Freigeben über


Security Copilot mit Microsoft Sentinel

Microsoft Security Copilot ist eine Plattform, die Ihnen hilft, Ihre Organisation in Computergeschwindigkeit und im großen Maßstab zu verteidigen. Die großen Mengen an Sicherheitsdaten von Microsoft Sentinel bieten eine hervorragende Quelle für Copilot, um Vorfälle zu analysieren und Suchabfragen zu generieren.

Zusammen mit anderen Security Copilot-Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel-Vorfälle und -Daten umfassendere Einblicke in Bedrohungen und deren Kontext für Ihre Organisation.

Wissenswertes für die Vorbereitung

Wenn Sie Security Copilot noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:

Integration von Security Copilot mit Microsoft Sentinel

Diese Integration unterstützt in erster Linie die eigenständige Erfahrung, auf die über https://securitycopilot.microsoft.com zugegriffen wird, wo Sie in einer chatähnlichen Erfahrung interagieren, um Vorfälle zusammenzufassen und andere Antworten auf Ihre Sicherheitsdaten erhalten. Weitere Informationen finden Sie unter Microsoft Security Copilot-Erfahrungen.

Schlüsselfunktionen

Microsoft Sentinel-Daten werden auf zwei Arten in Security Copilot integriert.

  • In der einheitlichen Sicherheitsoperationsplattform von Microsoft profitiert Copilot in Microsoft Defender XDR von einheitlichen Vorfällen, die in Microsoft Sentinel integriert sind.
  • In der eigenständigen Oberfläche bietet Microsoft Sentinel zwei Plug-Ins für die Integration in Security Copilot:
    Microsoft Sentinel (Vorschau)
    Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)

Wichtig

Die Plug-Ins „Microsoft Sentinel“ und „Natürliche Sprache in KQL für Microsoft Sentinel“ befinden sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Integration von Microsoft Security Copilot mit Microsoft Sentinel aktivieren

Gehen Sie wie folgt vor, um Ihre Security Copilot-Integration in Microsoft Sentinel zu maximieren:

  • Konfigurieren eines standardmäßigen Microsoft Sentinel-Arbeitsbereichs für Security Copilot
  • Verbinden Sie Ihren Microsoft Sentinel-Arbeitsbereich mit Microsoft Defender XDR

Konfigurieren eines Microsoft Sentinel-Standardarbeitsbereichs

Erhöhen Sie die Genauigkeit Ihrer Prompts, indem Sie einen Microsoft Sentinel-Arbeitsbereich als Standard konfigurieren.

  1. Navigieren Sie zu Security Copilot unter https://securitycopilot.microsoft.com/.

  2. Öffnen Sie Quellen auf der Prompt-Leiste.

  3. Legen Sie auf der Seite Plug-Ins verwalten den Umschalter auf Ein fest.

  4. Wählen Sie das Zahnradsymbol im Microsoft Sentinel-Plug-In (Vorschau) aus.

    Screenshot des Zahnradsymbols für die Personalisierungsauswahl für das Microsoft Sentinel-Plug-In

  5. Konfigurieren Sie den Namen für den Standardarbeitsbereich.

    Screenshot der Personalisierungsoptionen für das Microsoft Sentinel-Plug-In

Tipp

Geben Sie den Arbeitsbereich in Ihrem Prompt an, falls er nicht mit dem konfigurierten Standardwert übereinstimmt.

Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Integrieren von Microsoft Sentinel mit Copilot in Defender

Verwenden Sie das Microsoft Defender-Portal mit Ihren Microsoft Sentinel-Daten für eine eingebettete Security Copilot-Erfahrung. Die einzigartigen Datenquellen von Microsoft Sentinel, die in einheitliche Microsoft Defender XDR-Vorfälle fließen, ermöglichen Copilot in Defender, seine Funktionen zu maximieren.

Zum Beispiel:

Screenshot des Microsoft Sentinel-Incidents aus dem Defender-Portal mit eingebetteter Copilot-Umgebung

Weitere Informationen finden Sie in den folgenden Ressourcen:

Integrieren von Microsoft Sentinel mit Security Copilot in der erweiterten Bedrohungssuche

Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Umgebung und im Abschnitt „Erweiterte Bedrohungssuche“ des Microsoft Defender-Portals verfügbar.

Hinweis

Im einheitlichen Microsoft Defender-Portal können Sie Security Copilot auffordern, erweiterte Bedrohungssuchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Nicht alle Microsoft Sentinel-Tabellen werden derzeit unterstützt.

Weitere Informationen finden Sie unter Security Copilot in der erweiterten Suche.

Beispiel für Microsoft Sentinel-Prompts

Nutzen Sie das Promptbook zur Untersuchung von Microsoft Sentinel-Incidents als Ausgangspunkt für die Erstellung effektiver Prompts. Dieses Promptbook liefert einen Bericht über einen bestimmten Incident sowie verwandte Warnungen, Zuverlässigkeitsbewertungen, Benutzer:innen und Geräte.

Leitfaden Eingabeaufforderung
Erstellen Sie mit Copilot lesbare Informationen, anstatt mit Objekt-IDs zu reagieren. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot weiß, wer Sie sind. Verwenden Sie das Pronomen „ich“, um Incidents zu finden, die mit Ihnen in Zusammenhang stehen. Der folgende Prompt zielt auf die Ihnen zugewiesenen Incidents ab. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Wenn Sie die Antwort auf einen Prompt auf einen einzelnen Incident einschränken, kennt Copilot auch den Kontext. Tell me about the entities associated with that incident.
Copilot eignet sich gut für Zusammenfassungen. Beschreiben Sie eine bestimmte Zielgruppe, für die die Prompts und Antworten zusammengefasst werden sollen. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Weitere Leitfäden und Beispiele für Prompts finden Sie in den folgenden Ressourcen:

Feedback geben

Ihr Feedback ist entscheidend, um die aktuelle und geplante Entwicklung des Produkts zu verbessern. Am besten geben Sie dieses Feedback direkt im Produkt. Wählen Sie unter jedem abgeschlossenen Prompt für Wie ist diese Antwort? eine der folgenden Optionen aus:

  • Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
  • Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
  • Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.

Für jede Feedbackoption können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und vor allem, wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie bestimmte Prompts für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.

Datenschutz und Datensicherheit in Security Copilot

Informationen dazu, wie Security Copilot Ihre Prompts und die Daten verarbeitet, die aus dem Dienst abgerufen werden (Promptausgabe), finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.