Applicare principi zero trust a Microsoft Copilot per la sicurezza
Riepilogo: per applicare i principi Zero Trust all'ambiente per Microsoft Copilot for Security, è necessario applicare cinque livelli di protezione:
- Proteggere gli account utente amministratore e secOps con criteri di identità e accesso.
- Applicare l'accesso con privilegi minimi agli account utente amministratore e del personale SecOps, inclusa l'assegnazione dei ruoli minimi dell'account utente.
- Gestire e proteggere i dispositivi del personale secops e amministratore.
- Distribuire o convalidare la protezione dalle minacce.
- Proteggere l'accesso ai prodotti di sicurezza di terze parti integrati con Copilot for Security.
Introduzione
Nell'ambito dell'introduzione di Microsoft Copilot for Security nell'ambiente in uso, Microsoft consiglia di creare una solida base di sicurezza per gli account utente e i dispositivi del personale di SecOps e dell'amministratore. Microsoft consiglia anche di assicurarsi di aver configurato gli strumenti di protezione dalle minacce. Se si integrano prodotti di sicurezza di terze parti con Copilot for Security, assicurarsi anche di aver protetto l'accesso a questi prodotti e ai dati correlati.
Fortunatamente, le linee guida per una solida base di sicurezza esistono sotto forma di Zero Trust. La strategia di sicurezza Zero Trust considera ogni connessione e richiesta di risorsa come se provenise da una rete non controllata e da un attore non valido. Indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede, Zero Trust ci insegna a "non fidarsi mai, sempre verificare".
All'interno dei portali di sicurezza, Copilot for Security offre un linguaggio naturale, un'esperienza di copilot assistive che consente di supportare:
Professionisti della sicurezza in scenari end-to-end, ad esempio risposta agli eventi imprevisti, ricerca di minacce, raccolta di informazioni e gestione del comportamento.
Professionisti IT nella valutazione e configurazione dei criteri, nella risoluzione dei problemi di accesso ai dispositivi e degli utenti e nel monitoraggio delle prestazioni.
Copilot per la sicurezza usa i dati dei registri eventi, degli avvisi, degli eventi imprevisti e dei criteri per le sottoscrizioni e i prodotti di sicurezza Microsoft e di terze parti. Se un utente malintenzionato compromette un account utente amministratore o del personale di sicurezza a cui è stato assegnato un ruolo copilota per la sicurezza, può usare Copilot per la sicurezza e i risultati per comprendere in che modo il team SecOps sta affrontando gli attacchi in corso. Un utente malintenzionato può quindi usare queste informazioni per contrastare i tentativi di rispondere a un evento imprevisto, possibilmente uno avviato.
Di conseguenza, è fondamentale assicurarsi di aver applicato mitigazioni appropriate all'interno dell'ambiente.
Architettura logica
La prima linea di difesa quando si introduce Copilot for Security consiste nell'applicare i principi di Zero Trust agli account e ai dispositivi del personale amministratore e SecOps. È anche importante assicurarsi che l'organizzazione applichi il principio dei privilegi minimi. Oltre ai ruoli specifici di Copilot, i ruoli assegnati per il personale amministratore e SecOps all'interno degli strumenti di sicurezza determinano i dati a cui hanno accesso durante l'uso di Copilot per la sicurezza.
È facile comprendere perché queste mitigazioni sono importanti esaminando l'architettura logica di Copilot per la sicurezza illustrata di seguito.
Nel diagramma:
I membri del team SecOps possono richiedere l'uso di un'esperienza copilota, ad esempio quelle offerte da Copilot per la sicurezza, Microsoft Defender XDR e Microsoft Intune.
I componenti di Copilot per la sicurezza includono:
Il servizio Copilot per la sicurezza, che orchestra le risposte alle richieste basate sulle competenze e sugli utenti.
Set di modelli di linguaggio di grandi dimensioni per Copilot per la sicurezza.
Plug-in per prodotti specifici. Sono disponibili plug-in preinstallati per i prodotti Microsoft. Questi plug-in pre-elaborano e post-elaborazione richieste.
Dati della sottoscrizione. Dati SecOps per registri eventi, avvisi, eventi imprevisti e criteri archiviati nelle sottoscrizioni. Per altre informazioni, vedere questo articolo di Microsoft Sentinel per le origini dati più comuni per i prodotti per la sicurezza.
File caricati. È possibile caricare file specifici in Copilot per la sicurezza e includerli nell'ambito delle richieste.
Ogni prodotto di sicurezza Microsoft con un'esperienza copilot fornisce solo l'accesso al set di dati associato a tale prodotto, ad esempio registri eventi, avvisi, eventi imprevisti e criteri. Copilot for Security fornisce l'accesso a tutti i set di dati a cui l'utente ha accesso.
Per altre informazioni, vedere Introduzione a Microsoft Copilot for Security.
Come funziona l'autenticazione on-behalf-of con Copilot for Security?
Copilot for Security usa l'autenticazione OBO fornita da OAuth 2.0. Si tratta di un flusso di autenticazione fornito dalla delega in OAuth. Quando un utente SecOps invia una richiesta, Copilot for Security passa l'identità e le autorizzazioni dell'utente attraverso la catena di richieste. Ciò impedisce all'utente di ottenere l'autorizzazione per le risorse per le quali non deve avere accesso.
Per altre informazioni sull'autenticazione OBO, vedere Flusso On-Behalf-Of di Microsoft Identity Platform e OAuth2.0.
Richiesta all'interno di un prodotto di sicurezza Microsoft: esempio incorporato per Microsoft Intune
Quando si usa una delle esperienze incorporate di Copilot for Security, l'ambito dei dati è determinato dal contesto del prodotto in uso. Ad esempio, se si invia una richiesta all'interno di Microsoft Intune, i risultati vengono generati solo dai dati e dal contesto forniti da Microsoft Intune.
Ecco l'architettura logica quando si emettono richieste dall'esperienza incorporata di Microsoft Intune.
Nel diagramma:
Gli amministratori di Intune usano l'esperienza Microsoft Copilot in Intune per inviare richieste.
Il componente Copilot for Security orchestra le risposte alle richieste usando:
LLMs per Copilot per la sicurezza.
Plug-in preinstallato di Microsoft Intune.
I dati di Intune per dispositivi, criteri e comportamento di sicurezza archiviati nella sottoscrizione di Microsoft 365.
Integrazione con prodotti di sicurezza di terze parti
Copilot for Security offre la possibilità di ospitare plug-in per prodotti di terze parti. Questi plug-in di terze parti forniscono l'accesso ai dati associati. Questi plug-in e i relativi dati associati risiedono al di fuori del limite di attendibilità della sicurezza Microsoft. Di conseguenza, è importante assicurarsi di avere protetto l'accesso a queste applicazioni e ai relativi dati associati.
Ecco l'architettura logica di Copilot for Security con prodotti di sicurezza di terze parti.
Nel diagramma:
- Copilot for Security si integra con prodotti di sicurezza di terze parti tramite plug-in.
- Questi plug-in forniscono l'accesso ai dati associati al prodotto, ad esempio log e avvisi.
- Questi componenti di terze parti si trovano all'esterno del limite di attendibilità della sicurezza Microsoft.
Applicazione di mitigazioni della sicurezza all'ambiente per Copilot per la sicurezza
Il resto di questo articolo illustra i passaggi per applicare i principi di Zero Trust per preparare l'ambiente per Copilot per la sicurezza.
| Passaggio | Attività | Principi zero trust applicati |
|---|---|---|
| 1 | Distribuire o convalidare i criteri di identità e accesso per il personale amministratore e SecOps. | Verificare esplicita |
| 2 | Applicare privilegi minimi agli account utente admin e SecOps. | Usare l'accesso con privilegi minimi |
| 3 | Proteggere i dispositivi per l'accesso con privilegi. | Verificare esplicita |
| 4 | Distribuire o convalidare i servizi di protezione dalle minacce. | Presunzione di violazione |
| 5 | Proteggere l'accesso a prodotti e dati di sicurezza di terze parti. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
Esistono diversi approcci che è possibile adottare per l'onboarding dell'amministratore e del personale SecOps in Copilot for Security mentre si configurano le protezioni per l'ambiente.
Onboarding per utente in Copilot for Security
Esaminare almeno un elenco di controllo per il personale amministratore e SecOps prima di assegnare un ruolo per Copilot per la sicurezza. Questo funziona bene per i team e le organizzazioni di piccole dimensioni che vogliono iniziare con un gruppo di test o pilota.
Distribuzione in più fasi di Copilot per la sicurezza
Per ambienti di grandi dimensioni, una distribuzione in più fasi standard funziona correttamente. In questo modello si indirizzano contemporaneamente gruppi di utenti per configurare la protezione e assegnare ruoli.
Ecco un modello di esempio.
Nell'illustrazione:
- Nella fase Valuta selezionare un piccolo set di utenti amministratori e SecOps a cui si vuole accedere a Copilot per la sicurezza e applicare identità e accesso e protezioni dei dispositivi.
- Nella fase pilota selezionare il set successivo di utenti admin e SecOps e applicare identità e accesso e protezioni dei dispositivi.
- Nella fase di distribuzione completa si applicano le protezioni di identità e accesso e dispositivo per il resto degli utenti amministratore e SecOps.
- Alla fine di ogni fase si assegna il ruolo appropriato in Copilot for Security agli account utente.
Poiché le diverse organizzazioni possono essere in varie fasi della distribuzione di protezioni Zero Trust per il proprio ambiente, in ognuno di questi passaggi:
- Se non si usa una delle protezioni descritte nel passaggio, dedicare il tempo necessario alla distribuzione pilota e alla distribuzione nel personale amministratore e SecOps prima di assegnare ruoli che includono Copilot for Security.
- Se si usano già alcune delle protezioni descritte nel passaggio, usare le informazioni nel passaggio come elenco di controllo e verificare che ogni protezione dichiarata sia stata pilotata e distribuita prima di assegnare ruoli che includono Copilot for Security.
Passaggio 1: Distribuire o convalidare i criteri di identità e accesso per il personale amministratore e SecOps
Per impedire agli attori malintenzionati di usare Copilot for Security per ottenere rapidamente informazioni sui attacchi informatici, il primo passaggio consiste nel impedire loro di ottenere l'accesso. È necessario assicurarsi che il personale amministratore e SecOps:
- Gli account utente devono usare l'autenticazione a più fattori (MFA) (in modo che l'accesso non possa essere compromesso indovinando solo le password utente) e devono modificare le password quando viene rilevata un'attività ad alto rischio.
- I dispositivi devono essere conformi ai criteri di gestione e conformità dei dispositivi di Intune.
Per le raccomandazioni sui criteri di identità e accesso, vedere il passaggio Identità e accesso in Zero Trust per Microsoft Copilot per Microsoft 365. In base alle raccomandazioni riportate in questo articolo, assicurarsi che la configurazione risultante applichi i criteri seguenti per tutti gli account utente del personale SecOps e i relativi dispositivi:
- Usare sempre MFA per gli accessi
- Bloccare i client che non supportano l'autenticazione moderna
- Richiedere PC e dispositivi mobili conformi
- Gli utenti ad alto rischio devono modificare la password (solo per Microsoft 365 E5)
- Richiedere l'adesione ai criteri di conformità dei dispositivi di Intune
Queste raccomandazioni sono allineate al livello di protezione della sicurezza specializzato nei criteri di identità Zero Trust e accesso ai dispositivi di Microsoft. Il diagramma seguente illustra i tre livelli di protezione consigliati: Punto di partenza, Enterprise e Specialized. Il livello di protezione aziendale è consigliato come minimo per gli account con privilegi.
Nel diagramma vengono illustrati i criteri consigliati per l'accesso condizionale Microsoft Entra, la conformità dei dispositivi di Intune e la protezione delle app di Intune per ognuno dei tre livelli:
- Punto di partenza, che non richiede la gestione dei dispositivi.
- Enterprise è consigliato per Zero Trust e come minimo per l'accesso a Copilot per la sicurezza e i prodotti di sicurezza di terze parti e i dati correlati.
- La sicurezza specializzata è consigliata per l'accesso a Copilot per la sicurezza e ai prodotti di sicurezza di terze parti e ai dati correlati.
Ognuno di questi criteri è descritto in modo più dettagliato in Common Zero Trust identity and device access policies for Microsoft 365 organizations (Criteri di identità Zero Trust comuni e criteri di accesso dei dispositivi per le organizzazioni di Microsoft 365).
Configurare un set separato di criteri per gli utenti con privilegi
Quando si configurano questi criteri per il personale amministratore e SecOps, creare un set separato di criteri per questi utenti con privilegi. Ad esempio, non aggiungere gli amministratori allo stesso set di criteri che regolano l'accesso degli utenti senza privilegi alle app come Microsoft 365 e Salesforce. Usare un set dedicato di criteri con protezioni appropriate per gli account con privilegi.
Includere gli strumenti di sicurezza nell'ambito dei criteri di accesso condizionale
Per il momento, non esiste un modo semplice per configurare l'accesso condizionale per Copilot per la sicurezza. Tuttavia, poiché l'autenticazione on-behalf-of viene usata per accedere ai dati all'interno degli strumenti di sicurezza, assicurarsi di aver configurato l'accesso condizionale per questi strumenti, che può includere Microsoft Entra ID e Microsoft Intune.
Passaggio 2. Applicare privilegi minimi agli account utente admin e SecOps
Questo passaggio include la configurazione dei ruoli appropriati all'interno di Copilot per la sicurezza. Include anche la revisione degli account utente amministratore e SecOps per assicurarsi che vengano assegnati il minor numero di privilegi per il lavoro che si intende eseguire.
Assegnare account utente a Copilot per i ruoli di sicurezza
Il modello di autorizzazioni per Copilot for Security include ruoli sia in Microsoft Entra ID che in Copilot for Security.
| Prodotto | Ruoli | Descrizione |
|---|---|---|
| Microsoft Entra ID | Security Amministrazione istrator Amministratore globale |
Questi ruoli di Microsoft Entra ereditano il ruolo di proprietario di Copilot in Copilot per la sicurezza. Usare questi ruoli con privilegi solo per eseguire l'onboarding di Copilot per la sicurezza nell'organizzazione. |
| Copilot per la sicurezza | Proprietario di Copilot Collaboratore di Copilot |
Questi due ruoli includono l'accesso all'uso di Copilot per la sicurezza. La maggior parte del personale amministratore e SecOps può usare il ruolo collaboratore copilot. Il ruolo di proprietario di Copilot include la possibilità di pubblicare plug-in personalizzati e di gestire le impostazioni che influiscono su tutti i Copilot per la sicurezza. |
È importante sapere che, per impostazione predefinita, a tutti gli utenti del tenant viene concesso l'accesso collaboratore di Copilot. Con questa configurazione, l'accesso ai dati degli strumenti di sicurezza è regolato dalle autorizzazioni configurate per ognuno degli strumenti di sicurezza. Un vantaggio di questa configurazione è che le esperienze incorporate di Copilot for Security sono immediatamente disponibili per il personale amministratore e SecOps all'interno dei prodotti che usano quotidianamente. Ciò funziona bene se è già stata adottata una pratica avanzata di accesso con privilegi minimi all'interno dell'organizzazione.
Se si vuole adottare un approccio a fasi per l'introduzione di Copilot for Security al personale amministratore e SecOps mentre si ottimizza l'accesso con privilegi minimi nell'organizzazione, rimuovere Tutti gli utenti dal ruolo collaboratore Copilot e aggiungere i gruppi di sicurezza quando si è pronti.
Per altre informazioni, vedere queste risorse di Microsoft Copilot per la sicurezza:
Configurazione o revisione dell'accesso con privilegi minimi per gli account utente amministratore e SecOps
L'introduzione di Copilot for Security è un ottimo momento per esaminare l'accesso degli account utente del personale amministratore e SecOps per assicurarsi di seguire con il principio dei privilegi minimi per l'accesso a prodotti specifici. Sono incluse le attività seguenti:
- Esaminare i privilegi concessi per i prodotti specifici con cui il personale amministratore e SecOps collaborano. Ad esempio, per Microsoft Entra, vedere Ruoli con privilegi minimi per attività.
- Usare Microsoft Entra Privileged Identity Management (PIM) per ottenere un maggiore controllo sull'accesso a Copilot for Security.
- Usare Microsoft Purview Privileged Access Management per configurare un controllo di accesso granulare sulle attività di amministrazione con privilegi in Office 365.
Uso di Microsoft Entra Privileged Identity Management insieme a Copilot for Security
Microsoft Entra Privileged Identity Management (PIM) consente di gestire, controllare e monitorare i ruoli necessari per accedere a Copilot for Security. Con PIM è possibile:
- Fornire l'attivazione del ruolo basata sul tempo.
- Richiedere l'approvazione per attivare i ruoli con privilegi.
- Applicare l'autenticazione a più fattori per attivare qualsiasi ruolo.
- Ricevere notifiche all'attivazione dei ruoli con privilegi.
- Eseguire verifiche di accesso per garantire che gli account utente del personale di Amministratore e SecOps abbiano ancora bisogno dei ruoli assegnati.
- Eseguire controlli sulle modifiche di accesso e ruolo per il personale amministratore e SecOps.
Uso della gestione degli accessi con privilegi insieme a Copilot per la sicurezza
Microsoft Purview Privileged Access Management consente di proteggere l'organizzazione dalle violazioni e di soddisfare le procedure consigliate di conformità limitando l'accesso permanente ai dati sensibili o l'accesso alle impostazioni di configurazione critiche. Invece di consentire agli amministratori un accesso costante, vengono implementate regole di accesso just-in-time per le attività che richiedono autorizzazioni elevate. Invece di consentire agli amministratori un accesso costante, vengono implementate regole di accesso just-in-time per le attività che richiedono autorizzazioni elevate. Per altre informazioni, vedere Privileged Access Management.
Passaggio 3. Proteggere i dispositivi per l'accesso con privilegi
Nel passaggio 1 sono stati configurati criteri di accesso condizionale che richiedevano dispositivi gestiti e conformi per il personale amministratore e SecOps. Per maggiore sicurezza, è possibile distribuire dispositivi di accesso con privilegi per il personale da usare quando accedono a strumenti e dati di sicurezza, incluso Copilot for Security. Un dispositivo con accesso con privilegi è una workstation con protezione avanzata con controllo chiaro delle applicazioni e protezione delle applicazioni. La workstation usa credential guard, device guard, app guard e protezione dagli exploit per proteggere l'host da utenti malintenzionati.
Per altre informazioni su come configurare un dispositivo per l'accesso con privilegi, vedere Protezione dei dispositivi come parte della storia di accesso con privilegi.
Per richiedere questi dispositivi, assicurarsi di aggiornare i criteri di conformità dei dispositivi di Intune. Se si sta eseguendo la transizione del personale amministratore e SecOps ai dispositivi con protezione avanzata, eseguire la transizione dei gruppi di sicurezza dai criteri di conformità dei dispositivi originali ai nuovi criteri. La regola di accesso condizionale può rimanere invariata.
Passaggio 4: Distribuire o convalidare i servizi di protezione dalle minacce
Per rilevare le attività degli attori malintenzionati e impedire loro di ottenere l'accesso a Copilot for Security, assicurarsi di poter rilevare e rispondere agli eventi imprevisti di sicurezza con una suite completa di servizi di protezione dalle minacce, tra cui Microsoft Defender XDR con Microsoft 365, Microsoft Sentinel e altri servizi e prodotti di sicurezza.
Usare le risorse seguenti.
| Ambito | Descrizione e risorse |
|---|---|
| App Microsoft 365 e SaaS integrate con Microsoft Entra | Vedere l'articolo Zero Trust per Microsoft Copilot per Microsoft 365 per indicazioni su come aumentare la protezione dalle minacce a partire dai piani di Microsoft 365 E3 e sull'avanzamento con i piani di Microsoft E5. Per i piani di Microsoft 365 E5, vedere anche Valutare e pilotare la sicurezza di Microsoft Defender XDR. |
| Risorse cloud di Azure Risorse in altri provider di servizi cloud, ad esempio Amazon Web Services (AWS) |
Usare le risorse seguenti per iniziare a usare Defender per il cloud: - Microsoft Defender per il cloud - Applicare principi Zero Trust alle applicazioni IaaS in AWS |
| Digital estate con tutti gli strumenti microsoft XDR e Microsoft Sentinel | La guida alla soluzione Implementa Microsoft Sentinel e Microsoft Defender XDR for Zero Trust illustra il processo di configurazione degli strumenti di rilevamento e risposta automatica Microsoft insieme a Microsoft Sentinel per accelerare la capacità dell'organizzazione di rispondere e correggere gli attacchi alla cybersecurity. |
Passaggio 5. Proteggere l'accesso a prodotti e dati di sicurezza di terze parti
Se si integrano prodotti di sicurezza di terze parti con Copilot for Security, assicurarsi di avere protetto l'accesso a questi prodotti e ai dati correlati. Le linee guida di Microsoft Zero Trust includono raccomandazioni per proteggere l'accesso alle app SaaS. Questi consigli possono essere usati per i prodotti di sicurezza di terze parti.
Per la protezione con i criteri di accesso alle identità e ai dispositivi, le modifiche ai criteri comuni per le app SaaS sono descritte in rosso nel diagramma seguente. Questi sono i criteri a cui è possibile aggiungere i prodotti di sicurezza di terze parti.
Per i prodotti e le app di sicurezza di terze parti, è consigliabile creare un set dedicato di criteri. In questo modo è possibile gestire i prodotti di sicurezza con requisiti maggiori rispetto alle app per la produttività, ad esempio Dropbox e Salesforce. Ad esempio, aggiungere Tanium e tutti gli altri prodotti di sicurezza di terze parti allo stesso set di criteri di accesso condizionale. Se si vogliono applicare requisiti più rigorosi per i dispositivi per il personale amministratore e SecOps, configurare anche criteri univoci per la conformità dei dispositivi di Intune e la protezione delle app di Intune e assegnare questi criteri al personale amministratore e SecOps.
Per altre informazioni sull'aggiunta dei prodotti di sicurezza all'ID Microsoft Entra e all'ambito dei criteri correlati e dell'accesso condizionale (o configurazione di un nuovo set di criteri), vedere Aggiungere app SaaS all'ID Microsoft Entra e all'ambito dei criteri.
A seconda del prodotto di sicurezza, potrebbe essere opportuno usare Microsoft Defender per il cloud App per monitorare l'uso di queste app e applicare i controlli sessione. Inoltre, se queste app di sicurezza includono l'archiviazione dei dati in uno dei tipi di file supportati da Microsoft Purview, è possibile usare Defender per il cloud per monitorare e proteggere questi dati usando etichette di riservatezza e criteri di prevenzione della perdita dei dati (DLP). Per altre informazioni, vedere Integrare app SaaS per Zero Trust con Microsoft 365.
Esempio per l'accesso Single Sign-On di Tanium
Tanium è un provider di strumenti di gestione degli endpoint e offre un plug-in Tanium Skills personalizzato per Copilot for Security. Questo plug-in aiuta le richieste di base e le risposte che sfruttano informazioni e informazioni raccolte da Tanium.
Ecco l'architettura logica di Copilot for Security con il plug-in Tanium Skills.
Nel diagramma:
- Tanium Skills è un plug-in personalizzato per Microsoft Copilot for Security.
- Tanium Skills fornisce l'accesso a e aiuta a mettere a terra sia richieste che risposte che usano informazioni e informazioni raccolte tanium.
Per proteggere l'accesso ai prodotti Tanium e ai dati correlati:
- Usare Microsoft Entra ID Application Gallery per trovare e aggiungere Tanium SSO al tenant. Vedere Aggiungere un'applicazione aziendale. Per un esempio specifico di Tanium, vedere Integrazione di Microsoft Entra SSO con Tanium SSO.
- Aggiungere Tanium SSO all'ambito dei criteri di accesso e identità Zero Trust.
Passaggi successivi
Guardare il video Discover Microsoft Copilot for Security (Scopri Microsoft Copilot per la sicurezza).
Vedere questi articoli aggiuntivi per Zero Trust e Copilots di Microsoft:
Vedere anche la documentazione di Microsoft Copilot for Security.
Riferimenti
Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per