Azure Firewall-integratie in Microsoft Security Copilot (preview)
Belangrijk
Azure Firewall-integratie in Microsoft Security Copilot is momenteel in PREVIEW. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Security Copilot is een generatieve ai-beveiligingsoplossing die helpt de efficiëntie en mogelijkheden van beveiligingspersoneel te verhogen om de beveiligingsresultaten op machinesnelheid en schaal te verbeteren. Het biedt een natuurlijke taal, ondersteunende copilot-ervaring die beveiligingsprofessionals helpt te ondersteunen in end-to-end scenario's zoals incidentrespons, opsporing van bedreigingen, verzamelen van intelligentie en postuurbeheer. Zie Wat is Microsoft Security Copilot voor meer informatie over wat het kan doen ?
Weet voordat u begint
Als u niet bekend bent met Security Copilot, moet u ermee vertrouwd raken door de volgende artikelen te lezen:
- Wat is Microsoft Copilot voor beveiliging?
- Microsoft Security Copilot-ervaringen
- Aan de slag met Microsoft Security Copilot
- Verificatie in Microsoft Security Copilot begrijpen
- Vragen in Microsoft Security Copilot
Security Copilot-integratie in Azure Firewall
Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die het beste bescherming tegen bedreigingen biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.
De Integratie van Azure Firewall in Security Copilot helpt analisten gedetailleerde onderzoeken uit te voeren van het schadelijke verkeer dat wordt onderschept door de IDPS-functie van hun firewalls in de hele vloot met behulp van vragen over natuurlijke taal.
U kunt deze integratie in twee verschillende ervaringen gebruiken:
Security Copilot-portal (zelfstandige ervaring)
Copilot in Azure (ingesloten ervaring) in Azure Portal:
Zie Microsoft Security Copilot-ervaringen en Microsoft Copilot in Azure-mogelijkheden voor meer informatie.
Belangrijkste functies
Security Copilot heeft ingebouwde systeemfuncties waarmee gegevens kunnen worden opgehaald uit de verschillende invoegtoepassingen die zijn ingeschakeld.
Als u de lijst met ingebouwde systeemmogelijkheden voor Azure Firewall wilt weergeven, gebruikt u de volgende procedure in de Security Copilot-portal:
Selecteer in de promptbalk het pictogram Prompts .
Selecteer Alle systeemmogelijkheden weergeven.
De sectie Azure Firewall bevat alle beschikbare mogelijkheden die u kunt gebruiken.
Azure Firewall-integratie inschakelen in Security Copilot
Zorg ervoor dat uw Azure Firewall juist is geconfigureerd:
Gestructureerde Azure Firewall-logboeken : de Azure Firewalls die moeten worden gebruikt met Security Copilot moeten worden geconfigureerd met resourcespecifieke gestructureerde logboeken voor IDPS en deze logboeken moeten worden verzonden naar een Log Analytics-werkruimte.
Op rollen gebaseerd toegangsbeheer voor Azure Firewall : de gebruikers die de Azure Firewall-invoegtoepassing in Security Copilot gebruiken, moeten beschikken over de juiste azure-rollen voor toegangsbeheer op basis van rollen om toegang te krijgen tot de firewall en de bijbehorende Log Analytics-werkruimten.
Ga naar Security Copilot en meld u aan met uw referenties.
Zorg ervoor dat de Azure Firewall-invoegtoepassing is ingeschakeld. Selecteer in de promptbalk het pictogram Bronnen . Controleer in het pop-upvenster Bronnen beheren dat wordt weergegeven of de Wisselknop azure Firewall is ingeschakeld. Sluit vervolgens het venster. Er is geen andere configuratie nodig. Zolang gestructureerde logboeken worden verzonden naar een Log Analytics-werkruimte en u over de juiste machtigingen voor toegangsbeheer op basis van rollen beschikt, vindt Copilot de gegevens die nodig zijn om uw vragen te beantwoorden.
Voer uw prompt in op de promptbalk in de Portal van Security Copilot of via Copilot in Azure Experience in Azure Portal.
Belangrijk
Het gebruik van Copilot in Azure om query's uit te voeren op Azure Firewall is opgenomen in Security Copilot en vereist beveiligingsrekeneenheden (SKU's). U kunt SKU's inrichten en deze op elk gewenst moment verhogen of verlagen. Zie Aan de slag met Microsoft Security Copilot voor meer informatie over SKU's. Als u Security Copilot niet goed hebt geconfigureerd, maar een vraag stelt die relevant is voor de Mogelijkheden van Azure Firewall via de Copilot-ervaring in Azure, wordt er een foutbericht weergegeven.
Azure Firewall-voorbeeldprompts
Er zijn veel aanwijzingen die u kunt gebruiken om informatie op te halen uit Azure Firewall. In deze sectie worden de secties vermeld die vandaag het beste werken. Ze worden continu bijgewerkt naarmate er nieuwe mogelijkheden worden gestart.
De belangrijkste IDPS-handtekeningtreffers voor een Azure Firewall ophalen
Haal logboekinformatie op over het verkeer dat wordt onderschept door de functie IDPS in plaats van KQL-query's handmatig samen te stellen.
Voorbeeldprompts:
Is er schadelijk verkeer onderschept door mijn firewallfirewallnaam><?
Wat zijn de belangrijkste 20 IDPS-treffers van de afgelopen zeven dagen voor firewallfirewallnaam> in de resourcegroepnaam> van de resourcegroep<?<
Toon me in tabelvorm de top 50-aanvallen waarop <de firewallnaam> in de abonnementsnaam> van het abonnement <van de afgelopen maand is gericht.
Het bedreigingsprofiel van een IDPS-handtekening verrijken buiten logboekgegevens
Krijg aanvullende informatie om de bedreigingsinformatie/het profiel van een IDPS-handtekening te verrijken in plaats van deze handmatig te compileren.
Voorbeeldprompts:
Leg uit waarom IDPS de hoogste treffer als hoge ernst en de vijfde treffer als lage ernst heeft gemarkeerd.
Wat kun je me vertellen over deze aanval? Wat zijn de andere aanvallen waar deze aanvaller om bekend is?
Ik zie dat de derde handtekening-id is gekoppeld aan het CVE-nummer<>, vertel me meer over deze CVE.
Notitie
De Microsoft Threat Intelligence-invoegtoepassing is een andere bron die Security Copilot kan gebruiken om bedreigingsinformatie te bieden voor IDPS-handtekeningen.
Zoek naar een bepaalde IDPS-handtekening in uw tenant, abonnement of resourcegroep
Voer een vlootbrede zoekopdracht uit (over elk bereik) voor een bedreiging voor al uw firewalls in plaats van handmatig naar de bedreiging te zoeken.
Voorbeeldprompts:
Is het id-nummer> van de handtekening <alleen gestopt door deze firewall? Hoe zit het met anderen in deze hele tenant?
Is de belangrijkste hit gezien door een andere firewall in de abonnementsnaam><?
Heeft de afgelopen week een firewall in de resourcegroepnaam van de resourcegroep <de handtekening-id <>weergegeven?>
Aanbevelingen genereren om uw omgeving te beveiligen met behulp van de IDPS-functie van Azure Firewall
Informatie ophalen uit documentatie over het gebruik van de IDPS-functie van Azure Firewall om uw omgeving te beveiligen in plaats van deze informatie handmatig op te zoeken.
Voorbeeldprompts:
Hoe kan ik mij beschermen tegen toekomstige aanvallen tegen deze aanvaller in mijn hele infrastructuur?
Hoe kan ik dit doen als ik ervoor wil zorgen dat al mijn Azure Firewalls zijn beveiligd tegen aanvallen vanaf het id-nummer van de handtekening<?>
Wat is het verschil in risico tussen alleen waarschuwingen en waarschuwings- en blokmodi voor IDPS?
Notitie
Security Copilot kan ook gebruikmaken van de functie Microsoft-documentatie vragen om deze informatie te verstrekken en wanneer u deze mogelijkheid gebruikt via copilot in Azure, kan de functie Informatie ophalen worden gebruikt om deze informatie te verstrekken.
Feedback geven
Uw feedback is essentieel om de huidige en geplande ontwikkeling van het product te begeleiden. De beste manier om deze feedback te geven, is rechtstreeks in het product.
Via Security Copilot
Selecteer Hoe is dit antwoord? onder aan elke voltooide prompt en kies een van de volgende opties:
- Ziet er goed uit: selecteer of de resultaten juist zijn, op basis van uw evaluatie.
- Verbetering nodig: selecteer of details in de resultaten onjuist of onvolledig zijn, op basis van uw evaluatie.
- Ongepast : selecteer of de resultaten twijfelachtige, dubbelzinnige of mogelijk schadelijke informatie bevatten.
Voor elke feedbackoptie kunt u aanvullende informatie opgeven in het volgende dialoogvenster. Schrijf waar mogelijk, en vooral wanneer het resultaat verbetering vereist is, een paar woorden waarin wordt uitgelegd hoe het resultaat kan worden verbeterd. Als u vragen hebt ingevoerd die specifiek zijn voor Azure Firewall en de resultaten niet zijn gerelateerd, neemt u die informatie op.
Via Copilot in Azure
Gebruik de knoppen Vind ik leuk en leuk onder aan elke voltooide prompt. Voor beide feedbackopties kunt u aanvullende informatie opgeven in het volgende dialoogvenster. Schrijf waar mogelijk, en vooral wanneer u een antwoord niet leuk vindt, een paar woorden waarin wordt uitgelegd hoe het resultaat kan worden verbeterd. Als u vragen hebt ingevoerd die specifiek zijn voor Azure Firewall en de resultaten niet zijn gerelateerd, neemt u die informatie op.
Privacy en gegevensbeveiliging in Copilot voor beveiliging
Wanneer u communiceert met Security Copilot (via de Security Copilot-portal of via de Copilot in Azure-ervaring) om Azure Firewall-gegevens op te halen, haalt Copilot die gegevens op uit Azure Firewall. De prompts, de opgehaalde gegevens en de uitvoer die in de promptresultaten worden weergegeven, worden verwerkt en opgeslagen in de Copilot-service. Zie Privacy en gegevensbeveiliging in Microsoft Security Copilot voor meer informatie.