Compreender a autenticação no Microsoft Security Copilot
O Copilot utiliza a autenticação em nome de para aceder a dados relacionados com segurança através de plug-ins ativos da Microsoft. As funções de Security Copilot específicas têm de ser atribuídas para que um grupo ou indivíduo aceda à plataforma Security Copilot. Depois de ser autenticado na plataforma, o Microsoft Entra e o Controle de Acesso Baseado em Funções do Azure (RBAC) determinam que plug-ins estão disponíveis nos pedidos. A função Security Copilot controla a que outras atividades tem acesso na plataforma, como configurar definições, atribuir permissões e realizar tarefas.
Security Copilot funções RBAC não são funções Microsoft Entra. Security Copilot funções são definidas e geridas no Copilot e concedem apenas acesso a funcionalidades Security Copilot.
Microsoft Entra RBAC concede acesso ao portefólio de produtos da Microsoft, incluindo serviços que contêm dados de segurança. Estas funções são geridas através do centro de administração do Microsoft Entra. Para obter mais informações, veja Atribuir funções de Microsoft Entra a utilizadores.
O RBAC do Azure controla o acesso a recursos do Azure, como Unidades de Capacidade de Segurança (SCU) num grupo de recursos ou Microsoft Sentinel áreas de trabalho ativadas. Para obter mais informações, veja Atribuir funções do Azure.
Plataforma de Security Copilot do Access
Depois de Security Copilot ser integrado na sua organização, configure Security Copilot RBAC para determinar o acesso dos utilizadores à plataforma Security Copilot. Em seguida, coloque em camadas a cobertura de segurança com políticas de acesso condicional. Para obter mais informações sobre como proteger o acesso à plataforma Security Copilot além do RBAC, veja Proteger a IA com a política de Acesso Condicional.
funções de Security Copilot
Security Copilot apresenta duas funções que funcionam como grupos de acesso, mas não são Microsoft Entra ID funções. Em vez disso, apenas controlam o acesso às capacidades da plataforma Security Copilot e não fornecem acesso aos dados de segurança.
- Proprietário do Copilot
- Copilot contribuidor
funções de Microsoft Entra
As seguintes funções Microsoft Entra herdam automaticamente o acesso do proprietário da Copilot, garantindo Security Copilot tem sempre, pelo menos, um proprietário. Administrador global é uma função Microsoft Entra que tem proteções incorporadas contra a remoção. Para obter mais informações sobre a continuidade no Microsoft Entra, veja Gerir contas de acesso de emergência.
- Administrador de Segurança
- Administrador Global
Funções recomendadas
Aprovisionar o acesso ao Security Copilot com o grupo de funções de Segurança Recomendadas da Microsoft, que utiliza uma abordagem equilibrada em termos de segurança e eficiência administrativa. Os utilizadores que já têm permissão de segurança através de Microsoft Entra funções têm acesso à plataforma Security Copilot com este pacote. Tem de remover o grupo Todos antes de adicionar as funções de segurança recomendadas para contribuidor acesso.
A lista de funções recomendadas inclui Microsoft Entra ID funções e algumas funções específicas do serviço. Se um plug-in da Microsoft necessitar de uma função diferente para aceder aos respetivos dados de segurança, tem de garantir que também está atribuído. Por exemplo, o pacote funciona bem para um analista que atribuiu a função de administrador de Conformidade, que é uma das funções recomendadas, uma vez que esta função Microsoft Entra também lhes dá acesso aos dados de plug-in do Microsoft Purview. Esse mesmo analista precisa de atribuições de funções adicionais para utilizar sessões Copilot para aceder a dados de segurança, como Microsoft Sentinel. Para obter mais exemplos, veja Aceder às capacidades dos plug-ins da Microsoft.
Atribuição de função | Vantagem | Fraqueza |
---|---|---|
Funções de Segurança da Microsoft recomendadas | Forma rápida e segura de conceder aos utilizadores na sua organização que já têm acesso aos dados de segurança o acesso de que precisam à plataforma. Ainda podem ser adicionadas mais funções, utilizadores e grupos. | O grupo é tudo ou nada. Se existir uma função no grupo recomendado ao qual não pretende ter acesso, todo o grupo tem de ser removido. |
Todos | Por predefinição, este grupo recebeu contribuidor acesso para simplificar o aprovisionamento, mas já não é adicionado automaticamente aos novos clientes. | É confuso se os utilizadores com acesso à plataforma não tiverem acesso aos dados de segurança. Esta opção não está disponível para novos clientes. |
Personalizados | Controlo total sobre utilizadores e grupos com acesso à plataforma. | Requer mais complexidade administrativa. |
Aceder às capacidades dos plug-ins da Microsoft
Security Copilot não vai além do acesso que tem, em linha com o princípio RAI de segurança e privacidade da Microsoft. Cada plug-in da Microsoft tem os seus próprios requisitos de função que permanecem em vigor para aceder ao serviço do plug-in e aos respetivos dados. Verifique se tem as funções e licenças adequadas atribuídas para utilizar as capacidades dos plug-ins da Microsoft que estão ativados.
Considere estes exemplos:
Copilot contribuidor
Como analista, é-lhe atribuída a função copilot contribuidor para acesso à plataforma Copilot e a capacidade de criar sessões. Esta atribuição por si só não lhe dá acesso aos dados de segurança da sua organização. Ao seguir o modelo de menor privilégio, não tem funções de Microsoft Entra confidenciais, como Administrador de Segurança. Para utilizar o Copilot para aceder a dados de segurança como o plug-in Microsoft Sentinel, ainda precisa de uma função RBAC do Azure adequada, como Microsoft Sentinel Reader. Esta função dá-lhe acesso a incidentes na sua área de trabalho Microsoft Sentinel a partir do Copilot. Para que a sua sessão copilot aceda aos dispositivos, políticas e posturas disponíveis através do plug-in de Intune, precisa de uma função Intune como o Endpoint Security Manager. O mesmo padrão aplica-se ao acesso a Microsoft Defender XDR dados através da sua sessão copilot ou das experiências de Security Copilot incorporadas.
Para obter mais informações sobre o RBAC específico do serviço, veja os seguintes artigos:
Microsoft Entra grupo de segurança
Embora a função Administrador de Segurança herda o acesso ao Copilot e a determinadas capacidades de plug-in, esta função inclui permissões. Não atribua esta função aos utilizadores apenas para acesso copilot. Em vez disso, crie um grupo de segurança e adicione esse grupo à função copilot adequada (Proprietário ou Contribuidor).
Para obter mais informações, veja Melhores práticas para Microsoft Entra funções.
Experiências incorporadas do Access
Além da função de contribuidor Copilot, verifique os requisitos de cada Security Copilot experiência incorporada para compreender que funções e licenças adicionais são necessárias.
Para obter mais informações, veja Security Copilot experiências.
Atribuir funções
A tabela seguinte ilustra o acesso predefinido concedido às funções iniciais.
Observação
Algumas organizações ainda podem ter o grupo Todos atribuído ao Copilot contribuidor acesso. Considere substituir este amplo acesso pelo grupo de funções de Segurança Da Microsoft Recomendado .
Recursos | Proprietário do Copilot | Copilot contribuidor |
---|---|---|
Criar sessões | Sim | Sim |
Gerir plug-ins personalizados pessoais | Sim | Não Predefinido |
Permitir que os contribuidores giram plug-ins personalizados pessoais | Sim | Não |
Permitir que os contribuidores publiquem plug-ins personalizados para o inquilino | Sim | Não |
Carregar arquivos | Sim | Sim |
Executar promptbooks | Sim | Sim |
Gerir promptbooks pessoais | Sim | Sim |
Partilhar promptbooks com o inquilino | Sim | Sim |
Atualizar as opções de partilha e feedback de dados | Sim | Não |
Gerenciamento de capacidade | Sim* | Não |
Ver dashboard de utilização | Sim | Não |
Selecionar idioma | Sim | Sim |
Atribuir acesso Security Copilot
Atribua funções copilot nas definições de Security Copilot.
- Selecione o menu base.
- Selecione Atribuição de função>Adicionar membros.
- Comece a escrever o nome da pessoa ou grupo na caixa de diálogo Adicionar membros .
- Selecione a pessoa ou grupo.
- Selecione a função Security Copilot a atribuir (Proprietário copilot ou Contribuidor Copilot).
- Selecione Adicionar.
Dica
Recomendamos que utilize grupos de segurança para atribuir Security Copilot funções em vez de utilizadores individuais. Isto reduz a complexidade administrativa.
As funções Administrador Global e Administrador de Segurança não podem ser removidas do acesso de Proprietário, mas o grupo Todos é amovível do acesso de Contribuidor. Considere adicionar as funções recomendadas depois de remover o grupo todos.
Microsoft Entra associação de função só é gerível a partir do centro de administração do Microsoft Entra. Para obter mais informações, veja Gerir Microsoft Entra funções de utilizador.
Sessões partilhadas
A função copilot contribuidor é o único requisito para partilhar uma ligação de sessão ou vê-la a partir desse inquilino.
Quando partilhar uma ligação de sessão, considere estas implicações de acesso:
- Security Copilot precisa de aceder ao serviço e aos dados de um plug-in para gerar uma resposta, mas esse mesmo acesso não é avaliado ao ver a sessão partilhada. Por exemplo, se tiver acesso a dispositivos e políticas no Intune e o plug-in de Intune for utilizado para gerar uma resposta que partilha, o destinatário da ligação de sessão partilhada não precisa de acesso Intune para ver os resultados completos da sessão.
- Uma sessão partilhada contém todos os pedidos e respostas incluídos na sessão, quer tenha sido partilhado após o primeiro pedido ou o último.
- Apenas o utilizador que cria uma sessão controla quais os utilizadores da Copilot que podem aceder a essa sessão. Se receber uma ligação para uma sessão partilhada do criador da sessão, terá acesso. Se reencaminhar essa ligação para outra pessoa, esta não lhe concede acesso.
- As sessões partilhadas são só de leitura.
- As sessões só podem ser partilhadas com utilizadores no mesmo inquilino que tenham acesso ao Copilot.
- Algumas regiões não suportam a partilha de sessões por e-mail.
SouthAfricaNorth
UAENorth
Para obter mais informações sobre sessões partilhadas, consulte Navegar Security Copilot.
Multilocatário
Se a sua organização tiver vários inquilinos, Security Copilot pode acomodar a autenticação nos mesmos para aceder aos dados de segurança onde Security Copilot está aprovisionada. O inquilino aprovisionado para Security Copilot não precisa de ser o inquilino a partir do qual o seu analista de segurança inicia sessão. Para obter mais informações, veja Navegar Security Copilot mudança de inquilino.
Exemplo de início de sessão entre inquilinos
A Contoso intercalou recentemente com a Fabrikam. Ambos os inquilinos têm analistas de segurança, mas apenas a Contoso comprou e aprovisionou Security Copilot. Angus MacGregor, analista da Fabrikam, quer utilizar a credencial da Fabrikam para utilizar Security Copilot. Eis os passos para realizar este acesso:
Certifique-se de que a conta Fabrikam de Angus MacGregor tem uma conta de membro externo no inquilino da Contoso.
Atribua à conta de membro externo as funções necessárias para aceder ao Security Copilot e aos plug-ins da Microsoft pretendidos.
Inicie sessão no portal Security Copilot com a conta Fabrikam.
Mudar inquilinos para a Contoso.
Para obter mais informações, veja Conceder acesso ao MSSP.