Podsumowanie
W tym module przedstawiono sposób planowania, tworzenia i konfigurowania obszarów roboczych Microsoft Security Copilot na potrzeby segmentacji przedsiębiorstwa. Zbadano, w jaki sposób przestrzenie robocze umożliwiają tworzenie środowisk specyficznych dla zespołu z dedykowaną mocą obliczeniową, zgodnością z lokalizacją danych, dostępem zależnym od ról oraz dostosowanymi konfiguracjami.
Zacząłeś od planowania wdrożeń przestrzeni roboczych. Oceniano modele pojemności — aprowizację z płatnością zgodnie z rzeczywistym użyciem i włączenie Microsoft 365 E5 — oraz określono alokacje aprowizowane i nadwyżkowe jednostek obliczeniowych zabezpieczeń (SCU) na podstawie wzorców użycia. Zidentyfikowano wymagania dotyczące przechowywania danych i lokalizacji ich oceny, aby spełnić wymagania dotyczące zgodności. Potwierdziłeś role Azure i Security Copilot potrzebne do tworzenia i zarządzania obszarami roboczymi.
Utworzyłeś obszary robocze Security Copilot przez portal, podejmując krytyczne decyzje konfiguracyjne podczas tworzenia. Nazwano obszary robocze zgodnie z konwencjami nazewnictwa zasobów Azure i powiązano je z istniejącymi lub nowo utworzonymi zasobami pojemnościowymi. Następnie wybrano niezmienne lokalizacje przechowywania danych na potrzeby zgodności z przepisami. Na koniec skonfigurowano regiony oceny monitów na potrzeby optymalizacji wydajności i ustawiono preferencje dotyczące udostępniania danych dopasowane do zasad organizacji.
Dostęp do obszaru roboczego został skonfigurowany przez przypisanie ról właścicieli i współautorów do użytkowników, grup, ról Microsoft Entra lub tożsamości zarządzanych. Dowiedziałeś się, że role obszarów roboczych mają zastosowanie specjalnie do poszczególnych obszarów roboczych, umożliwiając administrowanie delegowane bez uprawnień na poziomie dzierżawy. Skonfigurowano ustawienia właściciela na poziomie obszaru roboczego — zarządzanie pojemnością, udostępnianie danych, uprawnienia do przekazywania plików i włączono wtyczki specyficzne dla obszaru roboczego, aby dostosować Security Copilot możliwości do potrzeb zespołu.
Przypisano zintegrowanych agentów Microsoft Security Copilot z takich produktów jak Defender XDR, Purview, Intune i Microsoft Entra do określonych obszarów roboczych. Rozumiesz, że przypisanie obszaru roboczego agenta to ustawienie dla całej dzierżawy, które kieruje cały ruch agenta z produktu do wyznaczonego obszaru roboczego. Upewniono się, że użytkownicy mają odpowiedni dostęp do obszaru roboczego, aby uniknąć błędów podczas wywoływania agentów z osadzonych środowisk. Zrozumiałeś, że przypisania obszaru roboczego agenta to ustawienia dla całej dzierżawy, trasowanie całego ruchu środowiska osadzonego do wyznaczonego obszaru roboczego.
Monitorowałeś i zarządzałeś pojemnością obszaru roboczego za pomocą pulpitów nawigacyjnych, które wyświetlają zużycie jednostek SCU, wolumeny szybkich komunikatów oraz trendy w zakresie wykorzystania. Dostosowałeś przydzielone i nadwyżkowe alokacje jednostek SCU na podstawie obserwowanych wzorców, uznając, że zmiany pojemności mogą zająć do 30 minut, aby wejść w życie. Rozumiesz, kiedy zwiększyć pojemność pod kątem trwałego wysokiego wykorzystania, przekonwertować nadwyżkę na aprowizowane jednostki na potrzeby optymalizacji kosztów i zmniejszyć pojemność dla nie w pełni wykorzystanych obszarów roboczych.
Wynik firmy Contoso
Implementując segmentację obszaru roboczego, firma Contoso osiągnęła cele organizacyjne:
Obszar roboczy SOC zapewnia zespołowi SOC dedykowane zasoby o dużej pojemności, amerykańskie standardy przechowywania danych oraz zarządzanie ruchem agentów Defender XDR. Analitycy SOC skutecznie badają zagrożenia bez ograniczeń pojemności lub problemów ze zgodnością.
Obszar roboczy zgodności zapewnia lokalizację danych UE dla wszystkich monitów i danych sesji, spełniając przepisy prawne. Agent usługi Purview kieruje do tego obszaru roboczego, umożliwiając urzędnikom ds. zgodności monitorowanie zarządzania danymi przy zachowaniu zgodności geograficznej.
Obszar roboczy piaskownicy oferuje zespołowi architektury zabezpieczeń izolowane środowisko do testowania wtyczek niestandardowych i elementów monitów przed wdrożeniem produkcyjnym. Alokacja o niskiej przepustowości minimalizuje koszty przy jednoczesnym wspieraniu eksperymentów.
Własność specyficzna dla obszaru roboczego umożliwia delegowanie. Dyrektor ds. SOC, Menedżer zgodności i Architekt bezpieczeństwa niezależnie konfigurują swoje obszary robocze bez potrzeby stosowania ról administracyjnych na poziomie całej dzierżawy ani koordynowania zmian między zespołami.
Następne kroki
Aby pogłębić swoją wiedzę na temat Security Copilot, rozważ zapoznanie się z:
- Stwórz własne przewodniki działania — Opracuj niestandardowe wieloetapowe przepływy pracy, aby zautomatyzować procedury analizy i reagowania w przestrzeniach roboczych.
- Zrozumieć uwierzytelnianie w Microsoft Security Copilot — dogłębne eksplorowanie ról Security Copilot, ról Microsoft Entra i szczegółowej kontroli dostępu opartej na rolach Azure RBAC.