Popis modulů plug-in Společnosti Microsoft dostupných ve službě Microsoft Security Copilot

  • 10 min

Microsoft Security Copilot se integruje s různými zdroji, včetně vlastních bezpečnostních produktů Microsoftu, dodavatelů jiných výrobců než Microsoftu, opensourcových informačních kanálů, webů a znalostní báze, které generují pokyny specifické pro vaši organizaci.

Jedním z mechanismů, kterými se Copilot integruje do těchto různých zdrojů, je prostřednictvím modulů plug-in. Moduly plug-in rozšiřují možnosti Copilotu. V této lekci prozkoumáte moduly plug-in Microsoftu.

Moduly plug-in Microsoftu

Moduly plug-in Microsoftu poskytují přístup k informacím a možnostem z produktů Microsoftu vaší organizace. Následující obrázek ukazuje pouze podmnožinu dostupných modulů plug-in Microsoftu a pořadí, ve kterém jsou uvedené moduly plug-in, se mohou lišit od toho, co se zobrazuje v produktu.

Pokud má vlastník Copilotu omezený přístup k modulům plug-in, zobrazí se tyto moduly plug-in, které jsou nastavené na omezené, šedě a omezeny.

Obecně řečeno, moduly plug-in Microsoftu ve Copilotu používají model OBO (jménem) – to znamená, že Copilot ví, že zákazník má licence na konkrétní produkty a je automaticky přihlášen k těmto produktům. Copilot pak může přistupovat ke konkrétním produktům, když je modul plug-in povolený a kde je to možné, parametry jsou nakonfigurované. Některé moduly plug-in Microsoftu, které vyžadují nastavení, jak je uvedeno v ikoně nastavení nebo na tlačítku nastavení, můžou zahrnovat konfigurovatelné parametry, které se používají pro ověřování, a to místo modelu OBO.

Pokud chcete zobrazit možnosti systému podporované povolenými moduly plug-in, vyberte ikonu výzvy umístěnou na panelu výzvy a vyberte Zobrazit všechny možnosti systému. Systémové funkce jsou specifické, jediné výzvy, které můžete použít v Copilotu. Výběr systémové funkce obvykle vyžaduje k získání užitečné odpovědi další vstup, ale Copilot poskytuje tyto pokyny.

Snímek obrazovky ikony výzvy, která po výběru otevře okno pro výběr systémových možností

Následující části obsahují stručný popis mnoha dostupných modulů plug-in Microsoftu, ale ne všech. Microsoft Security Copilot neustále přidává podporu pro produkty Microsoftu.

Azure Firewall (Preview)

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností.

Integrace služby Azure Firewall s Copilotem pomáhá analytikům provádět podrobné šetření škodlivého provozu zachyceného systémem detekce neoprávněných vniknutí a prevence (IDPS) a/nebo schopností analýzy hrozeb bran firewall v celém jejich prostředí.

Použití integrace služby Azure Firewall s Copilotem:

  • Brány Azure Firewall, které se mají používat se službou Security Copilot, musí být nakonfigurované s strukturovanými protokoly pro IDPS specifické pro prostředky a tyto protokoly se musí odesílat do pracovního prostoru služby Log Analytics.
  • Uživatelé používající modul plug-in Azure Firewall ve službě Security Copilot musí mít příslušné role řízení přístupu na základě role (RBAC) Azure pro přístup k bráně firewall a přidruženému pracovnímu prostoru služby Log Analytics.
  • Modul plug-in Azure Firewall ve funkci Security Copilot musí být zapnutý.

Možnosti služby Azure Firewall ve Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy založené na podporovaných možnostech.

Snímek obrazovky možností služby Azure Firewall, které je možné spouštět v samostatném prostředí

Mezi ukázkové výzvy patří:

  • Došlo k nějakému škodlivému provozu zachyceného názvem> brány firewall firewall<?
  • Jaké jsou 20 prvních 20 přístupů zprostředkovatele identity za posledních 7 dnů pro název> brány firewall brány firewall <v názvu> skupiny prostředků skupiny <prostředků?
  • Pokud se chci ujistit, že jsou všechny brány firewall chráněné proti útokům před číslem> ID <podpisu, jak to udělám?

Azure Web Application Firewall (Preview)

Integrace firewallu webových aplikací Azure (WAF) ve službě Security Copilot umožňuje hloubkové šetření událostí Azure WAF. Může vám pomoct prozkoumat protokoly WAF aktivované službou Azure WAF během několika minut a poskytovat související vektory útoku pomocí odpovědí přirozeného jazyka rychlostí počítače. Poskytuje přehled o prostředí hrozeb vašeho prostředí. Umožňuje načíst seznam nejčastěji aktivovaných pravidel WAF a identifikovat nejlepší IP adresy pro přesměrování ve vašem prostředí.

Integrace Copilotu zabezpečení je podporována v Azure WAF integrované se službou Aplikace Azure lication Gateway a Azure WAF integrovanými se službou Azure Front Door.

Pokud chcete používat integraci Azure WAF v Copilotu, musí být modul plug-in Azure WAF ve funkci Security Copilot zapnutý a nakonfigurovaný.

Samostatné prostředí Preview ve službě Azure WAF vám může pomoct s:

  • Poskytuje seznam hlavních pravidel Azure WAF aktivovaných v zákaznickém prostředí a generování hlubokého kontextu se souvisejícími vektory útoku.
  • Poskytuje seznam škodlivých IP adres v prostředí zákazníka a generuje související hrozby.
  • Shrnutí útoků prostřednictvím injektáže SQL (SQLi).
  • Shrnutí útoků založených na skriptování mezi weby (XSS).

Možnosti firewallu webových aplikací Azure ve Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.

Snímek obrazovky možností firewallu webových aplikací Azure, které je možné spouštět v samostatném prostředí

Mezi ukázkové výzvy patří:

  • Došlo k útoku prostřednictvím injektáže SQL v mém globálním WAF za poslední den?
  • Jaká globální pravidla WAF se aktivovala za posledních 24 hodin?
  • Shrnout seznam škodlivých IP adres ve waF služby Azure Front Door za posledních šest hodin?

Azure AI Search (Preview)

Modul plug-in Azure AI Search umožňuje připojit znalostní báze nebo úložiště vaší společnosti ke službě Microsoft Security Copilot. Podrobnosti o tomto modulu plug-in a připojení k znalostní báze jsou popsány v následující lekci tohoto modulu.

Microsoft Entra

Microsoft Entra je řada multicloudových řešení identit a přístupu k síti, která organizacím umožňuje chránit jakoukoli identitu a zabezpečený přístup k libovolnému prostředku. Poskytuje jednotnou platformu pro správu identit a přístupu k síti, což usnadňuje zabezpečení identit a přístupu k prostředkům napříč více cloudovými a hybridními prostředími.

Security Copilot se integruje s Microsoft Entra. S povoleným modulem plug-in Entra můžou bezpečnostní analytici okamžitě získat souhrn rizik, kroky k nápravě a doporučené pokyny pro každou ohroženou identitu v přirozeném jazyce. Analytici můžou pomocí Copilotu provést vytvoření pracovního postupu životního cyklu a zjednodušit proces vytváření a vydávání přihlašovacích údajů uživatele a přístupových práv. Copilot podporuje tyto a mnoho dalších funkcí Entra.

Možnosti Microsoft Entra v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.

Snímek obrazovky možností Entra, které je možné spouštět v samostatném prostředí

S povoleným modulem plug-in může být integrace Copilotu s Microsoft Entra také prostřednictvím integrovaného prostředí. Scénáře podporované prostřednictvím vloženého prostředí jsou podrobněji popsány v modulu s názvem "Popis vložených prostředí Microsoft Security Copilot".

Microsoft Intune

Microsoft Intune je cloudové řešení pro správu koncových bodů. Spravuje přístup uživatelů k prostředkům organizace a zjednodušuje správu aplikací a zařízení na mnoha zařízeních, včetně mobilních zařízení, stolních počítačů a virtuálních koncových bodů.

Security Copilot se integruje s Microsoft Intune. Pokud je Microsoft Intune k dispozici ve stejném tenantovi jako Copilot a modul plug-in je povolený, Bude moct Copilot získat informace o vašich zařízeních, aplikacích, zásadách dodržování předpisů a zásadách spravovaných v Intune.

Pokud chcete použít modul plug-in Microsoft Intune, musí být uživateli přiřazena role specifická pro službu Intune, jako je role Intune Endpoint Security Manageru, kromě oprávnění role, která uděluje přístup ke Copilotu.

Možnosti podporované modulem plug-in Intune umožňují uživateli:

  • Porovnejte různé základní úrovně zabezpečení.
  • Získejte souhrn existujících zásad.
  • Získejte obor přiřazení zásad.
  • Získejte rozdíly nebo porovnání mezi dvěma zařízeními.
  • Rychle shromážděte podrobnosti o zařízení tím, že se na něj zeptáte.
  • Získejte podrobné informace o registracích zařízení uživatele a dodržování předpisů zařízení pro účely řešení problémů nebo bezpečnostního prověřování.
  • A další

Možnosti Microsoft Intune v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.

Snímek obrazovky s návrhy výzvy Intune, které se dají spustit v samostatném prostředí

Mezi ukázkové výzvy patří:

  • Které aplikace Intune jsou přiřazovány nejčastěji?
  • Kolik zařízení se za posledních 24 hodin zaregistrovalo do Intune?
  • Jaký je rozdíl konfigurace hardwaru mezi zařízeními DeviceA a DeviceB?

S povoleným modulem plug-in může být integrace Copilotu s Microsoft Intune také dostupná prostřednictvím integrovaného prostředí. Scénáře podporované prostřednictvím vloženého prostředí jsou podrobněji popsány v modulu s názvem "Popis vložených prostředí Microsoft Security Copilot".

Microsoft Defender XDR

XDR v programu Microsoft Defender je sjednocená sada ochrany před porušením zabezpečení podniku, která nativně koordinuje detekci, prevenci, vyšetřování a reakci napříč koncovými body, identitami, e-maily a aplikacemi za účelem zajištění integrované ochrany před sofistikovanými útoky.

V Copilotu existují dva samostatné moduly plug-in, které se vztahují k XDR v programu Microsoft Defender (uživatelské rozhraní může stále zobrazovat Microsoft 365 Defender):

  • Microsoft Defender XDR
  • Přirozený jazyk KQL pro XDR v programu Microsoft Defender

Oprávnění role, které uživateli uděluje přístup ke Službě Copilot, určuje úroveň přístupu k datům XDR v programu Microsoft Defender. K použití modulu plug-in XDR v programu Microsoft Defender nebo modulu plug-in XQL v programu Defender XDR nejsou nutná žádná další oprávnění role.

Microsoft Defender XDR

Modul plug-in XDR v programu Microsoft Defender zahrnuje funkce, které uživatelům umožňují:

  • Rychlé shrnutí incidentů
  • Proveďte akce s incidenty prostřednictvím odpovědí s asistencí.
  • Vytváření hlášení incidentů
  • Získání odpovědí s asistencí na incidenty
  • Získání souhrnů zařízení v programu Defender
  • Analýza souborů
  • více...

Možnosti XDR v programu Microsoft Defender v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.

Snímek obrazovky možností XDR v programu Defender, které je možné spouštět v samostatném prostředí

Copilot obsahuje také integrovaný promptbook pro šetření incidentů XDR v programu Microsoft Defender, pomocí které můžete získat sestavu o konkrétním incidentu, se souvisejícími výstrahami, skóre reputace, uživateli a zařízeními.

S povoleným modulem plug-in může být integrace Copilotu s XDR v programu Defender také v integrovaném prostředí. Scénáře podporované prostřednictvím vloženého prostředí jsou podrobněji popsány v modulu s názvem "Popis vložených prostředí Microsoft Security Copilot".

Přirozený jazyk KQL pro Microsoft Defender

Modul plug-in Nl2KQLDefender (Natural language to KQL for Microsoft Defender) umožňuje funkci pomocníka pro dotazy, která převádí jakoukoli otázku v přirozeném jazyce v kontextu proaktivního vyhledávání hrozeb na dotaz KQL připravený ke spuštění. Pomocník pro dotazy šetří čas bezpečnostních týmů tak, že vygeneruje dotaz KQL, který se pak dá automaticky spustit nebo dále upravit podle potřeb analytika.

Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM)

Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) nepřetržitě zjišťuje a mapuje prostor pro digitální útok, aby poskytoval externí pohled na vaši online infrastrukturu. Tato viditelnost umožňuje týmům zabezpečení a IT identifikovat neznámé, určit prioritu rizika, eliminovat hrozby a rozšířit kontrolu ohrožení zabezpečení a ohrožení zabezpečení nad rámec brány firewall. Služba Attack Surface Insights se generuje pomocí dat o ohrožení zabezpečení a infrastruktuře, která představují klíčové oblasti zájmu vaší organizace.

Pokud používáte EASM v programu Defender ve stejném tenantovi jako Copilot a povolíte modul plug-in, může Copilot zobrazit přehledy z EASM Defenderu o prostoru útoku organizace. Tyto přehledy vám můžou pomoct pochopit stav zabezpečení a zmírnit ohrožení zabezpečení.

Možnosti EASM defenderu ve Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.

Snímek obrazovky možností systému EASM, které je možné spouštět v samostatném prostředí

Mezi příklady výzev patří:

  • Ovlivňuje můj vnější útok CVE-2023-21709?
  • Získejte prostředky ovlivněné vysokou prioritou CVSS v prostoru pro útoky.
  • Kolikch

Pokud chcete použít tento modul plug-in, je nutné nakonfigurovat parametry pro identifikaci předplatného vaší organizace pro Defender EASM.

Snímek obrazovky nastavení modulu plug-in EASM, která je potřeba nakonfigurovat.

Microsoft Defender Analýza hrozeb

Analýza hrozeb v programu Microsoft Defender (TI v programu Defender) je platforma, která zjednodušuje třídění, reakce na incidenty, proaktivní vyhledávání hrozeb, správa ohrožení zabezpečení a pracovní postupy analytiků analýzy kybernetických hrozeb při provádění analýz infrastruktury hrozeb a shromažďování analýzy hrozeb.

Funkce Security Copilot se integruje s Ti v programu Microsoft Defender. S povoleným modulem plug-in Defender TI poskytuje Copilot informace o skupinách aktivit hrozeb, indikátorech ohrožení (IOC), nástrojích a kontextové analýze hrozeb. Pomocí výzev a výzev můžete prošetřit incidenty, rozšířit toky proaktivního vyhledávání informacemi o analýze hrozeb nebo získat další znalosti o prostředí globálních hrozeb vaší organizace.

Možnosti TI v programu Microsoft Defender v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.

Snímek obrazovky možností systému TI v programu Defender, které je možné spouštět v samostatném prostředí

Mezi ukázkové výzvy patří:

  • Ukažte mi nejnovější články o hrozbách.
  • Získejte články o hrozbách spojené s finančním odvětvím.
  • Sdílejte technologie, které jsou náchylné k ohrožení zabezpečení – CVE-2021-44228.
  • Shrnutí chyby zabezpečení CVE-2021-44228

Integrované promptbooky, které doručí informace z TI Defenderu, zahrnují:

  • Posouzení dopadu ohrožení zabezpečení – vygeneruje sestavu se souhrnem inteligentních informací pro známou chybu zabezpečení, včetně kroků, jak ji vyřešit.
  • Profil objektu actor hrozeb – vygeneruje profilaci sestavy známé skupiny aktivit, včetně návrhů na ochranu před běžnými nástroji a taktikami.

Microsoft Purview

Microsoft Purview je komplexní sada řešení, která můžou vaší organizaci pomoct řídit, chránit a spravovat data bez ohledu na to, kde se nacházejí. Řešení Microsoft Purview poskytují integrované pokrytí a pomáhají řešit fragmentaci dat napříč organizacemi, nedostatek viditelnosti, která brání ochraně a zásadám správného řízení dat a rozmazaní tradičních rolí správy IT.

Modul plug-in Purview v Security Copilot umožňuje získat cenné údaje a přehledy rizik uživatelů, které vám pomůžou identifikovat zdroj útoku a všechna citlivá data, která mohou být ohrožena, za předpokladu, že máte příslušná oprávnění k roli v microsoft Purview. Vzhledem k tomu, že Microsoft Copilot předpokládá oprávnění uživatele při pokusu o přístup k datům pro odpovědi na dotazy, musíte mít požadovaná oprávnění role pro přístup k datům. Vaše organizace musí být také licencovaná a nasazená pro příslušná řešení Microsoft Purview.

Možnosti Microsoft Purview v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy založené na podporovaných možnostech.

Snímek obrazovky možností Purview

Možnosti copilotu se dají také provádět přímo z řešení Purview prostřednictvím integrovaného prostředí. Scénáře podporované prostřednictvím vloženého prostředí jsou podrobněji popsány v modulu s názvem "Popis vložených prostředí Microsoft Security Copilot".

Microsoft Sentinel (Preview)

Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku. S Microsoft Sentinelem získáte jedno řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.

Ve službě Copilot existují dva samostatné moduly plug-in, které se týkají služby Sentinel:

  • Microsoft Sentinel (Preview)
  • Přirozený jazyk pro Microsoft Sentinel KQL (Preview)

Snímek obrazovky služby Sentinel a NL2KQK v modulu plug-in Sentinel

Microsoft Sentinel (Preview)

Pokud chce uživatel využít modul plug-in Sentinel, musí mít přiřazené oprávnění role, které uděluje přístup ke Copilotu a konkrétní roli Sentinelu, jako je Microsoft Sentinel Reader, aby měl přístup k incidentům v pracovním prostoru.

Modul plug-in Sentinel také vyžaduje, aby uživatel nakonfigurovali pracovní prostor služby Sentinel, název předplatného a název skupiny prostředků.

Snímek obrazovky stránky nastavení modulu plug-in Sentinel

Možnosti modulu plug-in Sentinel se zaměřují na incidenty a pracovní prostory. Kromě toho Copilot obsahuje sadu promptbooků pro vyšetřování incidentů Microsoft Sentinelu. Tento promptbook obsahuje výzvy k získání sestavy o konkrétním incidentu spolu s souvisejícími výstrahami, skóre reputace, uživateli a zařízeními.

Přirozený jazyk pro Microsoft Sentinel KQL (Preview)

Modul plug-in NL2KQLSentinel (Sentinel KQL) v přirozeném jazyce převádí jakoukoli otázku v přirozeném jazyce v kontextu proaktivního vyhledávání hrozeb na dotaz KQL připravený k spuštění. To šetří čas bezpečnostních týmů generováním dotazu KQL, který se pak dá automaticky spustit nebo dále upravit podle potřeb analytika.