Поделиться через

Начало работы с Microsoft Security Copilot

  • Статья

Security Copilot — это продукт для обеспечения безопасности на основе искусственного интеллекта, который позволяет специалистам по безопасности и ИТ реагировать на киберугрозы, обрабатывать сигналы и оценивать риск на скорости и масштабах ИИ. Дополнительные сведения см. в статье Что такое Security Copilot?. Узнайте, что необходимо для начала работы, например минимальные требования, приобретение единиц вычислений безопасности и настройка среды по умолчанию.

Ознакомьтесь с рекомендациями по дальнейшим действиям, которые повысят ваш путь к максимальному использованию возможностей в Security Copilot.

Дополнительные сведения о применении "Никому не доверяй" см. в статье Применение принципов "Никому не доверяй" к Microsoft Security Copilot.

Примечание.

Отказ: Эта документация предназначена только для клиентов, использующих коммерческие облака. В настоящее время Security Copilot не предназначен для использования клиентами, использующими облака государственных организаций США, включая, помимо прочего, GCC High, DoD и Microsoft Azure для государственных организаций. Для получения дополнительных сведений обратитесь к представителю Майкрософт.

Минимальные требования

Подписка

Чтобы приобрести вычислительные единицы безопасности, необходимо иметь подписку Azure. Дополнительные сведения см. в статье Создание бесплатной учетной записи Azure.

Единицы вычислений безопасности

Единицы вычислений безопасности — это необходимые единицы ресурсов, необходимые для обеспечения стабильной производительности Microsoft Security Copilot.

Security Copilot продается в модели подготовленной емкости и оплачивается по часам. Вы можете подготовить единицы вычислений безопасности (SKU), а также увеличить или уменьшить их в любое время. Выставление счетов рассчитывается на почасовых блоках, а не на 60 минут и имеет минимум один час. Любое использование в течение одного часа оплачивается как полное SCU, независимо от времени начала или окончания в течение этого часа. Например, если вы подготавливаете SCU в 9:05 утра, а затем отзываете его в 9:35, а затем подготавливаете другой SCU в 9:45 утра, с вас будет взиматься плата за две единицы в течение 9:00 до 10:00 часов. Аналогичным образом, если вы подготовите SCU в 9:45 утра, у вас будет только 15 минут, чтобы использовать его, прежде чем он больше не будет доступен, так как SKU предоставляются в почасовых блоках с 9:00 до 10:00 утра. Чтобы максимально увеличить использование, внесите изменения в подготовку SCU в начале часа. Дополнительные сведения см. в разделе Управление использованием.

Дополнительные сведения см. в разделе цены на Microsoft Security Copilot.

Емкость

Емкость в контексте Security Copilot — это ресурс Azure, содержащий SKU. SKU подготавливаются для Security Copilot. Вы можете легко управлять емкостью, увеличивая или уменьшая подготовленные SKU на портал Azure или на портале Security Copilot. Security Copilot предоставляет владельцам Copilot панель мониторинга использования, что позволяет им отслеживать использование с течением времени и принимать обоснованные решения о подготовке емкости. Дополнительные сведения см. в разделе Управление использованием.

Подключение к Security Copilot

Подключение к Security Copilot состоит из двух этапов:

Шаг 1. Подготовка емкости

Для подготовки емкости можно выбрать один из следующих вариантов:

Примечание.

Независимо от выбранного метода необходимо приобрести минимум 1 и максимум 100 SKU. Рекомендуемое количество единиц для начала основного исследования Security Copilot составляет 3 единицы.

При первом открытии Security Copilot (https://securitycopilot.microsoft.com) вы узнаете, как настроить емкость для организации.

Требуемая роль

Для создания емкости необходимо быть владельцем подписки Azure или участник.

  1. Войдите в Security Copilot (https://securitycopilot.microsoft.com).

  2. Нажмите кнопку Начать.

    Снимок экрана: начало работы.

  3. Настройка возможностей безопасности.
    Выберите подписку Azure, свяжите емкость с группой ресурсов, добавьте имя в емкость, выберите расположение оценки запроса и укажите количество единиц вычислений безопасности (SKU). Данные всегда хранятся в географическом расположении вашего домашнего клиента.

    Снимок экрана: настройка емкости безопасности.

    Примечание.

    Количество SKU подготавливается на почасовой основе, и отображается предполагаемая ежемесячная стоимость.

    Если выбранное географическое расположение слишком занято, вы также можете оценить запросы в любой точке мира. Это можно сделать, выбрав соответствующий параметр на экране создания емкости.

  4. Убедитесь, что вы подтверждаете и соглашаетесь с условиями, а затем нажмите кнопку Продолжить.

После создания емкости развертывание ресурса Azure в серверной части займет несколько минут.

Снимок экрана: настройка емкости безопасности.

Вариант 2. Подготовка емкости в Azure

Начальная настройка в этом методе начинается в портал Azure. Затем необходимо завершить настройку на портале Security Copilot.

Примечание.

Выставление счетов начинается сразу после создания емкости независимо от того, подключен ли SCU к среде.

Требуемая роль

Для создания емкости необходимо быть владельцем подписки Azure или участник.

  1. Войдите на портал Azure.

  2. Найдите Security Copilot в списке служб, а затем выберите Security Copilot.

  3. Выберите Группы ресурсов.

  4. В разделе План выберите Microsoft Security Copilot. Затем нажмите кнопку Создать.

  5. Выберите подписку и группу ресурсов, добавьте имя для емкости, выберите расположение оценки запроса и выберите количество единиц вычислений безопасности (SKU). Данные всегда хранятся в географическом расположении вашего домашнего клиента.

    Примечание.

    Количество SKU подготавливается на почасовой основе, и отображается предполагаемая ежемесячная стоимость.

    Если выбранное географическое расположение слишком занято, вы также можете оценить запросы в любой точке мира. Это можно сделать, выбрав соответствующий параметр на экране создания емкости.

  6. Убедитесь, что вы подтверждаете и ознакомились с условиями, а затем выберите Просмотр и создание.

  7. Убедитесь, что все сведения верны, а затем нажмите кнопку Создать. Отобразится страница подтверждения.

  8. Выберите Завершить настройку на портале Security Copilot.

Действие 2. Настройка среды разработки

Требуемая роль

Для выполнения этой задачи необходимо быть по крайней мере администратором безопасности.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Для связывания емкости с Security Copilot ресурс емкости должен быть владельцем Azure или участник.

  1. Свяжите емкость с Security Copilot средой, если она была создана в портал Azure.

  2. Вам будет сообщено, где будут храниться данные клиента. Нажмите Продолжить.

    Снимок экрана: место хранения данных клиента.

  3. Вы получите информацию о доступе к данным из служб Microsoft 365. Нажмите Продолжить.

  4. Выберите, нужно ли Security Copilot записывать и хранить действия администратора, действия пользователей и системные ответы. Нажмите Продолжить. Дополнительные сведения см. в статье Доступ к данным из служб Microsoft 365.

    Примечание.

    Microsoft Purview будет хранить данные клиентов в регионе, где хранятся данные Microsoft 365. Дополнительные сведения см. в разделе Конфиденциальность и безопасность данных.

  5. Выберите один из вариантов общего доступа к данным. Нажмите Продолжить. Дополнительные сведения об общем доступе к данным см. в разделе Конфиденциальность и безопасность данных.

  6. Вы получите сведения о ролях по умолчанию, которые могут получить доступ к Security Copilot. Нажмите Продолжить.

    Снимок экрана: доступ к Copilot.

  7. Отобразится страница подтверждения. Нажмите Готово.

    Изображение всех наборов Copilot

Offboarding

Чтобы отключить подключение с Security Copilot, необходимо удалить подготовленную емкость.

Примечание.

Чтобы экспортировать данные, необходимо обратиться в службу поддержки. Дополнительные сведения см. в разделе Обращение в службу поддержки.

Требуемая роль

Для выполнения этой задачи необходимо быть по крайней мере администратором безопасности.

Удаление емкости с помощью Security Copilot

Емкость можно удалить на странице параметров владельца или на странице мониторинга использования.

Предупреждение

Удаление емкости и их внутренних данных является постоянным действием, и его невозможно отменить.

Страница параметров владельца

  1. Войдите в Security Copilot (https://securitycopilot.microsoft.com).

  2. Щелкните значок главного меню.

  3. Перейдите в раздел Параметры владельца или Мониторинг использования .

  4. В разделе единиц выберите Изменить.

  5. Выберите меню переполнения (...).

  6. Выберите Удалить емкость.

  7. Убедитесь, что вы хотите удалить емкость. Это действие удаляет активную емкость для клиента.

Назначение ролей пользователям

Теперь, когда у вас есть Security Copilot и работает, решите, кто должен получить доступ Copilot. По умолчанию Все пользователи в вашем клиенте имеют базовый доступ к платформе, но только те, кто в вашей организации с дополнительными разрешениями, могут эффективно запрашивать данные безопасности. Дополнительные сведения см. в статье Назначение ролей.

Обзор Security Copilot

Security Copilot поставляется с обзором, который поможет вам упростить работу с приложением.

При первом входе в Security Copilot тур поможет вам узнать о некоторых ключевых функциях и функциях решения.

Вы ознакомилесь с такими понятиями, как панель запросов и для чего ее следует использовать, как изменять, повторно запускать или удалять запросы. Вы также узнаете, как использовать некоторые доступные элементы навигации, такие как предоставление отзывов.

Просмотрите следующее видео, чтобы узнать больше о Security Copilot:

Опробуйте автономные и внедренные возможности Security Copilot

Security Copilot можно получить через автономный портал, а также через интуитивно понятные встроенные интерфейсы. Например, некоторые возможности доступны через Microsoft Defender XDR и Microsoft Purview без запроса. Дополнительные сведения см. в разделе Security Copilot взаимодействия.

Сведения об интеграции

Security Copilot легко интегрируется с другими службами безопасности Майкрософт и сторонними службами. Пользователь с ролью администратора безопасности может легко управлять подключаемыми модулями, которые Security Copilot использует в качестве источника данных для реагирования на запросы. Дополнительные сведения см. в разделе Управление подключаемыми модулями в Security Copilot.

Ознакомьтесь с основными вариантами использования

Security Copilot — это надежное решение, которое предлагает беспрецедентные функциональные возможности и возможности, кульминацией которых является эффективное устранение таких инцидентов, как атаки программ-шантажистов.

Ниже перечислены некоторые сведения.

  • Сводка по инцидентам
  • Анализ влияния
  • Обратное проектирование сценариев
  • Реагирование по инструкции

Присоединение к программе Microsoft Security Copilot customer Connection Program (CCP)

Будьте в курсе Security Copilot, присоединившись к программе подключения клиентов Microsoft Security Copilot. Участники сообщества CCP имеют доступ к:

  • Последние технические сведения о продукте и доступ к частным предварительным версиям
  • Бесплатные еженедельные технические учебные курсы и вебинары по работе с продуктами
  • Сообщество Teams для обсуждения с Security Copilot экспертами по продуктам и инженерами

Щелкните здесь , чтобы присоединиться к сообществу.

См. также