Безопасность Copilot с помощью Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel, Security Copilot, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot — это платформа, которая помогает защитить вашу организацию на скорости и масштабировании компьютера. Огромные данные безопасности Microsoft Sentinel предоставляют отличный источник для Copilot для анализа инцидентов и создания запросов на охоту.

Вместе с другими источниками Безопасности Copilot вы можете включить, инциденты и данные Microsoft Sentinel обеспечивают более широкую видимость угроз и их контекст для вашей организации.

Перед началом работы

Если вы не знакомы с Безопасностью Copilot, вы должны ознакомиться с ним, прочитав следующие статьи:

• Что такое Microsoft Security Copilot?
• Возможности Microsoft Security Copilot
• Начало работы с Microsoft Security Copilot
• Общие сведения о проверке подлинности в Microsoft Security Copilot
• Запрос в Microsoft Security Copilot

Интеграция Безопасности Copilot с Microsoft Sentinel

Эта интеграция в первую очередь поддерживает автономный интерфейс, к которым https://securitycopilot.microsoft.comвы взаимодействуете в чате, чтобы суммировать инциденты и получать другие ответы о ваших данных безопасности. Дополнительные сведения см. в статье microsoft Security Copilot.

Ключевые функции

Данные Microsoft Sentinel интегрируются с Безопасностью Copilot двумя способами.

• В единой платформе операций безопасности Майкрософт Copilot в Microsoft Defender XDR получает преимущества от унифицированных инцидентов, интегрированных с Microsoft Sentinel.
• В автономном интерфейсе Microsoft Sentinel предоставляет два подключаемых модуля для интеграции с Security Copilot:
  Microsoft Sentinel (предварительная версия)
  Естественный язык к KQL для Microsoft Sentinel (предварительная версия).

Внимание

Подключаемые модули Microsoft Sentinel и "Естественного языка для KQL для Microsoft Sentinel" в настоящее время находятся в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Включение интеграции Безопасности Copilot с Microsoft Sentinel

Чтобы максимально повысить интеграцию Security Copilot с Microsoft Sentinel, сделайте следующее:

• настройка рабочей области Microsoft Sentinel по умолчанию для Безопасности Copilot
• подключение рабочей области Microsoft Sentinel к XDR в Microsoft Defender

Настройка рабочей области Microsoft Sentinel по умолчанию

Увеличьте точность запроса, настроив рабочую область Microsoft Sentinel в качестве стандартной.

1. Перейдите в раздел "Безопасность Copilot" в https://securitycopilot.microsoft.com/.

2. Откройте источники в строке запроса.

3. На странице "Управление подключаемыми модулями" установите переключатель "Вкл.

4. Выберите значок шестеренки в подключаемом модуле Microsoft Sentinel (предварительная версия).

   

5. Настройте имя рабочей области по умолчанию.

   

Совет

Укажите рабочую область в запросе, если она не соответствует настроенной по умолчанию.

Пример: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Интеграция Microsoft Sentinel с Copilot в Defender

Используйте портал Microsoft Defender с данными Microsoft Sentinel для внедренного интерфейса Безопасности Copilot. Уникальные источники данных Microsoft Sentinel, поступающие в унифицированные инциденты XDR в Microsoft Defender, позволяют Copilot в Defender максимально повысить свои возможности.

Например:

• Решение SAP (предварительная версия) устанавливается в рабочей области Microsoft Sentinel.
• Скачанный из вредоносного IP-адреса файл SAP (предварительная версия) практически в режиме реального времени запускает оповещение, создавая инцидент Microsoft Sentinel.
• Microsoft Sentinel был подключен к порталу Defender.
• Инциденты Microsoft Sentinel теперь унифицированы с инцидентами XDR Defender.
• Используйте Copilot в Microsoft Defender для сводки инцидентов, интерактивных ответов и отчетов об инцидентах.

Дополнительные сведения см. на следующих ресурсах:

• Интеграция XDR в Microsoft Defender
• Microsoft Sentinel на портале Microsoft Defender
• Copilot в Microsoft Defender

Интеграция Microsoft Sentinel с Безопасностью Copilot в расширенной охоте

Подключаемый модуль для преобразования естественного языка в KQL для Microsoft Sentinel (предварительная версия) создает на языке KQL и выполняет запросы на охоту на угрозы, используя данные Microsoft Sentinel. Этой возможностью можно воспользоваться в изолированном интерфейсе и в разделе расширенной охоты на угрозы на портале Microsoft Defender.

Примечание.

На унифицированном портале Microsoft Defender вы можете предложить Безопасности Copilot создать расширенные запросы поиска для таблиц Defender XDR и Microsoft Sentinel. Сейчас поддерживаются не все таблицы Microsoft Sentinel.

Дополнительные сведения см. в разделе "Безопасность Copilot" в расширенной охоте.

Примеры запросов Microsoft Sentinel

Рассмотрим запрос на исследование инцидентов Microsoft Sentinel в качестве отправной точки для создания эффективных запросов. Эта книга запроса предоставляет отчет о конкретном инциденте, а также связанные оповещения, оценки репутации, пользователи и устройства.

Руководство	Prompt
Nudge Copilot, чтобы предоставить удобочитаемую информацию, а не отвечать на идентификаторы объектов.	Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Копилот знает, кто вы. Используйте имя "меня", чтобы найти инциденты, связанные с вами. Следующий запрос предназначен для инцидентов, назначенных вам.	What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Когда вы сузите ответ на запрос до одного инцидента, Copilot знает контекст.	Tell me about the entities associated with that incident.
Copilot хорошо подводить итоги. Опишите определенную аудиторию, для которой вы хотите получить сводку запросов и ответов.	Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Дополнительные инструкции и примеры запросов см. в следующих ресурсах:

• Использование модулей командной строки
• Запрос в Microsoft Security Copilot
• Библиотека командной строки Безопасности Род Трента

Предоставление отзыва

Ваши отзывы жизненно важны для того, чтобы управлять текущим и запланированным развитием продукта. Лучший способ предоставления этих отзывов — непосредственно в продукте. Выберите способ ответа в нижней части каждого завершенного запроса и выберите любой из следующих вариантов:

• Выглядит правильно . Выберите, являются ли результаты точными на основе оценки.
• Требуется улучшение . Выберите, является ли результаты неверными или неполными на основе оценки.
• Недопустимо . Выберите, содержат ли результаты сомнительные, неоднозначные или потенциально опасные сведения.

Для каждого варианта обратной связи можно указать дополнительные сведения в следующем диалоговом окне. Всякий раз, когда это возможно, и особенно когда результат нуждается в улучшении, напишите несколько слов, объясняя, что можно сделать, чтобы улучшить результат. Если вы ввели запросы, относящиеся к Брандмауэр Azure, и результаты не связаны, включите эти сведения.

Конфиденциальность и безопасность данных в Security Copilot

Сведения о том, как безопасность Copilot обрабатывает запросы и данные, полученные из службы (вывод запроса), см. в разделе "Конфиденциальность и безопасность данных" в Microsoft Security Copilot.

Связанные статьи

• Microsoft Copilot в Microsoft Defender
• Интеграция XDR в Microsoft Defender с Microsoft Sentinel