Você quer usar o Copilot para investigar alertas de segurança e atividades de usuários no Microsoft Defender for Cloud Apps. Essa integração conecta consultas em linguagem natural diretamente aos dados dos seus aplicativos na nuvem, incluindo descoberta de Shadow IT e permissões de aplicativos. A configuração requer uma licença Microsoft 365 E5 ou uma licença avulsa do Defender for Cloud Apps. Este artigo explica como a integração funciona e como configurá-la.
Principais pontos: Integração do Copilot com o Defender for Cloud Apps
- Portal do Microsoft Defender for Cloud Apps > Configurações > Extensões de segurança > Copilot para Segurança: A opção que permite que o Copilot leia e consulte dados dos aplicativos na nuvem.
- Portal autônomo do Copilot para Segurança > Fontes de dados > Microsoft Defender for Cloud Apps: Onde você verifica o status da conexão e concede consentimento para acesso aos dados.
- Consultas em linguagem natural no painel de investigação de aplicativos na nuvem: Permite fazer perguntas como “Mostre todas as atividades de administradores da Rússia nas últimas 24 horas” sem escrever Kusto Query Language.
Como funciona a integração do Copilot com o Defender for Cloud Apps
O Copilot para Segurança se conecta ao Microsoft Defender for Cloud Apps por meio de um canal de API seguro. Esse canal usa o mesmo modelo de dados de segurança do Microsoft Graph que alimenta alertas e atividades no portal do Defender. Quando você faz uma pergunta em linguagem natural, o Copilot traduz essa consulta em uma pesquisa estruturada no log de atividades do aplicativo na nuvem, banco de dados de alertas e dados de descoberta de aplicativos.
A integração não requer um conector de dados separado ou scripts personalizados. Depois de ativar a opção nas configurações do Defender for Cloud Apps, o Copilot pode acessar os seguintes tipos de dados:
- Alertas de aplicativos na nuvem com gravidade, categoria e status
- Atividades de usuários e administradores de aplicativos conectados, como Microsoft 365, Salesforce e Box
- Aplicativos descobertos como Shadow IT e suas pontuações de risco
- Permissões de aplicativos e detalhes de tokens OAuth
- Contexto de endereço IP e localização para cada atividade
Os dados permanecem dentro do limite do seu locatário. O Copilot não envia logs brutos para a Microsoft para treinamento de modelos. Todo o processamento ocorre dentro do limite de conformidade do Microsoft 365.
Pré-requisitos para a integração
Antes de começar, confirme que estes requisitos são atendidos:
- Uma destas licenças: Microsoft 365 E5, Microsoft 365 E5 Security, Microsoft 365 E5 Compliance ou uma licença avulsa do Defender for Cloud Apps
- Função de Administrador Global ou Administrador de Segurança no Microsoft Entra ID
- Copilot para Segurança habilitado no seu locatário. Isso requer uma capacidade do Copilot para Segurança que você provisiona no portal do Azure sob o tipo de recurso Copilot para Segurança
- Acesso de rede aos seguintes endpoints: api.security.microsoft.com e graph.microsoft.com
Passos para habilitar o Copilot para o Defender for Cloud Apps
- Abra o portal do Defender for Cloud Apps
Acesse https://portal.cloudappsecurity.com e faça login com sua conta de Administrador Global ou Administrador de Segurança. - Navegue até as configurações de Extensões de segurança
No menu esquerdo, selecione Configurações. Em seguida, selecione Extensões de segurança. Esta página lista todas as integrações externas do Defender for Cloud Apps. - Habilite o Copilot para Segurança
Encontre a linha do Copilot para Segurança e ative a opção. Uma caixa de diálogo de consentimento aparece. Leia a declaração de acesso aos dados e selecione Aceitar. Este passo conecta seu locatário do Defender for Cloud Apps ao Copilot para Segurança. - Verifique a conexão no portal do Copilot para Segurança
Abra uma nova guia do navegador e acesse https://securitycopilot.microsoft.com. Selecione a opção Fontes de dados no menu esquerdo. Confirme que o Microsoft Defender for Cloud Apps aparece com o status Conectado. Se aparecer Desconectado, volte ao portal do Defender e repita o passo 3. - Teste a integração com uma consulta de exemplo
No portal do Copilot para Segurança, digite uma pergunta como “Mostre os 10 usuários mais ativos em aplicativos na nuvem hoje.” O Copilot retorna uma tabela com nomes de usuários, contagens de atividades e os aplicativos de origem. Se você vir dados, a integração está funcionando corretamente.
Se a integração falhar ao conectar
Copilot para Segurança mostra status Desconectado
Isso geralmente acontece quando a etapa de consentimento não foi concluída ou o token de sessão expirou. Volte ao portal do Defender for Cloud Apps e abra Configurações > Extensões de segurança. Desative a opção do Copilot para Segurança, aguarde 10 segundos e ative novamente. Conclua a caixa de diálogo de consentimento novamente. Volte ao portal do Copilot para Segurança e atualize a página Fontes de dados.
Copilot não retorna resultados para consultas de aplicativos na nuvem
Seu locatário pode não ter dados de atividade suficientes. O Defender for Cloud Apps começa a registrar atividades somente depois que você conecta aplicativos na nuvem. Acesse a página Aplicativos conectados no Defender for Cloud Apps e verifique se pelo menos um conector de aplicativo está ativo. Se não houver conectores de aplicativo, adicione um selecionando Conectores de aplicativo > Conectar um aplicativo e seguindo o assistente para o tipo de aplicativo.
A caixa de diálogo de consentimento não aparece
Seu navegador pode bloquear pop-ups ou cookies de terceiros. Adicione portal.cloudappsecurity.com e securitycopilot.microsoft.com aos sites permitidos do seu navegador para pop-ups e cookies. Depois de permitir, atualize a página Extensões de segurança e ative a opção do Copilot para Segurança novamente.
Copilot para Segurança vs Consultas nativas do Defender for Cloud Apps: Principais diferenças
| Item | Integração com Copilot para Segurança | Consultas nativas do Defender for Cloud Apps |
|---|---|---|
| Linguagem de consulta | Frases em inglês natural | Kusto Query Language ou expressões de filtro |
| Escopo dos dados | Alertas, atividades, Shadow IT, permissões de aplicativos | Mesmo escopo de dados, além de políticas de arquivos e ações de governança |
| Formato de saída | Tabela resumida com explicação em linguagem simples | Tabela de logs brutos ou exportação CSV |
| Execução de ações | Apenas consultas somente leitura | Ações de governança completas, como suspender usuário ou revogar token OAuth |
| Interface do usuário | Portal autônomo do Copilot para Segurança ou painel incorporado | Apenas portal do Defender for Cloud Apps |
A integração é melhor para investigações rápidas e triagem. Para análises forenses aprofundadas ou ações de remediação automatizadas, use a interface de consulta nativa do Defender for Cloud Apps.
Agora você pode consultar dados de segurança de aplicativos na nuvem usando inglês simples no Copilot para Segurança. Comece com uma pergunta simples sobre atividades recentes de administradores para confirmar que a conexão funciona. Para resultados mais rápidos, salve suas consultas mais comuns como promptbooks personalizados na biblioteca de prompts do Copilot para Segurança.