So integrieren Sie Microsoft Security Agents mit Security Copilot

Microsoft Security Copilot klingt in der Theorie vielversprechend, doch die Einrichtung gestaltet sich nicht immer einfach. Lizenzprobleme oder Konfigurationsschwierigkeiten können die Erstellung eines einfachen Bedrohungsberichts schnell zu einer echten Herausforderung machen. Falls die Einrichtung eher einem Ratespiel als einer sauberen Installation gleicht, keine Sorge – hier sind einige praktische Tipps, die uns geholfen haben. Sie sollten sich mit Lizenzierung, Berechtigungen und Integrationen wie Defender und Sentinel vertraut machen, die das Rückgrat des Systems bilden.

So installieren Sie Microsoft Security Copilot

Prüfen Sie die Abonnementanforderungen und Berechtigungen.

Dieser Schritt ist wichtig, denn – ob Sie es glauben oder nicht – wenn Ihr Tenant nicht ordnungsgemäß lizenziert ist oder Ihr Konto nicht über die erforderlichen Berechtigungen verfügt, lässt sich das Ganze einfach nicht aktivieren. Bei einer Konfiguration schlug es die ersten paar Male fehl, funktionierte dann aber nach einer Tenant-Aktualisierung wie von Zauberhand – wahrscheinlich aufgrund einer Verzögerung bei der Berechtigungssynchronisierung, wer weiß. So gehen Sie vor:

  • Melden Sie sich im Microsoft 365 Admin Center an.
  • Stellen Sie sicher, dass Ihrem Mandanten die Security Copilot-Lizenz zugewiesen ist – prüfen Sie dies unter Abrechnung > Lizenzen.
  • Stellen Sie sicher, dass Ihr Konto über die Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“ verfügt. Wenn Sie sich nicht sicher sind, öffnen Sie das Azure AD-Portal (portal.azure.com), gehen Sie zu „Rollen und Administratoren“ und bestätigen Sie dies.
  • Vergewissern Sie sich, dass Ihr Mandant Entra ID (ehemals Azure AD) verwendet und dass Microsoft Defender- Pläne aktiv sind. Manchmal sind Defender-Dienste deaktiviert oder nicht korrekt zugewiesen, was Integrationen blockiert.

Tipp: Bei Lizenzproblemen oder eingeschränkten Berechtigungen kann manchmal eine schnelle Aktualisierung des Mandanten oder eine Neuzuweisung von Rollen Abhilfe schaffen. Stellen Sie aber sicher, dass in dieser Hinsicht alles in Ordnung ist, bevor Sie fortfahren.

Aktivieren Sie Security Copilot im Admin-Portal

Das ist wie das Umlegen eines Schalters, aber Windows versteckt diese Funktion manchmal hinter einigen Menüs. Gut, dass sie ganz einfach ist:

  1. Gehen Sie zu security.microsoft.com.
  2. Klicken Sie auf Einstellungen (normalerweise im Menü unten links oder oben rechts zu finden).
  3. Sie finden Security Copilot in der Liste – Sie finden es entweder unter den Haupteinstellungen oder unter Funktionen.
  4. Schalten Sie den Schalter auf „Ein“. Auf manchen Rechnern wird dies nicht sofort wirksam, daher ist möglicherweise ein Neuladen des Browsers oder eine Abmeldung erforderlich.
  5. Weisen Sie den Benutzern oder Gruppen, die diese benötigen, die entsprechenden Zugriffsrechte zu. Dies können Sie im selben Menü tun, indem Sie die gewünschten Azure AD-Benutzer oder -Gruppen auswählen. In einer Konfiguration funktionierte es nach einer schnellen Rollenaktualisierung – in einer anderen dauerte es etwas länger, bis die Berechtigungen übernommen wurden.

Installieren Sie die Schnittstellentools für Copilot

Hier scheitern viele, weil sie nicht wissen, dass eine Browsererweiterung oder ein Plugin benötigt wird, um auf alle Funktionen zugreifen zu können. So geht’s:

  1. Öffnen Sie das Microsoft 365 Apps-Portal (portal.office.com).
  2. Laden Sie die Microsoft Edge-Erweiterung für Security Copilot herunter und installieren Sie sie. Sie wird primär von Edge unterstützt, aber auch andere Browser unterstützen möglicherweise ähnliche Erweiterungen.
  3. Melden Sie sich mit Ihrem Firmenkonto an – stellen Sie sicher, dass dieses über die entsprechenden Zugriffsrechte verfügt.
  4. Prüfen Sie, ob das Copilot-Symbol im Microsoft-Sicherheitsportal angezeigt wird. Falls nicht, melden Sie sich ab und wieder an oder leeren Sie den Cache – das können Browser-Probleme sein.

Verbinden Sie Defender- und Sentinel-Signale

Dieser Teil mag seltsam erscheinen, aber wenn Copilot Ihre Signale nicht empfangen kann, fliegt er im Grunde blind. Um das zu beheben, müssen Sie auf Ihre Sicherheitsprotokolle zugreifen:

  1. Gehen Sie zum Microsoft-Sicherheitsportal.
  2. Klicken Sie auf Einstellungen (Zahnradsymbol).
  3. Wählen Sie Datenkonnektoren – ja, diese Option ist ein paar Klicks tief versteckt.
  4. Verbinden Sie Ihren Microsoft Defender XDR, Ihren Sentinel-Arbeitsbereich und die Entra-ID-Protokolle. Stellen Sie sicher, dass die Konnektoren aktiviert sind und die Protokollierung erfolgt. Manchmal bleibt eine Protokollierungswarteschlange hängen, was die KI von Copilot beeinträchtigen kann.Überprüfen Sie daher den Status und warten Sie einige Minuten, bis die Protokollierung fortgesetzt wird.
  5. Wenn alles korrekt konfiguriert ist, sollten Protokolleinträge erscheinen. Falls keine Protokolle angezeigt werden, überprüfen Sie bitte die Berechtigungen für Connector und Daten.

Anmerkung am Rande: Dieser Schritt ist bei manchen Konfigurationen etwas umständlich, aber ohne Protokolle sind die Erkenntnisse von Copilot ziemlich nutzlos – daher lohnt es sich, hier noch einmal nachzuprüfen.

Microsoft Security Copilot konfigurieren

Zugangskontrolle einrichten

Dies stellt sicher, dass nur bestimmte Administratoren oder Sicherheitsexperten Zugriff auf die Systeme haben und Automatisierungen ausführen können. Rollen wie „Globaler Administrator“ oder „Sicherheitsleser“ sind hier entscheidend. Sind die Berechtigungen zu weit gefasst, entstehen Sicherheitslücken; sind sie zu eng gefasst, ist jegliche Handlungsunfähigkeit unmöglich. Die Einrichtung ist einfach, aber unerlässlich.

  • Gehen Sie zum Entra ID Admin Center (portal.azure.com).
  • Offene Rollen und Administratoren.
  • Weisen Sie den entsprechenden Konten Rollen wie Global Administrator, Security Administrator oder Security Reader zu.
  • Fügen Sie bei Bedarf Richtlinien für bedingten Zugriff hinzu, um den Zugriff weiter einzuschränken – beispielsweise, um den Zugriff nur von bestimmten IP-Adressen oder Geräten zuzulassen. Diese Option finden Sie unter Sicherheit > Bedingter Zugriff.

Konfigurieren von Plugins für den Datenzugriff

Plugins ermöglichen den Zugriff auf Defender-, Sentinel-, Purview- und Intune-Daten. Ohne diese kann Copilot bei Ermittlungen nicht wirklich helfen:

  1. Im Microsoft-Sicherheitsportal navigieren Sie zu Copilot.
  2. Klicken Sie auf Plugin-Einstellungen.
  3. Aktivieren Sie die Plugins, die Ihre Arbeitsabläufe benötigen – wie Defender oder Sentinel.
  4. Vergessen Sie nicht, auf Speichern zu klicken ! Denn natürlich muss Windows es unnötig kompliziert machen.

Automatisierte Reaktion auf Sicherheitsvorfälle einrichten

Dies ist der automatische Teil, der es Copilot ermöglicht, Aktionen zu steuern oder sogar zu automatisieren:

  1. Öffnen Sie Microsoft Defender XDR.
  2. Automatisierung auswählen.
  3. Eine neue Automatisierungsregel erstellen.
  4. Fügen Sie Aktionen wie Geräteisolierung, Bedrohungsquarantäne oder E-Mail-Benachrichtigungen hinzu.
  5. Aktivieren Sie die KI-gestützten Vorschläge für eine schnellere Reaktion – es scheint besser zu funktionieren, wenn Sie sie einschalten.
  6. Speichern und testen Sie es. Manchmal dauert es eine Weile, bis Automatisierungsregeln aktiviert werden. Wundern Sie sich also nicht, wenn es nicht sofort funktioniert.

Telemetrie des Sicherheitsagenten konfigurieren

Da Copilot Endpunktdaten benötigt, ist es entscheidend, dass Ihre Geräte korrekt melden:

  1. Gehen Sie zum Microsoft 365 Defender-Portal.
  2. Einstellungen öffnen.
  3. Gerätekonfiguration auswählen.
  4. Aktivieren Sie die erweiterte Telemetrie. Ich bin mir nicht sicher, warum sie nicht standardmäßig aktiviert ist, aber sie ist nicht immer ohne manuelle Eingriffe aktiviert.
  5. Prüfen Sie, ob Geräteberichte eingehen – manchmal ist ein Neustart des Geräts oder eine Aktualisierung der Richtlinien erforderlich, damit neue Telemetriedaten fließen.

Wenn Sie schon mal hier sind, schauen Sie sich doch auch die allgemeinen Windows-Sicherheitseinstellungen an – nur um sicherzugehen, dass alle auf dem gleichen Stand sind.

Anpassen von Security Copilot-Szenarien

Der Szenario-Generator ist ein echter Geheimtipp für die Erstellung wiederverwendbarer Antworten. Er ist nützlich für Standardbedrohungen wie Phishing oder Zugangsdatendiebstahl:

  1. Im Security Copilot- Portal wählen Sie den Szenario-Builder aus.
  2. Erstellen Sie neue Szenarien und geben Sie ihnen einen Namen wie „Phishing-E-Mail-Untersuchung“.
  3. Fügen Sie relevante Datenquellen, Ermittlungsschritte und Reaktionsmaßnahmen hinzu.
  4. Speichern Sie diese Szenarien und weisen Sie sie Ihrem Team zu, damit Sie sie beim nächsten ähnlichen Angriff schnell einsetzen können.

Häufig gestellte Fragen

Welche Aufgaben haben Microsoft-Sicherheitsagenten in Security Copilot?

Sie sammeln Signale von Defender, Sentinel und Entra ID und speisen diese dann in die KI-Engine zur Analyse und Steuerung ein.

Muss ich Security Copilot auf jedem Endpunkt installieren?

Nein. Es handelt sich um einen Cloud-Dienst, der lediglich Lizenzen und Portalzugriff bietet. Sie müssen also nur sicherstellen, dass die Endpunkte ordnungsgemäß funktionieren und die Benutzer Zugriff haben.

Ersetzt Security Copilot Microsoft Defender?

Nicht ganz. Es ist eher ein KI-Assistent mit Turboaufladung, der mit Defender zusammenarbeitet und Einblicke und Empfehlungen liefert, aber Defender übernimmt weiterhin die eigentliche Erkennung und Reaktion.

Ist Sentinel für Security Copilot erforderlich?

Nicht ganz – Copilot kann zwar auch allein die Defender-Signale nutzen, aber die Einrichtung von Sentinel verbessert die Signalqualität, was ehrlich gesagt einen großen Unterschied macht.

Sobald alles angeschlossen und konfiguriert ist, kann Microsoft Security Copilot die Bedrohungsanalyse deutlich vereinfachen und einige Reaktionen automatisieren. Die Einrichtung erfordert zwar etwas Aufwand, aber sobald das System läuft, ist es ein echter Wendepunkt für Sicherheitsteams.

So beheben Sie Probleme mit der Tastaturgröße und übermäßigen Verzögerungen auf dem iPhone
So aktivieren Sie den neuen Vollbildmodus auf Xbox unter Windows 11