將 零信任 原則套用至 Microsoft 安全性 Copilot
摘要:若要將 零信任 原則套用至您的環境,Microsoft安全性 Copilot,您必須套用五層保護:
- 使用身分識別和存取原則保護系統管理員和 SecOps 員工用戶帳戶。
- 將最低許可權存取權套用至系統管理員和 SecOps 員工用戶帳戶,包括指派最低用戶帳戶角色。
- 管理及保護系統管理員和 SecOps 員工裝置。
- 部署或驗證威脅防護。
- 安全地存取您與安全性 Copilot 整合的第三方安全性產品。
簡介
在將Microsoft安全性 Copilot 引入您的環境中時,Microsoft建議您為系統管理員和 SecOps 員工使用者帳戶和裝置建立強大的安全性基礎。 Microsoft也建議您確定您已設定威脅防護工具。 如果您要整合第三方安全性產品與安全性 Copilot,也請確定您已保護這些產品和相關數據的存取權。
幸運的是,強式安全性基礎的指引會以 零信任 的形式存在。 零信任 安全性策略會將每個連線和資源要求視為源自不受控制的網路和不良動作專案。 無論要求的來源或存取的資源為何,零信任 教導我們「永遠不要信任,永遠驗證」。
從安全性入口網站內,Security Copilot 提供自然語言、輔助的 Copilot 體驗,可協助支援:
端對端案例中的安全性專業人員,例如事件回應、威脅搜捕、情報收集及狀態管理。
原則評估和設定、裝置和使用者存取疑難解答,以及效能監視的IT專業人員。
安全性 Copilot 會針對Microsoft和第三方訂用帳戶和安全性產品,使用來自事件記錄檔、警示、事件和原則的數據。 如果攻擊者入侵已獲指派安全性 Copilot 角色的系統管理員或安全性人員使用者帳戶,他們可以使用 Security Copilot 及其結果來瞭解您的 SecOps 小組如何處理進行中的攻擊。 攻擊者接著可以使用這項資訊來挫敗回應事件嘗試,可能是他們起始的事件。
因此,請務必確定您已在環境中套用適當的風險降低措施。
邏輯架構
引進安全性 Copilot 時的第一道防線是將 零信任 原則套用至系統管理員和 SecOps 員工的帳戶和裝置。 確保貴組織套用最低許可權原則也很重要。 除了 Copilot 特定角色之外,安全性工具中系統管理員和 SecOps 人員指派的角色會決定他們在使用安全性 Copilot 時可存取哪些數據。
藉由查看此處所示的安全性 Copilot 邏輯架構,很容易了解為何這些風險降低很重要。
在此圖表中:
SecOps 小組成員可以使用 Copilot 體驗來提示,例如 Security Copilot、Microsoft Defender 全面偵測回應 和 Microsoft Intune 所提供的體驗。
安全性 Copilot 元件包括:
Security Copilot 服務,可協調使用者和技能型提示的回應。
安全性 Copilot 的一組大型語言模型(LLM)。
特定產品的外掛程式。 提供預安裝Microsoft產品的外掛程式。 這些外掛程式會前置處理和後續處理提示。
您的訂用帳戶數據。 儲存在訂用帳戶中的事件記錄、警示、事件和原則的 SecOps 數據。 如需詳細資訊,請參閱此 Microsoft Sentinel 文章 ,以瞭解安全性產品最常見的數據源。
您上傳的檔案。 您可以將 特定檔案 上傳至安全性 Copilot,並在提示範圍中包含這些檔案。
每個 Microsoft具有 copilot 體驗的安全性產品都只能存取與該產品相關聯的數據集,例如事件記錄檔、警示、事件和原則。 安全性 Copilot 提供使用者可存取之所有數據集的存取權。
如需詳細資訊,請參閱 開始使用 Microsoft 安全性 Copilot。
代理驗證如何與安全性 Copilot 搭配運作?
安全性 Copilot 會使用 OAuth 2.0 所提供的代理者 (OBO) 驗證。 這是 OAuth 中委派所提供的驗證流程。 當 SecOps 使用者發出提示時,Security Copilot 會透過要求鏈結傳遞使用者的身分識別和許可權。 這可防止使用者取得其不應該具有存取權的資源許可權。
如需 OBO 驗證的詳細資訊,請參閱 Microsoft 身分識別平台 和 OAuth2.0 代理者流程。
在Microsoft安全性產品內提示:Microsoft Intune 的內嵌範例
當您使用安全性 Copilot 的其中一個內嵌體驗時,數據的範圍取決於您使用的產品內容。 例如,如果您在 Microsoft Intune 內發出提示,則結果只會從 Microsoft Intune 所提供的數據和內容產生。
以下是從 Microsoft Intune 內嵌體驗發出提示時的邏輯架構。
在此圖表中:
Intune 系統管理員會使用 Intune 體驗中的 Microsoft Copilot 來提交提示。
安全性 Copilot 元件會使用下列方式協調對提示的回應:
安全性 Copilot 的 LLM。
Microsoft Intune 預安裝外掛程式。
儲存在 Microsoft 365 訂閱中之裝置、原則和安全性狀態的 Intune 數據。
與第三方安全性產品整合
安全性 Copilot 可讓您裝載第三方產品的外掛程式。 這些第三方外掛程式提供其相關聯數據的存取權。 這些外掛程式及其相關聯的數據會存在於Microsoft安全性信任界限之外。 因此,請務必確保您已保護對這些應用程式及其相關聯數據的存取。
以下是安全性 Copilot 與第三方安全性產品的邏輯架構。
在此圖表中:
- 安全性 Copilot 會透過外掛程式與第三方安全性產品整合。
- 這些外掛程式可讓您存取與產品相關聯的數據,例如記錄和警示。
- 這些第三方元件位於Microsoft安全性信任界限之外。
將安全性風險降低套用至您的環境,以進行安全性防護
本文的其餘部分將逐步引導您完成套用 零信任 原則的步驟,以準備您的環境以進行安全性 Copilot。
步驟 | Task | 已套用 零信任 原則 |
---|---|---|
1 | 部署或驗證系統管理員和 SecOps 員工的身分識別和存取原則。 | 明確驗證 |
2 | 將最低許可權套用至系統管理員和 SecOps 用戶帳戶。 | 使用最低權限存取 |
3 | 保護特殊許可權存取的裝置。 | 明確驗證 |
4 | 部署或驗證威脅防護服務。 | 假設缺口 |
5 | 安全存取第三方安全性產品和數據。 | 明確驗證 使用最低許可權存取 假設缺口 |
在設定環境保護時,您可以採取數種方法將系統管理員和 SecOps 人員上線至安全性 Copilot。
每位用戶上線至安全性 Copilot
在您為安全性 Copilot 指派角色之前,請至少逐步完成系統管理員和 SecOps 員工的檢查清單。 這適用於想要從測試或試驗群組開始的小型小組和組織。
安全性 Copilot 的階段式部署
對於大型環境,較標準的階段式部署運作良好。 在此模型中,您會同時處理使用者群組,以設定保護和指派角色。
以下是範例模型。
在圖例中:
- 在 評估 階段中,您會挑選一組您想要存取安全性 Copilot 並套用身分識別和存取和裝置保護的一組系統管理員和 SecOps 使用者。
- 在 試驗 階段中,您會挑選下一組系統管理員和 SecOps 使用者,並套用身分識別和存取和裝置保護。
- 在 完整部署 階段中,您會為其餘系統管理員和 SecOps 使用者套用身分識別和存取和裝置保護。
- 在每個階段結束時,您會將安全性 Copilot 中適當的角色指派給用戶帳戶。
因為不同的組織可以在針對其環境部署 零信任 保護的各種階段,因此在下列步驟中:
- 如果您未使用步驟中所述的任何保護,請在指派包含 Security Copilot 的角色之前,花時間試驗並部署給系統管理員和 SecOps 人員。
- 如果您已經在使用步驟中所述的一些保護,請使用步驟中的資訊做為檢查清單,並確認每個所述的保護都已試驗並部署,再指派包含安全性 Copilot 的角色。
步驟 1: 部署或驗證系統管理員和 SecOps 員工的身分識別和存取原則
若要防止不良執行者使用 Security Copilot 快速取得網路攻擊的相關信息,第一個步驟是防止他們取得存取權。 您必須確定系統管理員和 SecOps 員工:
- 用戶帳戶必須使用多重要素驗證(MFA)(因此無法單獨猜測使用者密碼來入侵其存取權),而且在偵測到高風險活動時必須變更其密碼。
- 裝置必須符合 Intune 管理和裝置合規性原則。
如需身分識別和存取原則建議,請參閱 零信任 Microsoft 365 Copilot 中的身分識別和存取步驟。 根據本文中的建議,確定產生的設定會針對所有 SecOps 員工用戶帳戶及其裝置套用下列原則:
這些建議與Microsoft 零信任 身分識別和裝置存取原則中的特製化安全性保護層級一致。 下圖說明建議的三種保護層級:起點、企業和特製化。 建議 至少為您的 特殊許可權帳戶使用企業保護層級。
在圖表中,Microsoft Entra 條件式存取、Intune 裝置合規性和 Intune 應用程式保護的建議原則會針對這三個層級說明:
- 起點,不需要裝置管理。
- 建議使用 Enterprise 進行 零信任,並至少存取安全性 Copilot 和您的第三方安全性產品和相關數據。
- 建議使用特製化安全性 來存取安全性 Copilot 和您的第三方安全性產品和相關數據。
這些原則在 Microsoft 365 組織的一般 零信任 身分識別和裝置存取原則中會更詳細地說明這些原則。
為具特殊許可權的用戶設定一組個別的原則
為系統管理員和 SecOps 人員設定這些原則時,請為這些特殊許可權的使用者建立一組個別的原則。 例如,請勿將系統管理員新增至一組原則,以控管非特殊許可權使用者對應用程式存取權,例如 Microsoft 365 和 Salesforce。 使用一組專用的原則搭配適用於特殊許可權帳戶的保護。
在條件式存取原則的範圍內包含安全性工具
目前,設定安全性 Copilot 的條件式存取並不容易。 不過,由於代理驗證是用來存取安全性工具內的數據,因此請確定您已為這些工具設定條件式存取,其中包括 Microsoft Entra ID 和 Microsoft Intune。
步驟 2。 將最低許可權套用至系統管理員和 SecOps 用戶帳戶
此步驟包括設定安全性 Copilot 內的適當角色。 它也包括檢閱您的系統管理員和 SecOps 用戶帳戶,以確保他們獲派他們打算執行之工作的最低許可權。
將用戶帳戶指派給安全性 Copilot 角色
安全性 Copilot 的許可權模型包含專案標識碼和安全性 Copilot Microsoft角色。
Products | 角色 | 描述 |
---|---|---|
Microsoft Entra ID | 安全性系統管理員 全域系統管理員 |
這些Microsoft Entra 角色會 繼承 Security Copilot 中的 Copilot 擁有者 角色。 僅使用這些特殊許可權角色將安全性 Copilot 上線至您的組織。 |
安全性 Copilot | Copilot 擁有者 Copilot 參與者 |
這兩個角色包括使用安全性 Copilot 的存取權。 您的大部分系統管理員和 SecOps 人員都可以使用 Copilot 參與者 角色。 Copilot 擁有者角色包括發佈自定義外掛程式及管理會影響所有安全性 Copilot 的設定。 |
請務必知道,根據預設, 租使用者中的所有用戶都會獲得 Copilot 參與者存取權。 使用此設定時,安全性工具數據的存取權會受到您針對每個安全性工具設定的許可權所控管。 此組態的優點是,安全性 Copilot 的內嵌體驗可立即提供給系統管理員和 SecOps 員工在其每天使用的產品中。 如果您已採用組織中最低特殊許可權存取的強做法,則這很適用。
如果您想要在調整組織中的最低許可權存取權時,採取分段方法,將 Security Copilot 介紹給系統管理員和 SecOps 人員,請從 Copilot 參與者角色中移除所有使用者,並在準備好時新增安全組。
如需詳細資訊,請參閱下列Microsoft安全性 Copilot 資源:
設定或檢閱系統管理員和 SecOps 用戶帳戶的最低許可權存取權
安全性 Copilot 簡介是檢閱系統管理員和 SecOps 員工使用者帳戶存取權的絕佳時機,以確保您遵循其存取特定產品的最低許可權原則。 這包括下列工作:
- 檢閱系統管理員和 SecOps 員工所處理之特定產品所授與的許可權。 例如,針對 Microsoft Entra,請參閱 依工作的最低許可權角色。
- 使用 Microsoft Entra Privileged Identity Management (PIM) 以更充分掌控安全性 Copilot 的存取權。
- 使用 Microsoft Purview Privileged Access Management 設定 Office 365 中特殊許可權系統管理員工作的細微訪問控制。
使用 Microsoft Entra Privileged Identity Management 與 Security Copilot
Microsoft Entra Privileged Identity Management (PIM) 可讓您管理、控制及監視存取安全性 Copilot 所需的角色。 使用 PIM,您可以:
- 提供以時間為基礎的角色啟用。
- 需要核准才能啟用特殊權限角色。
- 強制執行 MFA 以啟動任何角色。
- 在特殊權限角色啟用時獲得通知。
- 進行存取權檢閱 ,以確保系統管理員和 SecOps 員工用戶帳戶仍然需要其指派的角色。
- 針對系統管理員和 SecOps 員工,對存取權和角色變更執行稽 核。
搭配安全性 Copilot 使用特殊許可權存取管理
Microsoft Purview Privileged Access Management 可協助保護貴組織免於缺口,並藉由限制敏感數據的常設存取權或重要組態設定的存取,協助符合合規性最佳做法。 對於需要提升權限的工作,會實施 JIT 存取規則,而不是系統管理員擁有常設存取權。 對於需要提升權限的工作,會實施 JIT 存取規則,而不是系統管理員擁有常設存取權。 如需詳細資訊,請參閱 特殊許可權存取管理。
步驟 3: 保護特殊許可權存取的裝置
在步驟 1 中,您已為系統管理員和 SecOps 人員設定條件式存取原則,這些原則需要受控且符合規範的裝置。 如需其他安全性,您可以為員工部署特殊許可權存取裝置,以在存取安全性工具和數據時使用,包括安全性 Copilot。 特殊許可權存取裝置是強化的工作站,具有明確的應用程控和應用程式防護。 工作站會使用認證防護、裝置防護、應用程式防護和惡意探索防護來保護主機免受攻擊者的攻擊。
如需如何設定裝置以進行特殊許可權存取的詳細資訊,請參閱 保護裝置作為特殊許可權存取案例的一部分。
若要要求這些裝置,請務必更新您的 Intune 裝置合規性政策。 如果您要將系統管理員和 SecOps 人員轉換為強化的裝置,請將安全組從原始裝置合規性政策轉換為新原則。 條件式存取規則可以維持不變。
步驟 4. 部署或驗證威脅防護服務
若要偵測不良動作項目的活動,並防止他們存取 Security Copilot,請確定您可以使用完整的威脅防護服務套件來偵測和回應安全性事件,其中包括具有 Microsoft 365、Microsoft Sentinel 和其他安全性服務和產品的 Microsoft Defender 全面偵測回應。
使用下列資源。
範圍 | 描述和資源 |
---|---|
Microsoft 365 和 SaaS 應用程式與 Microsoft Entra 整合 | 請參閱 Microsoft 365 Copilot 的 零信任 文章,以取得如何從 Microsoft 365 E3 計劃開始加強威脅防護,以及使用 Microsoft E5 計劃進行進度的指引。 如需Microsoft 365 E5 方案,另請參閱評估及試驗 Microsoft Defender 全面偵測回應 安全性。 |
您的 Azure 雲端資源 其他雲端提供者中的資源,例如 Amazon Web Services (AWS) |
使用下列資源開始使用 適用於雲端的 Defender: - 適用於雲端的 Microsoft Defender - 將 零信任 原則套用至 AWS 中的 IaaS 應用程式 |
使用所有Microsoft XDR 工具和 Microsoft Sentinel 的數字資產 | 實作Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 for 零信任 解決方案指南會逐步引導您設定Microsoft eXtended 偵測和回應 (XDR) 工具的程式,以及Microsoft Sentinel,以加速貴組織回應和補救網路安全攻擊的能力。 |
步驟 5: 安全存取第三方安全性產品和數據
如果您要整合第三方安全性產品與 Security Copilot,請確定您已安全存取這些產品和相關數據。 Microsoft 零信任 指導方針包含保護 SaaS 應用程式存取權的建議。 這些建議可用於您的第三方安全性產品。
若要使用身分識別和裝置存取原則保護,SaaS 應用程式的常見原則變更會以紅色概述,如下圖所示。 這些是您可以新增第三方安全性產品的原則。
針對您的第三方安全性產品和應用程式,請考慮為這些產品建立一組專用的原則。 這可讓您將安全性產品與Dropbox和Salesforce等生產力應用程式相比,以更高的需求來處理您的安全性產品。 例如,將 Tanium 和其他所有第三方安全性產品新增至同一組條件式存取原則。 如果您想要為系統管理員和 SecOps 人員強制執行更嚴格的裝置需求,也請為 Intune 裝置合規性和 Intune 應用程式保護設定唯一原則,並將這些原則指派給系統管理員和 SecOps 員工。
如需將安全性產品新增至 Microsoft Entra ID 和條件式存取和相關原則範圍的詳細資訊(或設定一組新原則),請參閱 將 SaaS 應用程式新增至 Microsoft Entra ID 和原則範圍。
視安全性產品而定,可能適合使用 適用於雲端的 Microsoft Defender Apps 來監視這些應用程式的使用,並套用會話控件。 此外,如果這些安全性應用程式包含Microsoft Purview 所支援之任何檔類型中的數據儲存,您可以使用 適用於雲端的 Defender 來監視和保護此數據,方法是使用敏感度標籤和數據外洩防護 (DLP) 原則。 如需詳細資訊,請參閱整合適用於 零信任 的 SaaS 應用程式與 Microsoft 365。
Tanium SSO 的範例
Tanium 是端點管理工具的提供者,並提供適用於安全性 Copilot 的自定義 Tanium Skills 外掛程式。 此外掛程式可協助利用 Tanium 收集到的資訊和深入解析進行地面提示和回應。
以下是具有 Tanium Skills 外掛程式的安全性 Copilot 邏輯架構。
在此圖表中:
- Tanium Skills 是 Microsoft Security Copilot 的自定義外掛程式。
- Tanium Skills 可讓您存取並協助進行使用 Tanium 收集資訊和見解的提示和回應。
若要保護 Tanium 產品和相關資料的存取:
- 使用 Microsoft Entra ID 應用連結庫來尋找 Tanium SSO 並將其新增至您的租使用者。 請參閱 新增企業應用程式。 如需 Tanium 特定範例,請參閱 Microsoft Entra SSO 與 Tanium SSO 整合。
- 將 Tanium SSO 新增至 零信任 身分識別和存取原則的範圍。
下一步
如需 零信任 和Microsoft的 Copilots,請參閱下列其他文章:
另請參閱 Microsoft安全性 Copilot 檔。
參考資料
請參閱這些連結,以瞭解本文所述的各種服務和技術。