다음을 통해 공유

파트너에게 Microsoft Security Copilot 대한 액세스 권한 부여

  • 아티클

MSSP(Microsoft Managed Security Solution Provider)로 작업하는 경우 액세스 권한을 부여할 때만 Security Copilot 기능에 액세스해야 합니다.

파트너가 Security Copilot 관리할 수 있도록 하는 몇 가지 방법이 있습니다.

  1. Azure Lighthouse
    MSSP를 승인하여 Microsoft Sentinel 작업 영역 및 기타 지원되는 Azure 리소스에 대한 Security Copilot 권한을 얻습니다. 사용되는 SCU(용량 계획)는 파트너 테넌트의 용량 계획입니다.

  2. GDAP (권장)
    MSSP를 승인하여 테넌트에서 Security Copilot 권한을 얻습니다. GDAP(세분화된 위임 관리 권한)를 사용하는 데 필요한 권한을 보안 그룹에 할당합니다. 사용되는 SCU(용량 계획)는 고객의 용량 계획입니다.

  3. B2B 협업
    테넌트 로그인을 위해 파트너의 개인에 대한 게스트 계정을 설정합니다. 사용되는 SCU(용량 계획)는 고객 테넌트의 용량 계획입니다.

두 방법 모두에 대한 절충이 있습니다. 다음 표를 사용하여 organization 가장 적합한 방법을 결정할 수 있습니다. 전체 파트너 전략을 위해 두 가지 방법을 혼합할 수 있습니다.

고려 사항 GDAP B2B 협업 Azure Lighthouse
시간 제한 액세스는 어떻게 구현하나요? 액세스는 기본적으로 시간이 제한되며 권한 승인 프로세스에 기본으로 사용됩니다. 시간 제한 액세스가 있는 PIM(Privileged Identity Management)은 가능하지만 고객이 유지 관리해야 합니다. 시간 바인딩된 액세스가 있는 PIM(Privileged Identity Management)은 Azure RBAC(Azure 역할 기반 액세스 제어)에 사용할 수 있습니다.
최소 권한 액세스는 어떻게 관리되나요? GDAP에는 보안 그룹이 필요합니다. 필요한 최소 권한 역할 목록이 설치를 안내합니다. 보안 그룹은 선택 사항이며 고객이 유지 관리합니다. Azure Lighthouse에는 Microsoft Entra 보안 그룹이 필요합니다. 자세한 내용은 Azure Lighthouse 시나리오의 테넌트, 사용자 및 역할을 참조하세요.
어떤 플러그 인이 지원됩니까? 플러그 인의 부분 집합이 지원됩니다. 고객이 사용할 수 있는 모든 플러그 인은 파트너가 사용할 수 있습니다. Azure Lighthouse는 Microsoft Sentinel 포함하는 Azure 리소스에 대한 위임된 액세스를 지원합니다. 지원되는 워크로드에 대한 자세한 내용은 Azure Lighthouse란?을 참조하세요.
독립 실행형 로그인 환경은 무엇인가요? MSSP는 서비스 관리를 사용하여 적절한 테넌트용 Security Copilot 원활하게 로그인합니다. Security Copilot 설정에서 테넌트 스위치 선택을 사용합니다. MSSP 분석가는 Security Copilot 독립 실행형 포털에서 분석가가 Azure Lighthouse 위임 액세스를 활용하여 액세스할 수 있는 권한이 있는 Microsoft Sentinel 작업 영역에 대해 프롬프트를 표시할 수 있습니다.
포함된 환경이란? 액세스를 용이하게 하기 위한 서비스 관리 링크를 통해 지원됩니다. 일반적으로 지원됩니다. Microsoft Defender XDR Microsoft Sentinel 통합된 Unified SecOps Platform이 지원됩니다. Microsoft Sentinel 인시던트가 "조사 & 대응"에 표시되어 포함된 Security Copilot 환경을 실행할 수 있습니다. 자세한 내용은 Sentinel Microsoft Defender XDR 통합을 참조하세요.
프롬프트를 수행할 때 사용되는 SECURITY COPILOT SKU(용량 계획)는 누구인가요? 고객 테넌트의 용량 계획. 고객 테넌트의 용량 계획. 파트너 테넌트의 용량 계획입니다.

Azure Lighthouse

Azure Lighthouse를 사용하면 MSSP가 Azure 리소스에 대한 위임된 액세스를 위해 Security Copilot 고객이 명시적으로 부여한 최소 권한 및 시간 제한 액세스를 설정할 수 있습니다. 고객의 Microsoft Sentinel 작업 영역에 대해 파트너 테넌트 내에서 Security Copilot 프롬프트를 수행할 때 파트너의 용량 계획 SCU는 고객의 용량 계획 SCU 대신 사용됩니다.

자세한 내용은 Azure Lighthouse 소개를 참조하세요.

Azure Lighthouse를 지원하는 Security Copilot 플러그 인의 현재 행렬은 다음과 같습니다.

Security Copilot 플러그 인 Azure Lighthouse 지원
외부 공격 Surface Mgmt Microsoft Defender 아니오
Microsoft Defender 위협 인텔리전스 아니오
Microsoft Defender XDR 아니오
Microsoft Entra 아니오
Microsoft Intune 아니오
Microsoft Purview 아니오
Microsoft Sentinel
NL2KQL Defender 아니오
NL2KQL Sentinel

Azure Lighthouse에 고객 온보딩

  1. 테넌트 및 구독 세부 정보 수집

    • 고객의 테넌트를 온보딩하려면 활성 Azure 구독이 있어야 하며 Azure Resource Manager 템플릿을 만들려면 다음 정보가 필요합니다.
      • MSSP의 테넌트 ID
      • 고객의 테넌트 ID
      • 제품 세부 정보를 포함하여 MSSP에서 관리할 고객 테넌트의 각 특정 구독에 대한 Azure 구독 ID입니다.
      • 자세한 내용은 Azure Lighthouse에 고객 온보딩을 참조하세요.
      • 자세한 내용은 프라이빗 또는 퍼블릭 관리 서비스 제품을 Azure Marketplace 게시해야 하는 경우 Azure Marketplace 관리 서비스 제품 게시를 참조하세요.

  2. 역할 및 권한 정의

    • 서비스 공급자는 단일 고객에 대해 여러 작업을 수행하여 다양한 범위에 대해 서로 다른 액세스 권한이 필요할 수 있습니다. 적절한 Azure 기본 제공 역할을 할당하기 위해 필요한 만큼의 권한 부여를 정의할 수 있습니다. 템플릿에서 권한 부여를 정의하려면 액세스 권한을 부여하려는 관리 테넌트에서 각 사용자, 사용자 그룹 또는 서비스 주체에 대한 ID 값을 포함해야 합니다. 할당하려는 각 기본 제공 역할에 대한 역할 정의 ID도 포함해야 합니다. 자세한 내용은 Azure Lighthouse - Azure Lighthouse에 고객 온보딩을 참조하세요.

    • 적시에 액세스하기 위해 PIM(Microsoft Entra Privileged Identity Management)을 활용하려면 적격 권한 부여를 만들어야 합니다. 자세한 내용은 적격 권한 부여 만들기를 참조하세요.

  3. Azure Resource Manager 템플릿 만들기

    • 고객을 온보딩하려면 다음 정보를 사용하여 제품에 대한 Azure Resource Manager 템플릿을 만들어야 합니다. 템플릿이 고객의 테넌트에서 배포되면 mspOfferName 및 mspOfferDescription 값은 Azure Portal 서비스 공급자 페이지에서 고객에게 표시됩니다. Azure Portal 또는 샘플 리포지토리에 제공된 템플릿을 수동으로 수정하여 이 템플릿을 만들 수 있습니다. 자세한 내용은 Azure Lighthouse에 고객 온보딩을 참조하세요.

  4. Azure Resource Manager 템플릿 배포

    • 템플릿을 만든 후에는 고객의 테넌트에서 사용자가 해당 테넌트 내에 템플릿을 배포해야 합니다. 온보딩하려는 각 구독(또는 온보딩하려는 리소스 그룹이 포함된 각 구독에 대해)에 대해 별도의 배포가 필요합니다. PowerShell을 사용하거나, Azure CLI를 사용하거나, Azure Portal 배포를 수행할 수 있습니다. 자세한 내용은 Azure Lighthouse에 고객 온보딩을 참조하세요.

  5. 성공적인 온보딩 확인

    • 고객 구독이 Azure Lighthouse에 성공적으로 온보딩되면 서비스 공급자 테넌트의 사용자는 구독 및 해당 리소스를 볼 수 있습니다. PowerShell을 사용하거나 Azure CLI를 사용하여 Azure Portal 내에서 이를 확인할 수 있습니다. 자세한 내용은 Azure Lighthouse에 고객 온보딩을 참조하세요.

GDAP

GDAP를 사용하면 MSSP가 Security Copilot 고객이 명시적으로 부여한 최소 권한 및 시간 제한 액세스를 설정할 수 있습니다. CSP(클라우드 솔루션 파트너)로 등록된 MSP만 Security Copilot 관리할 수 있습니다. 액세스는 고객과 파트너 모두의 관리 부담을 줄이는 MSSP 보안 그룹에 할당됩니다. MSSP 사용자에게는 고객을 관리하기 위한 적절한 역할 및 보안 그룹이 할당됩니다.

자세한 내용은 GDAP 소개를 참조하세요.

GDAP를 지원하는 Security Copilot 플러그 인의 현재 매트릭스는 다음과 같습니다.

Security Copilot 플러그 인 GDAP 지원
Defender 외부 공격 표면 관리 아니오
Entra 전반적으로, 아니요, 하지만 몇 가지 기능이 작동합니다.
Intune
MDTI 아니오
Defender XDR
NL2KQL Defender
NL2KQL Sentinel 아니오
Purview
Sentinel 아니오

자세한 내용은 GDAP에서 지원하는 워크로드를 참조하세요.

GDAP 관계

  1. MSSP는 고객에게 GDAP 요청을 보냅니다. 이 문서의 지침에 따라 고객을 관리할 수 있는 권한을 얻습니다. 최상의 결과를 위해 MSSP는 보안 판독기 및 보안 운영자 역할을 요청하여 Security Copilot 플랫폼 및 플러그 인에 액세스해야 합니다. 자세한 내용은 인증 이해를 참조하세요.

  2. 고객은 파트너의 GDAP 요청을 승인합니다. 자세한 내용은 고객 승인을 참조하세요.

보안 그룹 권한

  1. MSSP는 보안 그룹을 만들고 승인된 권한을 할당합니다. 자세한 내용은 Microsoft Entra 역할 할당을 참조하세요.

  2. 고객은 MSSP가 요청한 역할을 적절한 Security Copilot 역할(Copilot 소유자 또는 부조종사 기여자)에 추가합니다. 예를 들어 MSSP가 보안 운영자 권한을 요청한 경우 고객은 해당 역할을 Security Copilot 내의 Copilot 기여자 역할에 추가합니다. 자세한 내용은 Security Copilot 역할 할당을 참조하세요.

MSSP Security Copilot 액세스

  1. MSSP 사용자 계정에는 파트너 테넌트에서 고객의 위임된 Microsoft Sentinel 작업 영역에 액세스하기 위해 할당된 파트너 보안 그룹에 대한 멤버 자격 및 승인된 역할이 필요합니다.

  2. MSSP는 Security Copilot 독립 실행형 포털에 액세스하고 아래 예제 프롬프트를 사용할 수 있습니다.

    • "모든 Sentinel 작업 영역 나열" 파트너 테넌트 내에서 사용 가능한 모든 Sentinel 작업 영역 및 위임된 고객 Sentinel 작업 영역을 확인합니다.

    • "고객의 Sentinel 작업 영역의 작업 영역 <이름에서 인시던트 ID> 요약<" 고객의 Sentinel 작업 영역에서> Sentinel 인시던트의 요약을 확인합니다.

  3. MSSP는 독립 실행형 환경에서 Security Copilot 사용량 모니터링 대시보드에 액세스하여 고객의 Sentinel 작업 영역에 대해 수행된 프롬프트와 관련된 SCU 비용을 확인할 수 있습니다. Security Copilot 세션을 볼 때 사용량 모니터링 대시보드의 세션 ID와 브라우저 URL의 세션 ID를 확인하여 유효성을 검사할 수 있습니다.

B2B 협업

이 액세스 방법은 Security Copilot을 운영하기 위해 개별 파트너 계정을 고객 테넌트 게스트로 초대합니다.

파트너에 대한 게스트 계정 설정

참고

이 옵션에 설명된 절차를 수행하려면 Microsoft Entra 할당된 사용자 관리자 또는 청구 관리자와 같은 적절한 역할이 있어야 합니다.

  1. Microsoft Entra 관리 센터로 이동하여 로그인합니다.

  2. ID>사용자>모든 사용자로 이동합니다.

  3. 새 사용자>외부 사용자 초대를 선택한 다음 게스트 계정에 대한 설정을 지정합니다.

    1. 기본 사항 탭에서 사용자의 전자 메일 주소, 표시 이름 및 메시지를 포함하려는 경우 입력합니다. (선택적으로 참조 수신자를 추가하여 이메일 초대장 사본을 받을 수 있습니다.)

    2. 속성 탭의 ID 섹션에서 사용자의 이름과 성을 입력합니다. (필요에 따라 사용하려는 다른 필드를 입력할 수 있습니다.)

    3. 과제 탭에서 + 역할 추가를 선택합니다. 아래로 스크롤하여 보안 운영자 또는 보안 읽기 권한자를 선택합니다.

    4. 검토 + 초대 탭에서 설정을 검토합니다. 준비가 되면 초대를 선택합니다.

      파트너는 테넌트를 게스트로 가입하라는 초대를 수락하는 링크가 포함된 이메일을 받습니다.

게스트 계정 설정에 대한 자세한 내용은 외부 사용자 초대를 참조하세요.

B2B Security Copilot 액세스

파트너에 대한 게스트 계정을 설정한 후에는 이제 Security Copilot 기능을 사용할 수 있음을 알릴 준비가 되었습니다.

  1. 파트너에게 Microsoft의 이메일 알림을 찾도록 지시합니다. 전자 메일에는 사용자 계정에 대한 세부 정보가 포함되어 있으며 초대를 수락하기 위해 선택해야 하는 링크가 포함되어 있습니다.

  2. 파트너는 securitycopilot.microsoft.com 방문하여 이메일 계정을 사용하여 로그인하여 Security Copilot 액세스합니다.

  3. 파트너는 테넌트 스위치 기능을 사용하여 적절한 고객에게 액세스하고 있는지 확인합니다. 예를 들어 다음 이미지는 자격 증명을 사용하여 고객 Contoso에 대한 Security Copilot 작동하도록 Fabrikam의 파트너를 보여줍니다.

    테넌트 스위치 설정을 보여 주는 스크린샷
    또는 URL에서 직접 테넌트 ID를 설정합니다( 예: ).
    https://securitycopilot.microsoft.com/?tenantId=aaaabbbb-0000-cccc-1111-dddd2222eeee.

  4. MSSP가 Security Copilot 사용을 시작하는 데 도움이 되는 다음 문서를 공유합니다.

기술 지원

현재 MSSP 또는 파트너에게 질문이 있고 파트너 센터 외부의 Security Copilot 대한 기술 지원이 필요한 경우 고객 organization MSSP를 대신하여 지원에 문의해야 합니다.