Security Copilot com o Microsoft Sentinel
O Microsoft Security Copilot é uma plataforma que ajuda você a defender sua organização em velocidade e escala do computador. Os vastos dados de segurança do Microsoft Sentinel fornecem uma excelente fonte para o Copilot ajudar a analisar incidentes e gerar consultas de busca.
Juntamente com outras fontes do Security Copilot que você habilitar, seus incidentes e dados do Microsoft Sentinel fornecem maior visibilidade sobre as ameaças e contextos relacionados para a sua organização.
Antes de começar
Se você é novo no Security Copilot, familiarize-se com ele lendo esses artigos:
- O que é o Copilot da Segurança da Microsoft?
- Experiências do Copilot de Segurança da Microsoft
- Comece a usar o Microsoft Security Copilot
- Entenda a autenticação no Microsoft Security Copilot
- Solicitação no Microsoft Security Copilot
Integração do Security Copilot ao Microsoft Sentinel
Essa integração dá suporte, principalmente, à experiência autônoma acessada em https://securitycopilot.microsoft.com, onde você interage em uma experiência semelhante a um chat para resumir incidentes e obter outras respostas sobre seus dados de segurança. Para obter mais informações, confira Experiências do Microsoft Security Copilot.
Principais recursos
Os dados do Microsoft Sentinel integram-se ao Security Copilot de duas formas.
- Na plataforma de operações de segurança unificada da Microsoft, o Copilot no Microsoft Defender XDR se beneficia dos incidentes unificados integrados ao Microsoft Sentinel.
- Na experiência autônoma, o Microsoft Sentinel fornece dois plug-ins para integração ao Security Copilot:
Microsoft Sentinel (versão prévia)
Linguagem natural do KQL para o Microsoft Sentinel (Versão prévia).
Importante
Os plugins "Microsoft Sentinel" e "Natural Language to KQL for Microsoft Sentinel" estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Habilitar a integração do Security Copilot ao Microsoft Sentinel
Para maximizar sua integração do Security Copilot com o Microsoft Sentinel, faça o seguinte:
- configure um workspace padrão do Microsoft Sentinel para o Security Copilot
- conecte seu workspace do Microsoft Sentinel ao Microsoft Defender XDR
Configurar um espaço de trabalho padrão do Microsoft Sentinel
Aumente a precisão do seu prompt configurando um Workspace do Microsoft Sentinel como padrão.
Navegue até o Security Copilot em https://securitycopilot.microsoft.com/.
Abra Fontes
na barra de comandos.Na página Gerenciar plug-ins, defina o botão de alternância como Ativado
Selecione o ícone de engrenagem no plug-in do Microsoft Sentinel (Preview).
Configure o nome padrão do espaço de trabalho.
Dica
Especifique o espaço de trabalho em seu prompt quando ele não corresponder ao padrão configurado.
Exemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrar o Microsoft Sentinel ao Copilot no Defender
Use o portal do Microsoft Defender com seus dados do Microsoft Sentinel para obter uma experiência integrada do Security Copilot. As fontes de dados exclusivas do Microsoft Sentinel que fluem para incidentes unificados do Microsoft Defender XDR permitem que o Copilot no Defender maximize seus recursos.
Por exemplo:
- A solução SAP (Versão prévia) está instalada em seu Workspace do Microsoft Sentinel.
- A regra de tempo quase real SAP - (Versão prévia) Arquivo Baixado de um Endereço IP Malicioso aciona um alerta, criando um incidente no Microsoft Sentinel.
- O Microsoft Sentinel não estava integrado ao portal do Defender.
- Os incidentes do Microsoft Sentinel agora são unificados com os incidentes do Defender XDR.
- Use o Copilot no Microsoft Defender para resumo de incidentes, respostas guiadas e relatórios de incidentes.
Para saber mais, consulte os recursos a seguir:
- Integrar o Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
- Copilot no Microsoft Defender
Integrar o Microsoft Sentinel com o Security Copilot na busca avançada de ameaças
A linguagem natural para KQL para o plug-in Microsoft Sentinel (Versão prévia) gera e executa consultas de busca de KQL utilizando dados do Microsoft Sentinel. Esse recurso está disponível na experiência autônoma e na seção de busca avançada do portal do Microsoft Defender.
Observação
No portal unificado do Microsoft Defender, você pode solicitar que o Security Copilot gere consultas de busca avançada de ameaças para as tabelas do Defender XDR e do Microsoft Sentinel. Atualmente, nem todas as tabelas do Microsoft Sentinel têm suporte.
Para obter mais informações, confira Security Copilot na busca avançada de ameaças.
Amostra de prompts do Microsoft Sentinel
Considere a sequência de solicitações Investigação de incidentes do Microsoft Sentinel como um ponto de partida para a criação de prompts eficazes. Essa sequência de solicitações fornece um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.
| Diretrizes | Prompt |
|---|---|
| Incentive o Copilot a fornecer informações legíveis por humanos em vez de responder com IDs de objetos. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| O Copilot sabe quem você é. Use o pronome "me" para encontrar incidentes relacionados a você. O prompt a seguir tem como alvo os incidentes atribuídos a você. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando você restringe a resposta de um prompt a um único incidente, o Copilot conhece o contexto. | Tell me about the entities associated with that incident. |
| O Copilot é bom em resumir. Descreva um público-alvo específico para o qual você deseja que os prompts e as respostas sejam resumidos. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obter mais diretrizes e exemplos de prompts, consulte os seguintes recursos:
- Usando sequências de solicitações
- Solicitação no Microsoft Security Copilot
- Biblioteca de prompts do Security Copilot de Rod Trent
Enviar comentários
Seus comentários são essenciais para guiar o desenvolvimento atual e planejado do produto. A melhor maneira de fornecer esse feedback é diretamente no produto. Selecione Como está esta resposta? na parte inferior de cada prompt preenchido e escolha uma das seguintes opções:
- Parece correto: Selecione se os resultados são precisos, com base na sua avaliação.
- Precisa melhorar: Selecione se algum detalhe dos resultados estiver incorreto ou incompleto, com base em sua avaliação.
- Inapropriado: Selecione se os resultados contiverem informações questionáveis, ambíguas ou potencialmente prejudiciais.
Para cada opção de feedback, você pode fornecer mais informações na próxima caixa de diálogo exibida. Sempre que possível, e especialmente quando o resultado for Precisa ser melhorado, escreva algumas palavras explicando o que pode ser feito para melhorar o resultado. Se você tiver inserido prompts específicos ao Firewall do Azure e os resultados não estiverem relacionados, inclua essa informação.
Privacidade e segurança de dados no Copilot da Segurança
Para entender como o Security Copilot lida com seus prompts e os dados recuperados do serviço (saída do prompt), confira Privacidade e segurança de dados no Microsoft Security Copilot.