Descrever os plug-ins da Microsoft disponíveis no Microsoft Security Copilot

  • 10 minutos

O Microsoft Security Copilot integra-se a diversas fontes, incluindo produtos de segurança da própria Microsoft, fornecedores que não são da Microsoft, feeds de inteligência de código aberto, sites e bases de conhecimento para gerar orientações específicas para sua organização.

Um dos mecanismos pelos quais o Copilot se integra a essas várias fontes é por meio de plug-ins. Os plug-ins estendem as funcionalidades do Copilot. Nesta unidade, você explorará os plug-ins da Microsoft.

Plug-ins da Microsoft

Os plug-ins da Microsoft fornecem ao Copilot acesso a informações e recursos de dentro dos produtos da Microsoft da sua organização. A imagem a seguir mostra apenas um subconjunto dos plug-ins da Microsoft disponíveis e a ordem na qual os plug-ins são listados pode variar do que é exibido no produto.

Se um proprietário do Copilot tiver acesso restrito a plug-ins, os plug-ins que foram definidos como restritos aparecerão esmaecidos e restritos.

Em termos gerais, os plug-ins da Microsoft no Copilot usam o modelo OBO (em nome de) – o que significa que o Copilot sabe que um cliente tem licenças para produtos específicos e é conectado automaticamente a esses produtos. O Copilot pode acessar os produtos específicos quando o plug-in está habilitado e, quando aplicável, os parâmetros são configurados. Alguns plug-ins da Microsoft que exigem instalação, conforme observado pelo ícone de configurações ou pelo botão configurar, podem incluir parâmetros configuráveis que são usados para autenticação in-lieu do modelo OBO.

Para visualizar os recursos do sistema compatíveis com os plug-ins habilitados, selecione o ícone de prompt localizado na barra de prompts e selecione "Ver todos os recursos do sistema." Os recursos do sistema são prompts específicos e únicos que você pode usar no Copilot. A seleção de uma funcionalidade do sistema normalmente requer mais informações para obter uma resposta útil, mas o Copilot fornece essa diretrizes.

Captura de tela do ícone de prompt que, quando selecionado, abre a janela para selecionar os recursos do sistema.

As seções a seguir fornecem breves descrições para muitos, mas não todos, dos plug-ins disponíveis da Microsoft. O Microsoft Security Copilot está continuamente adicionando suporte para produtos da Microsoft.

Firewall do Azure (versão prévia)

O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita.

A integração do Firewall do Azure com o Copilot ajuda os analistas a realizar investigações detalhadas sobre o tráfego mal-intencionado interceptado pelo IDPS (sistema de detecção e prevenção de intrusões) e/ou pelos recursos de inteligência contra ameaças dos firewalls em seu ambiente.

Para usar a integração do Firewall do Azure com o Copilot:

  • Os Firewalls do Azure que serão usados com o Security Copilot devem ser configurados com logs estruturados específicos do recurso para IDPS e esses logs devem ser enviados para um workspace do Log Analytics.
  • Os usuários que usam o plug-in do Firewall do Azure no Security Copilot devem ter as funções de RBAC (controle de acesso baseado em função) do Azure apropriadas para acessar o Firewall e o workspace do Log Analytics associado.
  • O plug-in do Firewall do Azure no Security Copilot deve ser ativado.

As funcionalidades do Firewall do Azure no Copilot são prompts internos que você pode usar, mas também pode inserir os próprios prompts com base nas funcionalidades com suporte.

Captura de tela dos recursos do Firewall do Azure que podem ser executados na experiência autônoma.

Os prompts de exemplo incluem:

  • Houve algum tráfego mal-intencionado interceptado pelo meu <nome de Firewall>?
  • Quais são as 20 principais ocorrências de IDPS dos últimos sete dias para o Firewall <nome do Firewall> no grupo de recursos <nome do grupo de recursos>?
  • Se eu quiser garantir que todos os meus Firewalls estejam protegidos contra ataques do ID de assinatura <número de ID>, como fazer isso?

Firewall do Aplicativo Web do Azure (versão prévia)

A integração do WAF (Firewall de Aplicativo Web) do Azure no Security Copilot permite uma investigação avançada dos eventos do WAF do Azure. Ele pode ajudá-lo a investigar os logs de WAF disparados pelo WAF do Azure em questão de minutos e fornecer vetores de ataque relacionados usando respostas de linguagem natural na velocidade do computador. Ele fornece visibilidade do cenário de ameaças do seu ambiente. Isso permite recuperar uma lista das regras de WAF disparadas com mais frequência e identificar os principais endereços IP ofensivos em seu ambiente.

A integração do Security Copilot é compatível tanto com o Azure WAF integrado ao Gateway de Aplicativo do Azure quanto ao Azure WAF integrado ao Azure Front Door.

Para usar a integração do WAF do Azure no Copilot, o plug-in do WAF do Azure no Security Copilot deve estar ativado e configurado.

A experiência autônoma de visualização no WAF do Azure pode ajudá-lo:

  • Fornecendo uma lista das principais regras do WAF do Azure disparadas no ambiente do cliente e gerando um contexto profundo com vetores de ataque relacionados.
  • Fornecendo uma lista de endereços IP mal-intencionados no ambiente do cliente e gerando ameaças relacionadas.
  • Resumindo ataques de injeção de SQL (SQLi).
  • Resumindo ataques XSS (scripts entre sites).

As funcionalidades do Firewall de Aplicativo Web do Azure no Copilot são prompts internos que você pode usar, mas também pode inserir os próprios prompts com base nas funcionalidades com suporte.

Captura de tela dos recursos do Firewall do Aplicativo Web do Azure que podem ser executados na experiência autônoma.

Os prompts de exemplo incluem:

  • Houve um ataque de injeção de SQL no meu WAF global no último dia?
  • Quais foram as principais regras globais do WAF disparadas nas últimas 24 horas?
  • Resumir a lista de endereços IP mal-intencionados no WAF do Azure Front Door nas últimas seis horas?

Pesquisa de IA do Azure (Versão prévia)

O plug-in Pesquisa de IA do Azure permite que você conecte as bases de conhecimento ou repositórios da sua empresa ao Microsoft Security Copilot. Os detalhes sobre esse plug-in e as conexões com as bases de conhecimento estão descritos em uma unidade subsequente deste módulo.

Microsoft Entra

O Microsoft Entra é uma família de soluções de identidade e acesso à rede multinuvem que permite que as organizações protejam qualquer identidade e acesso seguro a qualquer recurso. Ele fornece uma plataforma unificada para o gerenciamento de identidade e acesso à rede, facilitando a proteção de identidades e o acesso a recursos em ambientes híbridos e multinuvem.

O Copilot da Segurança se integra ao Microsoft Entra. Com o plug-in do Entra habilitado, os analistas de segurança podem obter instantaneamente um resumo dos riscos, etapas para correção e diretrizes recomendadas para cada identidade em risco, em linguagem natural. Os analistas podem usar o Copilot para orientar na criação de um fluxo de trabalho de ciclo de vida para simplificar o processo de criação e emissão de credenciais de usuário e direitos de acesso. Esses e muitos outros recursos do Entra são compatíveis com o Copilot.

As funcionalidades do Microsoft Entra no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nas funcionalidades com suporte.

Captura de tela dos recursos do Entra que podem ser executados na experiência autônoma.

Com o plug-in habilitado, a integração do Copilot com o Microsoft Entra também pode ser experimentada por meio da experiência inserida. Os cenários compatíveis com a experiência incorporada são descritos com mais detalhes no módulo "Descrever as experiências incorporadas do Microsoft Security Copilot".

Microsoft Intune

O Microsoft Intune é uma solução de gerenciamento de ponto de extremidade baseada em nuvem. Ele gerencia o acesso do usuário aos recursos organizacionais e simplifica o gerenciamento de aplicativos e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores desktop e pontos de extremidade virtuais.

O Copilot da Segurança integra-se ao Microsoft Intune. Se o Microsoft Intune estiver disponível no mesmo locatário que o Copilot e o plug-in estiver habilitado, o Copilot poderá obter informações sobre seus dispositivos, aplicativos, políticas de conformidade e configuração e atribuições de política gerenciadas no Intune.

Para utilizar o plug-in do Microsoft Intune, o usuário precisaria receber uma função específica do serviço do Intune, como a função de Gerenciador de Segurança de Ponto de Extremidade do Intune, além da permissão de função que concede acesso ao Copilot.

Os recursos com suporte pelo plug-in do Intune permitem que um usuário:

  • Comparar diferentes linhas de base de segurança.
  • Obter um resumo de uma política existente.
  • Obter o escopo de atribuição de política.
  • Obter as diferenças ou comparações entre dois dispositivos.
  • Coletar rapidamente os detalhes de um dispositivo perguntando sobre ele.
  • Obter informações detalhadas sobre os registros de dispositivo de um usuário e a conformidade do dispositivo para solução de problemas ou para uma investigação de segurança.
  • E mais

As funcionalidades do Microsoft Intune no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nas funcionalidades com suporte

Captura de tela das sugestões de prompts do Intune que podem ser executadas na experiência autônoma.

Alguns exemplos de prompts incluem:

  • Quais aplicativos do Intune são mais atribuídos?
  • Quantos dispositivos foram registrados no Intune nas últimas 24 horas?
  • Qual é a diferença de configuração de hardware entre os dispositivos Dispositivo A e Dispositivo B?

Com o plug-in habilitado, a integração do Copilot com o Microsoft Intune também pode ser experimentada por meio da experiência inserida. Os cenários compatíveis com a experiência incorporada são descritos com mais detalhes no módulo "Descrever as experiências incorporadas do Microsoft Security Copilot".

Microsoft Defender XDR

O Microsoft Defender XDR é um pacote de defesa empresarial unificado pré e pós-violação que coordena nativamente a detecção, a prevenção, a investigação e a resposta em pontos de extremidade, identidades, emails e aplicativos para fornecer proteção integrada contra ataques sofisticados.

Há dois plug-ins separados no Copilot relacionados ao Microsoft Defender XDR (a interface do usuário ainda pode mostrar o Microsoft 365 Defender):

  • Microsoft Defender XDR
  • Lingugem natural para KQL do Microsoft Defender XDR

A permissão de função que concede ao usuário acesso ao Copilot determina o nível de acesso aos dados do Microsoft Defender XDR. Não são necessárias permissões de função adicionais para usar o plug-in do Microsoft Defender XDR ou o plug-in Linguagem Natural para KQL do Defender XDR.

Microsoft Defender XDR

O plug-in do Microsoft Defender XDR inclui recursos que permitem aos usuários:

  • Resumir incidentes rapidamente
  • Executar medidas em relação aos incidentes por meio de respostas guiadas.
  • Criar relatórios de incidentes
  • Obter respostas orientadas a incidentes
  • Obter resumos de dispositivos do Defender
  • Analisar os arquivos
  • mais...

As funcionalidades do Microsoft Defender XDR no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nas funcionalidades com suporte.

Captura de tela dos recursos do Defender XDR que podem ser executados na experiência autônoma.

O Copilot também inclui um promptbook interno para investigação de incidentes do Microsoft Defender XDR que pode ser usado para obter um relatório sobre um incidente específico, com alertas relacionados, pontuações de reputação, usuários e dispositivos.

Com o plug-in habilitado, a integração do Copilot com o Defender XDR pode ser experimentada por meio da experiência inserida. Os cenários compatíveis com a experiência incorporada são descritos com mais detalhes no módulo "Descrever as experiências incorporadas do Microsoft Security Copilot".

Linguagem natural para KQL do Microsoft Defender

O plug-in NL2KQLDefender (linguagem natural para a KQL do Microsoft Defender) permite a funcionalidade de assistente de consulta que converte qualquer pergunta em linguagem natural no contexto da busca a ameaças em uma consulta KQL pronta para ser executada. O assistente de consultas economiza o tempo das equipes de segurança ao gerar uma consulta KQL que pode ser executada automaticamente ou ajustada de acordo com as necessidades do analista.

Saiba mais sobre o EASM do Defender (Gerenciamento da Superfície de Ataque Externo do Microsoft Defender)

O Microsoft Defender EASM (Gerenciamento da Superfície de Ataque Externa) descobre e mapeia continuamente sua superfície de ataque digital para fornecer uma visão externa de sua infraestrutura online. Essa visibilidade permite que as equipes de TI e segurança identifiquem problemas desconhecidos, priorizem riscos, eliminem ameaças e estendam o controle de vulnerabilidade e exposição para além do firewall. O Surface Insights de ataque é gerado usando dados de vulnerabilidade e infraestrutura para mostrar as principais áreas de preocupação para sua organização.

Se você usar o Defender EASM no mesmo locatário do Copilot e habilitar o plug-in, o Copilot poderá obter informações do Defender EASM sobre a superfície de ataque de uma organização. Esses insights podem ajudar você a entender sua postura de segurança e a mitigar as vulnerabilidades.

As funcionalidades do Defender EASM no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nas funcionalidades com suporte.

Captura de tela dos recursos do sistema EASM que podem ser executados na experiência autônoma.

Alguns exemplos de prompts incluem:

  • Minha superfície de ataque externa é afetada pelo CVE-2023-21709?
  • Obtenha ativos afetados por CVSSs de alta prioridade em minha superfície de ataque.
  • Quantos ativos têm CVSSs críticos para minha organização?

Para usar esse plug-in, é necessário configurar parâmetros para identificar a assinatura do Defender EASM da sua organização.

Captura de tela das configurações do plug-in EASM que devem ser definidas.

Informações sobre Ameaças do Microsoft Defender

A Informações Sobre Ameaças do Microsoft Defender (Defender TI) é uma plataforma que simplifica a triagem, a resposta a incidentes, a busca a ameaças, o gerenciamento de vulnerabilidades e os fluxos de trabalho de analistas de inteligência contra ameaças cibernéticas ao realizar análises de infraestrutura de ameaças e coletar inteligência contra ameaças.

O Copilot da Segurança se integra ao Microsoft Defender TI. Com o plug-in do Defender TI habilitado, o Copilot fornece informações sobre grupos de atividades de ameaças, indicadores de comprometimento (IOCs), ferramentas e inteligência contra ameaças contextual. Você pode usar prompts e livros de prompts para investigar incidentes, enriquecer seus fluxos de busca com informações de inteligência contra ameaças ou obter mais conhecimento sobre o cenário de ameaças globais ou da sua organização.

As funcionalidades de TI do Microsoft Defender no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nas funcionalidades com suporte.

Captura de tela dos recursos do sistema Defender TI que podem ser executados na experiência autônoma.

Alguns exemplos de prompts incluem:

  • Mostre-me os artigos mais recentes sobre ameaças.
  • Obtenha artigos sobre ameaças associadas ao setor financeiro.
  • Compartilhe as tecnologias que são suscetíveis à vulnerabilidade - CVE-2021-44228.
  • Resumir a vulnerabilidade CVE-2021-44228.

Os promptbooks internos que fornecem informações de TI do Defender incluem:

  • Avaliação do impacto da vulnerabilidade: gera um relatório resumindo a inteligência de uma vulnerabilidade conhecida, incluindo etapas sobre como resolvê-la.
  • Perfil do ator da ameaça: gera um relatório com o perfil de um grupo de atividades conhecido, incluindo sugestões de defesa em relação as suas ferramentas e táticas comuns.

Microsoft Purview

O Microsoft Purview é um conjunto abrangente de soluções que pode ajudar sua organização a governar, proteger e gerenciar dados, onde quer que eles residam. As soluções do Microsoft Purview fornecem cobertura integrada e ajudam a lidar com a fragmentação de dados entre organizações, a falta de visibilidade que dificulta a proteção e a governança de dados e a crescente indefinição das funções tradicionais de gerenciamento de TI.

O plug-in do Purview no Security Copilot permite obter dados valiosos e insights de risco do usuário para ajudar a identificar a origem de um ataque e dados confidenciais que possam estar em risco, desde que você tenha a permissão de função apropriada no Microsoft Purview. Como o Microsoft Copilot assume as permissões do usuário quando tenta acessar os dados para responder às consultas, você precisa ter as permissões de função necessárias para acessar os dados. Além disso, sua organização precisa ser licenciada e integrada às soluções Microsoft Purview aplicáveis.

As funcionalidades do Microsoft Purview no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nos recursos com suporte.

Captura de tela dos recursos do Purview.

As funcionalidades do Copilot também podem ser experimentadas diretamente de dentro das soluções do Purview, por meio da experiência inserida. Os cenários compatíveis com a experiência incorporada são descritos com mais detalhes no módulo "Descrever as experiências incorporadas do Microsoft Security Copilot".

Microsoft Sentinel (versão prévia)

O Microsoft Sentinel oferece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Com o Microsoft Sentinel, você possui uma solução única para detecção de ataques, visibilidade de ameaças, busca proativa e resposta a ameaças.

Há dois plug-ins separados no Copilot relacionados ao Sentinel:

  • Microsoft Sentinel (versão prévia)
  • Linguagem natural para o Microsoft Sentinel KQL (versão prévia)

Captura de tela do plug-in Sentinel e NL2KQK no Sentinel.

Microsoft Sentinel (versão prévia)

Para utilizar o plug-in do Sentinel, o usuário precisa receber uma permissão de função que conceda acesso ao Copilot e uma função específica do Sentinel, como o Leitor do Microsoft Sentinel, para acessar incidentes no workspace.

O plug-in do Sentinel também exige que o usuário configure o espaço de trabalho do Sentinel, o nome da assinatura e o nome do grupo de recursos.

Captura de tela da página de configurações do plug-in do Sentinel.

Os recursos do plug-in do Sentinel estão concentrados em incidentes e espaços de trabalho. Além disso, o Copilot inclui um promptbook para investigação de incidentes do Microsoft Sentinel. Esse livro de prompts inclui prompts para obter um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.

Linguagem natural para o Microsoft Sentinel KQL (versão prévia)

O plug-in NL2KQLSentinel (linguagem natural para a KQL do Sentinel) converte qualquer pergunta em linguagem natural no contexto da busca a ameaças em uma consulta KQL pronta para ser executada. Isso economiza o tempo das equipes de segurança ao gerar uma consulta KQL que pode ser executada automaticamente ou ajustada de acordo com as necessidades do analista.