Descrever como habilitar o Microsoft Security Copilot

  • 5 minutos

Para começar a usar o Microsoft Security Copilot, as organizações precisam tomar medidas para integrar o serviço e os usuários. Estão incluídos:

  1. Provisão de capacidade do Copilot
  2. Configurar o ambiente padrão
  3. Atribuir permissões de função

Capacidade de provisão

O Microsoft Copilot para Segurança é vendido como uma oferta de consumo, o que significa que os clientes são cobrados mensalmente com base em uma capacidade provisionada que é cobrada por hora. A capacidade provisionada é chamada de unidade de computação de segurança (SCU). Uma SCU é a unidade de medida do poder de computação usado para executar o Copilot nas experiências autônoma e inserida.

Antes que os usuários possam começar a usar o Copilot, os administradores precisam provisionar e alocar a capacidade. Para provisionar a capacidade:

  • Você deve ter uma assinatura do Azure.

  • Você precisa ser um proprietário do Azure ou colaborador do Azure, em um nível de grupo de recursos, no mínimo.

    Tenha em mente que um administrador global na ID do Microsoft Entra não tem necessariamente a função de proprietário do Azure ou colaborador do Azure por padrão. As atribuições de função do Microsoft Entra não concedem acesso aos recursos do Azure. Como administrador global no Entra, você pode habilitar o gerenciamento de acesso para recursos do Azure por meio do portal do Azure. Para obter detalhes, consulte Acesso elevado para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Depois de habilitar o gerenciamento de acesso aos recursos do Azure, você pode configurar a função apropriada do Azure.

Há duas opções para provisionar a capacidade:

  • Provisionar a capacidade no Security Copilot (recomendado) – quando você abre pela primeira vez o Security Copilot como administrador, um assistente orienta você pelas etapas na configuração da capacidade da sua organização. O assistente solicitará informações, incluindo a assinatura do Azure, o grupo de recursos, a região, o nome da capacidade e a quantidade de SCUs.
  • Provisionar a capacidade por meio do Azure – o portal do Azure agora inclui o Security Copilot como um serviço. A seleção do serviço abre a página em que você insere informações, incluindo a assinatura do Azure, o grupo de recursos, a região, o nome da capacidade e a quantidade de SCUs.

Observação

Independentemente do método escolhido, você precisará comprar um mínimo de 1 e um máximo de 100 SCUs.

Independentemente da abordagem que você escolher para provisionar a capacidade, o processo obtém as informações e estabelece um grupo de recursos para o serviço Microsoft Copilot para Segurança, dentro da sua assinatura do Azure. As SCUs são um recurso do Azure dentro desse grupo de recursos. A implantação do recurso do Azure pode levar alguns minutos.

Depois que os administradores concluírem as etapas de integração ao Copilot, eles poderão gerenciar a capacidade aumentando ou diminuindo as SCUs provisionadas no portal do Microsoft Azure ou no próprio produto Copilot de Segurança. O Copilot para Segurança fornece um painel de monitoramento de uso para os proprietários de capacidade, permitindo que eles acompanhem o uso ao longo do tempo e tomem decisões informadas sobre o provisionamento de capacidade. Como proprietário, você tem visibilidade do número de unidades usadas em uma sessão, dos plug-ins específicos empregados durante as sessões e dos iniciadores dessas sessões. O painel também permite aplicar filtros e exportar dados de uso sem problemas. O painel inclui até 90 dias de dados.

Captura de tela mostrando o painel de monitoramento de uso.

Configurar o ambiente padrão

Para configurar o ambiente padrão, você precisará ter uma das seguintes funções do Microsoft Entra ID:

  • Administrador global
  • Administrador de segurança

Durante a configuração do Microsoft Security Copilot, você será solicitado a definir as configurações. Estão incluídos:

  • Capacidade da SCU: Selecione a capacidade das SCUs provisionadas anteriormente.

  • Armazenamento de dados: Quando uma organização é integrada ao Copilot, o administrador deve confirmar a localização geográfica do locatário, pois os dados do cliente coletados pelos serviços são armazenados lá. O Microsoft Security Copilot opera nos data centers do Microsoft Azure na União Europeia (EUDB), no Reino Unido, nos Estados Unidos, na Austrália e na Nova Zelândia, no Japão, no Canadá e na América do Sul.

  • Decida onde seus prompts serão avaliados: Você pode restringir a avaliação dentro da sua área geográfica ou permitir a avaliação em qualquer lugar do mundo.

  • Como registrar dados de auditoria no Microsoft Purview – Como parte da configuração inicial e listada nas configurações de Proprietário na experiência autônoma, você pode optar por permitir que o Microsoft Purview processe e armazene ações de administrador, ações do usuário e respostas do Copilot. Isso inclui dados de qualquer integração da Microsoft e de terceiros. Se você aceitar e já usar o Microsoft Purview, nenhuma ação adicional será necessária. Se você aceitar, mas ainda não estiver usando o Purview, precisará seguir os guias do Microsoft Purview para configurar uma experiência limitada.

    Captura de tela mostrando as configurações de como você pode configurar o log de auditoria.

  • Dados da sua organização – O administrador também precisa aceitar ou recusar as opções de compartilhamento de dados. Essas opções fazem parte da configuração inicial e também estão listadas nas configurações de Proprietário na experiência autônoma. Ative ou desative os botões de alternância para qualquer uma das opções a seguir:

    • Permitir que a Microsoft capture os dados do Security Copilot para validar o desempenho do produto usando análise humana: quando ativado, os dados do cliente são compartilhados com a Microsoft para aprimoramento do produto. Os prompts e as respostas serão avaliados para entender se os plug-ins corretos foram selecionados, se a saída é a esperada, como as respostas, a latência e o formato da saída podem ser aprimorados.

    • Permitir que a Microsoft capture e faça uma análise com um ser humano dos dados do Security Copilot para criar e validar o modelo de IA de segurança da Microsoft: quando ativado, os dados do cliente são compartilhados com a Microsoft para aprimoramento da IA do Copilot. Aceitar NÃO permite que a Microsoft use dados de clientes para treinar modelos básicos. Os prompts e as respostas são avaliados para aprimorar as respostas e garantir que elas sejam as esperadas e úteis para você.

      Para obter mais informações sobre como a Microsoft trata seus dados, confira Segurança e privacidade de dados.

      Captura de tela mostrando as configurações de como você pode configurar o compartilhamento de dados para ajudar a melhorar o Copilot.

  • Configurações de plug-in – O administrador gerencia plug-ins e configura se deseja permitir que o Security Copilot acesse dados de seus serviços do Microsoft 365.

    • Configure quem pode adicionar e gerenciar seus próprios plug-ins personalizados e quem pode adicionar e gerenciar plug-ins personalizados para todos na organização.

    • Gerenciar a disponibilidade do plug-in e restringir o acesso. Quando habilitados, os administradores decidem quais plug-ins novos e existentes estarão disponíveis para todos em sua organização e que serão restritos somente aos proprietários.

    • Permitir que o Copilot for Security acesse dados de seus serviços do Microsoft 365. Se essa opção estiver desativada, sua organização não poderá usar plug-ins que acessam os serviços do Microsoft 365. Atualmente, esta opção é necessária para o uso do plug-in do Microsoft Purview. Definir e/ou alterar essa configuração requer um usuário com uma função de administrador global.

      Captura de tela mostrando as configurações do plug-in e a configuração para permitir que o Security Copilot acesse dados de seus serviços do Microsoft 365.

Permissões de função

Para garantir que os usuários possam acessar os recursos do Copilot, eles precisam ter as permissões de função adequadas.

As permissões podem ser atribuídas usando as funções do Microsoft Entra ID ou do Security Copilot. Como melhor prática, forneça a função menos privilegiada aplicável a cada usuário.

As funções do Microsoft Entra ID são:

  • Administrador global
  • Administrador de segurança
  • Operador de segurança
  • Leitor de segurança

Embora essas funções concedam aos usuários níveis variados de acesso ao Copilot, o escopo dessas funções vai além do Copilot. Por esse motivo, o Microsoft Security Copilot apresenta duas funções que operam como grupos de acesso, mas não são funções do Microsoft Entra ID. Em vez disso, eles controlam apenas o acesso aos recursos da plataforma Microsoft Security Copilot.

As funções do Microsoft Security Copilot são:

  • Proprietário do Copilot
  • Colaborador do Copilot

As funções Administrador de Segurança e Administrador Global no Microsoft Entra herdam automaticamente o acesso do proprietário do Copilot.

Captura de tela mostrando as configurações de atribuição de função.

Somente os usuários que têm as funções de administrador global, administrador de segurança ou proprietário do Copilot podem fazer atribuições de função no Copilot adicionando/removendo membros das funções Proprietário e Colaborador.

Um grupo que os administradores/proprietários podem incluir como membro da função Colaborador é o grupo Funções de Segurança da Microsoft Recomendadas. Esse grupo existe apenas no Security Copilot e é um pacote de funções existentes do Microsoft Entra. Quando você adiciona esse grupo como membro da função Colaborador, todos os usuários que são membros das funções do Entra ID incluídas no grupo de funções de segurança da Microsoft recomendado obtêm acesso à plataforma Copilot. Essa opção fornece uma maneira rápida e segura de fornecer aos usuários em sua organização, que já têm acesso aos dados de segurança usados pelo Copilot por meio de um plug-in da Microsoft, acesso à plataforma Copilot.

Para obter uma lista detalhada das permissões concedidas para cada uma dessas funções, consulte a seção Atribuir funções em Entender a autenticação no Microsoft Copilot para Segurança.

Plug-ins do Copilot e requisitos de função

Sua função controla as atividades às quais você tem acesso, como a definição de configurações, a atribuição de permissões ou a execução de tarefas. O Copilot não vai além do acesso que você tem. Além disso, os plug-ins individuais da Microsoft podem ter requisitos de função próprios para acesso ao serviço e aos dados que eles representam. Por exemplo, um analista a quem foi atribuída uma função de operador de segurança ou uma função de colaborador do workspace pode acessar o portal do Copilot e criar sessões, mas para utilizar o plug-in do Microsoft Sentinel precisaria de uma função apropriada, como Leitor do Microsoft Sentinel, para acessar incidentes no workspace. Para acessar os dispositivos, privilégios e políticas disponíveis por meio do plug-in do Microsoft Intune, esse mesmo analista precisaria de outra função específica de serviço, como a função Gerenciador de Segurança do Ponto de Extremidade do Intune.

Em termos gerais, os plug-ins da Microsoft no Copilot usam o modelo OBO (em nome de) – o que significa que o Copilot sabe que um cliente tem licenças para produtos específicos e é conectado automaticamente a esses produtos. O Copilot pode acessar os produtos específicos quando o plug-in está habilitado e, quando aplicável, os parâmetros são configurados. Alguns plug-ins da Microsoft que exigem instalação podem incluir parâmetros configuráveis que são usados para autenticação in-lieu do modelo OBO.