Aplicar principios de confianza cero a Microsoft Copilot para seguridad
Resumen: Para aplicar los principios de confianza cero al entorno de Microsoft Copilot para seguridad, debe aplicar cinco capas de protección:
- Proteja las cuentas de usuario de administrador y del personal de SecOps con directivas de identidad y acceso.
- Aplique el acceso con privilegios mínimos a las cuentas de usuario de administrador y de personal de SecOps, incluida la asignación de los roles mínimos de cuenta de usuario.
- Administre y proteja los dispositivos del personal de Administración y SecOps.
- Implemente o valide la protección contra amenazas.
- Proteja el acceso a productos de seguridad de terceros que se integran con Copilot para seguridad.
Introducción
Como parte de la introducción de Microsoft Copilot para seguridad en su entorno, Microsoft recomienda crear una base sólida de seguridad para sus cuentas de usuario y dispositivos de usuario y administradores de SecOps. Microsoft también recomienda asegurarse de que ha configurado las herramientas de protección contra amenazas. Si va a integrar productos de seguridad de terceros con Copilot para seguridad, asegúrese también de que ha protegido el acceso a estos productos y a los datos relacionados.
Afortunadamente, existe una guía para implementar una base de seguridad sólida en forma de confianza cero. La estrategia de seguridad de confianza cero trata cada conexión y solicitud de recursos como si se originara en una red no controlada y un actor malintencionado. Independientemente de dónde se origina la solicitud o de los recursos a los que accede, la confianza cero nos enseña a "desconfiar y comprobar siempre".
Desde los portales de seguridad, Copilot para seguridad proporciona una experiencia de copiloto de asistencia que usa un lenguaje natura, y que ayuda en las labores de:
Profesionales de seguridad en escenarios de un extremo a otro, como la respuesta a incidentes, la búsqueda de amenazas, la recopilación de inteligencia y la administración de posiciones.
Profesionales de TI en la evaluación y configuración de directivas, solución de problemas de acceso de dispositivos y usuarios, y supervisión del rendimiento.
Copilot para seguridad usa datos de registros de eventos, alertas, incidentes y directivas para sus suscripciones y productos de seguridad de Microsoft y de terceros. Si un atacante pone en peligro una cuenta de usuario de administrador o personal de seguridad que se ha asignado a un rol de Copilot para seguridad, este puede usar Copilot para seguridad y sus resultados para comprender cómo el equipo de SecOps está abordando los ataques en curso. El atacante podría usar después esta información para frustrar los intentos de respuesta ante un incidente, posiblemente uno iniciado por él mismo.
Por lo tanto, es fundamental asegurarse de que ha aplicado las mitigaciones adecuadas en su entorno.
Arquitectura lógica
La primera línea de defensa al introducir Copilot para seguridad es aplicar los principios de Confianza cero a las cuentas y dispositivos del personal de administración y SecOps. También es importante asegurarse de que su organización aplica el principio de privilegios mínimos. Además de los roles específicos de Copilot, los roles asignados para el personal de administración y SecOps dentro de las herramientas de seguridad determinan a qué datos tienen acceso mientras usan Copilot para seguridad.
Es fácil entender por qué estas mitigaciones son importantes si se examina la arquitectura lógica de Copilot para seguridad que se muestra aquí.
En el diagrama:
Los miembros del equipo de SecOps pueden solicitar el uso de una experiencia de Copilot, como las ofrecidas por Copilot para seguridad, Microsoft Defender XDR y Microsoft Intune.
Entre los componentes de Copilot para seguridad, se incluyen:
El servicio Copilot para seguridad, que organiza las respuestas al usuario e indicaciones basadas en aptitudes.
Un conjunto de modelos de lenguaje de gran tamaño (LLM) para Copilot para seguridad.
Complementos para productos específicos. Se proporcionan complementos preinstalados para productos de Microsoft. Estos complementos procesarán las indicaciones antes y después de los procesos.
Los datos de la suscripción. Los datos de SecOps para registros de eventos, alertas, incidentes y directivas almacenados en las suscripciones. Para más información, consulte este artículo de Microsoft Sentinel para los orígenes de datos más comunes para productos de seguridad.
Archivos que cargue. Puede cargar archivos específicos en Copilot para seguridad e incluirlos en el ámbito de las indicaciones.
Cada producto de seguridad de Microsoft con una experiencia de copiloto solo proporciona acceso al conjunto de datos asociado a ese producto, como registros de eventos, alertas, incidentes y directivas. Copilot para seguridad proporciona acceso a todos los conjuntos de datos a los que el usuario tiene acceso.
Para más información, consulte Introducción a Microsoft Copilot para seguridad.
¿Cómo funciona la autenticación delegada con Copilot para seguridad?
Copilot para seguridad usa la autenticación delegada (OBO) proporcionada por OAuth 2.0. Consiste en un flujo de autenticación proporcionado por delegación en OAuth. Cuando un usuario de SecOps emite una indicación, Copilot para seguridad pasa la identidad y los permisos del usuario a través de la cadena de solicitudes. Esto impide que el usuario obtenga permiso para los recursos a los que no debe tener acceso.
Para más información sobre la autenticación delegada, consulte Plataforma de identidad de Microsoft y flujo de autenticación delegada de OAuth2.0.
Escribir indicaciones dentro de un producto de seguridad de Microsoft: ejemplo insertado para Microsoft Intune
Cuando se usa una de las experiencias insertadas de Copilot para seguridad, el ámbito de los datos viene determinado por el contexto del producto que está usando. Por ejemplo, si emite una indicación dentro de Microsoft Intune, los resultados se generan solo a partir de datos y contexto proporcionados por Microsoft Intune.
Esta es la arquitectura lógica al emitir indicaciones desde la experiencia insertada de Microsoft Intune.
En el diagrama:
Los administradores de Intune usan la experiencia de Microsoft Copilot en Intune para enviar indicaciones.
El componente Copilot para seguridad organiza las respuestas a las indicaciones mediante:
Los LLM para Copilot para seguridad.
El complemento preinstalado de Microsoft Intune.
Los datos de Intune para dispositivos, directivas y posición de seguridad almacenados en su suscripción de Microsoft 365.
Integración con productos de seguridad de terceros
Copilot para seguridad proporciona la capacidad de hospedar complementos para productos de terceros. Estos complementos de terceros proporcionan acceso a sus datos asociados. Estos complementos y sus datos asociados residen fuera del límite de confianza de seguridad de Microsoft. Por lo tanto, es importante asegurarse de que ha protegido el acceso a estas aplicaciones y sus datos asociados.
Esta es la arquitectura lógica de Copilot para seguridad con productos de seguridad de terceros.
En el diagrama:
- Copilot para seguridad se integra con productos de seguridad de terceros a través de complementos.
- Estos complementos proporcionan acceso a los datos asociados al producto, como registros y alertas.
- Estos componentes de terceros residen fuera del límite de confianza de seguridad de Microsoft.
Aplicación de mitigaciones de seguridad a su entorno para Copilot para seguridad
El resto de este artículo le guía por los pasos para aplicar los principios de Confianza cero para preparar su entorno para Copilot para seguridad.
| Paso | Tarea | Principios de confianza cero aplicados |
|---|---|---|
| 1 | Implemente o valide las directivas de identidad y acceso para el personal de administración y SecOps. | Comprobación explícita |
| 2 | Aplique privilegios mínimos a las cuentas de usuario de administrador y SecOps. | Uso del acceso con privilegios mínimos |
| 3 | Proteja los dispositivos para el acceso con privilegios. | Comprobación explícita |
| 4 | Implemente o valide los servicios de protección contra amenazas. | Dar por hecho que habrá intrusiones al sistema |
| 5 | Proteja el acceso a datos y productos de seguridad de terceros. | Comprobación explícita Utilizar el acceso con privilegios mínimos Dar por hecho que habrá intrusiones al sistema |
Hay varios enfoques que puede adoptar para incorporar al administrador y al personal de SecOps a Copilot para seguridad mientras configura las protecciones para su entorno.
Incorporación por usuario a Copilot para seguridad
Como mínimo, use una lista de comprobación para el administrador y el personal de SecOps antes de asignar un rol para Copilot para seguridad. Esto funciona bien para equipos y organizaciones pequeños que quieren empezar con un grupo piloto o de prueba.
Implementación por fases de Copilot para seguridad
Para entornos grandes, una implementación por fases más estándar funciona bien. En este modelo, se abordan grupos de usuarios al mismo tiempo para configurar la protección y asignar roles.
Aquí se muestra un modelo de ejemplo.
En la ilustración:
- En la fase de Evaluación, usted elige un pequeño conjunto de usuarios de administrador y SecOps que quiere que tengan acceso a Copilot para seguridad y aplica las protecciones de identidad y acceso y de dispositivos.
- En la fase Piloto, elige el siguiente conjunto de usuarios de administrador y SecOps y aplica protecciones de identidad y acceso y de dispositivos.
- En la fase de Implementación completa, se aplican protecciones de identidad y acceso y de dispositivos para el resto de los usuarios de administrador y SecOps.
- Al final de cada fase, asigne el rol adecuado en Copilot para seguridad a las cuentas de usuario.
Dado que diferentes organizaciones pueden estar en varias fases de la implementación de protecciones de Confianza cero para su entorno, en cada uno de estos pasos:
- Si NO usa ninguna de las protecciones descritas en el paso, tómese el tiempo necesario para realizar la prueba piloto e implementarlas en el administrador y el personal de SecOps antes de asignar roles que incluyan Copilot para seguridad.
- Si ya usa algunas de las protecciones descritas en el paso, utilice la información del paso como lista de comprobación y compruebe que cada protección indicada haya pasado por una prueba piloto y se haya implementado antes de asignar licencias de Copilot.
Paso 1. Implementación o validación de directivas de identidad y acceso para el administrador y el personal de SecOps
Para evitar que actores malintencionados usen Copilot para seguridad para obtener rápidamente información sobre ciberataques, el primer paso es impedir que obtengan acceso. Debe asegurarse de esto en relación con el administrador y el personal de SecOps:
- Es obligatorio que las cuentas de usuario usen la autenticación multifactor (MFA) (para que no se pueda poner en peligro el acceso a estas tan solo adivinando las contraseñas de usuario) y es obligatorio cambiar las contraseñas de estas cuando se detecta actividad de alto riesgo.
- Los dispositivos deben cumplir las directivas de cumplimiento de dispositivos y administración de Intune.
Para obtener recomendaciones sobre directivas de identidad y acceso, consulte el paso de identidad y acceso en Confianza cero para Microsoft Copilot para Microsoft 365. En función de las recomendaciones de este artículo, asegúrese de que la configuración resultante aplica las siguientes directivas para todas las cuentas de usuario del personal de SecOps y sus dispositivos:
- Usar siempre MFA para inicios de sesión
- Bloquear clientes que no admiten la autenticación moderna
- Requerir que los equipos y dispositivos móviles siguen las reglas de cumplimiento
- Los usuarios de alto riesgo deben cambiar sus contraseñas (solo para Microsoft 365 E5)
- Requerir adherirse a las directivas de cumplimiento de dispositivos de Intune
Estas recomendaciones se alinean con el nivel de protección de seguridad Especializado en las directivas de acceso a dispositivos e identidades de Confianza cero de Microsoft. En el diagrama siguiente, se muestran los tres niveles de protección recomendados: Punto inicial, Empresarial y Especializado. El nivel de protección Empresarial se recomienda como un requisito mínimo para las cuentas con privilegios.
En el diagrama, se muestran las directivas recomendadas para el acceso condicional de Microsoft Entra, el cumplimiento de dispositivos de Intune y la protección de aplicaciones de Intune para cada uno de los tres niveles:
- Punto inicial, que no requiere la administración de dispositivos.
- Empresarial se recomienda para Confianza cero y como mínimo para el acceso a Copilot para seguridad y sus productos de seguridad y datos relacionados con terceros.
- Se recomienda un nivel de seguridad Especializado para el acceso a Copilot para seguridad y sus productos de seguridad y datos relacionados con terceros.
Cada una de estas directivas se describe con más detalle en Directivas comunes de acceso a dispositivos e identidades de Confianza cero para organizaciones de Microsoft 365.
Configuración de un conjunto independiente de directivas para usuarios con privilegios
Al configurar estas directivas para el personal de administración y SecOps, cree un conjunto independiente de directivas para estos usuarios con privilegios. Por ejemplo, no agregue los administradores al mismo conjunto de directivas que rigen el acceso de usuarios sin privilegios a aplicaciones como Microsoft 365 y Salesforce. Use un conjunto dedicado de directivas con protecciones adecuadas para las cuentas con privilegios.
Inclusión de herramientas de seguridad en el ámbito de las directivas de acceso condicional
Por ahora, no hay una manera fácil de configurar el acceso condicional para Copilot para seguridad. Sin embargo, dado que la autenticación delegada se usa para acceder a los datos dentro de las herramientas de seguridad, asegúrese de que ha configurado el acceso condicional para estas herramientas, que pueden ser Microsoft Entra ID y Microsoft Intune.
Paso 2. Aplicación de privilegios mínimos a las cuentas de usuario de administrador y SecOps
Este paso incluye la configuración de los roles adecuados en Copilot para seguridad. También incluye revisar las cuentas de usuario de administrador y SecOps para asegurarse de que se les asigna la menor cantidad de privilegios para el trabajo que necesiten realizar.
Asignación de cuentas de usuario a los roles de Copilot para seguridad
El modelo de permisos para Copilot para seguridad incluye roles en Microsoft Entra ID y Copilot para seguridad.
| Producto | Roles | Descripción |
|---|---|---|
| Microsoft Entra ID | Administrador de seguridad Administrador global |
Estos roles de Microsoft Entra heredan el rol de propietario de Copilot en Copilot para seguridad. Use solo estos roles con privilegios para incorporar Copilot para seguridad en su organización. |
| Copilot para seguridad | Propietario de Copilot Colaborador de Copilot |
Estos dos roles incluyen el acceso para usar Copilot para seguridad. La mayoría de los administradores y el personal de SecOps pueden usar el rol Colaborador de Copilot. El rol Propietario de Copilot incluye la capacidad de publicar complementos personalizados y administrar la configuración que afecta a todos en Copilot para seguridad. |
Es importante saber que, de forma predeterminada, todos los usuarios del inquilino tienen acceso de colaborador de Copilot. Con esta configuración, el acceso a los datos de la herramienta de seguridad se rige por los permisos configurados para cada una de las herramientas de seguridad. Una ventaja de esta configuración es que las experiencias insertadas de Copilot para seguridad están disponibles inmediatamente para el administrador y el personal de SecOps dentro de los productos que usan diariamente. Esto funciona bien si ya ha adoptado una práctica segura de acceso con privilegios mínimos dentro de la organización.
Si quiere adoptar un enfoque por fases para presentar Copilot para seguridad al personal de administración y SecOps mientras optimiza el acceso con privilegios mínimos en su organización, quite Todos los usuarios del rol Colaborador de Copilot y agregue grupos de seguridad a medida que esté listo.
Para más información, consulte estos recursos de Microsoft Copilot para seguridad:
Configuración o revisión del acceso con privilegios mínimos para las cuentas de usuario de administrador y SecOps
Presentarles Copilot para seguridad también es un buen momento para revisar el acceso de las cuentas de usuario de administrador y del personal de SecOps para asegurarse de que sigue el principio de privilegios mínimos para el acceso de estos roles a productos específicos. Esto incluye las siguientes tareas:
- Revise los privilegios concedidos para los productos específicos con los que trabaja el administrador y el personal de SecOps. Por ejemplo, para Microsoft Entra, consulte Roles con privilegios mínimos por tarea.
- Use Microsoft Entra Privileged Identity Management (PIM) para obtener un mayor control sobre el acceso a Copilot para seguridad.
- Use Administración de acceso con privilegios de Microsoft Purview para configurar un control de acceso pormenorizado sobre tareas de administrador con privilegios en Office 365.
Uso de Microsoft Entra Privileged Identity Management junto con Copilot para seguridad
Microsoft Entra Privileged Identity Management (PIM) le permite administrar, controlar y supervisar los roles necesarios para acceder a Copilot para seguridad. Con PIM, puede hacer lo siguiente:
- Proporcionar la activación de roles basada en el tiempo.
- Requerir aprobación para activar los roles con privilegios.
- Exigir MFA para activar cualquier rol.
- Obtener notificaciones cuando se activan los roles con privilegios.
- Realizar revisiones de acceso para asegurarse de que las cuentas de usuario de administrador y del personal de SecOps siguen necesitando sus roles asignados.
- Realizar auditorías sobre los cambios de acceso y roles para el administrador y el personal de SecOps.
Uso de la administración de acceso con privilegios junto con Copilot para seguridad
La administración de acceso con privilegios de Microsoft Purview ayuda a proteger a su organización frente a infracciones y ayuda a cumplir los procedimientos recomendados de cumplimiento al limitar el acceso permanente a datos confidenciales o al acceso a las opciones de configuración críticas. En lugar de que los administradores tengan acceso constante, se implementan reglas de acceso Just-In-Time para las tareas que necesitan permisos elevados. En lugar de que los administradores tengan acceso constante, se implementan reglas de acceso Just-In-Time para las tareas que necesitan permisos elevados. Para más información, consulte Administración de acceso con privilegios.
Paso 3. Protección de dispositivos para el acceso con privilegios
En el paso 1, ha configurado directivas de acceso condicional que requerían dispositivos administrados y compatibles para el administrador y el personal de SecOps. Para mayor seguridad, puede implementar dispositivos de acceso con privilegios para el uso del personal al acceder a herramientas y datos de seguridad, incluido Copilot para seguridad. Un dispositivo de acceso con privilegios es una estación de trabajo protegida que tiene un control y una protección de las aplicaciones claros. La estación de trabajo usa la protección de credenciales, dispositivos, aplicaciones y frente a vulnerabilidades para proteger al host de atacantes.
Para más información sobre cómo configurar un dispositivo para el acceso con privilegios, consulte Protección de dispositivos como parte de la historia de acceso con privilegios.
Para requerir estos dispositivos, asegúrese de actualizar la directiva de cumplimiento de dispositivos de Intune. Si va a realizar la transición del administrador y del personal de SecOps a dispositivos protegidos, cambie los grupos de seguridad de la directiva de cumplimiento del dispositivo original a la nueva directiva. La regla de acceso condicional puede permanecer igual.
Paso 4. Implementación o validación de servicios de protección contra amenazas
Para detectar las actividades de actores malintencionados y evitar que obtengan acceso a Copilot para seguridad, asegúrese de que puede detectar y responder a incidentes de seguridad con un conjunto completo de servicios de protección contra amenazas, que incluyen Microsoft Defender XDR con Microsoft 365, Microsoft Sentinel y otros servicios y productos de seguridad.
Use los siguientes recursos.
| Ámbito | Descripción y recursos |
|---|---|
| Aplicaciones SaaS y Microsoft 365 integradas con Microsoft Entra | Consulte el artículo Confianza cero para Microsoft Copilot para Microsoft 365 para obtener instrucciones sobre cómo aumentar la protección contra amenazas a partir de los planes de Microsoft 365 E3 y el progreso con los planes de Microsoft E5. Para los planes de Microsoft 365 E5, consulte también Evaluación y prueba piloto de seguridad de Microsoft Defender XDR. |
| Recursos en la nube de Azure Sus recursos en otros proveedores de nube, como Amazon Web Services (AWS) |
Use los siguientes recursos para empezar a trabajar con Defender for Cloud: - Microsoft Defender for Cloud - Aplicación de principios de Confianza cero a aplicaciones IaaS en AWS |
| Su patrimonio digital con todas las herramientas de Microsoft XDR y Microsoft Sentinel | La guía de la solución Implementación de Microsoft Sentinel y Microsoft Defender XDR para Confianza cero le muestra el proceso de configuración de las herramientas de detección y respuesta extendidas de Microsoft, junto con Microsoft Sentinel, para acelerar la capacidad de su organización para responder y corregir los ataques de ciberseguridad. |
Paso 5. Protección del acceso a datos y productos de seguridad de terceros
Si va a integrar productos de seguridad de terceros con Copilot para seguridad, asegúrese de que ha protegido el acceso a estos productos y a los datos relacionados. La guía de Confianza cero de Microsoft incluye recomendaciones para proteger el acceso a las aplicaciones SaaS. Estas recomendaciones se pueden usar para los productos de seguridad de terceros.
Para la protección con directivas de acceso a dispositivos e identidades, los cambios en las directivas comunes para las aplicaciones SaaS se describen en rojo en el diagrama siguiente. Estas son las directivas a las que puede agregar sus productos de seguridad de terceros.
En el caso de los productos y aplicaciones de seguridad de terceros, considere la posibilidad de crear un conjunto dedicado de directivas para estos. Esto le permite tratar sus productos de seguridad con mayores requisitos en comparación con las aplicaciones de productividad, como Dropbox y Salesforce. Por ejemplo, agregue Tanium y todos los demás productos de seguridad de terceros al mismo conjunto de directivas de acceso condicional. Si quiere aplicar requisitos más estrictos para los dispositivos para el administrador y el personal de SecOps, configure también directivas únicas para el cumplimiento de dispositivos de Intune y la protección de aplicaciones de Intune y asígnelas al personal de administración y SecOps.
Para obtener más información sobre cómo agregar los productos de seguridad a Microsoft Entra ID y al ámbito del acceso condicional y las directivas relacionadas (o configurar un nuevo conjunto de directivas), consulte Agregar aplicaciones SaaS a Microsoft Entra ID y al ámbito de las directivas.
En función del producto de seguridad, podría ser adecuado usar Microsoft Defender for Cloud Apps para supervisar el uso de estas aplicaciones y aplicar controles de sesión. Además, si estas aplicaciones de seguridad incluyen almacenamiento de datos en cualquiera de los tipos de archivo admitidos por Microsoft Purview, puede usar Defender for Cloud para supervisar y proteger estos datos mediante etiquetas de confidencialidad y directivas de prevención de pérdida de datos (DLP). Para más información, consulte Integración de aplicaciones SaaS para Confianza cero con Microsoft 365.
Ejemplo del inicio de sesión único de Tanium
Tanium es un proveedor de herramientas de administración de puntos de conexión y ofrece un complemento de aptitudes de Tanium personalizado para Copilot para seguridad. Este complemento ayuda a fundamentar las indicaciones y respuestas, que aprovechan los datos y la información recopilada por Tanium.
Esta es la arquitectura lógica de Copilot para seguridad con el complemento Tanium Skills.
En el diagrama:
- Tanium Skills es un complemento personalizado para Microsoft Copilot para seguridad.
- Tanium Skills proporciona acceso y ayuda a fundamentar tanto las indicaciones como las respuestas que utilizan los datos y la información recopilados por Tanium.
Para proteger el acceso a los productos de Tanium y a los datos relacionados:
- Use la Galería de aplicaciones de Microsoft Entra ID para buscar y agregar el inicio de sesión único de Tanium al inquilino. Consulte Adición de una aplicación empresarial. Para obtener un ejemplo específico de Tanium, consulte Integración del inicio de sesión único de Microsoft Entra con el inicio de sesión único de Tanium.
- Agregue el inicio de sesión único de Tanium al ámbito de las directivas de acceso e identidad de Confianza cero.
Pasos siguientes
Consulte el vídeo Descubrir Microsoft Copilot para seguridad.
Consulte estos artículos adicionales para conocer sobre Confianza cero y Copilots de Microsoft:
Consulte también la documentación de Microsoft Copilot para seguridad.
Referencias
Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de