Microsoft Sentinel-Incidents in Copilot für Sicherheit
Microsoft Copilot für Security ist eine Plattform, die Ihnen hilft, Ihre Organisation in Computergeschwindigkeit und skalierbar zu verteidigen. Microsoft Sentinel stellt ein Plug-In für Copilot bereit, mit dem Sie Incidents analysieren und Suchabfragen generieren können.
Zusammen mit den iterativen Prompts mithilfe anderer komplexer Copilot für Security-Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel-Incidents und -Daten umfassendere Erkenntnisse zu Bedrohungen und deren Kontext für Ihre Organisation.
Weitere Informationen zu Copilot für Security finden Sie in den folgenden Artikeln:
- Erste Schritte mit Microsoft Copilot for Security
- Plug-Ins in Microsoft Copilot für Security verwalten
- Grundlegendes zur Authentifizierung in Microsoft Copilot for Security
Integrieren von Microsoft Sentinel mit Copilot für Security
Microsoft Sentinel bietet zwei Plug-Ins für die Integration mit Copilot für Security:
- Microsoft Sentinel (Vorschau)
- Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)
Wichtig
Die Plug-Ins „Microsoft Sentinel“ und „Natürliche Sprache in KQL für Microsoft Sentinel“ befinden sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Konfigurieren eines Microsoft Sentinel-Standardarbeitsbereichs
Erhöhen Sie die Genauigkeit Ihrer Prompts, indem Sie einen Microsoft Sentinel-Arbeitsbereich als Standard konfigurieren.
Navigieren Sie unter https://securitycopilot.microsoft.com/ zu Copilot für Security.
Öffnen Sie Quellen auf der Prompt-Leiste.
Legen Sie auf der Seite Plug-Ins verwalten den Umschalter auf Ein fest.
Wählen Sie das Zahnradsymbol im Microsoft Sentinel-Plug-In (Vorschau) aus.
Konfigurieren Sie den Namen für den Standardarbeitsbereich.
Tipp
Geben Sie den Arbeitsbereich in Ihrem Prompt an, falls er nicht mit dem konfigurierten Standardwert übereinstimmt.
Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrieren von Microsoft Sentinel mit Copilot in Defender
Verwenden Sie die Unified Security Operations Platform mit Ihren Microsoft Sentinel-Daten für eine eingebettete Copilot für Security-Umgebung. Die einheitlichen Incidents von Microsoft Sentinel im Defender-Portal ermöglichen die Verwendung der Funktionen von Copilot in Defender mit Microsoft Sentinel-Daten.
Zum Beispiel:
- Die SAP-Lösung (Vorschau) wird in Ihrem Arbeitsbereich für Microsoft Sentinel installiert.
- Die Quasi-Echtzeit-Regel SAP – (Vorschau) Datei, die von einer bösartigen IP-Adresse heruntergeladen wurde, löst eine Warnung aus, wodurch ein Microsoft Sentinel-Incident erstellt wird.
- Microsoft Sentinel wurde der Unified Security Operations Platform hinzugefügt.
- Microsoft Sentinel-Incidents sind nun mit Defender XDR-Inicdents vereinheitlicht.
- Verwenden Sie Copilot in Microsoft Defender für die Zusammenfassung von Incidents, geführten Reaktionen und Incidentberichten.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Integrieren von Microsoft Sentinel mit Copilot für Security in der erweiterten Bedrohungssuche
Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Umgebung und im Abschnitt „Erweiterte Bedrohungssuche“ des Microsoft Defender-Portals verfügbar.
Hinweis
Im einheitlichen Microsoft Defender-Portal können Sie Copilot für Security auffordern, erweiterte Bedrohungssuchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Nicht alle Microsoft Sentinel-Tabellen werden derzeit unterstützt, die Unterstützung für diese Tabellen wird aber in Zukunft hinzugefügt.
Weitere Informationen finden Sie unter Copilot für Security bei der erweiterten Bedrohungssuche.
Verbessern Ihrer Microsoft Sentinel-Prompts
Nutzen Sie das Promptbook zur Untersuchung von Microsoft Sentinel-Incidents als Ausgangspunkt für die Erstellung effektiver Prompts. Dieses Promptbook liefert einen Bericht über einen bestimmten Incident sowie verwandte Warnungen, Zuverlässigkeitsbewertungen, Benutzer:innen und Geräte.
Leitfaden | Eingabeaufforderung |
---|---|
Erstellen Sie mit Copilot lesbare Informationen, anstatt mit Objekt-IDs zu reagieren. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
Copilot weiß, wer Sie sind. Verwenden Sie das Pronomen „ich“, um Incidents zu finden, die mit Ihnen in Zusammenhang stehen. Der folgende Prompt zielt auf die Ihnen zugewiesenen Incidents ab. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
Wenn Sie die Antwort auf einen Prompt auf einen einzelnen Incident einschränken, kennt Copilot auch den Kontext. | Tell me about the entities associated with that incident. |
Copilot eignet sich gut für Zusammenfassungen. Beschreiben Sie eine bestimmte Zielgruppe, für die die Prompts und Antworten zusammengefasst werden sollen. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Weitere Leitfäden und Beispiele für Prompts finden Sie in den folgenden Ressourcen:
- Verwenden von Promptbooks
- Aufforderung in Microsoft Copilot für Security
- Bibliothek mit Copilot für Security-Prompts von Rod Trent