Beschreiben der Microsoft Sentinel-Integration mit Microsoft Copilot für Sicherheit
Microsoft Sentinel lässt sich in Microsoft Copilot für Sicherheit integrieren.
Für Unternehmen, die in Microsoft Copilot for Security integriert sind, wird die Integration über Plug-Ins über das Copilot-Portal aktiviert. Sentinel bietet zwei Plug-Ins für die Integration in Copilot for Security:
- Microsoft Sentinel (Vorschau)
- Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)
Plug-In für Microsoft Sentinel (Preview): Um das Sentinel-Plug-In nutzen zu können, muss dem Benutzer eine Rollenberechtigung zugewiesen werden, die ihm Zugriff auf Copilot und eine Sentinel-spezifische Rolle wie Microsoft Sentinel Reader gewährt, um auf Vorfälle im Arbeitsbereich zuzugreifen.
Das Sentinel-Plug-In erfordert, dass der Benutzer den Sentinel-Arbeitsbereich, den Abonnementnamen und den Ressourcengruppennamen konfiguriert.
Die Sentinel-Plug-In-Funktionen konzentrieren sich auf Incidents und Arbeitsbereiche. Microsoft Sentinel-Funktionen in Copilot sind integrierte Prompts, die Sie verwenden können. Sie können jedoch auch eigene Prompts basierend auf den unterstützten Funktionen eingeben.
Außerdem enthält Copilot ein Promptbook für die Untersuchung von Microsoft Sentinel-Vorfällen. Dieses Promptbook enthält Aufforderungen zum Abrufen eines Berichts zu einem bestimmten Incident sowie verwandte Warnungen, Reputationsbewertungen, Benutzer und Geräte.
Das Microsoft Sentinel-Promtbook für die Incidentuntersuchung ist nicht nur ein guter Ausgangspunkt für Ihre Untersuchung, sondern auch für die Erstellung effektiver Prompts.
Plug-In für natürliche Sprache in Microsoft Sentinel KQL (Vorschau): Das NL2KQLSentinel-Plug-In (Natural Language to Sentinel KQL) konvertiert alle Fragen in natürlicher Sprache im Kontext der Bedrohungssuche in eine direkt ausführbare KQL-Abfrage. Das spart Sicherheitsteams Zeit, indem eine KQL-Abfrage generiert wird, die dann automatisch ausgeführt oder weiter entsprechend den Anforderungen des Analysten optimiert werden kann. Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Umgebung und im Abschnitt „Erweiterte Bedrohungssuche“ des Microsoft Defender-Portals verfügbar.
Microsoft Sentinel mit Copilot in Defender
Die Integration von Microsoft Sentinel in Copilot kann sowohl über die eigenständige Oberfläche als auch über die eingebettete Oberfläche über das Defender-Portal erfolgen. Die eingebettete Oberfläche, auf die über das Defender-Portal zugegriffen wird, verwendet Unified Security Operations Platform mit Ihren Microsoft Sentinel-Daten.
Incidents: Microsoft Sentinel-Incidents wurden jetzt mit Defender XDR-Incidents vereinigt, sodass Sie Copilot in Microsoft Defender für die Incidentzusammenfassung, geführte Reaktionen und Incidentberichte von Sentinel-Incidents verwenden können.
