介绍 Microsoft 安全 Copilot 中提供的 Microsoft 插件

已完成

Microsoft 安全 Copilot 与各种源(包括 Microsoft 自己的安全产品、非 Microsoft 供应商、开源情报源、网站和知识库)集成,以生成特定于组织的指南。

Copilot 集成这些不同源的机制之一是通过插件。 插件可扩展 Copilot 的功能。 本单元介绍 Microsoft 插件。

Microsoft 插件

Microsoft 插件使 Copilot 能够访问组织的 Microsoft 产品中的信息和功能。 下图仅显示可用 Microsoft 插件的子集。

显示 Microsoft 服务的“管理插件”窗口的屏幕截图。

一般来说,Copilot 中的 Microsoft 插件使用 OBO(代表)模型 – 这意味着 Copilot 知道客户拥有特定产品的许可证,并且会自动登录到这些产品。 然后,启用插件并配置参数(如果适用)后,Copilot 就可以访问特定产品。 某些需要设置的 Microsoft 插件(如设置图标或设置按钮所表示)可能包括用于替代 OBO 模型的身份验证的可配置参数。

若要查看已启用的插件支持的系统功能,请选择提示栏中的提示图标,然后选择“查看所有系统功能”。系统功能是可在 Copilot 中使用的具体单一提示。 选择某个系统功能通常需要更多输入才能获得有用的响应,但 Copilot 将提供指导。

提示图标的屏幕截图,选中该图标后将打开窗口以选择系统功能。

以下部分提供了许多可用 Microsoft 插件的简要说明。 Microsoft 安全 Copilot 不断添加对 Microsoft 产品的支持。

Azure AI 搜索(预览版)

Azure AI 搜索插件可用于将公司的知识库或存储库连接到 Microsoft 安全 Copilot。 本模块的后续单元详细介绍了此插件以及与知识库的连接。

Microsoft Entra

Microsoft Entra 是一系列多云标识和网络访问解决方案,使组织能够保护任何标识并安全访问任何资源。 它提供了一个统一的标识和网络访问管理平台,使在多云和混合环境保护标识和资源访问权限更加容易。

安全 Copilot 可与 Microsoft Entra 集成。 启用 Entra 插件后,安全分析师可立即以自然语言获得风险摘要、修正步骤以及针对每个有风险标识的建议指南。 分析师可以使用 Copilot 指导创建生命周期工作流,以简化创建和颁发用户凭据和访问权限的过程。 Copilot 支持这些功能和许多其他 Entra 功能。

下面的屏幕截图仅显示 Entra 插件支持的部分功能。

可在独立体验中运行的 Entra 功能的屏幕截图。

可以通过独立或嵌入式体验来体验 Copilot 与 Microsoft Entra 的集成。 标题为“介绍 Microsoft Defender XDR 中的 Microsoft Copilot”的模块中更详细地介绍了通过嵌入式体验支持的方案。

Microsoft Intune

Microsoft Intune 是基于云的终结点管理解决方案。 它管理用户对组织资源的访问,并简化了跨多台设备(包括移动设备、台式计算机和虚拟终结点)的应用和设备管理。

安全 Copilot 可与 Microsoft Intune 集成。 如果 Microsoft Intune 在 Copilot 所在的同一租户中可用,并且启用了插件,则 Copilot 将能够获取有关 Intune 中托管的设备、应用、合规性策略、配置策略和策略分配的信息。

Intune 插件支持的功能使用户能够:

  • 比较不同的安全基线。
  • 获取现有策略的摘要。
  • 获取策略分配范围。
  • 获取两台设备之间的差异或比较。
  • 通过询问来快速收集设备的详细信息。
  • 获取有关用户设备注册和设备合规性的详细信息,以便进行故障排除或安全调查。
  • 及其他信息

若要利用 Microsoft Intune 插件,除了可授予对 Copilot 的访问权限的角色权限之外,还需要向用户分配特定于 Intune 服务的角色,例如 Intune 终结点安全管理员角色。

部分示例提示包括:

  • 哪些 Intune 应用分配最多?
  • 过去 24 小时内在 Intune 中注册了多少台设备?
  • DeviceA 和 DeviceB 设备之间的硬件配置有何区别?

下面的屏幕截图仅显示 Intune 插件支持的部分功能。

可在独立体验中运行的 Intune 提示建议的屏幕截图。

有关详细信息,请访问 Microsoft 安全 Copilot 和 Intune

Microsoft Defender XDR

Microsoft Defender XDR 是一个统一的入侵前和入侵后的企业防御套件,可本机协调跨终结点、标识、电子邮件和应用程序的检测、预防、调查和响应,以提供针对复杂攻击的集成保护。

Copilot 中有两个单独的插件与 Microsoft Defender XDR(用户界面可能仍显示 Microsoft 365 Defender)相关:

  • Microsoft Defender XDR
  • 适用于 Microsoft Defender XDR 的自然语言转 KQL

授予用户对 Copilot 的访问权限的角色权限决定了对 Microsoft Defender XDR 数据的访问权限级别。 使用 Microsoft Defender XDR 插件或自然语言到 Defender XDR KQL 插件不需要其他角色权限。

Microsoft Defender XDR

Microsoft Defender XDR 插件包含的功能使用户能够:

  • 快速汇总事件
  • 通过引导式响应对事件采取行动。
  • 创建事件报告
  • 获取事件引导式响应
  • 获取 Defender 设备摘要
  • 分析 文件
  • 等等……

下面的屏幕截图仅显示 Microsoft Defender XDR 插件支持的部分功能。

可在独立体验中运行的 Defender XDR 功能的屏幕截图。

Copilot 还包括 Microsoft Defender XDR 事件调查的内置提示手册,可用于获取有关特定事件以及相关警报、信誉分数、用户和设备的报告。

启用插件后,可以通过独立或嵌入式体验来体验 Copilot 与 Defender XDR 的集成。 标题为“介绍 Microsoft Defender XDR 中的 Microsoft Copilot”的模块中更详细地介绍了通过嵌入式体验支持的方案。

适用于 Microsoft Defender 的自然语言转 KQL

适用于 Microsoft Defender 的自然语言转 KQL (NL2KQLDefender) 插件支持查询助手功能,该功能可将威胁搜寻上下文中的任何自然语言问题转换为可直接运行的 KQL 查询。 查询助手可生成 KQL 查询,然后根据分析师的需求自动运行或进一步调整该查询,从而节省安全团队的时间。

Microsoft Defender 外部攻击面管理 (Defender EASM)

Microsoft Defender 外部攻击面管理 (Defender EASM) 不断发现和映射数字攻击面,以提供在线基础结构的外部视图。 这种可见性使安全和 IT 团队能够识别未知项、确定风险优先级、消除威胁,并将漏洞和公开控制扩展到防火墙之外。 攻击面见解是使用漏洞和基础结构数据生成的,用来展示组织关注的关键领域。

如果在 Copilot 所在的同一租户中使用 Defender EASM 并启用插件,则 Copilot 可以从 Defender EASM 中获取有关组织攻击面的见解。 你可以使用 Copilot 中内置的系统功能,并使用提示来获取详细信息。 此信息可帮助了解安全状况并缓解漏洞。

Defender EASM 插件支持的功能包括:

  • 获取攻击面摘要。
  • 获取攻击面见解。
  • 按优先级或 CVE ID 获取受 CVE 影响的资产。
  • 按 CVSS 分数获取资产。
  • 获取过期的域。
  • 获取过期的 SSL 证书。
  • 获取 SHA1 证书。
  • 等等……

部分示例提示如下:

  • 我的外部攻击面是否受 CVE-2023-21709 的影响?
  • 获取我的攻击面中受高优先级 CVSS 影响的资产。
  • 我的组织有多少资产面临严重 CVSS?

下面的屏幕截图仅显示 EASM 插件支持的部分功能。

可在独立体验中运行的 EASM 系统功能的屏幕截图。

若要使用此插件,必须配置参数来识别组织的 Defender EASM 订阅。

必须配置的 EASM 插件设置的屏幕截图。

有关详细信息,请访问 Microsoft 安全 Copilot 和 Defender EASM

Microsoft Defender 威胁智能

Microsoft Defender 威胁情报 (Defender TI) 是一个平台,可在执行威胁基础结构分析和收集威胁情报时简化会审、事件响应、威胁搜寻、漏洞管理和网络威胁情报分析师工作流。

安全 Copilot 可与 Microsoft Defender TI 集成。 启用 Defender TI 插件后,Copilot 会提供有关威胁活动组、入侵指标 (IOC)、工具和上下文威胁情报的信息。 可以使用提示和提示手册来调查事件、使用威胁情报信息扩充搜寻流,或深入了解组织或全球威胁形势。

下面的屏幕截图仅显示 Defender TI 插件支持的部分功能。

可在独立体验中运行的 Defender TI 系统功能的屏幕截图。

Copilot 还包含从 Defender TI 传递信息的内置提示手册,包括:

  • 漏洞影响评估 - 生成一份报告,汇总已知漏洞的情报,包括有关如何解决漏洞的步骤。
  • 威胁参与者概况 - 生成一份分析已知活动组的报告,包括防御其常用工具和策略的建议。

可在独立体验中运行的 Defender TI 提示手册的屏幕截图。

部分示例提示包括:

  • 显示最新的威胁文章。
  • 获取与金融行业相关的威胁文章。
  • 分享易受漏洞 CVE-2021-44228 影响的技术。
  • 总结漏洞 CVE-2021-44228。

有关详细信息,请访问 Microsoft 安全 Copilot 和 Microsoft Defender 威胁智能

Microsoft Purview

Microsoft Purview 是一套全面的解决方案,可帮助组织治理、保护和管理数据(无论数据位于何处)。 Microsoft Purview 解决方案提供集成的覆盖范围,并有助于解决跨组织的数据碎片、阻碍数据保护和管理的可见性缺乏以及传统 IT 管理角色模糊的问题。

借助安全 Copilot 中的 Purview 插件,可以获取有价值的数据和用户风险见解,从而帮助确定攻击的来源以及可能面临风险的任何敏感数据。

下面的屏幕截图仅显示 Purview 插件支持的部分功能。

Purview 功能的屏幕截图。

启用插件后,可以通过独立或嵌入式体验来体验 Copilot 与 Purview 的集成。 无论哪种情况,由于 Microsoft Copilot 在尝试访问数据以回答查询时都会采用用户的权限,因此你需要具有访问数据所需的权限。 此外,你的组织还必须获得许可并加入适用的 Microsoft Purview 解决方案。

在独立体验中,Purview 插件启用的功能可以通过选择该功能并输入所需的输入作为提示运行。

还可以通过嵌入式体验直接从 Purview 解决方案内体验 Copilot 功能。 标题为“介绍 Microsoft Purview 中的 Microsoft Copilot”的模块中更详细地介绍了通过嵌入式体验支持的方案。

Microsoft Sentinel(预览版)

Microsoft Sentinel 跨企业提供智能安全分析和威胁情报。 借助 Microsoft Sentinel,可以获取攻击检测、威胁可见性、主动搜寻和威胁响应的单一解决方案。

Copilot 中有两个单独的插件与 Sentinel 相关:

  • Microsoft Sentinel ({review})
  • 自然语言转 Microsoft Sentinel KQL(预览版)

Sentinel 和“NL2KQK 到 Sentinel”插件的屏幕截图。

Micrsooft Sentinel(预览版)

若要利用 Sentinel 插件,需要向用户分配授予对 Copilot 的访问权限的角色权限和特定于 Sentinel 的角色(例如 Microsoft Sentinel 读取者),以访问工作区中的事件。

Sentinel 插件还要求用户配置 Sentinel 工作区、订阅名称和资源组名称。

Sentinel 插件设置页的屏幕截图。

Sentinel 插件功能侧重于事件和工作区。 此外,Copilot 还包括用于 Microsoft Sentinel 事件调查的提示手册。 此提示手册包括相关提示,用于获取有关特定事件的报告,以及相关警报、信誉评分、用户和设备。

可在独立体验中运行的 Sentinel 提示手册的屏幕截图。

Sentinel 提示手册提示的屏幕截图。

自然语言转 Microsoft Sentinel KQL(预览版)

自然语言到 Sentinel KQL (NL2KQLSentinel) 插件可将威胁搜寻上下文中的任何自然语言问题转换为现成的 KQL 查询。 这可生成 KQL 查询,然后根据分析师的需求自动运行或进一步调整该查询,从而节省安全团队的时间。