Dela via

Azure Firewall-integrering i Microsoft Security Copilot (förhandsversion)

  • Artikel

Viktigt!

Azure Firewall-integrering i Microsoft Security Copilot finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Security Copilot är en generativ AI-baserad säkerhetslösning som hjälper till att öka säkerhetspersonalens effektivitet och funktioner för att förbättra säkerhetsresultaten i maskinhastighet och skala. Det ger ett naturligt språk, assistiv copilot-erfarenhet som hjälper till att stödja säkerhetspersonal i scenarier från slutpunkt till slutpunkt, till exempel incidenthantering, hotjakt, insamling av underrättelser och hållningshantering. Mer information om vad den kan göra finns i Vad är Microsoft Security Copilot?

Ha kunskap innan du börjar

Om du inte har använt Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:

Security Copilot-integrering i Azure Firewall

Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger bästa möjliga skydd mot rashot för dina molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet.

Azure Firewall-integreringen i Security Copilot hjälper analytiker att utföra detaljerade undersökningar av den skadliga trafik som fångas upp av IDPS-funktionen i deras brandväggar i hela flottan med hjälp av frågor om naturligt språk.

Du kan använda den här integreringen i två olika funktioner:

Mer information finns i Microsoft Security Copilot-upplevelser och Microsoft Copilot i Azure-funktioner.

Nyckelfunktioner

Security Copilot har inbyggda systemfunktioner som kan hämta data från de olika plugin-program som är aktiverade.

Om du vill visa listan över inbyggda systemfunktioner för Azure Firewall använder du följande procedur på Security Copilot-portalen:

  1. I promptfältet väljer du ikonen Frågor .

  2. Välj Visa alla systemfunktioner.

  3. I avsnittet Azure Firewall visas alla tillgängliga funktioner som du kan använda.

    Skärmbild av systemfunktionerna för Azure Firewall i Microsoft Security Copilot.

Aktivera Azure Firewall-integreringen i Security Copilot

  1. Kontrollera att Azure Firewall är korrekt konfigurerat:

    • Strukturerade Azure Firewall-loggar – Azure Firewalls som ska användas med Security Copilot måste konfigureras med resursspecifika strukturerade loggar för IDPS och dessa loggar måste skickas till en Log Analytics-arbetsyta.

    • Rollbaserad åtkomstkontroll för Azure Firewall – de användare som använder Azure Firewall-plugin-programmet i Security Copilot måste ha lämpliga Rollbaserade åtkomstkontrollroller i Azure för att få åtkomst till brandväggen och tillhörande Log Analytics-arbetsytor.

  2. Gå till Security Copilot och logga in med dina autentiseringsuppgifter.

  3. Kontrollera att Azure Firewall-plugin-programmet är aktiverat. I promptfältet väljer du ikonen Källor . I popup-fönstret Hantera källor som visas kontrollerar du att växlingsknappen för Azure Firewall är aktiverad. Stäng sedan fönstret. Ingen annan konfiguration krävs. Så länge strukturerade loggar skickas till en Log Analytics-arbetsyta och du har rätt behörigheter för rollbaserad åtkomstkontroll hittar Copilot de data som behövs för att besvara dina frågor.

    Skärmbild som visar plugin-programmet för Azure Firewall.

  4. Ange din fråga i promptfältet på antingen Security Copilot-portalen eller via Copilot i Azure-upplevelsen i Azure Portal.

    Viktigt!

    Användning av Copilot i Azure för att köra frågor mot Azure Firewall ingår i Security Copilot och kräver SKU:er (Security Compute Units). Du kan etablera SKU:er och öka eller minska dem när som helst. Mer information om SKU:er finns i Kom igång med Microsoft Security Copilot. Om du inte har konfigurerat Security Copilot korrekt men ställer en fråga som är relevant för Azure Firewall-funktionerna via Copilot i Azure-upplevelsen visas ett felmeddelande.

Exempel på Azure Firewall-frågor

Det finns många frågor som du kan använda för att hämta information från Azure Firewall. I det här avsnittet visas de som fungerar bäst idag. De uppdateras kontinuerligt när nya funktioner startas.

Hämta de främsta IDPS-signaturträffarna för en Azure Firewall

Hämta logginformation om trafiken som fångas upp av IDPS-funktionen i stället för att konstruera KQL-frågor manuellt.

Exempelfrågor:

  • Har någon skadlig trafik avlyssnats av brandväggsbrandväggens <namn>?

  • Vilka är de 20 främsta IDPS-träffarna från de senaste sju dagarna för Brandväggsbrandväggens <namn> i resursgruppens <resursgruppsnamn?>

  • Visa mig i tabellform de 50 främsta attackerna som riktade sig mot Brandväggsbrandväggens <namn> i prenumerationsprenumerationens< namn> under den senaste månaden.

    Skärmbild som visar hämta de främsta IDPS-signaturträffarna för en Azure Firewall-funktion.

Utöka hotprofilen för en IDPS-signatur utöver logginformation

ytterligare information för att utöka hotinformationen/profilen för en IDPS-signatur i stället för att kompilera den själv manuellt.

Exempelfrågor:

  • Förklara varför IDPS flaggade toppträffen som hög allvarlighetsgrad och den femte träffen som låg allvarlighetsgrad.

  • Vad kan du berätta om attacken? Vilka är de andra attackerna som angriparen är känd för?

  • Jag ser att det tredje signatur-ID:t är associerat med CVE CVE-nummer><, berätta mer om detta CVE.

    Skärmbild som visar utöka hotprofilen för en IDPS-signatur utöver logginformationsfunktionen.

Kommentar

Plugin-programmet Microsoft Threat Intelligence är en annan källa som Security Copilot kan använda för att tillhandahålla hotinformation för IDPS-signaturer.

Leta efter en given IDPS-signatur för din klientorganisation, prenumeration eller resursgrupp

Utför en omfattande sökning (över alla omfång) efter ett hot i alla brandväggar i stället för att söka efter hotet manuellt.

Exempelfrågor:

  • Stoppades signatur-ID-numret ><endast av den här brandväggen? Hur är det med andra i hela klientorganisationen?

  • Sågs den översta träffen av någon annan brandvägg i prenumerationsprenumerationsnamnet><?

  • Under den senaste veckan har någon brandvägg i resursgruppens resursgruppsnamn> se signatur-ID-nummer<>?<

    Skärmbild som visar sök efter en viss IDPS-signatur för klientorganisationen, prenumerationen eller resursgruppen.

Generera rekommendationer för att skydda din miljö med hjälp av Azure Firewalls IDPS-funktion

Hämta information från dokumentationen om hur du använder Azure Firewalls IDPS-funktion för att skydda din miljö i stället för att behöva leta upp den här informationen manuellt.

Exempelfrågor:

  • Hur gör jag för att skydda mig mot framtida attacker från den här angriparen i hela infrastrukturen?

  • Hur gör jag det om jag vill se till att alla mina Azure-brandväggar skyddas mot attacker från signatur-ID-nummer><?

  • Vad är skillnaden i risk mellan endast aviserings- och aviseringslägen och blockeringslägen för IDPS?

    Skärmbild som visar de genererade rekommendationerna för att skydda din miljö med hjälp av funktionen IDPS i Azure Firewall.

    Kommentar

    Security Copilot kan också använda funktionen Fråga Microsoft-dokumentation för att tillhandahålla den här informationen och när du använder den här funktionen via Copilot i Azure-upplevelsen kan funktionen Hämta information användas för att tillhandahålla den här informationen.

Ge feedback

Din feedback är viktig för att vägleda den aktuella och planerade utvecklingen av produkten. Det bästa sättet att ge den här feedbacken är direkt i produkten.

Via Security Copilot

Välj Hur är det här svaret? längst ned i varje slutförd fråga och välj något av följande alternativ:

  • Ser rätt ut – Välj om resultatet är korrekt baserat på din utvärdering.
  • Behöver förbättras – Välj om någon detalj i resultatet är felaktig eller ofullständig, baserat på din utvärdering.
  • Olämpligt – Välj om resultatet innehåller tvivelaktig, tvetydig eller potentiellt skadlig information.

För varje feedbackalternativ kan du ange ytterligare information i den efterföljande dialogrutan. När det är möjligt, och särskilt när resultatet är Behöver förbättras, skriver du några ord som förklarar hur resultatet kan förbättras. Om du har angett frågor som är specifika för Azure Firewall och resultaten inte är relaterade ska du inkludera den informationen.

Via Copilot i Azure

Använd knapparna gilla och ogilla längst ned i varje slutförd fråga. För något av alternativen för feedback kan du ange ytterligare information i den efterföljande dialogrutan. När det är möjligt, och särskilt när du ogillar ett svar, skriver du några ord som förklarar hur resultatet kan förbättras. Om du har angett frågor som är specifika för Azure Firewall och resultaten inte är relaterade ska du inkludera den informationen.

Sekretess och datasäkerhet i Security Copilot

När du interagerar med Security Copilot (via Security Copilot-portalen eller via Copilot i Azure-upplevelsen) för att hämta Azure Firewall-data hämtar Copilot dessa data från Azure Firewall. Prompterna, de data som hämtas och utdata som visas i promptresultaten bearbetas och lagras i Copilot-tjänsten. Mer information finns i Sekretess och datasäkerhet i Microsoft Security Copilot.

Relaterat innehåll