Applicare principi zero trust a Microsoft Security Copilot
Riepilogo: per applicare i principi Zero Trust all'ambiente per Microsoft Security Copilot, è necessario applicare cinque livelli di protezione:
- Proteggere gli account utente amministratore e secOps con criteri di identità e accesso.
- Applicare l'accesso con privilegi minimi agli account utente amministratore e del personale SecOps, inclusa l'assegnazione dei ruoli minimi dell'account utente.
- Gestire e proteggere i dispositivi del personale secops e amministratore.
- Distribuire o convalidare la protezione dalle minacce.
- Proteggere l'accesso ai prodotti di sicurezza di terze parti integrati con Security Copilot.
Introduzione
Nell'ambito dell'introduzione di Microsoft Security Copilot nell'ambiente in uso, Microsoft consiglia di creare una solida base di sicurezza per gli account utente e gli account utente e i dispositivi del personale di SecOps e dell'amministratore. Microsoft consiglia anche di assicurarsi di aver configurato gli strumenti di protezione dalle minacce. Se si integrano prodotti di sicurezza di terze parti con Security Copilot, assicurarsi anche di aver protetto l'accesso a questi prodotti e ai dati correlati.
Fortunatamente, le linee guida per una solida base di sicurezza esistono sotto forma di Zero Trust. La strategia di sicurezza Zero Trust considera ogni connessione e richiesta di risorsa come se provenise da una rete non controllata e da un attore non valido. Indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede, Zero Trust ci insegna a "non fidarsi mai, sempre verificare".
All'interno dei portali di sicurezza, Security Copilot offre un linguaggio naturale, un'esperienza di copilot assistive che consente di supportare:
Professionisti della sicurezza in scenari end-to-end, ad esempio risposta agli eventi imprevisti, ricerca di minacce, raccolta di informazioni e gestione del comportamento.
Professionisti IT nella valutazione e configurazione dei criteri, nella risoluzione dei problemi di accesso ai dispositivi e degli utenti e nel monitoraggio delle prestazioni.
Security Copilot usa i dati di registri eventi, avvisi, eventi imprevisti e criteri per le sottoscrizioni e i prodotti di sicurezza Microsoft e di terze parti. Se un utente malintenzionato compromette un account utente amministratore o del personale di sicurezza a cui è stato assegnato un ruolo di Copilot di sicurezza, può usare Security Copilot e i risultati per comprendere in che modo il team SecOps sta affrontando gli attacchi in corso. Un utente malintenzionato può quindi usare queste informazioni per contrastare i tentativi di rispondere a un evento imprevisto, possibilmente uno avviato.
Di conseguenza, è fondamentale assicurarsi di aver applicato mitigazioni appropriate all'interno dell'ambiente.
Architettura logica
La prima linea di difesa quando si introduce Security Copilot consiste nell'applicare i principi di Zero Trust agli account e ai dispositivi del personale amministratore e SecOps. È anche importante assicurarsi che l'organizzazione applichi il principio dei privilegi minimi. Oltre ai ruoli specifici di Copilot, i ruoli assegnati per il personale amministratore e SecOps all'interno degli strumenti di sicurezza determinano i dati a cui hanno accesso durante l'uso di Security Copilot.
È facile capire perché queste mitigazioni sono importanti esaminando l'architettura logica di Security Copilot illustrata di seguito.
Nel diagramma:
I membri del team SecOps possono richiedere l'uso di un'esperienza copilota, ad esempio quelle offerte da Security Copilot, Microsoft Defender XDR e Microsoft Intune.
I componenti di Security Copilot includono:
Il servizio Security Copilot, che orchestra le risposte alle richieste basate su utenti e competenze.
Set di modelli di linguaggio di grandi dimensioni per Security Copilot.
Plug-in per prodotti specifici. Sono disponibili plug-in preinstallati per i prodotti Microsoft. Questi plug-in pre-elaborano e post-elaborazione richieste.
Dati della sottoscrizione. Dati SecOps per registri eventi, avvisi, eventi imprevisti e criteri archiviati nelle sottoscrizioni. Per altre informazioni, vedere questo articolo di Microsoft Sentinel per le origini dati più comuni per i prodotti per la sicurezza.
File caricati. È possibile caricare file specifici in Security Copilot e includerli nell'ambito delle richieste.
Ogni prodotto di sicurezza Microsoft con un'esperienza copilot fornisce solo l'accesso al set di dati associato a tale prodotto, ad esempio registri eventi, avvisi, eventi imprevisti e criteri. Security Copilot fornisce l'accesso a tutti i set di dati a cui l'utente ha accesso.
Per altre informazioni, vedere Introduzione a Microsoft Security Copilot.
Come funziona l'autenticazione on-behalf-of con Security Copilot?
Security Copilot usa l'autenticazione on-behalf-of (OBO) fornita da OAuth 2.0. Si tratta di un flusso di autenticazione fornito dalla delega in OAuth. Quando un utente SecOps invia una richiesta, Security Copilot passa l'identità e le autorizzazioni dell'utente tramite la catena di richieste. Ciò impedisce all'utente di ottenere l'autorizzazione per le risorse per le quali non deve avere accesso.
Per altre informazioni sull'autenticazione OBO, vedere Flusso On-Behalf-Of di Microsoft Identity Platform e OAuth2.0.
Richiesta all'interno di un prodotto di sicurezza Microsoft: esempio incorporato per Microsoft Intune
Quando si usa una delle esperienze incorporate di Security Copilot, l'ambito dei dati è determinato dal contesto del prodotto in uso. Ad esempio, se si invia una richiesta all'interno di Microsoft Intune, i risultati vengono generati solo dai dati e dal contesto forniti da Microsoft Intune.
Ecco l'architettura logica quando si emettono richieste dall'esperienza incorporata di Microsoft Intune.
Nel diagramma:
Gli amministratori di Intune usano l'esperienza Microsoft Copilot in Intune per inviare richieste.
Il componente Security Copilot orchestra le risposte alle richieste usando:
The LLMs for Security Copilot.
Plug-in preinstallato di Microsoft Intune.
I dati di Intune per dispositivi, criteri e comportamento di sicurezza archiviati nella sottoscrizione di Microsoft 365.
Integrazione con prodotti di sicurezza di terze parti
Security Copilot offre la possibilità di ospitare plug-in per prodotti di terze parti. Questi plug-in di terze parti forniscono l'accesso ai dati associati. Questi plug-in e i relativi dati associati risiedono al di fuori del limite di attendibilità della sicurezza Microsoft. Di conseguenza, è importante assicurarsi di avere protetto l'accesso a queste applicazioni e ai relativi dati associati.
Ecco l'architettura logica di Security Copilot con prodotti di sicurezza di terze parti.
Nel diagramma:
- Security Copilot si integra con prodotti di sicurezza di terze parti tramite plug-in.
- Questi plug-in forniscono l'accesso ai dati associati al prodotto, ad esempio log e avvisi.
- Questi componenti di terze parti si trovano all'esterno del limite di attendibilità della sicurezza Microsoft.
Applicazione delle mitigazioni della sicurezza all'ambiente per Security Copilot
Il resto di questo articolo illustra i passaggi per applicare i principi di Zero Trust per preparare l'ambiente per Security Copilot.
| Passaggio | Attività | Principi zero trust applicati |
|---|---|---|
| 1 | Distribuire o convalidare i criteri di identità e accesso per il personale amministratore e SecOps. | Verificare esplicita |
| 2 | Applicare privilegi minimi agli account utente admin e SecOps. | Usare l'accesso con privilegi minimi |
| 3 | Proteggere i dispositivi per l'accesso con privilegi. | Verificare esplicita |
| 4 | Distribuire o convalidare i servizi di protezione dalle minacce. | Presunzione di violazione |
| 5 | Proteggere l'accesso a prodotti e dati di sicurezza di terze parti. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
Esistono diversi approcci che è possibile adottare per l'onboarding dell'amministratore e del personale SecOps in Security Copilot mentre si configurano le protezioni per l'ambiente.
Onboarding per utente in Security Copilot
Esaminare almeno un elenco di controllo per il personale amministratore e SecOps prima di assegnare un ruolo per Security Copilot. Questo funziona bene per i team e le organizzazioni di piccole dimensioni che vogliono iniziare con un gruppo di test o pilota.
Distribuzione in più fasi di Security Copilot
Per ambienti di grandi dimensioni, una distribuzione in più fasi standard funziona correttamente. In questo modello si indirizzano contemporaneamente gruppi di utenti per configurare la protezione e assegnare ruoli.
Ecco un modello di esempio.
Nell'illustrazione:
- Nella fase Di valutazione si sceglie un piccolo set di utenti amministratori e SecOps a cui si vuole accedere a Security Copilot e si applicano le protezioni di identità e accesso e dispositivi.
- Nella fase pilota selezionare il set successivo di utenti admin e SecOps e applicare identità e accesso e protezioni dei dispositivi.
- Nella fase di distribuzione completa si applicano le protezioni di identità e accesso e dispositivo per il resto degli utenti amministratore e SecOps.
- Alla fine di ogni fase, si assegna il ruolo appropriato in Security Copilot agli account utente.
Poiché le diverse organizzazioni possono essere in varie fasi della distribuzione di protezioni Zero Trust per il proprio ambiente, in ognuno di questi passaggi:
- Se non si usa una delle protezioni descritte nel passaggio, dedicare il tempo necessario alla distribuzione pilota e alla distribuzione nel personale amministratore e SecOps prima di assegnare ruoli che includono Security Copilot.
- Se si usano già alcune delle protezioni descritte nel passaggio, usare le informazioni nel passaggio come elenco di controllo e verificare che ogni protezione dichiarata sia stata pilotata e distribuita prima di assegnare ruoli che includono Security Copilot.
Passaggio 1: Distribuire o convalidare i criteri di identità e accesso per il personale amministratore e SecOps
Per impedire agli attori malintenzionati di usare Security Copilot per ottenere rapidamente informazioni sui attacchi informatici, il primo passaggio consiste nel impedire loro di ottenere l'accesso. È necessario assicurarsi che il personale amministratore e SecOps:
- Gli account utente devono usare l'autenticazione a più fattori (MFA) (in modo che l'accesso non possa essere compromesso indovinando solo le password utente) e devono modificare le password quando viene rilevata un'attività ad alto rischio.
- I dispositivi devono essere conformi ai criteri di gestione e conformità dei dispositivi di Intune.
Per le raccomandazioni sui criteri di identità e accesso, vedere il passaggio identità e accesso in Zero Trust per Microsoft 365 Copilot. In base alle raccomandazioni riportate in questo articolo, assicurarsi che la configurazione risultante applichi i criteri seguenti per tutti gli account utente del personale SecOps e i relativi dispositivi:
- Usare sempre MFA per gli accessi
- Bloccare i client che non supportano l'autenticazione moderna
- Richiedere PC e dispositivi mobili conformi
- Gli utenti ad alto rischio devono modificare la password (solo per Microsoft 365 E5)
- Richiedere l'adesione ai criteri di conformità dei dispositivi di Intune
Queste raccomandazioni sono allineate al livello di protezione della sicurezza specializzato nei criteri di identità Zero Trust e accesso ai dispositivi di Microsoft. Il diagramma seguente illustra i tre livelli di protezione consigliati: Punto di partenza, Enterprise e Specialized. Il livello di protezione aziendale è consigliato come minimo per gli account con privilegi.
Nel diagramma vengono illustrati i criteri consigliati per l'accesso condizionale Microsoft Entra, la conformità dei dispositivi di Intune e la protezione delle app di Intune per ognuno dei tre livelli:
- Punto di partenza, che non richiede la gestione dei dispositivi.
- Enterprise è consigliato per Zero Trust e come minimo per l'accesso a Security Copilot e ai prodotti di sicurezza di terze parti e ai dati correlati.
- La sicurezza specializzata è consigliata per l'accesso a Security Copilot e ai prodotti di sicurezza di terze parti e ai dati correlati.
Ognuno di questi criteri è descritto in modo più dettagliato in Common Zero Trust identity and device access policies for Microsoft 365 organizations (Criteri di identità Zero Trust comuni e criteri di accesso dei dispositivi per le organizzazioni di Microsoft 365).
Configurare un set separato di criteri per gli utenti con privilegi
Quando si configurano questi criteri per il personale amministratore e SecOps, creare un set separato di criteri per questi utenti con privilegi. Ad esempio, non aggiungere gli amministratori allo stesso set di criteri che regolano l'accesso degli utenti senza privilegi alle app come Microsoft 365 e Salesforce. Usare un set dedicato di criteri con protezioni appropriate per gli account con privilegi.
Includere gli strumenti di sicurezza nell'ambito dei criteri di accesso condizionale
Per il momento, non esiste un modo semplice per configurare l'accesso condizionale per Security Copilot. Tuttavia, poiché l'autenticazione on-behalf-of viene usata per accedere ai dati all'interno degli strumenti di sicurezza, assicurarsi di aver configurato l'accesso condizionale per questi strumenti, che può includere Microsoft Entra ID e Microsoft Intune.
Passaggio 2. Applicare privilegi minimi agli account utente admin e SecOps
Questo passaggio include la configurazione dei ruoli appropriati all'interno di Security Copilot. Include anche la revisione degli account utente amministratore e SecOps per assicurarsi che vengano assegnati il minor numero di privilegi per il lavoro che si intende eseguire.
Assegnare account utente ai ruoli di Copilot di sicurezza
Il modello di autorizzazioni per Security Copilot include ruoli sia in Microsoft Entra ID che in Security Copilot.
| Prodotto | Ruoli | Descrizione |
|---|---|---|
| Microsoft Entra ID | Amministratore della sicurezza Amministratore globale |
Questi ruoli di Microsoft Entra ereditano il ruolo di proprietario di Copilot in Security Copilot. Usare questi ruoli con privilegi solo per eseguire l'onboarding di Security Copilot nell'organizzazione. |
| Security Copilot | Proprietario di Copilot Collaboratore di Copilot |
Questi due ruoli includono l'accesso per l'uso di Security Copilot. La maggior parte del personale amministratore e SecOps può usare il ruolo collaboratore copilot. Il ruolo di proprietario di Copilot include la possibilità di pubblicare plug-in personalizzati e di gestire le impostazioni che influiscono su tutti i Copilot di sicurezza. |
È importante sapere che, per impostazione predefinita, a tutti gli utenti del tenant viene concesso l'accesso collaboratore di Copilot. Con questa configurazione, l'accesso ai dati degli strumenti di sicurezza è regolato dalle autorizzazioni configurate per ognuno degli strumenti di sicurezza. Un vantaggio di questa configurazione è che le esperienze incorporate di Security Copilot sono immediatamente disponibili per il personale amministratore e SecOps all'interno dei prodotti che usano quotidianamente. Ciò funziona bene se è già stata adottata una pratica avanzata di accesso con privilegi minimi all'interno dell'organizzazione.
Se si vuole adottare un approccio a fasi per l'introduzione di Security Copilot al personale amministratore e SecOps mentre si ottimizza l'accesso con privilegi minimi nell'organizzazione, rimuovere Tutti gli utenti dal ruolo collaboratore copilot e aggiungere i gruppi di sicurezza quando si è pronti.
Per altre informazioni, vedere queste risorse di Microsoft Security Copilot:
Configurazione o revisione dell'accesso con privilegi minimi per gli account utente amministratore e SecOps
L'introduzione di Security Copilot è un ottimo momento per esaminare l'accesso degli account utente del personale amministratore e SecOps per assicurarsi di seguire con il principio dei privilegi minimi per l'accesso a prodotti specifici. Prevede le seguenti attività:
- Esaminare i privilegi concessi per i prodotti specifici con cui il personale amministratore e SecOps collaborano. Ad esempio, per Microsoft Entra, vedere Ruoli con privilegi minimi per attività.
- Usare Microsoft Entra Privileged Identity Management (PIM) per ottenere un maggiore controllo sull'accesso a Security Copilot.
- Usare Microsoft Purview Privileged Access Management per configurare un controllo di accesso granulare sulle attività di amministrazione con privilegi in Office 365.
Uso di Microsoft Entra Privileged Identity Management insieme a Security Copilot
Microsoft Entra Privileged Identity Management (PIM) consente di gestire, controllare e monitorare i ruoli necessari per accedere a Security Copilot. Con PIM è possibile:
- Fornire l'attivazione del ruolo basata sul tempo.
- Richiedere l'approvazione per attivare i ruoli con privilegi.
- Applicare l'autenticazione a più fattori per attivare qualsiasi ruolo.
- Ricevere notifiche all'attivazione dei ruoli con privilegi.
- Eseguire verifiche di accesso per garantire che gli account utente del personale di Amministratore e SecOps abbiano ancora bisogno dei ruoli assegnati.
- Eseguire controlli sulle modifiche di accesso e ruolo per il personale amministratore e SecOps.
Uso della gestione degli accessi con privilegi insieme a Security Copilot
Microsoft Purview Privileged Access Management consente di proteggere l'organizzazione dalle violazioni e di soddisfare le procedure consigliate di conformità limitando l'accesso permanente ai dati sensibili o l'accesso alle impostazioni di configurazione critiche. Invece di consentire agli amministratori un accesso costante, vengono implementate regole di accesso just-in-time per le attività che richiedono autorizzazioni elevate. Invece di consentire agli amministratori un accesso costante, vengono implementate regole di accesso just-in-time per le attività che richiedono autorizzazioni elevate. Per altre informazioni, vedere Privileged Access Management.
Passaggio 3. Proteggere i dispositivi per l'accesso con privilegi
Nel passaggio 1 sono stati configurati criteri di accesso condizionale che richiedevano dispositivi gestiti e conformi per il personale amministratore e SecOps. Per maggiore sicurezza, è possibile distribuire dispositivi di accesso con privilegi per il personale da usare per l'accesso a strumenti e dati di sicurezza, tra cui Security Copilot. Un dispositivo con accesso con privilegi è una workstation con protezione avanzata con controllo chiaro delle applicazioni e protezione delle applicazioni. La workstation usa credential guard, device guard, app guard e protezione dagli exploit per proteggere l'host da utenti malintenzionati.
Per altre informazioni su come configurare un dispositivo per l'accesso con privilegi, vedere Protezione dei dispositivi come parte della storia di accesso con privilegi.
Per richiedere questi dispositivi, assicurarsi di aggiornare i criteri di conformità dei dispositivi di Intune. Se si sta eseguendo la transizione del personale amministratore e SecOps ai dispositivi con protezione avanzata, eseguire la transizione dei gruppi di sicurezza dai criteri di conformità dei dispositivi originali ai nuovi criteri. La regola di accesso condizionale può rimanere invariata.
Passaggio 4. Distribuire o convalidare i servizi di protezione dalle minacce
Per rilevare le attività degli attori malintenzionati e impedire loro di ottenere l'accesso a Security Copilot, assicurarsi di poter rilevare e rispondere agli eventi imprevisti di sicurezza con una suite completa di servizi di protezione dalle minacce, che includono Microsoft Defender XDR con Microsoft 365, Microsoft Sentinel e altri servizi e prodotti di sicurezza.
Usare le risorse seguenti.
| Ambito | Descrizione e risorse |
|---|---|
| App Microsoft 365 e SaaS integrate con Microsoft Entra | Vedere l'articolo Zero Trust for Microsoft 365 Copilot per indicazioni su come aumentare la protezione dalle minacce a partire dai piani di Microsoft 365 E3 e sull'avanzamento con i piani di Microsoft E5. Per i piani di Microsoft 365 E5, vedere anche Valutare e pilotare la sicurezza di Microsoft Defender XDR. |
| Risorse cloud di Azure Risorse in altri provider di servizi cloud, ad esempio Amazon Web Services (AWS) |
Usare le risorse seguenti per iniziare a usare Defender per il cloud: - Microsoft Defender per il cloud - Applicare principi Zero Trust alle applicazioni IaaS in AWS |
| Digital estate con tutti gli strumenti microsoft XDR e Microsoft Sentinel | La guida alla soluzione Implementa Microsoft Sentinel e Microsoft Defender XDR for Zero Trust illustra il processo di configurazione degli strumenti di rilevamento e risposta automatica Microsoft insieme a Microsoft Sentinel per accelerare la capacità dell'organizzazione di rispondere e correggere gli attacchi alla cybersecurity. |
Passaggio 5. Proteggere l'accesso a prodotti e dati di sicurezza di terze parti
Se si integrano prodotti di sicurezza di terze parti con Security Copilot, assicurarsi di avere accesso protetto a questi prodotti e ai dati correlati. Le linee guida di Microsoft Zero Trust includono raccomandazioni per proteggere l'accesso alle app SaaS. Questi consigli possono essere usati per i prodotti di sicurezza di terze parti.
Per la protezione con i criteri di accesso alle identità e ai dispositivi, le modifiche ai criteri comuni per le app SaaS sono descritte in rosso nel diagramma seguente. Questi sono i criteri a cui è possibile aggiungere i prodotti di sicurezza di terze parti.
Per i prodotti e le app di sicurezza di terze parti, è consigliabile creare un set dedicato di criteri. In questo modo è possibile gestire i prodotti di sicurezza con requisiti maggiori rispetto alle app per la produttività, ad esempio Dropbox e Salesforce. Ad esempio, aggiungere Tanium e tutti gli altri prodotti di sicurezza di terze parti allo stesso set di criteri di accesso condizionale. Se si vogliono applicare requisiti più rigorosi per i dispositivi per il personale amministratore e SecOps, configurare anche criteri univoci per la conformità dei dispositivi di Intune e la protezione delle app di Intune e assegnare questi criteri al personale amministratore e SecOps.
Per altre informazioni sull'aggiunta dei prodotti di sicurezza all'ID Microsoft Entra e all'ambito dei criteri correlati e dell'accesso condizionale (o configurazione di un nuovo set di criteri), vedere Aggiungere app SaaS all'ID Microsoft Entra e all'ambito dei criteri.
A seconda del prodotto di sicurezza, potrebbe essere opportuno usare Microsoft Defender per il cloud App per monitorare l'uso di queste app e applicare i controlli sessione. Inoltre, se queste app di sicurezza includono l'archiviazione dei dati in uno dei tipi di file supportati da Microsoft Purview, è possibile usare Defender per il cloud per monitorare e proteggere questi dati usando etichette di riservatezza e criteri di prevenzione della perdita dei dati (DLP). Per altre informazioni, vedere Integrare app SaaS per Zero Trust con Microsoft 365.
Esempio per l'accesso Single Sign-On di Tanium
Tanium è un provider di strumenti di gestione degli endpoint e offre un plug-in Tanium Skills personalizzato per Security Copilot. Questo plug-in aiuta le richieste di base e le risposte che sfruttano informazioni e informazioni raccolte da Tanium.
Ecco l'architettura logica di Security Copilot con il plug-in Tanium Skills.
Nel diagramma:
- Tanium Skills è un plug-in personalizzato per Microsoft Security Copilot.
- Tanium Skills fornisce l'accesso a e aiuta a mettere a terra sia richieste che risposte che usano informazioni e informazioni raccolte tanium.
Per proteggere l'accesso ai prodotti Tanium e ai dati correlati:
- Usare Microsoft Entra ID Application Gallery per trovare e aggiungere Tanium SSO al tenant. Vedere Aggiungere un'applicazione aziendale. Per un esempio specifico di Tanium, vedere Integrazione di Microsoft Entra SSO con Tanium SSO.
- Aggiungere Tanium SSO all'ambito dei criteri di accesso e identità Zero Trust.
Passaggi successivi
Guarda il video Discover Microsoft Security Copilot.
Vedere questi articoli aggiuntivi per Zero Trust e Copilots di Microsoft:
Vedere anche la documentazione di Microsoft Security Copilot.
Riferimenti
Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.