Descrever como habilitar o Microsoft Security Copilot

  • 5 minutos

Para começar a usar o Microsoft Security Copilot, as organizações precisam tomar medidas para integrar o serviço e os usuários. Estes são, entre outros:

  1. Identifique a sua categoria de cliente
  2. Provisionar a capacidade do Copilot (se necessário)
  3. Configurar o ambiente padrão
  4. Atribuir permissões de função

Identifique a sua categoria de cliente

A sua experiência de integração depende do estado da sua licença:

  • Clientes Microsoft 365 E5 e E7 - Security Copilot está incluída na sua licença Microsoft 365 E5 e E7. A Microsoft provisiona e integra automaticamente o Security Copilot para os inquilinos elegíveis através de ativação zero-click, pelo que não é necessária configuração Azure nem provisão manual de capacidade. Os clientes recebem uma notificação antecipada de 7 dias antes da ativação. Assim que o provisionamento estiver concluído, o Security Copilot está pronto para ser utilizado.
  • Clientes que não são do Microsoft 365 E5 e E7 - Se o Security Copilot não estiver incluído na sua licença, deve seguir os passos manuais de integração para configurar as Unidades de Computação de Segurança (SCUs) para utilizar o Security Copilot.

Capacidade de provisão

Para clientes que não utilizam Microsoft 365 E5 e E7, o Security Copilot funciona com capacidade provisionada e modelo de sobreutilização. A capacidade provisionada é cobrada por hora, enquanto a capacidade excedente é cobrada pelo uso.

Você pode provisionar de forma flexível Unidades de Computação de Segurança (SCUs) para acomodar cargas de trabalho regulares e ajustá-las a qualquer momento sem compromissos de longo prazo. Uma SCU é a unidade de medida do poder de computação usada para executar o Copilot nas experiências autônomas e incorporadas.

Para gerenciar picos de demanda inesperados, você pode alocar um valor excedente para garantir que SCUs adicionais estejam disponíveis quando as unidades provisionadas inicialmente forem esgotadas durante picos de carga de trabalho inesperados. As unidades excedentes são cobradas sob demanda e podem ser definidas como ilimitadas ou um valor máximo. Essa abordagem permite uma cobrança previsível e, ao mesmo tempo, oferece a flexibilidade para lidar com o uso regular e inesperado. Consulte a seção de resumo e recursos deste módulo para obter links para informações sobre como gerenciar o uso da unidade de computação de segurança e os preços do Security Copilot.

Antes que os usuários possam começar a usar o Copilot, os administradores precisam provisionar e alocar capacidade. Para provisionar capacidade:

  • Precisa de uma subscrição do Azure.

  • Você precisa ser um proprietário ou contribuidor do Azure, em um nível de grupo de recursos, no mínimo.

  • Tens de ser Administrador de Segurança ou ter um cargo superior no locatário onde estás a integrar o Security Copilot.

    Lembre-se de que uma função global de administrador do Microsoft Entra não tem necessariamente a função de proprietário do Azure ou de colaborador do Azure por padrão. As atribuições de função do Microsoft Entra não concedem acesso aos recursos do Azure. Como administrador global do Microsoft Entra, você pode habilitar o gerenciamento de acesso para recursos do Azure por meio do portal do Azure. Para obter detalhes, consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Depois de habilitar o gerenciamento de acesso aos recursos do Azure, você pode configurar a função apropriada do Azure.

Há duas opções para a capacidade de provisionamento:

  • Capacidade de provisão dentro do Security Copilot (recomendado) - Quando abres o Security Copilot pela primeira vez como administrador, um assistente guia-te pelos passos para configurar a capacidade, incluindo a criação de espaços de trabalho. O assistente pede-lhe informações, incluindo o nome do espaço de trabalho, a subscrição do Azure, o grupo de recursos, a região, o nome da capacidade e a quantidade de SCUs.
  • Capacidade de provisionamento por meio do Azure - O portal do Azure agora inclui o Security Copilot como um serviço. Selecionando o serviço, abre a página onde você insere informações, incluindo sua assinatura do Azure, grupo de recursos, região, nome da capacidade e a quantidade de SCUs.

Nota

Independentemente do método que escolher, precisa de comprar um mínimo de um e um máximo de 100 SCUs. O número recomendado de unidades para realizar uma exploração introdutória do Security Copilot é de três unidades com excedência definida para excedente ilimitado.

Independentemente da abordagem escolhida para provisionar capacidade, o processo usa as informações e estabelece um grupo de recursos para o serviço Microsoft Security Copilot, dentro da sua assinatura do Azure. As SCUs são um recurso do Azure dentro desse grupo de recursos. A implantação do recurso do Azure pode levar alguns minutos.

Depois que os administradores concluírem as etapas para integrar ao Copilot, eles poderão gerenciar a capacidade aumentando ou diminuindo as SCUs provisionadas no portal do Azure ou no próprio produto Microsoft Security Copilot.

O Security Copilot fornece um painel de monitoramento de uso para proprietários de capacidade, permitindo que eles acompanhem o uso ao longo do tempo e tomem decisões informadas sobre o provisionamento de capacidade. O painel de monitoramento de uso fornece visibilidade, para um espaço de trabalho selecionado, sobre o número de unidades usadas, os plug-ins específicos empregados durante as sessões e os iniciadores dessas sessões. O painel também permite que você aplique filtros e exporte dados de uso sem problemas. O painel inclui até 90 dias de dados.

Captura de tela mostrando o painel de monitoramento de uso.

Configurar o ambiente padrão

Para configurar o ambiente padrão, você precisa ter, pelo menos, uma função de Administrador de Segurança.

Durante a configuração do Security Copilot, você será solicitado a definir as configurações. Estes são, entre outros:

  • Capacidade da SCU - Selecione a capacidade das SCUs provisionadas anteriormente. Cada espaço de trabalho deve ter sua própria capacidade.

  • Armazenamento de dados - Quando uma organização integra o Copilot, uma das configurações disponíveis determina onde os dados do cliente serão armazenados. A configuração do local de armazenamento de dados aplica-se em um nível de espaço de trabalho. O Microsoft Security Copilot opera nos data centers do Microsoft Azure na União Europeia (EUDB), Reino Unido, Estados Unidos, Austrália e Nova Zelândia, Japão, Canadá e América do Sul.

  • Decida onde os seus prompts são avaliados - Pode restringir a avaliação dentro da sua região geográfica ou permitir que seja feita em qualquer lugar do mundo.

  • Registrando dados de auditoria no Microsoft Purview - Como parte da configuração inicial e listada em Configurações do proprietário na experiência autônoma, você pode optar por permitir que o Microsoft Purview processe e armazene ações administrativas, ações do usuário e respostas do Copilot. Isso inclui dados de quaisquer integrações Microsoft e não-Microsoft. Se você optar por participar e já usar o Microsoft Purview, nenhuma ação adicional será necessária. Se você optar por participar, mas ainda não estiver usando o Purview, precisará seguir os guias do Microsoft Purview para configurar uma experiência limitada. Essa configuração se aplica a todos os espaços de trabalho em um locatário.

    Captura de tela mostrando as configurações de como você pode configurar o log de auditoria.

  • Dados da sua organização - O administrador também deve aceitar ou desativar as opções de compartilhamento de dados. Essas opções fazem parte da configuração inicial e também estão listadas em Configurações do proprietário na experiência autônoma e podem ser configuradas por espaço de trabalho. Ative ou desative os interruptores para qualquer uma das seguintes opções:

    • Permitir que a Microsoft capture dados do Security Copilot para validar o desempenho do produto usando a revisão humana: quando ativados, os dados do cliente são compartilhados com a Microsoft para melhorar o produto. Prompts e respostas são avaliados para entender se os plugins certos foram selecionados, se a saída é a esperada, e como as respostas, a latência e o formato de saída podem ser melhorados.

    • Permitir que a Microsoft capture e analise dados do Security Copilot para criar e validar o modelo de IA de segurança da Microsoft: Quando ativado, os dados do cliente são compartilhados com a Microsoft para melhoria da IA do Copilot. A aceitação NÃO permite que a Microsoft use os dados do cliente para treinar modelos fundamentais. Os prompts e as respostas são avaliados para melhorar as respostas e garantir que correspondam ao esperado e sejam úteis para si.

      Para obter mais informações sobre como a Microsoft lida com seus dados, consulte Segurança e privacidade de dados.

      Captura de tela mostrando as configurações de como você pode configurar o compartilhamento de dados para ajudar a melhorar o Copilot.

  • Configurações de plug-in - O administrador gerencia plug-ins e configura se permite que o Security Copilot acesse dados de seus serviços do Microsoft 365. Essas configurações são definidas por espaço de trabalho.

    • Configure quem pode adicionar e gerenciar seus próprios plug-ins personalizados e quem pode adicionar e gerenciar plug-ins personalizados para todos na organização.

    • Gerencie a disponibilidade do plugin e restrinja o acesso. Quando ativado, os administradores decidem quais os plugins novos e existentes disponíveis para todos na sua organização e quais ficarão restritos apenas aos proprietários.

    • Permita que o Security Copilot aceda a dados dos seus serviços Microsoft 365. Se essa opção estiver desativada, sua organização não poderá usar plug-ins que acessam os serviços do Microsoft 365. Atualmente, esta opção é necessária para o uso do plug-in Microsoft Purview. Definir e/ou alterar essa configuração requer um usuário com uma função de proprietário do Copilot ou uma função de administrador global do Microsoft Entra.

      Captura de tela mostrando as configurações do plug-in e a configuração para permitir que o Security Copilot acesse dados de seus serviços do Microsoft 365.

Permissões de função

Para garantir que os usuários possam acessar os recursos do Copilot, eles precisam ter as permissões de função apropriadas. As permissões de função são configuradas por espaço de trabalho.

As permissões podem ser atribuídas usando funções Microsoft Entra ou Microsoft Purview, ou funções de Security Copilot. Como prática recomendada, forneça a função menos privilegiada aplicável a cada usuário.

O Security Copilot apresenta duas funções que funcionam como grupos de acesso, mas não são funções de ID do Microsoft Entra. Em vez disso, controlam apenas o acesso às capacidades da plataforma Security Copilot e não fornecem acesso a dados de segurança por si próprios.

As funções do Microsoft Security Copilot são:

  • Proprietário do copiloto
  • Colaborador do Copilot

Os seguintes papéis Microsoft Entra e Microsoft Purview herdam automaticamente o acesso Copilot proprietário, garantindo que Security Copilot tem sempre pelo menos dois proprietários:

funções do Microsoft Entra

  • Administrador de Faturação
  • Microsoft Entra, Administrador de Conformidade
  • Administrador Global
  • Administrador do Intune
  • Administrador de Segurança

Funções Microsoft Purview:

  • Administrador de Conformidade da Purview
  • Administrador de Governação de Dados da Purview
  • Gestão do Âmbito Organizacional

Captura de tela mostrando as configurações de atribuição de função.

Somente os usuários que têm as funções de administrador global, administrador de segurança ou proprietário do Copiloto podem fazer atribuições de função no Copilot adicionando/removendo membros das funções de Proprietário e Colaborador.

Um grupo que os administradores/proprietários podem incluir como membro da função de Colaborador é o grupo de funções de Segurança da Microsoft Recomendadas . Esse grupo existe apenas no Security Copilot e é um pacote de funções existentes do Microsoft Entra. Quando adiciona este grupo como membro da função Contribuidor, todos os utilizadores que fazem parte das funções Microsoft Entra ID que estão incluídas no grupo recomendado das funções de Segurança Microsoft têm acesso à plataforma Copilot. Esta opção fornece uma maneira rápida e segura de dar aos usuários em sua organização, que já têm acesso aos dados de segurança usados pelo Copilot por meio de um plug-in da Microsoft, acesso à plataforma Copilot.

Para obter uma lista detalhada das permissões concedidas para cada uma dessas funções, consulte a seção Atribuir funções em Compreender a autenticação no Microsoft Security Copilot.

Plugins de copiloto e requisitos de função

Sua função controla quais atividades você tem acesso, como definir configurações, atribuir permissões ou executar tarefas. O Copilot não vai além do acesso que você tem. Além disso, os plugins individuais da Microsoft podem ter os seus próprios requisitos de função para aceder ao serviço e aos dados que representam. Por exemplo, um analista ao qual tenha sido atribuída uma função de operador de segurança ou uma função de colaborador do espaço de trabalho Copilot pode acessar o portal Copilot e criar sessões, mas para utilizar o plug-in Microsoft Sentinel precisaria de uma função apropriada como o Microsoft Sentinel Reader para acessar incidentes no espaço de trabalho. Para acessar os dispositivos, privilégios e políticas disponíveis por meio do plug-in do Microsoft Intune, esse mesmo analista precisaria de outra função específica do serviço, como a função Intune Endpoint Security Manager.

De um modo geral, os plugins da Microsoft no Copilot usam o modelo OBO (em nome de) – o que significa que o Copilot sabe que um cliente tem licenças para produtos específicos e está automaticamente conectado a esses produtos. O Copilot pode então acessar os produtos específicos quando o plug-in está ativado e, quando aplicável, os parâmetros são configurados. Alguns plugins da Microsoft que requerem configuração podem incluir parâmetros configuráveis usados para autenticação em vez do modelo OBO.

A ativação de plugins individuais e a configuração de plugins é feita por espaço de trabalho.