Aplicar os princípios do Zero Trust ao Microsoft Security Copilot
Resumo: Para aplicar os princípios do Zero Trust ao seu ambiente para o Microsoft Security Copilot, você precisa aplicar cinco camadas de proteção:
- Proteja as contas de usuário do administrador e da equipe do SecOps com políticas de identidade e acesso.
- Aplique o acesso de menor privilégio às contas de usuário de administrador e da equipe do SecOps, incluindo a atribuição das funções mínimas de conta de usuário.
- Gerencie e proteja os dispositivos do administrador e da equipe do SecOps.
- Implante ou valide sua proteção contra ameaças.
- Acesso seguro a produtos de segurança de terceiros que você integra ao Security Copilot.
Introdução
Como parte da introdução do Microsoft Security Copilot em seu ambiente, a Microsoft recomenda que você crie uma base sólida de segurança para suas contas de usuário e dispositivos de administração e equipe do SecOps. A Microsoft também recomenda garantir que você tenha configurado as ferramentas de proteção contra ameaças. Se estiver a integrar produtos de segurança de terceiros com o Security Copilot, certifique-se também de que protegeu o acesso a esses produtos e aos dados relacionados.
Felizmente, a orientação para uma base de segurança sólida existe na forma de Zero Trust. A estratégia de segurança Zero Trust trata cada conexão e solicitação de recurso como se tivesse se originado de uma rede não controlada e de um ator mal-intencionado. Independentemente da origem do pedido ou do recurso a que acede, o Zero Trust ensina-nos a "nunca confiar, verificar sempre".
A partir de portais de segurança, o Security Copilot fornece uma experiência de copiloto assistiva em linguagem natural que ajuda a suportar:
Profissionais de segurança em cenários de ponta a ponta, como resposta a incidentes, caça a ameaças, coleta de informações e gerenciamento de postura.
Profissionais de TI em avaliação e configuração de políticas, solução de problemas de acesso de dispositivos e usuários e monitoramento de desempenho.
O Security Copilot utiliza dados de registos de eventos, alertas, incidentes e políticas para as suas subscrições e produtos de segurança da Microsoft e de terceiros. Se um invasor comprometer uma conta de usuário de administrador ou equipe de segurança à qual tenha sido atribuída uma função de Copiloto de Segurança, ele poderá usar o Copiloto de Segurança e seus resultados para entender como sua equipe de SecOps está lidando com ataques em andamento. Um invasor pode usar essas informações para frustrar as tentativas de responder a um incidente, possivelmente um incidente iniciado.
Consequentemente, é fundamental garantir que você tenha aplicado mitigações apropriadas em seu ambiente.
Arquitetura lógica
A primeira linha de defesa ao introduzir o Security Copilot é aplicar os princípios do Zero Trust às contas e dispositivos dos funcionários administrativos e SecOps. Também é importante garantir que sua organização aplique o princípio do menor privilégio. Além das funções específicas do Copilot, as funções atribuídas para a equipe de administração e SecOps dentro de suas ferramentas de segurança determinam a quais dados eles têm acesso ao usar o Security Copilot.
É fácil entender por que essas mitigações são importantes observando a arquitetura lógica do Security Copilot mostrada aqui.
No diagrama:
Os membros da equipe SecOps podem solicitar usando uma experiência de copiloto, como as oferecidas pelo Security Copilot, Microsoft Defender XDR e Microsoft Intune.
Os componentes do Security Copilot incluem:
O serviço Security Copilot, que orquestra respostas a prompts baseados em usuários e habilidades.
Um conjunto de Modelos de Linguagem Grande (LLMs) para Copiloto de Segurança.
Plugins para produtos específicos. Plug-ins pré-instalados para produtos Microsoft são fornecidos. Esses plugins pré-processam e pós-processam prompts.
Os seus dados de subscrição. Os dados SecOps para logs de eventos, alertas, incidentes e políticas armazenados nas assinaturas. Para obter mais informações, consulte este artigo do Microsoft Sentinel para obter as fontes de dados mais comuns para produtos de segurança.
Ficheiros carregados. Você pode carregar arquivos específicos para o Security Copilot e incluí-los no escopo dos prompts.
Cada produto de segurança da Microsoft com uma experiência de copiloto fornece apenas acesso ao conjunto de dados associado a esse produto, como logs de eventos, alertas, incidentes e políticas. O Security Copilot fornece acesso a todos os conjuntos de dados aos quais o usuário tem acesso.
Para obter mais informações, consulte Introdução ao Microsoft Security Copilot.
Como funciona a autenticação em nome do Security Copilot?
O Security Copilot usa a autenticação em nome de (OBO) fornecida pelo OAuth 2.0. Este é um fluxo de autenticação fornecido pela delegação no OAuth. Quando um usuário SecOps emite um prompt, o Security Copilot passa a identidade e as permissões do usuário pela cadeia de solicitações. Isso impede que o usuário obtenha permissão para recursos aos quais não deveria ter acesso.
Para obter mais informações sobre a autenticação OBO, consulte Microsoft identity platform e OAuth2.0 On-Behalf-Of flow.
Solicitação dentro de um produto de segurança da Microsoft: Exemplo incorporado para o Microsoft Intune
Quando você usa uma das experiências incorporadas do Security Copilot, o escopo dos dados é determinado pelo contexto do produto que você está usando. Por exemplo, se você emitir um prompt no Microsoft Intune, os resultados serão produzidos somente a partir de dados e contexto fornecidos pelo Microsoft Intune.
Aqui está a arquitetura lógica ao emitir prompts de dentro da experiência incorporada do Microsoft Intune.
No diagrama:
Os administradores do Intune usam o Microsoft Copilot na experiência do Intune para enviar prompts.
O componente Security Copilot orquestra respostas aos prompts usando:
Os LLMs para Copiloto de Segurança.
O plug-in pré-instalado do Microsoft Intune.
Os dados do Intune para dispositivos, políticas e postura de segurança armazenados na sua subscrição do Microsoft 365.
Integração com produtos de segurança de terceiros
Security Copilot fornece a capacidade de hospedar plugins para produtos de terceiros. Estes plugins de terceiros fornecem acesso aos seus dados associados. Esses plug-ins e seus dados associados vivem fora do limite de confiança de segurança da Microsoft. Consequentemente, é importante garantir que você tenha acesso protegido a esses aplicativos e seus dados associados.
Aqui está a arquitetura lógica do Security Copilot com produtos de segurança de terceiros.
No diagrama:
- O Security Copilot integra-se com produtos de segurança de terceiros através de plugins.
- Esses plugins fornecem acesso aos dados associados ao produto, como logs e alertas.
- Esses componentes de terceiros residem fora do limite de confiança de segurança da Microsoft.
Aplicando atenuações de segurança ao seu ambiente para o Security Copilot
O restante deste artigo orienta você pelas etapas para aplicar os princípios do Zero Trust para preparar seu ambiente para o Security Copilot.
Passo | Tarefa | Princípios Zero Trust aplicados |
---|---|---|
1 | Implante ou valide políticas de identidade e acesso para a equipe de administração e SecOps. | Verificar explicitamente |
2 | Aplique o menor privilégio às contas de usuário admin e SecOps. | Use o acesso menos privilegiado |
3 | Dispositivos seguros para acesso privilegiado. | Verificar explicitamente |
4 | Implante ou valide seus serviços de proteção contra ameaças. | Assuma a violação |
5 | Acesso seguro a produtos e dados de segurança de terceiros. | Verificar explicitamente Use o acesso menos privilegiado Assuma a violação |
Há várias abordagens que você pode adotar para integrar o administrador e a equipe do SecOps ao Security Copilot enquanto configura proteções para seu ambiente.
Integração por usuário ao Security Copilot
No mínimo, percorra uma lista de verificação para o administrador e a equipe do SecOps antes de atribuir uma função para o Security Copilot. Isso funciona bem para pequenas equipes e organizações que desejam começar com um grupo piloto ou de teste.
Implementação faseada do copiloto de segurança
Para ambientes grandes, uma implantação em fases mais padrão funciona bem. Neste modelo, você aborda grupos de usuários ao mesmo tempo para configurar a proteção e atribuir funções.
Aqui está um modelo de exemplo.
Na ilustração:
- Na fase Avaliação, você escolhe um pequeno conjunto de usuários de administração e SecOps que deseja ter acesso ao Security Copilot e aplica identidade, acesso e proteções de dispositivo.
- Na fase Piloto, você escolhe o próximo conjunto de usuários admin e SecOps e aplica identidade, acesso e proteções de dispositivo.
- Na fase de implantação completa, você aplica proteções de identidade, acesso e dispositivo para o restante do administrador e dos usuários do SecOps.
- No final de cada fase, você atribui a função apropriada no Security Copilot às contas de usuário.
Como diferentes organizações podem estar em vários estágios de implantação de proteções Zero Trust para seu ambiente, em cada uma destas etapas:
- Se você NÃO estiver usando nenhuma das proteções descritas na etapa, reserve um tempo para pilotá-las e implantá-las em seu administrador e na equipe do SecOps antes de atribuir funções que incluam o Security Copilot.
- Se você já estiver usando algumas das proteções descritas na etapa, use as informações na etapa como uma lista de verificação e verifique se cada proteção declarada foi pilotada e implantada antes de atribuir funções que incluem o Security Copilot.
Passo 1. Implantar ou validar políticas de identidade e acesso para administradores e funcionários do SecOps
Para evitar que agentes mal-intencionados usem o Security Copilot para obter rapidamente informações sobre ataques cibernéticos, o primeiro passo é impedir que eles tenham acesso. Você deve garantir que o administrador e a equipe do SecOps:
- As contas de usuário são obrigadas a usar a autenticação multifator (MFA) (para que seu acesso não possa ser comprometido apenas adivinhando senhas de usuário) e elas são obrigadas a alterar suas senhas quando atividades de alto risco são detetadas.
- Os dispositivos devem estar em conformidade com as políticas de gerenciamento e conformidade de dispositivos do Intune.
Para obter recomendações de política de identidade e acesso, consulte a etapa de identidade e acesso em Zero Trust for Microsoft 365 Copilot. Com base nas recomendações deste artigo, verifique se a configuração resultante aplica as seguintes políticas para todas as contas de usuário da equipe do SecOps e seus dispositivos:
- Sempre use MFA para entradas
- Bloquear clientes que não suportam autenticação moderna
- Requer PCs e dispositivos móveis compatíveis
- Os utilizadores de alto risco têm de alterar a palavra-passe (apenas para o Microsoft 365 E5)
- Exigir adesão às políticas de conformidade de dispositivos do Intune
Essas recomendações estão alinhadas com o nível de proteção de segurança especializada nas políticas de identidade e acesso a dispositivos Zero Trust da Microsoft. O diagrama a seguir ilustra os três níveis de proteção recomendados: Ponto de partida, Empresa e Especializado. O nível de proteção Enterprise é recomendado como mínimo para suas contas privilegiadas.
No diagrama, as políticas recomendadas para o Acesso Condicional do Microsoft Entra, a conformidade de dispositivos do Intune e a proteção de aplicativos do Intune são ilustradas para cada um dos três níveis:
- Ponto de partida, que não requer gerenciamento de dispositivos.
- Enterprise é recomendado para Zero Trust e, no mínimo, para acesso ao Security Copilot e seus produtos de segurança de terceiros e dados relacionados.
- A segurança especializada é recomendada para o acesso ao Security Copilot e aos seus produtos de segurança de terceiros e dados relacionados.
Cada uma dessas políticas é descrita com mais detalhes em Common Zero Trust identidade e políticas de acesso a dispositivos para organizações do Microsoft 365.
Configurar um conjunto separado de políticas para usuários privilegiados
Ao configurar essas políticas para seu administrador e equipe do SecOps, crie um conjunto separado de políticas para esses usuários privilegiados. Por exemplo, não adicione seus administradores ao mesmo conjunto de políticas que regem o acesso de usuários sem privilégios a aplicativos como o Microsoft 365 e o Salesforce. Use um conjunto dedicado de políticas com proteções apropriadas para contas privilegiadas.
Incluir ferramentas de segurança no âmbito das políticas de Acesso Condicional
Por enquanto, não há uma maneira fácil de configurar o Acesso Condicional para o Copiloto de Segurança. No entanto, como a autenticação em nome de é usada para acessar dados em ferramentas de segurança, certifique-se de ter configurado o Acesso Condicional para essas ferramentas, que podem incluir o Microsoft Entra ID e o Microsoft Intune.
Passo 2. Aplicar o menor privilégio a contas de usuário de administrador e SecOps
Esta etapa inclui a configuração das funções apropriadas no Security Copilot. Isso também inclui a revisão de suas contas de administrador e de usuário do SecOps para garantir que eles recebam a menor quantidade de privilégios para o trabalho que se destinam a fazer.
Atribuir contas de usuário a funções do Security Copilot
O modelo de permissões para o Security Copilot inclui funções no Microsoft Entra ID e no Security Copilot.
Produto | Funções | Description |
---|---|---|
Microsoft Entra ID | Administrador de Segurança Administrador Global |
Essas funções do Microsoft Entra herdam a função de proprietário do Copilot no Security Copilot. Use apenas essas funções privilegiadas para integrar o Security Copilot à sua organização. |
Copiloto de Segurança | Proprietário do copiloto Colaborador do copiloto |
Essas duas funções incluem acesso para usar o Security Copilot. A maioria do seu administrador e da equipe do SecOps pode usar a função de colaborador do Copilot. A função de proprietário do Copilot inclui a capacidade de publicar plug-ins personalizados e gerenciar configurações que afetam todo o Security Copilot. |
É importante saber que, por padrão, todos os usuários no locatário recebem acesso de colaborador do Copilot. Com essa configuração, o acesso aos dados da ferramenta de segurança é regido pelas permissões que você configurou para cada uma das ferramentas de segurança. Uma vantagem dessa configuração é que as experiências incorporadas do Security Copilot estão imediatamente disponíveis para seu administrador e equipe SecOps dentro dos produtos que eles usam diariamente. Isso funciona bem se você já adotou uma prática forte de acesso menos privilegiado dentro da sua organização.
Se você quiser adotar uma abordagem por etapas para apresentar o Security Copilot ao seu administrador e à equipe do SecOps enquanto ajusta o acesso menos privilegiado em sua organização, remova Todos os usuários da função de colaborador do Copilot e adicione grupos de segurança quando estiver pronto.
Para obter mais informações, consulte estes recursos do Microsoft Security Copilot:
Configurando ou revisando o acesso de privilégios mínimos para contas de usuário admin e SecOps
Apresentar o Security Copilot é um ótimo momento para analisar o acesso de suas contas de usuário de administrador e equipe do SecOps para ter certeza de que você está seguindo o princípio de menor privilégio para o acesso a produtos específicos. Isso inclui as seguintes tarefas:
- Analise os privilégios concedidos para os produtos específicos com os quais seu administrador e a equipe do SecOps trabalham. Por exemplo, para o Microsoft Entra, consulte Funções menos privilegiadas por tarefa.
- Use o Microsoft Entra Privileged Identity Management (PIM) para obter maior controle sobre o acesso ao Security Copilot.
- Use o Microsoft Purview Privileged Access Management para configurar o controle de acesso granular sobre tarefas administrativas privilegiadas no Office 365.
Usando o Microsoft Entra Privileged Identity Management junto com o Security Copilot
O Microsoft Entra Privileged Identity Management (PIM) permite gerenciar, controlar e monitorar as funções necessárias para acessar o Security Copilot. Com o PIM, pode:
- Forneça ativação de função baseada em tempo.
- Requer aprovação para ativar funções privilegiadas.
- Aplique o MFA para ativar qualquer função.
- Receba notificações quando funções privilegiadas forem ativadas.
- Realize revisões de acesso para garantir que as contas de usuário do administrador e da equipe do SecOps ainda precisem de suas funções atribuídas.
- Realize auditorias sobre alterações de acesso e função para administradores e funcionários do SecOps.
Usando o gerenciamento de acesso privilegiado em conjunto com o Security Copilot
O Microsoft Purview Privileged Access Management ajuda a proteger sua organização contra violações e ajuda a atender às práticas recomendadas de conformidade, limitando o acesso permanente a dados confidenciais ou o acesso a definições de configuração críticas. Em vez de os administradores terem acesso constante, as regras de acesso just-in-time são implementadas para tarefas que precisam de permissões elevadas. Em vez de os administradores terem acesso constante, as regras de acesso just-in-time são implementadas para tarefas que precisam de permissões elevadas. Para obter mais informações, consulte Gerenciamento de acesso privilegiado.
Passo 3. Dispositivos seguros para acesso privilegiado
Na Etapa 1, você configurou políticas de Acesso Condicional que exigiam dispositivos gerenciados e compatíveis para o administrador e a equipe do SecOps. Para segurança adicional, você pode implantar dispositivos de acesso privilegiado para sua equipe usar ao acessar ferramentas e dados de segurança, incluindo o Security Copilot. Um dispositivo de acesso privilegiado é uma estação de trabalho reforçada que tem controle de aplicativo claro e proteção de aplicativo. A estação de trabalho usa o protetor de credenciais, o protetor de dispositivo, o protetor de aplicativos e o protetor de exploração para proteger o host contra invasores.
Para obter mais informações sobre como configurar um dispositivo para acesso privilegiado, consulte Protegendo dispositivos como parte da história de acesso privilegiado.
Para exigir esses dispositivos, atualize sua política de conformidade de dispositivo do Intune. Se você estiver fazendo a transição da equipe de administração e SecOps para dispositivos protegidos, faça a transição de seus grupos de segurança da política de conformidade de dispositivo original para a nova política. A regra de Acesso Condicional pode permanecer a mesma.
Passo 4. Implante ou valide seus serviços de proteção contra ameaças
Para detetar as atividades de agentes mal-intencionados e impedi-los de obter acesso ao Security Copilot, certifique-se de que você possa detetar e responder a incidentes de segurança com um conjunto abrangente de serviços de proteção contra ameaças, que incluem o Microsoft Defender XDR com o Microsoft 365, o Microsoft Sentinel e outros serviços e produtos de segurança.
Use os seguintes recursos.
Âmbito | Descrição e recursos |
---|---|
Aplicativos Microsoft 365 e SaaS integrados ao Microsoft Entra | Consulte o artigo Zero Trust for Microsoft 365 Copilot para obter orientação sobre como aumentar a proteção contra ameaças começando com os planos do Microsoft 365 E3 e progredindo com os planos do Microsoft E5. Para planos do Microsoft 365 E5, consulte também Avaliar e testar a segurança do Microsoft Defender XDR. |
Os seus recursos de nuvem do Azure Seus recursos em outros provedores de nuvem, como a Amazon Web Services (AWS) |
Use os seguintes recursos para começar a usar o Defender for Cloud: - Microsoft Defender para Cloud - Aplique os princípios de Zero Trust a aplicativos IaaS na AWS |
O seu património digital com todas as ferramentas Microsoft XDR e Microsoft Sentinel | O guia da solução Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust apresenta o processo de configuração das ferramentas de deteção e resposta (XDR) do Microsoft eXtended juntamente com o Microsoft Sentinel para acelerar a capacidade da sua organização de responder e remediar ataques de cibersegurança. |
Passo 5. Acesso seguro a produtos e dados de segurança de terceiros
Se estiver a integrar produtos de segurança de terceiros com o Security Copilot, certifique-se de que tem acesso seguro a esses produtos e aos dados relacionados. As diretrizes do Microsoft Zero Trust incluem recomendações para proteger o acesso a aplicativos SaaS. Essas recomendações podem ser usadas para seus produtos de segurança de terceiros.
Para proteção com políticas de identidade e acesso a dispositivos, as alterações nas políticas comuns para aplicativos SaaS são descritas em vermelho no diagrama a seguir. Estas são as políticas às quais pode adicionar os seus produtos de segurança de terceiros.
Para seus produtos e aplicativos de segurança de terceiros, considere a criação de um conjunto dedicado de políticas para eles. Isso permite que você trate seus produtos de segurança com maiores requisitos em comparação com aplicativos de produtividade, como Dropbox e Salesforce. Por exemplo, adicione Tanium e todos os outros produtos de segurança de terceiros ao mesmo conjunto de políticas de Acesso Condicional. Se você quiser impor requisitos mais rígidos para dispositivos para seu administrador e equipe do SecOps, configure também políticas exclusivas para conformidade de dispositivos do Intune e proteção de aplicativos do Intune e atribua essas políticas ao seu administrador e à equipe do SecOps.
Para obter mais informações sobre como adicionar seus produtos de segurança à ID do Microsoft Entra e ao escopo do Acesso Condicional e políticas relacionadas (ou configurar um novo conjunto de políticas), consulte Adicionar aplicativos SaaS à ID do Microsoft Entra e ao escopo das políticas.
Dependendo do produto de segurança, pode ser apropriado usar o Microsoft Defender for Cloud Apps para monitorar o uso desses aplicativos e aplicar controles de sessão. Além disso, se esses aplicativos de segurança incluírem armazenamento de dados em qualquer um dos tipos de arquivo suportados pelo Microsoft Purview, você poderá usar o Defender for Cloud para monitorar e proteger esses dados usando rótulos de confidencialidade e políticas de prevenção de perda de dados (DLP). Para obter mais informações, consulte Integrar aplicativos SaaS para Zero Trust com o Microsoft 365.
Exemplo para Tanium SSO
Tanium é um fornecedor de ferramentas de gerenciamento de endpoint e oferece um plugin personalizado Tanium Skills para Security Copilot. Este plugin ajuda a fundamentar prompts e respostas que aproveitam as informações e insights coletados pelo Tanium.
Aqui está a arquitetura lógica do Security Copilot com o plugin Tanium Skills.
No diagrama:
- Tanium Skills é um plugin personalizado para o Microsoft Security Copilot.
- O Tanium Skills fornece acesso e ajuda a fundamentar prompts e respostas que usam informações e insights coletados pelo Tanium.
Para garantir o acesso aos produtos Tanium e dados relacionados:
- Use a Galeria de Aplicativos do Microsoft Entra ID para localizar e adicionar o Tanium SSO ao seu locatário. Consulte Adicionar um aplicativo empresarial. Para obter um exemplo específico do Tanium, consulte Integração do Microsoft Entra SSO com o Tanium SSO.
- Adicione o SSO do Tanium ao escopo de suas políticas de identidade e acesso Zero Trust.
Próximos passos
Assista ao vídeo Descubra o Microsoft Security Copilot.
Consulte estes artigos adicionais para Zero Trust e Copilots da Microsoft:
Consulte também a documentação do Microsoft Security Copilot.
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.