Opis sposobu włączania rozwiązania Microsoft Security Copilot

  • 5 min

Aby rozpocząć korzystanie z rozwiązania Microsoft Security Copilot, organizacje muszą wykonać kroki w celu dołączenia usługi i użytkowników. Są to:

  1. Aprowizowanie pojemności copilot
  2. Konfigurowanie środowiska domyślnego
  3. Przypisywanie uprawnień roli

Aprowizuj pojemność

Microsoft Security Copilot jest sprzedawany jako oferta konsumpcyjna, co oznacza, że klienci są rozliczani co miesiąc na podstawie aprowizowanej pojemności rozliczanej przez godzinę. Aprowizowana pojemność jest nazywana jednostką obliczeniową zabezpieczeń (SCU). ScU to jednostka miary mocy obliczeniowej używanej do uruchamiania Copilot zarówno w autonomicznych, jak i osadzonych środowiskach.

Zanim użytkownicy będą mogli rozpocząć korzystanie z rozwiązania Copilot, administratorzy muszą aprowizować i przydzielać pojemność. Aby aprowizować pojemność:

  • Wymagana jest subskrypcja platformy Azure.

  • Musisz być właścicielem platformy Azure lub współautorem platformy Azure na poziomie grupy zasobów, co najmniej.

    Należy pamiętać, że administrator globalny w usłudze Microsoft Entra ID nie musi mieć domyślnie roli właściciela platformy Azure ani współautora platformy Azure. Przypisania ról firmy Microsoft Entra nie udzielają dostępu do zasobów platformy Azure. Jako administrator globalny w firmie Microsoft Entra możesz włączyć zarządzanie dostępem dla zasobów platformy Azure za pośrednictwem witryny Azure Portal. Aby uzyskać szczegółowe informacje, zobacz Podnoszenie poziomu dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Po włączeniu zarządzania dostępem do zasobów platformy Azure możesz skonfigurować odpowiednią rolę platformy Azure.

Istnieją dwie opcje aprowizacji pojemności:

  • Aprowizowanie pojemności w ramach rozwiązania Security Copilot (zalecane) — po pierwszym otwarciu narzędzia Security Copilot jako administrator kreator przeprowadzi Cię przez kroki konfigurowania pojemności dla organizacji. Kreator wyświetli monit o podanie informacji, w tym subskrypcji platformy Azure, grupy zasobów, regionu, nazwy pojemności i liczby jednostek SCU.
  • Aprowizowanie pojemności za pośrednictwem platformy Azure — witryna Azure Portal obejmuje teraz zabezpieczenia Copilot jako usługę. Wybranie usługi spowoduje otwarcie strony, na której są wprowadzane informacje, w tym subskrypcja platformy Azure, grupa zasobów, region, nazwa pojemności i ilość jednostek SCU.

Uwaga

Niezależnie od wybranej metody należy zakupić co najmniej 1 i maksymalnie 100 jednostek SCU.

Niezależnie od wybranego podejścia do aprowizowania pojemności proces pobiera informacje i ustanawia grupę zasobów dla usługi Microsoft Security Copilot w ramach subskrypcji platformy Azure. Jednostki SCU to zasób platformy Azure w tej grupie zasobów. Wdrożenie zasobu platformy Azure może potrwać kilka minut.

Gdy administratorzy wykonają kroki dołączania do aplikacji Copilot, mogą zarządzać pojemnością przez zwiększenie lub zmniejszenie aprowizowania jednostek SCU w witrynie Azure Portal lub samego produktu Microsoft Security Copilot. Funkcja Security Copilot udostępnia pulpit nawigacyjny monitorowania użycia dla właścicieli pojemności, umożliwiając im śledzenie użycia w czasie i podejmowanie świadomych decyzji dotyczących aprowizacji pojemności. Jako właściciel masz wgląd w liczbę jednostek używanych w sesji, określonych wtyczek używanych podczas sesji oraz inicjatorów tych sesji. Pulpit nawigacyjny umożliwia również bezproblemowe stosowanie filtrów i eksportowanie danych użycia. Pulpit nawigacyjny zawiera maksymalnie 90 dni danych.

Zrzut ekranu przedstawiający pulpit nawigacyjny monitorowania użycia.

Konfigurowanie środowiska domyślnego

Aby skonfigurować środowisko domyślne, musisz mieć jedną z następujących ról identyfikatora Entra firmy Microsoft:

  • Administrator globalny
  • Administrator zabezpieczeń

Podczas konfigurowania narzędzia Security Copilot zostanie wyświetlony monit o skonfigurowanie ustawień. Są to:

  • Pojemność scU — wybierz pojemność wcześniej zaaprowizowanych jednostek SCU.

  • Magazyn danych — gdy organizacja dołącza do aplikacji Copilot, administrator musi potwierdzić lokalizację geograficzną dzierżawy, ponieważ dane klienta zebrane przez usługi są tam przechowywane. Microsoft Security Copilot działa w centrach danych platformy Microsoft Azure w Unii Europejskiej (EUDB), Wielkiej Brytanii, Stany Zjednoczone, Australii i Nowej Zelandii, Japonii, Kanadzie i Ameryce Południowej.

  • Zdecyduj, gdzie są oceniane monity — możesz ograniczyć ocenę w obszarze geograficznym lub zezwolić na ocenę w dowolnym miejscu na świecie.

  • Rejestrowanie danych inspekcji w usłudze Microsoft Purview — w ramach początkowej konfiguracji i wymienionej w obszarze Ustawienia właściciela w środowisku autonomicznym możesz zezwolić usłudze Microsoft Purview na przetwarzanie i przechowywanie akcji administratora, akcji użytkownika i odpowiedzi copilot. Obejmuje to dane z dowolnej integracji firmy Microsoft i firmy innej niż Microsoft. Jeśli wyrazisz zgodę i korzystasz już z usługi Microsoft Purview, nie jest wymagana żadna dalsza akcja. Jeśli zdecydujesz się na korzystanie z usługi Purview, musisz postępować zgodnie z przewodnikami po usłudze Microsoft Purview, aby skonfigurować ograniczone środowisko.

    Przechwytywanie ekranu przedstawiające ustawienia sposobu konfigurowania rejestrowania inspekcji.

  • Dane organizacji — administrator musi również zrezygnować z opcji udostępniania danych lub zrezygnować z tych opcji. Te opcje są częścią początkowej konfiguracji, a także wymienione w obszarze Ustawienia właściciela w środowisku autonomicznym. Włącz lub wyłącz przełączanie dla dowolnej z następujących opcji:

    • Zezwól firmie Microsoft na przechwytywanie danych z rozwiązania Security Copilot w celu zweryfikowania wydajności produktu przy użyciu przeglądu przez człowieka: po włączeniu dane klientów są udostępniane firmie Microsoft w celu poprawy jakości produktu. Monity i odpowiedzi są oceniane, aby zrozumieć, czy wybrano odpowiednie wtyczki, jeśli dane wyjściowe są oczekiwane, jak można poprawić odpowiedzi, opóźnienie i format danych wyjściowych.

    • Zezwól firmie Microsoft na przechwytywanie i przeglądanie danych z poziomu rozwiązania Security Copilot w celu utworzenia i zweryfikowania modelu sztucznej inteligencji zabezpieczeń firmy Microsoft: po włączeniu dane klientów są udostępniane firmie Microsoft na potrzeby ulepszania sztucznej inteligencji copilot. Wyrażenie zgody nie zezwala firmie Microsoft na używanie danych klientów do trenowania podstawowych modeli. Monity i odpowiedzi są oceniane w celu ulepszenia odpowiedzi i upewnienia się, że są one oczekiwane i przydatne dla Ciebie.

      Aby uzyskać więcej informacji na temat sposobu obsługi danych przez firmę Microsoft, zobacz Bezpieczeństwo danych i prywatność.

      Przechwytywanie ekranu przedstawiające ustawienia sposobu konfigurowania udostępniania danych w celu ulepszenia funkcji Copilot.

  • Ustawienia wtyczki — administrator zarządza wtyczkami i konfiguruje, czy zezwalać usłudze Security Copilot na dostęp do danych z usług Platformy Microsoft 365.

    • Skonfiguruj, kto może dodawać własne niestandardowe wtyczki i zarządzać nimi oraz kto może dodawać niestandardowe wtyczki i zarządzać nimi dla wszystkich użytkowników w organizacji.

    • Zarządzanie dostępnością wtyczki i ograniczaniem dostępu. Po włączeniu administratorzy decydują, które nowe i istniejące wtyczki będą dostępne dla wszystkich użytkowników w organizacji i które będą ograniczone tylko do właścicieli.

    • Zezwól usłudze Security Copilot na dostęp do danych z usług platformy Microsoft 365. Jeśli ta opcja jest wyłączona, Twoja organizacja nie będzie mogła używać wtyczek, które uzyskują dostęp do usług Platformy Microsoft 365. Obecnie ta opcja jest wymagana do korzystania z wtyczki Microsoft Purview. Ustawienie i/lub zmiana tego ustawienia wymaga użytkownika z rolą administratora globalnego.

      Zrzut ekranu przedstawiający ustawienia wtyczki i ustawienie umożliwiające zabezpieczenia Copilot dostęp do danych z usług Platformy Microsoft 365.

Uprawnienia roli

Aby zapewnić użytkownikom dostęp do funkcji aplikacji Copilot, muszą mieć odpowiednie uprawnienia do roli.

Uprawnienia można przypisywać przy użyciu ról identyfikatora Entra firmy Microsoft lub ról copilot zabezpieczeń. Najlepszym rozwiązaniem jest zapewnienie najmniej uprzywilejowanej roli, która ma zastosowanie dla każdego użytkownika.

Role identyfikatora Entra firmy Microsoft to:

  • Administrator globalny
  • Administrator zabezpieczeń
  • Operator zabezpieczeń
  • Czytelnik zabezpieczeń

Mimo że te role identyfikatora entra firmy Microsoft zapewniają użytkownikom różne poziomy dostępu do aplikacji Copilot, zakres tych ról wykracza poza Copilot. Z tego powodu rozwiązanie Security Copilot wprowadza dwie role, które działają jak grupy dostępu, ale nie są rolami identyfikatora Entra firmy Microsoft. Zamiast tego kontrolują dostęp tylko do możliwości platformy Security Copilot.

Role copilot zabezpieczeń firmy Microsoft to:

  • Właściciel Copilot
  • Współautor Copilot

Role Administrator zabezpieczeń i Administrator globalny w firmie Microsoft Entra automatycznie dziedziczą dostęp właściciela Copilot.

Zrzut ekranu przedstawiający ustawienia przypisania roli.

Tylko użytkownicy, którzy mają rolę administratora globalnego, administratora zabezpieczeń lub właściciela Copilot, mogą przypisać role w aplikacji Copilot, dodając/usuwając członków z ról Właściciel i Współautor.

Grupa, którą administratorzy/właściciele mogą dołączyć jako członek roli Współautor, jest grupą Zalecanych ról zabezpieczeń firmy Microsoft. Ta grupa istnieje tylko w rozwiązaniu Security Copilot i jest pakietem istniejących ról firmy Microsoft Entra. Po dodaniu tej grupy jako członka roli Współautor wszyscy użytkownicy, którzy są członkami ról Entra ID, które są uwzględnione w zalecanej grupie ról zabezpieczeń firmy Microsoft, uzyskają dostęp do platformy Copilot. Ta opcja zapewnia szybki, bezpieczny sposób na nadanie użytkownikom w organizacji dostępu do danych zabezpieczeń używanych przez Copilot za pośrednictwem wtyczki firmy Microsoft, dostępu do platformy Copilot.

Aby uzyskać szczegółową listę uprawnień przyznanych dla każdej z tych ról, zapoznaj się z sekcją Przypisywanie ról w temacie Omówienie uwierzytelniania w programie Microsoft Security Copilot.

Wtyczki Copilot i wymagania dotyczące ról

Rola kontroluje działania, do których masz dostęp, takie jak konfigurowanie ustawień, przypisywanie uprawnień lub wykonywanie zadań. Copilot nie wykracza poza posiadany dostęp. Ponadto poszczególne wtyczki firmy Microsoft mogą mieć własne wymagania dotyczące roli w zakresie uzyskiwania dostępu do usługi i danych, które reprezentuje. Na przykład analityk, któremu przypisano rolę operatora zabezpieczeń lub rolę współautora obszaru roboczego Copilot, może uzyskać dostęp do portalu Copilot i utworzyć sesje, ale do korzystania z wtyczki Usługi Microsoft Sentinel będzie potrzebna odpowiednia rola, taka jak Czytelnik usługi Microsoft Sentinel, aby uzyskać dostęp do zdarzeń w obszarze roboczym. Aby uzyskać dostęp do urządzeń, uprawnień i zasad dostępnych za pośrednictwem wtyczki usługi Microsoft Intune, ten sam analityk będzie potrzebować innej roli specyficznej dla usługi, takiej jak rola menedżera zabezpieczeń punktu końcowego usługi Intune.

Ogólnie rzecz biorąc, wtyczki firmy Microsoft w Copilot korzystają z modelu OBO (w imieniu) — co oznacza, że Copilot wie, że klient ma licencje na określone produkty i jest automatycznie zalogowany do tych produktów. Copilot może następnie uzyskać dostęp do określonych produktów, gdy wtyczka jest włączona i, jeśli ma to zastosowanie, parametry są skonfigurowane. Niektóre wtyczki firmy Microsoft, które wymagają konfiguracji, mogą obejmować konfigurowalne parametry używane do uwierzytelniania zamiast modelu OBO.