Описание способов использования Microsoft Security Copilot на практике

  • 5 мин

Чтобы начать использовать Microsoft Security Copilot, организациям необходимо предпринять шаги по подключению этой службы и пользователей. Например:

  1. Подготовка емкости Copilot
  2. Настройка среды по умолчанию
  3. Назначение разрешений для ролей

Подготовка емкости

Корпорация Майкрософт Security Copilot продается как потребляющее предложение, что означает, что клиенты выставляются ежемесячно на основе подготовленной емкости, выставленной по часам. Подготовленная емкость называется единицей вычислений безопасности (SCU). SCU — это единица измерения вычислительной мощности, используемой для запуска Copilot в автономных и внедренных интерфейсах.

Прежде чем пользователи смогут начать использовать Copilot, администраторы должны подготовить и выделить емкость. Для подготовки емкости:

  • У вас должна быть подписка Azure.

  • Необходимо быть владельцем Azure или участником Azure на уровне группы ресурсов как минимум.

    Помните, что глобальный администратор в идентификаторе Microsoft Entra id не обязательно имеет роль владельца Azure или участника Azure по умолчанию. Назначения ролей Microsoft Entra не предоставляют доступ к ресурсам Azure. В качестве глобального администратора в Microsoft Entra можно включить управление доступом для ресурсов Azure с помощью портал Azure. Дополнительные сведения см. в статье "Повышение прав доступа" для управления всеми подписками Azure и группами управления. После включения управления доступом к ресурсам Azure можно настроить соответствующую роль Azure.

Существует два варианта подготовки емкости:

  • Подготовка емкости в рамках Безопасности Copilot (рекомендуется) — при первом открытии Безопасности Copilot в качестве администратора мастер поможет вам выполнить действия по настройке емкости для вашей организации. Мастер запрашивает сведения, включая подписку Azure, группу ресурсов, регион, имя емкости и количество SKU.
  • Подготовка емкости через Azure — портал Azure теперь включает в себя Безопасность Copilot в качестве службы. При выборе службы откроется страница, в которой вы вводите входные данные, включая подписку Azure, группу ресурсов, регион, имя емкости и количество SKU.

Примечание.

Независимо от выбранного метода, вам потребуется приобрести не менее 1 и не более 100 SKU.

Независимо от подхода, который вы решили подготовить емкость, процесс принимает сведения и устанавливает группу ресурсов для службы Microsoft Security Copilot в подписке Azure. SKU — это ресурс Azure в этой группе ресурсов. Развертывание ресурса Azure может занять несколько минут.

После того как администраторы завершают действия по подключению к Copilot, они могут управлять емкостью, увеличивая или уменьшая подготовленные SKU в рамках портал Azure или самого продукта Microsoft Security Copilot. Безопасность Copilot предоставляет панель мониторинга использования для владельцев емкости, позволяя им отслеживать использование с течением времени и принимать обоснованные решения о подготовке емкости. Как владелец, у вас есть представление о количестве единиц, используемых в сеансе, конкретных подключаемых модулей, используемых во время сеансов, и инициаторов этих сеансов. Панель мониторинга также позволяет легко применять фильтры и экспортировать данные об использовании. Панель мониторинга содержит данные за период до 90 дней.

Снимок экрана, показывающий панель мониторинга использования.

Настройка среды по умолчанию

Чтобы настроить среду по умолчанию, необходимо иметь одну из следующих ролей идентификатора Microsoft Entra ID:

  • Глобальный администратор.
  • администратор безопасности;

Во время настройки Безопасности Copilot вам будет предложено настроить параметры. Например:

  • Емкость SCU — выберите емкость ЦС, подготовленных ранее.

  • Хранилище данных. При подключении организации к Copilot администратор должен подтвердить географическое расположение клиента в качестве данных клиента, собранных службами. Microsoft Security Copilot работает в центрах обработки данных Microsoft Azure в Европейском союзе (EUDB), Соединенном Королевстве, США, Австралии и Новой Зеландии, Японии, Канаде и Южной Америке.

  • Определите, где вычисляются ваши запросы. Вы можете ограничить оценку в пределах своего географического региона или разрешить оценку в любом месте мира.

  • Ведение журнала данных аудита в Microsoft Purview. В рамках начальной настройки и в разделе "Параметры владельца" в автономном интерфейсе можно разрешить Microsoft Purview обрабатывать и хранить действия администратора, действия пользователей и ответы Copilot. К таким данным относятся данные любых интеграциий Майкрософт и других производителей. Если вы выбрали и уже используете Microsoft Purview, дальнейшие действия не требуются. Если вы решили, но еще не используете Purview, необходимо следовать руководствам Microsoft Purview, чтобы настроить ограниченный интерфейс.

    Снимок экрана, показывающий параметры настройки ведения журнала аудита.

  • Данные вашей организации — администратор должен также отказаться от параметров общего доступа к данным или отказаться от него. Эти параметры являются частью начальной настройки, а также перечислены в разделе "Параметры владельца" в автономном интерфейсе. Включите или отключите переключатели для любого из следующих параметров:

    • Разрешить корпорации Майкрософт собирать данные из Security Copilot для проверки производительности продукта с помощью проверки качества продукта: при включении данные клиентов совместно используются корпорацией Майкрософт для улучшения продукта. Запросы и ответы оцениваются, чтобы понять, были ли выбраны правильные подключаемые модули, если выходные данные ожидаемы, как можно улучшить ответы, задержку и формат вывода.

    • Разрешить Корпорации Майкрософт собирать и просматривать данные из Security Copilot для создания и проверки модели ИИ безопасности Майкрософт: при включении данные клиентов совместно используются корпорацией Майкрософт для улучшения ИИ Copilot. Согласие не позволяет корпорации Майкрософт использовать данные клиента для обучения базовых моделей. Запросы и ответы оцениваются для улучшения ответов и обеспечения того, что они ожидаются и полезны для вас.

      Дополнительные сведения о том, как корпорация Майкрософт обрабатывает ваши данные, см. в разделе "Безопасность и конфиденциальность данных".

      Снимок экрана, показывающий параметры настройки общего доступа к данным для улучшения Copilot.

  • Параметры подключаемого модуля — администратор управляет подключаемыми модулями и настраивает, разрешать ли безопасность Copilot получать доступ к данным из служб Microsoft 365.

    • Настройте пользователей, которые могут добавлять собственные пользовательские подключаемые модули и управлять ими для всех пользователей в организации.

    • Управление доступностью подключаемого модуля и ограничение доступа. При включении администраторы решают, какие новые и существующие подключаемые модули будут доступны всем пользователям в вашей организации, и которые будут ограничены только владельцами.

    • Разрешить Безопасности Copilot получать доступ к данным из служб Microsoft 365. Если этот параметр отключен, ваша организация не сможет использовать подключаемые модули, которые обращаются к службам Microsoft 365. В настоящее время этот параметр необходим для использования подключаемого модуля Microsoft Purview. Для этого параметра требуется пользователь с ролью глобального администратора.

      Снимок экрана, показывающий параметры подключаемого модуля и параметр, позволяющий Безопасности Copilot получать доступ к данным из служб Microsoft 365.

Разрешения роли

Чтобы пользователи могли получить доступ к функциям Copilot, им необходимо иметь соответствующие разрешения роли.

Разрешения можно назначать с помощью ролей идентификатора Microsoft Entra или ролей Безопасности Copilot. Рекомендуется предоставить наименьшую привилегированную роль, применимую для каждого пользователя.

Роли идентификатора Microsoft Entra:

  • Глобальный администратор.
  • администратор безопасности;
  • Оператор безопасности
  • Читатель сведений о безопасности

Хотя эти роли идентификатора Microsoft Entra предоставляют пользователям различные уровни доступа к Copilot, область этих ролей расширяется за пределами Copilot. По этой причине Безопасность Copilot представляет две роли, такие как группы доступа, но не являются ролями идентификатора Microsoft Entra. Вместо этого они управляют доступом только к возможностям платформы Security Copilot.

Роли Microsoft Security Copilot:

  • Владелец Copilot
  • Участник Copilot

Роли администратора безопасности и глобального администратора в Microsoft Entra автоматически наследуют доступ владельца Copilot.

Снимок экрана, показывающий параметры назначения ролей.

Только пользователи, у которых есть глобальный администратор, администратор безопасности или роли владельца Copilot, могут назначать роли в Copilot, добавляя или удаляя участников из ролей владельца и участника.

Группа, которую администраторы и владельцы могут включать в качестве участника роли участника, является группой рекомендуемых ролей Безопасности Майкрософт. Эта группа существует только в Security Copilot и представляет собой пакет существующих ролей Microsoft Entra. При добавлении этой группы в качестве члена роли участника все пользователи, которые являются членами ролей идентификатора записи, включенных в рекомендуемую группу ролей безопасности Майкрософт, получают доступ к платформе Copilot. Этот параметр обеспечивает быстрый, безопасный способ предоставления пользователям в организации доступа к данным безопасности, используемым Copilot через подключаемый модуль Майкрософт, доступ к платформе Copilot.

Подробный список разрешений, предоставленных для каждой из этих ролей, см. в разделе "Назначение ролей" в разделе "Общие сведения о проверке подлинности" в Microsoft Security Copilot.

Подключаемые модули Copilot и требования к роли

Роль определяет, к каким действиям у вас есть доступ, например настройка параметров, назначение разрешений или выполнение задач. Copilot не выходит за рамки доступа, который у вас есть. Кроме того, отдельные подключаемые модули Майкрософт могут иметь собственные требования к роли для доступа к службе и данным, которые он представляет. Например, аналитик, которому назначена роль оператора безопасности или роль участника рабочей области Copilot, может получить доступ к порталу Copilot и создавать сеансы, но для использования подключаемого модуля Microsoft Sentinel потребуется соответствующая роль, например Microsoft Sentinel Reader для доступа к инцидентам в рабочей области. Чтобы получить доступ к устройствам, привилегиям и политикам, доступным через подключаемый модуль Microsoft Intune, для этого того же аналитика потребуется другая роль, например роль Intune Endpoint Security Manager.

Как правило, подключаемые модули Майкрософт в Copilot используют модель OBO (от имени) — это означает, что Copilot знает, что клиент имеет лицензии на определенные продукты и автоматически входит в эти продукты. После этого Copilot может получить доступ к определенным продуктам, если подключаемый модуль включен и, где применимо, настроены параметры. Некоторые подключаемые модули Майкрософт, требующие установки, могут включать настраиваемые параметры, используемые для проверки подлинности на основе модели OBO.