Descrever como habilitar o Microsoft Security Copilot

  • 5 minutos

Para começar a usar o Microsoft Security Copilot, as organizações precisam tomar medidas para integrar o serviço e os usuários. Estes são, entre outros:

  1. Fornecimento de capacidade de copiloto
  2. Configurar o ambiente padrão
  3. Atribuir permissões de função

Capacidade de provisão

O Microsoft Security Copilot é vendido como uma oferta de consumo, o que significa que os clientes são cobrados mensalmente com base em uma capacidade provisionada que é cobrada por hora. A capacidade provisionada é chamada de SCU (unidade de computação de segurança). Uma SCU é a unidade de medida do poder de computação usada para executar o Copilot nas experiências autônomas e incorporadas.

Antes que os usuários possam começar a usar o Copilot, os administradores precisam provisionar e alocar capacidade. Para provisionar capacidade:

  • Precisa de uma subscrição do Azure.

  • Você precisa ser um proprietário ou contribuidor do Azure, em um nível de grupo de recursos, no mínimo.

    Lembre-se de que um administrador global no Microsoft Entra ID não tem necessariamente a função de proprietário do Azure ou de colaborador do Azure por padrão. As atribuições de função do Microsoft Entra não concedem acesso aos recursos do Azure. Como administrador global no Microsoft Entra, você pode habilitar o gerenciamento de acesso para recursos do Azure por meio do portal do Azure. Para obter detalhes, consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Depois de habilitar o gerenciamento de acesso aos recursos do Azure, você pode configurar a função apropriada do Azure.

Há duas opções para a capacidade de provisionamento:

  • Capacidade de provisionamento no Security Copilot (recomendado) - Quando você abre o Security Copilot pela primeira vez como administrador, um assistente o orienta pelas etapas de configuração da capacidade para sua organização. O assistente solicita informações, incluindo sua assinatura do Azure, grupo de recursos, região, nome da capacidade e a quantidade de SCUs.
  • Capacidade de provisionamento por meio do Azure - O portal do Azure agora inclui o Security Copilot como um serviço. Selecionando o serviço, abre a página onde você insere informações, incluindo sua assinatura do Azure, grupo de recursos, região, nome da capacidade e a quantidade de SCUs.

Nota

Independentemente do método escolhido, terá de comprar um mínimo de 1 e um máximo de 100 SCUs.

Independentemente da abordagem escolhida para provisionar capacidade, o processo usa as informações e estabelece um grupo de recursos para o serviço Microsoft Security Copilot, dentro da sua assinatura do Azure. As SCUs são um recurso do Azure dentro desse grupo de recursos. A implantação do recurso do Azure pode levar alguns minutos.

Depois que os administradores concluírem as etapas para integrar ao Copilot, eles poderão gerenciar a capacidade aumentando ou diminuindo as SCUs provisionadas no portal do Azure ou no próprio produto Microsoft Security Copilot. O Security Copilot fornece um painel de monitoramento de uso para proprietários de capacidade, permitindo que eles acompanhem o uso ao longo do tempo e tomem decisões informadas sobre o provisionamento de capacidade. Como proprietário, você tem visibilidade sobre o número de unidades usadas em uma sessão, os plugins específicos empregados durante as sessões e os iniciadores dessas sessões. O painel também permite que você aplique filtros e exporte dados de uso sem problemas. O painel inclui até 90 dias de dados.

Captura de tela mostrando o painel de monitoramento de uso.

Configurar o ambiente padrão

Para configurar o ambiente padrão, você precisa ter uma das seguintes funções de ID do Microsoft Entra:

  • Administrador global
  • Administrador de segurança

Durante a configuração do Security Copilot, você será solicitado a definir as configurações. Estes são, entre outros:

  • Capacidade da SCU - Selecione a capacidade das SCUs provisionadas anteriormente.

  • Armazenamento de dados - Quando uma organização integra o Copilot, o administrador deve confirmar a localização geográfica do locatário, pois os dados do cliente coletados pelos serviços são armazenados lá. O Microsoft Security Copilot opera nos data centers do Microsoft Azure na União Europeia (EUDB), Reino Unido, Estados Unidos, Austrália e Nova Zelândia, Japão, Canadá e América do Sul.

  • Decida onde seus prompts são avaliados - Você pode restringir a avaliação dentro de sua área geográfica ou permitir a avaliação em qualquer lugar do mundo.

  • Registrando dados de auditoria no Microsoft Purview - Como parte da configuração inicial e listada em Configurações do proprietário na experiência autônoma, você pode optar por permitir que o Microsoft Purview processe e armazene ações administrativas, ações do usuário e respostas do Copilot. Isso inclui dados de quaisquer integrações Microsoft e não-Microsoft. Se você optar por participar e já usar o Microsoft Purview, nenhuma ação adicional será necessária. Se você optar por participar, mas ainda não estiver usando o Purview, precisará seguir os guias do Microsoft Purview para configurar uma experiência limitada.

    Captura de tela mostrando as configurações de como você pode configurar o log de auditoria.

  • Dados da sua organização - O administrador também deve aceitar ou desativar as opções de compartilhamento de dados. Essas opções fazem parte da configuração inicial e também estão listadas em Configurações do proprietário na experiência autônoma. Ative ou desative as alternâncias para qualquer uma das seguintes opções:

    • Permitir que a Microsoft capture dados do Security Copilot para validar o desempenho do produto usando a revisão humana: quando ativados, os dados do cliente são compartilhados com a Microsoft para melhorar o produto. Prompts e respostas são avaliados para entender se os plug-ins certos foram selecionados, se a saída é o esperado, como as respostas, latência e formato de saída podem ser melhorados.

    • Permitir que a Microsoft capture e analise dados do Security Copilot para criar e validar o modelo de IA de segurança da Microsoft: Quando ativado, os dados do cliente são compartilhados com a Microsoft para melhoria da IA do Copilot. A aceitação NÃO permite que a Microsoft use os dados do cliente para treinar modelos fundamentais. Os prompts e respostas são avaliados para melhorar as respostas e garantir que sejam o esperado e útil para você.

      Para obter mais informações sobre como a Microsoft lida com seus dados, consulte Segurança e privacidade de dados.

      Captura de tela mostrando as configurações de como você pode configurar o compartilhamento de dados para ajudar a melhorar o Copilot.

  • Configurações de plug-in - O administrador gerencia plug-ins e configura se permite que o Security Copilot acesse dados de seus serviços do Microsoft 365.

    • Configure quem pode adicionar e gerenciar seus próprios plug-ins personalizados e quem pode adicionar e gerenciar plug-ins personalizados para todos na organização.

    • Gerencie a disponibilidade do plugin e restrinja o acesso. Quando ativado, os administradores decidem quais plug-ins novos e existentes estarão disponíveis para todos na sua organização e quais serão restritos apenas aos proprietários.

    • Permita que o Security Copilot aceda a dados dos seus serviços Microsoft 365. Se essa opção estiver desativada, sua organização não poderá usar plug-ins que acessam os serviços do Microsoft 365. Atualmente, esta opção é necessária para o uso do plug-in Microsoft Purview. Definir e/ou alterar essa configuração requer um usuário com uma função de administrador global.

      Captura de tela mostrando as configurações do plug-in e a configuração para permitir que o Security Copilot acesse dados de seus serviços do Microsoft 365.

Permissões de função

Para garantir que os usuários possam acessar os recursos do Copilot, eles precisam ter as permissões de função apropriadas.

As permissões podem ser atribuídas usando funções de ID do Microsoft Entra ou funções de Copiloto de Segurança. Como prática recomendada, forneça a função menos privilegiada aplicável a cada usuário.

As funções do Microsoft Entra ID são:

  • Administrador global
  • Administrador de segurança
  • Operador de segurança
  • Leitor de segurança

Embora essas funções de ID do Microsoft Entra concedam aos usuários níveis variados de acesso ao Copilot, o escopo dessas funções se estende além do Copilot. Por esse motivo, o Security Copilot apresenta duas funções que funcionam como grupos de acesso, mas não são funções de ID do Microsoft Entra. Em vez disso, controlam apenas o acesso às capacidades da plataforma Security Copilot.

As funções do Microsoft Security Copilot são:

  • Proprietário do copiloto
  • Colaborador do copiloto

As funções de Administrador de Segurança e Administrador Global no Microsoft Entra herdam automaticamente o acesso do proprietário do Copilot.

Captura de tela mostrando as configurações de atribuição de função.

Somente os usuários que têm as funções de administrador global, administrador de segurança ou proprietário do Copiloto podem fazer atribuições de função no Copilot adicionando/removendo membros das funções de Proprietário e Colaborador.

Um grupo que os administradores/proprietários podem incluir como membro da função de Colaborador é o grupo de funções de Segurança da Microsoft Recomendadas. Esse grupo existe apenas no Security Copilot e é um pacote de funções existentes do Microsoft Entra. Quando você adiciona esse grupo como membro da função de Colaborador, todos os usuários que são membros das funções de ID do Entra incluídas no grupo de funções de Segurança da Microsoft recomendadas obtêm acesso à plataforma Copilot. Esta opção fornece uma maneira rápida e segura de dar aos usuários em sua organização, que já têm acesso aos dados de segurança usados pelo Copilot por meio de um plug-in da Microsoft, acesso à plataforma Copilot.

Para obter uma lista detalhada das permissões concedidas para cada uma dessas funções, consulte a seção Atribuir funções em Compreender a autenticação no Microsoft Security Copilot.

Plugins de copiloto e requisitos de função

Sua função controla quais atividades você tem acesso, como definir configurações, atribuir permissões ou executar tarefas. O Copilot não vai além do acesso que você tem. Além disso, plug-ins individuais da Microsoft podem ter seus próprios requisitos de função para acessar o serviço e os dados que ele representa. Por exemplo, um analista ao qual tenha sido atribuída uma função de operador de segurança ou uma função de colaborador do espaço de trabalho Copilot pode acessar o portal Copilot e criar sessões, mas para utilizar o plug-in Microsoft Sentinel precisaria de uma função apropriada como o Microsoft Sentinel Reader para acessar incidentes no espaço de trabalho. Para acessar os dispositivos, privilégios e políticas disponíveis por meio do plug-in do Microsoft Intune, esse mesmo analista precisaria de outra função específica do serviço, como a função Intune Endpoint Security Manager.

De um modo geral, os plugins da Microsoft no Copilot usam o modelo OBO (em nome de) – o que significa que o Copilot sabe que um cliente tem licenças para produtos específicos e está automaticamente conectado a esses produtos. O Copilot pode então acessar os produtos específicos quando o plug-in está ativado e, quando aplicável, os parâmetros são configurados. Alguns plug-ins da Microsoft que exigem instalação podem incluir parâmetros configuráveis que são usados para autenticação em vez do modelo OBO.