次の方法で共有

Copilot for Security への Azure Web Application Firewall の統合 (プレビュー)

  • [アーティクル]

重要

Microsoft Copilot for Security への Azure Web Application Firewall の統合は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Copilot for Security は、自然言語のコパイロット エクスペリエンスを提供するクラウドベースの AI プラットフォームです。 インシデント応答、脅威ハンティング、インテリジェンス収集など、さまざまなシナリオでセキュリティ担当者をサポートするのに役立ちます。 詳細については、「Microsoft Copilot for Security とは何ですか?」を参照してください。

Copilot for Security への Azure Web Application Firewall (WAF) 統合を使用すると、Azure WAF イベントの詳細な調査が可能になります。 これは、Azure WAF によってトリガーされた WAF ログを数分で調査し、関連する攻撃ベクトルを自然言語応答を使用してマシンの速度で提示するのに役立ちます。 これはご使用環境の脅威の状況を可視化します。 これを使用すると、最も頻繁にトリガーされる WAF ルールの一覧を取得し、環境内で最も問題のある IP アドレスを特定できます。

Copilot for Security への統合は、Azure Application Gateway と統合された Azure WAF と Azure Front Door と統合された Azure WAF の両方でサポートされます。

はじめに

Copilot for Security を初めて使用する場合は、次の記事を読んで理解しておく必要があります。

Copilot for Security への Azure WAF 統合

この統合はスタンドアロン エクスペリエンスをサポートし、https://securitycopilot.microsoft.com 経由でアクセスされます。 これはチャットのようなエクスペリエンスであり、データに関する質問をして回答を得るために使用できます。 詳細については、Microsoft Copilot for Security エクスペリエンスに関する記事を参照してください。

スタンドアロン エクスペリエンスの機能

Azure WAF のプレビュー スタンドアロン エクスペリエンスは、次の作業に役立ちます。

  • 顧客環境でトリガーされる上位の Azure WAF ルールの一覧を提供し、関連する攻撃ベクトルとともに深いコンテキストを生成する。

    この機能により、WAF ブロックが原因でトリガーされた Azure WAF ルールの詳細が提供されます。 これは、目的の期間のトリガーの頻度に基づいてルールの順序指定済みリストを提供します。 これは、Azure WAF ログを分析し、特定の期間の関連ログを接続することによって行われます。 結果は、特定の要求がブロックされた理由を、理解しやすい自然言語で説明したものになります。

  • 顧客環境内の悪意のある IP アドレスの一覧を提供し、関連する脅威を生成する。

    この機能により、Azure WAF によってブロックされたクライアント IP アドレスの詳細が提供されます。 これは、Azure WAF ログを分析し、特定の期間の関連ログを接続することによって行われます。 結果は、WAF がブロックした IP アドレスとブロックの理由を、理解しやすい自然言語で説明したものになります。

  • SQL インジェクション (SQLi) 攻撃を要約する。

    この Azure WAF スキルは、Web アプリケーションに対する SQL インジェクション (SQLi) 攻撃をブロックする理由に関する分析情報を提供します。 これは、Azure WAF ログを分析し、特定の期間の関連ログを接続することによって行われます。 結果は、SQLi 要求がブロックされた理由を、理解しやすい自然言語で説明したものになります。

  • クロスサイト スクリプティング (XSS) 攻撃を要約する。

    この Azure WAF スキルは、Azure WAF が Web アプリケーションへのクロス サイト スクリプティング (XSS) 攻撃をブロックした理由を理解するのに役立ちます。 これは、Azure WAF ログを分析し、特定の期間の関連ログを接続することによって行われます。 結果は、XSS 要求がブロックされた理由を、理解しやすい自然言語で説明したものになります。

Microsoft Copilot for Security への Azure WAF 統合を有効にする

統合を有効にするには、次の手順に従います。

  1. Copilot 共同作成者以上のアクセス許可があることを確認します。
  2. https://securitycopilot.microsoft.com/を開きます。
  3. Microsoft Copilot for Security メニューを開きます。
  4. プロンプト バーの [ソース] を開きます。
  5. [プラグイン] ページで、[Azure Web Application Firewall] トグルを [オン] に設定します。
  6. Azure Web Application Firewall プラグインで [設定] を選択して、Log Analytics ワークスペース、Log Analytics サブスクリプション ID、Azure Front Door WAF または Azure Application Gateway WAF、あるいはその両方の Log Analytics リソース グループ名を構成します。 Application Gateway WAF ポリシー URI または Azure Front Door WAF ポリシー URI、あるいはその両方を構成することもできます。
  7. スキルの使用を開始するには、プロンプト バーを使用します。 Security Copilot のプロンプト バーを示すスクリーンショット。

サンプル プロンプト

Copilot for Security で独自のプロンプトを作成して、WAF ログに基づく攻撃の分析を実行できます。 このセクションでは、いくつかのアイデアと例を示します。

開始する前に

  • プロンプトは明確かつ具体的なものを使用します。 プロンプトに特定のデバイス ID やデバイス名、アプリ名、またはポリシー名を含めると、より良い結果が得られる可能性があります。

    WAF をプロンプトに追加するのも役立つ場合があります。 次に例を示します。

    • 前日に、わたしのリージョンの WAF で SQL インジェクション攻撃が発生しましたか?
    • グローバル WAF でトリガーされる上位のルールの詳細を教えてください

  • さまざまなプロンプトとバリエーションを試して、ユース ケースに最適なものを確認します。 チャット AI モデルは変化するため、受け取った結果に基づいてプロンプトを繰り返して改良します。効果的なプロンプトの記述に関するガイダンスについては、独自のプロンプトの作成に関する記事を参照してください。

次のプロンプト例が役立つ場合があります。

SQL インジェクション攻撃に関する情報を要約する

  • 前日に、グローバル WAF で SQL インジェクション攻撃が発生しましたか?
  • グローバル WAF で上位の SQL インジェクション攻撃に関連する IP アドレスを表示してください
  • 過去 24 時間のリージョン WAF のすべての SQL インジェクション攻撃を表示してください

クロスサイト スクリプティング攻撃に関する情報を要約する

  • 過去 12 時間に AppGW WAF で XSS 攻撃が検出されましたか?
  • Azure Front Door WAF のすべての XSS 攻撃の一覧を表示してください

WAF ルールに基づいて環境内の脅威の一覧を生成する

  • 過去 24 時間にトリガーされた上位のグローバル WAF ルールは何でしたか?
  • 環境内で WAF ルールに関連する上位の脅威は何ですか? <ルール ID を入力>
  • 前日に、わたしのリージョンの WAF でボット攻撃が発生しましたか?
  • 前日に Azure Front Door WAF によってトリガーされたカスタム ルールのブロックを要約してください。

悪意のある IP アドレスに基づいて環境内の脅威の一覧を生成する

  • 前日にリージョン WAF で問題が多かった上位の IP はどれでしたか?
  • 過去 6 時間の Azure Front Door WAF での悪意のある IP アドレスの一覧を要約しますか?

フィードバックを提供する

Copilot for Security との Azure WAF 統合に関するフィードバックは、開発に役立ちます。 Copilot でフィードバックを提供するには、完了した各プロンプトの下部にある [How’s this response] (この応答はいかがですか?) を選び、次のいずれかのオプションを選びます。

  • [Looks right] (良好) - ご自身の評価に基づいて、結果が正確な場合に選びます。
  • [要改善] - ご自身の評価に基づいて、結果の詳細が正しくないか不十分な場合に選びます。
  • [不適切] - 結果に疑わしいか、あいまいであるか、または有害な可能性がある情報が含まれている場合に選びます。

フィードバック項目ごとに、表示される次のダイアログ ボックスで追加情報を提供できます。 可能なとき、および結果が [要改善] のときは、結果を改善するためにできる内容を説明する言葉を入力してください。

制限事項

Application Gateway WAF V2 バージョンの Azure Log Analytics 専用テーブルに移行した場合、Copilot for Security WAF スキルは機能しません。 一時的な回避策として、宛先テーブルとして、リソース固有のテーブルに加えて Azure Diagnostics を有効にします。

Microsoft Copilot for Security のプライバシーとデータ セキュリティ

Microsoft Copilot for Security がサービスから取得したプロンプトとデータ (プロンプト出力) を処理する方法については、「Microsoft Copilot for Security のプライバシーとデータ セキュリティ」を参照してください。

関連するコンテンツ