Copilota della sicurezza con Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel, Security Copilot, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot è una piattaforma che consente di difendere l'organizzazione a velocità e scalabilità dei computer. I dati sulla sicurezza di Microsoft Sentinel offrono un'eccellente fonte per Copilot per analizzare gli eventi imprevisti e generare query di ricerca.

Insieme ad altre origini di Security Copilot abilitate, gli eventi imprevisti e i dati di Microsoft Sentinel offrono visibilità più ampia sulle minacce e sul relativo contesto per l'organizzazione.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con esso leggendo questi articoli:

• Che cos'è Microsoft Security Copilot?
• Esperienze di Microsoft Security Copilot
• Introduzione a Microsoft Security Copilot
• Informazioni sull'autenticazione in Microsoft Security Copilot
• Richiesta in Microsoft Security Copilot

Integrazione di Security Copilot con Microsoft Sentinel

Questa integrazione supporta principalmente l'esperienza autonoma accessibile tramite https://securitycopilot.microsoft.com, in cui si interagisce in un'esperienza di tipo chat per riepilogare gli eventi imprevisti e ottenere altre risposte sui dati di sicurezza. Per altre informazioni, vedere Esperienze di Microsoft Security Copilot.

Funzionalità principali

I dati di Microsoft Sentinel si integrano con Security Copilot in due modi.

• Nella piattaforma unificata per le operazioni di sicurezza di Microsoft, Copilot in Microsoft Defender XDR trae vantaggio dagli eventi imprevisti unificati integrati con Microsoft Sentinel.
• Nell'esperienza autonoma, Microsoft Sentinel offre due plug-in per l'integrazione con Security Copilot:
  Microsoft Sentinel (anteprima)
  Linguaggio naturale in KQL per Microsoft Sentinel (anteprima).

Importante

I plug-in "Microsoft Sentinel" e "Linguaggio naturale in KQL per Microsoft Sentinel" sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Abilitare l'integrazione di Security Copilot con Microsoft Sentinel

Per ottimizzare l'integrazione di Security Copilot con Microsoft Sentinel, seguire questa procedura:

• configurare un'area di lavoro predefinita di Microsoft Sentinel per Security Copilot
• connettere l'area di lavoro di Microsoft Sentinel a Microsoft Defender XDR

Configurare un'area di lavoro predefinita di Microsoft Sentinel

Aumentare l'accuratezza della richiesta configurando un'area di lavoro di Microsoft Sentinel come predefinita.

1. Passare a Security Copilot all'indirizzo https://securitycopilot.microsoft.com/.

2. Aprire Origini nella barra delle richieste.

3. Nella pagina Gestisci plug-in, impostare l'interruttore su On

4. Selezionare l'icona a forma di ingranaggio nel plug-in Microsoft Sentinel (anteprima).

   

5. Configurare il nome predefinito dell'area di lavoro.

   

Suggerimento

Specificare l'area di lavoro nel prompt quando non corrisponde all'impostazione predefinita configurata.

Esempio: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Integrare Microsoft Sentinel con Copilot in Defender

Usare il portale di Microsoft Defender con i dati di Microsoft Sentinel per un'esperienza di Copilot di sicurezza incorporata. Le origini dati univoche di Microsoft Sentinel che passano agli eventi imprevisti unificati di Microsoft Defender XDR consentono a Copilot in Defender di ottimizzare le funzionalità.

Ad esempio:

• La soluzione SAP (anteprima) è installata nell'area di lavoro per Microsoft Sentinel.
• La regola near real-time SAP - (anteprima) File scaricato da un indirizzo IP dannoso attiva un avviso, creando un evento imprevisto di Microsoft Sentinel.
• È stato eseguito l'onboarding di Microsoft Sentinel nel portale di Defender.
• Gli eventi imprevisti di Microsoft Sentinel sono ora unificati con gli eventi imprevisti di Defender XDR.
• Usare Copilot in Microsoft Defender per riepilogo degli eventi imprevisti, risposte guidate e report sugli eventi imprevisti.

Per ulteriori informazioni, vedi le seguenti risorse:

• Integrare Microsoft Defender XDR
• Microsoft Sentinel nel portale di Microsoft Defender
• Copilot in Microsoft Defender

Integrare Microsoft Sentinel con Security Copilot nella ricerca avanzata

Il plug-in Linguaggio naturale in KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando i dati di Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione di rilevazione avanzata del portale di Microsoft Defender.

Nota

Nel portale unificato di Microsoft Defender è possibile richiedere a Security Copilot di generare query di ricerca avanzate per entrambe le tabelle di Defender XDR e Microsoft Sentinel. Non tutte le tabelle di Microsoft Sentinel sono attualmente supportate.

Per altre informazioni, vedere Security Copilot nella ricerca avanzata.

Prompt di Microsoft Sentinel di esempio

Prendere in considerazione la sequenza di richieste di analisi degli eventi imprevisti di Microsoft Sentinel come punto di partenza per la creazione di richieste efficaci. Questa sequenza di richieste fornisce un report su un evento imprevisto specifico, insieme ad avvisi correlati, punteggi di reputazione, utenti e dispositivi.

Indicazioni	Richiesta
Suggerire a Copilot di fornire informazioni leggibili invece di rispondere con ID oggetto.	Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot conosce gli utenti. Usare il pronome "me" per trovare eventi imprevisti correlati all'utente. La richiesta seguente è destinata agli eventi imprevisti assegnati all'utente.	What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Quando si restringe una risposta di richiesta a un singolo evento imprevisto, Copilot conosce il contesto.	Tell me about the entities associated with that incident.
Copilot è un ottimo strumento di riepilogo. Descrivere un gruppo di destinatari specifico per cui si vogliono riepilogare le richieste e le risposte.	Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Per ulteriori indicazioni ed esempi di richieste, vedere le risorse seguenti:

• Uso delle sequenze di richieste
• Richiesta in Microsoft Security Copilot
• Rod Trent's Security Copilot Prompt Library

Inviare commenti

Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto. Selezionare Come si tratta di questa risposta? nella parte inferiore di ogni prompt completato e scegliere una delle opzioni seguenti:

• Sembra corretto : selezionare se i risultati sono accurati, in base alla valutazione.
• Miglioramento necessario: selezionare se i dettagli nei risultati non sono corretti o incompleti, in base alla valutazione.
• Inappropriato : selezionare se i risultati contengono informazioni discutibili, ambigue o potenzialmente dannose.

Per ogni opzione di feedback, è possibile fornire altre informazioni nella finestra di dialogo successiva visualizzata. Quando possibile, e soprattutto quando il risultato è Miglioramento esigenze, scrivere alcune parole che spiegano cosa può essere fatto per migliorare il risultato. Se sono state immesse richieste specifiche per Firewall di Azure e i risultati non sono correlati, includere tali informazioni.

Privacy e sicurezza dei dati in Security Copilot

Per comprendere in che modo Security Copilot gestisce le richieste e i dati recuperati dal servizio (output prompt), vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.

Articoli correlati

• Microsoft Copilot in Microsoft Defender
• Integrazione di Microsoft Defender XDR con Microsoft Sentinel