Aplicar os princípios de Confiança Zero ao Microsoft Security Copilot
Resumo: Para aplicar os princípios de Confiança Zero ao seu ambiente para o Microsoft Security Copilot, você precisa aplicar cinco camadas de proteção:
- Proteja contas de usuário da equipe do Administrador e do SecOps, com políticas de identidade e acesso.
- Aplique acesso de privilégios mínimos a contas de usuário da equipe do Administrador e do SecOps, inclusive a atribuição das funções de conta de usuário mínimas.
- Gerencie e proteja dispositivos de equipe do Administrador e do SecOps.
- Implante ou valide sua proteção contra ameaças.
- Proteja o acesso a produtos de segurança de terceiros que você integra ao Security Copilot.
Introdução
Como parte da introdução do Microsoft Security Copilot em seu ambiente, a Microsoft recomenda que você crie uma base sólida de segurança para suas contas de usuário e dispositivos de administrador e equipe de SecOps. A Microsoft também recomenda garantir que você tenha configurado ferramentas de proteção contra ameaças. Se você estiver integrando produtos de segurança de terceiros ao Security Copilot, certifique-se também de ter protegido o acesso a esses produtos e dados relacionados.
Felizmente, a orientação para uma base de segurança sólida existe na forma de Confiança Zero. A estratégia de segurança Confiança Zero trata cada conexão e solicitação de recurso como se tivesse se originado de uma rede descontrolada e de um ator mal-intencionado. Independentemente de onde a solicitação se origina ou qual recurso acessa, a Confiança Zero nos ensina a "nunca confiar, sempre verificar".
Nos portais de segurança, o Security Copilot fornece uma experiência de copiloto assistiva em linguagem natural que ajuda a dar suporte a:
Profissionais de segurança em cenários de ponta a ponta, como resposta a incidentes, busca de ameaças, coleta de inteligência e gerenciamento de postura.
Profissionais de TI na avaliação e configuração de políticas, solução de problemas de acesso de dispositivo e usuário e monitoramento de desempenho.
O Security Copilot usa dados de logs de eventos, alertas, incidentes e políticas para suas assinaturas e produtos de segurança da Microsoft e de terceiros. Se um invasor comprometer uma conta de usuário de administrador ou equipe de segurança que recebeu uma função do Security Copilot, ele poderá usar o Security Copilot e seus resultados para entender como sua equipe de SecOps está lidando com ataques em andamento. Um invasor pode usar essas informações para impedir tentativas de responder a um incidente, possivelmente um que eles iniciaram.
Consequentemente, é fundamental garantir que você tenha aplicado mitigações apropriadas no ambiente.
Arquitetura lógica
A primeira linha de defesa ao introduzir o Security Copilot é aplicar os princípios de Confiança Zero às contas e dispositivos da equipe de administração e SecOps. Também é importante garantir que sua organização aplique o princípio de privilégios mínimos. Além das funções específicas do Copilot, as funções atribuídas para a equipe de administração e SecOps em suas ferramentas de segurança determinam a quais dados eles têm acesso ao usar o Security Copilot.
É fácil entender por que essas mitigações são importantes observando a arquitetura lógica do Security Copilot mostrada aqui.
No diagrama:
Os membros da equipe do SecOps podem solicitar usando uma experiência do copiloto, como as oferecidas pelo Security Copilot, Microsoft Defender XDR e Microsoft Intune.
Os componentes do Security Copilot incluem:
O serviço Security Copilot, que orquestra respostas a prompts baseados em habilidades e usuários.
Um conjunto de LLMs (Large Language Models) para o Security Copilot.
Plug-ins para produtos específicos. Os plug-ins pré-instalados para produtos da Microsoft são fornecidos. Esses plug-ins pré-processam e pós-processam as solicitações.
Seus dados de assinatura. Os dados do SecOps para logs de eventos, alertas, incidentes e políticas armazenados nas assinaturas. Para obter mais informações, consulte este artigo do Microsoft Sentinel, para obter as fontes de dados mais comuns para produtos de segurança.
Arquivos carregados. Você pode carregar arquivos específicos no Security Copilot e incluí-los no escopo dos prompts.
Cada produto de segurança da Microsoft com uma experiência do Copilot, fornece acesso apenas ao conjunto de dados associado a esse produto, como logs de eventos, alertas, incidentes e políticas. O Security Copilot fornece acesso a todos os conjuntos de dados aos quais o usuário tem acesso.
Para obter mais informações, consulte Introdução ao Microsoft Security Copilot.
Como funciona a autenticação em nome de com o Security Copilot?
O Security Copilot usa a autenticação em nome de (OBO) fornecida pelo OAuth 2.0. Esse é um fluxo de autenticação fornecido pela delegação no OAuth. Quando um usuário do SecOps emite um prompt, o Security Copilot passa a identidade e as permissões do usuário pela cadeia de solicitações. Isso impede que o usuário obtenha permissão para recursos para os quais não deve ter acesso.
Para obter mais informações sobre a autenticação em nome do usuário, consulte a plataforma de identidade da Microsoft e o fluxo On-Behalf-Of do OAuth2.0.
Solicitação em um produto de segurança da Microsoft: exemplo inserido para o Microsoft Intune
Quando você usa uma das experiências inseridas do Security Copilot, o escopo dos dados é determinado pelo contexto do produto que você está usando. Por exemplo, caso emita uma solicitação no Microsoft Intune, os resultados serão produzidos somente a partir de dados e contexto fornecidos pelo Microsoft Intune.
Aqui está a arquitetura lógica ao emitir solicitações de uma experiência inserida do Microsoft Intune.
No diagrama:
Os administradores do Intune usam a experiência do Microsoft Copilot no Intune para enviar solicitações.
O componente Security Copilot orquestra as respostas aos prompts usando:
Os LLMs para o copiloto de segurança.
O plug-in pré-instalado do Microsoft Intune.
Os dados do Intune para dispositivos, políticas e postura de segurança armazenados em sua assinatura do Microsoft 365.
Integração com produtos de segurança de terceiros
O Security Copilot oferece a capacidade de hospedar plug-ins para produtos de terceiros. Esses plug-ins de terceiros fornecem acesso aos dados associados. Esses plug-ins e os dados associados residem fora do limite de confiança de segurança da Microsoft. Consequentemente, é importante garantir que você tenha protegido o acesso a esses aplicativos e seus dados associados.
Aqui está a arquitetura lógica do Security Copilot com produtos de segurança de terceiros.
No diagrama:
- O Security Copilot se integra a produtos de segurança de terceiros por meio de plug-ins.
- Esses plug-ins fornecem acesso aos dados associados ao produto, como logs e alertas.
- Esses componentes de terceiros residem fora do limite de confiança de segurança da Microsoft.
Aplicando mitigações de segurança ao seu ambiente para o Security Copilot
O restante deste artigo orienta você pelas etapas para aplicar os princípios de Confiança Zero para preparar seu ambiente para o Security Copilot.
| Etapa | Tarefa | Aplicação dos princípios de Confiança Zero |
|---|---|---|
| 1 | Implantar ou validar políticas de identidade e acesso para a equipe do Administrador e do SecOps. | Verificação explícita |
| 2 | Aplique privilégios mínimos a contas de usuário do Administrador e do SecOps. | Usar o acesso de privilégio mínimo |
| 3 | Proteger dispositivos para acesso privilegiado. | Verificação explícita |
| 4 | Implantar ou validar os serviços de proteção contra ameaças. | Pressupor a violação |
| 5 | Proteger o acesso a produtos e dados de segurança de terceiros. | Verificação explícita Usar o acesso com privilégios mínimos Pressupor a violação |
Há várias abordagens que você pode adotar para integrar o administrador e a equipe de SecOps ao Security Copilot enquanto configura as proteções para seu ambiente.
Integração por usuário ao Security Copilot
No mínimo, percorra uma lista de verificação para o administrador e a equipe de SecOps antes de atribuir uma função para o Copilot de segurança. Isso funciona bem para pequenas equipes e organizações que desejam começar com um grupo piloto ou de teste.
Implantação em fases do Security Copilot
Para ambientes grandes, uma implantação em fases mais padrão funciona bem. Nesse modelo, você aborda grupos de usuários ao mesmo tempo para configurar a proteção e atribuir funções.
Aqui está um modelo de exemplo.
Na ilustração:
- Na fase Avaliar, você escolhe um pequeno conjunto de usuários administradores e SecOps aos quais deseja que tenham acesso ao Security Copilot e aplica proteções de identidade, acesso e dispositivo.
- Na fase Piloto, você escolhe o próximo conjunto de usuários do Administrador e do SecOps e aplica proteções de identidade e acesso e dispositivo.
- Na fase de Implantação completa, você aplica proteções de identidade, acesso e dispositivo para o restante dos usuários do Administrador e do SecOps.
- No final de cada fase, você atribui a função apropriada no Security Copilot às contas de usuário.
Como diferentes organizações podem estar em vários estágios de implantação de proteções de Confiança Zero para seu ambiente, em cada uma destas etapas:
- Se você NÃO estiver usando nenhuma das proteções descritas na etapa, reserve um tempo para pilotá-las e implantá-las para o administrador e a equipe de SecOps antes de atribuir funções que incluam o Security Copilot.
- Se você já estiver usando algumas das proteções descritas na etapa, use as informações na etapa como uma lista de verificação e verifique se cada proteção declarada foi testada e implantada antes de atribuir funções que incluem o Security Copilot.
Etapa 1. Implantar ou validar políticas de identidade e acesso para o administrador e a equipe do SecOps
Para evitar que agentes mal-intencionados usem o Security Copilot para obter rapidamente informações sobre ataques cibernéticos, o primeiro passo é impedir que eles obtenham acesso. Garanta que a equipe do Administrador e do SecOps:
- As contas de usuário são necessárias para usar a MFA (autenticação multifator) (para que seu acesso não possa ser comprometido adivinhando senhas de usuário sozinho) e eles são obrigados a alterar suas senhas quando a atividade de alto risco é detectada.
- Os dispositivos devem estar em conformidade com as políticas de conformidade de dispositivo e gerenciamento do Intune.
Para obter recomendações de política de identidade e acesso, consulte a etapa de identidade e acesso em Confiança Zero para o Microsoft 365 Copilot. Com base nas recomendações deste artigo, verifique se a configuração resultante aplica as seguintes políticas para todas as contas de usuário da equipe do SecOps e seus dispositivos:
- Sempre use a MFA para credenciais
- Bloquear clientes que não dão suporte à autenticação moderna
- Exigir computadores compatíveis e dispositivos móveis
- Os usuários de alto risco devem alterar a senha (somente para o E5 do Microsoft 365)
- Exigir a adesão às políticas de conformidade do dispositivo do Intune
Essas recomendações se alinham ao nível de proteção de Segurança especializada nas políticas de acesso de dispositivo e identidade de Confiança Zero da Microsoft. O diagrama a seguir ilustra os três níveis recomendados de proteção: Ponto de partida, Enterprise e Especializado. O nível de proteção Enterprise é recomendado como um mínimo, para suas contas privilegiadas.
No diagrama, as políticas recomendadas para o Acesso Condicional do Microsoft Entra, a conformidade do dispositivo do Intune e a proteção de aplicativo do Intune, são ilustradas para cada um dos três níveis:
- Ponto de partida, que não requer gerenciamento de dispositivo.
- O Enterprise é recomendado para Zero Trust e, no mínimo, para acesso ao Security Copilot e seus produtos de segurança de terceiros e dados relacionados.
- A segurança especializada é recomendada para acesso ao Security Copilot e seus produtos de segurança de terceiros e dados relacionados.
Cada uma dessas políticas é descrita com mais detalhes em Políticas comuns de acesso de dispositivo e identidade de Confiança Zero para organizações do Microsoft 365.
Configurar um conjunto separado de políticas para usuários privilegiados
Ao configurar essas políticas para a equipe do Administrador e do SecOps, crie um conjunto separado de políticas para esses usuários privilegiados. Por exemplo, não adicione seus administradores ao mesmo conjunto de políticas que regem o acesso de usuários não privilegiados a aplicativos como o Microsoft 365 e o Salesforce. Use um conjunto dedicado de políticas com proteções apropriadas para contas com privilégios.
Incluir ferramentas de segurança no escopo das políticas de Acesso Condicional
Por enquanto, não há uma maneira fácil de configurar o Acesso Condicional para o Security Copilot. No entanto, como a autenticação em nome do usuário é usada para acessar dados em ferramentas de segurança, garanta ter configurado o Acesso Condicional para essas ferramentas, que podem incluir o Microsoft Entra ID e o Microsoft Intune.
Etapa 2. Aplicar privilégios mínimos a contas de usuário de Administrador e SecOps
Esta etapa inclui a configuração das funções apropriadas no Security Copilot. Ele também inclui a revisão das contas de usuário do Administrador e do SecOps, para garantir que elas sejam atribuídas a menor quantidade de privilégios para o trabalho que se destina a fazer.
Atribuir contas de usuário a funções do Copilot de Segurança
O modelo de permissões do Security Copilot inclui funções no Microsoft Entra ID e no Security Copilot.
| Product | Funções | Descrição |
|---|---|---|
| Microsoft Entra ID | Administrador de Segurança Administrador Global |
Essas funções do Microsoft Entra herdam a função de proprietário do Copilot no Security Copilot. Use apenas essas funções privilegiadas para integrar o Security Copilot à sua organização. |
| Copilot de Segurança | Proprietário do Copilot Colaborador do Copilot |
Essas duas funções incluem acesso para usar o Security Copilot. A maioria da equipe de Administradores e SecOps pode usar a função de colaborador do Copilot. A função de proprietário do Copilot inclui a capacidade de publicar plug-ins personalizados e gerenciar configurações que afetam todo o Security Copilot. |
É importante saber que, por padrão, todos os usuários no locatário recebem acesso de colaborador do Copilot. Com essa configuração, o acesso aos dados da ferramenta de segurança é regido pelas permissões configuradas para cada uma das ferramentas de segurança. Uma vantagem dessa configuração é que as experiências incorporadas do Security Copilot estão imediatamente disponíveis para o administrador e a equipe de SecOps nos produtos que eles usam diariamente. Isso funcionará bem se você já adotou uma prática forte de acesso menos privilegiado em sua organização.
Se você quiser adotar uma abordagem em etapas para apresentar o Security Copilot ao administrador e à equipe de SecOps enquanto ajusta o acesso com privilégios mínimos em sua organização, remova Todos os usuários da função de colaborador do Copilot e adicione grupos de segurança quando estiver pronto.
Para obter mais informações, consulte estes recursos do Microsoft Security Copilot:
Configurar ou revisar o acesso de privilégios mínimos para contas de usuário do Administrador e SecOps
A introdução do Security Copilot é um ótimo momento para revisar o acesso de suas contas de usuário de administrador e equipe de SecOps para ter certeza de que você está seguindo o princípio de privilégios mínimos para o acesso a produtos específicos. Isso inclui as seguintes tarefas:
- Examine os privilégios concedidos para os produtos específicos com os quais o administrador e a equipe do SecOps trabalham. Por exemplo, para o Microsoft Entra, consulte Menos funções privilegiadas por tarefa.
- Use o Microsoft Entra Privileged Identity Management (PIM) para obter maior controle sobre o acesso ao Security Copilot.
- Use o Gerenciamento de Acesso Privilegiado do Microsoft Purview, para configurar o controle de acesso granular sobre tarefas de administrador com privilégios no Office 365.
Usando o Microsoft Entra Privileged Identity Management junto com o Security Copilot
O Microsoft Entra Privileged Identity Management (PIM) permite gerenciar, controlar e monitorar as funções necessárias para acessar o Security Copilot. Com o PIM, você poderá:
- Fornecer a ativação de função baseada em tempo.
- Exigir aprovação para ativar funções com privilégios.
- Aplicar a MFA para ativar qualquer função.
- Obter notificações quando funções privilegiadas forem ativadas.
- Realize revisões de acesso para garantir que as contas de usuário da equipe do Administrador e do SecOps ainda precisem de suas funções atribuídas.
- Execute auditorias sobre acesso e alterações de função, para a equipe do Administrador e do SecOps.
Usando o gerenciamento de acesso privilegiado junto com o Security Copilot
O Privileged Access Management do Microsoft Purview ajuda a proteger a organização contra violações e ajuda a seguir as melhores práticas de conformidade, limitando o acesso permanente a dados confidenciais ou acesso a configurações críticas. Ao invés de os administradores terem acesso constante, são implementadas regras de acesso just-in-time para tarefas que precisam de permissões elevadas. Ao invés de os administradores terem acesso constante, são implementadas regras de acesso just-in-time para tarefas que precisam de permissões elevadas. Para obter mais informações, consulte Gerenciamento de acesso privilegiado.
Etapa 3. Proteger dispositivos para acesso privilegiado
Na Etapa 1, você configurou políticas de Acesso Condicional que exigiam dispositivos gerenciados e compatíveis, para a equipe do Administrador e do SecOps. Para segurança adicional, você pode implantar dispositivos de acesso privilegiado para sua equipe usar ao acessar ferramentas e dados de segurança, incluindo o Security Copilot. Um dispositivo de acesso privilegiado é uma estação de trabalho protegida que tem controle de aplicativo e proteção de aplicativo bem definidos. A estação de trabalho usa o a proteção de credencial, proteção de dispositivo, proteção de aplicativo e proteção contra exploração, para proteger o host contra invasores.
Para obter mais informações sobre como configurar um dispositivo para acesso privilegiado, consulte Proteção de dispositivos como parte da história de acesso privilegiado.
Para exigir esses dispositivos, atualize a política de conformidade do dispositivo do Intune. Caso esteja fazendo a transição da equipe do Administrador e do SecOps para dispositivos protegidos, faça a transição dos grupos de segurança da política de conformidade do dispositivo original para a nova política. A regra de Acesso Condicional pode permanecer a mesma.
Etapa 4. Implantar ou validar seus serviços de proteção contra ameaças
Para detectar as atividades de agentes mal-intencionados e impedir que eles obtenham acesso ao Security Copilot, verifique se você pode detectar e responder a incidentes de segurança com um pacote abrangente de serviços de proteção contra ameaças, que incluem Microsoft Defender XDR com Microsoft 365, Microsoft Sentinel e outros serviços e produtos de segurança.
Use os seguintes recursos.
| Escopo | Descrição e recursos |
|---|---|
| Aplicativos Microsoft 365 e SaaS integrados ao Microsoft Entra | Consulte o artigo Confiança Zero para o Microsoft 365 Copilot para obter diretrizes sobre como aumentar a proteção contra ameaças começando com os planos do Microsoft 365 E3 e progredindo com os planos do Microsoft E5. Para planos do E5 do Microsoft 365, consulte também Avaliar e fazer piloto de segurança do Microsoft Defender XDR. |
| Seus recursos de nuvem do Azure Seus recursos em outros provedores de nuvem, como o AWS (Amazon Web Services) |
Use os recursos a seguir para começar com o Defender para Nuvem: - Microsoft Defender para Nuvem - Aplicar princípios de Confiança Zero a aplicativos IaaS na AWS |
| Sua propriedade digital com todas as ferramentas do Microsoft XDR e o Microsoft Sentinel | O guia de solução Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Confiança Zero, percorre o processo de configuração das ferramentas de detecção e resposta (XDR) do Microsoft eXtended junto com o Microsoft Sentinel, para acelerar a capacidade da sua organização de responder e corrigir ataques de segurança cibernética. |
Etapa 5. Proteger o acesso a dados e produtos de segurança de terceiros
Se você estiver integrando produtos de segurança de terceiros ao Security Copilot, certifique-se de ter acesso seguro a esses produtos e dados relacionados. As diretrizes do Confiança Zero da Microsoft incluem recomendações para proteger o acesso a aplicativos do SaaS. Essas recomendações podem ser usadas para seus produtos de segurança de terceiros.
Para proteção com políticas de acesso de identidade e dispositivo, as alterações nas políticas comuns para aplicativos do SaaS são descritas em vermelho no diagrama a seguir. Essas são as políticas às quais é possível adicionar seus produtos de segurança de terceiros.
Para os aplicativos e produtos de segurança de terceiros, considere a criação de um conjunto dedicado de políticas para eles. Isso permite tratar os produtos de segurança com requisitos maiores em comparação com aplicativos de produtividade, como Dropbox e Salesforce. Por exemplo, adicione o Tanium e todos os outros produtos de segurança de terceiros ao mesmo conjunto de políticas de Acesso Condicional. Caso queira impor requisitos mais rigorosos para dispositivos para a equipe do Administrador e do SecOps, configure também políticas exclusivas para conformidade de dispositivos do Intune e proteção de aplicativo do Intune e atribua essas políticas à sua equipe do Administrador e do SecOps.
Para obter mais informações sobre como adicionar seus produtos de segurança ao Microsoft Entra ID e ao escopo de seu Acesso Condicional e políticas relacionadas (ou configurar um novo conjunto de políticas), consulte Adicionar aplicativos SaaS ao Microsoft Entra ID e ao escopo das políticas.
Dependendo do produto de segurança, pode ser apropriado usar o Microsoft Defender para Aplicativos de Nuvem, para monitorar o uso desses aplicativos e aplicar controles de sessão. Além disso, se esses aplicativos de segurança incluírem armazenamento de dados em qualquer um dos tipos de arquivo com suporte do Microsoft Purview, você poderá usar o Defender para Nuvem para monitorar e proteger esses dados usando rótulos de confidencialidade e políticas de DLP (prevenção contra perda de dados). Para obter mais informações, consulte Integrar aplicativos do SaaS para Confiança Zero com o Microsoft 365.
Exemplo de SSO do Tanium
A Tanium é fornecedora de ferramentas de gerenciamento de endpoint e oferece um plug-in personalizado do Tanium Skills para o Security Copilot. Esse plug-in ajuda a basear solicitações e respostas que aproveitam informações e insights coletados pelo Tanium.
Aqui está a arquitetura lógica do Security Copilot com o plug-in Tanium Skills.
No diagrama:
- Tanium Skills é um plug-in personalizado para o Microsoft Security Copilot.
- O Tanium Skills fornece acesso e ajuda a basear solicitações e respostas que usam informações e insights coletados pelo Tanium.
Para proteger o acesso a produtos do Tanium e dados relacionados:
- Use a Galeria de Aplicativos do Microsoft Entra ID para localizar e adicionar o SSO do Tanium ao locatário. ConsulteAdicionar um aplicativo empresarial. Para obter um exemplo específico do Tanium, consulte Integração do SSO do Microsoft Entra com o SSO do Tanium.
- Adicione o SSO do Tanium ao escopo de suas políticas de acesso e identidade de Confiança Zero.
Próximas etapas
Assista ao vídeo Descubra o Microsoft Security Copilot.
Consulte estes artigos adicionais para Confiança Zero e Copilots da Microsoft:
Consulte também a documentação do Microsoft Security Copilot.
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.