Security Copilot mit Microsoft Sentinel
Microsoft Security Copilot ist eine Plattform, die Ihnen hilft, Ihre Organisation in Computergeschwindigkeit und im großen Maßstab zu verteidigen. Die großen Mengen an Sicherheitsdaten von Microsoft Sentinel bieten eine hervorragende Quelle für Copilot, um Vorfälle zu analysieren und Suchabfragen zu generieren.
Zusammen mit anderen Security Copilot-Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel-Vorfälle und -Daten umfassendere Einblicke in Bedrohungen und deren Kontext für Ihre Organisation.
Wissenswertes für die Vorbereitung
Wenn Sie Security Copilot noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot-Oberflächen
- Erste Schritte mit Microsoft Security Copilot
- Grundlegendes zur Authentifizierung in Microsoft Security Copilot
- Aufforderungen in Microsoft Security Copilot
Integration von Security Copilot mit Microsoft Sentinel
Diese Integration unterstützt in erster Linie die eigenständige Erfahrung, auf die über https://securitycopilot.microsoft.com zugegriffen wird, wo Sie in einer chatähnlichen Erfahrung interagieren, um Vorfälle zusammenzufassen und andere Antworten auf Ihre Sicherheitsdaten erhalten. Weitere Informationen finden Sie unter Microsoft Security Copilot-Erfahrungen.
Schlüsselfunktionen
Microsoft Sentinel-Daten werden auf zwei Arten in Security Copilot integriert.
- In der einheitlichen Sicherheitsoperationsplattform von Microsoft profitiert Copilot in Microsoft Defender XDR von einheitlichen Vorfällen, die in Microsoft Sentinel integriert sind.
- In der eigenständigen Oberfläche bietet Microsoft Sentinel zwei Plug-Ins für die Integration in Security Copilot:
Microsoft Sentinel (Vorschau)
Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)
Wichtig
Die Plug-Ins „Microsoft Sentinel“ und „Natürliche Sprache in KQL für Microsoft Sentinel“ befinden sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Integration von Microsoft Security Copilot mit Microsoft Sentinel aktivieren
Gehen Sie wie folgt vor, um Ihre Security Copilot-Integration in Microsoft Sentinel zu maximieren:
- Konfigurieren eines standardmäßigen Microsoft Sentinel-Arbeitsbereichs für Security Copilot
- Verbinden Sie Ihren Microsoft Sentinel-Arbeitsbereich mit Microsoft Defender XDR
Konfigurieren eines Microsoft Sentinel-Standardarbeitsbereichs
Erhöhen Sie die Genauigkeit Ihrer Prompts, indem Sie einen Microsoft Sentinel-Arbeitsbereich als Standard konfigurieren.
Navigieren Sie zu Security Copilot unter https://securitycopilot.microsoft.com/.
Öffnen Sie Quellen
auf der Prompt-Leiste.Legen Sie auf der Seite Plug-Ins verwalten den Umschalter auf Ein fest.
Wählen Sie das Zahnradsymbol im Microsoft Sentinel-Plug-In (Vorschau) aus.
Konfigurieren Sie den Namen für den Standardarbeitsbereich.
Tipp
Geben Sie den Arbeitsbereich in Ihrem Prompt an, falls er nicht mit dem konfigurierten Standardwert übereinstimmt.
Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrieren von Microsoft Sentinel mit Copilot in Defender
Verwenden Sie das Microsoft Defender-Portal mit Ihren Microsoft Sentinel-Daten für eine eingebettete Security Copilot-Erfahrung. Die einzigartigen Datenquellen von Microsoft Sentinel, die in einheitliche Microsoft Defender XDR-Vorfälle fließen, ermöglichen Copilot in Defender, seine Funktionen zu maximieren.
Zum Beispiel:
- Die SAP-Lösung (Vorschau) wird in Ihrem Arbeitsbereich für Microsoft Sentinel installiert.
- Die Quasi-Echtzeit-Regel SAP – (Vorschau) Datei, die von einer bösartigen IP-Adresse heruntergeladen wurde, löst eine Warnung aus, wodurch ein Microsoft Sentinel-Incident erstellt wird.
- Microsoft Sentinel wurde in das Defender-Portal eingebunden.
- Microsoft Sentinel-Incidents sind nun mit Defender XDR-Inicdents vereinheitlicht.
- Verwenden Sie Copilot in Microsoft Defender für die Zusammenfassung von Incidents, geführten Reaktionen und Incidentberichten.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Integrieren von Microsoft Defender XDR
- Microsoft Sentinel im Microsoft Defender-Portal
- Copilot in Microsoft Defender
Integrieren von Microsoft Sentinel mit Security Copilot in der erweiterten Bedrohungssuche
Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Umgebung und im Abschnitt „Erweiterte Bedrohungssuche“ des Microsoft Defender-Portals verfügbar.
Hinweis
Im einheitlichen Microsoft Defender-Portal können Sie Security Copilot auffordern, erweiterte Bedrohungssuchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Nicht alle Microsoft Sentinel-Tabellen werden derzeit unterstützt.
Weitere Informationen finden Sie unter Security Copilot in der erweiterten Suche.
Beispiel für Microsoft Sentinel-Prompts
Nutzen Sie das Promptbook zur Untersuchung von Microsoft Sentinel-Incidents als Ausgangspunkt für die Erstellung effektiver Prompts. Dieses Promptbook liefert einen Bericht über einen bestimmten Incident sowie verwandte Warnungen, Zuverlässigkeitsbewertungen, Benutzer:innen und Geräte.
| Leitfaden | Eingabeaufforderung |
|---|---|
| Erstellen Sie mit Copilot lesbare Informationen, anstatt mit Objekt-IDs zu reagieren. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot weiß, wer Sie sind. Verwenden Sie das Pronomen „ich“, um Incidents zu finden, die mit Ihnen in Zusammenhang stehen. Der folgende Prompt zielt auf die Ihnen zugewiesenen Incidents ab. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Wenn Sie die Antwort auf einen Prompt auf einen einzelnen Incident einschränken, kennt Copilot auch den Kontext. | Tell me about the entities associated with that incident. |
| Copilot eignet sich gut für Zusammenfassungen. Beschreiben Sie eine bestimmte Zielgruppe, für die die Prompts und Antworten zusammengefasst werden sollen. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Weitere Leitfäden und Beispiele für Prompts finden Sie in den folgenden Ressourcen:
- Verwenden von Promptbooks
- Aufforderungen in Microsoft Security Copilot
- Rod Trents Security Copilot Prompt Library
Feedback geben
Ihr Feedback ist entscheidend, um die aktuelle und geplante Entwicklung des Produkts zu verbessern. Am besten geben Sie dieses Feedback direkt im Produkt. Wählen Sie unter jedem abgeschlossenen Prompt für Wie ist diese Antwort? eine der folgenden Optionen aus:
- Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
- Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
- Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.
Für jede Feedbackoption können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und vor allem, wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie bestimmte Prompts für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.
Datenschutz und Datensicherheit in Security Copilot
Informationen dazu, wie Security Copilot Ihre Prompts und die Daten verarbeitet, die aus dem Dienst abgerufen werden (Promptausgabe), finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.