Beschreiben der Microsoft Sentinel-Integration mit Microsoft Security Copilot
Microsoft Sentinel ist mit Microsoft Security Copilot integriert.
Für Unternehmen, deren Onboarding in Microsoft Security Copilot durchgeführt, wird die Integration durch Plugins aktiviert, auf die über das Copilot-Portal zugegriffen wird. Sentinel bietet zwei Plugins zur Integration mit Security Copilot:
- Microsoft Sentinel (Vorschau)
- Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)
Plug-In für Microsoft Sentinel (Preview): Um das Sentinel-Plug-In nutzen zu können, muss dem Benutzer eine Rollenberechtigung zugewiesen werden, die ihm Zugriff auf Copilot und eine Sentinel-spezifische Rolle wie Microsoft Sentinel Reader gewährt, um auf Vorfälle im Arbeitsbereich zuzugreifen.
Das Sentinel-Plug-In erfordert, dass der Benutzer den Sentinel-Arbeitsbereich, den Abonnementnamen und den Ressourcengruppennamen konfiguriert.
Die Sentinel-Plug-In-Funktionen konzentrieren sich auf Incidents und Arbeitsbereiche. Microsoft Sentinel-Funktionen in Copilot sind integrierte Prompts, die Sie verwenden können. Sie können jedoch auch eigene Prompts basierend auf den unterstützten Funktionen eingeben.
Außerdem enthält Copilot ein Promptbook für die Untersuchung von Microsoft Sentinel-Vorfällen. Dieses Promptbook enthält Aufforderungen zum Abrufen eines Berichts zu einem bestimmten Incident sowie verwandte Warnungen, Reputationsbewertungen, Benutzer und Geräte.
Das Microsoft Sentinel-Promtbook für die Incidentuntersuchung ist nicht nur ein guter Ausgangspunkt für Ihre Untersuchung, sondern auch für die Erstellung effektiver Prompts.
Plug-In für natürliche Sprache in Microsoft Sentinel KQL (Vorschau): Das NL2KQLSentinel-Plug-In (Natural Language to Sentinel KQL) konvertiert alle Fragen in natürlicher Sprache im Kontext der Bedrohungssuche in eine direkt ausführbare KQL-Abfrage. Das spart Sicherheitsteams Zeit, indem eine KQL-Abfrage generiert wird, die dann automatisch ausgeführt oder weiter entsprechend den Anforderungen des Analysten optimiert werden kann. Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Umgebung und im Abschnitt „Erweiterte Bedrohungssuche“ des Microsoft Defender-Portals verfügbar.
Microsoft Sentinel mit Copilot im Defender
Die Integration von Microsoft Sentinel mit Copilot kann sowohl über die eigenständige Oberfläche als auch über die eingebettete Erfahrung über das Defender-Portal erfahren werden. Die eingebettete Oberfläche, auf die über das Defender-Portal zugegriffen wird, verwendet Unified Security Operations Platform mit Ihren Microsoft Sentinel-Daten.
Incidents: Microsoft Sentinel-Incidents wurden jetzt mit Defender XDR-Incidents vereinigt, sodass Sie Copilot in Microsoft Defender für die Incidentzusammenfassung, geführte Reaktionen und Incidentberichte von Sentinel-Incidents verwenden können.
