Compartilhar via


Compreender a autenticação no Microsoft Security Copilot

O Copilot utiliza a autenticação em nome de para aceder a dados relacionados com segurança através de plug-ins ativos da Microsoft. As funções de Security Copilot específicas têm de ser atribuídas para que um grupo ou indivíduo aceda à plataforma Security Copilot. Depois de ser autenticado na plataforma, o Microsoft Entra e o Controle de Acesso Baseado em Funções do Azure (RBAC) determinam que plug-ins estão disponíveis nos pedidos. A função Security Copilot controla a que outras atividades tem acesso na plataforma, como configurar definições, atribuir permissões e realizar tarefas.

Security Copilot funções RBAC não são funções Microsoft Entra. Security Copilot funções são definidas e geridas no Copilot e concedem apenas acesso a funcionalidades Security Copilot.

Microsoft Entra RBAC concede acesso ao portefólio de produtos da Microsoft, incluindo serviços que contêm dados de segurança. Estas funções são geridas através do centro de administração do Microsoft Entra. Para obter mais informações, veja Atribuir funções de Microsoft Entra a utilizadores.

O RBAC do Azure controla o acesso a recursos do Azure, como Unidades de Capacidade de Segurança (SCU) num grupo de recursos ou Microsoft Sentinel áreas de trabalho ativadas. Para obter mais informações, veja Atribuir funções do Azure.

Plataforma de Security Copilot do Access

Depois de Security Copilot ser integrado na sua organização, configure Security Copilot RBAC para determinar o acesso dos utilizadores à plataforma Security Copilot. Em seguida, coloque em camadas a cobertura de segurança com políticas de acesso condicional. Para obter mais informações sobre como proteger o acesso à plataforma Security Copilot além do RBAC, veja Proteger a IA com a política de Acesso Condicional.

funções de Security Copilot

Security Copilot apresenta duas funções que funcionam como grupos de acesso, mas não são Microsoft Entra ID funções. Em vez disso, apenas controlam o acesso às capacidades da plataforma Security Copilot e não fornecem acesso aos dados de segurança.

  • Proprietário do Copilot
  • Copilot contribuidor

funções de Microsoft Entra

As seguintes funções Microsoft Entra herdam automaticamente o acesso do proprietário da Copilot, garantindo Security Copilot tem sempre, pelo menos, um proprietário. Administrador global é uma função Microsoft Entra que tem proteções incorporadas contra a remoção. Para obter mais informações sobre a continuidade no Microsoft Entra, veja Gerir contas de acesso de emergência.

  • Administrador de Segurança
  • Administrador Global

Aprovisionar o acesso ao Security Copilot com o grupo de funções de Segurança Recomendadas da Microsoft, que utiliza uma abordagem equilibrada em termos de segurança e eficiência administrativa. Os utilizadores que já têm permissão de segurança através de Microsoft Entra funções têm acesso contribuidor à plataforma Security Copilot com este pacote. Se o grupo Todos estiver atribuído, tem de removê-lo antes de adicionar as funções de segurança recomendadas.

Captura de ecrã a mostrar uma lista parcial das funções de segurança recomendadas.

A lista de funções recomendadas inclui Microsoft Entra ID funções e algumas funções específicas do serviço, como funções do Microsoft Purview e funções de Microsoft Defender.

Se um plug-in da Microsoft necessitar de uma função diferente para aceder aos respetivos dados de segurança, tem de garantir que a função de serviço adequada também é atribuída. Por exemplo, o pacote funciona bem para um analista que atribuiu a função de administrador de Conformidade . Esta função é uma das funções recomendadas do Microsoft Purview e dá-lhes acesso aos dados do plug-in do Microsoft Purview. No entanto, esse mesmo analista precisa de atribuições de funções adicionais para aceder a dados de segurança, como Microsoft Sentinel. Para obter mais exemplos, veja Aceder às capacidades dos plug-ins da Microsoft.

Atribuição de função Vantagem Fraqueza
Funções de Segurança Da Microsoft recomendadas (Predefinição) Forma rápida e segura de conceder aos utilizadores na sua organização que já têm acesso aos dados de segurança o acesso de que precisam à plataforma. Ainda podem ser adicionadas mais funções, utilizadores e grupos. O grupo é tudo ou nada. Se existir uma função no grupo recomendado ao qual não pretende ter acesso, todo o grupo tem de ser removido.
Todos Inicialmente, este grupo recebeu contribuidor acesso para simplificar o aprovisionamento. Se um utilizador no grupo de todos os utilizadores não tiver acesso a quaisquer dados de segurança, a experiência no Security Copilot é confusa.
Personalizados Controlo total sobre utilizadores e grupos com acesso à plataforma. Requer mais complexidade administrativa.

Observação

A atribuição das funções de segurança da Microsoft recomendadas ao Copilot é a predefinição para novas instâncias de Security Copilot. Os clientes existentes que têm o grupo de todos os utilizadores atribuídos podem continuar a utilizar a atribuição. No entanto, se o grupo de todos for removido, não poderá ser atribuído novamente.

Aceder às capacidades dos plug-ins da Microsoft

Security Copilot não vai além do acesso que tem, em linha com o princípio RAI de segurança e privacidade da Microsoft. Cada plug-in da Microsoft tem os seus próprios requisitos de função que permanecem em vigor para aceder ao serviço do plug-in e aos respetivos dados. Verifique se tem as funções e licenças adequadas atribuídas para utilizar as capacidades dos plug-ins da Microsoft que estão ativados.

Considere estes exemplos:

  1. Copilot contribuidor

    Como analista, é-lhe atribuída a função copilot contribuidor para acesso à plataforma Copilot e a capacidade de criar sessões. Esta atribuição por si só não lhe dá acesso aos dados de segurança da sua organização. Ao seguir o modelo de menor privilégio, não tem funções de Microsoft Entra confidenciais, como Administrador de Segurança. Para utilizar o Copilot para aceder a dados de segurança como o plug-in Microsoft Sentinel, ainda precisa de uma função RBAC do Azure adequada, como Microsoft Sentinel Reader. Esta função dá-lhe acesso a incidentes na sua área de trabalho Microsoft Sentinel a partir do Copilot. Para que a sua sessão copilot aceda aos dispositivos, políticas e posturas disponíveis através do plug-in de Intune, precisa de uma função Intune como o Endpoint Security Manager. O mesmo padrão aplica-se ao acesso a Microsoft Defender XDR dados através da sua sessão copilot ou das experiências de Security Copilot incorporadas.

    Para obter mais informações sobre o RBAC específico do serviço, veja os seguintes artigos:

  2. Microsoft Entra grupo de segurança

    Embora a função Administrador de Segurança herda o acesso ao Copilot e a determinadas capacidades de plug-in, esta função inclui permissões. Não atribua esta função aos utilizadores apenas para acesso copilot. Em vez disso, crie um grupo de segurança e adicione esse grupo à função copilot adequada (Proprietário ou Contribuidor).

    Para obter mais informações, veja Melhores práticas para Microsoft Entra funções.

  3. Funções de Segurança da Microsoft recomendadas

    Um analista com acesso à plataforma de operações de segurança unificada da Microsoft tem uma função de Defender XDR personalizada atribuída que lhes dá acesso a várias cargas de trabalho no portal do Defender. Se as operações de segurança de funções personalizadas incluírem Security Copilot, as funções Recomendar Segurança da Microsoft dão-lhes acesso à plataforma Security Copilot, bem como ao Copilot no Microsoft Defender, simplificando a gestão de segurança.

    Captura de ecrã a mostrar a função de Defender XDR personalizada com Security Copilot as operações de segurança ativadas.

Experiências incorporadas do Access

Além da função de contribuidor Copilot, verifique os requisitos de cada Security Copilot experiência incorporada para compreender que funções e licenças adicionais são necessárias.

Para obter mais informações, veja Security Copilot experiências.

Atribuir funções

A tabela seguinte ilustra o acesso predefinido concedido às funções iniciais.

Observação

Algumas organizações ainda podem ter o grupo Todos atribuído ao Copilot contribuidor acesso. Considere substituir este amplo acesso pelo grupo de funções de Segurança Da Microsoft Recomendado .

Recursos Proprietário do Copilot Copilot contribuidor
Criar sessões Sim Sim
Gerir plug-ins personalizados pessoais Sim Não Predefinido
Permitir que os contribuidores giram plug-ins personalizados pessoais Sim Não
Permitir que os contribuidores publiquem plug-ins personalizados para o inquilino Sim Não
Alterar a disponibilidade dos plug-ins pré-instalados para o inquilino Sim Não
Carregar arquivos Sim Predefinição Sim
Gerir a utilização do ficheiro de carregamento Sim Não
Executar promptbooks Sim Sim
Gerir promptbooks pessoais Sim Sim
Partilhar promptbooks com o inquilino Sim Sim
Atualizar as opções de partilha e feedback de dados Sim Não
Gerenciamento de capacidade Sim* Não
Ver dashboard de utilização Sim Não
Selecionar idioma Sim Sim

Atribuir acesso Security Copilot

Atribua funções copilot nas definições de Security Copilot.

  1. Selecione o menu base.
  2. Selecione Atribuição de função>Adicionar membros.
  3. Comece a escrever o nome da pessoa ou grupo na caixa de diálogo Adicionar membros .
  4. Selecione a pessoa ou grupo.
  5. Selecione a função Security Copilot a atribuir (Proprietário copilot ou Contribuidor Copilot).
  6. Selecione Adicionar.

Captura de ecrã a mostrar a atribuição de funções Copilot, incluindo funções de segurança recomendadas.

Dica

Recomendamos que utilize grupos de segurança para atribuir Security Copilot funções em vez de utilizadores individuais. Isto reduz a complexidade administrativa.

As funções Administrador Global e Administrador de Segurança não podem ser removidas do acesso de Proprietário, mas o grupo Todos é amovível do acesso de Contribuidor. Considere adicionar as funções recomendadas depois de remover o grupo todos.

Microsoft Entra associação de função só é gerível a partir do centro de administração do Microsoft Entra. Para obter mais informações, veja Gerir Microsoft Entra funções de utilizador.

Sessões partilhadas

A função copilot contribuidor é o único requisito para partilhar uma ligação de sessão ou vê-la a partir desse inquilino.

Quando partilhar uma ligação de sessão, considere estas implicações de acesso:

  • Security Copilot precisa de aceder ao serviço e aos dados de um plug-in para gerar uma resposta, mas esse mesmo acesso não é avaliado ao ver a sessão partilhada. Por exemplo, se tiver acesso a dispositivos e políticas no Intune e o plug-in de Intune for utilizado para gerar uma resposta que partilha, o destinatário da ligação de sessão partilhada não precisa de acesso Intune para ver os resultados completos da sessão.
  • Uma sessão partilhada contém todos os pedidos e respostas incluídos na sessão, quer tenha sido partilhado após o primeiro pedido ou o último.
  • Apenas o utilizador que cria uma sessão controla quais os utilizadores da Copilot que podem aceder a essa sessão. Se receber uma ligação para uma sessão partilhada do criador da sessão, terá acesso. Se reencaminhar essa ligação para outra pessoa, esta não lhe concede acesso.
  • As sessões partilhadas são só de leitura.
  • As sessões só podem ser partilhadas com utilizadores no mesmo inquilino que tenham acesso ao Copilot.
  • Algumas regiões não suportam a partilha de sessões por e-mail.
    • SouthAfricaNorth
    • UAENorth

Para obter mais informações sobre sessões partilhadas, consulte Navegar Security Copilot.

Multilocatário

Se a sua organização tiver vários inquilinos, Security Copilot pode acomodar a autenticação nos mesmos para aceder aos dados de segurança onde Security Copilot está aprovisionada. O inquilino aprovisionado para Security Copilot não precisa de ser o inquilino a partir do qual o seu analista de segurança inicia sessão. Para obter mais informações, veja Navegar Security Copilot mudança de inquilino.

Exemplo de início de sessão entre inquilinos

A Contoso intercalou recentemente com a Fabrikam. Ambos os inquilinos têm analistas de segurança, mas apenas a Contoso comprou e aprovisionou Security Copilot. Angus MacGregor, analista da Fabrikam, quer utilizar a credencial da Fabrikam para utilizar Security Copilot. Eis os passos para realizar este acesso:

  1. Certifique-se de que a conta Fabrikam de Angus MacGregor tem uma conta de membro externo no inquilino da Contoso.

  2. Atribua à conta de membro externo as funções necessárias para aceder ao Security Copilot e aos plug-ins da Microsoft pretendidos.

  3. Inicie sessão no portal Security Copilot com a conta Fabrikam.

  4. Mudar inquilinos para a Contoso.

    Captura de ecrã a mostrar a conta da Fabrikam mudada para o inquilino da Contoso.

Para obter mais informações, veja Conceder acesso ao MSSP.

Gerir promptbooks

A criação de promptbooks está disponível para todas as funções, incluindo a capacidade de publicar um promptbook personalizado para o inquilino. Escolha se pretende publicar um promptbook para si ou para o inquilino no momento da criação.

Para obter mais informações, consulte Criar o seu próprio promptbook.

Autenticação pré-instalada do plug-in

Os plug-ins pré-instalados, como o Microsoft Sentinel e o Azure AI Search, requerem mais configuração. O fornecedor de plug-in determina o tipo de autenticação. Qualquer plug-in com a engrenagem ou o botão Configurar é configurado por utilizador. Quer um plug-in pré-instalado seja restrito, todos os utilizadores que têm acesso ao plug-in configuram a configuração desse plug-in para si próprios.

Observação

Os plug-ins do site utilizam autenticação anónima para aceder ao conteúdo.

Para obter mais informações, veja Gerir plug-ins pré-instalados.