Microsoft安全性 Copilot 中的 Azure 防火牆 整合 (預覽)
重要
Azure 防火牆 Microsoft Security Copilot 中的整合目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
安全性 Copilot 是一種以 AI 為基礎的安全性解決方案,可協助提升安全性人員的效率與功能,以提升機器速度和規模的安全性成果。 它提供自然語言、輔助輔助的警察體驗,協助支援安全性專業人員在事件回應、威脅搜捕、情報收集及狀態管理等端對端案例中。 如需其功能的詳細資訊,請參閱 什麼是 Microsoft Security Copilot?
開始之前的須知事項
如果您不熟悉安全性 Copilot,您應該閱讀下列文章來熟悉它:
- 什麼是 Microsoft 安全性 Copilot?
- Microsoft 安全性 Copilot 體驗
- 開始使用 Microsoft Security Copilot
- 了解 Microsoft Security Copilot 中的驗證
- 在 Microsoft Security Copilot 中提示
Azure 防火牆 中的安全性 Copilot 整合
Azure 防火牆是一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供優異的威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。
安全性 Copilot 中的 Azure 防火牆 整合可協助分析師使用自然語言問題,針對其整個車隊中防火牆的 IDPS 功能攔截的惡意流量執行詳細調查。
您可以在兩種不同的體驗中使用這項整合:
安全性 Copilot 入口網站 (獨立體驗)
Azure 中的 Copilot (內嵌體驗) Azure 入口網站:
如需詳細資訊,請參閱 Azure 功能中的Microsoft安全性 Copilot 體驗和Microsoft Copilot。
主要功能
安全性 Copilot 具有內建系統功能,可從開啟的不同外掛程式取得數據。
若要檢視 Azure 防火牆 的內建系統功能清單,請在 Security Copilot 入口網站上使用下列程式:
在提示列中,選取 [提示] 圖示。
選取 [查看所有系統功能]。
[Azure 防火牆] 區段會列出您可以使用的所有可用功能。
啟用安全性 Copilot 中的 Azure 防火牆 整合
請確定您的 Azure 防火牆 已正確設定:
Azure 防火牆 結構化記錄 – 要與安全性 Copilot 搭配使用的 Azure 防火牆 必須設定為 IDPS 的資源特定結構化記錄,而且這些記錄必須傳送至 Log Analytics 工作區。
Azure 防火牆 的角色型 存取控制 – 在安全性 Copilot 中使用 Azure 防火牆 外掛程式的用戶必須具有適當的 Azure 角色型存取控制角色,才能存取防火牆和相關聯的 Log Analytics 工作區。
移至 [安全性][Copilot ],並使用您的認證登入。
確定已開啟 Azure 防火牆 外掛程式。 在提示列中,選取 [來源] 圖示。 在出現的 [管理來源] 彈出視窗中,確認已開啟 Azure 防火牆 切換。 接著關閉視窗。 不需要其他設定。 只要結構化記錄傳送至 Log Analytics 工作區,而且您擁有正確的角色型訪問控制許可權,Copilot 就會尋找它需要回答問題的數據。
在安全性 Copilot 入口網站的提示列中輸入提示,或透過 Azure 入口網站 的 Azure 體驗中的 Copilot。
重要
在 Azure 中使用 Copilot 來查詢 Azure 防火牆 隨附於 Security Copilot,且需要安全性計算單位 (SCU) 。 您可以佈建 SCU 並隨時增加或減少它們。 如需 SCU 的詳細資訊,請參閱 開始使用 Microsoft Security Copilot。 如果您沒有正確設定安全性 Copilot,但透過 Azure 體驗中的 Copilot 詢問與 Azure 防火牆 功能相關的問題,您會看到錯誤訊息。
範例 Azure 防火牆 提示
您可以使用許多提示從 Azure 防火牆 取得資訊。 本節列出目前最能運作的章節。 隨著新功能的啟動,它們會持續更新。
擷取 Azure 防火牆 的熱門 IDPS 簽章叫用
取得 IDPS 功能攔截的流量記錄資訊 ,而不是手動建構 KQL 查詢。
範例提示:
我的防火牆<防火牆名稱>是否攔截到任何惡意流量?
針對資源群組<資源群組名稱>中的防火牆<防火牆名稱>,過去 7 天前 20 個 IDPS 命中有哪些?
以表格式顯示我過去一個月的訂用帳戶名稱中鎖定防火牆<防火牆名稱>>的前 50 個攻擊。<
擴充記錄資訊以外的IDPS簽章威脅配置檔
取得 其他詳細數據 ,以擴充IDPS簽章的威脅資訊/配置檔,而不是手動編譯。
範例提示:
說明為什麼 IDPS 將最高點擊標示為高嚴重性,而第五次命中則標示為低嚴重性。
你能告訴我關於這次攻擊什麼? 此攻擊者已知的其他攻擊為何?
我看到第三個簽章標識碼與 CVE <CVE 號碼>相關聯,請告訴我有關此 CVE 的詳細資訊。
注意
Microsoft威脅情報外掛程式是安全性 Copilot 可用來提供 IDPS 簽章威脅情報的另一個來源。
在您的租用戶、訂用帳戶或資源群組中尋找指定的IDPS簽章
針對所有防火牆的威脅執行全車隊搜尋(在任何範圍內),而不是手動搜尋威脅。
範例提示:
簽章標識碼 <標識碼> 只有此一個防火牆停止嗎? 整個租使用者中的其他人呢?
訂用帳戶訂用帳戶名稱>中<任何其他防火牆是否已看到頂端點擊?
過去一周,資源組<名>中的任何防火牆都看到簽章標識碼<標識碼>嗎?
使用 Azure 防火牆的 IDPS 功能產生保護環境的建議
從使用 Azure 防火牆 IDPS 功能來保護環境,而不必手動查閱此資訊的檔取得資訊。
範例提示:
如何? 保護自己免受整個基礎結構中此攻擊者的未來攻擊?
如果我想確定我所有的 Azure 防火牆 都受到保護,以防止來自簽章標識碼<>號碼的攻擊,我要如何達成此目的?
只有警示和IDPS的警示和封鎖模式之間的風險有何差異?
注意
安全性 Copilot 也可以使用 Ask Microsoft 檔 功能來提供這項資訊,以及透過 Azure 體驗中的 Copilot 使用這項功能時, 可以使用取得資訊 功能來提供這項資訊。
提供意見反應
您的意見反應對於引導產品的目前和計劃開發至關重要。 提供此意見反應的最佳方式是直接在產品中。
透過安全性 Copilot
選取 每個已完成提示底部的 [回應方式? ],然後選擇下列任一選項:
- 看起來正確 - 根據您的評量,選取結果是否正確。
- 需要改進 - 根據您的評量,選取結果中是否有任何詳細數據不正確或不完整。
- 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取 。
針對每個意見反應選項,您可以在後續對話框中提供其他資訊。 盡可能,特別是當結果為 需要改進時,請撰寫幾句話來說明如何改善結果。 如果您輸入了 Azure 防火牆 特定的提示,且結果不相關,請包含該資訊。
透過 Azure 中的 Copilot
使用每個已完成提示底部的 like 和 dislike 按鈕。 針對任一意見反應選項,您可以在後續對話框中提供其他資訊。 盡可能,特別是當您不喜歡回應時,請撰寫幾句話來說明如何改善結果。 如果您輸入了 Azure 防火牆 特定的提示,且結果不相關,請包含該資訊。
安全性 Copilot 中的隱私權和資料安全性
當您與 Security Copilot 互動時(透過 Security Copilot 入口網站或透過 Azure 體驗中的 Copilot)取得 Azure 防火牆 數據,Copilot 會從 Azure 防火牆 提取該數據。 系統會處理提示、擷取的數據,以及提示結果中顯示的輸出,並儲存在 Copilot 服務中。 如需詳細資訊,請參閱 Microsoft Security Copilot 中的隱私權和數據安全性。