Planificar un despliegue del espacio de trabajo
Las organizaciones despliegan los espacios de trabajo de Security Copilot para segmentar el uso por equipo, frontera de cumplimiento o necesidad operativa. Antes de crear área de trabajo, se evalúan los requisitos de capacidad, las restricciones de residencia de datos y las estrategias de asignación de roles. La planeación garantiza que cada área de trabajo se alinee con las directivas organizativas al tiempo que proporciona a los equipos los recursos y el acceso que necesitan.
En el caso de Contoso, el equipo del Centro de Operaciones de Seguridad (SOC) necesita una gran capacidad para la detección continua de amenazas, el equipo de cumplimiento normativo requiere que los datos residan en la UE y el equipo de arquitectura desea un entorno de pruebas aislado. Estos diversos requisitos exigen una planeación cuidadosa antes de implementar recursos.
Descripción del ámbito y la arquitectura del área de trabajo
Un área de trabajo es un entorno orientado al arrendatario donde los usuarios, los agentes y las automatizaciones operan. Cada área de trabajo mantiene el historial de sesión independiente, la asignación de capacidad, las asignaciones de roles y las opciones de configuración. Todas las interacciones del usuario (avisos manuales, respuestas desencadenadas por agente y flujos de trabajo automatizados) se producen dentro de un límite del área de trabajo.
| Elemento de Espacio de Trabajo | Ámbito | Ejemplo de caso de uso |
|---|---|---|
| Datos de sesión | Por área de trabajo | Las sesiones del equipo de cumplimiento de la UE se realizan en la región de la UE |
| Capacidad (SCUs) | Por área de trabajo | El área de trabajo de SOC tiene 10 SCUs; la sandbox tiene 2 SCUs |
| Asignaciones de roles | Por área de trabajo | El líder de SOC es el único propietario del área de trabajo de SOC. |
| Configuración del complemento | Por área de trabajo | Sandbox permite complementos experimentales |
| Enrutamiento del agente | Configuración para todo el inquilino | El agente de Defender XDR se redirige al espacio de trabajo del SOC |
A diferencia de un único entorno compartido, las áreas de trabajo proporcionan segmentación. Con un único espacio de trabajo predeterminado, todos los equipos comparten capacidad, las funciones se aplican a toda la organización y resulta difícil hacer cumplir los límites de cumplimiento. Con varias áreas de trabajo, cada equipo obtiene capacidad dedicada, propietarios específicos del área de trabajo configuran la configuración de forma independiente y la residencia de datos se alinea con los requisitos regionales.
Planeamiento de los requisitos de capacidad
Las áreas de trabajo de Security Copilot están impulsadas por Unidades de Cómputo de Seguridad (SCU). El modelo de capacidad que usa determina cómo configurar y pagar por estas unidades.
Capacidad de pago por uso requiere una suscripción de Azure. Las SCU por hora se configuran a través del Azure Portal o durante la creación del espacio de trabajo. Con el modelo de pago por uso, se establece una línea base (por ejemplo, 5 SCU) que se ejecuta de forma continua y, opcionalmente, se configuran unidades de exceso que se activan durante los picos de uso. Paga por la capacidad aprovisionada por hora más cualquier uso por encima del límite. Este modelo ofrece un control preciso: aumenta la capacidad antes de la carga prevista y reduce la capacidad durante las horas no laborales.
La capacidad incluida en Microsoft 365 E5 proporciona 400 SCU al mes por cada 1000 licencias E5. Con el modelo de inclusión, aparece automáticamente una capacidad predeterminada de Security Copilot en su inquilino. No se crea capacidad por hora; en su lugar, el uso se deduce de la asignación mensual de SCU. Las SCU no utilizadas no se acumulan. Este modelo simplifica el presupuesto: se usan inversiones de E5 existentes sin una facturación de Azure independiente.
Las SCU aprovisionadas representan la capacidad de línea base: unidades que permanecen asignadas continuamente. Las SCU de uso por encima del límite proporcionan elasticidad: unidades adicionales que se activan automáticamente cuando se agota la capacidad aprovisionada. Tenga en cuenta los patrones de uso: las cargas de trabajo estables se benefician de unidades de cómputo aprovisionadas más altas con un mínimo de excedente; las cargas de trabajo variables se adaptan mejor a una línea base inferior con un excedente generoso. Las unidades de uso por encima del límite solo se facturan cuando se consumen.
| Scenario | SCU aprovisionadas | SCUs en exceso | Justificación |
|---|---|---|---|
| Operaciones del Centro de Operaciones de Seguridad (24/7) | 10 | 5 | Base de referencia alta para la búsqueda continua de amenazas; El uso por encima del límite controla los aumentos de incidentes. |
| Auditorías de cumplimiento (periódicas) | 5 | 3 | Línea base moderada para la supervisión continua; uso por encima del límite para picos de auditoría trimestrales |
| Pruebas en entorno aislado (intermitente) | 2 | 1 | Base de referencia baja para la experimentación; uso por encima del límite mínimo para las demostraciones de POC |
Seleccione la residencia de datos y las ubicaciones de evaluación
Security Copilot requiere dos decisiones de ubicación geográfica durante la creación del área de trabajo: ubicación de almacenamiento de datos y ubicación de evaluación rápida.
Ubicación de almacenamiento de datos determina dónde Security Copilot almacena los datos de sesión en reposo: avisos, respuestas y configuración del área de trabajo. Entre las opciones se incluyen Australia (ANZ), Europa (UE), Suiza (CH), Reino Unido (Reino Unido) y Estados Unidos (EE. UU.). Esta configuración es inmutable después de la creación del área de trabajo. Para escenarios controlados por el cumplimiento, como el equipo de cumplimiento de la UE de Contoso, seleccionar la ubicación de almacenamiento de datos correcta en la creación es fundamental.
La ubicación de evaluación de indicaciones determina dónde los recursos de GPU procesan las indicaciones. Puede coincidir con la ubicación de almacenamiento de datos o seleccionar "Evaluar en cualquier lugar con capacidad disponible". La evaluación de cualquier lugar mejora la capacidad de respuesta mediante el enrutamiento al centro de datos menos ocupado, pero puede procesar avisos fuera de la región de datos elegida. La evaluación en una región específica mantiene un control geográfico más estricto, pero puede encontrar una mayor latencia durante el uso máximo regional.
Para el área de trabajo de cumplimiento de Contoso, ambas configuraciones usan la UE para asegurarse de que los datos permanecen dentro de los límites europeos. En los área de trabajo SOC y sandbox, el almacenamiento de datos se realiza en EE. UU., pero la evaluación de alertas se lleva a cabo "en cualquier lugar" para garantizar un rendimiento óptimo.
Identificación de los roles y permisos necesarios
La creación y administración de áreas de trabajo requiere roles específicos de Azure y Security Copilot. Comprender los requisitos de rol antes de la implementación garantiza que tiene los permisos adecuados y puede asignar acceso a las personas adecuadas.
Para crear un espacio de trabajo, se necesita un rol compatible con Security Copilot (administrador de seguridad o un rol de Microsoft Entra/Purview, como administrador de cumplimiento o administración de organizaciones de Purview). Para configurar la capacidad durante la creación, también se necesita acceso de propietario o colaborador de Azure a la suscripción de Azure en la que se crean los recursos de capacidad.
Para la configuración del área de trabajo, los propietarios del área de trabajo pueden configurar opciones, asignar roles, administrar complementos e implementar agentes dentro de esa área de trabajo específica. El rol de Propietario del área de trabajo es específico para cada una; ser Propietario de un área de trabajo no otorga la propiedad de otras. El acceso de colaborador de Azure al recurso de capacidad permite asociar o cambiar las asignaciones de capacidad.
Para el uso del área de trabajo, los colaboradores del área de trabajo pueden usar características de Security Copilot: enviar mensajes, ejecutar mensajes, ver historial de sesiones, pero no puede configurar las opciones del área de trabajo ni administrar el acceso. Los colaboradores representan a los usuarios finales típicos.
| Tipo de rol | Rol de ejemplo | Ámbito | Se requiere para |
|---|---|---|---|
| Security Copilot | Propietario | Por área de trabajo | Configuración de las opciones del área de trabajo, asignación de roles |
| Security Copilot | Colaborador | Por área de trabajo | Uso de características de Security Copilot |
| Microsoft Entra | Administrador de seguridad | Inquilino | Creación de áreas de trabajo, habilitación del registro de auditoría |
| Azure RBAC | Propietario o Colaborador | Suscripción/Grupo de Recursos | Configuración de recursos de capacidad |
El plan de implementación de Contoso asigna al Director del SOC como propietario del área de trabajo del SOC, al Administrador de Cumplimiento como propietario del área de trabajo de Cumplimiento y al Arquitecto de Seguridad como propietario del área de trabajo del sandbox. Cada propietario puede configurar de forma independiente su área de trabajo sin afectar a otros usuarios.
Planear la administración de varias áreas de trabajo
Con varias áreas de trabajo, se establecen patrones para navegar entre áreas de trabajo, supervisar el uso agregado y mantener la coherencia entre entornos.
Los propietarios y colaboradores de área de trabajo asignados a varios área de trabajo utilizan el selector de área de trabajo en la ruta de navegación del portal de Security Copilot. El nombre del espacio de trabajo que se muestra en la ruta de navegación refleja el espacio de trabajo activo actual.
Los agentes de seguridad integrados de Microsoft (Defender XDR, Purview, Intune, Microsoft Entra) dirigen el tráfico a un espacio de trabajo designado por producto. Esta configuración para todo el inquilino determina qué espacio de trabajo recibe las interacciones de la experiencia integrada. La asignación de agentes garantiza cuidadosamente que los equipos operativos accedan a Security Copilot sin problemas desde sus portales de seguridad principales.