要开始使用 Microsoft Copilot for Security,组织需要采取措施来加入服务和用户。这些包括:
提供副驾驶容量 设置默认环境 分配角色权限供给能力
Microsoft Copilot for Security 作为消耗性产品出售,这意味着客户需要根据按小时计费的预配容量按月付费。所配置的容量称为安全计算单元 (SCU)。 SCU 是用于在独立和嵌入式体验中运行 Copilot 的计算能力的度量单位。
在用户开始使用 Copilot 之前,管理员需要配置和分配容量。提供容量:
您必须拥有 Azure 订阅。 您必须被分配以下角色之一: 蔚蓝拥有者 Azure 贡献者配置容量有两种选项:
在 Copilot 内提供安全能力(推荐) 通过 Azure 配置容量笔记
无论您选择哪种方法,您都需要购买最少 1 个、最多 100 个 SCU。
在 Copilot 内提供安全能力。当您首次以管理员身份打开 Copilot for Security 时,向导将指导您完成为组织设置容量的步骤。该向导会提示您输入信息,包括 Azure 订阅、资源组、区域、容量名称和 SCU 数量。
通过 Azure 配置容量。 Azure 门户现在包含 Copilot for Security 作为服务。选择服务后,将打开一个页面,您可以在其中输入信息,包括 Azure 订阅、资源组、区域、容量名称和 SCU 数量。
无论您选择哪种方法来预配容量,该过程都会获取信息并在您的 Azure 订阅中为 Microsoft Copilot for Security 服务建立资源组。 SCU 是该资源组中的 Azure 资源。 Azure 资源的部署可能需要几分钟时间。
管理员完成加入 Copilot 的步骤后,他们可以通过在 Azure 门户或 Microsoft Copilot for Security 产品本身中增加或减少预配的 SCU 来管理容量。 Copilot for Security 为容量所有者提供了使用情况监控仪表板,使他们能够跟踪一段时间内的使用情况,并就容量配置做出明智的决策。
设置默认环境
要设置默认环境,您需要具有以下 Microsoft Entra ID 角色之一:
全局管理员 安全管理员在设置 Copilot for Security 期间,系统会提示您配置设置。这些包括:
SCU 容量 - 选择之前配置的 SCU 的容量。
数据存储 - 当组织加入 Copilot 时,管理员必须确认租户的地理位置,因为服务收集的客户数据存储在那里。 Microsoft Copilot for Security 在欧盟 (EUDB)、英国、美国、澳大利亚和新西兰、日本、加拿大和南美洲的 Microsoft Azure 数据中心运行。
您组织的数据 - 管理员还必须选择加入或退出数据共享选项。打开或关闭以下任一选项的切换:
允许 Microsoft 从 Copilot for Security 捕获数据,以使用人工审核来验证产品性能:启用后,将与 Microsoft 共享客户数据以改进产品。评估提示和响应,以了解是否选择了正确的插件、输出是否符合预期、如何改进响应、延迟和输出格式。
允许 Microsoft 从 Copilot for Security 捕获数据并进行人工审核,以构建和验证 Microsoft 的安全 AI 模型:启用后,将与 Microsoft 共享客户数据以改进 Copilot AI。选择加入不允许 Microsoft 使用客户数据来训练基础模型。对提示和响应进行评估以增强响应并确保它们是您所期望的并对您有用。
允许 Copilot for Security 访问 Microsoft 365 服务中的数据。如果关闭此选项,您的组织将无法使用访问 Microsoft 365 服务的插件。目前,使用 Microsoft Purview 插件需要此选项。设置和/或更改此设置需要具有全局管理员角色的用户。有关 Microsoft 如何处理您的数据的详细信息,请参阅数据安全和隐私
决定在何处评估您的提示 - 您可以将评估限制在您的地理范围内,或允许在世界任何地方进行评估。有关您所在地理位置的映射位置列表的更多信息,请参阅数据安全和隐私。
角色 - 您将被告知需要为组织中的用户分配使用 Copilot for Security 所需的角色。
角色权限
为了确保用户可以访问 Copilot 的功能,他们需要拥有适当的角色权限。
可以使用 Microsoft Entra ID 角色或 Copilot for Security 角色分配权限。作为最佳实践,请提供适用于每个用户的最小特权角色。
Microsoft Entra ID 角色包括:
全局管理员 安全管理员 保安操作员 安全读卡器尽管这些角色授予用户不同级别的 Copilot 访问权限,但这些角色的范围超出了 Copilot 范围。因此,定义了副驾驶安全角色。 Copilot 角色在 Copilot 内定义和管理,并且仅向 Copilot 授予安全功能的访问权限。
Microsoft Copilot for Security 角色包括:
副驾驶工作区所有者 副驾驶工作区贡献者 副驾驶工作区阅读器默认情况下,Copilot for Security 会将租户中的“所有用户”添加到工作区贡献者角色,作为首次运行体验或初始设置的一部分。
默认情况下,许可租户(通过消费模型购买 Copilot)中的任何用户都将被允许创建会话/提示。 如果管理员不希望向许可租户中的每个人提供运行提示的访问权限,他们可以通过从工作区贡献者角色分配中删除“所有用户”并从工作区贡献者角色分配中添加现有安全组来限制对运行提示的访问权限。安全门户的副驾驶。 使用 Copilot for Security(嵌入式或独立)的所有体验都将遵循管理员所做的更新。 任何特权操作都需要管理员/所有者权限,例如将工作区与 SCU 容量关联、所有者设置、插件设置等。 预配容量操作仍然需要通过 Azure IAM 启用的 Azure 所有者或 Azure 贡献者角色。有关为每个角色授予的权限的详细列表,请参阅本模块的摘要和资源单元中的分配角色一文。
您的角色控制您有权访问哪些活动,例如配置设置、分配权限或执行任务。 Copilot 不会超出您拥有的访问权限。此外,各个 Microsoft 插件可能有自己的角色要求来访问其代表的服务和数据。例如,已分配安全操作员角色或 Copilot 工作区贡献者角色的分析师能够访问 Copilot 门户并创建会话,但要利用 Microsoft Sentinel 插件,需要适当的角色(例如 Microsoft Sentinel Reader)来访问事件在工作区中。要访问通过 Microsoft Intune 插件提供的设备、权限和策略,该分析师将需要另一个特定于服务的角色,例如 Intune 端点安全管理员角色。
对于 Microsoft 插件,Copilot 使用 OBO(代表)模型 - 这意味着 Copilot 知道客户拥有特定产品的许可证并自动登录到这些产品。然后,在启用插件并配置参数(如果适用)时,Copilot 可以访问特定产品。
摘要和资源
Microsoft Copilot for Security 是一款基于人工智能、基于云的安全分析工具,旨在帮助组织应对日益严峻的网络安全挑战,例如日益复杂的攻击和技术人员的短缺。它使安全分析师能够以机器速度响应威胁,快速处理信号,并比传统方法更有效地评估风险暴露。 Copilot 是一个全面的解决方案,用于管理安全态势、响应事件和生成可操作的安全报告。
Copilot 提供用户友好的界面,允许通过自然语言提示进行交互。它通过插件与 Microsoft Defender XDR 和 Microsoft Sentinel 等 Microsoft 安全产品以及非 Microsoft 解决方案无缝集成,为安全分析提供统一的视图。 OpenAI 自然语言处理模型的使用增强了其理解和处理用户请求的能力,使其成为经验丰富和新手安全分析师的有效工具。
Copilot 保持高标准的数据隐私和安全性。流程日志功能进一步增加了透明度,允许用户跟踪该工具提供的信息的来源和有效性。
现在您已经完成了本模块,您应该能够:
描述 Microsoft Copilot for Security 是什么。描述 Microsoft Copilot for Security 的术语。
描述 Microsoft Copilot for Security 如何处理提示请求。
描述有效提示的要素
描述如何启用 Microsoft Copilot for Security。