將 零信任 原則套用至 Microsoft Copilot for Security
摘要:若要將 零信任 原則套用至適用於安全性的 Microsoft Copilot 環境,您需要套用五層保護:
- 使用身分識別和存取原則保護系統管理員和 SecOps 員工用戶帳戶。
- 將最低許可權存取權套用至系統管理員和 SecOps 員工用戶帳戶,包括指派最低用戶帳戶角色。
- 管理及保護系統管理員和 SecOps 員工裝置。
- 部署或驗證威脅防護。
- 安全地存取您與 Copilot for Security 整合的第三方安全性產品。
簡介
在將 Microsoft Copilot for Security 引入您的環境中時,Microsoft 建議您為系統管理員和 SecOps 員工使用者帳戶和裝置建立強大的安全性基礎。 Microsoft 也建議您確定您已設定威脅防護工具。 如果您要整合第三方安全性產品與 Copilot for Security,也請確定您已保護這些產品和相關數據的存取權。
幸運的是,強式安全性基礎的指引會以 零信任 的形式存在。 零信任 安全性策略會將每個連線和資源要求視為源自不受控制的網路和不良動作專案。 無論要求的來源或存取的資源為何,零信任 教導我們「永遠不要信任,永遠驗證」。
從安全性入口網站內,Copilot for Security 提供自然語言、輔助的 Copilot 體驗,可協助支援:
端對端案例中的安全性專業人員,例如事件回應、威脅搜捕、情報收集及狀態管理。
原則評估和設定、裝置和使用者存取疑難解答,以及效能監視的IT專業人員。
Copilot for Security 會針對您的 Microsoft 和第三方訂用帳戶和安全性產品,使用來自事件記錄、警示、事件和原則的數據。 如果攻擊者入侵已獲指派 Copilot for Security 角色的系統管理員或安全性人員使用者帳戶,他們可以使用 Copilot for Security 及其結果來瞭解您的 SecOps 小組如何處理進行中的攻擊。 攻擊者接著可以使用這項資訊來挫敗回應事件嘗試,可能是他們起始的事件。
因此,請務必確定您已在環境中套用適當的風險降低措施。
邏輯架構
引進 Copilot for Security 時的第一道防線是將 零信任 原則套用至系統管理員和 SecOps 員工的帳戶和裝置。 確保貴組織套用最低許可權原則也很重要。 除了 Copilot 特定角色之外,安全性工具中系統管理員和 SecOps 人員指派的角色會決定他們在使用 Copilot for Security 時可存取哪些數據。
藉由查看此處所示的 Copilot for Security 邏輯架構,很容易了解這些風險降低為何很重要。
在此圖表中:
SecOps 小組成員可以使用 Copilot 體驗來提示,例如 Copilot for Security、Microsoft Defender 全面偵測回應 和 Microsoft Intune 所提供的體驗。
安全性元件的 Copilot 包括:
Copilot for Security 服務,其會協調對使用者和技能型提示的回應。
一組大型語言模型 (LLM) 用於安全性的 Copilot。
特定產品的外掛程式。 提供 Microsoft 產品的預安裝外掛程式。 這些外掛程式會前置處理和後續處理提示。
您的訂用帳戶數據。 儲存在訂用帳戶中的事件記錄、警示、事件和原則的 SecOps 數據。 如需詳細資訊,請參閱此 Microsoft Sentinel 文章 ,以瞭解安全性產品最常見的數據源。
您上傳的檔案。 您可以將 特定檔案 上傳至 Copilot for Security,並在提示範圍中包含這些檔案。
具有 copilot 體驗的每個 Microsoft 安全性產品只提供與該產品相關聯的數據集存取權,例如事件記錄、警示、事件和原則。 Copilot for Security 提供使用者可存取之所有數據集的存取權。
如需詳細資訊,請參閱 開始使用 Microsoft Copilot for Security。
代理驗證如何與 Copilot for Security 搭配運作?
Copilot for Security 會使用 OAuth 2.0 所提供的代理者驗證(OBO)。 這是 OAuth 中委派所提供的驗證流程。 當 SecOps 使用者發出提示時,Copilot for Security 會透過要求鏈結傳遞使用者的身分識別和許可權。 這可防止使用者取得其不應該具有存取權的資源許可權。
如需 OBO 驗證的詳細資訊,請參閱 Microsoft 身分識別平台 和 OAuth2.0 代理者流程。
在 Microsoft 安全性產品內提示:Microsoft Intune 的內嵌範例
當您使用 Copilot for Security 的其中一個內嵌體驗時,數據的範圍取決於您使用的產品內容。 例如,如果您在 Microsoft Intune 內發出提示,則結果只會從 Microsoft Intune 所提供的數據和內容產生。
以下是從 Microsoft Intune 內嵌體驗發出提示時的邏輯架構。
在此圖表中:
Intune 系統管理員會使用 Intune 體驗中的 Microsoft Copilot 提交提示。
Copilot for Security 元件會使用下列方式協調對提示的回應:
Copilot for Security 的 LLM。
Microsoft Intune 預安裝外掛程式。
儲存在 Microsoft 365 訂閱中的裝置、原則和安全性狀態的 Intune 數據。
與第三方安全性產品整合
Copilot for Security 可讓您裝載第三方產品的外掛程式。 這些第三方外掛程式提供其相關聯數據的存取權。 這些外掛程式及其相關聯的數據會即時存在於 Microsoft 安全性信任界限之外。 因此,請務必確保您已保護對這些應用程式及其相關聯數據的存取。
以下是具有第三方安全性產品的 Copilot for Security 邏輯架構。
在此圖表中:
- Copilot for Security 會透過外掛程式與第三方安全性產品整合。
- 這些外掛程式可讓您存取與產品相關聯的數據,例如記錄和警示。
- 這些第三方元件位於 Microsoft 安全性信任界限之外。
將安全性風險降低套用至您的環境以用於安全性的 Copilot
本文的其餘部分將逐步引導您完成套用 零信任 原則的步驟,以準備您的環境以使用 Copilot for Security。
| 步驟 | Task | 已套用 零信任 原則 |
|---|---|---|
| 1 | 部署或驗證系統管理員和 SecOps 員工的身分識別和存取原則。 | 明確驗證 |
| 2 | 將最低許可權套用至系統管理員和 SecOps 用戶帳戶。 | 使用最低權限存取 |
| 3 | 保護特殊許可權存取的裝置。 | 明確驗證 |
| 4 | 部署或驗證威脅防護服務。 | 假設缺口 |
| 5 | 安全存取第三方安全性產品和數據。 | 明確驗證 使用最低許可權存取 假設缺口 |
在設定環境保護時,您可以採取數種方法將系統管理員和 SecOps 人員上線至 Copilot for Security。
每位用戶上線至 Copilot for Security
在您為 Copilot for Security 指派角色之前,請至少逐步完成系統管理員和 SecOps 員工的檢查清單。 這適用於想要從測試或試驗群組開始的小型小組和組織。
Copilot for Security 的階段式部署
對於大型環境,較標準的階段式部署運作良好。 在此模型中,您會同時處理使用者群組,以設定保護和指派角色。
以下是範例模型。
在圖例中:
- 在 評估 階段中,您會挑選一組您想要存取 Copilot for Security 的系統管理員和 SecOps 使用者,並套用身分識別和存取和裝置保護。
- 在 試驗 階段中,您會挑選下一組系統管理員和 SecOps 使用者,並套用身分識別和存取和裝置保護。
- 在 完整部署 階段中,您會為其餘系統管理員和 SecOps 使用者套用身分識別和存取和裝置保護。
- 在每個階段結束時,您會將 Copilot for Security 中適當的角色指派給用戶帳戶。
因為不同的組織可以在部署其環境 零信任 保護的各種階段,在這些步驟中:
- 如果您未使用步驟中所述的任何保護,請在指派包含 Copilot for Security 的角色之前,花時間試驗並部署給系統管理員和 SecOps 人員。
- 如果您已經在使用步驟中所述的一些保護,請使用步驟中的資訊作為檢查清單,並確認已試驗並部署每個說明的保護,然後再指派包含 Copilot for Security 的角色。
步驟 1: 部署或驗證系統管理員和 SecOps 員工的身分識別和存取原則
若要防止不良執行者使用 Copilot for Security 快速取得網路攻擊的相關信息,第一個步驟是防止他們取得存取權。 您必須確定系統管理員和 SecOps 員工:
- 用戶帳戶必須使用多重要素驗證(MFA)(因此無法單獨猜測使用者密碼來入侵其存取權),而且在偵測到高風險活動時必須變更其密碼。
- 裝置必須符合 Intune 管理和裝置合規性原則。
如需身分識別和存取原則建議,請參閱 Microsoft Copilot for Microsoft 365 零信任 中的身分識別和存取步驟。 根據本文中的建議,確定產生的設定會針對所有 SecOps 員工用戶帳戶及其裝置套用下列原則:
這些建議與 Microsoft 零信任 身分識別和裝置存取原則中的特製化安全性保護層級一致。 下圖說明建議的三種保護層級:起點、企業和特製化。 建議 至少為您的 特殊許可權帳戶使用企業保護層級。
在圖表中,Microsoft Entra 條件式存取、Intune 裝置合規性和 Intune 應用程式保護的建議原則會針對這三個層級說明:
- 起點,不需要裝置管理。
- 建議使用 Enterprise 進行 零信任,並至少存取 Copilot for Security 和您的第三方安全性產品和相關數據。
- 建議使用特殊安全性 來存取 Copilot for Security 和您的第三方安全性產品和相關數據。
Microsoft 365 組織的常見 零信任 身分識別和裝置存取原則會更詳細地說明這些原則。
為具特殊許可權的用戶設定一組個別的原則
為系統管理員和 SecOps 人員設定這些原則時,請為這些特殊許可權的使用者建立一組個別的原則。 例如,請勿將系統管理員新增至一組原則,以控管非特殊許可權使用者存取 Microsoft 365 和 Salesforce 等應用程式。 使用一組專用的原則搭配適用於特殊許可權帳戶的保護。
在條件式存取原則的範圍內包含安全性工具
目前,設定 Copilot for Security 的條件式存取並不容易。 不過,由於代理驗證是用來存取安全性工具內的數據,因此請確定您已針對這些工具設定條件式存取,其中包括 Microsoft Entra ID 和 Microsoft Intune。
步驟 2。 將最低許可權套用至系統管理員和 SecOps 用戶帳戶
此步驟包括在 Copilot for Security 中設定適當的角色。 它也包括檢閱您的系統管理員和 SecOps 用戶帳戶,以確保他們獲派他們打算執行之工作的最低許可權。
將用戶帳戶指派給 Copilot 的安全性角色
Copilot for Security 的許可權模型包括 Microsoft Entra ID 和 Copilot for Security 中的角色。
| Products | 角色 | 描述 |
|---|---|---|
| Microsoft Entra ID | 安全性 管理員 istrator 全域管理員 |
這些 Microsoft Entra 角色會 繼承 Copilot for Security 中的 Copilot 擁有者 角色。 只使用這些特殊許可權角色,將 Copilot for Security 上架到您的組織。 |
| 安全性的 Copilot | Copilot 擁有者 Copilot 參與者 |
這兩個角色包括使用 Copilot for Security 的存取權。 您的大部分系統管理員和 SecOps 人員都可以使用 Copilot 參與者 角色。 Copilot 擁有者角色包括發佈自定義外掛程式,以及管理會影響所有 Copilot for Security 的設定。 |
請務必知道,根據預設, 租使用者中的所有用戶都會獲得 Copilot 參與者存取權。 使用此設定時,安全性工具數據的存取權會受到您針對每個安全性工具設定的許可權所控管。 此組態的優點是,Copilot for Security 的內嵌體驗會立即提供給系統管理員和 SecOps 員工在其每天使用的產品內。 如果您已採用組織中最低特殊許可權存取的強做法,則這很適用。
如果您想要在調整組織中的最低許可權存取權時,採取分段方法,將 Copilot for Security 介紹給系統管理員和 SecOps 人員,請從 Copilot 參與者角色中移除所有使用者,並在準備好時新增安全組。
如需詳細資訊,請參閱下列 Microsoft Copilot for Security 資源:
設定或檢閱系統管理員和 SecOps 用戶帳戶的最低許可權存取權
介紹 Copilot for Security 是檢閱系統管理員和 SecOps 員工使用者帳戶存取權的絕佳時機,以確保您遵循其存取特定產品的最低許可權原則。 這包括下列工作:
- 檢閱系統管理員和 SecOps 員工所處理之特定產品所授與的許可權。 例如,針對 Microsoft Entra,請參閱 依工作設定的最低特殊許可權角色。
- 使用 Microsoft Entra Privileged Identity Management (PIM) 以更充分掌控 Copilot for Security 的存取權。
- 使用 Microsoft Purview Privileged Access Management 設定 Office 365 中特殊許可權系統管理員工作的細微訪問控制。
搭配使用 Microsoft Entra Privileged Identity Management 與 Copilot for Security
Microsoft Entra Privileged Identity Management (PIM) 可讓您管理、控制及監視存取 Copilot for Security 所需的角色。 使用 PIM,您可以:
- 提供以時間為基礎的角色啟用。
- 需要核准才能啟用特殊權限角色。
- 強制執行 MFA 以啟動任何角色。
- 在特殊權限角色啟用時獲得通知。
- 進行存取權檢閱 ,以確保系統管理員和 SecOps 員工用戶帳戶仍然需要其指派的角色。
- 針對系統管理員和 SecOps 員工,對存取權和角色變更執行稽 核。
搭配 Copilot for Security 使用特殊許可權存取管理
Microsoft Purview Privileged Access Management 可協助保護貴組織免於外洩,並藉由限制敏感數據的常設存取權或對重要組態設定的存取,協助符合合規性最佳做法。 對於需要提升權限的工作,會實施 JIT 存取規則,而不是系統管理員擁有常設存取權。 對於需要提升權限的工作,會實施 JIT 存取規則,而不是系統管理員擁有常設存取權。 如需詳細資訊,請參閱 特殊許可權存取管理。
步驟 3: 保護特殊許可權存取的裝置
在步驟 1 中,您已為系統管理員和 SecOps 人員設定條件式存取原則,這些原則需要受控且符合規範的裝置。 如需其他安全性,您可以為員工部署特殊許可權存取裝置,以在存取安全性工具和數據時使用,包括 Copilot for Security。 特殊許可權存取裝置是強化的工作站,具有明確的應用程控和應用程式防護。 工作站會使用認證防護、裝置防護、應用程式防護和惡意探索防護來保護主機免受攻擊者的攻擊。
如需如何設定裝置以進行特殊許可權存取的詳細資訊,請參閱 保護裝置作為特殊許可權存取案例的一部分。
若要要求這些裝置,請務必更新您的 Intune 裝置合規性政策。 如果您要將系統管理員和 SecOps 人員轉換為強化的裝置,請將安全組從原始裝置合規性政策轉換為新原則。 條件式存取規則可以維持不變。
步驟 4. 部署或驗證威脅防護服務
若要偵測不良動作項目的活動,並防止他們存取 Copilot for Security,請確定您可以使用完整的威脅防護服務套件來偵測及回應安全性事件,其中包括搭配 Microsoft 365、Microsoft Sentinel 和其他安全性服務和產品 Microsoft Defender 全面偵測回應。
使用下列資源。
| 範圍 | 描述和資源 |
|---|---|
| 與 Microsoft Entra 整合的 Microsoft 365 和 SaaS 應用程式 | 請參閱 Microsoft Copilot for Microsoft 365 的 零信任 文章,以取得如何從 Microsoft 365 E3 計劃開始加強威脅防護,以及使用 Microsoft E5 方案進行進度的指引。 如需 Microsoft 365 E5 方案,另請參閱評估及試驗 Microsoft Defender 全面偵測回應 安全性。 |
| 您的 Azure 雲端資源 其他雲端提供者中的資源,例如 Amazon Web Services (AWS) |
使用下列資源開始使用 適用於雲端的 Defender: - 適用於雲端的 Microsoft Defender - 將 零信任 原則套用至 AWS 中的 IaaS 應用程式 |
| 使用所有 Microsoft XDR 工具和 Microsoft Sentinel 的數字資產 | 實作 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 for 零信任 解決方案指南會逐步引導您設定 Microsoft eXtended 偵測和回應 (XDR) 工具與 Microsoft Sentinel,以加速貴組織回應和補救網路安全攻擊的能力。 |
步驟 5: 安全存取第三方安全性產品和數據
如果您要整合第三方安全性產品與 Copilot for Security,請確定您已安全存取這些產品和相關數據。 Microsoft 零信任 指引包含保護 SaaS 應用程式存取權的建議。 這些建議可用於您的第三方安全性產品。
若要使用身分識別和裝置存取原則保護,SaaS 應用程式的常見原則變更會以紅色概述,如下圖所示。 這些是您可以新增第三方安全性產品的原則。
針對您的第三方安全性產品和應用程式,請考慮為這些產品建立一組專用的原則。 這可讓您將安全性產品與Dropbox和Salesforce等生產力應用程式相比,以更高的需求來處理您的安全性產品。 例如,將 Tanium 和其他所有第三方安全性產品新增至同一組條件式存取原則。 如果您想要為系統管理員和 SecOps 人員強制執行更嚴格的裝置需求,也請為 Intune 裝置合規性和 Intune 應用程式保護設定唯一原則,並將這些原則指派給系統管理員和 SecOps 員工。
如需將安全性產品新增至 Microsoft Entra ID 和條件式存取和相關原則範圍的詳細資訊(或設定新原則集),請參閱 將 SaaS 應用程式新增至 Microsoft Entra ID 和原則範圍。
視安全性產品而定,可能適合使用 適用於雲端的 Microsoft Defender Apps 來監視這些應用程式的使用,並套用會話控件。 此外,如果這些安全性應用程式包含 Microsoft Purview 所支援之任何檔案類型中的數據儲存,您可以使用 適用於雲端的 Defender 來監視和保護此數據,方法是使用敏感度標籤和數據外洩防護 (DLP) 原則。 如需詳細資訊,請參閱整合 零信任 與 Microsoft 365 的 SaaS 應用程式。
Tanium SSO 的範例
Tanium 是端點管理工具的提供者,並提供適用於 Security Copilot 的自定義 Tanium Skills 外掛程式。 此外掛程式可協助利用 Tanium 收集到的資訊和深入解析進行地面提示和回應。
以下是使用 Tanium Skills 外掛程式的 Copilot for Security 邏輯架構。
在此圖表中:
- Tanium Skills 是 Microsoft Copilot for Security 的自定義外掛程式。
- Tanium Skills 可讓您存取並協助進行使用 Tanium 收集資訊和見解的提示和回應。
若要保護 Tanium 產品和相關資料的存取:
- 使用 Microsoft Entra ID 應用連結庫來尋找 Tanium SSO 並將其新增至您的租使用者。 請參閱 新增企業應用程式。 如需 Tanium 特定範例,請參閱 Microsoft Entra SSO 與 Tanium SSO 整合。
- 將 Tanium SSO 新增至 零信任 身分識別和存取原則的範圍。
下一步
觀看探索 Microsoft Copilot for Security 影片。
如需 零信任 和 Microsoft 的 Copilots,請參閱下列其他文章:
另請參閱 Microsoft Copilot for Security 檔。
參考資料
請參閱這些連結,以瞭解本文所述的各種服務和技術。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應