Beskriva hur du aktiverar Microsoft Security Copilot

  • 5 minuter

För att börja använda Microsoft Security Copilot måste organisationer vidta åtgärder för att registrera tjänsten och användarna. Dessa kan vara:

  1. Etablera Copilot-kapacitet
  2. Konfigurera standardmiljön
  3. Tilldela rollbehörigheter

Etablera kapacitet

Microsoft Security Copilot säljs som ett förbrukningserbjudande, vilket innebär att kunderna faktureras varje månad baserat på en etablerad kapacitet som faktureras per timme. Den etablerade kapaciteten kallas för en säkerhetsberäkningsenhet (SCU). En SCU är måttenheten för beräkningskraft som används för att köra Copilot i både fristående och inbäddade upplevelser.

Innan användarna kan börja använda Copilot måste administratörer etablera och allokera kapacitet. Så här etablerar du kapacitet:

  • Du måste ha en Azure-prenumeration.

  • Du måste minst vara Azure-ägare eller Azure-deltagare på resursgruppsnivå.

    Tänk på att en global administratör i Microsoft Entra-ID inte nödvändigtvis har rollen Azure-ägare eller Azure-deltagare som standard. Microsoft Entra-rolltilldelningar beviljar inte åtkomst till Azure-resurser. Som global administratör i Microsoft Entra kan du aktivera åtkomsthantering för Azure-resurser via Azure Portal. Mer information finns i Utöka åtkomsten för att hantera alla Azure-prenumerationer och hanteringsgrupper. När du har aktiverat åtkomsthantering till Azure-resurser kan du konfigurera lämplig Azure-roll.

Det finns två alternativ för att etablera kapacitet:

  • Etablera kapacitet i Security Copilot (rekommenderas) – När du först öppnar Security Copilot som administratör vägleder en guide dig genom stegen för att konfigurera kapacitet för din organisation. Guiden uppmanar dig att ange information, inklusive din Azure-prenumeration, resursgrupp, region, kapacitetsnamn och antalet SKU:er.
  • Etablera kapacitet via Azure – Azure Portal innehåller nu Security Copilot som en tjänst. Om du väljer tjänsten öppnas sidan där du anger information, inklusive din Azure-prenumeration, resursgrupp, region, kapacitetsnamn och antalet SKU:er.

Kommentar

Oavsett vilken metod du väljer måste du köpa minst 1 och högst 100 SKU:er.

Oavsett vilken metod du väljer att etablera kapacitet tar processen informationen och etablerar en resursgrupp för Microsoft Security Copilot-tjänsten i din Azure-prenumeration. SKU:erna är en Azure-resurs i den resursgruppen. Det kan ta några minuter att distribuera Azure-resursen.

När administratörerna har slutfört stegen för att registrera sig för Copilot kan de hantera kapaciteten genom att öka eller minska etablerade SKU:er inom Azure Portal eller själva Microsoft Security Copilot-produkten. Security Copilot tillhandahåller en instrumentpanel för användningsövervakning för kapacitetsägare som gör det möjligt för dem att spåra användningen över tid och fatta välgrundade beslut om kapacitetsetablering. Som ägare har du insyn i antalet enheter som används i en session, de specifika plugin-program som används under sessioner och initierarna för dessa sessioner. På instrumentpanelen kan du också använda filter och exportera användningsdata sömlöst. Instrumentpanelen innehåller upp till 90 dagars data.

Skärmbild som visar instrumentpanelen för användningsövervakning.

Konfigurera standardmiljön

Om du vill konfigurera standardmiljön måste du ha någon av följande Microsoft Entra-ID-roller:

  • Global administratör
  • Säkerhetsadministratör

Under installationen av Security Copilot uppmanas du att konfigurera inställningar. Dessa kan vara:

  • SCU-kapacitet – Välj kapaciteten för SKU:er som tidigare etablerats.

  • Datalagring – När en organisation registrerar sig för Copilot måste administratören bekräfta klientorganisationens geografiska plats eftersom kunddata som samlas in av tjänsterna lagras där. Microsoft Security Copilot är verksamt i Microsoft Azure-datacenter i Europeiska unionen (EUDB), Storbritannien, USA, Australien och Nya Zeeland, Japan, Kanada och Sydamerika.

  • Bestäm var dina frågor utvärderas – Du kan begränsa utvärderingen inom din geo eller tillåta utvärdering var som helst i världen.

  • Loggning av granskningsdata i Microsoft Purview – Som en del av den inledande installationen och som anges under Ägarinställningar i den fristående upplevelsen kan du välja att tillåta att Microsoft Purview bearbetar och lagrar administratörsåtgärder, användaråtgärder och Copilot-svar. Detta omfattar data från alla Microsoft- och icke-Microsoft-integreringar. Om du anmäler dig och redan använder Microsoft Purview krävs ingen ytterligare åtgärd. Om du anmäler dig men inte redan använder Purview måste du följa Microsoft Purview-guiderna för att konfigurera en begränsad upplevelse.

    Skärmbild som visar inställningarna för hur du kan konfigurera granskningsloggning.

  • Organisationens data – Administratören måste också välja att inte dela data eller välja bort alternativ för datadelning. De här alternativen är en del av den första installationen och visas även under Ägarinställningar i den fristående upplevelsen. Aktivera eller inaktivera reglagen för något av följande alternativ:

    • Tillåt Microsoft att samla in data från Security Copilot för att verifiera produktprestanda med mänsklig granskning: När det är aktiverat delas kunddata med Microsoft för produktförbättring. Uppmaningar och svar utvärderas för att förstå om rätt plugin-program har valts, om utdata är vad som förväntades, hur svar, svarstid och utdataformat kan förbättras.

    • Tillåt Microsoft att samla in och granska data från Security Copilot för att skapa och validera Microsofts säkerhets-AI-modell: När den är aktiverad delas kunddata med Microsoft for Copilot AI-förbättring. Om du väljer tillåter inte Microsoft att använda kunddata för att träna grundläggande modeller. Uppmaningar och svar utvärderas för att förbättra svaren och för att säkerställa att de är vad som förväntas och är användbara för dig.

      Mer information om hur Microsoft hanterar dina data finns i Datasäkerhet och sekretess.

      Skärmbild som visar inställningarna för hur du kan konfigurera datadelning för att förbättra Copilot.

  • Plugin-inställningar – Administratören hanterar plugin-program och konfigurerar om security Copilot ska få åtkomst till data från dina Microsoft 365-tjänster.

    • Konfigurera vem som kan lägga till och hantera egna anpassade plugin-program och vem som kan lägga till och hantera anpassade plugin-program för alla i organisationen.

    • Hantera tillgänglighet för plugin-program och begränsa åtkomsten. När de är aktiverade bestämmer administratörer vilka nya och befintliga plugin-program som ska vara tillgängliga för alla i din organisation och som endast ska vara begränsade till ägare.

    • Tillåt att Security Copilot får åtkomst till data från dina Microsoft 365-tjänster. Om det här alternativet är inaktiverat kan din organisation inte använda plugin-program som har åtkomst till Microsoft 365-tjänster. För närvarande krävs det här alternativet för användning av Plugin-programmet Microsoft Purview. För att ställa in och/eller ändra den här inställningen krävs en användare med en Global administratör roll.

      Skärmbild som visar plugin-inställningarna och inställningen för att tillåta Security Copilot att komma åt data från dina Microsoft 365-tjänster.

Rollbehörigheter

För att säkerställa att användarna kan komma åt funktionerna i Copilot måste de ha rätt rollbehörigheter.

Behörigheter kan tilldelas med hjälp av Microsoft Entra-ID-roller eller Security Copilot-roller. Vi rekommenderar att du anger den minst privilegierade roll som gäller för varje användare.

Microsoft Entra ID-rollerna är:

  • Global administratör
  • Säkerhetsadministratör
  • Säkerhetsoperatör
  • Säkerhetsläsare

Även om dessa Microsoft Entra ID-roller ger användare varierande åtkomstnivåer till Copilot, sträcker sig omfånget för dessa roller bortom Copilot. Därför introducerar Security Copilot två roller som fungerar som åtkomstgrupper men som inte är Microsoft Entra-ID-roller. I stället styr de bara åtkomsten till funktionerna i Security Copilot-plattformen.

Microsoft Security Copilot-rollerna är:

  • Copilot-ägare
  • Copilot-deltagare

Rollerna Säkerhetsadministratör och Global administratör i Microsoft Entra ärver automatiskt Copilot-ägaråtkomst.

Skärmbild som visar rolltilldelningsinställningarna.

Endast användare som har rollen global administratör, säkerhetsadministratör eller Copilot-ägare kan göra rolltilldelningar i Copilot genom att lägga till/ta bort medlemmar från rollerna Ägare och Deltagare.

En grupp som administratörer/ägare kan inkludera som medlem i deltagarrollen är gruppen Rekommenderade Microsoft-säkerhetsroller . Den här gruppen finns bara i Security Copilot och är ett paket med befintliga Microsoft Entra-roller. När du lägger till den här gruppen som medlem i deltagarrollen får alla användare som är medlemmar i Entra-ID-rollerna som ingår i den rekommenderade Microsoft Security-rollgruppen åtkomst till Copilot-plattformen. Det här alternativet ger ett snabbt och säkert sätt att ge användare i din organisation, som redan har åtkomst till säkerhetsdata som används av Copilot via ett Microsoft-plugin-program, åtkomst till Copilot-plattformen.

En detaljerad lista över de behörigheter som beviljats för var och en av dessa roller finns i avsnittet Tilldela roller i Förstå autentisering i Microsoft Security Copilot.

Copilot-plugin-program och rollkrav

Din roll styr vilka aktiviteter du har åtkomst till, till exempel att konfigurera inställningar, tilldela behörigheter eller utföra uppgifter. Copilot går inte längre än den åtkomst du har. Dessutom kan enskilda Microsoft-plugin-program ha egna rollkrav för åtkomst till tjänsten och data som den representerar. Till exempel kan en analytiker som har tilldelats en roll som säkerhetsoperatör eller en Copilot-arbetsytedeltagare komma åt Copilot-portalen och skapa sessioner, men för att använda Plugin-programmet Microsoft Sentinel behöver du en lämplig roll som Microsoft Sentinel Reader för att få åtkomst till incidenter på arbetsytan. För att få åtkomst till de enheter, behörigheter och principer som är tillgängliga via Microsoft Intune-plugin-programmet skulle samma analytiker behöva en annan tjänstspecifik roll som Intune Endpoint Security Manager-rollen.

I allmänhet använder Microsoft-plugin-program i Copilot OBO-modellen (på uppdrag av) – vilket innebär att Copilot vet att en kund har licenser för specifika produkter och automatiskt loggas in på dessa produkter. Copilot kan sedan komma åt de specifika produkterna när plugin-programmet är aktiverat och, i förekommande fall, parametrar konfigureras. Vissa Microsoft-plugin-program som kräver installation kan innehålla konfigurerbara parametrar som används för autentisering i stället för OBO-modellen.