Поделиться через

Интеграция Azure Брандмауэр веб-приложений в Microsoft Copilot для безопасности (предварительная версия)

  • Статья

Внимание

Интеграция Azure Брандмауэр веб-приложений в Microsoft Copilot for Security в настоящее время доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Microsoft Copilot for Security — это облачная платформа искусственного интеллекта, которая предоставляет интерфейс copilot на естественном языке. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения см. в статье о том, что такое Microsoft Copilot для безопасности?

Интеграция Azure Брандмауэр веб-приложений (WAF) в Microsoft Copilot for Security обеспечивает глубокое изучение событий Azure WAF. Это поможет вам исследовать журналы WAF, активируемые Azure WAF в течение нескольких минут, и предоставить связанные векторы атак с помощью ответов на естественном языке на скорости компьютера. Она обеспечивает видимость ландшафта угроз вашей среды. Он позволяет получить список наиболее часто активированных правил WAF и определить верхние обижающие IPaddresses в вашей среде.

Интеграция Microsoft Copilot для безопасности поддерживается как в Azure WAF в Шлюз приложений Azure, так и в Azure WAF в Azure Front Door.

Перед началом работы

Если вы не знакомы с Microsoft Copilot для безопасности, ознакомьтесь с ним, прочитав следующие статьи:

Интеграция Microsoft Copilot для безопасности в Azure WAF

Эта интеграция поддерживает автономный интерфейс и осуществляется через https://securitycopilot.microsoft.com. Это интерфейс чата, который вы можете использовать для получения ответов на вопросы и получения ответов на ваши данные. Дополнительные сведения см. в статье Microsoft Copilot для обеспечения безопасности.

Ключевые функции

Предварительная версия автономного интерфейса в Azure WAF поможет вам:

  • Предоставление списка основных правил Azure WAF, активируемых в клиентской среде, и создание глубокого контекста со связанными векторами атак.

    Эта возможность содержит сведения о правилах Azure WAF, которые активируются из-за блока WAF. Он предоставляет упорядоченный список правил на основе частоты триггера в требуемом периоде времени. Это делается путем анализа журналов Azure WAF и подключения связанных журналов за определенный период времени. Результатом является простое объяснение естественного языка о том, почему конкретный запрос был заблокирован.

  • Предоставление списка вредоносных IP-адресов в среде клиента и создание связанных угроз.

    Эта возможность содержит сведения о IP-адресах клиента, заблокированных Azure WAF. Это делается путем анализа журналов Azure WAF и подключения связанных журналов за определенный период времени. Результатом является простое объяснение естественного языка, в котором IP-адреса заблокированы WAF и причина блоков.

  • Сводка атак на внедрение SQL (SQLi).

    Этот навык Azure WAF предоставляет аналитические сведения о том, почему он блокирует атаки на внедрение SQL (SQLi) на веб-приложения. Это делается путем анализа журналов Azure WAF и подключения связанных журналов за определенный период времени. Результатом является простое объяснение естественного языка о том, почему запрос SQLi был заблокирован.

  • Сводка атак на межсайтовые сценарии (XSS).

    Этот навык Azure WAF помогает понять, почему Azure WAF блокирует атаки на межсайтовые скрипты (XSS) на веб-приложения. Это делается путем анализа журналов Azure WAF и подключения связанных журналов за определенный период времени. Результатом является простое объяснение естественного языка о том, почему запрос XSS был заблокирован.

Включение интеграции Azure WAF в Copilot для обеспечения безопасности

Чтобы включить интеграцию, выполните следующие действия.

  1. Убедитесь, что у вас есть по крайней мере разрешения участника Copilot.
  2. Открыть https://securitycopilot.microsoft.com/.
  3. Откройте меню "Copilot для безопасности".
  4. Откройте источники в строке запроса.
  5. На странице "Подключаемые модули" установите переключатель Azure Брандмауэр веб-приложений включено.
  6. Выберите параметры подключаемого модуля Azure Брандмауэр веб-приложений, чтобы настроить рабочую область Log Analytics, идентификатор подписки Log Analytics и имя группы ресурсов Log Analytics для WAF Azure Front Door и (или) Шлюз приложений Azure WAF. Вы также можете настроить URI политики WAF Шлюз приложений и (или) URI политики WAF Azure Front Door.
  7. Чтобы начать использование навыков, используйте панель запроса. Снимок экрана: панель запроса Microsoft Copilot для безопасности.

Примеры запросов Azure WAF

Вы можете создать собственные запросы в Microsoft Copilot для безопасности для анализа атак на основе журналов WAF. В этом разделе показаны некоторые идеи и примеры.

Подготовка к работе

  • Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включите в запросы определенные идентификаторы/имена устройств, имена приложений или имена политик.

    Это также может помочь добавить WAF в запрос. Например:

    • Была ли атака на внедрение SQL в мой региональный WAF в последний день?
    • Расскажите мне больше об основных правилах, активированных в моем глобальном WAF

  • Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели ИИ чата различаются, поэтому итерацию и уточнение запросов на основе результатов, которые вы получаете в соответствии с инструкциями по написанию эффективных запросов, см. в статье "Создание собственных запросов".

В следующем примере могут оказаться полезными запросы.

Сводка сведений об атаках на внедрение SQL

  • Была ли атака на внедрение SQL в глобальный WAF в последний день?
  • Показать IP-адреса, связанные с первой атакой на внедрение SQL в моем глобальном WAF
  • Показать мне все атаки внедрения SQL в региональных WAF за последние 24 часа

Сводка сведений о атаках на межсайтовые сценарии

  • Обнаружена ли атака XSS в WAF AppGW за последние 12 часов?
  • Показать список всех атак XSS в azure Front Door WAF

Создание списка угроз в моей среде на основе правил WAF

  • Какие основные глобальные правила WAF активировались за последние 24 часа?
  • Каковы основные угрозы, связанные с правилом WAF в моей среде? <введите идентификатор правила>
  • Была ли атака бота в моем регионе WAF в последний день?
  • Суммируйте настраиваемые блоки правил, активированные WAF Azure Front Door за последний день.

Создание списка угроз в моей среде на основе вредоносных IP-адресов

  • Что было главным обиденным IP-адресом в региональном WAF в последний день?
  • Сводка списка вредоносных IP-адресов в waF Azure Front Door за последние шесть часов?

Предоставление отзыва

Ваши отзывы об интеграции Azure WAF с Microsoft Copilot for Security помогают при разработке. Чтобы предоставить отзыв в Copilot, выберите "Как это ответ?" В нижней части каждого завершенного запроса и выберите любой из следующих параметров:

  • Выглядит правильно. Выберите, являются ли результаты точными на основе оценки.
  • Требуется улучшение. Выберите, является ли результаты неверными или неполными на основе оценки.
  • Недопустимо. Выберите, содержат ли результаты сомнительные, неоднозначные или потенциально опасные сведения.

Для каждого элемента обратной связи можно указать дополнительные сведения в следующем диалоговом окне. Каждый раз, когда это возможно, и когда результат нуждается в улучшении, напишите несколько слов, объясняя, что можно сделать, чтобы улучшить результат.

Ограничение

Если вы переносите выделенные таблицы Azure Log Analytics в Шлюз приложений версии WAF версии 2, microsoft Copilot for Security WAF Skills не работает. В качестве временного обходного решения включите Диагностика Azure в качестве целевой таблицы в дополнение к таблице, относяющейся к ресурсу.

Конфиденциальность и безопасность данных в Microsoft Copilot для обеспечения безопасности

Сведения о том, как Microsoft Copilot для безопасности обрабатывает запросы и данные, полученные из выходных данных службы(запроса), см. в статье "Конфиденциальность и безопасность данных" в Microsoft Copilot для обеспечения безопасности.

Связанный контент