De Microsoft-invoegtoepassingen beschrijven die beschikbaar zijn in Microsoft Security Copilot

  • 10 minuten

Microsoft Security Copilot kan worden geïntegreerd met verschillende bronnen, waaronder de eigen beveiligingsproducten van Microsoft, niet-Microsoft-leveranciers, opensource-informatiefeeds, websites en knowledge bases om richtlijnen te genereren die specifiek zijn voor uw organisatie.

Een van de mechanismen waarmee Copilot in deze verschillende bronnen kan worden geïntegreerd, is via plug-ins. Invoegtoepassingen breiden de mogelijkheden van Copilot uit. In deze les verkent u de Microsoft-invoegtoepassingen.

Microsoft-invoegtoepassingen

Microsoft-invoegtoepassingen geven Copilot toegang tot informatie en mogelijkheden vanuit de Microsoft-producten van uw organisatie. In de volgende afbeelding ziet u slechts een subset van de beschikbare Microsoft-invoegtoepassingen en de volgorde waarin de invoegtoepassingen worden vermeld, kan verschillen van wat in het product wordt weergegeven.

Als een Copilot-eigenaar beperkte invoegtoepassingstoegang heeft, worden deze invoegtoepassingen die zijn ingesteld op beperkt, grijs weergegeven en beperkt.

Over het algemeen gebruiken Microsoft-invoegtoepassingen in Copilot het OBO-model (namens) - wat betekent dat Copilot weet dat een klant licenties heeft voor specifieke producten en automatisch wordt aangemeld bij deze producten. Copilot heeft vervolgens toegang tot de specifieke producten wanneer de invoegtoepassing is ingeschakeld en, indien van toepassing, parameters worden geconfigureerd. Sommige Microsoft-invoegtoepassingen waarvoor installatie is vereist, zoals vermeld door het instellingenpictogram of de installatieknop, kunnen configureerbare parameters bevatten die worden gebruikt voor verificatie in-lieu van het OBO-model.

Als u de systeemmogelijkheden wilt weergeven die worden ondersteund door de ingeschakelde invoegtoepassingen, selecteert u het promptpictogram in de promptbalk en selecteert u 'Alle systeemmogelijkheden weergeven'. Systeemmogelijkheden zijn specifieke, enkele prompts die u in Copilot kunt gebruiken. Het selecteren van een systeemmogelijkheid vereist doorgaans meer invoer om een nuttig antwoord te krijgen, maar Copilot biedt die richtlijnen.

Schermopname van het promptpictogram dat wanneer dit is geselecteerd, het venster opent om systeemmogelijkheden te selecteren.

De volgende secties bevatten korte beschrijvingen voor veel, maar niet alle, van de beschikbare Microsoft-invoegtoepassingen. Microsoft Security Copilot voegt voortdurend ondersteuning toe voor Microsoft-producten.

Azure Firewall (preview)

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die het beste bescherming tegen bedreigingen biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.

De Integratie van Azure Firewall met Copilot helpt analisten gedetailleerde onderzoeken uit te voeren van het schadelijke verkeer dat wordt onderschept door het inbraakdetectie- en preventiesysteem (IDPS) en/of de mogelijkheden voor bedreigingsinformatie van de firewalls in hun omgeving.

De Azure Firewall-integratie gebruiken met Copilot:

  • De Azure Firewalls die moeten worden gebruikt met Security Copilot moeten worden geconfigureerd met resourcespecifieke gestructureerde logboeken voor IDPS en deze logboeken moeten worden verzonden naar een Log Analytics-werkruimte.
  • De gebruikers die de Azure Firewall-invoegtoepassing in Security Copilot gebruiken, moeten de juiste RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure hebben om toegang te krijgen tot de firewall en de bijbehorende Log Analytics-werkruimte.
  • De Azure Firewall-invoegtoepassing in Security Copilot moet zijn ingeschakeld.

Azure Firewall-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Mogelijkheden van Azure Firewall die kunnen worden uitgevoerd in de zelfstandige ervaring.

Voorbeelden van prompts zijn:

  • Is er schadelijk verkeer onderschept door mijn firewallfirewallnaam<>?
  • Wat zijn de belangrijkste 20 IDPS-treffers van de afgelopen zeven dagen voor <firewallfirewallnaam> in de resourcegroepnaam> van de resourcegroep<?
  • Hoe kan ik dit doen als ik ervoor wil zorgen dat al mijn firewalls zijn beveiligd tegen aanvallen vanaf het id-nummer> van de handtekening<?

Azure Web Application Firewall (preview)

Integratie van Azure Web Application Firewall (WAF) in Security Copilot maakt een diepgaand onderzoek naar Azure WAF-gebeurtenissen mogelijk. Het kan u helpen WAF-logboeken te onderzoeken die binnen enkele minuten door Azure WAF worden geactiveerd en gerelateerde aanvalsvectoren te bieden met behulp van reacties in natuurlijke taal op computersnelheid. Het biedt inzicht in het bedreigingslandschap van uw omgeving. Hiermee kunt u een lijst met meest geactiveerde WAF-regels ophalen en de belangrijkste offending-IP-adressen in uw omgeving identificeren.

Security Copilot-integratie wordt ondersteund op zowel Azure WAF geïntegreerd met Azure-toepassing Gateway als Azure WAF geïntegreerd met Azure Front Door.

Als u de Azure WAF-integratie in Copilot wilt gebruiken, moet de Azure WAF-invoegtoepassing in Security Copilot zijn ingeschakeld en geconfigureerd.

De zelfstandige preview-ervaring in Azure WAF kan u helpen met:

  • Een lijst met de belangrijkste Azure WAF-regels die worden geactiveerd in de klantomgeving en het genereren van diepe context met gerelateerde aanvalsvectoren.
  • Het verstrekken van een lijst met schadelijke IP-adressen in de klantomgeving en het genereren van gerelateerde bedreigingen.
  • Samenvatting van SQL-injectieaanvallen (SQLi).
  • Samenvatting van XSS-aanvallen (Cross-site scripting).

De mogelijkheden van Azure Web Application Firewall in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de mogelijkheden van Azure Web Application Firewall die kunnen worden uitgevoerd in de zelfstandige ervaring.

Voorbeelden van prompts zijn:

  • Was er een SQL-injectieaanval in mijn wereldwijde WAF in de afgelopen dag?
  • Wat zijn de belangrijkste wereldwijde WAF-regels die in de afgelopen 24 uur zijn geactiveerd?
  • Een overzicht van de lijst met schadelijke IP-adressen in mijn Azure Front Door WAF in de afgelopen zes uur?

Azure AI Search (preview)

Met de Azure AI Search-invoegtoepassing kunt u de knowledge bases of opslagplaatsen van uw bedrijf verbinden met Microsoft Security Copilot. Details over deze invoegtoepassing en verbindingen met knowledge bases worden beschreven in een volgende les van deze module.

Microsoft Entra

Microsoft Entra is een familie van oplossingen voor identiteits- en netwerktoegang met meerdere clouds waarmee organisaties elke identiteit kunnen beveiligen en de toegang tot elke resource kunnen beveiligen. Het biedt een geïntegreerd platform voor identiteits- en netwerktoegangsbeheer, waardoor het eenvoudiger is om identiteiten en toegang tot resources in meerdere clouds en hybride omgevingen te beveiligen.

Security Copilot kan worden geïntegreerd met Microsoft Entra. Als de Entra-invoegtoepassing is ingeschakeld, kunnen beveiligingsanalisten direct een risicooverzicht krijgen, stappen voor het herstellen en aanbevolen richtlijnen voor elke identiteit die risico lopen, in natuurlijke taal. Analisten kunnen Copilot gebruiken om te helpen bij het maken van een levenscycluswerkstroom om het proces van het maken en uitgeven van gebruikersreferenties en toegangsrechten te stroomlijnen. Deze en vele andere Entra-mogelijkheden worden ondersteund door Copilot.

Microsoft Entra-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Mogelijkheden van Entra die kunnen worden uitgevoerd in de zelfstandige ervaring.

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Microsoft Entra ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Intune

Microsoft Intune is een beheeroplossing voor eindpunt in de cloud. Het beheert gebruikerstoegang tot organisatieresources en vereenvoudigt het app- en apparaatbeheer op uw vele apparaten, waaronder mobiele apparaten, desktopcomputers en virtuele eindpunten.

Copilot voor beveiliging integreert met Microsoft Intune. Als Microsoft Intune beschikbaar is in dezelfde tenant als Copilot en de invoegtoepassing is ingeschakeld, kan Copilot informatie krijgen over uw apparaten, apps, naleving en configuratiebeleid en beleidstoewijzingen die worden beheerd in Intune.

Als u de Microsoft Intune-invoegtoepassing wilt gebruiken, moet de gebruiker naast de rolmachtiging die toegang verleent tot Copilot, een specifieke rol van Intune-service krijgen, zoals de rolmachtiging van Intune Endpoint Security Manager.

Dankzij de mogelijkheden die door de Intune-invoegtoepassing worden ondersteund, kan een gebruiker het volgende doen:

  • Verschillende beveiligingsbasislijnen vergelijken.
  • Een overzicht van een bestaand beleid ophalen.
  • Bereik van beleidstoewijzing ophalen.
  • Bekijk de verschillen of vergelijkingen tussen twee apparaten.
  • Verzamel snel details voor een apparaat door ernaar te vragen.
  • Krijg gedetailleerde informatie over de apparaatinschrijvingen van een gebruiker en apparaatcompatibiliteit voor probleemoplossing of een beveiligingsonderzoek.
  • En meer

Microsoft Intune-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden

Schermopname van de suggesties voor Intune-prompts die kunnen worden uitgevoerd in de zelfstandige ervaring.

Enkele voorbeeldprompts zijn:

  • Welke Intune-apps worden het meest toegewezen?
  • Hoeveel apparaten zijn de afgelopen 24 uur ingeschreven bij Intune?
  • Wat is het verschil in de hardwareconfiguratie tussen de DeviceA- en DeviceB-apparaten?

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Microsoft Intune ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Defender XDR

Microsoft Defender XDR is een geïntegreerde enterprise defense suite die detectie, preventie, onderzoek en reactie coördineert op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.

Er zijn twee afzonderlijke invoegtoepassingen in Copilot die betrekking hebben op Microsoft Defender XDR (de gebruikersinterface kan nog steeds Microsoft 365 Defender weergeven):

  • Microsoft Defender XDR
  • Natuurlijke taal naar KQL voor Microsoft Defender XDR

De rolmachtiging waarmee de gebruiker toegang verleent tot Copilot bepaalt het toegangsniveau voor Microsoft Defender XDR-gegevens. Er zijn geen aanvullende rolmachtigingen vereist voor het gebruik van de Microsoft Defender XDR-invoegtoepassing of de natuurlijke taal voor Defender XDR KQL-invoegtoepassing.

Microsoft Defender XDR

De Microsoft Defender XDR-invoegtoepassing bevat mogelijkheden waarmee gebruikers het volgende kunnen doen:

  • Incidenten snel samenvatten
  • Actie ondernemen op incidenten via begeleide reacties.
  • Incidentrapporten maken
  • Begeleide reacties voor incidenten ophalen
  • Samenvattingen van Defender-apparaten ophalen
  • Bestanden analyseren
  • meer...

Microsoft Defender XDR-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Defender XDR-mogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Copilot bevat ook een ingebouwd promptbook voor microsoft Defender XDR-incidentonderzoek dat u kunt gebruiken om een rapport over een specifiek incident op te halen, met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Defender XDR ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Natuurlijke taal voor KQL voor Microsoft Defender

De invoegtoepassing Natuurlijke taal naar KQL voor Microsoft Defender (NL2KQLDefender) maakt queryassistentfunctionaliteit mogelijk waarmee elke vraag in natuurlijke taal in de context van opsporing van bedreigingen wordt geconverteerd naar een kant-en-klare KQL-query. De queryassistent bespaart beveiligingsteams tijd door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist.

Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (Defender EASM)

Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (Defender EASM) detecteert en wijst uw digitale aanvalsoppervlak continu toe om een externe weergave van uw onlineinfrastructuur te bieden. Dankzij deze zichtbaarheid kunnen beveiligings- en IT-teams onbekende gegevens identificeren, risico's prioriteren, bedreigingen elimineren en controle over kwetsbaarheid en blootstelling uitbreiden buiten de firewall. Surface Insights voor aanvallen wordt gegenereerd met behulp van beveiligings- en infrastructuurgegevens om de belangrijkste aandachtspunten voor uw organisatie te laten zien.

Als u Defender EASM gebruikt in dezelfde tenant als Copilot en de invoegtoepassing inschakelt, kan Copilot inzichten van Defender EASM verkrijgen over de kwetsbaarheid voor aanvallen van een organisatie. Deze inzichten kunnen u helpen inzicht te krijgen in uw beveiligingspostuur en beveiligingsproblemen te beperken.

Defender EASM-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de EASM-systeemmogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Enkele voorbeeldprompts zijn:

  • Is mijn externe aanvalsoppervlak beïnvloed door CVE-2023-21709?
  • Assets ophalen die worden beïnvloed door CVSS's met hoge prioriteit in mijn aanvalsoppervlak.
  • Hoeveel assets hebben kritieke CVSS's voor mijn organisatie?

Als u deze invoegtoepassing wilt gebruiken, moet u parameters configureren om het abonnement van uw organisatie op Defender EASM te identificeren.

Schermopname van de EASM-invoegtoepassingsinstellingen die moeten worden geconfigureerd.

Microsoft Defender Threat Intelligence

Microsoft Defender-bedreigingsinformatie (Defender TI) is een platform dat de triage, incidentrespons, opsporing van bedreigingen, beveiligingsbeheer en analistwerkstromen voor bedreigingsinformatie stroomlijnt bij het uitvoeren van analyse van bedreigingsinfrastructuur en het verzamelen van bedreigingsinformatie.

Security Copilot kan worden geïntegreerd met Microsoft Defender TI. Als de Defender TI-invoegtoepassing is ingeschakeld, levert Copilot informatie over bedreigingsactiviteitengroepen, indicatoren van inbreuk (IOC's), hulpprogramma's en contextuele bedreigingsinformatie. U kunt de prompts en promptbooks gebruiken om incidenten te onderzoeken, uw opsporingsstromen te verrijken met informatie over bedreigingsinformatie of meer kennis te krijgen over het wereldwijde bedreigingslandschap van uw organisatie.

Microsoft Defender TI-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de defender TI-systeemmogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Enkele voorbeeldprompts zijn:

  • Laat me de nieuwste bedreigingsartikelen zien.
  • Bekijk bedreigingsartikelen die zijn gekoppeld aan de financiële sector.
  • Deel de technologieën die vatbaar zijn voor het beveiligingsprobleem - CVE-2021-44228.
  • Een overzicht van het beveiligingsprobleem CVE-2021-44228.

Ingebouwde promptbooks die informatie van Defender TI leveren, zijn onder andere:

  • Effectbeoordeling van beveiligingsproblemen: genereert een rapport met een samenvatting van de intelligentie voor een bekend beveiligingsprobleem, inclusief de stappen voor het oplossen ervan.
  • Profiel voor bedreigingsacteur: genereert een rapportprofilering van een bekende activiteitsgroep, inclusief suggesties om zich te verdedigen tegen hun algemene hulpprogramma's en tactieken.

Microsoft Purview

Microsoft Purview is een uitgebreide set oplossingen waarmee uw organisatie gegevens kan beheren, beveiligen en beheren, waar deze zich ook bevinden. Microsoft Purview-oplossingen bieden geïntegreerde dekking en helpen de fragmentatie van gegevens in organisaties aan te pakken, het gebrek aan zichtbaarheid dat de beveiliging en governance van gegevens belemmert en het vervagen van traditionele IT-beheerrollen.

Met de Purview-invoegtoepassing in Security Copilot kunt u waardevolle gegevens en inzichten over gebruikersrisico's verkrijgen om de bron van een aanval en gevoelige gegevens te identificeren die mogelijk in gevaar zijn, mits u de juiste rolmachtiging hebt binnen Microsoft Purview. Omdat Microsoft Copilot ervan uitgaat dat de machtigingen van de gebruiker worden gebruikt wanneer deze toegang probeert te krijgen tot de gegevens om de query's te beantwoorden, moet u over de vereiste rolmachtigingen beschikken om toegang te krijgen tot de gegevens. Daarnaast moet uw organisatie een licentie hebben en onboarding uitvoeren voor de toepasselijke Microsoft Purview-oplossingen.

Microsoft Purview-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Purview-mogelijkheden.

Copilot-mogelijkheden kunnen ook rechtstreeks vanuit Purview-oplossingen worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Sentinel (preview)

Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Met Microsoft Sentinel krijgt u één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Er zijn twee afzonderlijke invoegtoepassingen in Copilot die betrekking hebben op Sentinel:

  • Microsoft Sentinel (preview)
  • Natuurlijke taal voor Microsoft Sentinel KQL (preview)

Schermopname van de Sentinel- en NL2KQK-invoegtoepassing in Sentinel.

Microsoft Sentinel (preview)

Als u de Sentinel-invoegtoepassing wilt gebruiken, moet aan de gebruiker een rolmachtiging worden toegewezen die toegang verleent tot Copilot en een Sentinel-specifieke rol, zoals Microsoft Sentinel Reader voor toegang tot incidenten in de werkruimte.

De Sentinel-invoegtoepassing vereist ook dat de gebruiker de Sentinel-werkruimte, de abonnementsnaam en de naam van de resourcegroep configureert.

Schermopname van de instellingenpagina van de Sentinel-invoegtoepassing.

De mogelijkheden van de Sentinel-invoegtoepassing zijn gericht op incidenten en werkruimten. Daarnaast bevat Copilot een promptbook voor onderzoek naar Microsoft Sentinel-incidenten. Dit promptbook bevat aanwijzingen voor het verkrijgen van een rapport over een specifiek incident, samen met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Natuurlijke taal voor Microsoft Sentinel KQL (preview)

De natuurlijke taal naar de Sentinel KQL-invoegtoepassing (NL2KQLSentinel) converteert elke vraag in natuurlijke taal in de context van opsporing van bedreigingen naar een kant-en-klare KQL-query. Dit bespaart beveiligingsteams tijd door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist.