Descrivere i plug-in Microsoft disponibili in Microsoft Security Copilot

  • 10 minuti

Microsoft Security Copilot si integra con varie origini, tra cui i prodotti per la sicurezza di Microsoft, i fornitori non Microsoft, i feed di intelligenza open source, i siti Web e le knowledge base per generare indicazioni specifiche per l'organizzazione.

Uno dei meccanismi con cui Copilot si integra con tali origini è costituito dai plug-in. I plug-in estendono le funzionalità di Copilot. In questa unità verranno esaminati i plug-in Microsoft.

Plug-in Microsoft

I plug-in Microsoft consentono a Copilot di accedere a informazioni e funzionalità all'interno dei prodotti Microsoft dell'organizzazione. L'immagine seguente mostra solo un subset dei plug-in Microsoft disponibili e l'ordine in cui essi sono elencati può variare rispetto a quello mostrato nel prodotto.

Se un proprietario di Copilot ha accesso limitato ai plug-in, tali plug-in impostati con restrizioni verranno mostrati come disattivati e limitati.

I generale, i plug-in di Microsoft in Copilot si basano sul modello OBO (On Behalf Of): ciò significa che Copilot è informato se un cliente possiede le licenze per prodotti specifici e viene automaticamente connesso a tali prodotti. Copilot può quindi accedere ai prodotti specifici quando il plug-in è abilitato e, dove possibile, i parametri sono configurati. Alcuni plug-in di Microsoft che richiedono la configurazione, come indicato dall'icona delle impostazioni o dal pulsante di configurazione, possono includere parametri configurabili, usati per l'autenticazione al posto del modello OBO.

Per visualizzare le funzionalità del sistema supportate dai plug-in abilitati, selezionare l'icona dei prompt situata nella relativa barra poi selezionare "Visualizza tutte le funzionalità del sistema". Le funzionalità di sistema sono singoli prompt specifici che è possibile usare in Copilot. La selezione di una funzionalità di sistema richiede in genere più input per ottenere una risposta utile, tuttavia Copilot fornisce tali indicazioni.

Acquisizione dello schermo con l'icona del prompt che, quando selezionata, apre la finestra con le opzioni per le funzionalità di sistema.

Le sezioni che seguono forniscono brevi descrizioni per molti, ma non tutti, dei plug-in Microsoft disponibili. Microsoft Security Copilot aggiunge costantemente supporto per i prodotti Microsoft.

Firewall di Azure (anteprima)

Firewall di Azure è un servizio di sicurezza firewall di rete intelligente e nativo del cloud che offre una protezione ottimale dalle minacce per i carichi di lavoro cloud eseguiti in Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti.

L'integrazione di Firewall di Azure con Copilot consente agli analisti di eseguire indagini dettagliate sul traffico dannoso intercettato dal sistema di rilevamento e prevenzione delle intrusioni (IDPS) e/o dalle funzionalità di intelligence sulle minacce dei firewall nel proprio ambiente.

Per usare l'integrazione di Firewall di Azure con Copilot:

  • I firewall di Azure da usare con Security Copilot devono essere configurati con log strutturati specifici delle risorse per IDPS e questi log devono essere inviati a un'area di lavoro Log Analytics.
  • Gli utenti che usano il plug-in Firewall di Azure in Security Copilot devono avere il controllo degli accessi in base al ruolo di Azure (RBAC) necessario per poter accedere al firewall e all'area di lavoro Log Analytics associata.
  • Il plug-in Firewall di Azure in Security Copilot deve essere attivato.

Le funzionalità di Firewall di Azure in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Screenshot delle funzionalità di Firewall di Azure che possono essere eseguite nell'esperienza autonoma.

Alcuni prompt di esempio includono:

  • Il mio Firewall <Nome firewall> ha intercettato del traffico dannoso?
  • Quali sono i primi 20 riscontri IDPS degli ultimi sette giorni per il Firewall <Nome del firewall> nel gruppo di risorse <Nome gruppo di risorse>?
  • Come accertarsi che tutti i Firewall siano protetti dagli attacchi dall’ID firma <Numero ID>?

Web application firewall di Azure (anteprima)

L'integrazione di Web application firewall di Azure (WAF) in Security Copilot consente un'analisi approfondita degli eventi WAF di Azure. Ciò può essere utile per analizzare i log WAF attivati da Azure WAF in pochi minuti e fornire vettori di attacco correlati usando risposte in linguaggio naturale a velocità del computer. Offre visibilità sul panorama delle minacce all'ambiente. Consente di recuperare un elenco delle regole WAF attivate più di frequente e identificare i principali indirizzi IP incriminati nell'ambiente.

L'integrazione di Security Copilot è supportata sia in Azure WAF integrato con il gateway applicazione di Azure che in Azure WAF integrato con Frontdoor di Azure.

Per usare l'integrazione WAF di Azure in Copilot, il plug-in WAF di Azure in Security Copilot deve essere attivato e configurato.

L'esperienza autonoma di anteprima in Azure WAF consente di:

  • Fornire un elenco delle principali regole WAF di Azure attivate nell'ambiente del cliente e generare un contesto approfondito con vettori di attacco correlati.
  • Specificare un elenco di indirizzi IP dannosi nell'ambiente del cliente e generare minacce correlate.
  • Riepilogo degli attacchi SQL injection (SQLi).
  • Riepilogo degli attacchi XSS (Cross-Site Scripting).

Le funzionalità di Web application firewall di Azure in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Screenshot delle funzionalità di Web application firewall di Azure che possono essere eseguite nell'esperienza autonoma.

Alcuni prompt di esempio includono:

  • C'è stato un attacco SQL injection nel WAF globale nelle ultime 24 ore?
  • Quali sono le principali regole WAF globali attivate nelle ultime 24 ore?
  • Fornire un riepilogo dell'elenco di indirizzi IP dannosi nel WAF frontdoor di Azure nelle ultime sei ore

Azure AI Search (anteprima)

Il plug-in Azure AI Search consente di connettere le knowledge base o i repository aziendali a Microsoft Security Copilot. I dettagli su questo plug-in e sulle connessioni alle knowledge base sono descritti in un'unità successiva di questo modulo.

Microsoft Entra

Microsoft Entra è una famiglia di soluzioni multicloud per l'identità e l'accesso alla rete che consente alle organizzazioni di proteggere qualsiasi identità e di proteggere l'accesso a qualsiasi risorsa. Offre una piattaforma unificata per la gestione delle identità e degli accessi alla rete, semplificando la protezione delle identità e l'accesso alle risorse in ambienti multicloud e ibridi.

Security Copilot si integra con Microsoft Entra. Con il plug-in Entra abilitato, gli analisti della sicurezza possono ottenere immediatamente un riepilogo dei rischi, passaggi per correggere e indicazioni consigliate per ogni identità a rischio, in linguaggio naturale. Gli analisti possono usare Copilot per guidare la creazione di un flusso di lavoro del ciclo di vita per semplificare il processo di creazione ed emissione di credenziali utente e diritti di accesso. Queste e molte altre funzionalità Entra sono supportate da Copilot.

Le funzionalità di Microsoft Entra in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Acquisizione dello schermo delle funzionalità Entra che possono essere eseguite nell'esperienza autonoma.

Con il plug-in abilitato, l'integrazione di Copilot con Microsoft Entra può essere sperimentata tramite esperienze incorporate. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere le esperienze integrate di Microsoft Security Copilot".

Microsoft Intune

Microsoft Intune è una soluzione di gestione degli endpoint basata sul cloud. Gestisce l'accesso degli utenti alle risorse dell'organizzazione e semplifica la gestione delle app e dei dispositivi in molti dispositivi, tra cui dispositivi mobili, computer desktop ed endpoint virtuali.

Security Copilot si integra con Microsoft Intune. Se Microsoft Intune è disponibile nello stesso tenant di Copilot e il plug-in è abilitato, Copilot sarà in grado di ottenere informazioni su dispositivi, app, criteri di conformità e configurazione e assegnazioni di criteri gestiti in Intune.

Per usare il plug-in di Microsoft Intune, all'utente deve essere assegnato un ruolo specifico del servizio Intune, ad esempio il ruolo Intune Endpoint Security Manager, oltre all'autorizzazione del ruolo che concede l'accesso a Copilot.

Le funzionalità supportate dal plug-in Intune consentono a un utente di:

  • Confrontare diverse baseline di sicurezza.
  • Ottenere un riepilogo di un criterio esistente.
  • Ottenere l'ambito di assegnazione dei criteri.
  • Ottenere le differenze o i confronti tra due dispositivi.
  • Raccogliere rapidamente i dettagli per un dispositivo chiedendo informazioni su di esso.
  • Ottenere informazioni dettagliate sulle registrazioni dei dispositivi e sulla conformità dei dispositivi di un utente per la risoluzione dei problemi o un'indagine di sicurezza.
  • E altro ancora...

Le funzionalità di Microsoft Intune in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Acquisizione dello schermo dei suggerimenti dei prompt di Intune che possono essere eseguiti nell'esperienza autonoma.

Alcuni prompt di esempio includono:

  • Quali app di Intune vengono assegnate di più?
  • Quanti dispositivi sono stati registrati in Intune nelle ultime 24 ore?
  • Qual è la differenza di configurazione hardware tra i dispositivi DeviceA e DeviceB?

Con il plug-in abilitato, l'integrazione di Copilot con Microsoft Intune può essere sperimentata tramite esperienze incorporate. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere le esperienze integrate di Microsoft Security Copilot".

Microsoft Defender XDR

Microsoft Defender XDR è una suite unificata per la difesa aziendale prima e dopo le violazioni, che coordina in modalità nativa le attività di rilevamento, prevenzione, indagine e reazione a livello di endpoint, identità, posta elettronica e applicazioni per garantire una protezione integrata da attacchi avanzati.

In Copilot esistono due plug-in separati correlati a Microsoft Defender XDR (l'interfaccia utente può ancora mostrare Microsoft 365 Defender):

  • Microsoft Defender XDR
  • Linguaggio naturale per KQL per Microsoft Defender XDR

L'autorizzazione del ruolo che concede all'utente l'accesso a Copilot determina il livello di accesso ai dati di Microsoft Defender XDR. Non sono necessarie autorizzazioni di ruolo aggiuntive per usare il plug-in Microsoft Defender XDR o il linguaggio naturale per il plug-in KQL XDR di Defender.

Microsoft Defender XDR

Il plug-in Microsoft Defender XDR include funzionalità che consentono agli utenti di:

  • Riepilogare rapidamente gli incidenti
  • Intervenire sugli eventi imprevisti tramite risposte guidate.
  • Creare report sugli eventi imprevisti
  • Ottenere risposte guidate agli eventi imprevisti
  • Ottenere riepiloghi dei dispositivi Defender
  • Analizzare i file
  • altro...

Le funzionalità di Microsoft Defender XDR in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Acquisizione dello schermo delle funzionalità di Defender XDR che possono essere eseguite nell'esperienza autonoma.

Copilot include anche una sequenza di prompt predefinita per l'indagine sugli eventi imprevisti di Microsoft Defender XDR che è possibile usare per ottenere un report su un evento imprevisto specifico, con avvisi correlati, punteggi di reputazione, utenti e dispositivi.

Con il plug-in abilitato, l'integrazione di Copilot con Defender XDR può essere sperimentata tramite esperienze incorporate. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere le esperienze integrate di Microsoft Security Copilot".

Da linguaggio naturale a KQL per Microsoft Defender

Il plug-in da linguaggio naturale a KQL per Microsoft Defender (NL2KQLDefender) abilita la funzionalità assistente query, che converte qualsiasi domanda in linguaggio naturale nel contesto della ricerca delle minacce in una query KQL pronta per l'esecuzione. L'assistente query consente ai team di sicurezza di risparmiare tempo generando una query KQL che può quindi essere eseguita automaticamente o ulteriormente modificata in base alle esigenze dell'analista.

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM)

Gestione della superficie di attacco esterna di Microsoft Defender individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e alla sicurezza di identificare sconosciuti, classificare in ordine di priorità i rischi, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell'esposizione oltre il firewall. Surface Insights sugli attacchi viene generato usando le vulnerabilità e i dati dell'infrastruttura per illustrare le aree chiave di preoccupazione per l'organizzazione.

Se si usa Gestione della superficie di attacco esterna di Microsoft Defender nello stesso tenant di Copilot e si abilita il plug-in, Copilot può visualizzare informazioni dettagliate da Gestione della superficie di attacco esterna di Microsoft Defender sulla superficie di attacco di un'organizzazione. Queste informazioni dettagliate consentono di comprendere il comportamento di sicurezza e attenuare le vulnerabilità.

Le funzionalità di Defender EASM in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Acquisizione dello schermo delle funzionalità di sistema EASM che possono essere eseguite nell'esperienza autonoma.

Alcuni prompt di esempio includono:

  • La superficie di attacco esterna è influenzata da CVE-2023-21709?
  • Ottenere asset interessati da CVSS con priorità elevata nella superficie di attacco.
  • Quanti asset hanno CVSS critici per l'organizzazione?

Per usare questo plug-in, è necessario configurare i parametri per identificare la sottoscrizione dell'organizzazione a Defender EASM.

Acquisizione dello schermo delle impostazioni del plug-in EASM che devono essere configurate.

Microsoft Defender Threat Intelligence

Microsoft Defender Threat Intelligence (Defender TI) è una piattaforma che semplifica la valutazione, la risposta agli eventi imprevisti, la ricerca di minacce, la gestione delle vulnerabilità e i flussi di lavoro degli analisti di intelligence per le minacce informatiche durante l'analisi dell'infrastruttura delle minacce e la raccolta di informazioni sulle minacce.

Security Copilot si integra con Microsoft Defender TI. Con il plug-in Defender TI abilitato, Copilot fornisce informazioni sui gruppi di attività di minaccia, sugli indicatori di compromissione (IOC), sugli strumenti e sull'intelligence contestuale sulle minacce. È possibile usare i prompt e i promptbook per analizzare gli eventi imprevisti, arricchire i flussi di ricerca con informazioni sull'intelligence sulle minacce o acquisire maggiori informazioni sul panorama delle minacce dell'organizzazione o sul panorama globale delle minacce.

Le funzionalità di Microsoft Defender TI in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Acquisizione delle funzionalità di sistema di Defender TI che possono essere eseguiti nell'esperienza autonoma.

Alcuni prompt di esempio includono:

  • Mostra gli ultimi articoli sulle minacce.
  • Ottenere gli articoli sulle minacce associati al settore finanziario.
  • Condividere le tecnologie che sono soggette alla vulnerabilità - CVE-2021-44228.
  • Riepilogare la vulnerabilità CVE-2021-44228.

Promptbook predefiniti che inviano informazioni da Defender TI, tra cui:

  • Valutazione dell'impatto della vulnerabilità: genera un report che riepiloga l'intelligence per una vulnerabilità nota, inclusa la procedura per risolverla.
  • Profilo dell'attore della minaccia: genera un report che profila un gruppo di attività noto, inclusi i suggerimenti per difendersi dagli strumenti e dalle tattiche comuni.

Microsoft Purview

Microsoft Purview è un set completo di soluzioni che consentono all'organizzazione di gestire, proteggere e gestire i dati ovunque si trovino. Le soluzioni Microsoft Purview offrono copertura integrata e consentono di risolvere la frammentazione dei dati tra le organizzazioni, la mancanza di visibilità che ostacola la protezione e la governance dei dati e la sfocatura dei ruoli di gestione IT tradizionali.

Il plug-in Purview in Security Copilot consente di ottenere dati preziosi e informazioni dettagliate sui rischi utente per identificare l'origine di un attacco e tutti i dati sensibili che potrebbero essere a rischio, purché si disponga dell’autorizzazione del ruolo di Microsoft Purview appropriato. Poiché Microsoft Copilot presuppone le autorizzazioni dell'utente quando prova ad accedere ai dati per rispondere alle query, è necessario avere le autorizzazioni di ruolo necessarie per accedere ai dati. Inoltre, l'organizzazione deve essere concessa in licenza e inserita nelle soluzioni Microsoft Purview applicabili.

Le funzionalità di Microsoft Purview in Copilot sono costituite da prompt predefiniti disponibili per l’uso. In alternativa, è possibile immettere prompt personalizzati in base alle funzionalità supportate.

Acquisizione dello schermo delle funzionalità di Purview.

Le funzionalità di Copilot possono anche essere sperimentate direttamente dall'interno di soluzioni Purview, tramite l'esperienza incorporata. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere le esperienze integrate di Microsoft Security Copilot".

Microsoft Sentinel (anteprima)

Microsoft Sentinel offre funzionalità intelligenti estese all'intera azienda per l'analisi della sicurezza e l'intelligence sulle minacce. Con Microsoft Sentinel si ottiene una singola soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

In Copilot esistono due plug-in separati correlati a Sentinel:

  • Microsoft Sentinel (anteprima)
  • Da linguaggio naturale a KQL per Microsoft Sentinel (anteprima)

Acquisizione dello schermo del plug-in Sentinel e NL2KQK.

Microsoft Sentinel (anteprima)

Per usare il plug-in Sentinel, all'utente deve essere assegnata un'autorizzazione del ruolo che concede l'accesso a Copilot e a un ruolo specifico di Sentinel, ad esempio il Ruolo con autorizzazioni di lettura di Microsoft Sentinel per accedere agli eventi imprevisti nell'area di lavoro.

Il plug-in Sentinel richiede anche all'utente di configurare l'area di lavoro Sentinel, il nome della sottoscrizione e il nome del gruppo di risorse.

Acquisizione dello schermo della pagina delle impostazioni del plug-in Sentinel.

Le funzionalità del plug-in Sentinel sono incentrate su eventi imprevisti e aree di lavoro. Copilot include inoltre una sequenza di prompt per l'indagine sugli eventi imprevisti di Microsoft Sentinel. Questo promptbook include richieste per ottenere un report su un evento imprevisto specifico, insieme a avvisi correlati, punteggi di reputazione, utenti e dispositivi.

Da linguaggio naturale a KQL per Microsoft Sentinel (anteprima)

Il plug-in linguaggio naturale per Sentinel KQL (NL2KQLSentinel) converte qualsiasi domanda in linguaggio naturale nel contesto della ricerca delle minacce, in una query KQL pronta per l'esecuzione. Ciò consente ai team di sicurezza di risparmiare tempo generando una query KQL che può quindi essere eseguita automaticamente o ulteriormente modificata in base alle esigenze dell'analista.