Integração do Firewall do Azure no Microsoft Security Copilot (versão prévia)
Importante
A integração do Firewall do Azure no Microsoft Security Copilot em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Security Copilot é uma solução de segurança em plataforma de IA que ajuda a aumentar a eficiência e os recursos da equipe de segurança para melhorar os resultados de segurança na velocidade e escala do computador. Ele fornece uma experiência de copiloto assistivo em linguagem natural, ajudando a dar suporte aos profissionais de segurança em cenários de ponta a ponta, como resposta a incidentes, busca de ameaças, coleta de inteligência e gerenciamento de postura. Para obter mais informações sobre o que ele pode fazer, consulte O que é o Microsoft Security Copilot?
Antes de começar
Se você é novo no Security Copilot, familiarize-se com ele lendo esses artigos:
- O que é o Copilot da Segurança da Microsoft?
- Experiências do Copilot de Segurança da Microsoft
- Comece a usar o Microsoft Security Copilot
- Entenda a autenticação no Microsoft Security Copilot
- Solicitação no Microsoft Security Copilot
Integração do Security Copilot no Firewall do Azure
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que oferece a melhor proteção contra ameaças para suas cargas de trabalho em nuvem executadas no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita.
A integração do Firewall do Azure no Security Copilot ajuda os analistas a realizar investigações detalhadas do tráfego malicioso interceptado pelo recurso IDPS de seus firewalls em toda a frota, usando perguntas de linguagem natural.
Você pode usar essa integração em duas experiências diferentes:
Portal do Security Copilot (experiência independente)
Copilot no Azure (experiência inserida) no portal do Azure:
Para obter mais informações, consulte Experiências do Microsoft Security Copilot e Microsoft Copilot nas funcionalidades do Azure.
Principais recursos
O Security Copilot tem recursos de sistema integrados que podem obter dados dos diversos plug-ins que estão ativados.
Para exibir a lista de recursos internos do sistema para o Firewall do Azure, use o procedimento a seguir no portal do Security Copilot:
Na barra de prompts, selecione o ícone Prompts.
Selecione Ver todos os recursos do sistema.
A seção Firewall do Azure lista todos os recursos disponíveis que podem ser usados.
Habilitar a integração do Firewall do Azure no Security Copilot
Certifique-se de que o Firewall do Azure esteja configurado corretamente:
Logs estruturados do Firewall do Azure: os Firewalls do Azure a serem usados com o Security Copilot devem ser configurados com logs estruturados específicos de recursos para IDPS e esses logs devem ser enviados para um workspace do Log Analytics.
Controle de acesso baseado em função para o Firewall do Azure: os usuários que usam o plug-in do Firewall do Azure no Security Copilot devem ter as funções de controle de acesso baseado em função do Azure adequadas para acessar o Firewall e os workspaces do Log Analytics associados.
Acesse o Security Copilot e entre com suas credenciais.
Certifique-se de que o plug-in do Firewall do Azure esteja ativado. Na barra de prompt, selecione o ícone Fontes. Na janela pop-up Gerenciar fontes que aparece, confirme se a opção Firewall do Azure está ativada. Em seguida, feche a janela. Nenhuma outra configuração é necessária. Enquanto os logs estruturados estiverem sendo enviados para um workspace do Log Analytics e você tiver as permissões de controle de acesso baseadas em função corretas, o Copilot encontrará os dados necessários para responder às suas perguntas.
Insira o prompt na barra de prompts no portal doportal do Security Copilot ou por meio da experiência Copilot do Azure no portal do Azure.
Importante
O uso do Copilot no Azure para consultar o Firewall do Azure está incluído no Security Copilot e exige SCUs (unidades de computação de segurança). Você pode provisionar SCUs e aumentar ou diminuir a qualquer momento. Para obter mais informações sobre as SCUs, consulte Introdução ao Microsoft Security Copilot. Se você não tiver o Copilot de Segurança configurado corretamente, mas fizer uma pergunta relevante para as funcionalidades do Firewall do Azure por meio do Copilot na experiência do Azure, você receberá uma mensagem de erro.
Exemplo de prompts do Firewall do Azure
Há muitos prompts que você pode usar para obter informações do Firewall do Azure. Esta seção lista os que funcionam melhor atualmente. Eles são atualizados continuamente à medida que novos recursos são inicializados.
Recuperar as principais ocorrências de assinatura do IDPS para um Firewall do Azure
Obter informações de registro sobre o tráfego interceptado pelo recurso IDPS em vez de construir consultas KQL manualmente.
Prompts de exemplo:
Houve algum tráfego malicioso interceptado pelo meu Firewall <Nome do firewall>?
Quais são as 20 principais ocorrências de IDPS dos últimos sete dias para o Firewall <Nome do Firewall> no grupo de recursos <nome do grupo de recursos>?
Mostre-me em forma de tabela os 50 principais ataques direcionados ao Firewall <Nome do Firewall> na assinatura <nome da assinatura> no último mês.
Enriqueça o perfil de ameaça de uma assinatura IDPS além das informações de registro
Obtenha detalhes adicionais para enriquecer as informações/perfil de ameaças de uma assinatura do IDPS em vez de compilá-las manualmente.
Prompts de exemplo:
Explique por que o IDPS sinalizou o primeiro ataque como de alta gravidade e o quinto ataque como de baixa gravidade.
O que você pode me dizer sobre esse ataque? Quais são os outros ataques pelos quais esse invasor é conhecido?
Vejo que a terceira ID de assinatura está associada ao CVE <Número CVE>, fale-me mais sobre esse CVE.
Observação
O plug-in Informações sobre ameaças da Microsoft é outra fonte que o Security Copilot pode usar para fornecer inteligência contra ameaças para assinaturas de IDPS.
Procure uma determinada assinatura de IDPS no seu locatário, assinatura ou grupo de recursos
Realize uma pesquisa em toda a frota (em qualquer escopo) para uma ameaça em todos os seus Firewalls em vez de procurar a ameaça manualmente.
Prompts de exemplo:
A ID de assinatura <número da ID> foi interrompida apenas por este Firewall? E as outras em todo o locatário?
A principal ocorrência foi vista por qualquer outro Firewall na assinatura <nome da assinatura>?
Na semana passada, algum Firewall do grupo de recursos <nome do grupo de recursos> viu a ID de assinatura <Número da ID>?
Gerar recomendações para proteger seu ambiente usando o recurso IDPS do Firewall do Azure
Obtenha informações da documentação sobre o uso do recurso IDPS do Firewall do Azure para proteger seu ambiente, em vez de ter que procurar essas informações manualmente.
Prompts de exemplo:
Como fazer para me proteger de futuros ataques desse invasor em toda a minha infraestrutura?
Se eu quiser ter certeza de que todos os meus Firewalls do Azure estão protegidos contra ataques de ID de assinatura <número de identificação>, como fazer para conseguir isso?
Qual é a diferença de risco entre os modos somente alerta e alerta e bloqueio para IDPS?
Observação
O Security Copilot também pode usar o recurso Solicitar documentação da Microsoft para fornecer essas informações e, ao usar essa funcionalidade por meio do Copilot na experiência do Azure, a funcionalidade Obter informações pode ser usada para fornecer essas informações.
Enviar comentários
Seus comentários são essenciais para guiar o desenvolvimento atual e planejado do produto. A melhor maneira de fornecer esse feedback é diretamente no produto.
Por meio do Security Copilot
Selecione Como está esta resposta? na parte inferior de cada prompt preenchido e escolha uma das seguintes opções:
- Parece correto: Selecione se os resultados são precisos, com base na sua avaliação.
- Precisa melhorar: Selecione se algum detalhe dos resultados estiver incorreto ou incompleto, com base em sua avaliação.
- Inapropriado: Selecione se os resultados contiverem informações questionáveis, ambíguas ou potencialmente prejudiciais.
Para cada opção de comentários, você pode fornecer informações adicionais na caixa de diálogo subsequente. Sempre que possível, e especialmente quando o resultado for Precisa ser melhorado, escreva algumas palavras explicando como o resultado pode ser melhorado. Se você tiver inserido prompts específicos ao Firewall do Azure e os resultados não estiverem relacionados, inclua essa informação.
Por meio do Copilot no Azure
Use os botões gosto e não gosto na parte inferior de cada prompt concluído. Para as duas opções de comentários, você pode fornecer informações adicionais na caixa de diálogo subsequente. Sempre que possível, e especialmente quando não gostar de uma resposta, escreva algumas palavras explicando como o resultado pode ser melhorado. Se você tiver inserido prompts específicos ao Firewall do Azure e os resultados não estiverem relacionados, inclua essa informação.
Privacidade e segurança de dados no Copilot da Segurança
Quando você interage com o Security Copilot (por meio do portal do Security Copilot ou por meio da experiência Copilot no Azure) para obter dados do Firewall do Azure, o Copilot efetua pull dos dados do Firewall do Azure. Os prompts, os dados recuperados e a saída mostrada nos resultados do prompt são processados e armazenados no serviço do Copilot. Para obter mais informações, consulte Privacidade e segurança de dados no Microsoft Security Copilot.