Beskriva Microsoft-plugin-program som är tillgängliga i Microsoft Security Copilot

  • 10 minuter

Microsoft Security Copilot integreras med olika källor, inklusive Microsofts egna säkerhetsprodukter, icke-Microsoft-leverantörer, intelligensflöden med öppen källkod, webbplatser och kunskapsbas för att generera vägledning som är specifik för din organisation.

En av de mekanismer som Copilot integrerar med dessa olika källor är genom plugin-program. Plugin-program utökar Copilots funktioner. I den här lektionen utforskar du Microsoft-plugin-program.

Microsoft-plugin-program

Microsoft-plugin-program ger Copilot åtkomst till information och funktioner från din organisations Microsoft-produkter. Bilden som följer visar endast en delmängd av tillgängliga Microsoft-plugin-program och ordningen i vilken plugin-programmen visas kan variera från vad som visas i produkten.

Om en Copilot-ägare har begränsad åtkomst till plugin-program visas de plugin-program som har angetts som begränsade nedtonade och begränsade.

I allmänhet använder Microsoft-plugin-program i Copilot OBO-modellen (på uppdrag av) – vilket innebär att Copilot vet att en kund har licenser för specifika produkter och automatiskt loggas in på dessa produkter. Copilot kan sedan komma åt de specifika produkterna när plugin-programmet är aktiverat och, i förekommande fall, parametrar konfigureras. Vissa Microsoft-plugin-program som kräver installation, enligt inställningsikonen eller installationsknappen, kan innehålla konfigurerbara parametrar som används för autentisering i stället för OBO-modellen.

Om du vill visa systemfunktionerna som stöds av de aktiverade plugin-program väljer du promptikonen i promptfältet och väljer "Visa alla systemfunktioner". Systemfunktioner är specifika, enkla frågor som du kan använda i Copilot. Om du väljer en systemfunktion krävs vanligtvis mer indata för att få ett användbart svar, men Copilot tillhandahåller den vägledningen.

Skärmdump av promptikonen som när den väljs öppnar fönstret för att välja systemfunktioner.

Avsnitten som följer innehåller korta beskrivningar för många, men inte alla, av tillgängliga Microsoft-plugin-program. Microsoft Security Copilot lägger kontinuerligt till stöd för Microsoft-produkter.

Azure Firewall (förhandsversion)

Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger bästa möjliga skydd mot rashot för dina molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet.

Azure Firewall-integreringen med Copilot hjälper analytiker att utföra detaljerade undersökningar av skadlig trafik som fångas upp av intrångsidentifierings- och skyddssystemet (IDPS) och/eller hotinformationsfunktionerna i brandväggarna i deras miljö.

Så här använder du Azure Firewall-integreringen med Copilot:

  • Azure Firewalls som ska användas med Security Copilot måste konfigureras med resursspecifika strukturerade loggar för IDPS och dessa loggar måste skickas till en Log Analytics-arbetsyta.
  • De användare som använder Azure Firewall-plugin-programmet i Security Copilot måste ha rätt Rollbaserad åtkomstkontroll i Azure (RBAC) för att få åtkomst till brandväggen och den associerade Log Analytics-arbetsytan.
  • Azure Firewall-plugin-programmet i Security Copilot måste vara aktiverat.

Azure Firewall-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av funktionerna i Azure Firewall som kan köras i den fristående miljön.

Exempel på frågor är:

  • Har någon skadlig trafik avlyssnats av brandväggsbrandväggens <namn>?
  • Vilka är de 20 främsta IDPS-träffarna från de senaste sju dagarna för Brandväggsbrandväggens <namn> i resursgruppens <resursgruppsnamn>?
  • Hur gör jag det om jag vill se till att alla mina brandväggar skyddas mot attacker från signatur-ID-nummer<>?

Azure Web Application Firewall (förhandsversion)

Integrering av Azure Web Application Firewall (WAF) i Security Copilot möjliggör djupgående undersökning av Azure WAF-händelser. Det kan hjälpa dig att undersöka WAF-loggar som utlöses av Azure WAF på några minuter och tillhandahålla relaterade attackvektorer med naturliga språksvar med maskinhastighet. Den ger insyn i din miljös hotlandskap. Det gör att du kan hämta en lista över de vanligaste utlösta WAF-reglerna och identifiera de vanligaste felaktiga IP-adresserna i din miljö.

Security Copilot-integrering stöds på både Azure WAF som är integrerat med Azure Application Gateway och Azure WAF integrerat med Azure Front Door.

Om du vill använda Azure WAF-integreringen i Copilot måste Azure WAF-plugin-programmet i Security Copilot vara aktiverat och konfigurerat.

Den fristående förhandsversionen i Azure WAF kan hjälpa dig med:

  • Tillhandahålla en lista över de främsta Azure WAF-reglerna som utlöses i kundmiljön och generera djup kontext med relaterade attackvektorer.
  • Tillhandahålla en lista över skadliga IP-adresser i kundmiljön och generera relaterade hot.
  • Sammanfatta SQL-inmatningsattacker (SQLi).
  • Sammanfattning av XSS-attacker (Cross-site scripting).

Azure Web Application Firewall-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av funktionerna i Azure Web Application Firewall som kan köras i den fristående miljön.

Exempel på frågor är:

  • Var det en SQL-inmatningsattack i min globala WAF den senaste dagen?
  • Vilka var de främsta globala WAF-reglerna som utlöstes under de senaste 24 timmarna?
  • Sammanfatta listan över skadliga IP-adresser i min Azure Front Door WAF under de senaste sex timmarna?

Azure AI Search (förhandsversion)

Med plugin-programmet Azure AI Search kan du ansluta företagets kunskapsbas eller lagringsplatser till Microsoft Security Copilot. Information om det här plugin-programmet och anslutningar till kunskapsbas beskrivs i en efterföljande enhet i den här modulen.

Microsoft Entra

Microsoft Entra är en familj av lösningar för identitets- och nätverksåtkomst i flera moln som gör det möjligt för organisationer att skydda alla identiteter och säker åtkomst till alla resurser. Det ger en enhetlig plattform för hantering av identitets- och nätverksåtkomst, vilket gör det enklare att skydda identiteter och åtkomst till resurser i miljöer med flera moln och hybridmiljöer.

Security Copilot integreras med Microsoft Entra. Med Plugin-programmet Entra aktiverat kan säkerhetsanalytiker omedelbart få en risksammanfattning, steg för att åtgärda och rekommendera vägledning för varje identitet som är i riskzonen på naturligt språk. Analytiker kan använda Copilot för att vägleda skapandet av ett livscykelarbetsflöde för att effektivisera processen med att skapa och utfärda användarautentiseringsuppgifter och åtkomsträttigheter. Dessa och många andra Entra-funktioner stöds av Copilot.

Microsoft Entra-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av De Entra-funktioner som kan köras i den fristående upplevelsen.

Med plugin-programmet aktiverat kan Copilot-integrering med Microsoft Entra också upplevas via den inbäddade upplevelsen. De scenarier som stöds via den inbäddade upplevelsen beskrivs mer detaljerat i modulen "Beskriv de inbäddade funktionerna i Microsoft Security Copilot".

Microsoft Intune

Microsoft Intune är en molnbaserad lösning för slutpunktshantering. Den hanterar användaråtkomst till organisationsresurser och förenklar app- och enhetshantering på många enheter, inklusive mobila enheter, stationära datorer och virtuella slutpunkter.

Security Copilot integrerar med Microsoft Intune. Om Microsoft Intune är tillgängligt i samma klientorganisation som Copilot och plugin-programmet är aktiverat kan Copilot hämta information om dina enheter, appar, efterlevnads- och konfigurationsprinciper och principtilldelningar som hanteras i Intune.

För att använda Microsoft Intune-plugin-programmet måste användaren tilldelas en tjänstspecifik roll i Intune, till exempel Rollen Intune Endpoint Security Manager, utöver rollbehörigheten som ger åtkomst till Copilot.

Funktioner som stöds av Intune-plugin-programmet gör det möjligt för en användare att:

  • Jämföra olika säkerhetsbaslinjer.
  • Hämta en sammanfattning av en befintlig princip.
  • Hämta omfånget för principtilldelningen.
  • Hämta skillnaderna eller jämförelserna mellan två enheter.
  • Snabbt samla in information om en enhet genom att fråga om den.
  • Få detaljerad information om en användares enhetsregistreringar och enhetsefterlevnad för felsökning eller en säkerhetsundersökning.
  • Och mer

Microsoft Intune-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds

Skärmdump av förslag på Intune-frågor som kan köras i den fristående upplevelsen.

Några exempelprompter är:

  • Vilka Intune-appar tilldelas mest?
  • Hur många enheter har registrerats i Intune under de senaste 24 timmarna?
  • Vad är skillnaden i maskinvarukonfiguration mellan enheterna EnhetA och EnhetB?

När plugin-programmet är aktiverat kan Copilot-integrering med Microsoft Intune också upplevas med den inbäddade upplevelsen. De scenarier som stöds via den inbäddade upplevelsen beskrivs mer detaljerat i modulen "Beskriv de inbäddade funktionerna i Microsoft Security Copilot".

Microsoft Defender XDR

Microsoft Defender XDR är en enhetlig företagsförsvarssvit före och efter intrång som internt samordnar identifiering, förebyggande, undersökning och svar mellan slutpunkter, identiteter, e-post och program för att ge integrerat skydd mot avancerade attacker.

Det finns två separata plugin-program i Copilot som är relaterade till Microsoft Defender XDR (användargränssnittet kan fortfarande visa Microsoft 365 Defender):

  • Microsoft Defender XDR
  • Naturligt språk till KQL för Microsoft Defender XDR

Rollbehörigheten som ger användaren åtkomst till Copilot avgör åtkomstnivån för Microsoft Defender XDR-data. Det finns inga ytterligare rollbehörigheter som krävs för att använda Plugin-programmet Microsoft Defender XDR eller det naturliga språket till Defender XDR KQL-plugin-programmet.

Microsoft Defender XDR

Plugin-programmet Microsoft Defender XDR innehåller funktioner som gör det möjligt för användare att:

  • Sammanfatta incidenter snabbt
  • Vidta åtgärder mot incidenter via guidade svar.
  • Skapa incidentrapporter
  • Hämta incidentstyrda svar
  • Hämta sammanfattningar av Defender-enheter
  • Analysera filer
  • mer...

Microsoft Defender XDR-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av de Defender XDR-funktioner som kan köras i den fristående upplevelsen.

Copilot innehåller också en inbyggd promptbook för Microsoft Defender XDR-incidentundersökning som du kan använda för att hämta en rapport om en specifik incident, med relaterade aviseringar, ryktespoäng, användare och enheter.

När plugin-programmet är aktiverat kan Copilot-integrering med Defender XDR också upplevas via den inbäddade upplevelsen. De scenarier som stöds via den inbäddade upplevelsen beskrivs mer detaljerat i modulen "Beskriv de inbäddade funktionerna i Microsoft Security Copilot".

Naturligt språk till KQL för Microsoft Defender

Plugin-programmet Naturligt språk till KQL för Microsoft Defender (NL2KQLDefender) möjliggör funktioner för frågeassistenten som konverterar alla frågor på naturligt språk i samband med hotjakt till en KQL-fråga som är redo att köras. Frågeassistenten sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov.

Microsoft Defender – hantering av extern attackyta (Defender EASM)

Microsoft Defender – hantering av extern attackyta (Defender EASM) identifierar och mappar kontinuerligt din digitala attackyta för att ge en extern vy över din onlineinfrastruktur. Den här synligheten gör det möjligt för säkerhets- och IT-team att identifiera okända, prioritera risker, eliminera hot och utöka sårbarhets- och exponeringskontroll utanför brandväggen. Attack Surface Insights genereras med hjälp av sårbarhets- och infrastrukturdata för att visa upp viktiga områden som är viktiga för din organisation.

Om du använder Defender EASM i samma klientorganisation som Copilot och aktiverar plugin-programmet kan Copilot visa insikter från Defender EASM om en organisations attackyta. Dessa insikter kan hjälpa dig att förstå din säkerhetsstatus och minska sårbarheter.

Defender EASM-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av de EASM-systemfunktioner som kan köras i den fristående upplevelsen.

Några exempel på frågor är:

  • Påverkas min externa attackyta av CVE-2023-21709?
  • Få tillgångar som påverkas av högprioritade CVSS i min attackyta.
  • Hur många tillgångar har kritiska CVSS för min organisation?

Om du vill använda det här plugin-programmet måste du konfigurera parametrar för att identifiera organisationens prenumeration på Defender EASM.

Skärmdump av EASM-plugin-inställningarna som måste konfigureras.

Microsoft Defender Hotinformation

Microsoft Defender Hotinformation (Defender TI) är en plattform som effektiviserar arbetsflöden för sortering, incidenthantering, hotjakt, hantering av säkerhetsrisker och cyberhotinformationsanalytiker när du utför analys av hotinfrastruktur och samlar in hotinformation.

Security Copilot integreras med Microsoft Defender TI. När Plugin-programmet Defender TI är aktiverat levererar Copilot information om hotaktivitetsgrupper, indikatorer för kompromettering (IOCs), verktyg och kontextuell hotinformation. Du kan använda prompter och promptbooks för att undersöka incidenter, utöka dina jaktflöden med information om hotinformation eller få mer kunskap om organisationens eller det globala hotlandskapet.

Microsoft Defender TI-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av Defender TI-systemfunktioner som kan köras i den fristående upplevelsen.

Några exempelprompter är:

  • Visa mig de senaste hotartiklarna.
  • Hämta hotartiklar som är associerade med finansbranschen.
  • Dela de tekniker som är känsliga för sårbarheten – CVE-2021-44228.
  • Sammanfatta sårbarhets-CVE-2021-44228.

Inbyggda promptbooks som levererar information från Defender TI omfattar:

  • Utvärdering av sårbarhetspåverkan – Genererar en rapport som sammanfattar intelligensen för en känd säkerhetsrisk, inklusive steg om hur du åtgärdar den.
  • Profil för hotaktör – Genererar en rapport som profilerar en känd aktivitetsgrupp, inklusive förslag för att försvara sig mot deras vanliga verktyg och taktiker.

Microsoft Purview

Microsoft Purview är en omfattande uppsättning lösningar som kan hjälpa din organisation att styra, skydda och hantera data, oavsett var de finns. Microsoft Purview-lösningar ger integrerad täckning och hjälper till att hantera fragmentering av data mellan organisationer, bristen på synlighet som hämmar dataskydd och styrning samt suddning av traditionella IT-hanteringsroller.

Med Purview-plugin-programmet i Security Copilot kan du få värdefulla data och insikter om användarrisker för att identifiera källan till en attack och känsliga data som kan vara i riskzonen, förutsatt att du har rätt rollbehörighet i Microsoft Purview. Eftersom Microsoft Copilot förutsätter användarens behörigheter när den försöker komma åt data för att besvara frågorna måste du ha de behörigheter som krävs för att få åtkomst till data. Dessutom måste din organisation vara licensierad och registrerad för tillämpliga Microsoft Purview-lösningar.

Microsoft Purview-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Skärmdump av Purview-funktionerna.

Copilot-funktioner kan också upplevas direkt inifrån Purview-lösningar, via den inbäddade upplevelsen. De scenarier som stöds via den inbäddade upplevelsen beskrivs mer detaljerat i modulen "Beskriv de inbäddade funktionerna i Microsoft Security Copilot".

Microsoft Sentinel (förhandsversion)

Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget. Med Microsoft Sentinel får du en enda lösning för attackidentifiering, synlighet för hot, proaktiv jakt och hotsvar.

Det finns två separata plugin-program i Copilot som är relaterade till Sentinel:

  • Microsoft Sentinel (förhandsversion)
  • Naturligt språk till Microsoft Sentinel KQL (förhandsversion)

Skärmdump av Sentinel och NL2KQK i Sentinel-plugin-programmet.

Microsoft Sentinel (förhandsversion)

Om du vill använda Sentinel-plugin-programmet måste användaren tilldelas en rollbehörighet som ger åtkomst till Copilot och en Sentinel-specifik roll som Microsoft Sentinel Reader för att få åtkomst till incidenter på arbetsytan.

Sentinel-plugin-programmet kräver också att användaren konfigurerar Sentinel-arbetsytan, prenumerationsnamnet och resursgruppens namn.

Skärmdump av sidan inställningar för Sentinel-plugin-programmet.

Funktionerna i Sentinel-plugin-programmet fokuserar på incidenter och arbetsytor. Dessutom innehåller Copilot en promptbook för Microsoft Sentinel-incidentundersökning. Den här promptbooken innehåller uppmaningar om att få en rapport om en specifik incident, tillsammans med relaterade aviseringar, ryktespoäng, användare och enheter.

Naturligt språk till Microsoft Sentinel KQL (förhandsversion)

Det naturliga språket till Plugin-programmet Sentinel KQL (NL2KQLSentinel) konverterar alla frågor på naturligt språk i samband med hotjakt till en KQL-fråga som är redo att köras. Detta sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov.