Sdílet prostřednictvím

Integrace služby Azure Firewall ve službě Microsoft Security Copilot (Preview)

  • Článek

Důležité

Integrace služby Azure Firewall ve službě Microsoft Security Copilot je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Security Copilot je generování řešení zabezpečení založené na umělé inteligenci, které pomáhá zvýšit efektivitu a možnosti pracovníků zabezpečení ke zlepšení výsledků zabezpečení při rychlosti a škálování počítače. Poskytuje přirozený jazyk, prostředí pro usnadnění kopírování, které pomáhá odborníkům na zabezpečení v komplexních scénářích, jako jsou reakce na incidenty, proaktivní vyhledávání hrozeb, shromažďování informací a správa stavu. Další informace o tom, co může dělat, naleznete v tématu Co je Microsoft Security Copilot?

Než začnete

Pokud s kopírováním zabezpečení začínáte, měli byste se s ním seznámit přečtením těchto článků:

Integrace služby Security Copilot ve službě Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností.

Integrace služby Azure Firewall ve službě Security Copilot pomáhá analytikům provádět podrobné šetření škodlivého provozu zachyceného funkcí IDPS svých bran firewall v celém vozovém parku pomocí otázek v přirozeném jazyce.

Tuto integraci můžete použít ve dvou různých prostředích:

  • Portál Security Copilot (samostatné prostředí)

    Snímek obrazovky portálu Security Copilot s výzvou, která je relevantní pro bránu firewall

  • Copilot v Azure (vložené prostředí) na webu Azure Portal:

    Snímek obrazovky webu Azure Portal s výzvou, která je relevantní pro bránu firewall

Další informace najdete v tématech Microsoft Security Copilot a Microsoft Copilot v možnostech Azure.

Klíčové funkce

Security Copilot má integrované systémové funkce, které můžou získávat data z různých modulů plug-in, které jsou zapnuté.

Pokud chcete zobrazit seznam integrovaných systémových funkcí pro službu Azure Firewall, použijte následující postup na portálu Security Copilot:

  1. Na panelu výzvy vyberte ikonu Výzvy .

  2. Vyberte Zobrazit všechny možnosti systému.

  3. V části Azure Firewall jsou uvedeny všechny dostupné funkce, které můžete použít.

    Snímek obrazovky s možnostmi systému pro Azure Firewall v Microsoft Security Copilotu

Povolení integrace služby Azure Firewall v nástroji Security Copilot

  1. Ujistěte se, že je služba Azure Firewall správně nakonfigurovaná:

    • Strukturované protokoly služby Azure Firewall – Brány Azure Firewall, které se mají používat s nástrojem Security Copilot, musí být nakonfigurované s protokoly specifické pro konkrétní prostředky pro IDPS a tyto protokoly se musí odesílat do pracovního prostoru služby Log Analytics.

    • Řízení přístupu na základě role pro Službu Azure Firewall – uživatelé používající modul plug-in Azure Firewall ve službě Security Copilot musí mít příslušné role řízení přístupu na základě role Azure pro přístup k bráně firewall a přidruženým pracovním prostorům služby Log Analytics.

  2. Přejděte do souboru Security Copilot a přihlaste se pomocí svých přihlašovacích údajů.

  3. Ujistěte se, že je zapnutý modul plug-in Azure Firewall. Na panelu výzvy vyberte ikonu Zdroje . V automaticky otevíraných otevíraných oknech Spravovat zdroje ověřte, že je přepínač služby Azure Firewall zapnutý. Pak okno zavřete. Není nutná žádná jiná konfigurace. Pokud se strukturované protokoly odesílají do pracovního prostoru služby Log Analytics a máte správná oprávnění řízení přístupu na základě role, copilot najde data, která potřebuje k zodpovězení vašich otázek.

    Snímek obrazovky znázorňující modul plug-in Azure Firewall

  4. Na panelu příkazového řádku na portálu Security Copilot nebo prostřednictvím možnosti Copilot v Azure na webu Azure Portal zadejte svou výzvu.

    Důležité

    Použití Copilotu v Azure k dotazování služby Azure Firewall je součástí funkce Security Copilot a vyžaduje výpočetní jednotky zabezpečení (SCU). Můžete zřizovat SKU a kdykoli je zvýšit nebo snížit. Další informace o SCU naleznete v tématu Začínáme se službou Microsoft Security Copilot. Pokud nemáte správně nakonfigurovaný nástroj Security Copilot, ale položte otázku související s možnostmi služby Azure Firewall prostřednictvím možnosti Copilotu v Azure, zobrazí se chybová zpráva.

Ukázkové výzvy služby Azure Firewall

K získání informací ze služby Azure Firewall můžete použít mnoho výzev. V této části jsou uvedeny ty, které dnes fungují nejlépe. Průběžně se aktualizují při spuštění nových funkcí.

Načtení přístupů s nejvyšším podpisem IDPS pro bránu Azure Firewall

Získejte informace protokolu o provozu zachyceného funkcí IDPS místo ručního vytváření dotazů KQL.

Ukázkové výzvy:

  • Došlo k nějakému škodlivému provozu zachyceného názvem> brány firewall firewall<?

  • Jaké jsou 20 prvních 20 přístupů zprostředkovatele identity za posledních 7 dnů pro název> brány firewall brány firewall <v názvu> skupiny prostředků skupiny <prostředků?

  • Show me in tabular form the top 50 attacks that targeted Firewall firewall <name in subscription subscription name> in the subscription name> in the past <month.

    Snímek obrazovky znázorňující přístupy k nejvyššímu podpisu IDPS pro funkci služby Azure Firewall

Rozšíření profilu hrozby podpisu IDPS nad rámec informací protokolu

Získejte další podrobnosti o obohacení informací o hrozbě nebo profilu podpisu IDPS místo ručního kompilace.

Ukázkové výzvy:

  • Vysvětlete, proč idPS označilo horní hit jako vysokou závažnost a pátý přístup jako nízkou závažnost.

  • Co mi můžete říct o tomto útoku? Jaké jsou další útoky, o kterých je tento útočník známý?

  • Vidím, že id třetího podpisu je přidružené k číslu CVE CVE<>, řekněte mi o tomto CVE další informace.

    Snímek obrazovky znázorňující obohacení profilu hrozby podpisu IDPS nad rámec možností informací protokolu

Poznámka:

Modul plug-in Microsoft Threat Intelligence je dalším zdrojem, který může funkce Security Copilot použít k poskytování analýzy hrozeb pro podpisy IDPS.

Vyhledejte zadaný podpis IDPS v rámci vašeho tenanta, předplatného nebo skupiny prostředků.

Proveďte vyhledávání pro celou flotilu (v libovolném rozsahu) pro hrozbu ve všech branách firewall, místo abyste hrozbu hledali ručně.

Ukázkové výzvy:

  • Bylo číslo> ID podpisu <zastaveno pouze touto bránou firewall? A co ostatní v celém tomto tenantovi?

  • Došlo k dosažení horního limitu u jiné brány firewall v názvu> předplatného předplatného<?

  • V minulém týdnu se v názvu> skupiny prostředků zobrazila nějaká brána firewall ve skupině< prostředků s číslem> ID <podpisu?

    Snímek obrazovky znázorňující vyhledání daného podpisu IDPS v rámci vašeho tenanta, předplatného nebo možnosti skupiny prostředků

Generování doporučení pro zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

Získejte informace z dokumentace o použití funkce IDPS služby Azure Firewall k zabezpečení vašeho prostředí místo ručního vyhledávání těchto informací.

Ukázkové výzvy:

  • Návody se chránit před budoucími útoky od tohoto útočníka v celé mé infrastruktuře?

  • Pokud se chci ujistit, že jsou všechny moje brány Azure Firewall chráněné proti útokům před číslem> ID <podpisu, jak to udělám?

  • Jaký je rozdíl v riziku mezi režimy pouze výstrah a výstrah a režimy blokování pro IDPS?

    Snímek obrazovky zobrazující vygenerovaná doporučení k zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

    Poznámka:

    Funkce Ask Microsoft Documentation může také použít funkci Ask Microsoft Documentation k poskytnutí těchto informací a při použití této funkce prostřednictvím copilotu v prostředí Azure může být k poskytnutí těchto informací použita funkce Získat informace .

Poskytnutí názorů

Vaše zpětná vazba je nezbytná pro vedení aktuálního a plánovaného vývoje produktu. Nejlepší způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu.

Prostřednictvím zkopírovaného protokolu zabezpečení

Vyberte Jak se tato odpověď zobrazí? v dolní části každého dokončeného dotazu a zvolte některou z následujících možností:

  • Vypadá to správně – vyberte, jestli jsou výsledky na základě vašeho posouzení přesné.
  • Potřebuje vylepšení – vyberte, jestli jsou v závislosti na vašem posouzení nesprávné nebo neúplné nějaké podrobnosti ve výsledcích.
  • Nevhodné – Vyberte, jestli výsledky obsahují nejednoznačné, nejednoznačné nebo potenciálně škodlivé informace.

Pro každou možnost zpětné vazby můžete zadat další informace v následujícím dialogovém okně. Kdykoli je to možné, a zejména v případě, že výsledek je Potřeba zlepšit, napište několik slov vysvětlujících, jak se dá výsledek vylepšit. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Prostřednictvím Copilotu v Azure

Použijte tlačítka like a nelíbí se v dolní části každé dokončené výzvy. U obou možností zpětné vazby můžete zadat další informace v následujícím dialogovém okně. Kdykoli je to možné, a zejména v případě, že se vám nelíbí odpověď, napište několik slov vysvětlující, jak se dá výsledek vylepšit. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Ochrana osobních údajů a zabezpečení dat v platformě Security Copilot

Při interakci se službou Security Copilot (prostřednictvím portálu Security Copilot nebo přes copilot v prostředí Azure) získáte data služby Azure Firewall, funkce Copilot tato data načte ze služby Azure Firewall. Výzvy, načtená data a výstup zobrazený ve výsledcích výzvy se zpracovávají a ukládají ve službě Copilot. Další informace naleznete v tématu Ochrana osobních údajů a zabezpečení dat v aplikaci Microsoft Security Copilot.

Související obsah