你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft 安全 Copilot 中的 Azure 防火墙集成（预览版）

重要

Microsoft 安全 Copilot 中的 Azure 防火墙集成当前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

Microsoft 安全 Copilot 是一种生成式 AI 支持的安全解决方案，可帮助提高安全人员的效率和能力，从而以机器速度和规模改善安全结果。 它提供一种自然语言、辅助助手体验，帮助支持端到端场景中的安全性专业人员，例如事件响应、威胁搜寻、情报收集和态势管理。 有关其功能的详细信息，请参阅什么是 Microsoft 安全 Copilot？

安全 Copilot 与 Azure 防火墙集成

Azure 防火墙是一种云原生的智能网络防火墙安全服务，用于为 Azure 中运行的云工作负载提供最高水平的威胁防护。 它是一个服务形式的完全有状态防火墙，具有内置的高可用性和不受限制的云可伸缩性。

Azure 防火墙集成可帮助分析人员使用安全 Copilot 独立体验中的自然语言问题，详细调查其防火墙的 IDPS 和/或威胁情报功能截获的恶意流量。

本文介绍 Copilot，并包含可帮助 Azure 防火墙用户的示例提示。

在开始之前了解

• 可以在安全 Copilot 门户中使用安全 Copilot 中的 Azure 防火墙集成。 有关详细信息，请参阅 Microsoft 安全 Copilot 体验。

• 提示要清晰和具体。 如果在提示中包含特定的时间范围、资源和威胁，可能会获得更好的结果。 如果向提示添加 Azure 防火墙，也可能有所帮助。

• 使用本文中的示例提示来帮助指导你与 Copilot 的交互。

• 尝试使用不同提示和变体，以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同，因此根据收到的结果循环访问和优化提示。

• 安全 Copilot 会保存提示会话。 若要查看以前的会话，请从 Copilot 主页菜单，转到“我的会话”。

  

  注意

  有关 Copilot 演练（包括固定和共享功能），请查看导航 Microsoft 安全 Copilot。

若要详细了解如何编写有效的安全 Copilot 提示，请参阅创建有效的提示。

在安全 Copilot 独立门户中使用 Azure 防火墙集成

1. 确保 Azure 防火墙配置正确：

   • Azure 结构化防火墙日志 - 用于安全 Copilot 的 Azure 防火墙必须配置有 IDPS 的资源特定的结构化日志，而且这些日志必须发送到 Log Analytics 工作区。
   • Azure 防火墙基于角色的访问控制 - 在安全 Copilot 中使用 Azure 防火墙插件的用户必须具有适当的 Azure RBAC 角色才能访问防火墙和关联的 Log Analytics 工作区。

2. 转到 Microsoft 安全 Copilot 并使用凭据登录。

3. 确保已启用 Azure 防火墙插件。 在提示栏中，选择“源”图标。

   

   在显示的“管理源”弹出窗口中，确认已打开“Azure 防火墙”开关，然后关闭窗口。

   

   注意

   某些角色可以打开或关闭 Azure 防火墙等插件的开关。 有关详细信息，请参阅管理 Microsoft 安全 Copilot 中的插件。

4. 在提示栏中输入提示。

内置系统功能

安全 Copilot 具有内置系统功能，可以从打开的不同插件获取数据。

若要查看 Azure 防火墙的内置系统功能列表，请使用以下过程：

1. 在提示栏中，选择“提示”图标。

   

2. 选择“查看所有系统功能”。 “Azure 防火墙”部分列出了可使用的所有可用功能。

Azure 防火墙的示例提示

可以使用许多提示从 Azure 防火墙获取信息。 此部分列出了目前效果最好的提示。 随着新功能的推出，它们会不断更新。

检索 Azure 防火墙排名靠前的 IDPS 签名命中次数

获取有关 IDPS 功能截获的流量的日志信息，而不是手动构造 KQL 查询。

示例提示:

• 是否有任何恶意流量被我的防火墙 <防火墙名称> 截获？
• 对于资源组 <资源组名称> 中的防火墙 <防火墙名称>，过去 7 天中前 20 的 IDPS 命中是什么？
• 以表格形式显示过去一个月中攻击订阅 <订阅名称> 中的防火墙 <防火墙名称> 的前 50 个攻击。

在日志信息之外丰富 IDPS 签名的威胁配置文件

获取其他详细信息来扩充 IDPS 签名的威胁信息/配置文件，而不是自行手动编译它。

示例提示:

• 解释 IDPS 为什么将命中次数最高的标记为高严重性，而将第 5 次命中标记为低严重性。
• 关于此功能，你能告诉我什么？ 此攻击者还会进行其他哪些攻击？
• 我看到第三个签名 ID 与 CVE <CVE 编号> 相关联，请告诉我有关此 CVE 的详细信息。

注意

Microsoft Defender 威胁情报插件是安全 Copilot 可用于为 IDPS 签名提供威胁情报的另一个来源。

在租户、订阅或资源组中查找给定的 IDPS 签名

对所有防火墙中的威胁执行舰队范围的搜索（在任何范围内），而不是手动搜索威胁。

示例提示:

• 是否只有这一个防火墙停止了签名 ID <ID 编号>？ 这整个租户中的其他防火墙呢？
• 在订阅 <订阅名称> 中是否看到任何其他防火墙有排名靠前的命中？
• 在过去一周里，资源组 <资源组名称> 中是否有任何防火墙看到签名 ID <ID 编号>？

使用 Azure 防火墙的 IDPS 功能生成环境保护建议

从文档获取有关使用 Azure 防火墙 IDPS 功能来保护环境的信息，而无需手动查找此信息。

示例提示:

• 如何在整个基础结构中保护自己免受此攻击者的未来攻击？
• 如果想要确保所有防火墙都免受签名 ID <ID 编号> 的攻击，我该怎么做？
• 在风险方面，IDPS 的“仅警报”和“警报并阻止”模式之间有何区别？

注意

安全 Copilot 还可以使用“询问 Microsoft 文档”功能来介绍如何使用 Azure 防火墙的 IDPS 功能保护环境。

提供反馈

对于指导产品的当前和计划开发来说，你的反馈至关重要。 提供此反馈的最佳方式是直接在产品中进行。 在每个已完成的提示底部，选择“此回复怎么样?”，然后选择以下任一选项：

• 看起来正确 - 如果根据评估，结果是准确的，请选择此项。
• 需要改进 - 如果根据评估，结果中有任何详细信息不正确或不完整，请选择此项。
• 不恰当 - 如果结果包含可疑、不明确或潜在有害的信息，请选择此项。

对于每个反馈选项，可以在显示的下一个对话框中提供详细信息。 只要有可能，尤其是在结果是“需要改进”时，请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示，并且结果不相关，请包含该信息。

数据处理和隐私

与安全 Copilot 交互来获取 Azure 防火墙数据时，Copilot 会从 Azure 防火墙拉取该数据。 提示、检索的数据以及提示结果中显示的输出在 Copilot 服务中进行处理和存储。 有关详细信息，请参阅 Microsoft 安全 Copilot 中的隐私和数据安全。

相关内容

• 什么是 Microsoft Copilot for Security？