Compartir a través de

Integración de Azure Firewall en Microsoft Security Copilot (versión preliminar)

  • Artículo

Importante

La integración de Azure Firewall en Microsoft Security Copilot se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Copilot es una solución de seguridad con tecnología de IA generativa que ayuda a aumentar la eficacia y las funcionalidades del personal de seguridad para mejorar los resultados de seguridad a velocidad y escala de máquina. Proporciona un lenguaje natural y una experiencia de copiloto de asistencia que ayuda a los profesionales de seguridad en escenarios de un extremo a otro, como la respuesta a incidentes, la búsqueda de amenazas, la recopilación de inteligencia y la administración de posiciones. Para obtener más información sobre lo que puede hacer, consulte ¿Qué es Microsoft Security Copilot?

Saber antes de empezar

Si no está familiarizado con Microsoft Security Copilot, debe familiarizarse con él leyendo estos artículos:

Integración de Security Copilot en Azure Firewall

Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo de nube que proporciona la mejor protección contra amenazas para aquellas cargas de trabajo en la nube que se ejecuten en Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones.

La integración de Azure Firewall en Security Copilot ayuda a los analistas a realizar investigaciones detalladas del tráfico malintencionado interceptado por la característica de IDPS de sus firewalls en toda su flota mediante preguntas en lenguaje natural.

Puede usar esta integración en dos experiencias diferentes:

Para más información, consulte Experiencias de Microsoft Security Copilot y Funcionalidades de Microsoft Copilot en Azure.

Características clave

Security Copilot tiene características del sistema integradas que pueden obtener datos de los diferentes complementos activados.

Para ver la lista de funcionalidades del sistema integradas para Azure Firewall, use el procedimiento siguiente en el portal de Security Copilot:

  1. En la barra de indicaciones, seleccione el icono Indicaciones.

  2. Seleccione Ver todas las funcionalidades del sistema.

  3. En la sección Azure Firewall se enumeran todas las funcionalidades disponibles que se pueden usar.

    Captura de pantalla de las funcionalidades del sistema para Azure Firewall en Microsoft Security Copilot.

Habilitación de la integración de Azure Firewall en Security Copilot

  1. Asegúrese de que Azure Firewall esté configurado correctamente:

    • Registros estructurados de Azure Firewall: los firewalls de Azure Firewall que se usarán con Security Copilot deben configurarse con registros estructurados específicos del recurso para IDPS, y estos registros deben enviarse a un área de trabajo de Log Analytics.

    • Control de acceso basado en roles para Azure Firewall: los usuarios que usen el complemento de Azure Firewall en Security Copilot deben tener los roles de control de acceso basado en rol de Azure adecuados para acceder al firewall y a las áreas de trabajo de Log Analytics asociadas.

  2. Vaya a Security Copilot e inicie sesión con sus credenciales.

  3. Asegúrese de que el complemento de Azure Firewall esté activado. En la barra de indicaciones, seleccione el icono Orígenes. En la ventana emergente Administrar orígenes que aparece, confirme que Azure Firewall esté activado. A continuación, cierre la ventana. No es necesario realizar ninguna otra configuración. Siempre que los registros estructurados se envíen a un área de trabajo de Log Analytics y tenga los permisos adecuados de control de acceso basado en rol, Copilot busca los datos que necesita para responder a sus preguntas.

    Captura de pantalla que muestra el complemento de Azure Firewall.

  4. Escriba la indicación en la barra de mensajes en el portal de Security Copilot o a través de la experiencia de Copilot en Azure en Azure Portal.

    Importante

    El uso de Copilot en Azure para consultar Azure Firewall se incluye con Security Copilot y requiere unidades de proceso de seguridad (SCU). Puede aprovisionar SKU y aumentarlas o disminuirlas en cualquier momento. Para obtener más información sobre las SKU, consulte Introducción a Microsoft Security Copilot. Si no tiene Security Copilot configurado correctamente, pero formula una pregunta relevante para las funcionalidades de Azure Firewall a través de Copilot en la experiencia de Azure, verá un mensaje de error.

Indicaciones de Azure Firewall de ejemplo

Hay muchas indicaciones que se pueden usar para obtener información de Azure Firewall. En esta sección se enumeran las que funcionan mejor en este momento. Se actualizan continuamente a medida que hay nuevas funcionalidades.

Recuperación de los principales impactos de firma de IDPS para Azure Firewall

Obtenga información de registro sobre el tráfico interceptado por la característica IDPS en lugar de construir consultas KQL manualmente.

Ejemplos de solicitudes:

  • ¿Ha habido tráfico malintencionado interceptado por el firewall <nombre de firewall>?

  • ¿Cuáles son los 20 primeros impactos de IDPS de los últimos siete días del firewall <nombre de firewall> del grupo de recursos <nombre del grupo de recursos>?

  • Muéstrame en formato tabular los 50 principales ataques dirigidos al firewall <nombre de firewall> de la suscripción <Nombre de la suscripción> del mes pasado.

    Captura de pantalla que muestra la recuperación de las principales aciertos de firma IDPS para una funcionalidad de Azure Firewall.

Enriquecer el perfil de amenazas de una firma IDPS más allá de la información de registro

Obtenga detalles adicionales para enriquecer la información y el perfil de amenazas de una firma IDPS en lugar de compilarla manualmente.

Ejemplos de solicitudes:

  • Explica por qué IDPS marcó el impacto superior como de gravedad alta y el quinto como de gravedad baja.

  • ¿Qué me puedes decir sobre este ataque? ¿Cuáles son los otros ataques por los que se conoce a este atacante?

  • Observo que el tercer identificador de firma está asociado al CVE <número de CVE>: cuéntame más sobre este CVE.

    Captura de pantalla que muestra la funcionalidad Enriquecer el perfil de amenaza de una firma IDPS más allá de la funcionalidad de información de registro.

Nota:

El complemento Inteligencia contra amenazas Microsoft es otro origen que Security Copilot podría usar para proporcionar inteligencia sobre amenazas para firmas IDPS.

Busque una firma IDPS determinada en el inquilino, la suscripción o el grupo de recursos

Realice una búsqueda en toda la flota (en cualquier ámbito) para una amenaza en todas las puertas de enlace de perímetro de seguridad en lugar de buscar la amenaza manualmente.

Ejemplos de solicitudes:

  • ¿El identificador de firma <número de identificador> solo se detuvo por este firewall? ¿Qué ocurre con otros usuarios de todo este inquilino?

  • ¿Se vio el máximo impacto en cualquier otro firewall de la suscripción <nombre de la suscripción>?

  • ¿Se vio la semana pasada en algún firewall del grupo de recursos <nombre del grupo de recursos> el id. de firma <id. de firma>?

    Captura de pantalla que muestra la funcionalidad Buscar una firma IDPS determinada en el inquilino, la suscripción o el grupo de recursos.

Genere recomendaciones para proteger el entorno mediante la característica IDPS de Azure Firewall

Obtenga información de la documentación sobre el uso de la característica IDPS de Azure Firewall para proteger el entorno en lugar de tener que buscar esta información manualmente.

Ejemplos de solicitudes:

  • ¿Cómo puedo proteger toda la infraestructura de ataques futuros de este atacante?

  • Si quisiera asegurarme de que todos los firewalls de Azure estén protegidos contra ataques del id. de firma <número de id.>, ¿cómo lo haría?

  • ¿Cuál es la diferencia de riesgo entre los modos de alerta solamente y alerta y bloqueo para IDPS?

    Captura de pantalla que muestra las recomendaciones generadas para proteger el entorno mediante la funcionalidad de características IDPS de Azure Firewall.

    Nota:

    Security Copilot también puede usar la funcionalidad Preguntar documentación de Microsoft para proporcionar esta información y cuando se usa esta funcionalidad a través de Copilot en la experiencia de Azure, se puede usar la funcionalidad Obtener información para proporcionar esta información.

Envío de comentarios

Sus comentarios son fundamentales para guiar el desarrollo actual y planeado del producto. La mejor manera de proporcionar estos comentarios es directamente en el producto.

A través de Security Copilot

Seleccione ¿Cómo fue esta respuesta? en la parte inferior de cada solicitud completada y elija cualquiera de las siguientes opciones:

  • Parece correcta: selecciónela en caso de que los resultados sean precisos, en función de la evaluación.
  • Necesita mejorar: selecciónela si algún detalle de los resultados es incorrecto o está incompleto, en función de la evaluación.
  • Inapropiada: selecciónela si los resultados contienen información cuestionable, ambigua o potencialmente perjudicial.

Para cada opción de comentarios, puede proporcionar información adicional en el cuadro de diálogo posterior. Siempre que sea posible, y especialmente cuando el resultado sea Necesita mejora, escriba algunas palabras que expliquen cómo se puede mejorar el resultado. Si introdujo indicaciones específicas para Azure Firewall y los resultados no estuvieran relacionados, incluya esa información.

A través de Copilot en Azure

Use los botones me gusta y no me gusta en la parte inferior de cada mensaje completado. Para cualquiera de las opciones de comentarios, puede proporcionar información adicional en el cuadro de diálogo posterior. Siempre que sea posible, y especialmente cuando no le gusta una respuesta, escriba algunas palabras que expliquen cómo se puede mejorar el resultado. Si introdujo indicaciones específicas para Azure Firewall y los resultados no estuvieran relacionados, incluya esa información.

Privacidad y seguridad de los datos en Security Copilot

Al interactuar con Security Copilot (a través del portal de Security Copilot o a través de la experiencia de Copilot en Azure) para obtener datos de Azure Firewall, Copilot extrae esos datos de Azure Firewall. Las indicaciones, los datos recuperados y la salida que se muestra en los resultados de la solicitud se procesan y almacenan en el servicio de Copilot. Para obtener más información, consulte Privacidad y seguridad de datos en Microsoft Security Copilot.

Contenido relacionado