Copiloto de Segurança com o Microsoft Sentinel
O Microsoft Security Copilot é uma plataforma que ajuda você a defender sua organização na velocidade e escala da máquina. Os vastos dados de segurança do Microsoft Sentinel fornecem uma excelente fonte para o Copilot ajudar a analisar incidentes e gerar consultas de caça.
Juntamente com outras fontes do Security Copilot que você habilita, seus incidentes e dados do Microsoft Sentinel fornecem uma visibilidade mais ampla das ameaças e seu contexto para sua organização.
Saiba antes de começar
Se você é novo no Security Copilot, deve se familiarizar com ele lendo estes artigos:
- O que é o Microsoft Security Copilot?
- Experiências do Microsoft Security Copilot
- Introdução ao Microsoft Security Copilot
- Compreender a autenticação no Microsoft Security Copilot
- Solicitação no Microsoft Security Copilot
Integração do Security Copilot com o Microsoft Sentinel
Essa integração suporta principalmente a experiência autônoma acessada por meio https://securitycopilot.microsoft.comdo , onde você interage em uma experiência semelhante a um bate-papo para resumir incidentes e obter outras respostas sobre seus dados de segurança. Para obter mais informações, consulte Experiências do Microsoft Security Copilot.
Funcionalidades principais
Os dados do Microsoft Sentinel integram-se com o Security Copilot de duas maneiras.
- Na plataforma unificada de operações de segurança da Microsoft, o Copilot no Microsoft Defender XDR se beneficia de incidentes unificados integrados ao Microsoft Sentinel.
- Na experiência autônoma, o Microsoft Sentinel fornece dois plug-ins para integração com o Security Copilot:
Microsoft Sentinel (Pré-visualização)
Linguagem natural para KQL para Microsoft Sentinel (Pré-visualização).
Importante
Os plugins "Microsoft Sentinel" e "Natural Language to KQL for Microsoft Sentinel" estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Habilite a integração do Security Copilot com o Microsoft Sentinel
Para maximizar a integração do Security Copilot com o Microsoft Sentinel, faça o seguinte:
- configurar um espaço de trabalho padrão do Microsoft Sentinel para o Security Copilot
- conectar seu espaço de trabalho do Microsoft Sentinel ao Microsoft Defender XDR
Configurar um espaço de trabalho padrão do Microsoft Sentinel
Aumente a precisão do prompt configurando um espaço de trabalho do Microsoft Sentinel como padrão.
Navegue até Security Copilot em https://securitycopilot.microsoft.com/.
Abra Códigos-fonte
na barra de prompts.Na página Gerenciar plug-ins , defina a alternância como Ativado
Selecione o ícone de engrenagem no plug-in Microsoft Sentinel (Preview).
Configure o nome do espaço de trabalho padrão.
Gorjeta
Especifique o espaço de trabalho em seu prompt quando ele não corresponder ao padrão configurado.
Exemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integre o Microsoft Sentinel com o Copilot no Defender
Use o portal do Microsoft Defender com seus dados do Microsoft Sentinel para uma experiência incorporada do Security Copilot. As fontes de dados exclusivas do Microsoft Sentinel fluindo para incidentes unificados do Microsoft Defender XDR permitem que o Copilot no Defender maximize seus recursos.
Por exemplo:
- A solução SAP (Preview) é instalada no seu espaço de trabalho para o Microsoft Sentinel.
- A regra quase em tempo real SAP - (Preview) File Downloaded From a Malicious IP Address dispara um alerta, criando um incidente do Microsoft Sentinel.
- O Microsoft Sentinel foi integrado ao portal Defender.
- Os incidentes do Microsoft Sentinel agora são unificados com os incidentes do Defender XDR.
- Use o Copilot no Microsoft Defender para resumo de incidentes, respostas guiadas e relatórios de incidentes.
Para obter mais informações, consulte os seguintes recursos:
- Integrar o Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
- Copiloto no Microsoft Defender
Integre o Microsoft Sentinel com o Security Copilot em busca avançada
O plug-in Natural language to KQL for Microsoft Sentinel (Preview) gera e executa consultas de caça KQL usando dados do Microsoft Sentinel. Esse recurso está disponível na experiência autônoma e na seção de caça avançada do portal do Microsoft Defender.
Nota
No portal unificado do Microsoft Defender, você pode solicitar que o Security Copilot gere consultas de caça avançadas para as tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas do Microsoft Sentinel são suportadas no momento.
Para obter mais informações, consulte Security Copilot in advanced hunting.
Exemplos de prompts do Microsoft Sentinel
Considere o promptbook de investigação de incidentes do Microsoft Sentinel como um ponto de partida para criar prompts eficazes. Este promptbook fornece um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.
| Orientação | Pedido |
|---|---|
| Nudge Copilot para fornecer informações legíveis por humanos em vez de responder com IDs de objeto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| O copiloto sabe quem você é. Use o pronome "eu" para encontrar incidentes relacionados a você. O prompt a seguir tem como alvo os incidentes atribuídos a você. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando você restringe uma resposta rápida a um único incidente, o Copilot conhece o contexto. | Tell me about the entities associated with that incident. |
| Copilot é bom em resumir. Descreva um público específico para o qual você deseja que os prompts e as respostas sejam resumidos. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obter mais orientações e exemplos rápidos, consulte os seguintes recursos:
- Usando promptbooks
- Solicitação no Microsoft Security Copilot
- Biblioteca de Prompt do Copiloto de Segurança de Rod Trent
Enviar comentários
O seu feedback é vital para orientar o desenvolvimento atual e planeado do produto. A melhor maneira de fornecer esse feedback é diretamente no produto. Selecione Como é essa resposta? na parte inferior de cada prompt concluído e escolha uma das seguintes opções:
- Parece certo - Selecione se os resultados são precisos, com base na sua avaliação.
- Precisa de melhorias - Selecione se algum detalhe nos resultados está incorreto ou incompleto, com base na sua avaliação.
- Inadequado - Selecione se os resultados contêm informações questionáveis, ambíguas ou potencialmente prejudiciais.
Para cada opção de feedback, você pode fornecer mais informações na próxima caixa de diálogo exibida. Sempre que possível, e especialmente quando o resultado for Precisa de melhoria, escreva algumas palavras explicando o que pode ser feito para melhorar o resultado. Se você inseriu prompts específicos para o Firewall do Azure e os resultados não estiverem relacionados, inclua essas informações.
Privacidade e segurança de dados no Security Copilot
Para entender como o Security Copilot lida com seus prompts e os dados recuperados do serviço (saída de prompt), consulte Privacidade e segurança de dados no Microsoft Security Copilot.