Beskriva Microsoft Sentinel-integrering med Microsoft Security Copilot
Microsoft Sentinel integreras med Microsoft Security Copilot.
För företag som är registrerade i Microsoft Security Copilot aktiveras integreringen via plugin-program som nås via Copilot-portalen. Sentinel tillhandahåller två plugin-program för att integrera med Security Copilot:
- Microsoft Sentinel (förhandsversion)
- Naturligt språk till KQL för Microsoft Sentinel (förhandsversion)
Plugin-program för Microsoft Sentinel (förhandsversion). Om du vill använda Sentinel-plugin-programmet måste användaren tilldelas en rollbehörighet som ger åtkomst till Copilot och en Sentinel-specifik roll som Microsoft Sentinel Reader för att få åtkomst till incidenter på arbetsytan.
Sentinel-plugin-programmet kräver att användaren konfigurerar Sentinel-arbetsytan, prenumerationsnamnet och resursgruppens namn.
Funktionerna i Sentinel-plugin-programmet fokuserar på incidenter och arbetsytor. Microsoft Sentinel-funktionerna i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.
Dessutom innehåller Copilot en promptbook för Microsoft Sentinel-incidentundersökning. Den här promptbooken innehåller uppmaningar om att få en rapport om en specifik incident, tillsammans med relaterade aviseringar, ryktespoäng, användare och enheter.
Microsoft Sentinel-promptbooken för incidentundersökning är inte bara en bra startpunkt för din undersökning, den är också en startpunkt för att skapa effektiva frågor.
Naturligt språk till plugin-programmet Microsoft Sentinel KQL (förhandsversion). Det naturliga språket till Plugin-programmet Sentinel KQL (NL2KQLSentinel) konverterar alla frågor på naturligt språk i samband med hotjakt till en KQL-fråga som är redo att köras. Detta sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov. Plugin-programmet Naturligt språk till KQL för Microsoft Sentinel (förhandsversion) genererar och kör KQL-jaktfrågor med hjälp av Microsoft Sentinel-data. Den här funktionen är tillgänglig i den fristående upplevelsen och avsnittet avancerad jakt i Microsoft Defender-portalen.
Microsoft Sentinel med Copilot i Defender
Integreringen av Microsoft Sentinel med Copilot kan upplevas både genom den fristående upplevelsen och den inbäddade upplevelsen med hjälp av Defender-portalen. Den inbäddade upplevelsen som nås via Defender-portalen använder den enhetliga säkerhetsåtgärdsplattformen med dina Microsoft Sentinel-data.
Incidenter – Microsoft Sentinel-incidenter är nu enhetliga med Defender XDR-incidenter, så du kan använda Copilot i Microsoft Defender för incidentsammanfattning, guidade svar och incidentrapporter för Sentinel-incidenter.
