Popis integrace Microsoft Sentinelu s Microsoft Security Copilotem
Microsoft Sentinel se integruje se službou Microsoft Security Copilot.
Pro firmy, které jsou nasazené do Microsoft Security Copilotu, je integrace povolená prostřednictvím modulů plug-in, ke kterým se přistupuje prostřednictvím portálu Copilot. Sentinel poskytuje dva moduly plug-in pro integraci se službou Security Copilot:
- Microsoft Sentinel (Preview)
- Přirozený jazyk KQL pro Microsoft Sentinel (Preview)
Modul plug-in Microsoft Sentinel (Preview) Pokud chce uživatel využít modul plug-in Sentinel, musí mít přiřazené oprávnění role, které uděluje přístup ke Copilotu a konkrétní roli Sentinelu, jako je Microsoft Sentinel Reader, aby měl přístup k incidentům v pracovním prostoru.
Modul plug-in Sentinel vyžaduje, aby uživatel nakonfigurovali pracovní prostor služby Sentinel, název předplatného a název skupiny prostředků.
Možnosti modulu plug-in Sentinel se zaměřují na incidenty a pracovní prostory. Možnosti Microsoft Sentinelu ve Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.
Kromě toho Copilot obsahuje sadu promptbooků pro vyšetřování incidentů Microsoft Sentinelu. Tento promptbook obsahuje výzvy k získání sestavy o konkrétním incidentu spolu s souvisejícími výstrahami, skóre reputace, uživateli a zařízeními.
The Microsoft Sentinel incident investigation promptbook is not only a great starting point for your investigation, it's start point for creating effective prompts.
Modul plug-in Microsoft Sentinel KQL (Preview) v přirozeném jazyce Modul plug-in NL2KQLSentinel (Sentinel KQL) v přirozeném jazyce převádí jakoukoli otázku v přirozeném jazyce v kontextu proaktivního vyhledávání hrozeb na dotaz KQL připravený k spuštění. To šetří čas bezpečnostních týmů generováním dotazu KQL, který se pak dá automaticky spustit nebo dále upravit podle potřeb analytika. Modul plug-in Microsoft Sentinel (Preview) vygeneruje a spouští dotazy proaktivního vyhledávání KQL pomocí dat Microsoft Sentinelu. Tato funkce je dostupná v samostatném prostředí a v části rozšířeného proaktivního vyhledávání na portálu Microsoft Defender.
Microsoft Sentinel s copilotem v defenderu
Integraci služby Microsoft Sentinel s Copilotem je možné provést prostřednictvím samostatného prostředí i integrovaného prostředí pomocí portálu Defender. Vložené prostředí, ke kterému se přistupuje prostřednictvím portálu Defender, používá jednotnou platformu operací zabezpečení s vašimi daty Microsoft Sentinelu.
Incidenty – Incidenty Microsoft Sentinelu jsou teď sjednocené s incidenty XDR v programu Defender, takže můžete použít Copilot v Programu Microsoft Defender pro shrnutí incidentů, odpovědi s asistencí a sestavy incidentů služby Sentinel.
