Security Copilot con Microsoft Sentinel
Microsoft Security Copilot es una plataforma que le ayuda a defender su organización a velocidad y escala de la máquina. El gran volumen de datos de seguridad de Microsoft Sentinel proporcionan una excelente fuente para Copilot para ayudar a analizar incidentes y generar consultas de búsqueda.
Junto con otras fuentes de Security Copilot para seguridad que usted habilite, sus incidentes y datos de Microsoft Sentinel proporcionan una visibilidad más amplia de las amenazas y su contexto para su organización.
Saber antes de empezar
Si no está familiarizado con Microsoft Security Copilot, debe familiarizarse con él leyendo estos artículos:
- ¿Qué es Seguridad de Microsoft Copilot?
- Experiencias de Microsoft Security Copilot
- Introducción a Microsoft Security Copilot
- Comprender la autenticación en Microsoft Security Copilot
- Indicaciones en Microsoft Security Copilot
Integración de Security Copilot con Microsoft Sentinel
Esta integración admite principalmente la experiencia independiente a la que se accede a través de https://securitycopilot.microsoft.com, donde interactúa en una experiencia similar al chat para resumir incidentes y obtener otras respuestas sobre los datos de seguridad. Para obtener más información, consulte Experiencias de Microsoft Security Copilot.
Características clave
Los datos de Microsoft Sentinel se integran con Security Copilot de dos maneras.
- En la plataforma de operaciones de seguridad unificadas de Microsoft, Copilot en Microsoft Defender XDR se beneficia de incidentes unificados integrados con Microsoft Sentinel.
- En la experiencia independiente, Microsoft Sentinel proporciona dos complementos para integrarse con Security Copilot:
Microsoft Sentinel (versión preliminar)
Lenguaje natural a KQL para Microsoft Sentinel (versión preliminar).
Importante
Los complementos "Microsoft Sentinel" y "Lenguaje natural a KQL para Microsoft Sentinel" están actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Habilitar la integración de Security Copilot con Microsoft Sentinel
Para maximizar la integración de Security Copilot con Microsoft Sentinel, haga lo siguiente:
- configure un área de trabajo predeterminada de Microsoft Sentinel para Security Copilot
- conecte el área de trabajo de Microsoft Sentinel a Microsoft Defender XDR
Configuración de un área de trabajo predeterminada de Microsoft Sentinel
Aumente la precisión del mensaje mediante la configuración de un área de trabajo de Microsoft Sentinel como valor predeterminado.
Vaya a Security Copilot en https://securitycopilot.microsoft.com/.
Abra Orígenes
en la barra de indicaciones.En la página Administrar complementos, establezca el botón de alternancia en Encendido
Seleccione el icono de engranaje en el complemento Microsoft Sentinel (versión preliminar).
Configure el nombre del área de trabajo predeterminada.
Sugerencia
Especifique el área de trabajo en el símbolo del sistema cuando no coincida con el valor predeterminado configurado.
Ejemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integración de Microsoft Sentinel con Copilot en Defender
Use el portal de Microsoft Defender con los datos de Microsoft Sentinel para tener una experiencia de Security Copilot integrada. Los orígenes de datos únicos de Microsoft Sentinel que fluyen a incidentes unificados de XDR de Microsoft Defender permiten a Copilot en Defender maximizar sus funcionalidades.
Por ejemplo:
- La solución SAP (versión preliminar) se instala en el área de trabajo de Microsoft Sentinel.
- La regla casi en tiempo real SAP: (Vista previa) Archivo descargado desde una dirección IP maliciosa activa una alerta, creando un incidente de Microsoft Sentinel.
- Microsoft Sentinel se ha incorporado al portal de Defender.
- Los incidentes de Microsoft Sentinel ahora están unificados con incidentes de Defender XDR.
- Use Copilot en Microsoft Defender para el resumen de incidentes, respuestas guiadas e informes de incidentes.
Para obtener más información, consulte los siguientes recursos:
- Integración de Microsoft Defender XDR
- Microsoft Sentinel en el portal de Microsoft Defender
- Copilot en Microsoft Defender
Integración de Microsoft Sentinel con Security Copilot en la búsqueda avanzada
El complemento Lenguaje natural a KQL para Microsoft Sentinel (versión preliminar) genera y ejecuta consultas de búsqueda de KQL mediante datos de Microsoft Sentinel. Esta funcionalidad está disponible en la experiencia independiente y en la sección búsqueda avanzada del portal de Microsoft Defender.
Nota:
En el portal unificado de Microsoft Defender, puede solicitar a Security Copilot que genere consultas de búsqueda avanzadas para las tablas de Defender XDR y Microsoft Sentinel. Actualmente no se admiten todas las tablas de Microsoft Sentinel.
Para obtener más información, consulte Security Copilot en la búsqueda avanzada.
Indicaciones de ejemplo de Microsoft Sentinel
Considere la secuencia de consultas Investigación de incidentes de Microsoft Sentinel como punto de partida para crear mensajes efectivos. Esta secuencia de consultas proporciona un informe sobre un incidente específico, junto con alertas relacionadas, puntuaciones de reputación, usuarios y dispositivos.
| Guía | Prompt |
|---|---|
| Ayude a Copilot a proporcionar información legible para el ser humano en lugar de responder con id. de objetos. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot sabe quién es usted. Use el pronunciamiento "yo" para encontrar incidentes relacionados con usted. El siguiente mensaje tiene como destino los incidentes asignados. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Cuando se reduce una respuesta rápida a un único incidente, Copilot conoce el contexto. | Tell me about the entities associated with that incident. |
| A Copilot se le da bien resumir. Describa una audiencia específica para la que desea que se resuma la solicitud y las respuestas. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obtener más instrucciones y ejemplos de solicitud, consulte los siguientes recursos:
- Uso de secuencias de consultas
- Indicaciones en Microsoft Security Copilot
- Biblioteca de indicaciones de Security Copilot de Rod Trent
Envío de comentarios
Sus comentarios son fundamentales para guiar el desarrollo actual y planeado del producto. La mejor manera de proporcionar estos comentarios es directamente en el producto. Seleccione ¿Cómo fue esta respuesta? en la parte inferior de cada solicitud completada y elija cualquiera de las siguientes opciones:
- Parece correcta: selecciónela en caso de que los resultados sean precisos, en función de la evaluación.
- Necesita mejorar: selecciónela si algún detalle de los resultados es incorrecto o está incompleto, en función de la evaluación.
- Inapropiada: selecciónela si los resultados contienen información cuestionable, ambigua o potencialmente perjudicial.
Para cada opción de comentarios, es posible proporcionar más información en el siguiente cuadro de diálogo que aparece. Siempre que sea posible, y especialmente cuando el resultado sea Necesita mejorar, escriba algunas palabras que expliquen lo que se podría hacer para mejorar el resultado. Si introdujo indicaciones específicas para Azure Firewall y los resultados no estuvieran relacionados, incluya esa información.
Privacidad y seguridad de los datos en Security Copilot
Para comprender cómo Security Copilot para seguridad controla las solicitudes y los datos recuperados de la salida del servicio (salida de solicitudes), consulte Privacidad y seguridad de datos en Microsoft Security Copilot.