Cómo integrar Microsoft Security Agents con Security Copilot

Microsoft Security Copilot suena genial en teoría, pero ponerlo en funcionamiento no siempre es sencillo. A veces, problemas con las licencias o la configuración hacen que parezca imposible obtener un informe básico de amenazas. Si al intentar configurarlo te parece más una suposición que una instalación limpia, no te preocupes: aquí tienes algunos consejos prácticos que te ayudaron a solucionarlo. Tendrás un buen control sobre las licencias, los permisos y las integraciones como Defender y Sentinel, que son la base de todo.

Cómo instalar Microsoft Security Copilot

Consulte los requisitos y permisos de suscripción

Este paso es útil porque, aunque parezca increíble, si tu inquilino no tiene la licencia correcta o tu cuenta no tiene los permisos necesarios, el sistema simplemente no se activará. En una configuración, falló las primeras dos veces, pero luego funcionó como por arte de magia tras actualizar el inquilino; probablemente se deba a un retraso en la sincronización de permisos, quién sabe. En fin, esto es lo que debes hacer:

  • Inicie sesión en el Centro de administración de Microsoft 365.
  • Asegúrese de que su inquilino tenga asignada la licencia de Security Copilot : verifique en Facturación > Licencias.
  • Verifique que su cuenta tenga roles de administrador global o de administrador de seguridad. Si no está seguro, abra el portal de Azure AD (portal.azure.com), vaya a Roles y administradores y confirme.
  • Confirme que su inquilino usa Entra ID (que antes era Azure AD) y que los planes de Microsoft Defender están activos. En ocasiones, los servicios de Defender pueden estar desactivados o no asignados correctamente, lo que bloquea las integraciones.

Consejo: Si detecta problemas de licencias o permisos limitados, a veces una rápida actualización de inquilinos o la reasignación de roles puede facilitar el proceso. Solo asegúrese de que todo esté impecable antes de continuar.

Habilitar Security Copilot en el portal de administración

Es como pulsar un interruptor, pero Windows a veces lo oculta bajo algunos menús. Menos mal que es sencillo:

  1. Vaya a security.microsoft.com.
  2. Haga clic en Configuración (normalmente se encuentra en el menú inferior izquierdo o superior derecho).
  3. Encuentre Security Copilot en la lista; lo encontrará en la configuración principal o en Características.
  4. Activa el interruptor. En algunos equipos, esto no se activa inmediatamente, por lo que podría ser necesario actualizar el navegador o cerrar sesión.
  5. Asegúrese de asignar acceso a los usuarios o grupos que lo necesiten. Puede hacerlo en el mismo menú, seleccionando los usuarios o grupos de Azure AD adecuados. En una configuración, funcionó tras una actualización rápida del rol; en otra, los permisos tardaron un poco más en propagarse.

Instalar las herramientas de interfaz para Copilot

Aquí es donde mucha gente tropieza porque no se da cuenta de que necesita la extensión o el complemento para acceder a todo desde su navegador. Aquí te explicamos cómo:

  1. Abra el portal de Aplicaciones de Microsoft 365 (portal.office.com).
  2. Descarga e instala la extensión de Microsoft Edge para Security Copilot. Es compatible principalmente con Edge, pero otros navegadores podrían admitir extensiones similares.
  3. Inicie sesión con su cuenta corporativa: asegúrese de que tenga acceso.
  4. Comprueba que el icono de Copilot aparezca en el portal de seguridad de Microsoft. Si no es así, intenta cerrar sesión y volver a iniciarla, o borrar la caché (dependiendo de las peculiaridades del navegador, claro está).

Conecte las señales Defender y Sentinel

Esta parte se siente rara, pero si Copilot no puede ver tus señales, está prácticamente volando a ciegas. Para solucionarlo, debes acceder a tus registros de seguridad:

  1. Vaya al portal de seguridad de Microsoft.
  2. Haga clic en Configuración (icono de engranaje).
  3. Seleccione Conectores de datos : sí, está enterrado a unos cuantos clics de profundidad.
  4. Conecte su Microsoft Defender XDR, su área de trabajo de Sentinel y los registros de Entra ID. Asegúrese de que los conectores estén activados y de que se estén realizando las ingestas. A veces, una cola de ingesta de registros se bloquea, lo que puede confundir a la IA de Copilot. Por lo tanto, verifique el estado y espere unos minutos para que se reanude.
  5. Si todo está configurado correctamente, se espera que los registros se muestren. Si no aparecen, revise los permisos del conector y de los datos.

Nota al margen: este paso es una molestia en algunas configuraciones, pero sin registros, la información de Copilot es bastante inútil; por lo tanto, vale la pena verificarla dos veces aquí.

Configurar Microsoft Security Copilot

Configurar el control de acceso

Esto garantiza que solo ciertos administradores o personal de seguridad puedan explorar o ejecutar la automatización. Roles como Administrador Global o Lector de Seguridad son cruciales en este caso. Si los permisos son demasiado amplios, se producen fugas de seguridad; si son demasiado limitados, no se puede hacer nada. La configuración es sencilla pero crucial:

  • Vaya al centro de administración de Entra ID (portal.azure.com).
  • Roles abiertos y administradores.
  • Asigne roles como Administrador global, Administrador de seguridad o Lector de seguridad a las cuentas adecuadas.
  • Si es necesario, agregue políticas de acceso condicional para limitar aún más el acceso; por ejemplo, solo permita el acceso desde ciertas IP o dispositivos. Puede encontrar esta opción en Seguridad > Acceso condicional.

Configurar complementos para el acceso a datos

Los complementos desbloquean el acceso a los datos de Defender, Sentinel, Purview e Intune. Sin ellos, Copilot no puede ayudar realmente con las investigaciones:

  1. Dentro del portal de seguridad de Microsoft, vaya a Copilot.
  2. Haga clic en Configuración del complemento.
  3. Habilite los complementos que necesitan sus flujos de trabajo, como Defender o Sentinel.
  4. ¡No olvides guardar ! Porque, claro, Windows lo hace más difícil de lo necesario.

Configurar automatizaciones de respuesta a incidentes

Esta es la parte automática que permite a Copilot guiar o incluso automatizar acciones:

  1. Abra Microsoft Defender XDR.
  2. Seleccione Automatización.
  3. Crear una nueva regla de automatización.
  4. Agregue acciones como aislamiento del dispositivo, cuarentena de amenazas o alertas por correo electrónico.
  5. Habilite las sugerencias guiadas por IA para obtener una respuesta más rápida (parece funcionar mejor cuando la activa).
  6. Guárdalo y pruébalo. A veces, las reglas de automatización tardan un poco en activarse, así que no te sorprendas si no funcionan al instante.

Configurar la telemetría del agente de seguridad

Dado que Copilot necesita datos de puntos finales, es fundamental asegurarse de que sus dispositivos informen correctamente:

  1. Vaya al portal de Microsoft 365 Defender.
  2. Abra Configuración.
  3. Seleccione Configuración del dispositivo.
  4. Habilitar telemetría avanzada. No sé por qué no está activada de forma predeterminada, pero no siempre está activada sin intervención manual.
  5. Verifique que lleguen los informes del dispositivo: a veces, es necesario reiniciar el dispositivo o actualizar la política para que fluya la nueva telemetría.

Mientras esté aquí, revise la configuración de seguridad general de Windows, solo para asegurarse de que todo esté en la misma página.

Personalizar escenarios de Security Copilot

El Generador de Escenarios es una joya escondida para crear respuestas repetibles. Es útil para amenazas comunes como el phishing o el robo de credenciales.

  1. En el portal de Security Copilot, seleccione Generador de escenarios.
  2. Crea nuevos escenarios y dales un nombre como “Investigación de correo electrónico de phishing”.
  3. Agregue fuentes de datos relevantes, pasos de investigación y acciones de respuesta.
  4. Guarde y asigne estos escenarios a su equipo para implementarlos rápidamente la próxima vez que aparezca un ataque similar.

Preguntas frecuentes

¿Qué hacen los agentes de seguridad de Microsoft en Security Copilot?

Recopilan señales de Defender, Sentinel y Entra ID y luego alimentan el motor de inteligencia artificial para su análisis y orientación.

¿Necesito instalar Security Copilot en cada punto final?

No. Es un servicio en la nube con licencia y acceso únicamente al portal, por lo que solo necesita asegurarse de que los puntos finales generen informes correctamente y que los usuarios tengan acceso.

¿Security Copilot reemplaza a Microsoft Defender?

No exactamente. Es más bien un asistente de IA potente que trabaja junto con Defender, ofreciendo información y recomendaciones, pero Defender se encarga de la detección y la respuesta.

¿Es necesario Sentinel para el copiloto de seguridad?

No estrictamente: Copilot puede usar las señales de Defender solo, pero tener Sentinel configurado mejora la calidad de la señal, lo que honestamente hace una gran diferencia.

Una vez que todo esté conectado y configurado, Microsoft Security Copilot puede ayudar a agilizar las investigaciones de amenazas y automatizar algunas respuestas. Conectar los puntos requiere esfuerzo, pero una vez en funcionamiento, supone un cambio radical para los equipos de seguridad.