Summary
En este módulo, ha aprendido a planear, crear y configurar áreas de trabajo de Microsoft Security Copilot para la segmentación empresarial. Has explorado cómo las áreas de trabajo permiten crear entornos específicos para equipos con capacidad dedicada, cumplimiento de residencia de datos, acceso por roles y configuraciones personalizadas.
Ha comenzado planificando las implementaciones del área de trabajo. Ha evaluado los modelos de capacidad (aprovisionamiento de pago por uso frente a la inclusión en Microsoft 365 E5) y ha determinado las asignaciones de unidades de proceso de seguridad (SCU) aprovisionadas y excedentes en función de los patrones de uso. Ha identificado los requisitos de ubicación para el almacenamiento de datos y la evaluación rápida para cumplir con los mandatos de cumplimiento. Confirmó las funciones de Azure y Security Copilot necesarias para crear y administrar área de trabajo.
Creó espacios de trabajo de Security Copilot a través del portal, tomando decisiones de configuración críticas durante el proceso de creación. Nombraste las áreas de trabajo de acuerdo con las convenciones de recursos de Azure y asociaste los recursos de capacidad existentes o recién creados. A continuación, ha seleccionado ubicaciones de almacenamiento de datos inmutables para el cumplimiento normativo. Por último, ha configurado regiones de evaluación rápida para la optimización del rendimiento y ha establecido las preferencias de uso compartido de datos alineadas con las directivas de la organización.
Ha configurado el acceso al área de trabajo mediante la asignación de roles de propietario y colaborador a usuarios, grupos, roles de Microsoft Entra o identidades administradas. Aprendió que las funciones de espacio de trabajo se aplican específicamente a área de trabajo individuales, lo que permite la administración delegada sin privilegios para todo el inquilino. Ha configurado los ajustes del propietario a nivel de espacio de trabajo: administración de capacidad, uso compartido de datos, permisos de carga de archivos, y ha habilitado plugins específicos del espacio de trabajo para adaptar las funcionalidades de Security Copilot a las necesidades del equipo.
Ha asignado agentes de Microsoft Security Copilot integrados de productos como Defender XDR, Purview, Intune y Microsoft Entra a áreas de trabajo específicas. Ha comprendido que la asignación del área de trabajo del agente es una configuración a nivel de cliente que enruta todo el tráfico de agentes de un producto al área de trabajo designada. Ha garantizado que los usuarios tengan acceso adecuado al entorno de trabajo para evitar errores al invocar agentes desde experiencias integradas. Comprendió que las asignaciones de área de trabajo de agente son configuraciones para todo el inquilino, que dirigen todo el tráfico de la experiencia integrada al espacio de trabajo designado.
Ha vigilado y gestionado la capacidad del espacio de trabajo a través de paneles de uso que muestran el consumo de SCU, los volúmenes de consultas y las tendencias de uso. Has ajustado las asignaciones de SCU aprovisionadas y en exceso según los patrones observados, reconociendo que los cambios de capacidad tardan hasta 30 minutos en tener efecto. Ha comprendido cuándo aumentar la capacidad para un uso elevado sostenido, convertir el uso por encima del límite en unidades aprovisionadas para la optimización de costos y reducir la capacidad de las áreas de trabajo infrautilizadas.
El resultado de Contoso
Al implementar la segmentación del área de trabajo, Contoso alcanzó sus objetivos organizativos:
El área de trabajo SOC proporciona al equipo de SOC una alta capacidad dedicada, el almacenamiento de datos de EE. UU. y el enrutamiento del agente Defender XDR. Los analistas de SOC investigan amenazas de forma eficaz sin restricciones de capacidad ni problemas de cumplimiento.
El espacio de trabajo de cumplimiento normativo garantiza la residencia de los datos en la UE para todas las solicitudes y los datos de sesión, cumpliendo así los requisitos normativos. El agente de Purview se encamina a esta área de trabajo, permitiendo a los responsables de cumplimiento supervisar la gobernanza de datos y mantener el cumplimiento geográfico.
El espacio de trabajo de entorno de pruebas ofrece al equipo de arquitectura de seguridad un entorno aislado para probar complementos personalizados y libros de solicitudes antes de su implementación en producción. La asignación de capacidad baja minimiza los costos al admitir la experimentación.
La propiedad de un área de trabajo específica permite la delegación. El director de SOC, el administrador de cumplimiento y el arquitecto de seguridad configuran de forma independiente sus áreas de trabajo sin necesidad de roles administrativos para todo el inquilino ni coordinar los cambios en todos los equipos.
Pasos siguientes
Para profundizar en su experiencia Security Copilot, considere la posibilidad de explorar:
- Construya sus propios promptbooks - Cree flujos de trabajo personalizados de varios pasos para automatizar los procedimientos de investigación y respuesta dentro de sus espacios de trabajo.
- Comprender la autenticación en Microsoft Security Copilot - Explore en profundidad las funciones de Security Copilot, las funciones de Microsoft Entra y el RBAC de Azure.