介绍 Microsoft Sentinel 与 Microsoft Security Copilot 的集成

  • 3 分钟

Microsoft Sentinel 与 Microsoft Security Copilot 集成。

加入了 Microsoft Security Copilot 的企业可通过插件启用该集成,而插件可通过 Copilot 门户访问。 Sentinel 提供两个插件来与 Security Copilot 集成:

  • Microsoft Sentinel(预览版)
  • 自然语言转 Microsoft Sentinel KQL(预览版)

显示 Microsoft Sentinel 插件的屏幕截图。

Microsoft Sentinel(预览版)插件。 若要利用 Sentinel 插件,需要向用户分配授予对 Copilot 的访问权限的角色权限和特定于 Sentinel 的角色(例如 Microsoft Sentinel 读取者),以访问工作区中的事件。

Sentinel 插件要求用户配置 Sentinel 工作区、订阅名称和资源组名称。

显示 Microsoft Sentinel 插件配置参数的屏幕截图。

Sentinel 插件功能侧重于事件和工作区。 Copilot 中的 Microsoft Sentinel 功能是可供使用的内置提示,但你也可以根据支持的功能输入自己的提示。

显示 Microsoft Sentinel 功能的屏幕截图。

此外,Copilot 还包括用于 Microsoft Sentinel 事件调查的提示手册。 此提示手册包括相关提示,用于获取有关特定事件的报告,以及相关警报、信誉评分、用户和设备。

Microsoft Sentinel 事件调查提示本不仅是用于调查的极佳起点,也是创建有效提示的起点。

显示 Microsoft Sentinel 事件调查提示本的屏幕截图。

自然语言转 Microsoft Sentinel KQL(预览版)插件。 自然语言到 Sentinel KQL (NL2KQLSentinel) 插件可将威胁搜寻上下文中的任何自然语言问题转换为现成的 KQL 查询。 这可生成 KQL 查询,然后根据分析师的需求自动运行或进一步调整该查询,从而节省安全团队的时间。 Microsoft Sentinel 的自然语言转换为 KQL(预览版)使用 Microsoft Sentinel 数据生成并运行 KQL 搜寻查询。 此功能在 Microsoft Defender 门户的独立体验和高级搜寻部分中提供。

Defender 中的 Microsoft Sentinel 与 Copilot

可以通过独立体验以及使用 Defender 门户通过嵌入式体验来体验 Microsoft Sentinel 与 Copilot 的集成。 通过 Defender 门户访问的嵌入式体验使用包含 Microsoft Sentinel 数据的统一安全运营平台。

事件 - Microsoft Sentinel 事件现已与 Defender XDR 事件统一,因此你可以使用 Microsoft Defender 中的 Copilot 获取 Sentinel 事件的事件摘要、引导式响应和事件报告

Defender 门户中的统一事件列表的屏幕截图。