Security Copilot med Microsoft Sentinel
Microsoft Security Copilot är en plattform som hjälper dig att försvara din organisation med maskinhastighet och skalning. Microsoft Sentinels stora säkerhetsdata är en utmärkt källa för Copilot för att analysera incidenter och generera jaktfrågor.
Tillsammans med andra Security Copilot-källor som du aktiverar ger dina Microsoft Sentinel-incidenter och data större insyn i hot och deras kontext för din organisation.
Ha kunskap innan du börjar
Om du inte har använt Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:
- Vad är Microsoft Security Copilot?
- Microsoft Security Copilot-upplevelser
- Kom igång med Microsoft Security Copilot
- Förstå autentisering i Microsoft Security Copilot
- Fråga i Microsoft Security Copilot
Security Copilot-integrering med Microsoft Sentinel
Den här integreringen stöder främst den fristående upplevelsen som nås via https://securitycopilot.microsoft.com, där du interagerar i en chattliknande upplevelse för att sammanfatta incidenter och få andra svar om dina säkerhetsdata. Mer information finns i Microsoft Security Copilot-upplevelser.
Nyckelfunktioner
Microsoft Sentinel-data integreras med Security Copilot på två sätt.
- På Microsofts enhetliga säkerhetsplattform drar Copilot i Microsoft Defender XDR nytta av enhetliga incidenter som är integrerade med Microsoft Sentinel.
- I den fristående upplevelsen tillhandahåller Microsoft Sentinel två plugin-program för att integrera med Security Copilot:
Microsoft Sentinel (förhandsversion)
Naturligt språk till KQL för Microsoft Sentinel (förhandsversion).
Viktigt!
Plugin-programmet "Microsoft Sentinel" och "Naturligt språk till KQL för Microsoft Sentinel" finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Aktivera Security Copilot-integrering med Microsoft Sentinel
Gör följande för att maximera din Security Copilot-integrering med Microsoft Sentinel:
- konfigurera en Microsoft Sentinel-standardarbetsyta för Security Copilot
- ansluta din Microsoft Sentinel-arbetsyta till Microsoft Defender XDR
Konfigurera en standardarbetsyta för Microsoft Sentinel
Öka noggrannheten för din fråga genom att konfigurera en Microsoft Sentinel-arbetsyta som standard.
Gå till Security Copilot på https://securitycopilot.microsoft.com/.
Öppna källor
i promptfältet.På sidan Hantera plugin-program anger du växlingsknappen till På
Välj kugghjulsikonen i plugin-programmet Microsoft Sentinel (förhandsversion).
Konfigurera standardnamnet för arbetsytan.
Dricks
Ange arbetsytan i prompten när den inte matchar den konfigurerade standardinställningen.
Exempel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrera Microsoft Sentinel med Copilot i Defender
Använd Microsoft Defender-portalen med dina Microsoft Sentinel-data för en inbäddad Security Copilot-upplevelse. Med Microsoft Sentinels unika datakällor som flödar in i microsoft Defender XDR-enhetliga incidenter kan Copilot i Defender maximera sina funktioner.
Till exempel:
- SAP-lösningen (förhandsversion) är installerad på din arbetsyta för Microsoft Sentinel.
- Den nära realtidsregeln SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress utlöser en avisering, vilket skapar en Microsoft Sentinel-incident.
- Microsoft Sentinel registrerades på Defender-portalen.
- Microsoft Sentinel-incidenter är nu enhetliga med Defender XDR-incidenter.
- Använd Copilot i Microsoft Defender för incidentsammanfattning, guidade svar och incidentrapporter.
Mer information finns i följande resurser:
- Integrera Microsoft Defender XDR
- Microsoft Sentinel i Microsoft Defender-portalen
- Copilot i Microsoft Defender
Integrera Microsoft Sentinel med Security Copilot i avancerad jakt
Plugin-programmet Naturligt språk till KQL för Microsoft Sentinel (förhandsversion) genererar och kör KQL-jaktfrågor med hjälp av Microsoft Sentinel-data. Den här funktionen är tillgänglig i den fristående upplevelsen och avsnittet avancerad jakt i Microsoft Defender-portalen.
Kommentar
I den enhetliga Microsoft Defender-portalen kan du uppmana Security Copilot att generera avancerade jaktfrågor för både Defender XDR- och Microsoft Sentinel-tabeller. För närvarande stöds inte alla Microsoft Sentinel-tabeller.
Mer information finns i Security Copilot i avancerad jakt.
Exempel på Microsoft Sentinel-frågor
Betrakta Microsoft Sentinel-incidentutredningspromptboken som en startpunkt för att skapa effektiva frågor. Den här promptbooken levererar en rapport om en specifik incident, tillsammans med relaterade aviseringar, ryktespoäng, användare och enheter.
| Vägledning | Prompt |
|---|---|
| Knuffa Copilot för att ge mänsklig läsbar information i stället för att svara med objekt-ID: er. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot vet vem du är. Använd pronomenet "mig" för att hitta incidenter som är relaterade till dig. Följande fråga riktar sig mot incidenter som tilldelats dig. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| När du begränsar ett snabbsvar till en enda incident känner Copilot till kontexten. | Tell me about the entities associated with that incident. |
| Copilot är bra på att sammanfatta. Beskriv en specifik målgrupp som du vill att prompterna och svaren ska sammanfattas för. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Mer vägledning och exempel finns i följande resurser:
Ge feedback
Din feedback är viktig för att vägleda den aktuella och planerade utvecklingen av produkten. Det bästa sättet att ge den här feedbacken är direkt i produkten. Välj Hur är det här svaret? längst ned i varje slutförd fråga och välj något av följande alternativ:
- Ser rätt ut – Välj om resultatet är korrekt baserat på din utvärdering.
- Behöver förbättras – Välj om någon detalj i resultatet är felaktig eller ofullständig, baserat på din utvärdering.
- Olämpligt – Välj om resultatet innehåller tvivelaktig, tvetydig eller potentiellt skadlig information.
För varje feedbackalternativ kan du ange mer information i nästa dialogruta som visas. När det är möjligt, och särskilt när resultatet är Behöver förbättras, skriver du några ord som förklarar vad som kan göras för att förbättra resultatet. Om du har angett frågor som är specifika för Azure Firewall och resultaten inte är relaterade ska du inkludera den informationen.
Sekretess och datasäkerhet i Security Copilot
Information om hur Security Copilot hanterar dina frågor och de data som hämtas från tjänsten (promptutdata) finns i Sekretess och datasäkerhet i Microsoft Security Copilot.