Microsoft Security Agents integreren met Security Copilot

Microsoft Security Copilot klinkt in theorie geweldig, maar het is niet altijd even makkelijk om het te installeren en te gebruiken. Soms voelen licentieproblemen of configuratieproblemen als het beklimmen van een berg, alleen al om een ​​eenvoudig dreigingsrapport te krijgen. Als je het probeert te installeren en het meer op gokken lijkt dan op een schone installatie, maak je dan geen zorgen – hier zijn een paar praktische tips die je hebben geholpen om de zaken op orde te krijgen. Verwacht dat je een behoorlijke grip krijgt op licenties, machtigingen en integraties zoals Defender en Sentinel, die eigenlijk de ruggengraat van alles vormen.

Hoe Microsoft Security Copilot te installeren

Controleer de abonnementsvereisten en machtigingen

Deze stap helpt, want geloof het of niet, als je tenant niet de juiste licentie heeft of je account niet de juiste rechten heeft, werkt het hele systeem gewoon niet. In één configuratie mislukte het de eerste paar keer, maar na een tenant-refresh werkte het wonderbaarlijk goed — waarschijnlijk wat vertraging in de synchronisatie van rechten, wie weet. Hoe dan ook, dit is wat je moet doen:

  • Meld u aan bij het Microsoft 365-beheercentrum.
  • Zorg ervoor dat aan uw tenant de Security Copilot-licentie is toegewezen. Controleer dit onder Facturering > Licenties.
  • Controleer of uw account de rol Globale beheerder of Beveiligingsbeheerder heeft. Als u het niet zeker weet, opent u de Azure AD-portal (portal.azure.com), gaat u naar Rollen en beheerders en bevestigt u dit.
  • Controleer of uw tenant Entra ID gebruikt (voorheen Azure AD) en of er Microsoft Defender- abonnementen actief zijn. Soms kunnen Defender-services uitgeschakeld zijn of niet correct toegewezen zijn, waardoor integraties worden geblokkeerd.

Tip: Als je licentieproblemen of beperkte rechten ziet, kan een snelle tenantvernieuwing of het opnieuw toewijzen van rollen soms helpen om de boel in beweging te krijgen. Zorg er wel voor dat alles op dat vlak vlekkeloos verloopt voordat je verdergaat.

Security Copilot inschakelen in de beheerdersportal

Dit is alsof je de schakelaar omdraait, maar Windows verbergt het soms onder een paar menu’s. Gelukkig is het zo eenvoudig:

  1. Ga naar security.microsoft.com.
  2. Klik op Instellingen (meestal in het menu linksonder of rechtsboven).
  3. Zoek Security Copilot in de lijst, waarschijnlijk onder de hoofdinstellingen of onder Functies.
  4. Zet de schakelaar op Aan. Op sommige machines blijft dit niet meteen actief, in dat geval moet u mogelijk uw browser vernieuwen of uitloggen.
  5. Zorg ervoor dat u toegang toewijst aan de gebruikers of groepen die het nodig hebben. U kunt dit in hetzelfde menu doen door de juiste Azure AD-gebruikers of -groepen te selecteren. In de ene configuratie werkte het na een snelle rolvernieuwing, terwijl het in een andere configuratie iets langer duurde voordat de machtigingen waren doorgevoerd.

Installeer de interfacetools voor Copilot

Dit is waar veel mensen de fout in gaan, omdat ze zich niet realiseren dat de extensie of plugin nodig is om alles vanuit hun browser te kunnen openen. Zo werkt het:

  1. Open de Microsoft 365 Apps-portal (portal.office.com).
  2. Download en installeer de Microsoft Edge-extensie voor Security Copilot. Deze wordt primair ondersteund in Edge, maar andere browsers ondersteunen mogelijk vergelijkbare extensies.
  3. Meld u aan met uw bedrijfsaccount en zorg ervoor dat u toegang heeft.
  4. Controleer of het Copilot-pictogram in de Microsoft Security-portal verschijnt. Zo niet, probeer dan uit te loggen en weer in te loggen, of de cache te wissen – browserproblemen, natuurlijk.

Verbind Defender- en Sentinel-signalen

Dit voelt vreemd aan, maar als Copilot je signalen niet kan zien, vliegt hij eigenlijk blind. Om dat te verhelpen, moet je je beveiligingslogs raadplegen:

  1. Ga naar het Microsoft Security-portaal.
  2. Klik op Instellingen (tandwielpictogram).
  3. Kies Dataconnectoren — ja, het zit een paar klikken diep verborgen.
  4. Verbind je Microsoft Defender XDR, je Sentinel-werkruimte en Entra ID-logboeken. Zorg ervoor dat de connectoren ingeschakeld zijn en dat er logs worden opgenomen. Soms loopt een wachtrij voor logs vast, wat de AI van Copilot in de war kan brengen. Controleer daarom de status en geef het een paar minuten de tijd om te hervatten.
  5. Verwacht dat er logs binnenkomen als alles correct is geconfigureerd. Als er geen logs worden weergegeven, controleer dan de connector- en datarechten.

Noot: deze stap kan in sommige configuraties een heel gedoe zijn, maar zonder logs zijn de inzichten van Copilot vrij nutteloos. Het is dus de moeite waard om dit even te controleren.

Microsoft Security Copilot configureren

Toegangscontrole instellen

Dit zorgt ervoor dat alleen bepaalde beheerders of beveiligingsmedewerkers kunnen rondneuzen of automatisering kunnen uitvoeren. Rollen zoals Global Administrator of Security Reader zijn hierbij cruciaal. Als de rechten te breed zijn, ontstaan ​​er beveiligingslekken; als ze te beperkt zijn, kun je niets doen. De installatie is eenvoudig, maar cruciaal:

  • Ga naar het Entra ID-beheercentrum (portal.azure.com).
  • Open Rollen en beheerders.
  • Wijs rollen zoals Globale beheerder, Beveiligingsbeheerder of Beveiligingslezer toe aan de juiste accounts.
  • Voeg indien nodig voorwaardelijke toegangsbeleid toe om de toegang verder te beperken, bijvoorbeeld door alleen toegang toe te staan ​​vanaf bepaalde IP-adressen of apparaten. Dit is te vinden onder Beveiliging > Voorwaardelijke toegang.

Plugins configureren voor gegevenstoegang

Plugins geven toegang tot gegevens van Defender, Sentinel, Purview en Intune. Zonder deze plugins kan Copilot niet echt helpen bij onderzoeken:

  1. Ga in de Microsoft Security-portal naar Copilot.
  2. Klik op Plugininstellingen.
  3. Schakel de plug-ins in die uw workflows nodig hebben, zoals Defender of Sentinel.
  4. Vergeet niet op Opslaan te klikken ! Windows moet het natuurlijk wel moeilijker maken dan nodig is.

Stel automatiseringen voor incidentrespons in

Dit is het automatische deel waarmee Copilot acties kan begeleiden of zelfs automatiseren:

  1. Open Microsoft Defender XDR.
  2. Selecteer Automatisering.
  3. Maak een nieuwe automatiseringsregel.
  4. Voeg acties toe zoals apparaatisolatie, bedreigingsquarantaine of e-mailwaarschuwingen.
  5. Schakel de AI-gestuurde suggesties in voor een snellere respons. Het lijkt beter te werken als u deze optie inschakelt.
  6. Sla het op en test het. Soms duurt het even voordat automatiseringsregels actief zijn, dus wees niet verbaasd als het niet meteen werkt.

Telemetrie van beveiligingsagent configureren

Omdat Copilot eindpuntgegevens nodig heeft, is het van cruciaal belang dat uw apparaten correct rapporteren:

  1. Ga naar de Microsoft 365 Defender-portal.
  2. Open Instellingen.
  3. Kies Apparaatconfiguratie.
  4. Geavanceerde telemetrie inschakelen. Ik weet niet waarom het niet standaard is ingeschakeld, maar het is niet altijd ingeschakeld zonder handmatige tussenkomst.
  5. Controleer of er apparaatrapporten binnenkomen. Soms is het nodig om het apparaat opnieuw op te starten of het beleid te vernieuwen om nieuwe telemetrie te laten stromen.

Controleer tijdens uw bezoek de algemene beveiligingsinstellingen van Windows om er zeker van te zijn dat alles klopt.

Pas Security Copilot-scenario’s aan

Scenario Builder is een soort verborgen pareltje voor het creëren van herhaalbare reacties. Het is handig voor standaardbedreigingen zoals phishing of diefstal van inloggegevens:

  1. Selecteer Scenario builder in het Security Copilot- portaal.
  2. Maak nieuwe scenario’s en geef ze een naam, bijvoorbeeld ‘Onderzoek naar phishing-e-mails’.
  3. Voeg relevante gegevensbronnen, onderzoeksstappen en responsacties toe.
  4. Sla deze scenario’s op en wijs ze toe aan uw team, zodat u ze snel kunt implementeren wanneer er zich de volgende keer een vergelijkbare aanval voordoet.

Veelgestelde vragen

Wat doen Microsoft-beveiligingsagenten in Security Copilot?

Ze verzamelen signalen van Defender, Sentinel en Entra ID en sturen deze vervolgens naar de AI-engine voor analyse en begeleiding.

Moet ik Security Copilot op elk eindpunt installeren?

Nee. Het is een cloudservice met alleen licenties en portaltoegang, dus je hoeft er alleen voor te zorgen dat de eindpunten correct rapporteren en dat gebruikers toegang hebben.

Vervangt Security Copilot Microsoft Defender?

Niet helemaal. Het is meer een soort turbo-AI-assistent die samenwerkt met Defender en inzichten en aanbevelingen geeft, maar Defender zorgt nog steeds voor de daadwerkelijke detectie en reactie.

Is Sentinel vereist voor Security Copilot?

Dat is niet strikt noodzakelijk: Copilot kan alleen Defender-signalen gebruiken, maar als je Sentinel instelt, verbetert de signaalkwaliteit, wat eerlijk gezegd een groot verschil maakt.

Zodra alles is aangesloten en geconfigureerd, kan Microsoft Security Copilot het onderzoek naar bedreigingen echt stroomlijnen en sommige reacties automatiseren. Het kost wat moeite om de puntjes op de i te zetten, maar zodra het werkt, is het een ware revolutie voor beveiligingsteams.