Freigeben über


Anwenden von Zero Trust-Prinzipien auf Microsoft Copilot für Security

Zusammenfassung: Um Zero Trust-Prinzipien auf Ihre Umgebung für Microsoft Copilot für Security anzuwenden, müssen Sie fünf Schutzebenen anwenden:

  1. Schützen Sie Administratorkonten und Konten von SecOps-Fachkräften durch Richtlinien für Identität und Zugriff.
  2. Wenden Sie den geringstprivilegierten Zugriff auf die Administratorkonten und Konten von SecOps-Fachkräften an, einschließlich der Zuweisung von minimalen Rollen zu den Benutzerkonto.
  3. Verwalten und schützen Sie die Geräte von Administratoren und Administratorinnen sowie SecOps-Fachkräften.
  4. Stellen Sie Bedrohungsschutz bereit, oder überprüfen Sie Ihren Bedrohungsschutz.
  5. Schützen Sie den Zugriff auf Sicherheitsprodukte von Drittanbietern, die Sie in Copilot für Security integrieren.

Diagramm mit den vier Schritten zum Anwenden von Zero Trust-Prinzipien auf Microsoft Copilot für Security.

Einführung

Microsoft empfiehlt, dass Sie im Rahmen der Einführung von Microsoft Copilot für Security in Ihrer Umgebung eine solide Sicherheitsgrundlage für die Benutzerkonten und Geräte Ihrer Administratoren und Administratorinnen sowie SecOps-Fachkräfte schaffen. Microsoft empfiehlt auch, sicherzustellen, dass Sie Tools zum Schutz vor Bedrohungen konfiguriert haben. Wenn Sie Sicherheitsprodukte von Drittanbietern in Copilot für Security integrieren, stellen Sie außerdem sicher, dass Sie den Zugriff auf diese Produkte und zugehörige Daten geschützt haben.

Glücklicherweise gibt es Anleitungen für eine starke Sicherheitsbasis in Form von Zero Trust. Die Zero Trust-Sicherheitsstrategie behandelt jede Verbindung und Ressourcenanforderung so, als ob sie von einem nicht kontrollierten Netzwerk und einem böswilligen Akteur stammte. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: „Niemals vertrauen, immer überprüfen“.

In Sicherheitsportalen bietet Copilot für Security eine natürlichsprachliche, unterstützende Copilot-Erfahrung, die Unterstützung bietet für:

  • Sicherheitsfachkräfte in End-to-End-Szenarien wie Incident Response, Suche nach Cyberbedrohungen, Sammeln von Informationen und Verwaltung des Sicherheitsstatus

  • IT-Fachkräfte in Richtlinienauswertung und -konfiguration, Troubleshooting von Geräte- und Benutzerzugriffsproblemen sowie Leistungsüberwachung

Copilot für Security verwendet Daten aus Ereignisprotokollen, Warnungen, Vorfällen und Richtlinien für Ihre Microsoft- und Drittanbieter-Abonnements und -Sicherheitsprodukte. Wenn ein Angreifer oder eine Angreiferin ein Administratorkonto oder das Benutzerkonto einer Sicherheitsfachkraft kompromittiert, dem eine Copilot für Security-Rolle zugewiesen wurde, kann er bzw. sie Copilot für Security und seine Ergebnisse nutzen, um zu verstehen, wie Ihr SecOps-Team auf laufende Angriffe reagiert. Angreifer und Angreiferinnen können diese Informationen dann verwenden, dann nutzen, um Versuche zu vereiteln, auf einen Vorfall zu reagieren, den sie möglicherweise selbst ausgelöst haben.

Daher ist es wichtig, sicherzustellen, dass Sie geeignete Maßnahmen zur Risikominderung in Ihrer Umgebung getroffen haben.

Logische Architektur

Die erste Verteidigungslinie bei der Einführung von Copilot für Security besteht darin, die Prinzipien von Zero Trust auf die Konten und Geräte von Administratoren und Administratorinnen sowie SecOps-Fachkräften anzuwenden. Es ist auch wichtig, sicherzustellen, dass Ihre Organisation das Prinzip der geringsten Rechte anwendet. Zusätzlich zu copilot-spezifischen Rollen bestimmen die zugewiesenen Rollen für Administratoren, Administratorinnen und SecOps-Fachkräfte in Ihren Sicherheitstools, auf welche Daten diese zugreifen können, während sie Copilot für Security verwenden.

Wenn Sie sich die hier gezeigte logische Architektur von Copilot für Security ansehen, ist leicht zu verstehen, warum diese Maßnahmen zur Risikominderung wichtig sind.

Diagramm der logischen Architektur von Copilot für Security mit Benutzern und Geräten, Sicherheitsprodukten und der Architektur des Copilot für Security-Dienst

In der Abbildung:

  • SecOps-Teammitglieder können mithilfe einer Copilot-Oberfläche, z. B. mit Copilot für Security, Microsoft Defender XDR und Microsoft Intune, Prompts verwenden.

  • Zu den Komponenten von Copilot für Security zählen:

    • Der Copilot für Security-Dienst, der Antworten auf benutzer- und skillbasierte Prompts orchestriert

    • Eine Reihe großer Sprachmodelle (LLM) für Copilot für Security

    • Plug-Ins für bestimmte Produkte Vorinstallierte Plug-Ins für Microsoft-Produkte werden bereitgestellt Diese Plug-Ins dienen der Vor- und Nachbearbeitung von Prompts.

    • Ihre Abonnementdaten Die SecOps-Daten für Ereignisprotokolle, Warnungen, Vorfälle und Richtlinien, die in den Abonnements gespeichert sind Weitere Informationen zu den am häufigsten verwendeten Datenquellen für Sicherheitsprodukte finden Sie in diesem Microsoft Sentinel-Artikel.

    • Dateien, die Sie hochladen Sie können bestimmte Dateien in Copilot für Security hochladen und diese in den Umfang der Prompts einbeziehen.

Jedes Microsoft-Sicherheitsprodukt mit einer Copilot-Erfahrung bietet nur Zugriff auf den mit diesem Produkt verbundenen Datensatz, z. B. Ereignisprotokolle, Warnungen, Vorfälle und Richtlinien. Copilot für Security bietet Zugriff auf alle Datensätze, auf die der Benutzer oder die Benutzerin Zugriff hat

Weitere Informationen finden Sie unter Erste Schritte mit Microsoft Copilot für Security.

Wie funktioniert die On-Behalf-Of-Authentifizierung mit Copilot für Security?

Copilot für Security verwendet die von OAuth 2.0 bereitgestellte On-Behalf-Of-Authentifizierung (OBO). Dies ist ein Authentifizierungsflow, der von der Delegierung in OAuth bereitgestellt wird. Wenn eine SecOps-Fachkraft einen Prompt ausgibt, übergibt Copilot für Security die Identität und Berechtigungen der Fachkraft über die Anforderungskette. Dadurch wird verhindert, dass der Benutzer oder die Benutzerin Zugriff auf Ressourcen erhält, auf die er keinen Zugriff haben sollte.

Weitere Informationen zur OBO-Authentifizierung finden Sie unter Microsoft Identity Platform und On-Behalf-Of-Flow von OAuth 2.0.

Verwendung von Prompts in einem Microsoft-Sicherheitsprodukt: eingebettetes Beispiel für Microsoft Intune

Wenn Sie eine der eingebetteten Oberflächen von Copilot für Security verwenden, wird der Umfang der Daten durch den Kontext des Produkts bestimmt, das Sie verwenden. Wenn Sie beispielsweise einen Prompt in Microsoft Intune ausgeben, werden die Ergebnisse ausschließlich auf der Grundlage der von Microsoft Intune bereitgestellten Daten und des Kontexts erstellt.

Dies ist die logische Architektur beim Ausgeben von Prompts aus der eingebetteten Microsoft Intune-Oberfläche.

Diagramm der logischen Architektur von Copilot für Security, in dem Microsoft Intune als Sicherheitsprodukt hervorgehoben ist, mit einem Plug-In und Intune-Datentypen

In der Abbildung:

  • Intune-Administratoren und -Administratorinnen verwenden Microsoft Copilot in er Intune-Oberfläche, um Prompts zu übermitteln.

  • Die Copilot für Security-Komponente koordiniert Antworten auf die Prompts unter Verwendung von:

    • LLMs für Copilot für Security.

    • Das vorinstallierte Microsoft Intune-Plug-In

    • Die Intune-Daten für Geräte, Richtlinien und Sicherheitsstatus, die in Ihrem Microsoft 365-Abonnement gespeichert werden

Integration in Sicherheitsprodukte von Drittanbietern

Copilot für Security bietet die Möglichkeit, Plug-Ins für Produkte von Drittanbietern zu hosten. Diese Plug-Ins von Drittanbietern bieten Zugriff auf die zugehörigen Daten. Diese Plug-Ins und ihre zugehörigen Daten existieren außerhalb der Sicherheitsvertrauensstellungsgrenze von Microsoft. Folglich ist es wichtig, sicherzustellen, dass Sie den Zugriff auf diese Anwendungen und die zugehörigen Daten geschützt haben.

Dies ist die logische Architektur von Copilot für Security mit Sicherheitsprodukten von Drittanbietern.

Diagramm der erweiterten logischen Architektur für Copilot für Security zur Unterstützung von Sicherheitsprodukten von Drittanbietern

In der Abbildung:

  • Copilot für Security lässt sich über Plug-Ins in Sicherheitsprodukte von Drittanbietern integrieren.
  • Diese Plug-Ins bieten Zugriff auf die mit dem Produkt verbundenen Daten, z. B. Protokolle und Warnungen.
  • Diese Drittanbieterkomponenten befinden sich außerhalb der Sicherheitsvertrauensstellungsgrenze von Microsoft.

Anwenden von Sicherheitsminderungen auf Ihre Umgebung für Copilot für Security

Im restlichen Artikel werden Sie durch die Schritte zum Anwenden der Zero Trust-Prinzipien geführt, um Ihre Umgebung auf Copilot für Security vorzubereiten.

Schritt Task Anwendung von Zero Trust-Prinzipien
1 Stellen Sie Identitäts- und Zugriffsrichtlinien für Administratoren und Administratorinnen sowie SecOps-Fachkräfte bereit oder überprüfen Sie diese. Explizit verifizieren
2 Wenden Sie die geringsten Rechte auf Administrator- und SecOps-Benutzerkonten an. Geringstmögliche Zugriffsberechtigungen verwenden
3 Schützen Sie Geräte für den privilegierten Zugriff. Explizit verifizieren
4 Stellen Sie Bedrohungsschutzdienste bereit, oder überprüfen Sie Ihre Bedrohungsschutzdienste. Von einer Sicherheitsverletzung ausgehen
5 Schützen Sie den Zugriff auf Sicherheitsprodukte und -daten von Drittanbietern. Explizit verifizieren

Verwenden des Zugriffs mit den geringsten Rechten

Von einer Sicherheitsverletzung ausgehen

Es gibt mehrere Ansätze, mit denen Sie ein Onboarding für Administratoren und Administratorinnen sowie SecOps-Fachkräften in Copilot für Security durchführen können, während Sie Schutzmaßnahmen für Ihre Umgebung konfigurieren.

Onboarding pro Benutzer in Copilot für Security

Gehen Sie mindestens eine Checkliste für Ihre Administratoren und Administratorinnen sowie SecOps-Fachkräfte durch, bevor Sie eine Rolle für Copilot für Security zuweisen. Dies eignet sich gut für kleine Teams und Organisationen, die mit einer Test- oder Pilotgruppe beginnen möchten.

Beispiel für eine Checkliste für das Onboarding von Administratoren und SecOps-Fachkräften in Copilot für Security

Phasenweise Bereitstellung von Copilot für Security

Für große Umgebungen funktioniert eine eher standardmäßige phasenweise Bereitstellung gut. In diesem Modell sprechen Sie Gruppen von Benutzern und Benutzerinnen gleichzeitig an, um den Schutz zu konfigurieren und Rollen zuzuweisen.

Dies ist ein Beispielmodell.

Diagramm einer phasenweisen Standardbereitstellung für Copilot für Security, einschließlich der Phasen“ Auswerten“, „Pilottest“ und „Vollständige Bereitstellung“

In der Abbildung:

  • In der Phase Auswerten wählen Sie eine kleine Gruppe von Administrator- und SecOps-Benutzerkonten aus, die auf Copilot für Security zugreifen können sollen, und wenden Schutzmaßnahmen für Identität und Zugriff sowie Geräte an.
  • In der Pilotphase wählen Sie die nächste Gruppe von Administrator- und SecOps-Benutzerkonten aus, und wenden Schutzmaßnahmen für Identität und Zugriff sowie Geräte an.
  • In der vollständigen Bereitstellungsphase wenden Sie Schutzmaßnahmen für Identität und Zugriff sowie Geräte für die restlichen Administrator- und SecOps-Benutzerkonten an.
  • Am Ende jeder Phase weisen Sie den Benutzerkonten die entsprechende Rolle in Copilot für Security zu.

Da sich verschiedene Organisationen in verschiedenen Phasen der Bereitstellung von Zero Trust-Schutzmaßnahmen für ihre Umgebung befinden können, gehen Sie in jedem dieser Schritte wie folgt vor:

  • Wenn Sie KEINE der im Schritt beschriebenen Schutzmaßnahmen verwenden, nehmen Sie sich die Zeit, nehmen Sie sich die Zeit, diese zu testen und bei Ihren Administrator- und SecOps-Fachkräften einzusetzen, bevor Sie Rollen zuweisen, die Copilot für Security enthalten.
  • Wenn Sie bereits einige der im Schritt beschriebenen Schutzmaßnahmen verwenden, nutzen Sie die Informationen im Schritt als Prüfliste, und stellen Sie sicher, dass jede angegebene Schutzmaßnahme vor dem Zuweisen von Copilot-Lizenzen einem Pilotversuch unterzogen und bereitgestellt wurde.

Schritt 1. Bereitstellen oder Überprüfen von Identitäts- und Zugriffsrichtlinien für Administrator- und SecOps-Fachkräfte

Um zu verhindern, dass böswillige Akteure Copilot für Security nutzen, um schnell an Informationen über Cyberangriffe zu gelangen, müssen sie zunächst daran gehindert werden, sich Zugang zu verschaffen. Sie müssen sicherstellen, dass Administratoren und Administratorinnen sowie SecOps-Fachkräfte Folgendes beachten:

  • Benutzerkonten müssen die Multi-Faktor-Authentifizierung (MFA) verwenden (damit ihr Zugang nicht allein durch das Erraten von Benutzerkennwörtern kompromittiert werden kann), und sie müssen ihre Kennwörter ändern, wenn risikoreiche Aktivitäten entdeckt werden.
  • Geräte müssen den Intune-Verwaltungs- und Gerätecompliancerichtlinien entsprechen.

Empfehlungen für Identitäts- und Zugriffsrichtlinien finden Sie im Schritt zu Identität und Zugriff in Zero Trust für Microsoft 365 Copilot. Stellen Sie basierend auf den Empfehlungen in diesem Artikel sicher, dass in Ihrer resultierenden Konfiguration die folgenden Richtlinien für alle SecOps-Mitarbeiterbenutzerkonten und deren Geräte angewendet werden:

Diese Empfehlungen entsprechen der Schutzebene Spezialsicherheit in den Zero Trust-Identitäts- und Gerätezugriffsrichtlinien von Microsoft. Das folgende Diagramm veranschaulicht die empfohlenen drei Schutzebenen: Startpunkt, Enterprise und Spezial. Die Enterprise-Schutzebene wird als Mindestebenefür Ihre privilegierten Konten empfohlen.

Diagramm der Zero Trust-Zugriffsrichtlinien für Identitäten und Geräte mit den drei Schutzebenen: Startpunkt, Enterprise und Spezialsicherheit

Im Diagramm werden die empfohlenen Richtlinien für den bedingten Zugriff von Microsoft Entra, die Intune-Gerätecompliance und den Intune-App-Schutz für jede der drei Ebenen dargestellt:

  • Startpunkt erfordert keine Geräteverwaltung.
  • Enterprise wird für Zero Trust und als Mindestebene für den Zugriff auf Copilot für Security sowie Ihre Sicherheitsprodukte und die zugehörigen Daten von Drittanbietern empfohlen.
  • Spezialsicherheit wird für den Zugriff auf Copilot für Security sowie Ihre Sicherheitsprodukte und die zugehörigen Daten von Drittanbietern empfohlen.

Jede dieser Richtlinien wird ausführlicher in Allgemeine Zero Trust-Identitäts- und Gerätezugriffsrichtlinien für Microsoft 365-Organisationen beschrieben.

Konfigurieren einer separaten Gruppe von Richtlinien für privilegierte Benutzer und Benutzerinnen

Wenn Sie diese Richtlinien für Ihre Administrator und Administratorinnen sowie Ihre SecOps-Fachkräfte konfigurieren, erstellen Sie einen separaten Satz von Richtlinien für diese privilegierten Benutzer und Benutzerinnen. Fügen Sie ihre Administratoren und Administratorinnen beispielsweise nicht den gleichen Richtlinien hinzu, die den Zugriff nicht privilegierter Benutzer und Benutzerinnen auf Apps wie Microsoft 365 und Salesforce steuern. Verwenden Sie einen dedizierten Satz von Richtlinien mit Schutzmaßnahmen, die für privilegierte Konten geeignet sind.

Einbeziehen von Sicherheitstools in den Bereich von Richtlinien für bedingten Zugriff

Derzeit gibt es keine einfache Möglichkeit, bedingten Zugriff für Copilot für Security zu konfigurieren. Weil die On-Behalf-Of-Authentifizierung für den Zugriff auf Daten in Sicherheitstools verwendet wird, müssen Sie jedoch sicherstellen, dass Sie bedingten Zugriff für diese Tools, zu denen Microsoft Entra ID und Microsoft Intune gehören können, konfiguriert haben.

Schritt 2. Anwenden der geringsten Rechte auf Administrator- und SecOps-Benutzerkonten

Dieser Schritt beinhaltet die Konfiguration der entsprechenden Rollen innerhalb von Copilot für Security. Dazu gehört auch die Überprüfung Ihrer Administrator- und SecOps-Benutzerkonten, um sicherzustellen, dass ihnen die geringstmöglichen Berechtigungen für die vorgesehene Arbeit zugewiesen werden.

Zuweisen von Benutzerkonten zu Copilot für Security-Rollen

Das Berechtigungsmodell für Copilot für Security umfasst sowohl Rollen in Microsoft Entra ID als auch Rollen in Copilot für Security.

Produkt Rollen Beschreibung
Microsoft Entra ID Sicherheitsadministrator

Globaler Administrator
Diese Microsoft Entra-Rollen erben die Rolle Copilot-Besitzer von Copilot für Security. Verwenden Sie diese privilegierten Rollen nur, um Copilot für Security in Ihre Organisation zu integrieren.
Copilot für Security Copilot-Besitzer

Copilot-Mitwirkender
Diese beiden Rollen umfassen den Zugriff auf die Nutzung von Copilot für Security. Die meisten Ihrer Administratoren und Administratoren sowie SecOps-Fachkräfte können die Rolle Copilot-Mitwirkender verwenden.

Die Rolle Copilot-Besitzer umfasst die Möglichkeit, benutzerdefinierte Plug-Ins zu veröffentlichen und Einstellungen zu verwalten, die sich auf alle Copilot für Security-Funktionen auswirken.

Es ist wichtig zu wissen, dass standardmäßig allen Benutzern und Benutzerinnen im Mandanten Zugriff als „Copilot-Mitwirkender“ Zugriff gewährt wird. Bei dieser Konfiguration wird der Zugriff auf die Daten Ihres Sicherheitstools durch die Berechtigungen geregelt, die Sie für jedes Sicherheitstool konfiguriert haben. Ein Vorteil dieser Konfiguration ist, dass die eingebetteten Oberflächen von Copilot für Security Ihren Administratoren und Administratorinnen sowie SecOps-Fachkräften in den Produkten, die sie täglich verwenden, sofort zur Verfügung stehen. Dies funktioniert gut, wenn Sie bereits eine starke Praxis des geringstprivilegierten Zugriffs innerhalb Ihrer Organisation eingeführt haben.

Wenn Sie Copilot für Security schrittweise für Ihre Administratoren und Administratorinnen sowie SecOps-Fachkräfte einführen möchten, während Sie den geringstprivilegierten Zugriff in Ihrer Organisation optimieren, entfernen Sie den Eintrag Alle Benutzer aus der Rolle Copilot-Mitwirkender und fügen Sie Sicherheitsgruppen hinzu, sobald Sie bereit sind.

Weitere Informationen finden Sie in den folgenden Microsoft Copilot für Security-Ressourcen:

Konfigurieren oder Überprüfen des geringstprivilegierten Zugriffs für Administrator- und SecOps-Benutzerkonten

Die Einführung von Copilot für Security ist ein großartiger Zeitpunkt, um den Zugriff Ihrer Administrator- und SecOps-Mitarbeiterbenutzerkonten zu überprüfen und sicherzustellen, dass Sie das Prinzip der geringsten Rechte für den Zugriff auf bestimmte Produkte befolgen. Hierzu gehören die folgenden Aufgaben:

  • Überprüfen Sie die Berechtigungen für die spezifischen Produkte, mit den Ihre Administratoren und Administratorinnen sowie SecOps-Fachkräfte arbeiten. Beispielsweise finden Sie Informationen zu Microsoft Entra unter Rollen mit den geringsten Berechtigungen nach Aufgabe.
  • Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um mehr Kontrolle über den Zugriff auf Copilot für Security zu erlangen.
  • Verwenden Sie Microsoft Purview Privileged Access Management, um die präzise Zugriffssteuerung für privilegierte Administratoraufgaben in Office 365 zu konfigurieren.

Verwenden von Microsoft Entra Privileged Identity Management zusammen mit Copilot für Security

Mit Microsoft Entra Privileged Identity Management (PIM) können Sie die Rollen verwalten, steuern und überwachen, die für den Zugriff auf Copilot für Security erforderlich sind. Mit PIM können Sie Folgendes tun:

  • Bereitstellen einer zeitabhängigen Rollenaktivierung
  • Anfordern einer Genehmigung bei der Aktivierung privilegierter Rollen
  • Erzwingen von MFA zum Aktivieren jeder Rolle
  • Abrufen von Benachrichtigungen bei der Aktivierung von privilegierten Rollen
  • Führen Sie Zugriffsüberprüfungen durch, um sicherzustellen, dass Administrator- und SecOps-Mitarbeiterbenutzerkonten die ihnen zugewiesenen Rollen noch benötigen.
  • Führen Sie Überprüfungen von Zugriffs- und Rollenänderungen für Administrator- und SecOps-Mitarbeiterkonten durch.

Verwenden von Privileged Access Management zusammen mit Copilot für Security

Microsoft Purview Privileged Access Management unterstützt Sie durch die Einschränkung des dauerhaften Zugriffs auf vertrauliche Daten oder des Zugriff auf kritische Konfigurationseinstellungen dabei, Ihre Organisation vor Sicherheitsverletzungen zu schützen und Best Practices für Compliance einzuhalten. Anstelle von Administratoren mit konstantem Zugriff werden Just-in-Time-Zugriffsregeln für Aufgaben implementiert, die erhöhte Berechtigungen benötigen. Anstelle von Administratoren mit konstantem Zugriff werden Just-in-Time-Zugriffsregeln für Aufgaben implementiert, die erhöhte Berechtigungen benötigen. Weitere Informationen finden Sie unter Privileged Access Management.

Schritt 3. Schützen von Geräten für den privilegierten Zugriff

In Schritt 1 haben Sie Richtlinien für den bedingten Zugriff konfiguriert, die verwaltete und konforme Geräte für Ihre Administratoren und Administratorinnen sowie SecOps-Fachkräfte erforderlich machten. Für zusätzliche Sicherheit können Sie Geräte mit privilegiertem Zugriff für Ihre Mitarbeiter bereitstellen, die beim Zugriff auf Sicherheitstools und -daten, einschließlich Copilot für Security, verwendet werden können. Ein Gerät mit privilegiertem Zugriff ist eine „gehärtete“ Workstation, die über eine klare Anwendungssteuerung und einen entsprechenden Anwendungsschutz verfügt. Die Workstation verwendet Credential Guard, Device Guard, App Guard und Exploit Guard, um den Host vor Angreifern zu schützen.

Weitere Informationen zum Konfigurieren eines Geräts für den privilegierten Zugriff finden Sie unter Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs.

Um diese Geräte vorzuschreiben, müssen Sie Ihre Intune-Gerätecompliancerichtlinie aktualisieren. Wenn Sie Administratoren und Administratorinnen sowie SecOps-Fachkräfte auf gehärtete Geräte umstellen, müssen Sie Ihre Sicherheitsgruppen von der ursprünglichen Gerätecompliancerichtlinie auf die neue Richtlinie umstellen. Die Regel für bedingten Zugriff kann unverändert bleiben.

Schritt 4. Bereitstellen oder Überprüfen Ihrer Bedrohungsschutzdienste

Um die Aktivitäten böswilliger Akteure zu erkennen und zu verhindern, dass sie Zugriff auf Copilot für Security erhalten, stellen Sie sicher, dass Sie Sicherheitsvorfälle mit einer umfassenden Suite von Bedrohungsschutzdiensten, zu der Microsoft Defender XDR mit Microsoft 365, Microsoft Sentinel und andere Sicherheitsdienste und -produkte gehören, erkennen und darauf reagieren können.

Verwenden Sie die folgenden Ressourcen.

`Scope` Beschreibung und Ressourcen
In Microsoft Entra integrierte Microsoft 365- und SaaS-Apps Im Artikel Zero Trust für Microsoft 365 Copilot finden Sie eine Anleitung, wie Sie den Schutz vor Bedrohungen erhöhen können, beginnend mit den Microsoft 365 E3-Plänen und weiter mit den Microsoft E5-Plänen.

Informationen zu Microsoft 365 E5-Plänen finden Sie auch unter Evaluieren und Testen der Microsoft Defender XDR-Sicherheit.
Ihre Azure-Cloudressourcen

Ihre Ressourcen in Clouds anderer Anbieter, z. B. Amazon Web Services (AWS)
Die unten angegebenen Ressourcen erleichtern den Einstieg in Defender for Cloud:

- Microsoft Defender für Cloud
- Anwenden von Zero Trust-Prinzipien auf IaaS-Anwendungen in AWS
Ihr digitaler Bestand mit allen Microsoft XDR-Tools und Microsoft Sentinel Der Lösungsleitfaden zur Implementieren von Microsoft Sentinel und Microsoft Defender XDR für Zero Trust führt durch die Einrichtung von Microsoft eXtended Detection and Response (XDR)-Tools zusammen mit Microsoft Sentinel, damit Ihre Organisation schneller auf Cybersicherheitsangriffe reagieren und diese beheben kann.

Schritt 5. Schützen des Zugriffs auf Sicherheitsprodukte und -daten von Drittanbietern

Wenn Sie Sicherheitsprodukte von Drittanbietern in Copilot für Security integrieren, stellen Sie sicher, dass Sie den Zugriff auf diese Produkte und zugehörige Daten geschützt haben. Microsoft Zero Trust-Leitfaden enthält Empfehlungen zum Schutz des Zugriffs auf SaaS-Apps. Sie können diese Empfehlungen für Ihre Sicherheitsprodukte von Drittanbietern verwenden.

Zum Schutz mit Identitäts- und Gerätezugriffsrichtlinien sind die Änderungen an den allgemeinen Richtlinien für SaaS-Anwendungen im folgenden Diagramm rot umrandet. Dies sind die Richtlinien, denen Sie Ihre Sicherheitsprodukte von Drittanbietern hinzufügen können.

Diagramm der Zero Trust-Identitäts- und Gerätezugriffsrichtlinien und der hervorgehobenen Änderungen an Schutzstufen für SaaS-Apps

Sie sollten in Betracht ziehen, für Ihre Sicherheitsprodukte und -apps von Drittanbietern einen dedizierten Satz von Richtlinien zu erstellen. Auf diese Weise können Sie an Ihre Sicherheitsprodukte höhere Anforderungen stellen als an Produktivitäts-Apps wie Dropbox und Salesforce. Fügen Sie beispielsweise Tanium und alle anderen Sicherheitsprodukte von Drittanbietern dem gleichen Satz von Richtlinien für bedingten Zugriff hinzu. Wenn Sie strengere Anforderungen für Geräte Ihrer Administratoren und Administratorinnen sowie Ihrer SecOps-Fachkräften erzwingen möchten, konfigurieren Sie auch eindeutige Richtlinien für die Intune-Gerätecompliance und den Intune-App-Schutz, und weisen Sie diese Richtlinien Ihren Administratoren und Administratorinnen sowie SecOps-Fachkräften zu.

Weitere Informationen zum Hinzufügen Ihrer Sicherheitsprodukte zu Microsoft Entra ID und dem Umfang Ihrer Richtlinien für bedingten Zugriffs und zugehöriger Richtlinien (oder zum Konfigurieren eines neuen Satzes von Richtlinien) finden Sie unter Hinzufügen von SaaS-Apps zu Microsoft Entra ID und zum Umfang der Richtlinien.

Je nach Sicherheitsprodukt kann es sinnvoll sein, Microsoft Defender for Cloud-Apps zu verwenden, um die Nutzung dieser Apps zu überwachen und Sitzungssteuerungsmaßnahmen anzuwenden. Wenn diese Sicherheitsanwendungen die Speicherung von Daten in einem der von Microsoft Purview unterstützten Dateitypen beinhalten, können Sie Defender for Cloud verwenden, um diese Daten mithilfe von Vertraulichkeitsbezeichnungen und DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) zu überwachen und zu schützen. Weitere Informationen finden Sie unter Integrieren von SaaS-Apps für Zero Trust in Microsoft 365.

Beispiel für Tanium SSO

Tanium ist ein Anbieter von Endpunktverwaltungstools und bietet ein benutzerdefiniertes Tanium Skills-Plug-In für Copilot für Security. Dieses Plug-In hilft, Prompts und Antworten zu erstellen, die die von Tanium gesammelte Informationen und Erkenntnisse nutzen.

Dies ist die logische Architektur von Copilot für Security mit dem Tanium Skills-Plug-In.

Diagramm der logischen Architektur für Copilot für Security, in dem Tanium SSO als Plug-In eines Drittanbieters und die Tanium-Drittanbieterdaten hervorgehoben sind

In der Abbildung:

  • Tanium Skills ist ein benutzerdefiniertes Plug-In für Microsoft Copilot für Security.
  • Tanium Skills ermöglicht den Zugriff auf Prompts und Antworten, die auf von Tanium gesammelten Informationen und Erkenntnissen basieren, und hilft bei deren Erstellung.

So schützen Sie den Zugriff auf Tanium-Produkte und zugehörige Daten:

  1. Verwenden Sie den Microsoft Entra ID-Anwendungskatalog, um Tanium SSO zu suchen und ihrem Mandanten hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen einer Unternehmensanwendung. Ein spezifisches Beispiel für Tanium finden Sie unter Microsoft Entra SSO-Integration in Tanium SSO.
  2. Fügen Sie Tanium SSO dem Umfang Ihrer Zero Trust-Identitäts- und Zugriffsrichtlinien hinzu.

Nächste Schritte

Sehen Sie sich das Video Discover Microsoft Copilot für Security an.

Weitere Artikel finden Sie in den folgenden Artikeln zu Zero Trust und Copilots von Microsoft:

Siehe auch die Microsoft Copilot für Security-Dokumentation.

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.