Описание интеграции Microsoft Sentinel с Microsoft Security Copilot
Microsoft Sentinel интегрируется с Microsoft Security Copilot.
Для предприятий, подключенных к Microsoft Security Copilot, эта интеграция активируется через подключаемые модули, доступ к которым осуществляется через портал Copilot. Sentinel предоставляет два подключаемых модуля для интеграции с Security Copilot:
- Microsoft Sentinel (предварительная версия)
- Преобразование естественного языка в KQL для Microsoft Sentinel (предварительная версия)
Подключаемый модуль Microsoft Sentinel (предварительная версия). Чтобы использовать подключаемый модуль Sentinel, пользователю должна быть назначена роль, которая предоставляет доступ к Copilot, и определенная роль для Sentinel, например роль читателя Microsoft Sentinel, для доступа к инцидентам в рабочей области.
Для подключаемого модуля Sentinel требуется, чтобы пользователь настроил рабочее пространство Sentinel, имя подписки и имя группы ресурсов.
Возможности подключаемого модуля Sentinel сосредоточены на инцидентах и рабочих областях. Возможности Microsoft Sentinel в Copilot реализованы в виде встроенных запросов, однако использовать можно не только их, но и собственные запросы в зависимости от поддерживаемых возможностей.
Кроме того, в Copilot включен набор запросов для исследования инцидентов Microsoft Sentinel. В этом наборе запросов содержатся запросы на получение отчета о конкретном инциденте, а также на связанные оповещения, результаты оценки репутации, имена пользователей и устройств.
Набор запросов по исследованию инцидентов Microsoft Sentinel — это не только оптимальная отправная точка для исследования, но и основа для создания эффективных подсказок.
Подключаемый модуль для преобразования естественного языка в KQL для Microsoft Sentinel (предварительная версия). Подключаемый модуль для преобразования естественного языка в KQL для Sentinel (NL2KQLSentinel) преобразует любой вопрос на естественном языке в контексте поиска угроз в готовый к выполнению запрос на KQL. Это экономит время групп безопасности, поскольку генерирует запрос на KQL, который затем можно автоматически запускать или дополнительно настроить в соответствии с потребностями аналитика. Подключаемый модуль для преобразования естественного языка в KQL для Microsoft Sentinel (предварительная версия) создает на языке KQL и выполняет запросы на охоту на угрозы, используя данные Microsoft Sentinel. Этой возможностью можно воспользоваться в изолированном интерфейсе и в разделе расширенной охоты на угрозы на портале Microsoft Defender.
Microsoft Sentinel с Copilot на портале Defender
Интеграция Microsoft Sentinel с Copilot может быть реализована как в изолированном, так и во внедренном интерфейсе с использованием портала Defender. Внедренный интерфейс, доступ к которому осуществляется через портал Defender, использует единую платформу операций по обеспечению безопасности с данными Microsoft Sentinel.
Инциденты — инциденты Microsoft Sentinel теперь унифицированы с инцидентами XDR Defender, поэтому вы можете использовать Copilot в Microsoft Defender для сводки инцидентов, управляемые ответы и отчеты об инцидентах Sentinel.
