将零信任原则应用于Microsoft安全警察
摘要:若要将零信任原则应用于Microsoft安全 Copilot 的环境,需要应用五层保护:
- 使用身份验证和访问控制策略保护管理员和 SecOps 员工用户帐户。
- 对管理员和 SecOps 员工用户帐户应用最低权限访问权限,包括分配最小用户帐户角色。
- 管理和保护管理员和 SecOps 员工设备。
- 部署或验证威胁防护。
- 安全访问与安全 Copilot 集成的第三方安全产品。
简介
作为将Microsoft安全 Copilot 引入环境中的一部分,Microsoft建议为管理员和 SecOps 员工用户帐户和设备构建强大的安全基础。 Microsoft 还建议确保已配置威胁防护工具。 如果要将第三方安全产品与安全 Copilot 集成,请确保已保护对这些产品和相关数据的访问。
幸运的是,强大安全基础的指导以“零信任”的形式存在。 零信任安全策略将每个连接和资源请求都视为源自不受控制的网络和不良参与者。 无论请求来自何处或者它要访问哪些资源,零信任都教导我们“不要信任,始终验证”。
从安全门户内部,安全 Copilot 提供一种自然语言、辅助性 Copilot 体验,可帮助支持:
端到端方场景中,负责事件响应、威胁搜寻、情报收集和状况管理等的安全性专业人员。
负责策略评估和配置、设备和用户访问故障排除和性能监视等的 IT 专业人员。
安全 Copilot 对Microsoft和第三方订阅和安全产品使用事件日志、警报、事件和策略中的数据。 如果攻击者入侵已分配有安全 Copilot 角色的管理员或安全人员用户帐户,他们可以使用安全 Copilot 及其结果来了解 SecOps 团队正在如何处理正在进行的攻击。 然后,攻击者可以使用此信息来阻挠对事件做出响应的尝试,该事件可能正是他们发起的。
因此,必须确保已在环境中应用了适当的缓解措施。
逻辑体系结构
引入安全 Copilot 时的第一道防线是将零信任原则应用于管理员和 SecOps 员工的帐户和设备。 确保组织应用最低特权原则也很重要。 除了 特定于 Copilot 的角色,安全工具中管理员和 SecOps 员工分配的角色确定他们在使用安全 Copilot 时有权访问哪些数据。
通过查看此处所示的安全 Copilot 的逻辑体系结构,很容易理解为什么这些缓解措施非常重要。
在图中:
SecOps 团队成员可以提示使用 copilot 体验,例如安全 Copilot、Microsoft Defender XDR 和 Microsoft Intune 提供的体验。
安全 Copilot 组件包括:
安全 Copilot 服务,用于协调对用户和基于技能的提示的响应。
安全警察的一组大型语言模型(LLM)。
用于特定产品的插件。 提供了 Microsoft 产品的预安装插件。 这些插件会对提示进行预处理和后处理。
订阅数据。 事件日志、警报、事件和策略的 SecOps 数据存储在订阅中。 有关详细信息,请参阅此 Microsoft Sentinel 文章,以了解安全产品的最常见数据源。
上传的文件。 可以将 特定文件 上传到安全 Copilot,并将其包含在提示范围内。
具有 copilot 体验的每个 Microsoft 安全产品仅提供对与该产品关联的数据集的访问权限,例如事件日志、警报、事件和策略。 安全 Copilot 提供对用户有权访问的所有数据集的访问权限。
有关详细信息,请参阅 Microsoft安全 Copilot 入门。
代理身份验证如何与安全 Copilot 配合使用?
安全 Copilot 使用 OAuth 2.0 提供的代理 (OBO) 身份验证。 这是由 OAuth 中的委派提供的身份验证流。 当 SecOps 用户发出提示时,Security Copilot 会通过请求链传递用户的标识和权限。 这可以防止用户获得对其不应具有访问权限的资源的权限。
有关 OBO 身份验证的详细信息,请参阅 Microsoft 标识平台和 OAuth2.0 代理流。
在 Microsoft 安全产品中提示:Microsoft Intune 的嵌入式示例
使用安全 Copilot 的嵌入体验之一时,数据的范围取决于你正在使用的产品上下文。 例如,如果在 Microsoft Intune 中发出提示,则仅从 Microsoft Intune 提供的数据和上下文生成结果。
下面是从 Microsoft Intune 嵌入式体验中发出提示时的逻辑体系结构。
在图中:
Intune 管理员使用 Intune 体验中的 Microsoft Copilot 提交提示。
安全 Copilot 组件使用以下命令协调对提示的响应:
安全警察的 LLM。
Microsoft Intune 预安装插件。
Microsoft 365 订阅中存储的设备、策略和安全状况的 Intune 数据。
与第三方安全产品集成
安全 Copilot 提供为第三方产品托管插件的功能。 这些第三方插件提供对其关联数据的访问权限。 这些插件及其关联的数据位于 Microsoft 安全信任边界之外。 因此,请务必确保已保护对这些应用程序及其关联数据的访问。
下面是具有第三方安全产品的安全 Copilot 的逻辑体系结构。
在图中:
- Security Copilot 通过插件与第三方安全产品集成。
- 这些插件提供对与产品关联的数据的访问权限,例如日志和警报。
- 这些第三方组件驻留在 Microsoft 安全信任边界之外。
将安全缓解措施应用于安全 Copilot 环境
本文的其余部分将指导你完成应用零信任原则以准备安全 Copilot 环境的步骤。
| 步长 | 任务 | 已应用零信任原则 |
|---|---|---|
| 1 | 为管理员和 SecOps 员工部署或验证身份验证和访问控制策略。 | 显式验证 |
| 2 | 将最低权限应用于管理员和 SecOps 用户帐户。 | 使用最低权限访问 |
| 3 | 保护用于特权访问的设备。 | 显式验证 |
| 4 | 部署或验证威胁防护服务。 | 假定数据泄露 |
| 5 | 安全访问第三方安全产品和数据。 | 显式验证 使用最低权限访问 假定数据泄露 |
在为环境配置保护时,可以通过多种方法将管理员和 SecOps 员工加入安全 Copilot。
每用户加入安全 Copilot
在为安全 Copilot 分配角色之前,请至少演练管理员和 SecOps 员工的清单。 这适用于希望从测试组或试点组开始的小团队和组织。
安全 Copilot 的分阶段部署
对于大型环境,更标准的分阶段部署效果良好。 在此模型中,你将同时处理用户组以配置保护和分配角色。
下面是一个示例模型。
在图中:
- 在 “评估 ”阶段,你将选取一组想要访问安全 Copilot 的管理员和 SecOps 用户,并应用标识和访问和设备保护。
- 在“试点”阶段,选择下一组管理员和 SecOps 用户,并应用身份验证和访问控制以及设备保护。
- 在“完整部署”阶段,你将为管理员和 SecOps 身份验证和访问控制以及设备保护。
- 在每个阶段结束时,你将安全 Copilot 中的相应角色分配给用户帐户。
由于不同的组织可能处于为其环境部署零信任保护的各个阶段,因此在以下步骤中:
- 如果不使用步骤中所述的任何保护,请在分配包括安全 Copilot 的角色之前,花时间试点并将它们部署到管理员和 SecOps 员工。
- 如果已在使用步骤中所述的一些保护,请使用步骤中的信息作为清单,并验证在分配包含安全 Copilot 的角色之前是否已试点和部署每个保护。
步骤 1. 为管理员和 SecOps 员工部署或验证身份验证和访问控制策略
为了防止不良参与者使用安全 Copilot 快速获取有关网络攻击的信息,第一步是阻止他们获取访问权限。 必须确保管理员和 SecOps 员工:
- 用户帐户需要使用多重身份验证 (MFA),因此无法单独通过猜测用户密码来泄露其访问权限,并且当检测到高风险活动时,必须更改其密码。
- 设备必须符合 Intune 管理和设备合规性策略。
有关身份验证和访问控制策略建议,请参阅适用于 Microsoft 365 的 Copilot 的零信任中的身份验证和访问控制步骤。 根据本文中的建议,确保生成的配置对所有 SecOps 员工用户帐户及其设备应用以下策略:
这些建议与 Microsoft 的零信任标识和设备访问策略中的专用安全保护级别保持一致。 下图演示了建议的三个保护级别:起点级别、企业级别和专用级别。 企业保护级别是建议对特权帐户设置的最低保护级别。
在关系图中,针对 Microsoft Entra 条件访问、Intune 设备合规性和 Intune 应用保护的建议策略针对以下三个级别中的每一个进行了说明:
- 起点级别,不需要设备管理。
- 建议使用企业版进行零信任,并至少访问安全 Copilot 以及第三方安全产品和相关数据。
- 建议使用专用安全性 访问安全 Copilot 和第三方安全产品和相关数据。
适用于 Microsoft 365 组织的通用零信任标识和设备访问策略中更详细地介绍了这些策略。
为特权用户配置单独的策略集
为管理员和 SecOps 员工配置这些策略时,请为这些特权用户创建一组单独的策略。 例如,不要将管理员添加到管理对非特权用户访问应用(如 Microsoft 365 和 Salesforce)的相同策略集中。 使用一组专用策略,其中包含适用于特权帐户的保护。
在条件访问策略范围内包括安全工具
目前,没有一种简单的方法来配置安全 Copilot 的条件访问。 但是,由于代表身份验证用于访问安全工具中的数据,因此请确保已为这些工具配置条件访问,这些工具可能包括 Microsoft Entra ID 和 Microsoft Intune。
步骤 2. 将最低权限应用于管理员和 SecOps 用户帐户
此步骤包括配置安全 Copilot 中的相应角色。 它还包括查看管理员和 SecOps 用户帐户,以确保为他们打算完成的工作分配最少的权限。
将用户帐户分配到安全 Copilot 角色
安全 Copilot 的权限模型包括Microsoft Entra ID 和安全 Copilot 中的角色。
| 产品 | 角色 | 说明 |
|---|---|---|
| Microsoft Entra ID | 安全管理员 全局管理员 |
这些Microsoft Entra 角色继承 安全 Copilot 中的 Copilot 所有者 角色。 仅使用这些特权角色将安全 Copilot 载入组织。 |
| 安全 Copilot | Copilot 所有者 Copilot 参与者 |
这两个角色包括访问安全 Copilot。 大多数管理员和 SecOps 员工都可以使用 Copilot 参与者角色。 Copilot 所有者角色包括发布自定义插件和管理影响所有安全 Copilot 的设置的功能。 |
请务必知悉,默认情况下,租户中的所有用户都被授予 Copilot 参与者访问权限。 使用此配置,对安全工具数据的访问权限受你为每个安全工具配置的权限的约束。 此配置的优点是,安全 Copilot 的嵌入式体验立即可供管理员和 SecOps 员工在日常使用的产品中使用。 如果你已采用组织中最低特权访问的强做法,则此配置会很有效。
如果要在优化组织中的最低特权访问权限时,采取暂存方法向管理员和 SecOps 员工介绍安全 Copilot,请从 Copilot 参与者角色中删除所有用户,并在准备就绪时添加安全组。
有关详细信息,请参阅以下Microsoft安全 Copilot 资源:
配置或查看管理员和 SecOps 用户帐户的最低特权访问权限
引入 Security Copilot 是查看管理员和 SecOps 员工用户帐户的访问权限的好时机,以确保你遵循其访问特定产品的最低特权原则。 这包含以下任务:
- 查看管理员和 SecOps 员工处理的特定产品授予的权限。 例如,对于 Microsoft Entra,请参阅按任务划分的最低特权角色。
- 使用 Microsoft Entra Privileged Identity Management (PIM) 更好地控制对安全 Copilot 的访问。
- 使用 Microsoft Purview Privileged Access Management 在 Office 365 中配置对特权管理员任务的精细访问控制。
将 Microsoft Entra Privileged Identity Management 与安全 Copilot 结合使用
Microsoft Entra Privileged Identity Management (PIM) 允许管理、控制和监视访问安全 Copilot 所需的角色。 使用 PIM,可以:
- 提供基于时间的角色激活。
- 要求获得批准才能激活特权角色。
- 强制实施 MFA 以激活任何角色。
- 激活特权角色时获取通知。
- 进行访问评审,以确保管理员和 SecOps 员工用户帐户仍需要已分配的角色。
- 执行审核,检查管理员和 SecOps 员工的访问权限和角色更改。
将特权访问管理与安全 Copilot 结合使用
Microsoft Purview Privileged Access Management 可帮助你保护组织遭到入侵,并通过限制对敏感数据的长期访问或对关键配置设置的访问来帮助满足合规性最佳做法。 对于需要提升权限的任务,将实现实时访问规则,而不是具有常量访问权限的管理员。 对于需要提升权限的任务,将实现实时访问规则,而不是具有常量访问权限的管理员。 有关详细信息,请参阅 特权访问管理。
步骤 3. 保护用于特权访问的设备
在步骤 1 中,你为管理员和 SecOps 员工配置了需要托管和合规设备的条件访问策略。 为了提高安全性,你可以为员工部署特权访问设备,以便在访问安全工具和数据(包括安全 Copilot)时使用。 特权访问设备是一个强化的工作站,具有明确的应用程序控制和应用程序防护。 工作站使用凭据防护、设备防护、应用防护和攻击防护来保护主机免遭攻击者的攻击。
有关如何为特权访问配置设备的详细信息,请参阅在特权访问故事过程中保护设备。
若要使用这些设备,请务必更新 Intune 设备合规性策略。 如果要将管理员和 SecOps 员工转换为强化设备,请将安全组从原始设备合规性策略转换为新策略。 条件访问规则可以保持不变。
步骤 4. 部署或验证威胁防护服务
若要检测不良参与者的活动,并防止其访问安全 Copilot,请确保可以使用全面的威胁防护服务套件来检测和响应安全事件,其中包括具有 Microsoft 365、Microsoft Sentinel 和其他安全服务和产品的 Microsoft Defender XDR。
使用以下资源。
| 范围 | 说明和资源 |
|---|---|
| 与 Microsoft Entra 集成的 Microsoft 365 和 SaaS 应用 | 有关如何从 Microsoft 365 E3 计划开始并逐步推进 Microsoft E5 计划以加强威胁防护的指南,请参阅 Microsoft 365 Copilot 的零信任文章。 对于 Microsoft 365 E5 计划,另请参阅评估和试点 Microsoft Defender XDR 安全。 |
| Azure 云资源 其他云提供商中的资源,例如 Amazon Web Services (AWS) |
参考以下资源开始使用 Defender for Cloud: - Microsoft Defender for Cloud - 将零信任原则应用于 AWS 中的 IaaS 应用程序 |
| 所有 Microsoft XDR 工具和 Microsoft Sentinel 的数字资产 | 实现 Microsoft Sentinel 和 Microsoft Defender XDR 的零信任解决方案指南介绍了如何设置 Microsoft eXtended 检测和响应 (XDR) 工具以及 Microsoft Sentinel,以加快组织应对和修正网络安全攻击的能力。 |
步骤 5。 安全访问第三方安全产品和数据
如果要将第三方安全产品与安全 Copilot 集成,请确保已安全访问这些产品和相关数据。 Microsoft 零信任指南包括有关保护对 SaaS 应用的访问权限的建议。 这些建议可用于第三方安全产品。
若要使用标识和设备访问策略进行保护,以下关系图中概述了对 SaaS 应用的常见策略的更改。 这些策略是可以向其添加第三方安全产品的策略。
对于第三方安全产品和应用,请考虑为这些产品创建一组专用策略。 与 Dropbox 和 Salesforce 等生产力应用相比,这允许你以更高的要求来对待安全产品。 例如,将 Tanium 和其他所有第三方安全产品添加到同一组条件访问策略。 如果想要为管理员和 SecOps 员工强制实施更严格的设备要求,请针对 Intune 设备符合性和 Intune 应用保护配置唯一策略,并将这些策略分配给管理员和 SecOps 员工。
有关将安全产品添加到 Microsoft Entra ID 以及条件访问和相关策略的范围(或配置新策略集)的详细信息,请参阅将 SaaS 应用添加到 Microsoft Entra ID 和策略范围。
根据安全产品,可能适合使用 Microsoft Defender for Cloud Apps 监视这些应用的使用情况并应用会话控制。 此外,如果这些安全应用包括存储 Microsoft Purview 支持的任何文件类型中的数据,则可以使用 Defender for Cloud 通过敏感度标签和数据丢失防护 (DLP) 策略监视和保护此数据。 有关详细信息,请参阅将零信任 SaaS 应用与 Microsoft 365 集成。
Tanium SSO 示例
Tanium 是终结点管理工具的提供商,提供适用于安全 Copilot 的自定义 Tanium Skills 插件。 此插件可帮助地面提示和响应利用 Tanium 收集的信息和见解。
下面是具有 Tanium Skills 插件的安全 Copilot 的逻辑体系结构。
在图中:
- Tanium Skills 是用于 Microsoft Security Copilot 的自定义插件。
- Tanium Skills 提供访问和帮助以基于 Tanium 收集的信息和见解来处理提示和响应。
保护对 Tanium 产品和相关数据的访问:
- 使用 Microsoft Entra ID 应用程序库查找并向其添加 Tanium SSO。 请参阅添加企业应用程序。 有关特定于 Tanium 的示例,请参阅 Microsoft Entra SSO 与 Tanium SSO 的集成。
- 将 Tanium SSO 添加到零信任身份验证和访问控制的范围。
后续步骤
观看“ 发现Microsoft安全警察”视频。
请参阅有关零信任和 Microsoft Copilot 的下述其他文章:
另请参阅 Microsoft安全 Copilot 文档。
参考
请参阅以下链接,了解本文所述的各种服务和技术。