你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
具有 Microsoft Sentinel 的 Security Copilot
Microsoft Security Copilot 是一个平台,可帮助你以计算机速度和规模保护组织。 Microsoft Sentinel 的庞大安全数据为 Copilot 提供了出色的数据源,可帮助分析事件并生成搜寻查询。
除了启用的其他安全 Security Copilot 源外,Microsoft Sentinel 事件和数据可为组织提供更广泛的威胁及其上下文可见性。
在开始之前了解
如果你是 Security Copilot 的新用户,则应阅读以下文章自行熟悉它:
- 什么是 Microsoft 安全 Copilot?
- Microsoft 安全 Copilot 体验
- Microsoft 安全 Copilot 入门
- 了解 Microsoft 安全 Copilot 中的身份验证
- 在 Microsoft 安全 Copilot 中发送提示词
Security Copilot 与 Microsoft Sentinel 的集成
此集成主要支持通过 https://securitycopilot.microsoft.com 访问的独立体验,你可以在类似聊天的体验中进行交互,以汇总事件并获得有关安全数据的其他答案。 有关详细信息,请参阅 Microsoft Security Copilot 体验。
关键功能
Microsoft Sentinel 数据通过两种方式与安全 Copilot 集成。
- 在 Microsoft 的统一安全操作平台中,Microsoft Defender XDR 中的 Copilot 受益于与 Microsoft Sentinel 集成的统一事件。
- 在独立体验中,Microsoft Sentinel 提供了两个插件来与安全 Copilot 集成:
Microsoft Sentinel(预览版)
Microsoft Sentinel 的自然语言转换为 KQL(预览版)。
重要
“Microsoft Sentinel”和“Microsoft Sentinel 的自然语言转换为 KQL”插件目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
启用 Security Copilot 与 Microsoft Sentinel 的集成
若要最大程度地实现 Security Copilot 与 Microsoft Sentinel 的集成,请执行以下操作:
- 为 Security Copilot 配置默认 Microsoft Sentinel 工作区
- 将 Microsoft Sentinel 工作区连接到 Microsoft Defender XDR
配置默认 Microsoft Sentinel 工作区
通过将 Microsoft Sentinel 工作区配置为默认值来提高提示准确性。
导航到位于 https://securitycopilot.microsoft.com/ 的 Security Copilot。
在提示栏中打开源 。
在管理插件页上,将开关设置为打开
选择 Microsoft Sentinel(预览)插件上的齿轮图标。
配置默认工作区名称。
提示
当工作区与配置的默认值不匹配时,请在提示符中指定工作区。
示例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
在 Defender 中将 Microsoft Sentinel 与 Copilot 集成
将 Microsoft Defender 门户与 Microsoft Sentinel 数据配合使用,以获取嵌入式 Security Copilot 体验。 Microsoft Sentinel 的唯一数据源会流入 Microsoft Defender XDR 统一事件,这使得 Defender 中的 Copilot 能够实现其功能的最大化。
例如:
- SAP(预览版)解决方案安装在工作区中,用于 Microsoft Sentinel。
- 近实时规则从恶意 IP 地址下载的 SAP -(预览)文件会触发警报,从而创建 Microsoft Sentinel 事件。
- Microsoft Sentinel 已加入 Defender 门户。
- Microsoft Sentinel 事件现在与 Defender XDR 事件统一。
- 在 Microsoft Defender 中使用 Copilot 进行事件摘要、引导响应和事件报告。
有关更多信息,请参阅以下资源:
在高级搜寻中将 Microsoft Sentinel 与 Security Copilot 集成
Microsoft Sentinel 的自然语言转换为 KQL(预览版)使用 Microsoft Sentinel 数据生成并运行 KQL 搜寻查询。 此功能在 Microsoft Defender 门户的独立体验和高级搜寻部分中提供。
注意
在统一的 Microsoft Defender 门户中,可以提示 Security Copilot 为 Defender XDR 和 Microsoft Sentinel 表生成高级搜寻查询。 目前并非所有 Microsoft Sentinel 表都受支持。
有关详细信息,请参阅使用 Security Copilot 进行高级搜寻。
Microsoft Sentinel 提示的示例
考虑 Microsoft Sentinel 事件调查提示手册作为创建有效提示的起点。 此提示手册提供有关特定事件的报告,以及相关的警报、信誉分数、用户和设备。
指南 | 提示 |
---|---|
Nudge Copilot 提供人类可读信息,而不是使用对象 ID 做出响应。 | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
Copilot 知道你是谁。 使用“me(我)”代词查找与你相关的事件。 以下提示针对分配给你的事件。 | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
将提示响应缩小到单个事件的范围时,Copilot 知道上下文。 | Tell me about the entities associated with that incident. |
Copilot 擅长总结。 描述想要汇总提示和响应的特定受众。 | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
有关更多提示指南和示例,请参阅以下资源:
提供反馈
对于指导产品的当前和计划开发来说,你的反馈至关重要。 提供此反馈的最佳方式是直接在产品中进行。 在每个已完成的提示底部,选择“此回复怎么样?”,然后选择以下任一选项:
- 看起来正确 - 如果根据评估,结果是准确的,请选择此项。
- 需要改进 - 如果根据评估,结果中有任何详细信息不正确或不完整,请选择此项。
- 不恰当 - 如果结果包含可疑、不明确或潜在有害的信息,请选择此项。
对于每个反馈选项,可以在显示的下一个对话框中提供详细信息。 只要有可能,尤其是在结果是“需要改进”时,请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示,并且结果不相关,请包含该信息。
安全 Copilot 中的隐私和数据安全
若要了解 Security Copilot 如何处理提示以及从服务(提示输出)检索的数据,请参阅 Microsoft Security Copilot 中的隐私和数据安全。