Descrivere come abilitare Microsoft Security Copilot

  • 5 minuti

Per iniziare a usare Microsoft Security Copilot, le organizzazioni devono eseguire le operazioni necessarie per eseguire l'onboarding del servizio e degli utenti. tra cui:

  1. Effettuare il provisioning della capacità di Copilot
  2. Configurare l'ambiente predefinito
  3. Assegnare autorizzazioni per il ruolo

Effettuare il provisioning della capacità

Microsoft Security Copilot viene venduto come offerta a consumo, ovvero i clienti ricevono una fatturazione mensile in base a una capacità di cui viene effettuato il provisioning fatturata per ora. La capacità di cui viene effettuato il provisioning viene definita unità di calcolo della sicurezza (SCU). Una SCU è l'unità di misura della potenza di calcolo usata per eseguire Copilot nelle esperienze autonome e incorporate.

Prima che gli utenti possano iniziare a usare Copilot, gli amministratori devono effettuare il provisioning e allocare capacità. Per effettuare il provisioning della capacità:

  • È necessario disporre di una sottoscrizione di Azure.

  • È necessario essere almeno un proprietario di Azure o un collaboratore di Azure, a livello di gruppo di risorse.

    Tenere presente che un amministratore globale in Microsoft Entra ID non ha necessariamente il ruolo di proprietario di Azure o collaboratore di Azure per impostazione predefinita. L’assegnazione di ruoli di Microsoft Entra non concede l'accesso alle risorse di Azure. Gli amministratori globali di Microsoft Entra possono abilitare la gestione degli accessi per le risorse di Azure tramite il portale di Azure. Per informazioni dettagliate, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Dopo aver abilitato la gestione degli accessi alle risorse di Azure, è possibile configurare il ruolo di Azure appropriato.

Sono disponibili due opzioni per il provisioning della capacità:

  • Effettuare il provisioning della capacità all'interno di Security Copilot (scelta consigliata): quando si apre per la prima volta Security Copilot come amministratore, una procedura guidata illustra i passaggi per configurare la capacità per l'organizzazione. La procedura guidata richiede informazioni, tra cui la sottoscrizione di Azure, il gruppo di risorse, l'area, il nome della capacità e la quantità di SCU.
  • Effettuare il provisioning della capacità tramite Azure: il portale di Azure include ora Security Copilot come servizio. Selezionando il servizio, si apre la pagina in cui si inseriscono le informazioni, tra cui la sottoscrizione di Azure, il gruppo di risorse, l'area, il nome della capacità e la quantità di unità SCU.

Nota

Indipendentemente dal metodo scelto, è necessario acquistare almeno 1 e un massimo di 100 unità SCU.

Indipendentemente dall'approccio scelto per effettuare il provisioning della capacità, il processo accetta le informazioni e stabilisce un gruppo di risorse per il servizio Microsoft Security Copilot, all'interno della sottoscrizione di Azure. Le SCU sono una risorsa di Azure all'interno di tale gruppo di risorse. La distribuzione della risorsa di Azure può richiedere alcuni minuti.

Dopo che gli amministratori completano i passaggi per eseguire l'onboarding in Copilot, possono gestire la capacità aumentando o riducendo le SCU di cui è stato effettuato il provisioning all'interno del portale di Azure o del prodotto Microsoft Security Copilot stesso. Security Copilot offre un dashboard di monitoraggio dell'utilizzo per i proprietari della capacità che consentono loro di tenere traccia dell'utilizzo nel tempo e prendere decisioni informate sul provisioning della capacità. Come proprietario si ha visibilità sul numero di unità usate in una sessione, sui plug-in specifici impiegati durante le sessioni e sugli iniziatori di tali sessioni. Il dashboard consente anche di applicare filtri ed esportare facilmente i dati di utilizzo. Il dashboard include fino a 90 giorni di dati.

Acquisizione dello schermo che mostra il dashboard di monitoraggio dell'utilizzo.

Configurare l'ambiente predefinito

Per configurare l'ambiente predefinito, è necessario avere uno dei ruoli seguenti per l'ID di Microsoft Entra:

  • Amministratore globale
  • Amministratore della sicurezza

Durante la configurazione di Security Copilot, viene richiesto di configurare le impostazioni. tra cui:

  • Capacità di SCU: selezionare la capacità delle SCU di cui è stato effettuato il provisioning in precedenza.

  • Archiviazione dei dati: quando un'organizzazione esegue l'onboarding in Copilot, l'amministratore deve confermare la posizione geografica del tenant quando i dati dei clienti raccolti dai servizi vengono archiviati in tale posizione. Microsoft Security Copilot opera nei data center di Microsoft Azure in Unione europea (EUDB), Regno Unito, Stati Uniti, Australia e Nuova Zelanda, Giappone, Canada e America del Sud.

  • Decidere dove vengono valutate le richieste: è possibile limitare la valutazione all'interno dell'area geografica o consentire la valutazione in qualsiasi punto del mondo.

  • Registrazione dei dati di controllo in Microsoft Purview: come parte della configurazione iniziale ed elencata in Impostazioni proprietario nell'esperienza autonoma, è possibile scegliere di consentire a Microsoft Purview di elaborare e archiviare azioni di amministratore, azioni utente e risposte Copilot. Sono inclusi i dati di qualsiasi integrazione Microsoft e non Microsoft. Se si acconsente esplicitamente e si usa già Microsoft Purview, non sono necessarie altre azioni. Se si acconsente esplicitamente ma non si usa già Purview, è necessario seguire le guide di Microsoft Purview per configurare un'esperienza limitata.

    Screenshot che mostra le impostazioni per configurare la registrazione di controllo.

  • Dati dell'organizzazione: l'amministratore deve anche acconsentire esplicitamente o rifiutare esplicitamente le opzioni di condivisione dei dati. Queste opzioni fanno parte della configurazione iniziale e sono elencate anche in Impostazioni proprietario nell'esperienza autonoma. Attivare o disattivare gli interruttori per una delle opzioni seguenti:

    • Consentire a Microsoft di acquisire dati da Security Copilot per convalidare le prestazioni del prodotto usando la revisione umana: Quando è attivato, i dati dei clienti vengono condivisi con Microsoft per migliorare il prodotto. Le richieste e le risposte vengono valutate per comprendere se sono stati selezionati i plug-in corretti, se l'output è quello previsto, e come è possibile migliorare le risposte, la latenza e il formato di output.

    • Consentire a Microsoft di acquisire e esaminare i dati da Security Copilot per creare e convalidare il modello di intelligenza artificiale per la sicurezza di Microsoft: Quando è attivato, i dati dei clienti vengono condivisi con Microsoft per il miglioramento dell'intelligenza artificiale Copilot. Il consenso esplicito non consente a Microsoft di usare i dati dei clienti per eseguire il training di modelli di base. I prompt e le risposte vengono valutate per migliorare le risposte e assicurarsi che siano ciò che l'utente si aspetta e di cui ha bisogno.

      Per altre informazioni su come Microsoft gestisce i dati, vedere Sicurezza e privacy dei dati.

      Acquisizione dello schermo che mostra le impostazioni per configurare la condivisione dei dati per migliorare Copilot.

  • Impostazioni del plug-in: l'amministratore gestisce i plug-in e configura se consentire a Security Copilot di accedere ai dati dai servizi di Microsoft 365.

    • Configurare chi può aggiungere e gestire i propri plug-in personalizzati e chi può aggiungere e gestire plug-in personalizzati per tutti gli utenti dell'organizzazione.

    • Gestire la disponibilità del plug-in e limitare l'accesso. Se abilitati, agli amministratori decidono quali plug-in nuovi ed esistenti saranno disponibili per tutti gli utenti dell'organizzazione e quali saranno limitati solo ai proprietari.

    • Consentire a Security Copilot di accedere ai dati dai servizi di Microsoft 365. Se questa opzione è disattivata, l'organizzazione non sarà in grado di usare plug-in che accedono ai servizi di Microsoft 365. Attualmente, questa opzione è necessaria per l'uso del plug-in Microsoft Purview. L'impostazione e/o la modifica di questa impostazione richiede un utente con un ruolo di amministratore globale.

      Screenshot che mostra le impostazioni del plug-in e l'impostazione per consentire a Security Copilot di accedere ai dati dai servizi di Microsoft 365.

Autorizzazioni del ruolo

Per assicurarsi che gli utenti possano accedere alle funzionalità di Copilot, è necessario disporre delle autorizzazioni appropriate per il ruolo.

Le autorizzazioni possono essere assegnate usando i ruoli ID di Microsoft Entra o i ruoli di Security Copilot. Come procedura consigliata, fornire il ruolo con privilegi minimi applicabile per ogni utente.

I ruoli Microsoft Entra ID sono:

  • Amministratore globale
  • Amministratore della sicurezza
  • Operatore per la sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Anche se questi ruoli di Microsoft Entra ID concedono agli utenti diversi livelli di accesso a Copilot, l'ambito di questi ruoli si estende oltre Copilot. Per questo motivo, Security Copilot introduce due ruoli che funzionano come i gruppi di accesso, ma non sono ruoli di Microsoft Entra ID. Controllano invece solo l'accesso alle funzionalità della piattaforma Security Copilot.

I ruoli di Microsoft Security Copilot sono:

  • Proprietario di Copilot
  • Collaboratore di Copilot

I ruoli Amministratore della sicurezza e Amministratore globale in Microsoft Entra ereditano automaticamente l'accesso proprietario di Copilot.

Acquisizione dello schermo che mostra le impostazioni di assegnazione dei ruoli.

Solo gli utenti che hanno il ruolo di amministratore globale, amministratore della sicurezza o proprietario di Copilot possono assegnare ruoli in Copilot aggiungendo/rimuovendo membri dai ruoli Proprietario e Collaboratore.

Un gruppo che gli amministratori/proprietari possono includere come membro del ruolo Collaboratore è il gruppoRuoli di Microsoft Security consigliati. Questo gruppo esiste solo in Security Copilot ed è un insieme di ruoli Microsoft Entra esistenti. Quando si aggiunge questo gruppo come membro del ruolo Collaboratore, tutti gli utenti membri dei ruoli Entra ID inclusi nel gruppo dei ruoli di Microsoft Security consigliati ottengono l'accesso alla piattaforma Copilot. Questa opzione offre un modo rapido e sicuro per consentire agli utenti dell'organizzazione, che hanno già accesso ai dati di sicurezza usati da Copilot tramite un plug-in Microsoft, di accedere alla piattaforma Copilot.

Per un elenco dettagliato delle autorizzazioni concesse per ognuno di questi ruoli, vedere la sezione Assegnare ruoli in Informazioni sull'autenticazione in Microsoft Security Copilot.

Plug-in e requisiti del ruolo di Copilot

Il ruolo controlla le attività a cui si ha accesso, ad esempio la configurazione delle impostazioni, l'assegnazione di autorizzazioni o l'esecuzione di attività. Copilot non va oltre l'accesso ha l'utente. Inoltre, i singoli plug-in Microsoft possono avere i propri requisiti di ruolo per l'accesso al servizio e i dati che rappresenta. Ad esempio, un analista a cui è stato assegnato un ruolo di operatore di sicurezza o di collaboratore dell'area di lavoro Copilot è in grado di accedere al portale di Copilot e creare sessioni, ma per usare il plug-in Microsoft Sentinel sarebbe necessario un ruolo appropriato, ad esempio lettore di Microsoft Sentinel, in modo da poter accedere agli eventi imprevisti nell'area di lavoro. Per accedere ai dispositivi, ai privilegi e ai criteri disponibili tramite il plug-in Microsoft Intune, lo stesso analista richiede un altro ruolo specifico del servizio, ad esempio il ruolo di Endpoint Security Manager di Intune.

I generale, i plug-in di Microsoft in Copilot si basano sul modello OBO (On Behalf Of): ciò significa che Copilot è informato se un cliente possiede le licenze per prodotti specifici e viene automaticamente connesso a tali prodotti. Copilot può quindi accedere ai prodotti specifici quando il plug-in è abilitato e, dove possibile, i parametri sono configurati. Alcuni plug-in di Microsoft che richiedono l'installazione possono includere parametri configurabili usati per l'autenticazione al posto del modello OBO.