Security Copilot met Microsoft Sentinel
Microsoft Security Copilot is een platform waarmee u uw organisatie op machinesnelheid en schaal kunt verdedigen. De enorme beveiligingsgegevens van Microsoft Sentinel bieden een uitstekende bron voor Copilot om incidenten te analyseren en opsporingsquery's te genereren.
Samen met andere Security Copilot-bronnen die u inschakelt, bieden uw Microsoft Sentinel-incidenten en -gegevens meer inzicht in bedreigingen en hun context voor uw organisatie.
Weet voordat u begint
Als u niet bekend bent met Security Copilot, moet u ermee vertrouwd raken door de volgende artikelen te lezen:
- Wat is Microsoft Copilot voor beveiliging?
- Microsoft Security Copilot-ervaringen
- Aan de slag met Microsoft Security Copilot
- Verificatie in Microsoft Security Copilot begrijpen
- Vragen in Microsoft Security Copilot
Security Copilot-integratie met Microsoft Sentinel
Deze integratie ondersteunt voornamelijk de zelfstandige ervaring die toegankelijk is via https://securitycopilot.microsoft.com, waar u communiceert in een chatachtige ervaring om incidenten samen te vatten en andere antwoorden te krijgen over uw beveiligingsgegevens. Zie Microsoft Security Copilot-ervaringen voor meer informatie.
Belangrijkste functies
Microsoft Sentinel-gegevens kunnen op twee manieren worden geïntegreerd met Security Copilot.
- In het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft profiteert Copilot in Microsoft Defender XDR van geïntegreerde incidenten die zijn geïntegreerd met Microsoft Sentinel.
- In de zelfstandige ervaring biedt Microsoft Sentinel twee invoegtoepassingen om te integreren met Security Copilot:
Microsoft Sentinel (preview)
Natuurlijke taal naar KQL voor Microsoft Sentinel (preview).
Belangrijk
De invoegtoepassingen 'Microsoft Sentinel' en 'Natuurlijke taal naar KQL voor Microsoft Sentinel' zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Security Copilot-integratie met Microsoft Sentinel inschakelen
Ga als volgt te werk om uw Security Copilot-integratie met Microsoft Sentinel te maximaliseren:
- een standaardwerkruimte van Microsoft Sentinel configureren voor Security Copilot
- uw Microsoft Sentinel-werkruimte verbinden met Microsoft Defender XDR
Een standaardwerkruimte van Microsoft Sentinel configureren
Verhoog de nauwkeurigheid van uw prompt door een Microsoft Sentinel-werkruimte als standaard te configureren.
Navigeer naar Security Copilot op https://securitycopilot.microsoft.com/.
Open Bronnen
in de promptbalk.Stel op de pagina Invoegtoepassingen beheren de wisselknop in op Aan
Selecteer het tandwielpictogram in de invoegtoepassing Microsoft Sentinel (preview).
Configureer de standaardnaam van de werkruimte.
Tip
Geef de werkruimte op in uw prompt wanneer deze niet overeenkomt met de geconfigureerde standaardinstelling.
Voorbeeld: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Microsoft Sentinel integreren met Copilot in Defender
Gebruik de Microsoft Defender-portal met uw Microsoft Sentinel-gegevens voor een ingesloten Security Copilot-ervaring. Met de unieke gegevensbronnen van Microsoft Sentinel die naar geïntegreerde Microsoft Defender XDR-incidenten stromen, kan Copilot in Defender de mogelijkheden ervan maximaliseren.
Voorbeeld:
- De SAP-oplossing (preview) wordt geïnstalleerd in uw werkruimte voor Microsoft Sentinel.
- Het bijna realtime-regel-SAP-bestand (preview) dat is gedownload van een schadelijk IP-adres activeert een waarschuwing, waardoor een Microsoft Sentinel-incident wordt gemaakt.
- Microsoft Sentinel is onboarding uitgevoerd voor de Defender-portal.
- Microsoft Sentinel-incidenten zijn nu geïntegreerd met Defender XDR-incidenten.
- Gebruik Copilot in Microsoft Defender voor een overzicht van incidenten, begeleide reacties en incidentrapporten.
Voor meer informatie raadpleegt u de volgende bronnen:
- Microsoft Defender XDR integreren
- Microsoft Sentinel in de Microsoft Defender-portal
- Copilot in Microsoft Defender
Microsoft Sentinel integreren met Security Copilot in geavanceerde opsporing
De invoegtoepassing Natuurlijke taal naar KQL voor Microsoft Sentinel (preview) genereert en voert KQL-opsporingsquery's uit met behulp van Microsoft Sentinel-gegevens. Deze mogelijkheid is beschikbaar in de zelfstandige ervaring en de sectie geavanceerde opsporing van de Microsoft Defender-portal.
Notitie
In de geïntegreerde Microsoft Defender-portal kunt u Security Copilot vragen om geavanceerde opsporingsquery's te genereren voor zowel Defender XDR- als Microsoft Sentinel-tabellen. Niet alle Microsoft Sentinel-tabellen worden momenteel ondersteund.
Zie Security Copilot in geavanceerde opsporing voor meer informatie.
Voorbeeldprompts van Microsoft Sentinel
Overweeg het promptbook voor onderzoek naar incidenten van Microsoft Sentinel als uitgangspunt voor het maken van effectieve prompts. Dit promptbook levert een rapport over een specifiek incident, samen met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.
| Richtlijn | Prompt |
|---|---|
| Nudge Copilot om menselijke leesbare informatie te bieden in plaats van te reageren met object-id's. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot weet wie je bent. Gebruik het voornaamwoord 'ik' om incidenten met betrekking tot u te vinden. De volgende prompt is gericht op incidenten die aan u zijn toegewezen. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Wanneer u een promptrespons beperkt tot één incident, kent Copilot de context. | Tell me about the entities associated with that incident. |
| Copilot is goed bij het samenvatten. Beschrijf een specifieke doelgroep waarvoor u de prompts en antwoorden wilt samenvatten. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Zie de volgende bronnen voor meer prompts en voorbeelden:
- Promptbooks gebruiken
- Vragen in Microsoft Security Copilot
- Rod Trent's Security Copilot Prompt Library
Feedback geven
Uw feedback is essentieel om de huidige en geplande ontwikkeling van het product te begeleiden. De beste manier om deze feedback te geven, is rechtstreeks in het product. Selecteer Hoe is dit antwoord? onder aan elke voltooide prompt en kies een van de volgende opties:
- Ziet er goed uit: selecteer of de resultaten juist zijn, op basis van uw evaluatie.
- Verbetering nodig: selecteer of details in de resultaten onjuist of onvolledig zijn, op basis van uw evaluatie.
- Ongepast : selecteer of de resultaten twijfelachtige, dubbelzinnige of mogelijk schadelijke informatie bevatten.
Voor elke feedbackoptie kunt u meer informatie opgeven in het volgende dialoogvenster dat wordt weergegeven. Schrijf waar mogelijk, en vooral wanneer het resultaat verbetering vereist is, een paar woorden waarin wordt uitgelegd wat er kan worden gedaan om het resultaat te verbeteren. Als u vragen hebt ingevoerd die specifiek zijn voor Azure Firewall en de resultaten niet zijn gerelateerd, neemt u die informatie op.
Privacy en gegevensbeveiliging in Copilot voor beveiliging
Als u wilt weten hoe Security Copilot uw prompts en de gegevens verwerkt die zijn opgehaald uit de service (promptuitvoer), raadpleegt u Privacy- en gegevensbeveiliging in Microsoft Security Copilot.