Security Copilot with Microsoft Sentinel
Microsoft Security Copilot je platforma, která pomáhá chránit vaši organizaci rychlostí a škálováním počítačů. Rozsáhlá data zabezpečení microsoft Sentinelu poskytují vynikající zdroj pro copilot, který pomáhá analyzovat incidenty a generovat dotazy proaktivního vyhledávání.
Spolu s dalšími zdroji zabezpečení Copilot, které povolíte, poskytují incidenty a data Služby Microsoft Sentinel širší přehled o hrozbách a jejich kontextu pro vaši organizaci.
Než začnete
Pokud s kopírováním zabezpečení začínáte, měli byste se s ním seznámit přečtením těchto článků:
- Co je Microsoft Security Copilot?
- Prostředí Microsoft Security Copilot
- Začínáme se službou Microsoft Security Copilot
- Principy ověřování ve službě Microsoft Security Copilot
- Výzva k zobrazení výzvy v aplikaci Microsoft Security Copilot
Integrace služby Security Copilot s Microsoft Sentinelem
Tato integrace primárně podporuje samostatné prostředí, ke které se přistupuje prostřednictvím https://securitycopilot.microsoft.comprostředí podobného chatu, kde můžete shrnout incidenty a získat další odpovědi na data zabezpečení. Další informace naleznete v tématu Microsoft Security Copilot prostředí.
Klíčové funkce
Data Služby Microsoft Sentinel se integrují se službou Security Copilot dvěma způsoby.
- V rámci sjednocené platformy operací zabezpečení microsoftu má Copilot v programu Microsoft Defender XDR výhody sjednocených incidentů integrovaných se službou Microsoft Sentinel.
- V samostatném prostředí poskytuje Microsoft Sentinel dva moduly plug-in pro integraci se službou Security Copilot:
Microsoft Sentinel (Preview)
Přirozený jazyk KQL pro Microsoft Sentinel (Preview)
Důležité
Moduly plug-in Microsoft Sentinel a Natural Language to KQL for Microsoft Sentinel jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Povolení integrace služby Security Copilot s Microsoft Sentinelem
Pokud chcete maximalizovat integraci služby Security Copilot s Microsoft Sentinelem, postupujte následovně:
- konfigurace výchozího pracovního prostoru Služby Microsoft Sentinel pro kopírování zabezpečení
- připojení pracovního prostoru Microsoft Sentinelu k XDR v programu Microsoft Defender
Konfigurace výchozího pracovního prostoru Služby Microsoft Sentinel
Zvyšte přesnost výzvy tak, že nakonfigurujete pracovní prostor Microsoft Sentinelu jako výchozí.
Přejděte na adresu Security Copilot na adrese https://securitycopilot.microsoft.com/.
Otevřete zdroje
na panelu příkazového řádku.Na stránce Spravovat moduly plug-in nastavte přepínač na Zapnuto.
Vyberte ikonu ozubeného kola v modulu plug-in Microsoft Sentinel (Preview).
Nakonfigurujte výchozí název pracovního prostoru.
Tip
Pokud se pracovní prostor neshoduje s nakonfigurovaným výchozím nastavením, zadejte pracovní prostor ve výzvě.
Příklad: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrace Microsoft Sentinelu s Copilotem v defenderu
Použijte portál Microsoft Defender s daty Microsoft Sentinelu pro vložené prostředí Kopírování zabezpečení. Jedinečné zdroje dat Microsoft Sentinelu, které proudí do jednotných incidentů XDR v programu Microsoft Defender, umožňují službě Copilot v defenderu maximalizovat možnosti.
Příklad:
- Řešení SAP (Preview) je nainstalované ve vašem pracovním prostoru pro Microsoft Sentinel.
- Soubor SAP – (Preview) téměř v reálném čase stažený ze škodlivé IP adresy aktivuje výstrahu a vytvoří incident Microsoft Sentinelu.
- Microsoft Sentinel byl onboardován na portál Defenderu.
- Incidenty Microsoft Sentinelu jsou teď sjednocené s incidenty XDR v programu Defender.
- Pomocí Copilotu v Programu Microsoft Defender můžete použít souhrn incidentů, odpovědi s asistencí a sestavy incidentů.
Další informace naleznete v následujících zdrojích:
- Integrace XDR v programu Microsoft Defender
- Microsoft Sentinel na portálu Microsoft Defender
- Copilot v programu Microsoft Defender
Integrace služby Microsoft Sentinel se službou Security Copilot v rozšířeném proaktivním vyhledávání
Modul plug-in Microsoft Sentinel (Preview) vygeneruje a spouští dotazy proaktivního vyhledávání KQL pomocí dat Microsoft Sentinelu. Tato funkce je dostupná v samostatném prostředí a v části rozšířeného proaktivního vyhledávání na portálu Microsoft Defender.
Poznámka:
Na jednotném portálu Microsoft Defenderu můžete vyzvat nástroj Security Copilot k vygenerování pokročilých dotazů proaktivního vyhledávání pro tabulky XDR v programu Defender i Microsoft Sentinel. V současné době se nepodporují všechny tabulky Microsoft Sentinelu.
Další informace naleznete v tématu Security Copilot v rozšířeném proaktivním vyhledávání.
Ukázkové výzvy služby Microsoft Sentinel
Zvažte výzvu k prošetření incidentů v Microsoft Sentinelu jako výchozí bod pro vytváření efektivních výzev. Tento promptbook poskytuje sestavu o konkrétním incidentu spolu s souvisejícími výstrahami, skóre reputace, uživateli a zařízeními.
| Pokyny | Instrukce |
|---|---|
| Posunutí copilotu za účelem poskytnutí čitelných informací pro člověka místo reagování s ID objektů | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot ví, kdo jste. Pomocí "me" výslovnosti můžete najít incidenty, které s vámi souvisejí. Následující výzva cílí na incidenty přiřazené vám. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Když zúžíte odpověď výzvy na jeden incident, Copilot zná kontext. | Tell me about the entities associated with that incident. |
| Funkce Copilot je dobrá při sumarizaci. Popište konkrétní cílovou skupinu, pro kterou chcete shrnout výzvy a odpovědi. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Další pokyny a ukázky výzev najdete v následujících zdrojích informací:
- Použití promptbooků
- Výzva k zobrazení výzvy v aplikaci Microsoft Security Copilot
- Rod Trent's Security Copilot Prompt Library
Poskytnutí názorů
Vaše zpětná vazba je nezbytná pro vedení aktuálního a plánovaného vývoje produktu. Nejlepší způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu. Vyberte Jak se tato odpověď zobrazí? v dolní části každého dokončeného dotazu a zvolte některou z následujících možností:
- Vypadá to správně – vyberte, jestli jsou výsledky na základě vašeho posouzení přesné.
- Potřebuje vylepšení – vyberte, jestli jsou v závislosti na vašem posouzení nesprávné nebo neúplné nějaké podrobnosti ve výsledcích.
- Nevhodné – Vyberte, jestli výsledky obsahují nejednoznačné, nejednoznačné nebo potenciálně škodlivé informace.
Pro každou možnost zpětné vazby můžete zadat další informace v dalším dialogovém okně, které se zobrazí. Kdykoli je to možné, a zejména v případě, že výsledek je Potřeba zlepšit, napište několik slov vysvětlujících, co se dá udělat, aby se zlepšil výsledek. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.
Ochrana osobních údajů a zabezpečení dat v platformě Security Copilot
Pokud chcete zjistit, jak funkce Security Copilot zpracovává výzvy a data načtená ze služby (výstup výzvy), přečtěte si téma Ochrana osobních údajů a zabezpečení dat ve službě Microsoft Security Copilot.