Integrace Microsoft Security Copilotu v programu Defender EASM
Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) nepřetržitě zjišťuje a mapuje prostor pro digitální útok, aby poskytoval externí pohled na vaši online infrastrukturu. Tato viditelnost pomáhá týmům zabezpečení a IT identifikovat neznámé, určit prioritu rizika, eliminovat hrozby a rozšířit kontrolu ohrožení zabezpečení a ohrožení zabezpečení nad rámec brány firewall. Přehledy prostorů pro útoky se generují analýzou dat o ohrožení zabezpečení a infrastruktuře, aby se ukázaly klíčové oblasti zájmu vaší organizace.
Integrace Microsoft Security Copilot (Security Copilot) v programu Defender EASM pomáhá pracovat s povrchy útoků zjištěných Microsoftem. Identifikace prostorů útoku pomáhá vaší organizaci rychle porozumět její externě přístupné infrastruktuře a relevantním kritickým rizikům. Poskytuje přehled o konkrétních oblastech rizika, včetně ohrožení zabezpečení, dodržování předpisů a hygieny zabezpečení.
Další informace o funkci Security Copilot naleznete v tématu Co je Security Copilot?. Informace o integrovaném prostředí kopírování zabezpečení najdete v tématu Dotazování na prostor pro útoky pomocí EASM Defenderu pomocí Microsoft Copilotu v Azure.
Než začnete
Pokud s funkcemi Security Copilot začínáte, je vhodné se seznámit s řešením v těchto článcích:
- Co je Microsoft Security Copilot?
- Možnosti kopírování zabezpečení
- Začínáme s nástrojem Security Copilot
- Principy ověřování ve službě Security Copilot
- Zobrazení výzvy v kopírovací kopírovací sadě zabezpečení
Security Copilot in Defender EASM
Funkce Security Copilot může zobrazit přehledy z EASM v programu Defender o prostoru útoku vaší organizace. Můžete použít integrované funkce Security Copilot. Pokud chcete získat další informace, použijte výzvy ve funkci Security Copilot. Informace vám můžou pomoct pochopit stav zabezpečení a zmírnit ohrožení zabezpečení.
Tento článek vás seznámí se službou Security Copilot a obsahuje ukázkové výzvy, které můžou uživatelům EASM v programu Defender pomoct.
Klíčové funkce
Integrace copilotu zabezpečení EASM vám může pomoct:
Získejte snímek prostoru pro vnější útok a vygenerujte přehled o potenciálních rizicích.
Rychlý pohled na prostor pro vnější útoky můžete získat analýzou informací dostupných z internetu v kombinaci s vlastnickým algoritmem zjišťování EASM v programu Defender. Poskytuje snadno pochopitelné vysvětlení externích prostředků organizace, jako jsou hostitelé, domény, webové stránky a IP adresy. Zvýrazňuje kritická rizika spojená s jednotlivými riziky.
Určete prioritu úsilí o nápravu na základě rizik aktiv a položek seznamu běžných ohrožení zabezpečení a ohrožení zabezpečení (CVEs).
EaSM v programu Defender pomáhá týmům zabezpečení určit prioritu úsilí o nápravu tím, že jim pomůže pochopit, které prostředky a CVE představují největší riziko ve svém prostředí. Analyzuje data o ohrožení zabezpečení a infrastruktuře, aby ukázala klíčové oblasti zájmu, a poskytuje vysvětlení rizik a doporučených akcí v přirozeném jazyce.
Pomocí funkce Security Copilot můžete získat přehledy.
Pomocí funkce Security Copilot se můžete ptát na přehledy pomocí přirozeného jazyka a extrahovat přehledy z EASM defenderu o prostoru útoku vaší organizace. Podrobnosti dotazu, jako je počet certifikátů SSL (Secure Sockets Layer), které nejsou zabezpečené, zjištěné porty a konkrétní ohrožení zabezpečení, která ovlivňují prostor útoku.
Urychlite útok na povrchovou curaci.
Pomocí funkce Security Copilot můžete spravovat prostor pro útoky pomocí popisků, externích ID a úprav stavu pro sadu prostředků. Tento proces zrychluje curaci, takže můžete inventář uspořádat rychleji a efektivněji.
Povolení integrace funkce Security Copilot
Pokud chcete nastavit integraci kopírování zabezpečení v programu Defender EASM, proveďte kroky popsané v dalších částech.
Požadavky
Pokud chcete povolit integraci, musíte mít tyto požadavky:
- Přístup ke službě Microsoft Security Copilot
- Oprávnění k aktivaci nových připojení
Připojení zkopírovaného objektu zabezpečení k EASM v programu Defender
Získejte přístup ke kopírování zabezpečení a ujistěte se, že jste ověřeni.
Na pravé horní straně vstupního panelu výzvy vyberte ikonu modulu plug-in Security Copilot.
V části Microsoft vyhledejte správu externího útoku Defender. Vyberte Zapnuto , abyste se připojili.
Pokud chcete, aby služba Security Copilot načítá data z prostředku EASM v programu Defender, vyberte ikonu ozubeného kola a otevřete nastavení modulu plug-in. Zadejte nebo vyberte hodnoty pomocí hodnot v části Základy vašeho prostředku v podokně Přehled.
Poznámka:
Dovednosti EASM v programu Defender můžete používat i v případě, že jste si program EASM v programu Defender nekoupili. Další informace najdete v referenčních informacích o možnostech modulu plug-in.
Ukázkové výzvy EASM v programu Defender
Funkce Security Copilot primárně používá výzvy přirozeného jazyka. Když zadáte dotaz na informace z EASM v programu Defender, odešlete výzvu, která vás provede příkazem Security Copilot, aby vybral modul plug-in EASM defenderu a vyvolal příslušnou funkci.
Pro úspěch s výzvami ke kopírování zabezpečení doporučujeme následující přístupy:
Ujistěte se, že v první výzvě odkazujete na název společnosti. Pokud není uvedeno jinak, všechny budoucí výzvy pak poskytnou data o původně zadané společnosti.
S výzvami buďte jasní a konkrétní. Pokud do výzev zahrnete konkrétní názvy prostředků nebo hodnoty metadat (například ID CVE), získáte lepší výsledky.
Může vám také pomoct přidat do výzvy EASM Defenderu, například v těchto příkladech:
- Co jsou moje domény, jejichž platnost vypršela, podle programu Defender EASM?
- Řekněte mi o přehledech útoku s vysokou prioritou v programu Defender EASM.
Experimentujte s různými výzvami a variantami a zjistěte, co je pro váš případ použití nejvhodnější. Modely AI chatu se liší, takže iterujte a upřesněte výzvy na základě výsledků, které obdržíte.
Security Copilot ukládá relace výzev. Pokud chcete zobrazit předchozí relace, v okně Security Copilot v nabídce vyberte Moje relace.
Návod ke kopírování zabezpečení, včetně funkcí připnutí a sdílení, najdete v tématu Navigace ve kopírování zabezpečení.
Další informace o psaní výzev ke kopírování zkopírovaných objektů zabezpečení naleznete v tématu Tipy pro výzvy ke kopírování zabezpečení.
Referenční informace o možnostech modulů plug-in
| Schopnost | Popis | Vstupy | Chování |
|---|---|---|---|
| Získání souhrnu prostoru pro útoky | Vrátí souhrn prostoru pro útok pro prostředek EASM v programu Defender zákazníka nebo konkrétní název společnosti. |
Příklady vstupů: • Získejte prostor pro útok pro LinkedIn. • Získejte prostor pro útoky. • Jaký je prostor pro útok pro Microsoft? • Jaký je můj prostor pro útoky? • Jaké jsou externě přístupné prostředky pro Azure? • Jaké jsou moje externě přístupné prostředky? Volitelné vstupy: • CompanyName |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Vrátí souhrn prostoru pro útok pro prostředek EASM v programu Defender zákazníka. Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud existuje přesná shoda, vrátí souhrn prostoru pro útok pro název společnosti. |
| Získání přehledů o prostoru pro útoky | Vrátí přehledy o útoku pro prostředek EASM v programu Defender zákazníka nebo pro konkrétní název společnosti. |
Příklady vstupů: • Získejte přehledy o útoku s vysokou prioritou pro LinkedIn. • Získejte přehledy o útoku s vysokou prioritou. • Získejte přehledy o útoku s nízkou prioritou pro Microsoft. • Získejte přehledy o útoku s nízkou prioritou. • Mám v azure ohrožení zabezpečení s vysokou prioritou? Požadované vstupy: • PriorityLevel (úroveň priority musí být vysoká, střední nebo nízká, pokud není k dispozici, výchozí hodnota je vysoká). Volitelné vstupy: • CompanyName (název společnosti) |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Vrátí přehledy o prostoru útoku pro prostředek EASM defenderu zákazníka. Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud existuje přesná shoda, vrátí informace o prostoru útoku pro název společnosti. |
| Získání prostředků ovlivněných cve | Vrátí prostředky ovlivněné CVE pro prostředek EASM v programu Defender zákazníka nebo konkrétní název společnosti. |
Příklady vstupů: • Získejte prostředky ovlivněné CVE-2023-0012 pro LinkedIn. • Které prostředky jsou ovlivněny CVE-2023-0012 pro Microsoft? • Týká se vnější útok Azure CVE-2023-0012? • Získejte prostředky ovlivněné CVE-2023-0012 pro prostor pro útok. • Které z mých aktiv má cve-2023-0012 vliv? • Ovlivňuje můj vnější útok CVE-2023-0012? Požadované vstupy: • CveId Volitelné vstupy: • CompanyName |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Pokud se nastavení modulu plug-in nevyplní, selžou se a připomeňte zákazníkům. • Pokud se vyplní nastavení modulu plug-in, vrátí prostředky ovlivněné CVE pro prostředek EASM v programu Defender zákazníka. Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud existuje přesná shoda, vrátí aktiva ovlivněná CVE pro konkrétní název společnosti. |
| Získání prostředků ovlivněných nástrojem CVSS | Vrátí prostředky ovlivněné skóre systému CVSS (Common VulnerabilityCoring System) pro prostředek EASM defenderu zákazníka nebo konkrétní název společnosti. |
Příklady vstupů: • Získejte prostředky ovlivněné skóre CVSS s vysokou prioritou v prostoru útoku LinkedIn. • Kolik prostředků má kritické skóre CVSS pro Microsoft? • Které prostředky mají kritické skóre CVSS pro Azure? • Získejte prostředky ovlivněné skóre CVSS s vysokou prioritou na mém prostoru útoku. • Kolik z mých prostředků má kritické skóre CVSS? • Které z mých prostředků mají kritické skóre CVSS? Požadované vstupy: • CvssPriority (priorita CVSS musí být kritická, vysoká, střední nebo nízká) Volitelné vstupy: • CompanyName |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Pokud se nastavení modulu plug-in nevyplní, selžou se a připomeňte zákazníkům. • Pokud se vyplní nastavení modulu plug-in, vrátí prostředky ovlivněné skóre CVSS pro prostředek EASM defenderu zákazníka. Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud dojde k přesné shodě, vrátí aktiva ovlivněná skóre CVSS pro konkrétní název společnosti. |
| Získání domén s vypršenou platností | Vrátí počet domén s vypršenou platností pro prostředek EASM v programu Defender zákazníka nebo konkrétní název společnosti. |
Příklady vstupů: • Kolik domén vypršelo na místě útoku na LinkedIn? • Kolik prostředků používá domény s vypršenou platností pro Microsoft? • Kolik domén mi vypršelo v prostoru pro útoky? • Kolik mých prostředků používá domény s vypršenou platností pro Microsoft? Volitelné vstupy: • CompanyName |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Vrátí počet domén, jejichž platnost vypršela, pro prostředek EASM v programu Defender zákazníka. Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud existuje přesná shoda, vrátí počet domén s vypršenou platností pro konkrétní název společnosti. |
| Získání certifikátů s vypršenou platností | Vrátí počet prošlých certifikátů SSL pro prostředek EASM v programu Defender zákazníka nebo konkrétní název společnosti. |
Příklady vstupů: • Kolik certifikátů SSL vypršelo pro LinkedIn? • Kolik prostředků používá certifikáty SSL s vypršenou platností pro Microsoft? • Kolik certifikátů SSL vypršelo pro můj prostor pro útoky? • Jaké jsou moje certifikáty SSL s vypršenou platností? Volitelné vstupy: • CompanyName |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Vrátí početcertifikátůch Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud existuje přesná shoda, vrátí počet certifikátů SSL pro konkrétní název společnosti. |
| Získání certifikátů SHA1 | Vrátí počet certifikátů SSL SHA1 pro prostředek EASM v programu Defender zákazníka nebo konkrétní název společnosti. |
Příklady vstupů: • Kolik certifikátů SSL SHA1 je k dispozici pro LinkedIn? • Kolik prostředků používá SSL SHA1 pro Microsoft? • Kolik certifikátů SSL SHA1 je pro můj prostor pro útoky? • Kolik mých prostředků používá SSL SHA1? Volitelné vstupy: • CompanyName |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost: • Vrátí počet certifikátů SSL SHA1 pro prostředek EASM v programu Defender zákazníka. Pokud je zadaný jiný název společnosti: • Pokud se nenajde žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. • Pokud existuje přesná shoda, vrátí počet certifikátů SSL SHA1 pro konkrétní název společnosti. |
| Překlad přirozeného jazyka do dotazu EASM v programu Defender | Přeloží jakoukoli otázku přirozeného jazyka do dotazu EASM v programu Defender a vrátí prostředky, které odpovídají dotazu. |
Příklady vstupů: • Jaké prostředky používají jQuery verze 3.1.0? • Získejte hostitele s otevřeným portem 80 na mém prostoru útoku. • V inventáři najděte všechny prostředky stránky, hostitele a ASN, které mají IP adresu, která je IP X, IP Y nebo IP Z. • Které z mých aktiv mají registrační e-mail <name@example.com>? |
Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu: • Vrátí prostředky odpovídající přeloženýmu dotazu. |
Přepínání mezi daty prostředků a daty společnosti
I když jsme pro naše dovednosti přidali integraci prostředků, stále podporujeme načítání dat z předem připravených prostorů pro útoky pro konkrétní společnosti. Pokud chcete zlepšit přesnost kopírovaného objektu zabezpečení při určování, kdy chce zákazník vytáhnout z prostoru útoku nebo z předem připraveného prostoru pro útoky společnosti, doporučujeme použít můj, prostor pro útoky atd., abyste vyjádřili, že chcete svůj prostředek použít. Použijte jejich konkrétní název společnosti a tak dále, abyste vyjádřili, že chcete použít předem připravenou prostor pro útok. I když tento přístup zlepšuje prostředí v jedné relaci, důrazně doporučujeme použít dvě samostatné relace, abyste se vyhnuli nejasnostem.
Poskytnutí názorů
Vaše zpětná vazba na Security Copilot obecně a konkrétně modul plug-in EASM defenderu je nezbytný pro vedení aktuálního a plánovaného vývoje produktu. Optimální způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu pomocí tlačítek zpětné vazby v dolní části každé dokončené výzvy. Vyberte Možnost Vypadá správně, Vyžaduje zlepšení nebo Nevhodné. Doporučujeme zvolit vzhled, když výsledek odpovídá očekávání, je třeba zlepšit , když ne, a Nevhodný , když je výsledek nějakým způsobem škodlivý.
Kdykoli je to možné, a zejména když je vybraný výsledek Potřeba zlepšit, napište několik slov, která vysvětlují, co můžeme udělat, abychom zlepšili výsledek. Tato žádost platí také v případě, že očekáváte, že se v programu Security Copilot vyvolá modul plug-in EASM v programu Defender, ale místo toho se zapojí jiný modul plug-in.
Ochrana osobních údajů a zabezpečení dat v platformě Security Copilot
Při interakci s objektem Security Copilot získáte data EASM defenderu, funkce Copilot tato data přetáhne z EASM v programu Defender. Výzvy, načtená data a výstup zobrazený ve výsledcích výzvy se zpracovávají a ukládají ve službě Security Copilot.
Další informace o ochraně osobních údajů v Security Copilot naleznete v tématu Ochrana osobních údajů a zabezpečení dat v Security Copilot.