Desde el 1 de abril de 2024, podemos aprovechar Copilot for Security (GA) para ayudarnos a gestionar alertas/incidentes y, en términos más generales, garantizar la seguridad de nuestros entornos de TI.
Copilot for Security
permitirá a los equipos SOC (Centro de Operaciones de Seguridad) reaccionar más
rápidamente ante una alerta o incidente al comprender la situación en lenguaje
natural y las formas de remediarla con una respuesta guiada.
Esta publicación le
brindará una visión general de la situación y le explicará la innegable
contribución de Copilot a la seguridad.
Actualización sobre
Microsoft Security Copilot
Todos los equipos de
SOC han experimentado la difícil tarea de clasificar la gran cantidad de
información que llega, a veces desde varias consolas de administración
diferentes.
Consciente de esta
situación, Microsoft ha integrado sucesivamente sus productos de seguridad.
Con Microsoft Defender
XDR (anteriormente Microsoft Defender 365), Microsoft ha hecho posible el
seguimiento de alertas e incidentes relacionados con los productos Defender en
una única consola accesible en https://security.microsoft.com . Cabe recordar que una
XDR (Respuesta de Defensa Extendida) recopila y correlaciona automáticamente
datos de varias capas de seguridad: correo electrónico, endpoint, identidades,
aplicaciones SaaS y la nube.
Además, las alertas y
correlaciones en la nube de Microsoft Defender para la nube (CSPM – Cloud
Security Posture Management, que aumenta el nivel de seguridad aplicando las
recomendaciones sugeridas / CWP – Cloud Workload Protection, que detecta
amenazas en entornos de nube y bloquea/activa alertas e incidentes que deben
gestionar los equipos SOC) ahora se activan directamente en Microsoft Defender
XDR. Por lo tanto, los equipos SOC pueden acceder a toda la información
de seguridad de Microsoft desde una única interfaz .
Finalmente, a través
de un conector bidireccional, podemos enviar alertas e incidencias XDR a la
plataforma SIEM y SOAR de Microsoft Sentinel.
El siguiente diagrama
ilustra esto:
Fuente: Documentación de Microsoft
Experiencia
integrada y Microsoft Defender XDR/Microsoft Sentinel
Copilot for Security
se puede utilizar como una experiencia independiente y/o integrada:
- Cuando se accede a Copilot for Security a
través de un producto como Microsoft Defender XDR, se considera una
experiencia integrada.
- Al acceder a Copilot for Security a través
de https://securitycopilot.microsoft.com , se trata
de una experiencia independiente. Copilot for Security también se puede
administrar desde esta experiencia independiente.
La experiencia
integrada de Copilot for Security es, ante todo, la incorporación de IA
generativa en el procesamiento de alertas e incidentes de seguridad ,
con Microsoft Defender XDR / Microsoft Sentinel, por ejemplo.
La traducción al
lenguaje natural de una alerta o incidente permite responder a las amenazas
evaluando la exposición al riesgo más rápidamente.
Para lograrlo, Copilot
for Security proporciona acceso a los últimos LLMs (Large Language Models),
aprovechando la estrecha relación establecida entre Microsoft y OpenAI para
combinar los modelos avanzados de GPT4 con la visión de seguridad global que proporciona
Microsoft a través de los 65.000 billones de señales diarias analizadas.
En términos
concretos, lo que Copilot for Security ofrece para Microsoft XDR y Microsoft
Sentinel es:
- un resumen del incidente conciso y práctico ,
- un análisis de impacto para
evaluar el impacto potencial de los incidentes utilizando información y
priorizar las respuestas,
- Ingeniería inversa de scripts con explicaciones en lenguaje
natural,
- una respuesta guiada con
instrucciones prácticas sobre triaje, investigación, contención y
remediación a través de acciones recomendadas.
Como se muestra en la
imagen a continuación (en el resumen del incidente), un analista de seguridad
tendrá acceso a una explicación en lenguaje natural. Otras ventanas de Copilot
permitirán análisis de impacto, ingeniería inversa, etc.
Ecosistema de
Microsoft Copilot para seguridad
Microsoft Copilot
for Security no se limita a los productos de Microsoft, ni siquiera solo a
Microsoft Defender XDR o Microsoft Sentinel.
En términos más
generales, Copilot mejorará el entorno de Microsoft 365, Microsoft Entra-ID,
Microsoft Purview, Microsoft Intune, Defender EASM y Defender Threat
Intelligence.
Y aunque todavía no
existe un mercado de Copilot, los socios de seguridad de Microsoft pueden
publicar complementos de Copilot Security.
Implementación y
precios de Microsoft Copilot for Security
Copilot for Security
se vende en un modelo de capacidad aprovisionada y se factura por hora, con un
mínimo de una hora.
El precio de Copilot
for Security se basa en unidades de cómputo de seguridad (SCU).
Dentro de una
suscripción de Azure, estas SCU definen los recursos que Copilot for Security
necesita para ejecutarse. Puede aumentarlas o reducirlas en cualquier momento
en el portal de Azure o en el portal de seguridad de Copilot ( https://securitycopilot.microsoft.com ).
Sin embargo, Microsoft
recomienda utilizar el portal Copilot para crear SCU.
Debe ser propietario o
colaborador de Azure al menos en el nivel de grupo de recursos para poder crear
capacidad.
El costo de una SCU es
de $4 por hora (precios disponibles a través de la calculadora de precios de
Microsoft).
“Chatea” con
Copilot para Seguridad
Se puede consultar a
Copilot for Security mediante el mensaje.
Todo lo que tienes que
hacer es plantear tu pregunta a nuestra IA generativa.
También hay indicaciones
destacadas . Se trata de un conjunto de indicaciones predefinidas
diseñadas para ayudarte a realizar tareas comunes de seguridad con Copilot for
Security.
Por ejemplo:
- Analizar un script o comando : este mensaje identifica el
lenguaje del script, el propósito del script, los riesgos potenciales y
las acciones recomendadas.
- Generar una consulta de seguridad : este mensaje convierte su consulta
en lenguaje natural en un lenguaje de consulta, como KQL o la API de
Microsoft Graph.
- Generar un informe de seguridad : este mensaje le ayuda a generar un
informe de seguridad para una audiencia específica, como ejecutivos,
gerentes o analistas.
Por último, de forma
similar a los playbooks utilizados para llamar a una aplicación lógica y
automatizar la respuesta a incidentes, Copilot for Security proporciona promptbooks .
Estos flujos de
trabajo listos para usar se pueden utilizar como plantillas para automatizar
investigaciones y/o respuestas a incidentes.
Cada libro de sugerencias prediseñado requiere una entrada específica, como un fragmento de código, el nombre de un actor de amenazas o un identificador de alerta de Microsoft XDR o Microsoft Sentinel.
También puedes
escribir tu propio libro de sugerencias.
Microsoft Security
Copilot: conclusiones clave
Gracias a su
integración con los productos de seguridad de Microsoft, sus complementos, sus
avisos y las consultas y análisis que se pueden realizar, Copilot for Security
es un verdadero cambio de juego para los equipos SOC.
No hay comentarios.:
Publicar un comentario