Descrivere l'integrazione di Microsoft Sentinel con Microsoft Security Copilot
Microsoft Sentinel si integra con Microsoft Security Copilot.
Per le aziende di cui viene eseguito l'onboarding in Microsoft Security Copilot, l'integrazione viene abilitata tramite plug-in accessibili tramite il portale di Copilot. Sentinel offre due plug-in per l'integrazione con Security Copilot:
- Microsoft Sentinel (anteprima)
- Linguaggio naturale su KQL per Microsoft Sentinel (anteprima)
Plug-in di Microsoft Sentinel (anteprima). Per usare il plug-in Sentinel, all'utente deve essere assegnata un'autorizzazione del ruolo che concede l'accesso a Copilot e a un ruolo specifico di Sentinel, ad esempio il Ruolo con autorizzazioni di lettura di Microsoft Sentinel per accedere agli eventi imprevisti nell'area di lavoro.
Il plug-in Sentinel richiede all'utente di configurare l'area di lavoro Sentinel, il nome della sottoscrizione e il nome del gruppo di risorse.
Le funzionalità del plug-in Sentinel sono incentrate su eventi imprevisti e aree di lavoro. Le funzionalità di Microsoft Sentinel in Copilot sono costituite da prompt predefiniti disponibili per l'uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.
Copilot include inoltre una sequenza di prompt per l'indagine sugli eventi imprevisti di Microsoft Sentinel. Questo promptbook include richieste per ottenere un report su un evento imprevisto specifico, insieme a avvisi correlati, punteggi di reputazione, utenti e dispositivi.
La sequenza di richieste di indagine sugli eventi imprevisti di Microsoft Sentinel non è solo un ottimo punto di partenza per l'indagine, ma è anche un punto di partenza per creare richieste efficaci.
Da linguaggio naturale a plug-in KQL per Microsoft Sentinel (anteprima). Il plug-in linguaggio naturale per Sentinel KQL (NL2KQLSentinel) converte qualsiasi domanda in linguaggio naturale nel contesto della ricerca delle minacce, in una query KQL pronta per l'esecuzione. Ciò consente ai team di sicurezza di risparmiare tempo generando una query KQL che può quindi essere eseguita automaticamente o ulteriormente modificata in base alle esigenze dell'analista. Il plug-in Linguaggio naturale in KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando i dati di Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione di rilevazione avanzata del portale di Microsoft Defender.
Microsoft Sentinel con Copilot in Defender
L'integrazione di Microsoft Sentinel con Copilot può essere sperimentata tramite l'esperienza autonoma e l'esperienza incorporata tramite il portale di Defender. L'esperienza incorporata a cui si accede tramite il portale di Defender usa la piattaforma operativa di sicurezza unificata con i dati di Microsoft Sentinel.
Eventi imprevisti: gli eventi imprevisti di Microsoft Sentinel sono ora unificati con gli eventi imprevisti di Defender XDR; è quindi possibile usare Copilot in Microsoft Defender per riepilogo degli eventi imprevisti, risposte guidate e report sugli eventi imprevisti di Sentinel.
