Применение принципов нулевого доверия к Microsoft Security Copilot
Сводка. Чтобы применить принципы нулевого доверия к вашей среде для Microsoft Security Copilot, необходимо применить пять уровней защиты:
- Защита учетных записей пользователей администраторов и сотрудников SecOps с помощью политик идентификации и доступа.
- Примените минимальные привилегии к учетным записям пользователей администратора и сотрудников SecOps, включая назначение минимальных ролей учетной записи пользователя.
- Управление устройствами администраторов и сотрудников SecOps и управление ими.
- Разверните или проверьте защиту от угроз.
- Безопасный доступ к сторонним продуктам безопасности, которые интегрируются с Security Copilot.
Введение
В рамках внедрения Microsoft Security Copilot в среду корпорация Майкрософт рекомендует создать надежную основу безопасности для учетных записей и устройств сотрудников SecOps. Корпорация Майкрософт также рекомендует обеспечить настройку средств защиты от угроз. Если вы интегрируете сторонние продукты безопасности с Security Copilot, убедитесь, что вы защищены доступом к этим продуктам и связанным данным.
К счастью, руководство по надежному фундаменту безопасности существует в виде нулевого доверия. Стратегия безопасности нулевого доверия обрабатывает каждый запрос подключения и ресурса, как если бы он исходил из неконтролируемой сети и плохого субъекта. Независимо от того, где возникает запрос или какой ресурс он обращается, Zero Trust учит нас "никогда не доверять, всегда проверять".
На портале безопасности Безопасность Copilot предоставляет естественный язык, вспомогательный интерфейс copilot, который помогает поддерживать:
Специалисты по безопасности в комплексных сценариях, таких как реагирование на инциденты, охота на угрозы, сбор аналитики и управление состоянием.
ИТ-специалисты по оценке политики и настройке, устранению неполадок с доступом устройств и пользователей и мониторингу производительности.
Безопасность Copilot использует данные из журналов событий, оповещений, инцидентов и политик для подписок Майкрософт и сторонних производителей и продуктов безопасности. Если злоумышленник компрометирует учетную запись администратора или сотрудника безопасности, назначаемую ролью Безопасности Copilot, они могут использовать Безопасность Copilot и его результаты, чтобы понять, как ваша команда SecOps решает атаки. Затем злоумышленник может использовать эту информацию, чтобы отсортировать попытки реагирования на инцидент, возможно, тот, который они инициировали.
Следовательно, важно убедиться, что в вашей среде применены соответствующие меры.
Логическая архитектура
Первая линия защиты при внедрении Безопасности Copilot заключается в применении принципов нулевого доверия к учетным записям и устройствам администраторов и сотрудников SecOps. Кроме того, важно убедиться, что ваша организация применяет принцип наименьшей привилегии. Помимо ролей Copilot, назначенные роли для администраторов и сотрудников SecOps в средствах безопасности определяют, к каким данным они имеют доступ при использовании Безопасности Copilot.
Легко понять, почему эти меры важны, глядя на логическую архитектуру Безопасности Copilot, показанную здесь.
На схеме:
Участники команды SecOps могут запрашивать использование интерфейса copilot, таких как те, которые предлагаются безопасностью Copilot, Microsoft Defender XDR и Microsoft Intune.
Компоненты Безопасности Copilot включают:
Служба Security Copilot, которая управляет ответами на запросы пользователей и навыков.
Набор больших языковых моделей (LLMs) для безопасности Copilot.
Подключаемые модули для определенных продуктов. Предоставляются предварительно установленные подключаемые модули для продуктов Майкрософт. Эти подключаемые модули предварительно обрабатывают и запросы после обработки.
Данные подписки. Данные SecOps для журналов событий, оповещений, инцидентов и политик, хранящихся в подписках. Дополнительные сведения см. в этой статье Microsoft Sentinel для наиболее распространенных источников данных для продуктов безопасности.
Отправленные файлы. Вы можете отправить определенные файлы в Security Copilot и включить их в область запросов.
Каждый продукт безопасности Майкрософт с интерфейсом copilot предоставляет доступ только к набору данных, связанному с этим продуктом, таким как журналы событий, оповещения, инциденты и политики. Безопасность Copilot предоставляет доступ ко всем наборам данных, к которым у пользователя есть доступ.
Дополнительные сведения см. в статье "Начало работы с Microsoft Security Copilot".
Как работает проверка подлинности от имени с безопасностью Copilot?
Безопасность Copilot использует проверку подлинности от имени (OBO), предоставляемую OAuth 2.0. Это поток проверки подлинности, предоставляемый делегированием в OAuth. Когда пользователь SecOps выдает запрос, безопасность Copilot передает удостоверение и разрешения пользователя через цепочку запросов. Это предотвращает получение пользователем разрешений на ресурсы, для которых у них не должно быть доступа.
Дополнительные сведения о проверке подлинности OBO см. в разделе платформа удостоверений Майкрософт и OAuth2.0 On-Behalf-Of flow.
Запрос в продукте безопасности Майкрософт: внедренный пример для Microsoft Intune
При использовании одного из внедренных интерфейсов Безопасности Copilot область данных определяется контекстом используемого продукта. Например, если вы выдаете запрос в Microsoft Intune, результаты создаются только из данных и контекста, предоставляемых только Microsoft Intune.
Ниже приведена логическая архитектура при выдаче запросов из внедренного интерфейса Microsoft Intune.
На схеме:
Администраторы Intune используют интерфейс Microsoft Copilot в Intune для отправки запросов.
Компонент Security Copilot оркеструет ответы на запросы с помощью:
LLM для безопасности Copilot.
Предварительно установленный подключаемый модуль Microsoft Intune.
Данные Intune для устройств, политик и системы безопасности, хранящиеся в подписке Microsoft 365.
Интеграция с сторонними продуктами безопасности
Безопасность Copilot обеспечивает возможность размещения подключаемых модулей для сторонних продуктов. Эти сторонние подключаемые модули предоставляют доступ к связанным данным. Эти подключаемые модули и связанные с ними данные живут за пределами границы доверия безопасности Майкрософт. Следовательно, важно обеспечить безопасный доступ к этим приложениям и связанным с ними данным.
Вот логическая архитектура Безопасности Copilot со сторонними продуктами безопасности.
На схеме:
- Безопасность Copilot интегрируется с сторонними продуктами безопасности с помощью подключаемых модулей.
- Эти подключаемые модули предоставляют доступ к данным, связанным с продуктом, например журналам и оповещениям.
- Эти сторонние компоненты находятся за пределами границы доверия безопасности Майкрософт.
Применение мер безопасности к вашей среде для Безопасности Copilot
В остальной части этой статьи описаны шаги по применению принципов нулевого доверия для подготовки среды к безопасности Copilot.
Шаг | Задача | Применены принципы нулевого доверия |
---|---|---|
1 | Развертывание или проверка политик удостоверений и доступа для администраторов и сотрудников SecOps. | Прямая проверка |
2 | Применение минимальных привилегий к учетным записям администраторов и учетных записей пользователей SecOps. | Использование доступа с минимальными привилегиями |
3 | Безопасные устройства для привилегированного доступа. | Прямая проверка |
4 | Развертывание или проверка служб защиты от угроз. | Предполагайте наличие бреши в системе безопасности |
5 | Безопасный доступ к сторонним продуктам безопасности и данным. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
Существует несколько подходов к подключению администратора и сотрудников SecOps к Security Copilot при настройке защиты для вашей среды.
Подключение пользователя к Security Copilot
Как минимум, пройдите контрольный список для администраторов и сотрудников SecOps, прежде чем назначить роль для Безопасности Copilot. Это хорошо подходит для небольших команд и организаций, которые хотят начать с тестовой или пилотной группы.
Поэтапное развертывание Безопасности Copilot
Для больших сред более стандартное поэтапное развертывание хорошо работает. В этой модели вы используете группы адресов пользователей одновременно для настройки защиты и назначения ролей.
Ниже приведен пример модели.
На рисунке:
- На этапе оценки вы выбираете небольшой набор администраторов и пользователей SecOps, которые вы хотите получить доступ к Security Copilot и применить удостоверения и защиту устройств.
- На этапе пилотного проекта вы выбираете следующий набор администраторов и пользователей SecOps и применяете удостоверения и защиту доступа и устройств.
- На этапе полного развертывания вы применяете удостоверения и защиту устройств для остальных пользователей администратора и SecOps.
- В конце каждого этапа необходимо назначить соответствующую роль в Security Copilot учетным записям пользователей.
Так как различные организации могут находиться на различных этапах развертывания защиты нулевого доверия для своей среды, в каждом из следующих шагов:
- Если вы не используете какие-либо из описанных в этом шаге средств защиты, получите время для пилотного развертывания и развертывания их в администраторе и сотруднике SecOps перед назначением ролей, включая Безопасность Copilot.
- Если вы уже используете некоторые средства защиты, описанные на шаге, используйте сведения на шаге в качестве контрольного списка и убедитесь, что каждая защита была пилотирована и развернута до назначения ролей, включающих Безопасность Copilot.
Шаг 1. Развертывание или проверка политик идентификации и доступа для администраторов и сотрудников SecOps
Чтобы предотвратить использование злоумышленников безопасности Copilot для быстрого получения информации о кибератаках, первым шагом является предотвращение их получения доступа. Необходимо убедиться, что администратор и сотрудники SecOps:
- Учетные записи пользователей требуются для использования многофакторной проверки подлинности (MFA) (поэтому их доступ не может быть скомпрометирован только путем угадыванием паролей пользователей) и они необходимы для изменения паролей при обнаружении активности с высоким риском.
- Устройства должны соответствовать политикам управления Intune и соответствия устройствам.
Рекомендации по политике идентификации и доступа см. в шаге "Удостоверение и доступ" для Microsoft 365 Copilot. В соответствии с рекомендациями в этой статье убедитесь, что результирующая конфигурация применяет следующие политики для всех учетных записей пользователей сотрудников SecOps и их устройств:
- Всегда используйте MFA для входа
- Блокировать клиенты, не поддерживающие современную проверку подлинности
- Требовать совместимые компьютеры и мобильные устройства
- Пользователи с высоким уровнем риска должны изменить пароль (только для Microsoft 365 E5)
- Требование соблюдения политик соответствия устройств Intune
Эти рекомендации соответствуют специализированным уровням защиты безопасности в политиках удостоверений и доступа к устройствам Майкрософт. На следующей схеме показаны рекомендуемые три уровня защиты: начальная точка, корпоративная и специализированная. Уровень защиты Enterprise рекомендуется как минимум для привилегированных учетных записей.
На схеме приведены рекомендуемые политики условного доступа Microsoft Entra, соответствия устройств Intune и защиты приложений Intune для каждого из трех уровней:
- Начальная точка, которая не требует управления устройствами.
- Enterprise рекомендуется для нулевого доверия и как минимум для доступа к Security Copilot и сторонним продуктам безопасности и связанным данным.
- Специализированная безопасность рекомендуется для доступа к Security Copilot и сторонним продуктам безопасности и связанным данным.
Каждая из этих политик подробно описана в политиках удостоверений Common Zero Trust и устройств для организаций Microsoft 365.
Настройка отдельного набора политик для привилегированных пользователей
При настройке этих политик для администраторов и сотрудников SecOps создайте отдельный набор политик для этих привилегированных пользователей. Например, не добавляйте администраторов в тот же набор политик, которые управляют доступом непривилегированных пользователей к таким приложениям, как Microsoft 365 и Salesforce. Используйте выделенный набор политик с защитой, подходящей для привилегированных учетных записей.
Включение средств безопасности в область действия политик условного доступа
Сейчас не просто настроить условный доступ для безопасности Copilot. Однако, так как для доступа к данным в средствах безопасности используется проверка подлинности от имени, убедитесь, что для этих средств настроен условный доступ, который может включать идентификатор Microsoft Entra и Microsoft Intune.
Шаг 2. Применение минимальных привилегий к учетным записям администраторов и учетных записей пользователей SecOps
Этот шаг включает настройку соответствующих ролей в Security Copilot. Кроме того, он включает проверку учетных записей администраторов и пользователей SecOps, чтобы убедиться, что они назначены наименьшее количество привилегий для работы, которую они предназначены для выполнения.
Назначение учетных записей пользователей ролям Security Copilot
Модель разрешений для Безопасности Copilot включает роли как в идентификаторе Microsoft Entra, так и в Copilot безопасности.
Продукт | Роли | Description |
---|---|---|
Microsoft Entra ID | Администратор безопасности Глобальный администратор |
Эти роли Microsoft Entra наследуют роль владельца Copilot в Security Copilot. Используйте только эти привилегированные роли для подключения Безопасности Copilot к вашей организации. |
Безопасность Copilot | Владелец Copilot Участник Copilot |
Эти две роли включают доступ к использованию Security Copilot. Большинство администраторов и сотрудников SecOps могут использовать роль участника Copilot. Роль владельца Copilot включает возможность публиковать пользовательские подключаемые модули и управлять параметрами, влияющими на все параметры безопасности Copilot. |
Важно знать, что по умолчанию всем пользователям в клиенте предоставляется доступ к участнику Copilot. С этой конфигурацией доступ к данным средства безопасности регулируется разрешениями, настроенными для каждого из средств безопасности. Преимущество этой конфигурации заключается в том, что внедренные возможности Безопасности Copilot сразу же доступны для администраторов и сотрудников SecOps в продуктах, которые они используют ежедневно. Это хорошо работает, если вы уже приняли сильную практику наименее привилегированного доступа в вашей организации.
Если вы хотите перейти к поэтапному подходу к внедрению Безопасности Copilot для администраторов и сотрудников SecOps при настройке минимально привилегированного доступа в организации, удалите всех пользователей из роли участника Copilot и добавьте группы безопасности по мере готовности.
Дополнительные сведения см. в следующих ресурсах Microsoft Security Copilot:
Настройка или проверка доступа с минимальными привилегиями для учетных записей администраторов и пользователей SecOps
Знакомство с Безопасностью Copilot — это отличное время, чтобы просмотреть доступ к учетным записям пользователей администратора и сотрудников SecOps, чтобы убедиться, что вы используете принцип наименьших привилегий для доступа к определенным продуктам. Сюда входят следующие задачи:
- Просмотрите привилегии, предоставленные для определенных продуктов, с которыми работает администратор и сотрудник SecOps. Например, для Microsoft Entra см. сведения о наименее привилегированных ролях по задачам.
- Используйте Microsoft Entra управление привилегированными пользователями (PIM), чтобы получить более широкий контроль над доступом к Security Copilot.
- Используйте Microsoft Purview Privileged Access Management, чтобы настроить детализированный контроль доступа над задачами привилегированного администратора в Office 365.
Использование Microsoft Entra управление привилегированными пользователями вместе с Безопасностью Copilot
Microsoft Entra управление привилегированными пользователями (PIM) позволяет управлять, контролировать и отслеживать роли, необходимые для доступа к Безопасности Copilot. С помощью PIM можно:
- Укажите активацию роли, основанную на времени.
- требование утверждения для активации привилегированных ролей.
- Принудительное применение MFA для активации любой роли.
- получение уведомлений при активации привилегированных ролей.
- Проводите проверки доступа, чтобы гарантировать, что учетные записи пользователей администратора и сотрудников SecOps по-прежнему нуждаются в назначенных ролях.
- Выполняйте аудит изменений доступа и ролей для администраторов и сотрудников SecOps.
Использование управления привилегированным доступом вместе с Безопасностью Copilot
Microsoft Purview Privileged Access Management помогает защитить вашу организацию от нарушений и помочь удовлетворить рекомендации по соответствию требованиям, ограничив постоянный доступ к конфиденциальным данным или доступ к критически важным параметрам конфигурации. Вместо того, чтобы администраторы имели постоянный доступ, для задач, требующих повышенных разрешений, реализованы правила своевременного доступа. Вместо того, чтобы администраторы имели постоянный доступ, для задач, требующих повышенных разрешений, реализованы правила своевременного доступа. Дополнительные сведения см. в разделе "Управление привилегированным доступом".
Шаг 3. Безопасные устройства для привилегированного доступа
На шаге 1 вы настроили политики условного доступа, которые требовали управляемых и совместимых устройств для администраторов и сотрудников SecOps. Для обеспечения дополнительной безопасности можно развернуть привилегированные устройства доступа для сотрудников, которые будут использоваться при доступе к средствам безопасности и данным, включая Безопасность Copilot. Устройство с привилегированным доступом — это затверденная рабочая станция, которая имеет четкий контроль приложений и защиту приложений. Рабочая станция использует credential guard, device guard, app guard и эксплойт-охранник для защиты узла от злоумышленников.
Дополнительные сведения о настройке устройства для привилегированного доступа см. в статье "Защита устройств в рамках истории привилегированного доступа".
Чтобы требовать эти устройства, обязательно обновите политику соответствия устройств Intune. Если вы переходите к администраторам и сотрудникам SecOps на защищенные устройства, переведите группы безопасности из исходной политики соответствия устройств в новую политику. Правило условного доступа может оставаться неизменным.
Шаг 4. Развертывание или проверка служб защиты от угроз
Чтобы обнаружить действия плохих субъектов и сохранить их от получения доступа к Security Copilot, убедитесь, что вы можете обнаруживать и реагировать на инциденты безопасности с комплексным набором служб защиты от угроз, которые включают XDR в Microsoft Defender с Microsoft 365, Microsoft Sentinel и другие службы безопасности и продукты.
Используйте следующие ресурсы.
Область | Описание и ресурсы |
---|---|
Приложения Microsoft 365 и SaaS, интегрированные с Microsoft Entra | Сведения о том, как повысить уровень защиты от угроз, начиная с планов Microsoft 365 E3, см. в статье "Нулевое доверие для Microsoft 365 E3" и планах Microsoft E5. Для планов Microsoft 365 E5 также см. статью "Оценка и пилотная безопасность XDR в Microsoft Defender". |
Облачные ресурсы Azure Ваши ресурсы в других облачных поставщиках, таких как Amazon Web Services (AWS) |
Чтобы приступить к работе с Defender для облака, используйте следующие ресурсы: - Microsoft Defender для облака - Применение принципов нулевого доверия к приложениям IaaS в AWS |
Ваше цифровое имущество со всеми средствами Microsoft XDR и Microsoft Sentinel | В руководстве по реализации решения Microsoft Sentinel и Microsoft Defender XDR для нулевого доверия описывается процесс настройки средств обнаружения и реагирования (XDR) Microsoft Sentinel для ускорения реагирования на атаки кибербезопасности и их устранения. |
Шаг 5. Безопасный доступ к сторонним продуктам безопасности и данным
Если вы интегрируете сторонние продукты безопасности с Security Copilot, убедитесь, что у вас есть защищенный доступ к этим продуктам и связанным данным. Руководство по нулю доверия Майкрософт содержит рекомендации по защите доступа к приложениям SaaS. Эти рекомендации можно использовать для сторонних продуктов безопасности.
Для защиты с помощью политик доступа к удостоверениям и устройствам изменения общих политик для приложений SaaS описаны красным цветом на следующей схеме. Это политики, в которые можно добавить сторонние продукты безопасности.
Для сторонних продуктов и приложений безопасности рассмотрите возможность создания выделенного набора политик для этих приложений. Это позволяет обрабатывать продукты безопасности с большими требованиями по сравнению с приложениями для повышения производительности, такими как Dropbox и Salesforce. Например, добавьте Tanium и все другие сторонние продукты безопасности в тот же набор политик условного доступа. Если вы хотите применить более строгие требования к устройствам для администраторов и сотрудников SecOps, также настройте уникальные политики для соответствия устройств Intune и защиты приложений Intune и назначьте эти политики администраторам и сотрудникам SecOps.
Дополнительные сведения о добавлении продуктов безопасности в идентификатор Microsoft Entra ID и области действия политик условного доступа и связанных политик (или настройке нового набора политик) см. в разделе "Добавление приложений SaaS в идентификатор Microsoft Entra ID" и в область применения политик.
В зависимости от продукта безопасности может потребоваться использовать приложения Microsoft Defender для облака для мониторинга использования этих приложений и применения элементов управления сеансами. Кроме того, если эти приложения безопасности включают хранение данных в любом из типов файлов, поддерживаемых Microsoft Purview, можно использовать Defender для облака для мониторинга и защиты этих данных с помощью меток конфиденциальности и политик защиты от потери данных (DLP). Дополнительные сведения см. в статье Интеграции приложений SaaS для нулевого доверия с Microsoft 365.
Пример единого входа в Tanium
Tanium является поставщиком средств управления конечными точками и предлагает пользовательский подключаемый модуль Tanium Skills для Security Copilot. Этот подключаемый модуль помогает создавать запросы и ответы, использующие собранные в Tanium сведения и аналитические сведения.
Ниже приведена логическая архитектура Безопасности Copilot с подключаемым модулем Tanium Skills.
На схеме:
- Tanium Skills — это пользовательский подключаемый модуль для Microsoft Security Copilot.
- Tanium Skills предоставляет доступ к и помогает создавать запросы и ответы, использующие собранные в Tanium сведения и аналитические сведения.
Чтобы защитить доступ к продуктам Tanium и связанным данным, выполните приведенные ниже действия.
- Используйте коллекцию приложений идентификатора Microsoft Entra ID, чтобы найти и добавить единый вход Tanium в клиент. См. статью "Добавление корпоративного приложения". Пример интеграции единого входа Microsoft Entra с Tanium SSO см. в разделе "Интеграция Единого входа в Microsoft Entra" с Tanium SSO.
- Добавьте единый вход Tanium в область действия политик удостоверений и доступа нулевого доверия.
Следующие шаги
Просмотрите видео "Обнаружение Microsoft Security Copilot".
Дополнительные статьи по нулю доверия и Копилоты Майкрософт см. в следующих статьях:
Также см. документацию по Microsoft Security Copilot.
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Начало работы с Microsoft Security Copilot
- Подключение к безопасности Copilot
- Источники данных для Microsoft Sentinel
- Microsoft Entra управление привилегированными пользователями (PIM)
- Privileged Access Management (защита Windows и Microsoft Azure Active Directory с помощью управления привилегированным доступом)
- Устройства с привилегированным доступом