Применение принципов нулевого доверия к Microsoft Copilot для обеспечения безопасности
Сводка. Чтобы применить принципы нулевого доверия к вашей среде для Microsoft Copilot для безопасности, необходимо применить пять уровней защиты:
- Защита учетных записей пользователей администраторов и сотрудников SecOps с помощью политик идентификации и доступа.
- Примените минимальные привилегии к учетным записям пользователей администратора и сотрудников SecOps, включая назначение минимальных ролей учетной записи пользователя.
- Управление устройствами администраторов и сотрудников SecOps и управление ими.
- Разверните или проверьте защиту от угроз.
- Безопасный доступ к сторонним продуктам безопасности, которые вы интегрируете с Copilot для security.
Введение
В рамках внедрения Microsoft Copilot для безопасности в вашей среде корпорация Майкрософт рекомендует создать надежную основу безопасности для учетных записей пользователей и устройств сотрудников SecOps. Корпорация Майкрософт также рекомендует обеспечить настройку средств защиты от угроз. Если вы интегрируете сторонние продукты безопасности с Copilot для безопасности, убедитесь, что вы также защитили доступ к этим продуктам и связанным данным.
К счастью, руководство по надежному фундаменту безопасности существует в виде нулевого доверия. Стратегия безопасности нулевого доверия обрабатывает каждый запрос подключения и ресурса, как если бы он исходил из неконтролируемой сети и плохого субъекта. Независимо от того, где возникает запрос или какой ресурс он обращается, Zero Trust учит нас "никогда не доверять, всегда проверять".
На портале безопасности Copilot for Security предоставляет естественный язык, вспомогательный интерфейс copilot, который помогает поддерживать:
Специалисты по безопасности в комплексных сценариях, таких как реагирование на инциденты, охота на угрозы, сбор аналитики и управление состоянием.
ИТ-специалисты по оценке политики и настройке, устранению неполадок с доступом устройств и пользователей и мониторингу производительности.
Copilot для безопасности использует данные из журналов событий, оповещений, инцидентов и политик для подписок Майкрософт и сторонних производителей и продуктов безопасности. Если злоумышленник компрометирует учетную запись администратора или сотрудника безопасности, назначенную ролью Copilot для безопасности, он может использовать Copilot для безопасности и его результаты, чтобы понять, как ваша команда SecOps решает атаки. Затем злоумышленник может использовать эту информацию, чтобы отсортировать попытки реагирования на инцидент, возможно, тот, который они инициировали.
Следовательно, важно убедиться, что в вашей среде применены соответствующие меры.
Логическая архитектура
Первая линия защиты при внедрении Copilot для безопасности заключается в применении принципов нулевого доверия к учетным записям и устройствам администраторов и сотрудников SecOps. Кроме того, важно убедиться, что ваша организация применяет принцип наименьшей привилегии. Помимо ролей Copilot, назначенные роли для администраторов и сотрудников SecOps в средствах безопасности определяют, к каким данным они имеют доступ при использовании Copilot для обеспечения безопасности.
Это легко понять, почему эти меры важны, глядя на логическую архитектуру Copilot for Security, показанную здесь.
На схеме:
Участники команды SecOps могут запрашивать использование интерфейса copilot, например тех, которые предлагаются Copilot для безопасности, Microsoft Defender XDR и Microsoft Intune.
Copilot для компонентов безопасности:
Copilot для службы безопасности, которая управляет ответами на запросы пользователей и навыков.
Набор больших языковых моделей (LLM) для Copilot для обеспечения безопасности.
Подключаемые модули для определенных продуктов. Предоставляются предварительно установленные подключаемые модули для продуктов Майкрософт. Эти подключаемые модули предварительно обрабатывают и запросы после обработки.
Данные подписки. Данные SecOps для журналов событий, оповещений, инцидентов и политик, хранящихся в подписках. Дополнительные сведения см. в этой статье Microsoft Sentinel для наиболее распространенных источников данных для продуктов безопасности.
Отправленные файлы. Вы можете отправить определенные файлы в Copilot для безопасности и включить их в область запросов.
Каждый продукт безопасности Майкрософт с интерфейсом copilot предоставляет доступ только к набору данных, связанному с этим продуктом, таким как журналы событий, оповещения, инциденты и политики. Copilot for Security предоставляет доступ ко всем наборам данных, к которым у пользователя есть доступ.
Дополнительные сведения см. в статье "Начало работы с Microsoft Copilot для безопасности".
Как работает проверка подлинности от имени с Copilot для безопасности?
Copilot для безопасности использует проверку подлинности от имени (OBO), предоставляемую OAuth 2.0. Это поток проверки подлинности, предоставляемый делегированием в OAuth. Когда пользователь SecOps выдает запрос, Copilot for Security передает удостоверение и разрешения пользователя через цепочку запросов. Это предотвращает получение пользователем разрешений на ресурсы, для которых у них не должно быть доступа.
Дополнительные сведения о проверке подлинности OBO см. в разделе платформа удостоверений Майкрософт и OAuth2.0 On-Behalf-Of flow.
Запрос в продукте безопасности Майкрософт: внедренный пример для Microsoft Intune
При использовании одного из внедренных интерфейсов Copilot для безопасности область данных определяется контекстом используемого продукта. Например, если вы выдаете запрос в Microsoft Intune, результаты создаются только из данных и контекста, предоставляемых только Microsoft Intune.
Ниже приведена логическая архитектура при выдаче запросов из внедренного интерфейса Microsoft Intune.
На схеме:
Администраторы Intune используют интерфейс Microsoft Copilot в Intune для отправки запросов.
Компонент Copilot для безопасности оркеструет ответы на запросы, используя следующее:
The LLMs for Copilot for Security.
Предварительно установленный подключаемый модуль Microsoft Intune.
Данные Intune для устройств, политик и системы безопасности, хранящиеся в подписке Microsoft 365.
Интеграция с сторонними продуктами безопасности
Copilot for Security обеспечивает возможность размещения подключаемых модулей для сторонних продуктов. Эти сторонние подключаемые модули предоставляют доступ к связанным данным. Эти подключаемые модули и связанные с ними данные живут за пределами границы доверия безопасности Майкрософт. Следовательно, важно обеспечить безопасный доступ к этим приложениям и связанным с ними данным.
Вот логическая архитектура Copilot for Security с сторонними продуктами безопасности.
На схеме:
- Copilot for Security интегрируется с сторонними продуктами безопасности через подключаемые модули.
- Эти подключаемые модули предоставляют доступ к данным, связанным с продуктом, например журналам и оповещениям.
- Эти сторонние компоненты находятся за пределами границы доверия безопасности Майкрософт.
Применение мер безопасности к вашей среде для Copilot для обеспечения безопасности
В остальной части этой статьи описаны шаги по применению принципов нулевого доверия для подготовки среды для Copilot для обеспечения безопасности.
| Шаг | Задача | Применены принципы нулевого доверия |
|---|---|---|
| 1 | Развертывание или проверка политик удостоверений и доступа для администраторов и сотрудников SecOps. | Прямая проверка |
| 2 | Применение минимальных привилегий к учетным записям администраторов и учетных записей пользователей SecOps. | Использование доступа с минимальными привилегиями |
| 3 | Безопасные устройства для привилегированного доступа. | Прямая проверка |
| 4 | Развертывание или проверка служб защиты от угроз. | Предполагайте наличие бреши в системе безопасности |
| 5 | Безопасный доступ к сторонним продуктам безопасности и данным. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
Существует несколько подходов к подключению администратора и сотрудников SecOps к Copilot for Security при настройке защиты для вашей среды.
Подключение пользователя к Copilot для обеспечения безопасности
Как минимум, пройдите контрольный список для администраторов и сотрудников SecOps, прежде чем назначить роль для Copilot для безопасности. Это хорошо подходит для небольших команд и организаций, которые хотят начать с тестовой или пилотной группы.
Поэтапное развертывание Copilot для обеспечения безопасности
Для больших сред более стандартное поэтапное развертывание хорошо работает. В этой модели вы используете группы адресов пользователей одновременно для настройки защиты и назначения ролей.
Ниже приведен пример модели.
На рисунке:
- На этапе оценки вы выбираете небольшой набор администраторов и пользователей SecOps, которым требуется доступ к Copilot для обеспечения безопасности и применения удостоверений и доступа и защиты устройств.
- На этапе пилотного проекта вы выбираете следующий набор администраторов и пользователей SecOps и применяете удостоверения и защиту доступа и устройств.
- На этапе полного развертывания вы применяете удостоверения и защиту устройств для остальных пользователей администратора и SecOps.
- В конце каждого этапа необходимо назначить соответствующую роль в Copilot для безопасности учетным записям пользователей.
Так как различные организации могут находиться на различных этапах развертывания защиты нулевого доверия для своей среды, в каждом из следующих шагов:
- Если вы не используете какие-либо из описанных в этом шаге средств защиты, получите время для пилотного развертывания и развертывания их в администраторе и сотруднике SecOps перед назначением ролей, включающих Copilot для безопасности.
- Если вы уже используете некоторые средства защиты, описанные на шаге, используйте сведения в этом шаге в качестве контрольного списка и убедитесь, что каждая защита была пилотирована и развернута до назначения ролей, включающих Copilot для безопасности.
Шаг 1. Развертывание или проверка политик идентификации и доступа для администраторов и сотрудников SecOps
Чтобы предотвратить использование Copilot для безопасности, чтобы быстро получить информацию о кибератаках, первый шаг заключается в том, чтобы предотвратить их получение доступа. Необходимо убедиться, что администратор и сотрудники SecOps:
- Учетные записи пользователей требуются для использования многофакторной проверки подлинности (MFA) (поэтому их доступ не может быть скомпрометирован только путем угадыванием паролей пользователей) и они необходимы для изменения паролей при обнаружении активности с высоким риском.
- Устройства должны соответствовать политикам управления Intune и соответствия устройствам.
Рекомендации по политике идентификации и доступа см. в шаге "Удостоверение и доступ" для Microsoft 365 Copilot. В соответствии с рекомендациями в этой статье убедитесь, что результирующая конфигурация применяет следующие политики для всех учетных записей пользователей сотрудников SecOps и их устройств:
- Всегда используйте MFA для входа
- Блокировать клиенты, не поддерживающие современную проверку подлинности
- Требовать совместимые компьютеры и мобильные устройства
- Пользователи с высоким уровнем риска должны изменить пароль (только для Microsoft 365 E5)
- Требование соблюдения политик соответствия устройств Intune
Эти рекомендации соответствуют специализированным уровням защиты безопасности в политиках удостоверений и доступа к устройствам Майкрософт. На следующей схеме показаны рекомендуемые три уровня защиты: начальная точка, корпоративная и специализированная. Уровень защиты Enterprise рекомендуется как минимум для привилегированных учетных записей.
На схеме приведены рекомендуемые политики условного доступа Microsoft Entra, соответствия устройств Intune и защиты приложений Intune для каждого из трех уровней:
- Начальная точка, которая не требует управления устройствами.
- Корпоративный рекомендуется для нулевого доверия и как минимум для доступа к Copilot для обеспечения безопасности и сторонних продуктов безопасности и связанных данных.
- Специализированная безопасность рекомендуется для доступа к Copilot for Security и сторонним продуктам безопасности и связанным данным.
Каждая из этих политик подробно описана в политиках удостоверений Common Zero Trust и устройств для организаций Microsoft 365.
Настройка отдельного набора политик для привилегированных пользователей
При настройке этих политик для администраторов и сотрудников SecOps создайте отдельный набор политик для этих привилегированных пользователей. Например, не добавляйте администраторов в тот же набор политик, которые управляют доступом непривилегированных пользователей к таким приложениям, как Microsoft 365 и Salesforce. Используйте выделенный набор политик с защитой, подходящей для привилегированных учетных записей.
Включение средств безопасности в область действия политик условного доступа
Сейчас не просто настроить условный доступ для Copilot для безопасности. Однако, так как для доступа к данным в средствах безопасности используется проверка подлинности от имени, убедитесь, что для этих средств настроен условный доступ, который может включать идентификатор Microsoft Entra и Microsoft Intune.
Шаг 2. Применение минимальных привилегий к учетным записям администраторов и учетных записей пользователей SecOps
Этот шаг включает настройку соответствующих ролей в Copilot для безопасности. Кроме того, он включает проверку учетных записей администраторов и пользователей SecOps, чтобы убедиться, что они назначены наименьшее количество привилегий для работы, которую они предназначены для выполнения.
Назначение учетных записей пользователей роли Copilot для ролей безопасности
Модель разрешений для Copilot для безопасности включает роли как в идентификаторе Microsoft Entra, так и в Copilot для обеспечения безопасности.
| Продукт | Роли | Description |
|---|---|---|
| Microsoft Entra ID | Администратор безопасности Глобальный администратор |
Эти роли Microsoft Entra наследуют роль владельца Copilot в Copilot для безопасности. Используйте только эти привилегированные роли для подключения Copilot для обеспечения безопасности в организации. |
| Copilot для безопасности | Владелец Copilot Участник Copilot |
Эти две роли включают доступ к использованию Copilot для безопасности. Большинство администраторов и сотрудников SecOps могут использовать роль участника Copilot. Роль владельца Copilot включает возможность публиковать пользовательские подключаемые модули и управлять параметрами, влияющими на все copilot для безопасности. |
Важно знать, что по умолчанию всем пользователям в клиенте предоставляется доступ к участнику Copilot. С этой конфигурацией доступ к данным средства безопасности регулируется разрешениями, настроенными для каждого из средств безопасности. Преимущество этой конфигурации заключается в том, что внедренные возможности Copilot для безопасности сразу же доступны для администраторов и сотрудников SecOps в продуктах, которые они используют ежедневно. Это хорошо работает, если вы уже приняли сильную практику наименее привилегированного доступа в вашей организации.
Если вы хотите использовать поэтапной подход к внедрению Copilot для безопасности администратору и сотрудникам SecOps при настройке минимально привилегированного доступа в организации, удалите всех пользователей из роли участника Copilot и добавьте группы безопасности по мере готовности.
Дополнительные сведения см. в следующих ресурсах Microsoft Copilot для безопасности:
Настройка или проверка доступа с минимальными привилегиями для учетных записей администраторов и пользователей SecOps
Знакомство с Copilot for Security — это отличное время для просмотра доступа к учетным записям пользователей администратора и сотрудников SecOps, чтобы убедиться, что вы используете принцип наименьшей привилегии для доступа к определенным продуктам. Сюда входят следующие задачи:
- Просмотрите привилегии, предоставленные для определенных продуктов, с которыми работает администратор и сотрудник SecOps. Например, для Microsoft Entra см. сведения о наименее привилегированных ролях по задачам.
- Используйте Microsoft Entra управление привилегированными пользователями (PIM), чтобы получить более широкий контроль над доступом к Copilot for Security.
- Используйте Microsoft Purview Privileged Access Management, чтобы настроить детализированный контроль доступа над задачами привилегированного администратора в Office 365.
Использование Microsoft Entra управление привилегированными пользователями вместе с Copilot для безопасности
Microsoft Entra управление привилегированными пользователями (PIM) позволяет управлять, контролировать и отслеживать роли, необходимые для доступа к Copilot для обеспечения безопасности. С помощью PIM можно:
- Укажите активацию роли, основанную на времени.
- требование утверждения для активации привилегированных ролей.
- Принудительное применение MFA для активации любой роли.
- получение уведомлений при активации привилегированных ролей.
- Проводите проверки доступа, чтобы гарантировать, что учетные записи пользователей администратора и сотрудников SecOps по-прежнему нуждаются в назначенных ролях.
- Выполняйте аудит изменений доступа и ролей для администраторов и сотрудников SecOps.
Использование управления привилегированным доступом вместе с Copilot для безопасности
Microsoft Purview Privileged Access Management помогает защитить вашу организацию от нарушений и помочь удовлетворить рекомендации по соответствию требованиям, ограничив постоянный доступ к конфиденциальным данным или доступ к критически важным параметрам конфигурации. Вместо того, чтобы администраторы имели постоянный доступ, для задач, требующих повышенных разрешений, реализованы правила своевременного доступа. Вместо того, чтобы администраторы имели постоянный доступ, для задач, требующих повышенных разрешений, реализованы правила своевременного доступа. Дополнительные сведения см. в разделе "Управление привилегированным доступом".
Шаг 3. Безопасные устройства для привилегированного доступа
На шаге 1 вы настроили политики условного доступа, которые требовали управляемых и совместимых устройств для администраторов и сотрудников SecOps. Для дополнительной безопасности можно развернуть привилегированные устройства доступа для сотрудников, которые будут использоваться при доступе к средствам безопасности и данным, включая Copilot для обеспечения безопасности. Устройство с привилегированным доступом — это затверденная рабочая станция, которая имеет четкий контроль приложений и защиту приложений. Рабочая станция использует credential guard, device guard, app guard и эксплойт-охранник для защиты узла от злоумышленников.
Дополнительные сведения о настройке устройства для привилегированного доступа см. в статье "Защита устройств в рамках истории привилегированного доступа".
Чтобы требовать эти устройства, обязательно обновите политику соответствия устройств Intune. Если вы переходите к администраторам и сотрудникам SecOps на защищенные устройства, переведите группы безопасности из исходной политики соответствия устройств в новую политику. Правило условного доступа может оставаться неизменным.
Шаг 4. Развертывание или проверка служб защиты от угроз
Чтобы обнаружить действия плохих субъектов и сохранить их от получения доступа к Copilot для безопасности, убедитесь, что вы можете обнаруживать и реагировать на инциденты безопасности с комплексным набором служб защиты от угроз, включая XDR в Microsoft Defender XDR с Microsoft 365, Microsoft Sentinel и другими службами безопасности и продуктами.
Используйте следующие ресурсы.
| Область | Описание и ресурсы |
|---|---|
| Приложения Microsoft 365 и SaaS, интегрированные с Microsoft Entra | Сведения о том, как повысить уровень защиты от угроз, начиная с планов Microsoft 365 E3, см. в статье "Нулевое доверие для Microsoft 365 E3" и планах Microsoft E5. Для планов Microsoft 365 E5 также см. статью "Оценка и пилотная безопасность XDR в Microsoft Defender". |
| Облачные ресурсы Azure Ваши ресурсы в других облачных поставщиках, таких как Amazon Web Services (AWS) |
Чтобы приступить к работе с Defender для облака, используйте следующие ресурсы: - Microsoft Defender для облака - Применение принципов нулевого доверия к приложениям IaaS в AWS |
| Ваше цифровое имущество со всеми средствами Microsoft XDR и Microsoft Sentinel | В руководстве по реализации решения Microsoft Sentinel и Microsoft Defender XDR для нулевого доверия описывается процесс настройки средств обнаружения и реагирования (XDR) Microsoft Sentinel для ускорения реагирования на атаки кибербезопасности и их устранения. |
Шаг 5. Безопасный доступ к сторонним продуктам безопасности и данным
Если вы интегрируете сторонние продукты безопасности с Copilot for Security, убедитесь, что у вас есть защищенный доступ к этим продуктам и связанным данным. Руководство по нулю доверия Майкрософт содержит рекомендации по защите доступа к приложениям SaaS. Эти рекомендации можно использовать для сторонних продуктов безопасности.
Для защиты с помощью политик доступа к удостоверениям и устройствам изменения общих политик для приложений SaaS описаны красным цветом на следующей схеме. Это политики, в которые можно добавить сторонние продукты безопасности.
Для сторонних продуктов и приложений безопасности рассмотрите возможность создания выделенного набора политик для этих приложений. Это позволяет обрабатывать продукты безопасности с большими требованиями по сравнению с приложениями для повышения производительности, такими как Dropbox и Salesforce. Например, добавьте Tanium и все другие сторонние продукты безопасности в тот же набор политик условного доступа. Если вы хотите применить более строгие требования к устройствам для администраторов и сотрудников SecOps, также настройте уникальные политики для соответствия устройств Intune и защиты приложений Intune и назначьте эти политики администраторам и сотрудникам SecOps.
Дополнительные сведения о добавлении продуктов безопасности в идентификатор Microsoft Entra ID и области действия политик условного доступа и связанных политик (или настройке нового набора политик) см. в разделе "Добавление приложений SaaS в идентификатор Microsoft Entra ID" и в область применения политик.
В зависимости от продукта безопасности может потребоваться использовать приложения Microsoft Defender для облака для мониторинга использования этих приложений и применения элементов управления сеансами. Кроме того, если эти приложения безопасности включают хранение данных в любом из типов файлов, поддерживаемых Microsoft Purview, можно использовать Defender для облака для мониторинга и защиты этих данных с помощью меток конфиденциальности и политик защиты от потери данных (DLP). Дополнительные сведения см. в статье Интеграции приложений SaaS для нулевого доверия с Microsoft 365.
Пример единого входа в Tanium
Tanium является поставщиком средств управления конечными точками и предлагает пользовательский подключаемый модуль Tanium Skills для Copilot для безопасности. Этот подключаемый модуль помогает создавать запросы и ответы, использующие собранные в Tanium сведения и аналитические сведения.
Ниже приведена логическая архитектура Copilot for Security с подключаемым модулем Tanium Skills.
На схеме:
- Tanium Skills — это пользовательский подключаемый модуль для Microsoft Copilot для безопасности.
- Tanium Skills предоставляет доступ к и помогает создавать запросы и ответы, использующие собранные в Tanium сведения и аналитические сведения.
Чтобы защитить доступ к продуктам Tanium и связанным данным, выполните приведенные ниже действия.
- Используйте коллекцию приложений идентификатора Microsoft Entra ID, чтобы найти и добавить единый вход Tanium в клиент. См. статью "Добавление корпоративного приложения". Пример интеграции единого входа Microsoft Entra с Tanium SSO см. в разделе "Интеграция Единого входа в Microsoft Entra" с Tanium SSO.
- Добавьте единый вход Tanium в область действия политик удостоверений и доступа нулевого доверия.
Следующие шаги
Просмотрите видео "Обнаружение Microsoft Copilot для безопасности".
Дополнительные статьи по нулю доверия и Копилоты Майкрософт см. в следующих статьях:
См. также документацию по Microsoft Copilot для безопасности.
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Начало работы с Microsoft Copilot для безопасности
- Подключение к Copilot для безопасности
- Источники данных для Microsoft Sentinel
- Microsoft Entra управление привилегированными пользователями (PIM)
- Privileged Access Management (защита Windows и Microsoft Azure Active Directory с помощью управления привилегированным доступом)
- Устройства с привилегированным доступом