de una capacidad aprovisionada que se factura por hora. La capacidad aprovisionada se conoce como una unidad de proceso de seguridad (SCU). Una SCU es la unidad de medida de la potencia informática que se usa para ejecutar Copilot en las experiencias independientes e insertadas.

Para que los usuarios puedan empezar a usar Copilot, los administradores deben aprovisionar y asignar capacidad. Para aprovisionar capacidad:

  • Debe tener una suscripción de Azure.

  • Debes ser propietario de Azure o colaborador de Azure, en un nivel de grupo de recursos, como mínimo.

    Tenga en cuenta que un administrador global de Microsoft Entra ID no tiene necesariamente el rol de propietario o colaborador de Azure de forma predeterminada. Las asignaciones de roles de Microsoft Entra no conceden acceso a los recursos de Azure. Como administrador global de Microsoft Entra, puede habilitar la administración de acceso para los recursos de Azure a través de Azure Portal. Para obtener más detalles, consulte Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure. Una vez que haya habilitado la administración de acceso a los recursos de Azure, puede configurar el rol de Azure adecuado.

Hay dos opciones para la capacidad de aprovisionamiento:

  • Aprovisionar capacidad en Security Copilot (recomendado): cuando abra por primera vez Security Copilot como administrador, un asistente le guiará por los pasos necesarios para configurar la capacidad de su organización. El asistente le pide información, incluida la suscripción de Azure, el grupo de recursos, la región, el nombre de la capacidad y la cantidad de SCU.
  • Aprovisionamiento de capacidad a través de Azure: Azure Portal ahora incluye Security Copilot como servicio. Al seleccionar el servicio, se abre la página en la que se incluye la información de entrada, incluida la suscripción de Azure, el grupo de recursos, la región, el nombre de la capacidad y la cantidad de SKU.

Nota:

Independientemente del método que elija, deberá comprar un mínimo de 1 y un máximo de 100 SCU.

Independientemente del enfoque que decida para aprovisionar la capacidad, el proceso toma la información y establece un grupo de recursos para el servicio Microsoft Security Copilot, dentro de la suscripción de Azure. Las SCU son un recurso de Azure dentro de ese grupo de recursos. La implementación del recurso de Azure puede tardar unos minutos.

Una vez que los administradores completen los pasos para incorporarse a Copilot, pueden administrar la capacidad aumentando o disminuyendo las SCU aprovisionadas dentro de Azure Portal o el propio producto de Microsoft Security Copilot. Security Copilot proporciona un panel de supervisión de uso para los propietarios de capacidad que les permite realizar un seguimiento del uso a lo largo del tiempo y tomar decisiones fundamentadas sobre el aprovisionamiento de capacidad. Como propietario, tiene visibilidad sobre el número de unidades usadas en una sesión, los complementos específicos empleados durante las sesiones y los iniciadores de esas sesiones. El panel también permite aplicar filtros y exportar datos de uso sin problemas. El panel incluye hasta 90 días de datos.

Captura de pantalla que muestra el panel de supervisión de uso.

Configuración del entorno predeterminado

Para configurar el entorno predeterminado, debe tener uno de los siguientes roles de Microsoft Entra ID:

  • Administrador global
  • Administrador de seguridad

Durante la configuración de Seguridad de Copilot, se te pide que configures los valores. Entre ellas se incluyen las siguientes:

  • Capacidad de SCU: selecciona la capacidad de las SCU aprovisionadas anteriormente.

  • Almacenamiento de datos: cuando una organización se incorpora a Copilot, el administrador debe confirmar la ubicación geográfica del inquilino, ya que los datos del cliente recopilados por los servicios se almacenan allí. Seguridad de Microsoft Copilot opera en los centros de datos de Microsoft Azure de la Unión Europea (EUDB), Reino Unido, Estados Unidos, Australia y Nueva Zelanda, Japón, Canadá y Sudamérica.

  • Decidir dónde se evalúan las solicitudes: puede restringir la evaluación dentro de la región geográfica o permitir la evaluación en cualquier lugar del mundo.

  • Registro de datos de auditoría en Microsoft Purview: como parte de la configuración inicial, que se muestra en la configuración del propietario en la experiencia independiente, puede optar por permitir que Microsoft Purview procese y almacene acciones de administrador, acciones de usuario y respuestas de Copilot. Esto incluye datos de cualquier integración de Microsoft y que no sea de Microsoft. Si participas y ya usas Microsoft Purview, no es necesario realizar ninguna otra acción. Si opta por participar, pero aún no usa Purview, debe seguir las guías de Microsoft Purview para configurar una experiencia limitada.

    Recorte de pantalla que muestra la configuración de cómo puede configurar el registro de auditoría.

  • Datos de su organización: el administrador también debe participar o no en las opciones de uso compartido de datos. Estas opciones forman parte de la configuración inicial y también se muestran en la configuración del propietario en la experiencia independiente. Activa o desactiva los botones de alternancia de cualquiera de las siguientes opciones:

    • Permitir a Microsoft capturar datos de Seguridad de Copilot para validar el rendimiento del producto mediante la revisión humana: cuando se activa, los datos del cliente se comparten con Microsoft para mejorar el producto. Los mensajes y respuestas se evalúan para comprender si se seleccionaron los complementos adecuados, si la salida es la esperada, cómo se pueden mejorar las respuestas, la latencia y el formato de salida.

    • Permitir a Microsoft capturar y revisar los datos humanos de Seguridad de Copilot para crear y validar el modelo de IA de seguridad de Microsoft: cuando se activa, los datos del cliente se comparten con Microsoft para mejorar Copilot AI. La participación NO permite a Microsoft usar datos del cliente para entrenar modelos fundamentales. Las solicitudes y respuestas se evalúan para mejorar las respuestas y asegurarse de que son lo que se espera y resultan útiles.

      Para más información sobre cómo Microsoft controla los datos, vea Seguridad y privacidad de los datos.

      Captura de pantalla que muestra la configuración de cómo puede configurar el uso compartido de datos para ayudar a mejorar Copilot.

  • Configuración del complemento: el administrador administra los complementos y configura si se permite que Security Copilot acceda a los datos de los servicios de Microsoft 365.

    • Configure quién puede agregar y administrar sus propios complementos personalizados y quién puede agregar y administrar complementos personalizados para todos los usuarios de la organización.

    • Administre la disponibilidad del complemento y restrinja el acceso. Cuando se habilita, los administradores deciden qué complementos nuevos y existentes estarán disponibles para todos los usuarios de su organización y cuáles solo se restringirán a los propietarios.

    • Permitir que Seguridad de Copilot acceda a los datos de los servicios de Microsoft 365. Si esta opción está desactivada, tu organización no podrá usar complementos que accedan a los servicios de Microsoft 365. Actualmente, esta opción es necesaria para usar el complemento de Microsoft Purview. La configuración o el cambio de esta configuración requiere un usuario con un rol de administrador global.

      Recorte de pantalla que muestra la configuración del complemento y la configuración para permitir que Security Copilot acceda a los datos de los servicios de Microsoft 365.

Permisos de los roles

Para asegurarse de que los usuarios puedan acceder a las características de Copilot, deben tener los permisos de rol adecuados.

Los permisos se pueden asignar mediante roles de Microsoft Entra ID o de Seguridad de Copilot. Como procedimiento recomendado, proporciona el rol con menos privilegios aplicable a cada usuario.

Los roles de Microsoft Entra ID son:

  • Administrador global
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad

Aunque estos roles de Microsoft Entra ID conceden a los usuarios distintos niveles de acceso a Copilot, el ámbito de estos roles se extiende más allá de Copilot. Por este motivo, Seguridad de Copilot presenta dos roles que funcionan como grupos de acceso, pero que no son roles de Microsoft Entra ID. En su lugar, solo controlan el acceso a las funcionalidades de la plataforma de Seguridad de Copilot.

Los roles de Seguridad de Microsoft Copilot son:

  • Propietario de Copilot
  • Colaborador de Copilot

Los roles Administrador de seguridad y Administrador global de Microsoft Entra heredan automáticamente el acceso de propietario de Copilot.

Captura de pantalla que muestra la configuración de asignación de roles.

Solo los usuarios que tienen los roles de administrador global, administrador de seguridad o propietario de Copilot pueden realizar asignaciones de roles en Copilot al agregar o quitar miembros de los roles Propietario y Colaborador.

Un grupo que los administradores/propietarios pueden incluir como miembro del rol Colaborador es el grupo Roles de Microsoft Security recomendados. Este grupo solo existe en Security Copilot y es una agrupación de roles existentes de Microsoft Entra. Al agregar este grupo como miembro del rol Colaborador, todos los usuarios que son miembros de los roles de Entra ID que están incluidos en el grupo de roles de Microsoft Security recomendados obtienen acceso a la plataforma de Copilot. Esta opción proporciona una manera rápida y segura de proporcionar a los usuarios de su organización, que ya tienen acceso a los datos de seguridad usados por Copilot a través de un complemento de Microsoft, acceso a la plataforma de Copilot.

Para obtener una lista detallada de los permisos concedidos para cada uno de estos roles, consulte la sección Asignación de roles en Descripción de la autenticación en Microsoft Security Copilot.

Requisitos de roles y complementos de Copilot

El rol controla las actividades a las que tiene acceso, como la configuración de opciones, la asignación de permisos o la realización de tareas. Copilot no va más allá del acceso que tenga. Además, los complementos individuales de Microsoft pueden tener sus propios requisitos de rol para acceder al servicio y los datos que representa. Por ejemplo, un analista al que se le ha asignado un rol de operador de seguridad o un rol Colaborador del área de trabajo de Copilot puede acceder al portal de Copilot y crear sesiones, pero para usar el complemento de Microsoft Sentinel necesitará un rol adecuado, como lector de Microsoft Sentinel, que le permita acceder a incidentes en el área de trabajo. Para acceder a los dispositivos, privilegios y directivas disponibles mediante el complemento de Microsoft Intune, ese mismo analista necesitaría otro rol específico del servicio, como el de Administrador de seguridad de puntos de conexión de Intune.

En términos generales, los complementos de Microsoft en Copilot usan el modelo OBO (en nombre de), lo que significa que Copilot sabe que un cliente tiene licencias para productos específicos y se inicia sesión automáticamente en esos productos. Después, Seguridad de Copilot puede acceder a los productos específicos cuando el plugin está habilitado y, si procede, se configuran los parámetros. Algunos de los complementos de Microsoft que requieren configuración pueden incluir parámetros configurables que se usan para la autenticación en lugar del modelo OBO.