Поделиться через

интеграция Брандмауэр Azure в Microsoft Security Copilot (предварительная версия)

  • Статья

Внимание

Брандмауэр Azure интеграция в Microsoft Security Copilot в настоящее время доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Безопасность Copilot — это созданное решение для обеспечения безопасности с поддержкой искусственного интеллекта, которое помогает повысить эффективность и возможности персонала безопасности для улучшения результатов безопасности на скорости и масштабировании компьютера. Он предоставляет естественный язык, вспомогательный опыт copilot, помогающий поддерживать специалистов по безопасности в комплексных сценариях, таких как реагирование на инциденты, охота на угрозы, сбор аналитики и управление состоянием. Дополнительные сведения о том, что это может сделать, см. в статье "Что такое Microsoft Security Copilot?

Перед началом работы

Если вы не знакомы с Безопасностью Copilot, вы должны ознакомиться с ним, прочитав следующие статьи:

Интеграция Безопасности Copilot в Брандмауэр Azure

Брандмауэр Azure — это облачная и интеллектуальная служба безопасности брандмауэра сети, которая обеспечивает лучшую защиту от угроз для облачных рабочих нагрузок, работающих в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования.

Интеграция Брандмауэр Azure в Security Copilot помогает аналитикам выполнять подробные исследования вредоносного трафика, перехватаемого функцией поставщиков удостоверений поставщиков удостоверений для всех их флотов с помощью вопросов естественного языка.

Эту интеграцию можно использовать в двух разных интерфейсах:

  • Портал Security Copilot (автономный интерфейс)

    Снимок экрана: портал Security Copilot с запросом, соответствующим брандмауэру.

  • Copilot в Azure (внедренный интерфейс) в портал Azure:

    Снимок экрана: портал Azure с запросом, соответствующим брандмауэру.

Дополнительные сведения см. в статье microsoft Security Copilot и Microsoft Copilot в возможностях Azure.

Ключевые функции

Безопасность Copilot имеет встроенные системные функции, которые могут получать данные из различных подключаемых модулей, включенных.

Чтобы просмотреть список встроенных системных возможностей для Брандмауэр Azure, используйте следующую процедуру на портале Security Copilot:

  1. На панели запроса щелкните значок "Запросы ".

  2. Выберите Просмотреть все возможности системы .

  3. В разделе Брандмауэр Azure перечислены все доступные возможности, которые можно использовать.

    Снимок экрана: системные возможности для Брандмауэр Azure в Microsoft Security Copilot.

Включение интеграции Брандмауэр Azure в Security Copilot

  1. Убедитесь, что Брандмауэр Azure настроен правильно:

    • Брандмауэр Azure структурированные журналы— Брандмауэр Azure, которые следует использовать с Безопасностью Copilot, необходимо настроить с структурированными журналами ресурсов для поставщиков удостоверений, а эти журналы должны быть отправлены в рабочую область Log Analytics.

    • Контроль доступа на основе ролей для Брандмауэр Azure — пользователи, использующие подключаемый модуль Брандмауэр Azure в Security Copilot, должны иметь соответствующие роли управления доступом на основе ролей Azure для доступа к брандмауэру и связанным рабочим областям Log Analytics.

  2. Перейдите в Security Copilot и войдите с помощью учетных данных.

  3. Убедитесь, что подключаемый модуль Брандмауэр Azure включен. В строке запроса щелкните значок "Источники ". Во всплывающем окне "Управление источниками", которое отображается, убедитесь, что переключатель Брандмауэр Azure включен. Затем закройте окно. Другая конфигурация не требуется. Если структурированные журналы отправляются в рабочую область Log Analytics и у вас есть правильные разрешения на управление доступом на основе ролей, Copilot находит данные, необходимые для ответа на ваши вопросы.

    Снимок экрана: подключаемый модуль Брандмауэр Azure.

  4. Введите запрос в строке запроса на портале Security Copilot или через Copilot в Azure в портал Azure.

    Внимание

    Использование Copilot в Azure для запроса Брандмауэр Azure входит в состав Security Copilot и требует единиц вычислений безопасности (SCUS). Вы можете подготавливать SKU и увеличивать или уменьшать их в любое время. Дополнительные сведения об SKU см. в статье "Начало работы с Microsoft Security Copilot". Если у вас нет правильно настроенной системы безопасности Copilot, но задайте вопрос, соответствующий возможностям Брандмауэр Azure через Copilot в Azure, появится сообщение об ошибке.

Примеры запросов Брандмауэр Azure

Существует множество запросов, которые можно использовать для получения информации из Брандмауэр Azure. В этом разделе перечислены те, которые лучше всего работают сегодня. Они постоянно обновляются по мере запуска новых возможностей.

Получение лучших попаданий подписи IDPS для Брандмауэр Azure

Получение сведений журнала о трафике, перехватаемого функцией IDPS, вместо создания запросов KQL вручную.

Примеры запросов :

  • Был ли какой-либо вредоносный трафик перехватывается именем> брандмауэра брандмауэра<?

  • Каковы первые 20 попаданий поставщиков удостоверений за последние семь дней для имени брандмауэра <в имени>> группы ресурсов группы <ресурсов?

  • Показать мне в табличной форме первые 50 атак, которые нацеливали имя брандмауэра брандмауэра <в имени>> подписки <в прошлом месяце.

    Снимок экрана: получение верхних сигнатур IDPS для возможности Брандмауэр Azure.

Обогащение профиля угроз сигнатуры IDPS за пределами сведений журнала

Дополнительные сведения для обогащения сведений об угрозах и профилях подписи IDPS вместо того, чтобы скомпилировать его вручную.

Примеры запросов :

  • Объясните, почему поставщики удостоверений помечают верхний хит как высокий уровень серьезности и пятый хит как низкий уровень серьезности.

  • Что вы можете сказать мне об этом нападении? Что такое другие атаки, по которых злоумышленник известен?

  • Я вижу, что третий идентификатор подписи связан с номером> CVE CVE, расскажите мне больше об этом CVE<.

    Снимок экрана: обогащение профиля угрозы подписи IDPS за пределами возможностей сведений журнала.

Примечание.

Подключаемый модуль Microsoft Threat Intelligence — это другой источник, который Может использовать Copilot для обеспечения аналитики угроз для подписей IDPS.

Поиск заданной подписи IDPS в клиенте, подписке или группе ресурсов

Выполните поиск по всему флоту (по любой области) для угрозы во всех брандмауэрах вместо поиска угрозы вручную.

Примеры запросов :

  • Был ли идентификатор идентификатора <> подписи остановлен только этим брандмауэром? Что касается других пользователей всего этого клиента?

  • Был ли верхний удар по любому другому брандмауэру в имени> подписки<?

  • На прошлой неделе у любого брандмауэра в имени> группы< ресурсов отображается идентификатор<> сигнатуры?

    Снимок экрана: возможность поиска заданной подписи IDPS в клиенте, подписке или группе ресурсов.

Создание рекомендаций для защиты среды с помощью функции поставщиков удостоверений Брандмауэр Azure

Получите сведения из документации об использовании функции поставщиков удостоверений Брандмауэр Azure для защиты среды, а не необходимости искать эту информацию вручную.

Примеры запросов :

  • Разделы справки защитить себя от будущих атак от этого злоумышленника по всей инфраструктуре?

  • Если я хочу убедиться, что все Брандмауэр Azure защищены от атак с идентификатора <>подписи, как это сделать?

  • Какова разница в риске между оповещениями только и режимами генерации оповещений и блокировок для поставщиков удостоверений?

    Снимок экрана: созданные рекомендации по защите среды с помощью функции поставщиков удостоверений Брандмауэр Azure.

    Примечание.

    Безопасность Copilot также может использовать функцию "Запрашивать документацию Майкрософт" для предоставления этих сведений и при использовании этой возможности с помощью Copilot в Azure, для предоставления этой информации может использоваться возможность получения сведений .

Предоставление отзыва

Ваши отзывы жизненно важны для того, чтобы управлять текущим и запланированным развитием продукта. Лучший способ предоставления этих отзывов — непосредственно в продукте.

Через безопасность Copilot

Выберите способ ответа в нижней части каждого завершенного запроса и выберите любой из следующих вариантов:

  • Выглядит правильно . Выберите, являются ли результаты точными на основе оценки.
  • Требуется улучшение . Выберите, является ли результаты неверными или неполными на основе оценки.
  • Недопустимо . Выберите, содержат ли результаты сомнительные, неоднозначные или потенциально опасные сведения.

Для каждого варианта обратной связи можно указать дополнительные сведения в следующем диалоговом окне. Каждый раз, когда это возможно, и особенно когда результат требует улучшения, напишите несколько слов, объясняя, как можно улучшить результат. Если вы ввели запросы, относящиеся к Брандмауэр Azure, и результаты не связаны, включите эти сведения.

Через Copilot в Azure

Используйте такие кнопки, как и не нравится в нижней части каждого завершенного запроса. Для любого варианта обратной связи можно указать дополнительные сведения в следующем диалоговом окне. Когда это возможно, и особенно если вы не любите ответ, напишите несколько слов, объясняя, как результат может быть улучшен. Если вы ввели запросы, относящиеся к Брандмауэр Azure, и результаты не связаны, включите эти сведения.

Конфиденциальность и безопасность данных в Security Copilot

При взаимодействии с Безопасностью Copilot (через портал Security Copilot или через Copilot в Azure) для получения Брандмауэр Azure данных Copilot извлекает данные из Брандмауэр Azure. Запросы, полученные данные и выходные данные, отображаемые в результатах запроса, обрабатываются и хранятся в службе Copilot. Дополнительные сведения см. в разделе "Конфиденциальность и безопасность данных" в Microsoft Security Copilot.

Связанный контент