Интеграция Microsoft Security Copilot в Defender EASM
Управление направлением внешних атак Microsoft Defender (Defender EASM) постоянно обнаруживает и сопоставляет вашу цифровую атаку, чтобы обеспечить внешнее представление вашей сетевой инфраструктуры. Эта видимость помогает группам безопасности и ИТ определять неизвестные, определять приоритеты риска, устранять угрозы и расширять управление уязвимостью и уязвимостью за пределами брандмауэра. Аналитика поверхностей атак создается путем анализа данных уязвимостей и инфраструктуры, чтобы продемонстрировать ключевые области, касаемые вашей организации.
Интеграция Microsoft Security Copilot (Security Copilot) в Defender EASM помогает взаимодействовать с обнаруженными корпорацией Майкрософт поверхностями атак. Определение поверхностей атак помогает вашей организации быстро понять свою внешнюю инфраструктуру и соответствующие критически важные риски. Он предоставляет аналитические сведения о конкретных областях риска, включая уязвимости, соответствие требованиям и гигиену безопасности.
Дополнительные сведения о безопасности Copilot см. в разделе "Что такое Безопасность Copilot?". Сведения о встроенном интерфейсе Безопасности Copilot см. в статье "Запрос области атак с помощью EaSM Defender" с помощью Microsoft Copilot в Azure.
Перед началом работы
Если вы не знакомы с Безопасностью Copilot, рекомендуется ознакомиться с решением, прочитав следующие статьи:
- Что такое Microsoft Security Copilot?
- Возможности безопасности Copilot
- Начало работы с Security Copilot
- Общие сведения о проверке подлинности в Security Copilot
- Запрос в Безопасности Copilot
Безопасность Copilot в Defender EASM
Безопасность Copilot может получить аналитические сведения от Defender EASM о области атак вашей организации. Встроенные функции Безопасности Copilot можно использовать. Чтобы получить дополнительные сведения, используйте запросы в Security Copilot. Эти сведения помогут вам понять состояние безопасности и устранить уязвимости.
В этой статье описаны сведения о безопасности Copilot и содержатся примеры запросов, которые могут помочь пользователям EASM Defender.
Ключевые функции
Интеграция EASM Security Copilot поможет вам:
Получите моментальный снимок поверхности внешней атаки и создайте аналитические сведения о потенциальных рисках.
Вы можете быстро просмотреть область внешней атаки, проанализировав доступную в Интернете информацию в сочетании с алгоритмом обнаружения в Defender EASM. Он предоставляет простое объяснение естественного языка для внешних ресурсов организации, таких как узлы, домены, веб-страницы и IP-адреса организации. Он выделяет критически важные риски, связанные с каждым из них.
Приоритет усилий по исправлению на основе рисков активов и распространенных уязвимостей и элементов списка (CVEs).
EaSM Defender помогает командам по обеспечению безопасности определять приоритеты своих усилий по исправлению, помогая им понять, какие ресурсы и CVEs представляют наибольший риск в их среде. Он анализирует данные об уязвимостях и инфраструктуре для демонстрации ключевых областей озабоченности, предоставляя объяснение рисков и рекомендуемых действий на естественном языке.
Используйте Службу безопасности Copilot для получения аналитических сведений.
Вы можете использовать Безопасность Copilot, чтобы узнать о аналитике с помощью естественного языка и извлечь аналитические сведения из Defender EASM о области атак вашей организации. Сведения о запросах, таких как количество сертификатов SSL, которые не защищены, порты, обнаруженные и определенные уязвимости, влияющие на поверхность атаки.
Ускорить курирование поверхностей атаки.
Используйте Copilot для проверки области атак с помощью меток, внешних идентификаторов и изменений состояния для набора ресурсов. Этот процесс ускоряет курирование, поэтому вы можете упорядочить инвентаризацию быстрее и эффективнее.
Включение интеграции с Безопасностью Copilot
Чтобы настроить интеграцию Security Copilot в Defender EASM, выполните действия, описанные в следующих разделах.
Необходимые компоненты
Чтобы включить интеграцию, необходимо иметь следующие предварительные требования:
- Доступ к Microsoft Security Copilot
- Разрешения для активации новых подключений
Подключение Безопасности Copilot к Defender EASM
Доступ к безопасности Copilot и убедитесь, что вы прошли проверку подлинности.
Щелкните значок подключаемого модуля Security Copilot в правой верхней части панели ввода запроса.
В разделе Майкрософт найдите Службу управления внешними атаками Defender. Нажмите кнопку "Вкл." , чтобы подключиться.
Если вы хотите, чтобы Безопасность Copilot извлекла данные из ресурса EASM Defender, щелкните значок шестеренки, чтобы открыть параметры подключаемого модуля. Введите или выберите значения с помощью значений из раздела "Основные сведения" ресурса на панели "Обзор".
Примечание.
Вы можете использовать навыки EASM Defender, даже если вы не приобрели EASM Defender. Дополнительные сведения см . в справочнике по возможностям подключаемого модуля.
Примеры запросов EASM Defender
Безопасность Copilot в основном использует запросы естественного языка. При запросе сведений из Defender EASM вы отправляете запрос, который поможет Безопасности Copilot выбрать подключаемый модуль EASM Defender и вызвать соответствующую возможность.
Для успешного выполнения запросов Безопасности Copilot рекомендуется использовать следующие подходы:
Убедитесь, что вы ссылаетесь на имя компании в первом запросе. Если иное не указано, все будущие запросы затем предоставляют данные о первоначально указанной компании.
Будьте ясны и конкретны в своих подсказках. При включении определенных имен активов или значений метаданных (например, идентификаторов CVE) в запросе можно получить лучшие результаты.
Это также может помочь добавить EASM Defender в запрос, как в следующих примерах:
- Согласно EASM Defender, что такое мои домены с истекшим сроком действия?
- Расскажите мне о аналитике поверхности атак в Defender EASM с высоким приоритетом.
Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели искусственного интеллекта в чате различаются, поэтому повторяйте и уточняйте подсказки на основе полученных результатов.
Security Copilot сохраняет ваши сеансы быстрого доступа. Чтобы просмотреть предыдущие сеансы, в меню "Безопасность Copilot" выберите "Мои сеансы".
Пошаговое руководство по безопасности Copilot, включая пин-код и функции общего доступа, см. в статье "Навигация по безопасности Copilot".
Дополнительные сведения о написании запросов Безопасности Copilot см. в статье "Советы по обеспечению безопасности" в Copilot.
Справочник по возможностям подключаемого модуля
| Возможность | Description | Входные данные | Поведение |
|---|---|---|---|
| Получение сводки по поверхности атаки | Возвращает сводку по поверхности атаки для ресурса EASM клиента или конкретного имени компании. | Примеры входных данных: • Получение области атаки для LinkedIn. • Получение моей области атаки. • Какова область атаки для Майкрософт? • Что такое моя атака? • Что такое внешние ресурсы для Azure? • Что такое внешние ресурсы? Необязательные входные данные: • CompanyName |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Возвращает сводку по поверхности атаки для ресурса EASM защитника клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает сводку по поверхности атаки для имени компании. |
| Получение аналитических сведений об атаках | Возвращает аналитические сведения об атаках для ресурса EASM в Защитнике клиента или конкретного имени компании. | Примеры входных данных: • Получение аналитических сведений о поверхности атак с высоким приоритетом для LinkedIn. • Получение аналитических сведений о поверхности атак с высоким приоритетом. • Получение аналитических сведений о поверхности атак с низким приоритетом для Майкрософт. • Получение аналитических сведений о поверхности атак с низким приоритетом. • У меня есть высокоприоритетные уязвимости во внешней области атак для Azure? Обязательные входные данные: • PriorityLevel (уровень приоритета должен быть высоким, средним или низким; если он не указан, значение по умолчанию — высокий) Необязательные входные данные: • CompanyName (название компании) |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Возвращает аналитические сведения о поверхности атаки для ресурса EASM в Защитнике клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает аналитические сведения о поверхности атаки для имени компании. |
| Получение ресурсов, затронутых CVE | Возвращает ресурсы, затронутые CVE для ресурса EASM клиента или конкретного имени компании. | Примеры входных данных: • Получение ресурсов, затронутых CVE-2023-0012 для LinkedIn. • Какие ресурсы влияют на CVE-2023-0012 для Майкрософт? • Влияет ли на внешнюю атаку Azure CVE-2023-0012? • Получение ресурсов, затронутых CVE-2023-0012 для моей области атаки. • Какие из моих ресурсов затрагивают CVE-2023-0012? • Влияет ли моя внешняя атака на CVE-2023-0012? Обязательные входные данные: • CveId Необязательные входные данные: • CompanyName |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Если параметры подключаемого модуля не заполнены, неудачно и напоминайте клиентам. • Если параметры подключаемого модуля заполнены, возвращает ресурсы, затронутые CVE для ресурса EASM защитника клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает ресурсы, затронутые CVE для конкретного имени компании. |
| Получение ресурсов, затронутых CVSS | Возвращает ресурсы, затронутые оценкой распространенных уязвимостей (CVSS) для ресурса EASM клиента или конкретного имени компании. | Примеры входных данных: • Получение ресурсов, затронутых высокоприоритетными оценками CVSS в области атак LinkedIn. • Сколько ресурсов имеет критически важный показатель CVSS для Майкрософт? • Какие ресурсы имеют критически важные оценки CVSS для Azure? • Получение ресурсов, затронутых высокоприоритетными оценками CVSS в моей области атаки. • Сколько из моих активов имеют критически важные оценки CVSS? • Какие из моих активов имеют критически важные оценки CVSS? Обязательные входные данные: • CvssPriority (приоритет CVSS должен быть критически важным, высоким, средним или низким)Необязательные входные данные: • CompanyName |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Если параметры подключаемого модуля не заполнены, неудачно и напоминайте клиентам. • Если параметры подключаемого модуля заполнены, возвращает ресурсы, затронутые оценкой CVSS для ресурса EASM защитника клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает ресурсы, затронутые оценкой CVSS для конкретной компании. |
| Получение доменов с истекшим сроком действия | Возвращает количество доменов с истекшим сроком действия для ресурса EASM клиента или конкретного имени компании. | Примеры входных данных: • Сколько доменов истекло в области атаки LinkedIn? • Сколько ресурсов использует истекший срок действия доменов для Майкрософт? • Сколько доменов истекло в моей области атаки? • Сколько из моих ресурсов использует домены с истекшим сроком действия для Майкрософт? Необязательные входные данные: • CompanyName |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Возвращает количество просроченных доменов для ресурса EASM в Защитнике клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает количество просроченных доменов для конкретного имени компании. |
| Получение сертификатов с истекшим сроком действия | Возвращает количество просроченных SSL-сертификатов для ресурса EASM клиента или конкретного имени компании. | Примеры входных данных: • Сколько SSL-сертификатов истекло для LinkedIn? • Сколько ресурсов используется с истекшим сроком действия SSL-сертификатов для Майкрософт? • Сколько SSL-сертификатов истекло для моей области атаки? • Что такое ssl-сертификаты с истекшим сроком действия? Необязательные входные данные: • CompanyName |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Возвращает количество SSL-сертификатов для ресурса EASM защитника клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает количество SSL-сертификатов для определенного имени компании. |
| Получение сертификатов SHA1 | Возвращает количество SSL-сертификатов SHA1 для ресурса EASM в Защитнике клиента или определенного имени компании. | Примеры входных данных: • Сколько сертификатов SSL SHA1 присутствует для LinkedIn? • Сколько ресурсов используетСЯ SSL SHA1 для Майкрософт? • Сколько сертификатов SSL SHA1 присутствуют для моей области атаки? • Сколько ресурсов использует SSL SHA1? Необязательные входные данные: • CompanyName |
Если подключаемый модуль настроен на активный ресурс EASM Defender, а другая компания не указана: • Возвращает количество SSL-сертификатов SHA1 для ресурса EASM в Защитнике клиента. Если указано другое название компании: • Если нет точного совпадения для имени компании, возвращает список возможных совпадений. • Если есть точное совпадение, возвращает количество SSL-сертификатов SHA1 для конкретного имени компании. |
| Перевод естественного языка в запрос EASM Defender | Преобразует любой вопрос естественного языка в запрос EASM Defender и возвращает ресурсы, соответствующие запросу. | Примеры входных данных: • Какие ресурсы используют jQuery версии 3.1.0? • Получите узлы с портом 80, открытым в моей области атаки. • Найдите все ресурсы страницы, узла и ASN в инвентаризации с IP-адресом X, IP-адресом Y или IP-адресом Z. • У каких из моих активов есть адрес электронной почты <name@example.com>реестра? |
Если подключаемый модуль настроен на активный ресурс EASM Defender: • Возвращает ресурсы, соответствующие преобразованной запросу. |
Переключение между данными ресурсов и корпоративными данными
Несмотря на то что мы добавили интеграцию ресурсов для наших навыков, мы по-прежнему поддерживаем извлечение данных из предварительно созданных областей атак для конкретных компаний. Чтобы повысить точность безопасности Copilot в определении того, когда клиент хочет извлечь из своей области атаки или из предварительно созданной, корпоративной атаки поверхность, мы рекомендуем использовать мою, мою область атаки и т. д., чтобы передать, что вы хотите использовать ресурс. Используйте их, конкретное название компании и т. д., чтобы передать, что вы хотите использовать предварительно созданную область атаки. Хотя этот подход улучшает интерфейс в одном сеансе, настоятельно рекомендуется использовать два отдельных сеанса, чтобы избежать путаницы.
Предоставление отзыва
Ваши отзывы о безопасности Copilot, как правило, и подключаемый модуль EASM Defender очень важно для того, чтобы управлять текущим и запланированным развитием продукта. Оптимальный способ предоставления этих отзывов находится непосредственно в продукте, используя кнопки обратной связи в нижней части каждого завершенного запроса. Выберите "Выглядит правильно", "Требуется улучшение" или "Неуместный". Рекомендуется выбрать правильный вид, если результат соответствует ожиданиям, требует улучшения , если он не подходит, и неуместно , когда результат вреден каким-то образом.
Каждый раз, когда это возможно, и особенно когда вы выбираете результат , требуется улучшение, пожалуйста, напишите несколько слов, чтобы объяснить, что мы можем сделать, чтобы улучшить результат. Этот запрос также применяется, если вы ожидаете, что Безопасность Copilot вызовет подключаемый модуль EASM Defender, но другой подключаемый модуль занят.
Конфиденциальность и безопасность данных в Security Copilot
При взаимодействии с Безопасностью Copilot для получения данных EASM Defender Copilot извлекает данные из Defender EASM. Запросы, полученные данные и выходные данные, отображаемые в результатах запроса, обрабатываются и хранятся в службе Security Copilot.
Дополнительные сведения о конфиденциальности данных в Security Copilot см. в разделе "Конфиденциальность и безопасность данных" в Security Copilot.