La funcionalidad de Copilot for Security a día de hoy

La funcionalidad de Copilot for Security a día de hoy

Ramón Rautenstrauch Actualizado a

Según Directions on Microsoft la funcionalidad de Copilot for Security a día de hoy es limitada y solo es reactiva.

  • Copilot for Security puede ayudar a los administradores de Microsoft 365 a realizar tareas de seguridad más rápidamente, pero no de forma automática.
  • Copilot ayuda a resumir, generar consultas y corregir incidentes de seguridad en Microsoft Defender XDR.
  • Las licencias de Copilot for Security pueden resultar caras si el servicio se utiliza constantemente.
  • Las licencias no se incluyen con otras ofertas de Microsoft 365 o Copilot.

Copilot for Security, disponible desde el pasado mes de abril de 2024, es un conjunto de capacidades que integran datos de numerosos servicios de Microsoft 365 y Microsoft Sentinel y está disponible en su propia consola, así como en el portal de Microsoft Defender XDR.

Copilot for Security

Copilot for Security ofrece un valor potencial al aumentar la velocidad con la que los analistas experimentados pueden realizar su trabajo, al tiempo que ayuda a los nuevos analistas a aprender más rápidamente las complejidades de Microsoft Defender XDR y los incidentes de seguridad de Microsoft 365.

Copilot for Security

El precio del nuevo conjunto de capacidades es complejo y potencialmente costoso porque no está incluido en Microsoft 365 ni en ninguna otra licencia existente de Copilot, sino que utiliza un nuevo y complejo medidor por cada hora que se utiliza cada mes.

Copilot for Security

Copilot for Security y Microsoft Defender XDR

La implementación inicial de Copilot for Security anunciada en 2023 se limitaba a una interfaz basada en avisos dentro de su propio portal (securitycopilot.microsoft.com)

Desde entonces, el producto se ha ampliado para añadir más integración en Microsoft Defender XDR, donde puede ayudar a los analistas experimentados y novatos a conocer los incidentes de seguridad y reaccionar ante ellos.

Los proveedores de soluciones de seguridad gestionada de Microsoft (MSSP) pueden acceder a los portales de Microsoft Defender XDR y Copilot for Security de sus clientes para ayudarles a buscar y resolver incidentes.

Microsoft Defender XDR es un portal que incorpora datos de señales de todos los servicios de Microsoft Defender incluidos en las suites de Microsoft 365 E5. Estos servicios incluyen Microsoft Defender para Cloud Apps, Endpoint, Identity y Office 365.

Actualmente hay siete tareas con las que Copilot for Security ayuda a los administradores de Microsoft Defender XDR:

  1. Resumir incidentes de seguridad
  2. Resumir la información del dispositivo
  3. Análisis de scripts y código
  4. Analizar archivos
  5. Generar consultas en Kusto Query Language (KQL) para buscar datos registrados
  6. Proporcionar respuestas guiadas a incidentes
  7. Creación de informes de incidentes.

Todas estas características son reactivas a incidentes identificados. Copilot for Security no realiza evaluaciones proactivas o gestión de sistemas, aunque la consola de Copilot for Security puede ayudar con la gestión de clientes basada en Intune.

Copilot for Security tampoco realiza ningún tipo de notificación o resumen de incidentes no resueltos o nuevos.

Copilot for Security también está ahora integrado en Sentinel, Defender Threat Intelligence, el portal Purview, Defender External Attack Surface Management e Intune.

Prompts de Copilot for Security

Además de la integración con Microsoft Defender XDR, las organizaciones también pueden acceder directamente a Copilot for Security mediante su propia consola, que incluye integración con Intune y la mayoría de los servicios de seguridad de Microsoft (excepto Defender for Cloud). La consola de Copilot for Security se limita en gran medida a ofrecer indicaciones sobre los datos a los que puede acceder, no cuadros de mando ni análisis relacionados con incidentes de seguridad.

La consola de Copilot for Security es anterior a la integración de Microsoft Defender XDR, por lo que algunas funciones se solapan.

Copilot for Security ofrece una visita guiada para administradores y analistas que no estén familiarizados con la función, que probablemente resulte útil porque se basa principalmente en instrucciones y requerirá una curva de aprendizaje.

Para ayudar a los administradores y analistas, Copilot for Security ofrece «promptbooks«, que incluyen los prompts (consultas) relacionadas con incidentes que se necesitan con frecuencia para lo siguiente:

  • Microsoft Sentinel
  • Microsoft Defender XDR (esta función es algo redundante a la luz de la integración directa de Copilot for Security ahora disponible en Microsoft Defender XDR)
  • Perfiles de actores de amenazas
  • Análisis de secuencias de comandos sospechosas (algo redundante debido a la función similar dentro de Microsoft Defender XDR)
  • Evaluaciones de impacto de vulnerabilidades (no está claro si esto requiere el complemento de pago Microsoft Defender Vulnerability Management).

Aunque Intune es técnicamente una herramienta de gestión, no una herramienta de seguridad, desempeña un papel en la aplicación de las normas de seguridad en los dispositivos cliente, y Copilot for Security ofrece integración con Intune si ambos están en el mismo tenant de Entra ID. Esta integración puede ser útil para realizar consultas ad hoc sobre dispositivos Intune directamente desde Copilot for Security para evaluar sus atributos y datos de configuración. Estas consultas podrían incluir lo siguiente

  • ¿Qué aplicaciones se añaden a Intune?
  • ¿Qué aplicaciones de Intune son las más asignadas?
  • ¿Qué dispositivos gestionados por Intune pertenecen a un usuario específico?

No hay integración de gestión o seguridad de Azure, lo que impide que Copilot for Security se utilice con servicios en la nube o locales gestionados a través de Azure (incluido Azure Arc) o Microsoft Defender for Cloud, y Copilot for Security no interopera con dispositivos IoT en este momento.

Puntos de integración

Copilot for Security ofrece integración con numerosos servicios de Microsoft, incluidos los siguientes:

  • Defender XDR (comentado anteriormente)
  • Defender Threat Intelligence (proporciona información adicional a Copilot for Security)
  • Entra (investigación de usuarios de riesgo)
  • Intune (vista previa: evaluación de políticas y configuraciones, y solución de problemas)
  • Purview (investigación y resumen de posibles incidentes de cumplimiento).
    Copilot for Security también incluye integración basada en API con ServiceNow e integración basada en Web con Cybersecurity & Infrastructure Security Agency (CISA) y MITRE.

Facturación de Copilot for Security

Copilot for Security se factura utilizando un complejo y confuso contador de «Security Compute Unit» (SCU) de 4 dólares/hora por el tiempo de aprovisionamiento y uso del servicio cada mes. Se pueden añadir más SCU si es necesario, pero es poco probable dadas las limitadas capacidades actuales del servicio. Si el servicio se prestara y utilizara ininterrumpidamente durante todo un mes, el coste sería de 2.880 dólares.

Copilot for Security: Cobertura y capacidades (infografía)

Copilot for Security: Cobertura y capacidades (infografía)

¿Quieres saber más sobre Copilot for Security? En DQS/ te asesoramos. ¿Por qué no nos preguntas cómo podemos ayudarte?

Información basada en la publicación de Directions on Microsoft «Copilot for Security Generally Available, Value Limited» de junio de 2024.

Ramón Rautenstrauch

Conecta conmigo en LinkedIN
Apasionado ❤️ del Marketing. SEO 🧠. CMO 😍. Consultor Dynamics 365 Customer Insights (antes Dynamics 365 Marketing). Soñador 💭. Facilitador PLAYMOBILpro.
Acerca de Ramón Rautenstrauch, autor de Consultor365.com

Publicaciones Similares

¿Te ha parecido interesante? ¿Tienes dudas sobre el contenido?
Para cualquier pregunta ponte en contacto conmigo.