Aplique os princípios da Confiança Zero ao Microsoft Copilot para Segurança
Resumo: para aplicar princípios de Confiança Zero ao seu ambiente para o Microsoft Copilot para Segurança, é necessário aplicar cinco camadas de proteção:
- Proteja contas de usuário da equipe do Administrador e do SecOps, com políticas de identidade e acesso.
- Aplique acesso de privilégios mínimos a contas de usuário da equipe do Administrador e do SecOps, inclusive a atribuição das funções de conta de usuário mínimas.
- Gerencie e proteja dispositivos de equipe do Administrador e do SecOps.
- Implante ou valide sua proteção contra ameaças.
- Proteger o acesso a produtos de segurança de terceiros que você integra ao Copilot para segurança.
Introdução
Como parte da introdução do Microsoft Copilot para Segurança em seu ambiente, a Microsoft recomenda criar uma base forte de segurança para suas contas de usuário e dispositivos da equipe do SecOps e do Administrador. A Microsoft também recomenda garantir que você tenha configurado ferramentas de proteção contra ameaças. Caso esteja integrando produtos de segurança de terceiros ao Copilot para Segurança, verifique também se você protegeu o acesso a esses produtos e dados relacionados.
Felizmente, a orientação para uma base de segurança sólida existe na forma de Confiança Zero. A estratégia de segurança Confiança Zero trata cada conexão e solicitação de recurso como se tivesse se originado de uma rede descontrolada e de um ator mal-intencionado. Independentemente de onde a solicitação se origina ou qual recurso acessa, a Confiança Zero nos ensina a "nunca confiar, sempre verificar".
De dentro dos portais de segurança, o Copilot para Segurança fornece uma linguagem natural e uma experiência do Copilot assistencial que ajuda a dar suporte:
Profissionais de segurança em cenários de ponta a ponta, como resposta a incidentes, busca de ameaças, coleta de inteligência e gerenciamento de postura.
Profissionais de TI na avaliação e configuração de políticas, solução de problemas de acesso de dispositivo e usuário e monitoramento de desempenho.
O Copilot para Segurança usa dados de logs de eventos, alertas, incidentes e políticas para suas assinaturas e produtos de segurança da Microsoft e de terceiros. Se um invasor comprometer uma conta de usuário do administrador ou da equipe de segurança que recebeu uma função do Copilot para Segurança, ele poderá usar o Copilot para Segurança e seus resultados para entender como sua equipe do SecOps está lidando com ataques em andamento. Um invasor pode usar essas informações para impedir tentativas de responder a um incidente, possivelmente um que eles iniciaram.
Consequentemente, é fundamental garantir que você tenha aplicado mitigações apropriadas no ambiente.
Arquitetura lógica
A primeira linha de defesa ao introduzir o Copilot para Segurança é aplicar os princípios da Confiança Zero às contas e dispositivos da equipe do Administrador e do SecOps. Também é importante garantir que sua organização aplique o princípio de privilégios mínimos. Além das funções específicas do Copilot, as funções atribuídas para o administrador e a equipe do SecOps em suas ferramentas de segurança, determinam a quais dados eles têm acesso ao usar o Copilot para Segurança.
É fácil entender por que essas mitigações são importantes examinando a arquitetura lógica do Copilot para Segurança, mostrada aqui.
No diagrama:
Os membros da equipe do SecOps podem solicitar o uso de uma experiência do Copilot, como as oferecidas pelo Copilot para Segurança, Microsoft Defender XDR e Microsoft Intune.
Os componentes do Copilot para Segurança incluem:
O serviço de Copilot para Segurança, que orquestra respostas a solicitações baseados em habilidades e usuários.
Um conjunto de LLMs (Modelos de Linguagem Grande) para o Copilot para Segurança.
Plug-ins para produtos específicos. Os plug-ins pré-instalados para produtos da Microsoft são fornecidos. Esses plug-ins pré-processam e pós-processam as solicitações.
Seus dados de assinatura. Os dados do SecOps para logs de eventos, alertas, incidentes e políticas armazenados nas assinaturas. Para obter mais informações, consulte este artigo do Microsoft Sentinel, para obter as fontes de dados mais comuns para produtos de segurança.
Arquivos carregados. É possível carregar arquivos específicos no Copilot para Segurança e incluí-los no escopo das solicitações.
Cada produto de segurança da Microsoft com uma experiência do Copilot, fornece acesso apenas ao conjunto de dados associado a esse produto, como logs de eventos, alertas, incidentes e políticas. O Copilot para Segurança fornece acesso a todos os conjuntos de dados aos quais o usuário tem acesso.
Para obter mais informações, consulte Introdução ao Microsoft Copilot para Segurança.
Como funciona a autenticação em nome do Copilot para Segurança?
O Copilot para Segurança usa a autenticação em nome do usuário, fornecida pelo OAuth 2.0. Esse é um fluxo de autenticação fornecido pela delegação no OAuth. Quando um usuário do SecOps emite uma solicitação, o Copilot para Segurança passa a identidade e as permissões do usuário por meio da cadeia de solicitações. Isso impede que o usuário obtenha permissão para recursos para os quais não deve ter acesso.
Para obter mais informações sobre a autenticação em nome do usuário, consulte a plataforma de identidade da Microsoft e o fluxo On-Behalf-Of do OAuth2.0.
Solicitação em um produto de segurança da Microsoft: exemplo inserido para o Microsoft Intune
Ao usar uma das experiências inseridas do Copilot para Segurança, o escopo dos dados é determinado pelo contexto do produto que você está usando. Por exemplo, caso emita uma solicitação no Microsoft Intune, os resultados serão produzidos somente a partir de dados e contexto fornecidos pelo Microsoft Intune.
Aqui está a arquitetura lógica ao emitir solicitações de uma experiência inserida do Microsoft Intune.
No diagrama:
Os administradores do Intune usam a experiência do Microsoft Copilot no Intune para enviar solicitações.
O componente do Copilot para Segurança orquestra respostas às solicitações usando:
Os LLMs para Copilot para Segurança.
O plug-in pré-instalado do Microsoft Intune.
Os dados do Intune para dispositivos, políticas e postura de segurança armazenados em sua assinatura do Microsoft 365.
Integração com produtos de segurança de terceiros
O Copilot para Segurança fornece a capacidade de hospedar plug-ins para produtos de terceiros. Esses plug-ins de terceiros fornecem acesso aos dados associados. Esses plug-ins e os dados associados residem fora do limite de confiança de segurança da Microsoft. Consequentemente, é importante garantir que você tenha protegido o acesso a esses aplicativos e seus dados associados.
Aqui está a arquitetura lógica do Copilot para Segurança com produtos de segurança de terceiros.
No diagrama:
- O Copilot para Segurança integra-se a produtos de segurança de terceiros por meio de plug-ins.
- Esses plug-ins fornecem acesso aos dados associados ao produto, como logs e alertas.
- Esses componentes de terceiros residem fora do limite de confiança de segurança da Microsoft.
Aplicar mitigações de segurança ao ambiente para o Copilot para Segurança
O restante deste artigo orienta você pelas etapas para aplicar os princípios da Confiança Zero, para preparar o ambiente para o Copilot para Segurança.
| Etapa | Tarefa | Aplicação dos princípios de Confiança Zero |
|---|---|---|
| 1 | Implantar ou validar políticas de identidade e acesso para a equipe do Administrador e do SecOps. | Verificação explícita |
| 2 | Aplique privilégios mínimos a contas de usuário do Administrador e do SecOps. | Usar o acesso de privilégio mínimo |
| 3 | Proteger dispositivos para acesso privilegiado. | Verificação explícita |
| 4 | Implantar ou validar os serviços de proteção contra ameaças. | Pressupor a violação |
| 5 | Proteger o acesso a produtos e dados de segurança de terceiros. | Verificação explícita Usar o acesso com privilégios mínimos Pressupor a violação |
Há várias abordagens que é possível adotar para integrar a equipe do Administrador e do SecOps ao Copilot para Segurança, enquanto configura proteções para seu ambiente.
Integração por usuário ao Copilot para Segurança
No mínimo, percorra uma lista de verificação para a equipe do Administrador e do SecOps, antes de atribuir uma função para o Copilot para Segurança. Isso funciona bem para pequenas equipes e organizações que desejam começar com um grupo piloto ou de teste.
Implantação em fases do Copilot para Segurança
Para ambientes grandes, uma implantação em fases mais padrão funciona bem. Nesse modelo, você aborda grupos de usuários ao mesmo tempo para configurar a proteção e atribuir funções.
Aqui está um modelo de exemplo.
Na ilustração:
- Na fase Avaliar, você escolhe um pequeno conjunto de usuários Administradores e SecOps que deseja ter acesso ao Copilot para Segurança e aplica proteções de identidade, acesso e dispositivo.
- Na fase Piloto, você escolhe o próximo conjunto de usuários do Administrador e do SecOps e aplica proteções de identidade e acesso e dispositivo.
- Na fase de Implantação completa, você aplica proteções de identidade, acesso e dispositivo para o restante dos usuários do Administrador e do SecOps.
- No final de cada fase, você atribui a função apropriada no Copilot para Segurança às contas de usuário.
Como diferentes organizações podem estar em vários estágios de implantação de proteções de Confiança Zero para seu ambiente, em cada uma destas etapas:
- Caso NÃO esteja usando nenhuma das proteções descritas na etapa, reserve um tempo para fazer o piloto e implantá-las na equipe do Administrador e do SecOps, antes de atribuir funções que incluem o Copilot para Segurança.
- Caso já esteja usando algumas das proteções descritas na etapa, use as informações da etapa como uma lista de verificação e verifique se cada proteção declarada foi testada e implantada, antes de atribuir funções que incluem o Copilot para Segurança.
Etapa 1. Implantar ou validar políticas de identidade e acesso para o administrador e a equipe do SecOps
Para impedir que maus atores usem o Copilot para Segurança para obter rapidamente informações sobre ataques cibernéticos, a primeira etapa é impedir que eles obtenham acesso. Garanta que a equipe do Administrador e do SecOps:
- As contas de usuário são necessárias para usar a MFA (autenticação multifator) (para que seu acesso não possa ser comprometido adivinhando senhas de usuário sozinho) e eles são obrigados a alterar suas senhas quando a atividade de alto risco é detectada.
- Os dispositivos devem estar em conformidade com as políticas de conformidade de dispositivo e gerenciamento do Intune.
Para obter recomendações de política de identidade e acesso, consulte a etapa de identidade e acesso em Confiança Zero para Microsoft Copilot para Microsoft 365. Com base nas recomendações deste artigo, verifique se a configuração resultante aplica as seguintes políticas para todas as contas de usuário da equipe do SecOps e seus dispositivos:
- Sempre use a MFA para credenciais
- Bloquear clientes que não dão suporte à autenticação moderna
- Exigir computadores compatíveis e dispositivos móveis
- Os usuários de alto risco devem alterar a senha (somente para o E5 do Microsoft 365)
- Exigir a adesão às políticas de conformidade do dispositivo do Intune
Essas recomendações se alinham ao nível de proteção de Segurança especializada nas políticas de acesso de dispositivo e identidade de Confiança Zero da Microsoft. O diagrama a seguir ilustra os três níveis recomendados de proteção: Ponto de partida, Enterprise e Especializado. O nível de proteção Enterprise é recomendado como um mínimo, para suas contas privilegiadas.
No diagrama, as políticas recomendadas para o Acesso Condicional do Microsoft Entra, a conformidade do dispositivo do Intune e a proteção de aplicativo do Intune, são ilustradas para cada um dos três níveis:
- Ponto de partida, que não requer gerenciamento de dispositivo.
- O Enterprise é recomendado para Confiança Zero e, no mínimo, para acesso ao Copilot para Segurança e seus produtos de segurança de terceiros e dados relacionados.
- A segurança especializada é recomendada para acesso ao Copilot para Segurança e seus produtos de segurança de terceiros e dados relacionados.
Cada uma dessas políticas é descrita com mais detalhes em Políticas comuns de acesso de dispositivo e identidade de Confiança Zero para organizações do Microsoft 365.
Configurar um conjunto separado de políticas para usuários privilegiados
Ao configurar essas políticas para a equipe do Administrador e do SecOps, crie um conjunto separado de políticas para esses usuários privilegiados. Por exemplo, não adicione seus administradores ao mesmo conjunto de políticas que regem o acesso de usuários não privilegiados a aplicativos como o Microsoft 365 e o Salesforce. Use um conjunto dedicado de políticas com proteções apropriadas para contas com privilégios.
Incluir ferramentas de segurança no escopo das políticas de Acesso Condicional
Por enquanto, não há uma maneira fácil de configurar o Acesso Condicional para o Copilot para Segurança. No entanto, como a autenticação em nome do usuário é usada para acessar dados em ferramentas de segurança, garanta ter configurado o Acesso Condicional para essas ferramentas, que podem incluir o Microsoft Entra ID e o Microsoft Intune.
Etapa 2. Aplicar privilégios mínimos a contas de usuário de Administrador e SecOps
Esta etapa inclui a configuração das funções apropriadas no Copilot para Segurança. Ele também inclui a revisão das contas de usuário do Administrador e do SecOps, para garantir que elas sejam atribuídas a menor quantidade de privilégios para o trabalho que se destina a fazer.
Atribuir contas de usuário às funções do Copilot para Segurança
O modelo de permissões do Copilot para Segurança inclui funções no Microsoft Entra ID e no Copilot para Segurança.
| Product | Funções | Descrição |
|---|---|---|
| Microsoft Entra ID | Administrador de Segurança Administrador Global |
Essas funções do Microsoft Entra herdam a função de proprietário do Copilot no Copilot para Segurança. Use apenas essas funções privilegiadas para integrar o Copilot para Segurança à sua organização. |
| Copilot para Segurança | Proprietário do Copilot Colaborador do Copilot |
Essas duas funções incluem acesso para usar o Copilot para Segurança. A maioria da equipe de Administradores e SecOps pode usar a função de colaborador do Copilot. A função de proprietário do Copilot inclui a capacidade de publicar plug-ins personalizados e gerenciar configurações que afetam todo o Copilot para Segurança. |
É importante saber que, por padrão, todos os usuários no locatário recebem acesso de colaborador do Copilot. Com essa configuração, o acesso aos dados da ferramenta de segurança é regido pelas permissões configuradas para cada uma das ferramentas de segurança. Uma vantagem dessa configuração é que as experiências inseridas do Copilot para Segurança estão imediatamente disponíveis para a equipe do Administrador e do SecOps, nos produtos que eles usam diariamente. Isso funcionará bem se você já adotou uma prática forte de acesso menos privilegiado em sua organização.
Caso queira adotar uma abordagem preparada para introduzir o Copilot para Segurança à sua equipe do Administrador e do SecOps, enquanto ajusta o acesso menos privilegiado em sua organização, remova Todos os usuários da função de colaborador do Copilot e adicione grupos de segurança quando estiver pronto.
Para obter mais informações, consulte estes recursos do Microsoft Copilot para Segurança:
Configurar ou revisar o acesso de privilégios mínimos para contas de usuário do Administrador e SecOps
A introdução do Copilot para Segurança é um ótimo momento para examinar o acesso das contas de usuário da equipe do Administrador e do SecOps, para ter certeza de que você está seguindo com o princípio de privilégio mínimo para seu acesso a produtos específicos. Isso inclui as seguintes tarefas:
- Examine os privilégios concedidos para os produtos específicos com os quais o administrador e a equipe do SecOps trabalham. Por exemplo, para o Microsoft Entra, consulte Menos funções privilegiadas por tarefa.
- Use o PIM (Microsoft Entra Privileged Identity Management), para obter maior controle sobre o acesso ao Copilot para Segurança.
- Use o Gerenciamento de Acesso Privilegiado do Microsoft Purview, para configurar o controle de acesso granular sobre tarefas de administrador com privilégios no Office 365.
Usando o Privileged Identity Management do Microsoft Entra junto com o Copilot para Segurança
O PIM (Privileged Identity Management) do Microsoft Entra, permite gerenciar, controlar e monitorar as funções necessárias para acessar o Copilot para Segurança. Com o PIM, você poderá:
- Fornecer a ativação de função baseada em tempo.
- Exigir aprovação para ativar funções com privilégios.
- Aplicar a MFA para ativar qualquer função.
- Obter notificações quando funções privilegiadas forem ativadas.
- Realize revisões de acesso para garantir que as contas de usuário da equipe do Administrador e do SecOps ainda precisem de suas funções atribuídas.
- Execute auditorias sobre acesso e alterações de função, para a equipe do Administrador e do SecOps.
Usar o gerenciamento de acesso privilegiado junto com o Copilot para Segurança
O Privileged Access Management do Microsoft Purview ajuda a proteger a organização contra violações e ajuda a seguir as melhores práticas de conformidade, limitando o acesso permanente a dados confidenciais ou acesso a configurações críticas. Ao invés de os administradores terem acesso constante, são implementadas regras de acesso just-in-time para tarefas que precisam de permissões elevadas. Ao invés de os administradores terem acesso constante, são implementadas regras de acesso just-in-time para tarefas que precisam de permissões elevadas. Para obter mais informações, consulte Gerenciamento de acesso privilegiado.
Etapa 3. Proteger dispositivos para acesso privilegiado
Na Etapa 1, você configurou políticas de Acesso Condicional que exigiam dispositivos gerenciados e compatíveis, para a equipe do Administrador e do SecOps. Para segurança adicional, implante dispositivos de acesso privilegiado para sua equipe usar ao acessar ferramentas e dados de segurança, inclusive o Copilot para Segurança. Um dispositivo de acesso privilegiado é uma estação de trabalho protegida que tem controle de aplicativo e proteção de aplicativo bem definidos. A estação de trabalho usa o a proteção de credencial, proteção de dispositivo, proteção de aplicativo e proteção contra exploração, para proteger o host contra invasores.
Para obter mais informações sobre como configurar um dispositivo para acesso privilegiado, consulte Proteção de dispositivos como parte da história de acesso privilegiado.
Para exigir esses dispositivos, atualize a política de conformidade do dispositivo do Intune. Caso esteja fazendo a transição da equipe do Administrador e do SecOps para dispositivos protegidos, faça a transição dos grupos de segurança da política de conformidade do dispositivo original para a nova política. A regra de Acesso Condicional pode permanecer a mesma.
Etapa 4. Implantar ou validar seus serviços de proteção contra ameaças
Para detectar as atividades de maus atores e impedir que eles obtenham acesso ao Copilot para Segurança, verifique se é possível detectar e responder a incidentes de segurança com um conjunto abrangente de serviços de proteção contra ameaças, que incluem o Microsoft Defender XDR com o Microsoft 365, o Microsoft Sentinel e outros serviços e produtos de segurança.
Use os seguintes recursos.
| Escopo | Descrição e recursos |
|---|---|
| Aplicativos Microsoft 365 e SaaS integrados ao Microsoft Entra | Consulte o artigo Confiança Zero para Microsoft Copilot para Microsoft 365, para obter diretrizes sobre como aumentar a proteção contra ameaças começando com os planos do E3 do Microsoft 365 e progredindo com os planos do Microsoft E5. Para planos do E5 do Microsoft 365, consulte também Avaliar e fazer piloto de segurança do Microsoft Defender XDR. |
| Seus recursos de nuvem do Azure Seus recursos em outros provedores de nuvem, como o AWS (Amazon Web Services) |
Use os recursos a seguir para começar com o Defender para Nuvem: - Microsoft Defender para Nuvem - Aplicar princípios de Confiança Zero a aplicativos IaaS na AWS |
| Sua propriedade digital com todas as ferramentas do Microsoft XDR e o Microsoft Sentinel | O guia de solução Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Confiança Zero, percorre o processo de configuração das ferramentas de detecção e resposta (XDR) do Microsoft eXtended junto com o Microsoft Sentinel, para acelerar a capacidade da sua organização de responder e corrigir ataques de segurança cibernética. |
Etapa 5. Proteger o acesso a dados e produtos de segurança de terceiros
Caso esteja integrando produtos de segurança de terceiros ao Copilot para Segurança, certifique-se de ter protegido o acesso a esses produtos e dados relacionados. As diretrizes do Confiança Zero da Microsoft incluem recomendações para proteger o acesso a aplicativos do SaaS. Essas recomendações podem ser usadas para seus produtos de segurança de terceiros.
Para proteção com políticas de acesso de identidade e dispositivo, as alterações nas políticas comuns para aplicativos do SaaS são descritas em vermelho no diagrama a seguir. Essas são as políticas às quais é possível adicionar seus produtos de segurança de terceiros.
Para os aplicativos e produtos de segurança de terceiros, considere a criação de um conjunto dedicado de políticas para eles. Isso permite tratar os produtos de segurança com requisitos maiores em comparação com aplicativos de produtividade, como Dropbox e Salesforce. Por exemplo, adicione o Tanium e todos os outros produtos de segurança de terceiros ao mesmo conjunto de políticas de Acesso Condicional. Caso queira impor requisitos mais rigorosos para dispositivos para a equipe do Administrador e do SecOps, configure também políticas exclusivas para conformidade de dispositivos do Intune e proteção de aplicativo do Intune e atribua essas políticas à sua equipe do Administrador e do SecOps.
Para obter mais informações sobre como adicionar seus produtos de segurança ao Microsoft Entra ID e ao escopo de seu Acesso Condicional e políticas relacionadas (ou configurar um novo conjunto de políticas), consulte Adicionar aplicativos SaaS ao Microsoft Entra ID e ao escopo das políticas.
Dependendo do produto de segurança, pode ser apropriado usar o Microsoft Defender para Aplicativos de Nuvem, para monitorar o uso desses aplicativos e aplicar controles de sessão. Além disso, se esses aplicativos de segurança incluírem armazenamento de dados em qualquer um dos tipos de arquivo com suporte do Microsoft Purview, você poderá usar o Defender para Nuvem para monitorar e proteger esses dados usando rótulos de confidencialidade e políticas de DLP (prevenção contra perda de dados). Para obter mais informações, consulte Integrar aplicativos do SaaS para Confiança Zero com o Microsoft 365.
Exemplo de SSO do Tanium
O Tanium é um provedor de ferramentas de gerenciamento de ponto de extremidade e oferece um plug-in personalizado do Tanium Skills para o Copilot para Segurança. Esse plug-in ajuda a basear solicitações e respostas que aproveitam informações e insights coletados pelo Tanium.
Aqui está a arquitetura lógica do Copilot para Segurança com o plug-in do Tanium Skills.
No diagrama:
- O Tanium Skills é um plug-in personalizado para o Microsoft Copilot para Segurança.
- O Tanium Skills fornece acesso e ajuda a basear solicitações e respostas que usam informações e insights coletados pelo Tanium.
Para proteger o acesso a produtos do Tanium e dados relacionados:
- Use a Galeria de Aplicativos do Microsoft Entra ID para localizar e adicionar o SSO do Tanium ao locatário. ConsulteAdicionar um aplicativo empresarial. Para obter um exemplo específico do Tanium, consulte Integração do SSO do Microsoft Entra com o SSO do Tanium.
- Adicione o SSO do Tanium ao escopo de suas políticas de acesso e identidade de Confiança Zero.
Próximas etapas
Assista ao vídeo Descobrir o Microsoft Copilot para Segurança.
Confira estes artigos adicionais para Confiança Zero e Copilots da Microsoft:
Consulte também a documentação do Microsoft Copilot para Segurança.
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de