Opis sposobu włączania rozwiązania Microsoft Security Copilot

  • {liczbaMinut} minut

Aby rozpocząć korzystanie z rozwiązania Microsoft Security Copilot, organizacje muszą wykonać kroki w celu dołączenia usługi i użytkowników. Są to:

  1. Aprowizowanie pojemności copilot
  2. Konfigurowanie środowiska domyślnego
  3. Przypisywanie uprawnień roli

Aprowizuj pojemność

Zabezpieczenia Copilot działają na aprowizowanej pojemności i modelu nadwyżki. Aprowizowana pojemność jest rozliczana przez godzinę, podczas gdy pojemność nadwyżkowa jest rozliczana za użycie.

Możesz elastycznie aprowizować jednostki obliczeniowe zabezpieczeń (SCU), aby obsługiwać regularne obciążenia i dostosowywać je w dowolnym momencie bez długoterminowych zobowiązań. ScU to jednostka miary mocy obliczeniowej używanej do uruchamiania Copilot zarówno w autonomicznych, jak i osadzonych środowiskach.

Aby zarządzać nieoczekiwanymi skokami zapotrzebowania, możesz przydzielić kwotę nadwyżkową, aby upewnić się, że dodatkowe jednostki SCU są dostępne po początkowym wyczerpaniu aprowizacji jednostek podczas nieoczekiwanych skoków obciążenia. Jednostki nadwyżkowe są rozliczane na żądanie i można je ustawić jako nieograniczoną lub maksymalną kwotę. Takie podejście umożliwia przewidywalne rozliczanie przy jednoczesnym zapewnieniu elastyczności w obsłudze zarówno regularnego, jak i nieoczekiwanego użycia. Zobacz sekcję podsumowanie i zasoby tego modułu, aby uzyskać linki do informacji na temat zarządzania użyciem jednostek obliczeniowych zabezpieczeń i cennikiem rozwiązania Security Copilot.

Zanim użytkownicy będą mogli rozpocząć korzystanie z rozwiązania Copilot, administratorzy muszą aprowizować i przydzielać pojemność. Aby aprowizować pojemność:

  • Wymagana jest subskrypcja platformy Azure.

  • Musisz być właścicielem platformy Azure lub współautorem platformy Azure na poziomie grupy zasobów, co najmniej.

    Należy pamiętać, że globalna rola administratora firmy Microsoft Entra nie musi mieć domyślnie roli właściciela platformy Azure ani współautora platformy Azure. Przypisania ról firmy Microsoft Entra nie udzielają dostępu do zasobów platformy Azure. Jako administrator globalny firmy Microsoft Entra możesz włączyć zarządzanie dostępem dla zasobów platformy Azure za pośrednictwem witryny Azure Portal. Aby uzyskać szczegółowe informacje, zobacz Podnoszenie poziomu dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Po włączeniu zarządzania dostępem do zasobów platformy Azure możesz skonfigurować odpowiednią rolę platformy Azure.

Istnieją dwie opcje aprowizacji pojemności:

  • Aprowizowanie pojemności w ramach rozwiązania Security Copilot (zalecane) — po pierwszym otwarciu narzędzia Security Copilot jako administrator kreator przeprowadzi Cię przez kroki konfigurowania pojemności. Kreator wyświetli monit o podanie informacji, w tym subskrypcji platformy Azure, grupy zasobów, regionu, nazwy pojemności i liczby jednostek SCU.
  • Aprowizowanie pojemności za pośrednictwem platformy Azure — witryna Azure Portal obejmuje teraz zabezpieczenia Copilot jako usługę. Wybranie usługi spowoduje otwarcie strony, na której są wprowadzane informacje, w tym subskrypcja platformy Azure, grupa zasobów, region, nazwa pojemności i ilość jednostek SCU.

Uwaga

Niezależnie od wybranej metody należy zakupić co najmniej 1 i maksymalnie 100 jednostek SCU.

Niezależnie od wybranego podejścia do aprowizowania pojemności proces pobiera informacje i ustanawia grupę zasobów dla usługi Microsoft Security Copilot w ramach subskrypcji platformy Azure. Jednostki SCU to zasób platformy Azure w tej grupie zasobów. Wdrożenie zasobu platformy Azure może potrwać kilka minut.

Gdy administratorzy wykonają kroki dołączania do aplikacji Copilot, mogą zarządzać pojemnością przez zwiększenie lub zmniejszenie aprowizowania jednostek SCU w witrynie Azure Portal lub samego produktu Microsoft Security Copilot.

Funkcja Security Copilot udostępnia pulpit nawigacyjny monitorowania użycia dla właścicieli pojemności, umożliwiając im śledzenie użycia w czasie i podejmowanie świadomych decyzji dotyczących aprowizacji pojemności. Pulpit nawigacyjny monitorowania użycia zapewnia widoczność wybranego obszaru roboczego do liczby używanych jednostek, określonych wtyczek używanych podczas sesji oraz inicjatorów tych sesji. Pulpit nawigacyjny umożliwia również bezproblemowe stosowanie filtrów i eksportowanie danych użycia. Pulpit nawigacyjny zawiera maksymalnie 90 dni danych.

Zrzut ekranu przedstawiający pulpit nawigacyjny monitorowania użycia.

Konfigurowanie środowiska domyślnego

Aby skonfigurować środowisko domyślne, musisz mieć co najmniej rolę Administratora zabezpieczeń.

Podczas konfigurowania narzędzia Security Copilot zostanie wyświetlony monit o skonfigurowanie ustawień. Są to:

  • Pojemność scU — wybierz pojemność wcześniej zaaprowizowanych jednostek SCU. Każdy obszar roboczy musi mieć własną pojemność.

  • Magazyn danych — gdy organizacja dołącza do aplikacji Copilot, jedno z dostępnych ustawień określa, gdzie będą przechowywane dane klientów. Konfiguracja lokalizacji przechowywania danych ma zastosowanie na poziomie obszaru roboczego. Microsoft Security Copilot działa w centrach danych platformy Microsoft Azure w Unii Europejskiej (EUDB), Wielkiej Brytanii, Stany Zjednoczone, Australii i Nowej Zelandii, Japonii, Kanadzie i Ameryce Południowej.

  • Zdecyduj, gdzie są oceniane monity — możesz ograniczyć ocenę w obszarze geograficznym lub zezwolić na ocenę w dowolnym miejscu na świecie.

  • Rejestrowanie danych inspekcji w usłudze Microsoft Purview — w ramach początkowej konfiguracji i wymienionej w obszarze Ustawienia właściciela w środowisku autonomicznym możesz zezwolić usłudze Microsoft Purview na przetwarzanie i przechowywanie akcji administratora, akcji użytkownika i odpowiedzi copilot. Obejmuje to dane z dowolnej integracji firmy Microsoft i firmy innej niż Microsoft. Jeśli wyrazisz zgodę i korzystasz już z usługi Microsoft Purview, nie jest wymagana żadna dalsza akcja. Jeśli zdecydujesz się na korzystanie z usługi Purview, musisz postępować zgodnie z przewodnikami po usłudze Microsoft Purview, aby skonfigurować ograniczone środowisko. Ta konfiguracja ma zastosowanie do wszystkich obszarów roboczych w dzierżawie.

    Przechwytywanie ekranu przedstawiające ustawienia sposobu konfigurowania rejestrowania inspekcji.

  • Dane organizacji — administrator musi również zrezygnować z opcji udostępniania danych lub zrezygnować z tych opcji. Te opcje są częścią początkowej konfiguracji, a także wymienione w obszarze Ustawienia właściciela w środowisku autonomicznym i można je skonfigurować dla każdego obszaru roboczego. Włącz lub wyłącz przełączanie dla dowolnej z następujących opcji:

    • Zezwól firmie Microsoft na przechwytywanie danych z rozwiązania Security Copilot w celu zweryfikowania wydajności produktu przy użyciu przeglądu przez człowieka: po włączeniu dane klientów są udostępniane firmie Microsoft w celu poprawy jakości produktu. Monity i odpowiedzi są oceniane, aby zrozumieć, czy wybrano odpowiednie wtyczki, jeśli dane wyjściowe są oczekiwane, jak można poprawić odpowiedzi, opóźnienie i format danych wyjściowych.

    • Zezwól firmie Microsoft na przechwytywanie i przeglądanie danych z poziomu rozwiązania Security Copilot w celu utworzenia i zweryfikowania modelu sztucznej inteligencji zabezpieczeń firmy Microsoft: po włączeniu dane klientów są udostępniane firmie Microsoft na potrzeby ulepszania sztucznej inteligencji copilot. Wyrażenie zgody nie zezwala firmie Microsoft na używanie danych klientów do trenowania podstawowych modeli. Monity i odpowiedzi są oceniane w celu ulepszenia odpowiedzi i upewnienia się, że są one oczekiwane i przydatne dla Ciebie.

      Aby uzyskać więcej informacji na temat sposobu obsługi danych przez firmę Microsoft, zobacz Bezpieczeństwo danych i prywatność.

      Przechwytywanie ekranu przedstawiające ustawienia sposobu konfigurowania udostępniania danych w celu ulepszenia funkcji Copilot.

  • Ustawienia wtyczki — administrator zarządza wtyczkami i konfiguruje, czy zezwalać usłudze Security Copilot na dostęp do danych z usług Platformy Microsoft 365. Te ustawienia są konfigurowane dla każdego obszaru roboczego.

    • Skonfiguruj, kto może dodawać własne niestandardowe wtyczki i zarządzać nimi oraz kto może dodawać niestandardowe wtyczki i zarządzać nimi dla wszystkich użytkowników w organizacji.

    • Zarządzanie dostępnością wtyczki i ograniczaniem dostępu. Po włączeniu administratorzy decydują, które nowe i istniejące wtyczki będą dostępne dla wszystkich użytkowników w organizacji i które będą ograniczone tylko do właścicieli.

    • Zezwól usłudze Security Copilot na dostęp do danych z usług platformy Microsoft 365. Jeśli ta opcja jest wyłączona, Twoja organizacja nie będzie mogła używać wtyczek, które uzyskują dostęp do usług Platformy Microsoft 365. Obecnie ta opcja jest wymagana do korzystania z wtyczki Microsoft Purview. Ustawienie i/lub zmiana tego ustawienia wymaga użytkownika z rolą właściciela Copilot lub globalną rolą administratora firmy Microsoft Entra.

      Zrzut ekranu przedstawiający ustawienia wtyczki oraz ustawienie umożliwiające Copilotowi zabezpieczeń dostęp do danych z usług Microsoftu 365.

Uprawnienia roli

Aby zapewnić użytkownikom dostęp do funkcji aplikacji Copilot, muszą mieć odpowiednie uprawnienia do roli. Uprawnienia roli są konfigurowane dla każdego obszaru roboczego.

Uprawnienia można przypisywać przy użyciu ról identyfikatora Entra firmy Microsoft lub ról copilot zabezpieczeń. Najlepszym rozwiązaniem jest zapewnienie najmniej uprzywilejowanej roli, która ma zastosowanie dla każdego użytkownika.

Role identyfikatora Entra firmy Microsoft to:

  • administrator globalny
  • administrator zabezpieczeń
  • Operator zabezpieczeń
  • czytelnik zabezpieczeń

Mimo że te role identyfikatora entra firmy Microsoft zapewniają użytkownikom różne poziomy dostępu do aplikacji Copilot, zakres tych ról wykracza poza Copilot. Z tego powodu rozwiązanie Security Copilot wprowadza dwie role, które działają jak grupy dostępu, ale nie są rolami identyfikatora Entra firmy Microsoft. Zamiast tego kontrolują dostęp tylko do możliwości platformy Security Copilot.

Role copilot zabezpieczeń firmy Microsoft to:

  • Właściciel Copilot
  • Współautor Copilot

Role Administrator zabezpieczeń i Administrator globalny w firmie Microsoft Entra automatycznie dziedziczą dostęp właściciela Copilot.

Zrzut ekranu przedstawiający ustawienia przypisania roli.

Tylko użytkownicy, którzy mają rolę administratora globalnego, administratora zabezpieczeń lub właściciela Copilot, mogą przypisać role w aplikacji Copilot, dodając/usuwając członków z ról Właściciel i Współautor.

Grupa, którą administratorzy/właściciele mogą dołączyć do roli Współautor, to grupa Zalecanych ról zabezpieczeń firmy Microsoft. Ta grupa istnieje tylko w rozwiązaniu Security Copilot i jest pakietem istniejących ról firmy Microsoft Entra. Po dodaniu tej grupy jako członka roli Współautor wszyscy użytkownicy, którzy są członkami ról Entra ID, które są uwzględnione w zalecanej grupie ról zabezpieczeń firmy Microsoft, uzyskają dostęp do platformy Copilot. Ta opcja zapewnia szybki, bezpieczny sposób na nadanie użytkownikom w organizacji dostępu do danych zabezpieczeń używanych przez Copilot za pośrednictwem wtyczki firmy Microsoft, dostępu do platformy Copilot.

Aby uzyskać szczegółową listę uprawnień przyznanych dla każdej z tych ról, zapoznaj się z sekcją Przypisywanie ról w temacie Omówienie uwierzytelniania w programie Microsoft Security Copilot.

Wtyczki Copilot i wymagania dotyczące ról

Rola kontroluje działania, do których masz dostęp, takie jak konfigurowanie ustawień, przypisywanie uprawnień lub wykonywanie zadań. Copilot nie wykracza poza posiadany dostęp. Ponadto poszczególne wtyczki firmy Microsoft mogą mieć własne wymagania dotyczące roli w zakresie uzyskiwania dostępu do usługi i danych, które reprezentuje. Na przykład analityk, któremu przypisano rolę operatora zabezpieczeń lub rolę współautora obszaru roboczego Copilot, może uzyskać dostęp do portalu Copilot i utworzyć sesje, ale do korzystania z wtyczki Usługi Microsoft Sentinel będzie potrzebna odpowiednia rola, taka jak Czytelnik usługi Microsoft Sentinel, aby uzyskać dostęp do zdarzeń w obszarze roboczym. Aby uzyskać dostęp do urządzeń, uprawnień i zasad dostępnych za pośrednictwem wtyczki usługi Microsoft Intune, ten sam analityk będzie potrzebować innej roli specyficznej dla usługi, takiej jak rola menedżera zabezpieczeń punktu końcowego usługi Intune.

Ogólnie rzecz biorąc, wtyczki firmy Microsoft w Copilot korzystają z modelu OBO (w imieniu) — co oznacza, że Copilot wie, że klient ma licencje na określone produkty i jest automatycznie zalogowany do tych produktów. Copilot może następnie uzyskać dostęp do określonych produktów, gdy wtyczka jest włączona i, jeśli ma to zastosowanie, parametry są skonfigurowane. Niektóre wtyczki firmy Microsoft, które wymagają konfiguracji, mogą obejmować konfigurowalne parametry używane do uwierzytelniania zamiast modelu OBO.

Włączenie poszczególnych wtyczek i konfiguracji wtyczek odbywa się dla każdego obszaru roboczego.