你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

具有 Microsoft Sentinel 的 Security Copilot

Microsoft Security Copilot 是一个平台,可帮助你以计算机速度和规模保护组织。 Microsoft Sentinel 的庞大安全数据为 Copilot 提供了出色的数据源,可帮助分析事件并生成搜寻查询。

除了启用的其他安全 Security Copilot 源外,Microsoft Sentinel 事件和数据可为组织提供更广泛的威胁及其上下文可见性。

在开始之前了解

如果你是 Security Copilot 的新用户,则应阅读以下文章自行熟悉它:

Security Copilot 与 Microsoft Sentinel 的集成

此集成主要支持通过 https://securitycopilot.microsoft.com 访问的独立体验,你可以在类似聊天的体验中进行交互,以汇总事件并获得有关安全数据的其他答案。 有关详细信息,请参阅 Microsoft Security Copilot 体验

关键功能

Microsoft Sentinel 数据通过两种方式与安全 Copilot 集成。

  • 在 Microsoft 的统一安全操作平台中,Microsoft Defender XDR 中的 Copilot 受益于与 Microsoft Sentinel 集成的统一事件。
  • 在独立体验中,Microsoft Sentinel 提供了两个插件来与安全 Copilot 集成:
    Microsoft Sentinel(预览版)
    Microsoft Sentinel 的自然语言转换为 KQL(预览版)

重要

“Microsoft Sentinel”和“Microsoft Sentinel 的自然语言转换为 KQL”插件目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

启用 Security Copilot 与 Microsoft Sentinel 的集成

若要最大程度地实现 Security Copilot 与 Microsoft Sentinel 的集成,请执行以下操作:

  • 为 Security Copilot 配置默认 Microsoft Sentinel 工作区
  • 将 Microsoft Sentinel 工作区连接到 Microsoft Defender XDR

配置默认 Microsoft Sentinel 工作区

通过将 Microsoft Sentinel 工作区配置为默认值来提高提示准确性。

  1. 导航到位于 https://securitycopilot.microsoft.com/ 的 Security Copilot。

  2. 在提示栏中打开

  3. 管理插件页上,将开关设置为打开

  4. 选择 Microsoft Sentinel(预览)插件上的齿轮图标。

    Microsoft Sentinel 插件的个性化选择齿轮图标的屏幕截图。

  5. 配置默认工作区名称。

    Microsoft Sentinel 插件的插件个性化选项的屏幕截图。

提示

当工作区与配置的默认值不匹配时,请在提示符中指定工作区。

示例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

在 Defender 中将 Microsoft Sentinel 与 Copilot 集成

将 Microsoft Defender 门户与 Microsoft Sentinel 数据配合使用,以获取嵌入式 Security Copilot 体验。 Microsoft Sentinel 的唯一数据源会流入 Microsoft Defender XDR 统一事件,这使得 Defender 中的 Copilot 能够实现其功能的最大化。

例如:

使用 Copilot 嵌入式体验从 Defender 门户 Microsoft Sentinel 事件的屏幕截图。

有关更多信息,请参阅以下资源:

在高级搜寻中将 Microsoft Sentinel 与 Security Copilot 集成

Microsoft Sentinel 的自然语言转换为 KQL(预览版)使用 Microsoft Sentinel 数据生成并运行 KQL 搜寻查询。 此功能在 Microsoft Defender 门户的独立体验和高级搜寻部分中提供。

注意

在统一的 Microsoft Defender 门户中,可以提示 Security Copilot 为 Defender XDR 和 Microsoft Sentinel 表生成高级搜寻查询。 目前并非所有 Microsoft Sentinel 表都受支持。

有关详细信息,请参阅使用 Security Copilot 进行高级搜寻

Microsoft Sentinel 提示的示例

考虑 Microsoft Sentinel 事件调查提示手册作为创建有效提示的起点。 此提示手册提供有关特定事件的报告,以及相关的警报、信誉分数、用户和设备。

指南 提示
Nudge Copilot 提供人类可读信息,而不是使用对象 ID 做出响应。 Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot 知道你是谁。 使用“me(我)”代词查找与你相关的事件。 以下提示针对分配给你的事件。 What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
将提示响应缩小到单个事件的范围时,Copilot 知道上下文。 Tell me about the entities associated with that incident.
Copilot 擅长总结。 描述想要汇总提示和响应的特定受众。 Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

有关更多提示指南和示例,请参阅以下资源:

提供反馈

对于指导产品的当前和计划开发来说,你的反馈至关重要。 提供此反馈的最佳方式是直接在产品中进行。 在每个已完成的提示底部,选择“此回复怎么样?”,然后选择以下任一选项:

  • 看起来正确 - 如果根据评估,结果是准确的,请选择此项。
  • 需要改进 - 如果根据评估,结果中有任何详细信息不正确或不完整,请选择此项。
  • 不恰当 - 如果结果包含可疑、不明确或潜在有害的信息,请选择此项。

对于每个反馈选项,可以在显示的下一个对话框中提供详细信息。 只要有可能,尤其是在结果是“需要改进”时,请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示,并且结果不相关,请包含该信息。

安全 Copilot 中的隐私和数据安全

若要了解 Security Copilot 如何处理提示以及从服务(提示输出)检索的数据,请参阅 Microsoft Security Copilot 中的隐私和数据安全