你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft 安全 Copilot 中的 Azure Web 应用程序防火墙集成（预览版）

重要

Microsoft 安全 Copilot 中的 Azure Web 应用程序防火墙集成当前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

Microsoft 安全 Copilot 是一个基于云的 AI 平台，可提供自然语言 Copilot 体验。 它可以帮助支持不同方案中的安全专业人员，例如事件响应、威胁搜寻和情报收集。 有关详细信息，请参阅什么是 Microsoft 安全 Copilot？

Microsoft 安全 Copilot 中的 Azure Web 应用程序防火墙 (WAF) 集成可用于深入调查 Azure WAF 事件。 它可以帮助你在几分钟内调查 Azure WAF 触发的 WAF 日志，并以计算机速度使用自然语言响应提供相关的攻击途径。 它能让你了解环境的威胁状况。 它支持检索最常触发的 WAF 规则列表，并识别环境中的主要违规 IP 地址。

与 Azure 应用程序网关集成的 Azure WAF 和与 Azure Front Door 集成的 Azure WAF 都支持 Microsoft 安全 Copilot 集成。

在开始之前了解

如果你是 Microsoft 安全 Copilot 的新用户，则应阅读以下文章自行熟悉：

• 什么是 Microsoft Copilot for Security？
• Microsoft Copilot for Security 体验
• Microsoft Copilot for Security 入门
• 了解 Microsoft 安全 Copilot 中的身份验证
• Microsoft 安全 Copilot 中的提示

Azure WAF 中的 Microsoft 安全 Copilot 集成

此集成支持独立体验，通过 https://securitycopilot.microsoft.com 进行访问。 这是一种类似聊天的体验，可用于提问和获取有关数据的解答。 有关详细信息，请参阅 Microsoft 安全 Copilot 体验。

关键功能

Azure WAF 中的预览版独立体验可以帮助你：

• 列出在客户环境中触发的几大 Azure WAF 规则，并深入了解相关的攻击途径。

  此功能提供有关因 WAF 阻止而触发的 Azure WAF 规则的详细信息。 它根据所需时间段内的触发频率提供规则的有序列表。 具体实现方法是分析 Azure WAF 日志，并连接特定时间段内的相关日志。 结果是一条易于理解的自然语言解释，说明为何阻止了特定请求。

• 列出客户环境中的恶意 IP 地址并生成相关威胁。

  此功能提供有关 Azure WAF 阻止的客户端 IP 地址的详细信息。 具体实现方法是分析 Azure WAF 日志，并连接特定时间段内的相关日志。 结果是一条易于理解的自然语言解释，说明 WAF 阻止了哪些 IP 地址以及阻止原因。

• 汇总 SQL 注入 (SQLi) 攻击。

  此 Azure WAF 技能使你可以洞察它为何阻止 Web 应用程序上的 SQL 注入 (SQLi) 攻击。 具体实现方法是分析 Azure WAF 日志，并连接特定时间段内的相关日志。 结果是一条易于理解的自然语言解释，说明为何阻止了 SQLi 请求。

• 汇总跨站脚本 (XSS) 攻击。

  此 Azure WAF 技能可帮助你了解 Azure WAF 为何阻止了对 Web 应用程序的跨站脚本 (XSS) 攻击。 具体实现方法是分析 Azure WAF 日志，并连接特定时间段内的相关日志。 结果是一条易于理解的自然语言解释，说明为何阻止了 XSS 请求。

启用安全 Copilot 中的 Azure WAF 集成

若要启用该集成，请执行以下步骤：

1. 确保你至少拥有 Copilot 参与者权限。
2. 打开 https://securitycopilot.microsoft.com/。
3. 打开安全 Copilot 菜单。
4. 在提示栏中打开“源”。
5. 在“插件”页上，将 Azure Web 应用程序防火墙开关设置为“开”。
6. 在 Azure Web 应用程序防火墙插件上选择“设置”，以配置 Log Analytics 工作区、Log Analytics 订阅 ID 以及 Azure Front Door WAF 和/或 Azure 应用程序网关 WAF 的 Log Analytics 资源组名称。 还可以配置应用程序网关 WAF 策略 URI 和/或 Azure Front Door WAF 策略 URI。
7. 若要开始使用这些技能，请使用提示栏。

示例 Azure WAF 提示

你可以在 Microsoft 安全 Copilot 中创建自己的提示，以根据 WAF 日志对攻击进行分析。 本部分展示一些想法和示例。

开始之前

• 提示要清晰和具体。 如果在提示中包含特定的设备 ID/名称、应用名称或策略名称，可能会得到更好的结果。

  将 WAF 添加到提示中也可能会有所帮助。 例如：

  • 前一天我的区域 WAF 中是否存在任何 SQL 注入攻击？
  • 告诉我有关在全局 WAF 中触发的几大规则的详细信息

• 尝试使用不同提示和变体，以查看最适合你的用例的提示和变体。 聊天 AI 模型有所不同，因此根据收到的结果循环访问和优化提示。有关编写有效提示的指导，请参阅“创建你自己的提示”。

以下示例提示可能很有用。

汇总有关 SQL 注入攻击的信息

• 前一天我的全局 WAF 中是否存在 SQL 注入攻击？
• 向我显示与全局 WAF 中几大 SQL 注入攻击相关的 IP 地址
• 向我显示过去 24 小时内区域 WAF 中的所有 SQL 注入攻击

汇总有关跨站脚本攻击的信息

• 在过去 12 小时内，我的 AppGW WAF 中是否检测到任何 XSS 攻击？
• 向我显示 Azure Front Door WAF 中的所有 XSS 攻击的列表

根据 WAF 规则生成环境中的威胁列表

• 过去 24 小时内触发的几大全局 WAF 规则是什么？
• 我的环境中与 WAF 规则相关的几大威胁是什么？ <输入规则 ID>
• 过去一天我的区域 WAF 中是否存在任何机器人攻击？
• 汇总过去一天由 Azure Front Door WAF 触发的自定义规则阻止。

根据恶意 IP 地址生成环境中的威胁列表

• 过去一天内区域 WAF 中的几大违规 IP 是什么？
• 汇总过去 6 小时内 Azure Front Door WAF 中恶意 IP 地址的列表。

提供反馈

你在 Azure WAF 与 Microsoft 安全 Copilot 集成方面的反馈有助于我们进行开发。 若要在 Copilot 中提供反馈，请选择“此响应如何？”在每个已完成的提示底部，选择以下任一选项：

• 看起来正确 - 如果根据评估，结果是准确的，请选择此项。
• 需要改进 - 如果根据评估，结果中有任何详细信息不正确或不完整，请选择此项。
• 不当 - 如果结果包含可疑、不明确或潜在有害的信息，请选择此项。

对于每个反馈项，可以在显示的下一个对话框中提供详细信息。 只要有可能，当结果是“需要改进”时，请写几句话说明我们可以做些什么来改进结果。

限制

如果你已迁移到应用程序网关 WAF V2 版本中的 Azure Log Analytics 专用表，则 Microsoft 安全 Copilot WAF 技能不起作用。 作为临时解决方法，除了资源特定的表之外，另外启用 Azure 诊断作为目标表。

Microsoft 安全 Copilot 中的隐私和数据安全

若要了解 Microsoft 安全 Copilot 如何处理提示以及从服务检索的数据（提示输出），请参阅 Microsoft 安全 Copilot 中的隐私和数据安全。

相关内容

• 什么是 Microsoft Copilot for Security？