Freigeben über


Microsoft Sentinel-Incidents in Copilot für Sicherheit

Microsoft Copilot für Security ist eine Plattform, die Ihnen hilft, Ihre Organisation in Computergeschwindigkeit und skalierbar zu verteidigen. Microsoft Sentinel stellt ein Plug-In für Copilot bereit, mit dem Sie Incidents analysieren und Suchabfragen generieren können.

Zusammen mit den iterativen Prompts mithilfe anderer komplexer Copilot für Security-Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel-Incidents und -Daten umfassendere Erkenntnisse zu Bedrohungen und deren Kontext für Ihre Organisation.

Weitere Informationen zu Copilot für Security finden Sie in den folgenden Artikeln:

Integrieren von Microsoft Sentinel mit Copilot für Security

Microsoft Sentinel bietet zwei Plug-Ins für die Integration mit Copilot für Security:

  • Microsoft Sentinel (Vorschau)
  • Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)

Wichtig

Die Plug-Ins „Microsoft Sentinel“ und „Natürliche Sprache in KQL für Microsoft Sentinel“ befinden sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Konfigurieren eines Microsoft Sentinel-Standardarbeitsbereichs

Erhöhen Sie die Genauigkeit Ihrer Prompts, indem Sie einen Microsoft Sentinel-Arbeitsbereich als Standard konfigurieren.

  1. Navigieren Sie unter https://securitycopilot.microsoft.com/ zu Copilot für Security.

  2. Öffnen Sie Quellen auf der Prompt-Leiste.

  3. Legen Sie auf der Seite Plug-Ins verwalten den Umschalter auf Ein fest.

  4. Wählen Sie das Zahnradsymbol im Microsoft Sentinel-Plug-In (Vorschau) aus.

    Screenshot des Zahnradsymbols für die Personalisierungsauswahl für das Microsoft Sentinel-Plug-In

  5. Konfigurieren Sie den Namen für den Standardarbeitsbereich.

    Screenshot der Personalisierungsoptionen für das Microsoft Sentinel-Plug-In

Tipp

Geben Sie den Arbeitsbereich in Ihrem Prompt an, falls er nicht mit dem konfigurierten Standardwert übereinstimmt.

Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Integrieren von Microsoft Sentinel mit Copilot in Defender

Verwenden Sie die Unified Security Operations Platform mit Ihren Microsoft Sentinel-Daten für eine eingebettete Copilot für Security-Umgebung. Die einheitlichen Incidents von Microsoft Sentinel im Defender-Portal ermöglichen die Verwendung der Funktionen von Copilot in Defender mit Microsoft Sentinel-Daten.

Zum Beispiel:

Screenshot des Microsoft Sentinel-Incidents aus dem Defender-Portal mit eingebetteter Copilot-Umgebung

Weitere Informationen finden Sie in den folgenden Ressourcen:

Integrieren von Microsoft Sentinel mit Copilot für Security in der erweiterten Bedrohungssuche

Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Umgebung und im Abschnitt „Erweiterte Bedrohungssuche“ des Microsoft Defender-Portals verfügbar.

Hinweis

Im einheitlichen Microsoft Defender-Portal können Sie Copilot für Security auffordern, erweiterte Bedrohungssuchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Nicht alle Microsoft Sentinel-Tabellen werden derzeit unterstützt, die Unterstützung für diese Tabellen wird aber in Zukunft hinzugefügt.

Weitere Informationen finden Sie unter Copilot für Security bei der erweiterten Bedrohungssuche.

Verbessern Ihrer Microsoft Sentinel-Prompts

Nutzen Sie das Promptbook zur Untersuchung von Microsoft Sentinel-Incidents als Ausgangspunkt für die Erstellung effektiver Prompts. Dieses Promptbook liefert einen Bericht über einen bestimmten Incident sowie verwandte Warnungen, Zuverlässigkeitsbewertungen, Benutzer:innen und Geräte.

Leitfaden Eingabeaufforderung
Erstellen Sie mit Copilot lesbare Informationen, anstatt mit Objekt-IDs zu reagieren. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot weiß, wer Sie sind. Verwenden Sie das Pronomen „ich“, um Incidents zu finden, die mit Ihnen in Zusammenhang stehen. Der folgende Prompt zielt auf die Ihnen zugewiesenen Incidents ab. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Wenn Sie die Antwort auf einen Prompt auf einen einzelnen Incident einschränken, kennt Copilot auch den Kontext. Tell me about the entities associated with that incident.
Copilot eignet sich gut für Zusammenfassungen. Beschreiben Sie eine bestimmte Zielgruppe, für die die Prompts und Antworten zusammengefasst werden sollen. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Weitere Leitfäden und Beispiele für Prompts finden Sie in den folgenden Ressourcen: