Tillämpa principer för Nolltillit på Microsoft Copilot for Security
Sammanfattning: Om du vill tillämpa Nolltillit principer för din miljö för Microsoft Copilot for Security måste du använda fem skyddslager:
- Skydda administratörs- och SecOps-personalanvändarkonton med identitets- och åtkomstprinciper.
- Använd åtkomst med minsta möjliga behörighet för administratörs- och SecOps-personalanvändarkonton, inklusive tilldelning av de minsta användarkontorollerna.
- Hantera och skydda administratörs- och SecOps-personalenheter.
- Distribuera eller verifiera ditt hotskydd.
- Säker åtkomst till säkerhetsprodukter från tredje part som du integrerar med Copilot for Security.
Introduktion
Som en del av introduktionen av Microsoft Copilot for Security i din miljö rekommenderar Microsoft att du skapar en stark grund för säkerhet för dina administratörs- och SecOps-personalanvändarkonton och enheter. Microsoft rekommenderar också att du har konfigurerat verktyg för skydd mot hot. Om du integrerar säkerhetsprodukter från tredje part med Copilot for Security kontrollerar du också att du har skyddat åtkomsten till dessa produkter och relaterade data.
Lyckligtvis finns det vägledning för en stark säkerhetsgrund i form av Nolltillit. Säkerhetsstrategin Nolltillit behandlar varje anslutnings- och resursbegäran som om den kommer från ett okontrollerat nätverk och en dålig aktör. Oavsett var begäran kommer från eller vilken resurs den kommer åt lär Nolltillit oss att "aldrig lita på, alltid verifiera".
Från säkerhetsportalerna tillhandahåller Copilot for Security ett naturligt språk, en assistive copilot-upplevelse som hjälper dig att stödja:
Säkerhetspersonal i scenarier från slutpunkt till slutpunkt, till exempel incidenthantering, hotjakt, insamling av underrättelser och hållningshantering.
IT-proffs inom utvärdering och konfiguration av principer, felsökning av enhets- och användaråtkomst samt prestandaövervakning.
Copilot for Security använder data från händelseloggar, aviseringar, incidenter och principer för dina Microsoft- och tredjepartsprenumerationer och säkerhetsprodukter. Om en angripare komprometterar ett användarkonto för administratör eller säkerhetspersonal som har tilldelats en Copilot för säkerhetsroll kan de använda Copilot för säkerhet och dess resultat för att förstå hur ditt SecOps-team hanterar pågående attacker. En angripare kan sedan använda den här informationen för att förhindra försök att svara på en incident, eventuellt en som de initierade.
Därför är det viktigt att se till att du har tillämpat lämpliga åtgärder i din miljö.
Logisk arkitektur
Den första försvarslinjen när du introducerar Copilot for Security är att tillämpa principerna för Nolltillit på konton och enheter för administratörs- och SecOps-personal. Det är också viktigt att se till att din organisation tillämpar principen om lägsta behörighet. Förutom Copilot-specifika roller avgör de tilldelade rollerna för administratörs- och SecOps-personal i dina säkerhetsverktyg vilka data de har åtkomst till när de använder Copilot for Security.
Det är lätt att förstå varför dessa åtgärder är viktiga genom att titta på den logiska arkitekturen för Copilot for Security som visas här.
I diagrammet:
SecOps-teammedlemmar kan fråga med hjälp av en copilot-upplevelse, till exempel de som erbjuds av Copilot for Security, Microsoft Defender XDR och Microsoft Intune.
Copilot för säkerhetskomponenter inkluderar:
Tjänsten Copilot for Security, som samordnar svar på användar- och kunskapsbaserade frågor.
En uppsättning stora språkmodeller (LLM: er) för Copilot for Security.
Plugin-program för specifika produkter. Förinstallerade plugin-program för Microsoft-produkter tillhandahålls. Dessa plugin-program förbearbetar och frågar efter processen.
Dina prenumerationsdata. SecOps-data för händelseloggar, aviseringar, incidenter och principer som lagras i prenumerationerna. Mer information finns i den här Microsoft Sentinel-artikeln om de vanligaste datakällorna för säkerhetsprodukter.
Filer som du laddar upp. Du kan ladda upp specifika filer till Copilot för säkerhet och inkludera dessa i omfånget för prompter.
Varje Microsoft-säkerhetsprodukt med en copilot-upplevelse ger endast åtkomst till den datauppsättning som är associerad med den produkten, till exempel händelseloggar, aviseringar, incidenter och principer. Copilot for Security ger åtkomst till alla datauppsättningar som användaren har åtkomst till.
Mer information finns i Komma igång med Microsoft Copilot for Security.
Hur fungerar autentisering för autentisering med Copilot for Security?
Copilot for Security använder OBO-autentisering (on-behalf-of) som tillhandahålls av OAuth 2.0. Det här är ett autentiseringsflöde som tillhandahålls av delegering i OAuth. När en SecOps-användare utfärdar en uppmaning skickar Copilot for Security användarens identitet och behörigheter via begärandekedjan. Detta förhindrar att användaren får behörighet till resurser som de inte ska ha åtkomst till.
Mer information om OBO-autentisering finns i Microsofts identitetsplattform och OAuth2.0 On-Behalf-Of-flödet.
Fråga inom en Microsoft-säkerhetsprodukt: Inbäddat exempel för Microsoft Intune
När du använder en av de inbäddade funktionerna i Copilot for Security bestäms dataomfånget av kontexten för den produkt du använder. Om du till exempel utfärdar en fråga i Microsoft Intune genereras resultatet endast från data och kontext som tillhandahålls av Microsoft Intune.
Här är den logiska arkitekturen när du utfärdar frågor inifrån Microsoft Intune Embedded-upplevelsen.
I diagrammet:
Intune-administratörer använder Microsoft Copilot i Intune för att skicka frågor.
Komponenten Copilot for Security samordnar svar på anvisningarna med hjälp av:
LLM:erna för Copilot för säkerhet.
Det förinstallerade plugin-programmet för Microsoft Intune.
Intune-data för enheter, principer och säkerhetsstatus som lagras i din Microsoft 365-prenumeration.
Integrera med säkerhetsprodukter från tredje part
Copilot for Security ger möjlighet att vara värd för plugin-program för produkter från tredje part. Dessa plugin-program från tredje part ger åtkomst till deras associerade data. Dessa plugin-program och deras associerade data finns utanför Microsofts säkerhetsförtroendegräns. Därför är det viktigt att se till att du har skyddat åtkomsten till dessa program och deras associerade data.
Här är den logiska arkitekturen för Copilot for Security med säkerhetsprodukter från tredje part.
I diagrammet:
- Copilot for Security integreras med säkerhetsprodukter från tredje part via plugin-program.
- Dessa plugin-program ger åtkomst till de data som är associerade med produkten, till exempel loggar och aviseringar.
- Dessa komponenter från tredje part finns utanför Microsofts säkerhetsförtroendegräns.
Tillämpa säkerhetsreduceringar på din miljö för Copilot for Security
Resten av den här artikeln beskriver hur du tillämpar principerna för Nolltillit för att förbereda din miljö för Copilot för säkerhet.
| Steg | Aktivitet | Nolltillit principer som tillämpas |
|---|---|---|
| 1 | Distribuera eller verifiera identitets- och åtkomstprinciper för administratörs- och SecOps-personal. | Verifiera explicit |
| 2 | Använd minst behörighet för administratörs- och SecOps-användarkonton. | Använd minst privilegierad åtkomst |
| 3 | Säkra enheter för privilegierad åtkomst. | Verifiera explicit |
| 4 | Distribuera eller verifiera dina hotskyddstjänster. | Anta intrång |
| 5 | Säker åtkomst till säkerhetsprodukter och data från tredje part. | Verifiera explicit Använd minst privilegierad åtkomst Anta intrång |
Det finns flera metoder som du kan använda för att registrera administratör och SecOps-personal till Copilot för säkerhet medan du konfigurerar skydd för din miljö.
Registrering per användare till Copilot for Security
Gå åtminstone igenom en checklista för din administratör och SecOps-personal innan du tilldelar en roll för Copilot for Security. Detta fungerar bra för små team och organisationer som vill börja med en test- eller pilotgrupp.
Stegvis distribution av Copilot for Security
För stora miljöer fungerar en mer standardfasad distribution bra. I den här modellen adresserar du grupper av användare samtidigt för att konfigurera skydd och tilldela roller.
Här är en exempelmodell.
I bilden:
- I fasen Utvärdera väljer du en liten uppsättning administratörs- och SecOps-användare som du vill ha åtkomst till Copilot för säkerhet och tillämpar identitets- och åtkomst- och enhetsskydd.
- I pilotfasen väljer du nästa uppsättning administratörs- och SecOps-användare och tillämpar identitets- och åtkomst- och enhetsskydd.
- I fasen Fullständig distribution tillämpar du identitets- och åtkomst- och enhetsskydd för resten av dina administratörs- och SecOps-användare.
- I slutet av varje fas tilldelar du lämplig roll i Copilot for Security till användarkontona.
Eftersom olika organisationer kan vara i olika skeden av distributionen av Nolltillit skydd för sin miljö, i vart och ett av följande steg:
- Om du INTE använder något av de skydd som beskrivs i steget tar du dig tid att pilottesta och distribuera dem till din administratör och SecOps-personal innan du tilldelar roller som inkluderar Copilot för säkerhet.
- Om du redan använder några av de skydd som beskrivs i steget använder du informationen i steget som en checklista och kontrollerar att varje skydd som anges har testats och distribuerats innan du tilldelar roller som inkluderar Copilot för säkerhet.
Steg 1. Distribuera eller verifiera identitets- och åtkomstprinciper för administratörs- och SecOps-personal
För att förhindra att dåliga aktörer använder Copilot for Security för att snabbt få information om cyberattacker är det första steget att förhindra att de får åtkomst. Du måste se till att administratören och SecOps-personalen:
- Användarkonton måste använda multifaktorautentisering (MFA) (så att deras åtkomst inte kan komprometteras enbart genom att gissa användarlösenord) och de måste ändra sina lösenord när högriskaktivitet identifieras.
- Enheter måste följa Intune-hanterings- och enhetsefterlevnadsprinciper.
Information om rekommendationer för identitets- och åtkomstprinciper finns i identitets- och åtkomststeget i Nolltillit för Microsoft Copilot för Microsoft 365. Baserat på rekommendationerna i den här artikeln ser du till att den resulterande konfigurationen tillämpar följande principer för alla SecOps-personalanvändarkonton och deras enheter:
- Använd alltid MFA för inloggningar
- Blockera klienter som inte stöder modern autentisering
- Kräv kompatibla datorer och mobila enheter
- Högriskanvändare måste ändra lösenord (endast för Microsoft 365 E5)
- Kräv efterlevnad av Intune-enhetsefterlevnadsprinciper
Dessa rekommendationer överensstämmer med den specialiserade säkerhetsskyddsnivån i Microsofts Nolltillit principer för identitets- och enhetsåtkomst. Följande diagram illustrerar de rekommenderade tre skyddsnivåerna: Startpunkt, Företag och Specialiserad. Enterprise-skyddsnivån rekommenderas som ett minimum för dina privilegierade konton.
I diagrammet illustreras de rekommenderade principerna för villkorsstyrd åtkomst i Microsoft Entra, Intune-enhetsefterlevnad och Intune-appskydd för var och en av de tre nivåerna:
- Startpunkt, som inte kräver enhetshantering.
- Enterprise rekommenderas för Nolltillit och som ett minimum för åtkomst till Copilot for Security och dina säkerhetsprodukter från tredje part och relaterade data.
- Specialiserad säkerhet rekommenderas för åtkomst till Copilot for Security och dina säkerhetsprodukter från tredje part och relaterade data.
Var och en av dessa principer beskrivs mer detaljerat i Vanliga Nolltillit principer för identitets- och enhetsåtkomst för Microsoft 365-organisationer.
Konfigurera en separat uppsättning principer för privilegierade användare
När du konfigurerar dessa principer för administratören och SecOps-personalen skapar du en separat uppsättning principer för dessa privilegierade användare. Lägg till exempel inte till dina administratörer i samma uppsättning principer som styr åtkomsten för oprivilegierade användare till appar som Microsoft 365 och Salesforce. Använd en dedikerad uppsättning principer med skydd som är lämpliga för privilegierade konton.
Inkludera säkerhetsverktyg i omfånget för principer för villkorsstyrd åtkomst
För tillfället finns det inget enkelt sätt att konfigurera villkorlig åtkomst för Copilot för säkerhet. Eftersom autentisering å autentiserings vägnar används för att komma åt data i säkerhetsverktyg måste du dock ha konfigurerat villkorsstyrd åtkomst för dessa verktyg, vilket kan inkludera Microsoft Entra-ID och Microsoft Intune.
Steg 2. Tillämpa minst behörighet på administratörs- och SecOps-användarkonton
I det här steget ingår att konfigurera lämpliga roller i Copilot för säkerhet. Det omfattar även att granska dina administratörs- och SecOps-användarkonton för att säkerställa att de tilldelas minsta möjliga behörighet för det arbete som de är avsedda att utföra.
Tilldela användarkonton till Copilot för säkerhetsroller
Behörighetsmodellen för Copilot for Security innehåller roller i både Microsoft Entra ID och Copilot for Security.
| Produkt | Roller | beskrivning |
|---|---|---|
| Microsoft Entra ID | Säkerhetsadministratör Global administratör |
Dessa Microsoft Entra-roller ärver Copilot-ägarrollen i Copilot for Security. Använd endast dessa privilegierade roller för att registrera Copilot for Security i din organisation. |
| Copilot för säkerhet | Copilot-ägare Copilot-deltagare |
Dessa två roller omfattar åtkomst för att använda Copilot för säkerhet. De flesta av dina administratörer och SecOps-anställda kan använda Copilot-deltagarrollen. Copilot-ägarrollen innehåller möjligheten att publicera anpassade plugin-program och hantera inställningar som påverkar alla Copilot för säkerhet. |
Det är viktigt att veta att alla användare i klientorganisationen som standard har åtkomst till Copilot-deltagare. Med den här konfigurationen styrs åtkomsten till dina säkerhetsverktygsdata av de behörigheter som du har konfigurerat för vart och ett av säkerhetsverktygen. En fördel med den här konfigurationen är att de inbäddade funktionerna i Copilot for Security omedelbart är tillgängliga för din administratör och SecOps-personal inom de produkter som de använder dagligen. Detta fungerar bra om du redan har tillämpat en stark praxis för minst privilegierad åtkomst i din organisation.
Om du vill använda en stegvis metod för att introducera Copilot for Security för din administratör och SecOps-personal medan du finjusterar minst privilegierad åtkomst i din organisation tar du bort Alla användare från Copilot-deltagarrollen och lägger till säkerhetsgrupper när du är redo.
Mer information finns i dessa Microsoft Copilot for Security-resurser:
Konfigurera eller granska åtkomst med minsta möjliga behörighet för administratörs- och SecOps-användarkonton
Att introducera Copilot for Security är ett bra tillfälle att granska åtkomsten för dina administratörs- och SecOps-personalanvändarkonton för att se till att du följer principen om minsta behörighet för deras åtkomst till specifika produkter. Detta omfattar följande uppgifter:
- Granska de behörigheter som beviljas för de specifika produkter som din administratör och SecOps-personal arbetar med. För Microsoft Entra kan du till exempel läsa Minst privilegierade roller efter uppgift.
- Använd Microsoft Entra Privileged Identity Management (PIM) för att få större kontroll över åtkomsten till Copilot for Security.
- Använd Microsoft Purview Privileged Access Management för att konfigurera detaljerad åtkomstkontroll över privilegierade administratörsuppgifter i Office 365.
Använda Microsoft Entra Privileged Identity Management tillsammans med Copilot for Security
Med Microsoft Entra Privileged Identity Management (PIM) kan du hantera, kontrollera och övervaka de roller som krävs för att få åtkomst till Copilot for Security. Med PIM kan du:
- Ange rollaktivering som är tidsbaserad.
- Kräv godkännande för att aktivera privilegierade roller.
- Framtvinga MFA för att aktivera valfri roll.
- Få meddelanden när privilegierade roller aktiveras.
- Utför åtkomstgranskningar för att säkerställa att användarkonton för administratörs- och SecOps-personal fortfarande behöver sina tilldelade roller.
- Utföra granskningar av åtkomst- och rolländringar för administratörs- och SecOps-personal.
Använda privilegierad åtkomsthantering tillsammans med Copilot for Security
Microsoft Purview Privileged Access Management hjälper till att skydda din organisation från överträdelser och hjälper till att uppfylla bästa praxis för efterlevnad genom att begränsa den stående åtkomsten till känsliga data eller åtkomst till kritiska konfigurationsinställningar. I stället för att administratörer har konstant åtkomst implementeras just-in-time-åtkomstregler för uppgifter som behöver utökade behörigheter. I stället för att administratörer har konstant åtkomst implementeras just-in-time-åtkomstregler för uppgifter som behöver utökade behörigheter. Mer information finns i Privileged access management (Privilegierad åtkomsthantering).
Steg 3. Skydda enheter för privilegierad åtkomst
I steg 1 konfigurerade du principer för villkorsstyrd åtkomst som krävde hanterade och kompatibla enheter för din administratör och SecOps-personal. För ytterligare säkerhet kan du distribuera privilegierade åtkomstenheter som personalen kan använda vid åtkomst till säkerhetsverktyg och data, inklusive Copilot for Security. En privilegierad åtkomstenhet är en härdad arbetsstation som har tydlig programkontroll och programskydd. Arbetsstationen använder skydd mot autentiseringsuppgifter, enhetsskydd, appskydd och exploateringsskydd för att skydda värden mot angripare.
Mer information om hur du konfigurerar en enhet för privilegierad åtkomst finns i Skydda enheter som en del av artikeln om privilegierad åtkomst.
Om du vill kräva dessa enheter måste du uppdatera intune-enhetens efterlevnadsprincip. Om du överför administratörs- och SecOps-personal till härdade enheter övergår du dina säkerhetsgrupper från den ursprungliga principen för enhetsefterlevnad till den nya principen. Regeln för villkorsstyrd åtkomst kan förbli densamma.
Steg 4. Distribuera eller verifiera dina hotskyddstjänster
För att identifiera aktiviteter för dåliga aktörer och hindra dem från att få åtkomst till Copilot för säkerhet, se till att du kan identifiera och svara på säkerhetsincidenter med en omfattande uppsättning hotskyddstjänster, som inkluderar Microsoft Defender XDR med Microsoft 365, Microsoft Sentinel och andra säkerhetstjänster och produkter.
Använd följande resurser.
| Omfattning | Beskrivning och resurser |
|---|---|
| Microsoft 365- och SaaS-appar integrerade med Microsoft Entra | I artikeln Nolltillit för Microsoft Copilot för Microsoft 365 finns vägledning om hur du ökar hotskyddet från och med Microsoft 365 E3-planer och hur du går vidare med Microsoft E5-abonnemang. Information om Microsoft 365 E5-planer finns i Utvärdera och testa Microsoft Defender XDR-säkerhet. |
| Dina Azure-molnresurser Dina resurser i andra molnleverantörer, till exempel Amazon Web Services (AWS) |
Använd följande resurser för att komma igång med Defender för molnet: - Microsoft Defender för molnet - Tillämpa Nolltillit principer på IaaS-program i AWS |
| Din digitala egendom med alla Microsoft XDR-verktyg och Microsoft Sentinel | Lösningsguiden Implementera Microsoft Sentinel och Microsoft Defender XDR för Nolltillit går igenom processen med att konfigurera XDR-verktyg (Microsoft eXtended detection and response) tillsammans med Microsoft Sentinel för att påskynda organisationens förmåga att svara på och åtgärda cybersäkerhetsattacker. |
Steg 5. Säker åtkomst till säkerhetsprodukter och data från tredje part
Om du integrerar säkerhetsprodukter från tredje part med Copilot for Security kontrollerar du att du har säker åtkomst till dessa produkter och relaterade data. Microsoft Nolltillit vägledning innehåller rekommendationer för att skydda åtkomsten till SaaS-appar. Dessa rekommendationer kan användas för dina säkerhetsprodukter från tredje part.
För skydd med identitets- och enhetsåtkomstprinciper beskrivs ändringar i vanliga principer för SaaS-appar i rött i följande diagram. Det här är de principer som du kan lägga till dina säkerhetsprodukter från tredje part till.
För dina säkerhetsprodukter och appar från tredje part bör du överväga att skapa en dedikerad uppsättning principer för dessa. På så sätt kan du behandla dina säkerhetsprodukter med större krav jämfört med produktivitetsappar som Dropbox och Salesforce. Du kan till exempel lägga till Tanium och alla andra säkerhetsprodukter från tredje part i samma uppsättning principer för villkorsstyrd åtkomst. Om du vill tillämpa strängare krav för enheter för din administratör och SecOps-personal konfigurerar du även unika principer för Intune-enhetsefterlevnad och Intune-appskydd och tilldelar dessa principer till din administratör och SecOps-personal.
Mer information om hur du lägger till dina säkerhetsprodukter i Microsoft Entra-ID och omfånget för dina principer för villkorsstyrd åtkomst och relaterade principer (eller om du konfigurerar en ny uppsättning principer) finns i Lägga till SaaS-appar i Microsoft Entra-ID och till omfånget för principer.
Beroende på säkerhetsprodukten kan det vara lämpligt att använda Microsoft Defender för molnet Appar för att övervaka användningen av dessa appar och tillämpa sessionskontroller. Om dessa säkerhetsappar inkluderar lagring av data i någon av de filtyper som stöds av Microsoft Purview kan du dessutom använda Defender för molnet för att övervaka och skydda dessa data med hjälp av principer för känslighetsetiketter och dataförlustskydd (DLP). Mer information finns i Integrera SaaS-appar för Nolltillit med Microsoft 365.
Exempel för Tanium SSO
Tanium är en leverantör av verktyg för slutpunktshantering och erbjuder ett anpassat Plugin-program för Tanium Skills för Copilot for Security. Det här plugin-programmet hjälper till med markfrågor och svar som utnyttjar Tanium-samlad information och insikter.
Här är den logiska arkitekturen för Copilot for Security med plugin-programmet Tanium Skills.
I diagrammet:
- Tanium Skills är ett anpassat plugin-program för Microsoft Copilot for Security.
- Tanium Skills ger tillgång till och hjälper till att slipa både frågor och svar som använder Tanium-samlad information och insikter.
Så här skyddar du åtkomsten till Tanium-produkter och relaterade data:
- Använd Microsoft Entra ID-programgalleriet för att hitta och lägga till Tanium SSO i din klientorganisation. Se Lägga till ett företagsprogram. Ett Tanium-specifikt exempel finns i Microsoft Entra SSO-integrering med Tanium SSO.
- Lägg till Tanium SSO i omfånget för dina Nolltillit identitets- och åtkomstprinciper.
Nästa steg
Titta på videon Upptäck Microsoft Copilot for Security.
Se följande ytterligare artiklar för Nolltillit och Microsofts Copilots:
Se även dokumentationen om Microsoft Copilot for Security.
Referenser
Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för