Поделиться через

Общие сведения о проверке подлинности в Microsoft Security Copilot

  • Статья

Copilot использует проверку подлинности от имени для доступа к данным, связанным с безопасностью, через активные подключаемые модули Майкрософт. Для доступа к Security Copilot платформы группе или отдельному лицу необходимо назначить определенные роли Security Copilot. После проверки подлинности на платформе Microsoft Entra и контроль доступа на основе ролей Azure (RBAC) определяют, какие подключаемые модули доступны в запросах. Роль Security Copilot управляет другими действиями, к которых у вас есть доступ на платформе, например настройкой параметров, назначением разрешений и выполнением задач.

Security Copilot роли RBAC не являются Microsoft Entra ролями. Security Copilot роли определяются и управляются в Copilot и предоставляют доступ только к Security Copilot функциям.

Microsoft Entra RBAC предоставляет доступ к портфелю продуктов Майкрософт, включая службы, содержащие данные безопасности. Управление этими ролями осуществляется через Центр администрирования Microsoft Entra. Дополнительные сведения см. в статье Назначение Microsoft Entra ролей пользователям.

Azure RBAC управляет доступом к ресурсам Azure, таким как единицы емкости безопасности (SCU) в группе ресурсов или Microsoft Sentinel рабочих областей с поддержкой. Дополнительные сведения см. в статье Назначение ролей Azure.

Доступ к платформе Security Copilot

После подключения Security Copilot для вашей организации настройте Security Copilot RBAC, чтобы определить доступ пользователей к Security Copilot платформе. Затем наслойте покрытие безопасности политиками условного доступа. Дополнительные сведения о защите доступа к Security Copilot платформе за пределами RBAC см. в статье Защита ИИ с помощью политики условного доступа.

Security Copilot роли

Security Copilot представлены две роли, которые работают как группы доступа, но не являются Microsoft Entra ID ролями. Вместо этого они управляют доступом только к возможностям платформы Security Copilot и не предоставляют доступ к данным безопасности.

  • Владелец Copilot
  • Copilot участник

роли Microsoft Entra

Следующие Microsoft Entra роли автоматически наследуют доступ владельца Copilot, гарантируя, что у Security Copilot всегда есть хотя бы один владелец. глобальный администратор — это Microsoft Entra роль, которая имеет встроенную защиту от удаления. Дополнительные сведения о непрерывности в Microsoft Entra см. в статье Управление учетными записями аварийного доступа.

  • Администратор безопасности
  • Глобальный администратор

Подготовьте доступ к Security Copilot с помощью группы рекомендуемых ролей безопасности Майкрософт, которая использует сбалансированный подход к безопасности и эффективности администрирования. Пользователи, у которых уже есть разрешение на безопасность через Microsoft Entra роли, получают доступ к Security Copilot платформе с помощью этого пакета. Перед добавлением рекомендуемых ролей безопасности в участник доступ необходимо удалить группу Все.

Снимок экрана: частичный список рекомендуемых ролей безопасности.

Список рекомендуемых ролей включает Microsoft Entra ID роли и некоторые роли, относящиеся к службе. Если подключаемому модулю Майкрософт требуется другая роль для доступа к данным безопасности, необходимо убедиться, что она также назначена. Например, пакет хорошо подходит для аналитика, которому назначена роль администратора соответствия требованиям, которая является одной из рекомендуемых ролей, так как эта Microsoft Entra роль также предоставляет им доступ к данным подключаемого модуля Microsoft Purview. Тому же аналитику требуются дополнительные назначения ролей для использования сеансов Copilot для доступа к данным безопасности, таким как Microsoft Sentinel. Дополнительные примеры см. в статье Доступ к возможностям подключаемых модулей Майкрософт.

Назначение ролей Преимущество Слабость
Рекомендуемые роли безопасности Майкрософт Быстрый и безопасный способ предоставления пользователям в организации, у которых уже есть доступ к данным безопасности, доступ к платформе. Дополнительные роли, пользователи и группы по-прежнему можно добавить. Группа — "все" или "ничего". Если в рекомендуемой группе есть роль, к которой вы не хотите иметь доступ, необходимо удалить всю группу.
Все Эта группа по умолчанию получила участник доступ для упрощения подготовки, но больше не добавляется автоматически для новых клиентов. Если пользователи с доступом к платформе не имеют доступа к данным безопасности, это сбивает с толку. Этот параметр недоступен для новых клиентов.
Custom Полный контроль над пользователями и группами с доступом к платформе. Требует большей сложности администрирования.

Доступ к возможностям подключаемых модулей Майкрософт

Security Copilot не выходит за рамки доступа, что соответствует принципу RAI безопасности и конфиденциальности Майкрософт. Каждый подключаемый модуль Майкрософт имеет собственные требования к роли, которые остаются в силе для доступа к службе подключаемого модуля и его данным. Убедитесь, что вам назначены соответствующие роли и лицензии для использования возможностей активированных подключаемых модулей Майкрософт.

Рассмотрим следующие примеры:

  1. Copilot участник

    Как аналитику вам назначена роль Copilot участник для доступа к платформе Copilot и возможности создания сеансов. Это назначение само по себе не предоставляет доступ к данным безопасности вашей организации. В соответствии с моделью с наименьшими привилегиями у вас нет конфиденциальных Microsoft Entra ролей, таких как администратор безопасности. Чтобы использовать Copilot для доступа к данным безопасности, таким как подключаемый модуль Microsoft Sentinel, вам по-прежнему требуется соответствующая роль Azure RBAC, например читатель Microsoft Sentinel. Эта роль предоставляет доступ к инцидентам в рабочей области Microsoft Sentinel из Copilot. Чтобы сеанс Copilot был доступен к устройствам, политикам и состояниям, доступным через подключаемый модуль Intune, требуется роль Intune, например Диспетчер безопасности конечных точек. Тот же шаблон относится к доступу к Microsoft Defender XDR данным через сеанс Copilot или внедренные Security Copilot интерфейсы.

    Дополнительные сведения о RBAC для конкретной службы см. в следующих статьях:

  2. группа безопасности Microsoft Entra

    Хотя роль "Администратор безопасности " наследует доступ к Copilot и определенным возможностям подключаемого модуля, эта роль включает разрешения. Не назначайте пользователям эту роль исключительно для доступа Copilot. Вместо этого создайте группу безопасности и добавьте ее в соответствующую роль Copilot (Владелец или Участник).

    Дополнительные сведения см. в разделе Рекомендации по Microsoft Entra ролям.

Доступ к внедренным интерфейсам

В дополнение к роли Copilot участник проверьте требования для каждого встроенного интерфейса Security Copilot, чтобы понять, какие дополнительные роли и лицензии требуются.

Дополнительные сведения см. в разделе Security Copilot взаимодействия.

Назначение ролей

В следующей таблице показан доступ по умолчанию, предоставляемый начальным ролям.

Примечание.

Некоторые организации могут по-прежнему иметь группу Все, назначенную Copilot участник доступа. Рассмотрите возможность замены этого широкого доступа группой рекомендуемых ролей безопасности Майкрософт .

Возможность Владелец Copilot Copilot участник
Создание сеансов Да Да
Управление личными настраиваемыми подключаемыми модулями Да Значение по умолчанию Нет
Разрешить участникам управлять личными настраиваемыми подключаемыми модулями Да Нет
Разрешить участникам публиковать пользовательские подключаемые модули для клиента Да Нет
Отправка файлов Да Да
Запуск модулей promptbook Да Да
Управление личными модулями подсказок Да Да
Общий доступ к модулям командной строки с клиентом Да Да
Обновление параметров общего доступа к данным и обратной связи Да Нет
Управление емкостью Да* Нет
Просмотр панели мониторинга использования Да Нет
Выбрать язык Да Да

Назначение доступа Security Copilot

Назначьте роли Copilot в Security Copilot параметрах.

  1. Выберите меню " Главная".
  2. Выберите Назначение ролей>Добавить участников.
  3. Начните вводить имя пользователя или группы в диалоговом окне Добавление участников .
  4. Выберите пользователя или группу.
  5. Выберите роль Security Copilot для назначения (владелец Copilot или copilot участник).
  6. Нажмите Добавить.

Снимок экрана: назначение ролей Copilot, включая рекомендуемые роли безопасности.

Совет

Мы рекомендуем использовать группы безопасности для назначения Security Copilot ролей вместо отдельных пользователей. Это снижает сложность администрирования.

Роли глобального администратора и администратора безопасности нельзя удалить из доступа владельца, но группа Все можно удалить из доступа участника. Рекомендуется добавить рекомендуемые роли после удаления группы "Все".

Microsoft Entra членство в роли можно управлять только из Центр администрирования Microsoft Entra. Дополнительные сведения см. в разделе Управление ролями пользователей Microsoft Entra.

Общие сеансы

Роль Copilot участник является единственным требованием для предоставления общего доступа к ссылке на сеанс или просмотра из этого клиента.

При совместном использовании канала сеанса учитывайте следующие последствия для доступа:

  • Security Copilot требуется доступ к службе и данным подключаемого модуля для создания ответа, но этот же доступ не оценивается при просмотре общего сеанса. Например, если у вас есть доступ к устройствам и политикам в Intune, а подключаемый модуль Intune используется для создания ответа, который вы предоставляете, получателю ссылки на общий сеанс не требуется Intune доступ для просмотра полных результатов сеанса.
  • Общий сеанс содержит все запросы и ответы, включенные в сеанс, независимо от того, был ли он предоставлен после первого запроса или последнего.
  • Только пользователь, создающий сеанс, управляет доступом к которому пользователи Copilot могут получить доступ к сеансу. Если вы получаете ссылку на общий сеанс от создателя сеанса, у вас есть доступ. Если вы пересылаете эту ссылку другому пользователю, это не предоставляет ему доступ.
  • Общие сеансы доступны только для чтения.
  • Сеансы могут предоставляться только пользователям в том же клиенте, которые имеют доступ к Copilot.
  • Некоторые регионы не поддерживают общий доступ к сеансам по электронной почте.
    • SouthAfricaNorth
    • UAENorth

Дополнительные сведения о общих сеансах см. в статье Навигация по Security Copilot.

Мультитенантные

Если в вашей организации несколько клиентов, Security Copilot может обеспечить проверку подлинности для доступа к данным безопасности, где подготовлены Security Copilot. Клиент, подготовленный для Security Copilot, не должен быть клиентом, из который входит аналитик по безопасности. Дополнительные сведения см. в статье Перемещение Security Copilot переключение клиентов.

Пример входа между клиентами

Недавно компания Contoso объединилась с Fabrikam. Оба клиента имеют аналитиков по безопасности, но только Contoso приобрел и подготовил Security Copilot. Ангус Макгрегор, аналитик из Fabrikam, хочет использовать свои учетные данные Fabrikam для использования Security Copilot. Ниже приведены шаги для этого доступа.

  1. Убедитесь, что учетная запись Fabrikam Ангуса MacGregor имеет внешнюю учетную запись участника в клиенте Contoso.

  2. Назначьте внешней учетной записи участника необходимые роли для доступа к Security Copilot и требуемым подключаемым модулям Майкрософт.

  3. Войдите на портал Security Copilot с помощью учетной записи Fabrikam.

  4. Переключение клиентов на Contoso.

    Снимок экрана: учетная запись Fabrikam переключится на клиент Contoso.

Дополнительные сведения см. в разделе Предоставление доступа MSSP.