你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft 安全 Copilot 和 Defender EASM

Microsoft Defender 外部攻击面管理 (Defender EASM) 不断发现和映射数字攻击面,以提供在线基础结构的外部视图。 这种可见性使安全和 IT 团队能够识别未知项、确定风险优先级、消除威胁,并将漏洞和公开控制扩展到防火墙之外。 攻击面见解是通过分析漏洞和基础结构数据生成的,以展示组织关注的关键领域。

Defender EASM 与安全 Copilot 的集成使用户能够与 Microsoft 发现的攻击面进行交互。 这些攻击面使用户能够快速了解其面向外部的基础结构以及组织面临的相关关键风险。 它们提供对特定风险领域的见解,包括漏洞、合规性和安全机制。 有关安全 Copilot 的详细信息,请转到什么是 Microsoft 安全 Copilot 资源。 有关嵌入式安全 Copilot 体验的详细信息,请参阅使用 Microsoft Azure Copilot 通过 Defender EASM 查询攻击面

安全 Copilot 与 Defender EASM 集成

安全 Copilot 可以从 Defender EASM 中获取有关组织攻击面的见解。 可以使用安全 Copilot 内置的系统功能,并使用提示获取详细信息。 此信息可帮助了解安全状况并缓解漏洞。

本文介绍安全 Copiloty,并包含可帮助 Defender EASM 用户的示例提示。

将 Copilot 连接到 Defender EASM

先决条件

  • 访问安全 Copilot,并有权激活新连接。

安全 Copilot 连接

  1. 访问安全 Copilot 并确保已经过身份验证。

  2. 选择提示输入栏右上角的插件图标。

    显示插件图标的屏幕截图。

  3. 在“Microsoft”部分下找到并打开“Defender 外部攻击面管理”,以进行连接。

    显示在 Copilot 中激活的 Defender EASM 的屏幕截图。

  4. 如果希望安全 Copilot 从 Microsoft Defender 外部攻击面资源中提取数据,请单击齿轮以打开插件设置,然后填写“概述”边栏选项卡上资源的“概要”部分中的字段。

显示必须在 Copilot 中配置的 Defender EASM 字段的屏幕截图。

注意

如果客户尚未购买 Defender EASM,他们仍然可以使用 Defender EASM 技能。 有关详细信息,请参阅插件功能参考部分。

使用入门

安全 Copilot 主要通过自然语言提示进行操作。 从 Defender EASM 查询信息时,用户提交一条提示,指导安全 Copilot 选择 Defender EASM 插件并调用相关功能。
为了成功使用 Copilot 提示,建议完成以下操作:

  • 确保在第一个提示中引用公司名称。 除非另行指定,否则所有将来的提示都提供有关最初指定的公司的数据。

  • 提示要清晰和具体。 如果在提示中包含特定资产名称或元数据值(例如 CVE ID),可能会获得更好的结果。

    将 Defender EASM 添加到提示中也可能会有所帮助,例如

    • 根据 Defender EASM,我有哪些过期的域?
    • 告诉我 Defender EASM 高优先级攻击面的见解。
  • 尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。

  • 安全 Copilot 会保存提示会话。 要查看以前的会话,请在安全 Copilot 中转到“我的会话”菜单>

    要详细了解安全 Copilot(包括固定和共享功能),请转到导航 Microsoft 安全 Copilot

有关编写安全 Copilot 提示的详细信息,请转到 Microsoft 安全 Copilot 提示使用技巧

插件功能参考

功能 说明 输入 行为
获取攻击面摘要 返回客户的 Defender EASM 资源或给定公司名称的攻击面摘要。 示例输入:
• 获取 LinkedIn 的攻击面。  
• 获取我的攻击面。 
• Microsoft 的攻击面是什么?  
• 我的攻击面是什么? 
• Azure 面向外部的资产有哪些? 
• 我有哪些面向外部的资产? 

可选输入:
• CompanyName
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 返回客户的 Defender EASM 资源的攻击面摘要。 

如果提供了其他公司名称:
 • 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。 
• 如果有完全匹配项,则返回给定公司名称的攻击面摘要。
获取攻击面见解 返回客户的 Defender EASM 资源或给定公司名称的攻击面见解。  示例输入:
• 获取 LinkedIn 的高优先级攻击面见解。 
• 获取我的高优先级攻击面见解。 
• 获取 Microsoft 的低优先级攻击面见解。 
• 获取低优先级攻击面见解。 
• 我的 Azure 的外部攻击面中是否有高优先级漏洞? 

必需的输入:
• PriorityLevel - 优先级必须为“高”、“中”或“低”(如果未提供,则默认为“高”)

可选输入:
• CompanyName - 公司名称
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 返回客户的 Defender EASM 资源的攻击面见解。 

如果提供了其他公司名称:
• 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。
• 如果有完全匹配项,则返回给定公司名称的攻击面见解。 
获取受 CVE 影响的资产 返回客户 Defender EASM 资源或给定公司名称的受 CVE 影响的资产。  示例输入:

• 获取 LinkedIn 受 CVE-2023-0012 影响的资产。 
• Microsoft 的哪些资产受 CVE-2023-0012 的影响? 
• Azure 的外部攻击面是否受 CVE-2023-0012 的影响? 
• 获取我的攻击面受 CVE-2023-0012 影响的资产。 
• 我的哪些资产受 CVE-2023-0012 的影响? 
• 我的外部攻击面是否受 CVE-2023-0012 的影响? 

必需的输入:
• CveId

可选输入:
• CompanyName
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 如果未填写插件设置,请以体贴周到的方式处理失败并提醒客户。 
• 如果填写了插件设置,则返回客户 Defender EASM 资源受 CVE 影响的资产。

如果提供了其他公司名称:
• 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。 
• 如果有完全匹配项,则返回给定公司名称受 CVE 影响的资产。 
获取受 CVSS 影响的资产 返回客户 Defender EASM 资源或给定公司名称的受 CVSS 评分影响的资产。  示例输入:
• 获取 LinkedIn 攻击面中受高优先级 CVSS 影响的资产。
• Microsoft 有多少资产具有关键 CVSS? 
• Azure 有哪些资产具有关键 CVSS? 
• 获取我的攻击面中受高优先级 CVSS 影响的资产。 
• 我有多少资产具有关键 CVSS? 
• 我的哪些资产具有关键 CVSS? 

必需的输入:
• CvssPriority(CVSS 优先级必须为关键、高、中或低。)

可选输入:
• CompanyName
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 如果未填写插件设置,请以体贴周到的方式处理失败并提醒客户。 
• 如果填写了插件设置,则返回客户 Defender EASM 资源受 CVSS 评分影响的资产。

如果提供了其他公司名称:
• 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。 
• 如果有完全匹配项,则返回给定公司名称受 CVSS 评分影响的资产。 
获取过期的域 返回客户 Defender EASM 资源或给定公司名称的过期域数目。  示例输入:
• LinkedIn 的攻击面中有多少域已过期?  
• Microsoft 有多少资产在使用已过期的域? 
• 我的攻击面中有多少域已过期?  
• 我有多少资产在使用 Microsoft 已过期的域? 

可选输入:
• CompanyName
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 返回客户 Defender EASM 资源的过期域数目

如果提供了其他公司名称:
• 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。 
• 如果有完全匹配项,则返回给定公司名称的过期域数目。 
获取已过期的证书 返回客户 Defender EASM 资源或给定公司名称的已过期 SSL 证书数目。  示例输入:
• LinkedIn 有多少 SSL 证书已过期?  
• Microsoft 有多少资产在使用已过期的 SSL 证书? 
• 我的攻击面中有多少 SSL 证书已过期?  
• 我有哪些已过期的 SSL 证书? 

可选输入:
• CompanyName
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 返回客户 Defender EASM 资源的 SSL 证书数目。

如果提供了其他公司名称:
 • 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。 
 • 如果有完全匹配项,则返回给定公司名称的 SSL 证书数目。 
获取 SHA1 证书 返回客户 Defender EASM 资源或给定公司名称的 SHA1 SSL 证书数目。  示例输入:
• LinkedIn 有多少 SSL SHA1 证书?  
• Microsoft 有多少资产在使用 SSL SHA1? 
• 我的攻击面中有多少 SSL SHA1 证书?  
• 我有多少资产在使用 SSL SHA1? 

可选输入:
• CompanyName
如果插件配置为活动 Defender EASM 资源,且未指定其他公司:
• 返回客户 Defender EASM 资源的 SHA1 SSL 证书数目

如果提供了其他公司名称:
 • 如果没有公司名称的完全匹配项,则返回可能的匹配项列表。 
 • 如果有完全匹配项,则返回给定公司名称的 SHA1 SSL 证书数目。 
将自然语言翻译为 Defender EASM 查询 将任何自然语言问题翻译成 Defender EASM 查询,并返回与查询匹配的资产。 示例输入:
• 哪些资产使用 jQuery 版本 3.1.0?
• 在我的攻击面中获取端口 80 打开的主机。
• 在我的库存中查找所有 IP 地址为 IP X、IP Y 或 IP Z 的页面、主机和 asn 资产。
• 我的哪些资产的注册者电子邮件为“name@example.com”
如果插件配置为活动 Defender EASM 资源:
• 返回与翻译后的查询匹配的资产。

在资源和公司数据之间切换

尽管我们为我们的技能添加了资源集成,但仍支持从特定公司的预生成攻击面拉取数据。 为了提高安全 Copilot 在确定客户是要从自己的攻击面还是预生成的公司攻击面拉取数据时的准确性,建议使用“我的”、“我的攻击面”等来表达客户想要使用其自己的资源,并使用“他们的”、“{特定公司名称}”等来表达其希望使用预生成攻击面。 虽然这确实改善了单个会话的体验,但我们强烈建议进行两次单独的会话,以避免任何混淆。

提供反馈

你对安全 Copilot 的反馈,特别是对 Defender EASM 插件的反馈,对于指导当前和计划中的产品开发至关重要。 提供此反馈的最佳方式是直接在产品中使用每个已完成提示底部的反馈按钮。 选择“看起来不错”、“需要改进”或“不合适”。 当结果符合预期时,建议选择“看起来不错”;当结果不符合预期时,建议选择“需要改进”;当结果在某些方面有害时,建议选择“不合适”。

只要有可能,尤其是当结果是“需要改进”时,请写几句话说明我们可以做些什么来改进结果。 当希望安全 Copilot 调用 Defender EASM 插件,但却选择了另一个插件时,这也适用。

数据处理和隐私

与安全 Copilot 交互以获取 Defender EASM 数据时,Copilot 从 Defender EASM 拉取该数据。 提示、检索的数据以及提示结果中显示的输出在安全 Copilot 服务中进行处理和存储。

有关安全 Copilot 中的数据隐私的详细信息,请转到 Microsoft 安全 Copilot 资源中的隐私和数据安全