Security Copilot with Microsoft Sentinel
Microsoft安全性 Copilot 是一個平臺,可協助您以機器速度和規模保護您的組織。 Microsoft Sentinel 的龐大安全性數據為 Copilot 提供絕佳的來源,以協助分析事件併產生搜捕查詢。
連同您啟用的其他安全性 Copilot 來源,您的Microsoft Sentinel 事件和數據可讓您更深入了解威脅及其內容。
開始之前的須知事項
如果您不熟悉安全性 Copilot,您應該閱讀下列文章來熟悉它:
- 什麼是 Microsoft 安全性 Copilot?
- Microsoft 安全性 Copilot 體驗
- 開始使用Microsoft安全性 Copilot
- 瞭解Microsoft安全性 Copilot 中的驗證
- 在 Microsoft Security Copilot 中提示
Security Copilot 與 Microsoft Sentinel 整合
此整合主要支援透過 https://securitycopilot.microsoft.com存取的獨立體驗,您可以在類似聊天的體驗中互動,以摘要事件並取得安全性資料的其他解答。 如需詳細資訊,請參閱 Microsoft安全性 Copilot 體驗。
主要功能
Microsoft Sentinel 數據會以兩種方式與 Security Copilot 整合。
- 在Microsoft的統一安全性作業平臺中,copilot in Microsoft Defender 全面偵測回應 受益於與Microsoft Sentinel 整合的整合事件。
- 在獨立體驗中,Microsoft Sentinel 提供兩個外掛程式來與 Security Copilot 整合:
Microsoft Sentinel (預覽)
Microsoft Sentinel 的自然語言至 KQL (預覽)。
重要
「Microsoft Sentinel」和「Microsoft Sentinel 的自然語言至 KQL」外掛程式目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
啟用安全性 Copilot 與 Microsoft Sentinel 整合
若要將 Security Copilot 與 Microsoft Sentinel 整合最大化,請執行下列動作:
- 設定安全性 Copilot 的預設Microsoft Sentinel 工作區
- 將Microsoft Sentinel 工作區連線至 Microsoft Defender 全面偵測回應
設定預設 Microsoft Sentinel 工作區
將 Microsoft sentinel 工作區設定為預設值,以增加提示正確性。
瀏覽至 位於 https://securitycopilot.microsoft.com/的安全性 Copilot 。
在提示列中開啟 Sources
。在 [管理外掛程式] 頁面上,將切換設定為 [開啟]
選取 Microsoft Sentinel (預覽) 外掛程式上的齒輪圖示。
設定預設工作區名稱。
提示
當工作區不符合所設定的預設值時,請在提示中指定工作區。
範例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
整合 Microsoft Sentinel 與 Copilot in Defender
使用 Microsoft Defender 入口網站搭配Microsoft Sentinel 數據,以取得內嵌的安全性 Copilot 體驗。 Microsoft Sentinel 的獨特數據源流入 Microsoft Defender 全面偵測回應 統一事件,可讓 Defender 中的 Copilot 發揮其最大功能。
例如:
- SAP (預覽) 解決方案會安裝在工作區中,以供 Microsoft Sentinel 使用。
- SAP - (預覽) 從惡意 IP 位址下載的檔案的近乎即時規則會觸發警示,並建立 Microsoft Sentinel 事件。
- Microsoft Sentinel 已上線至 Defender 入口網站。
- Microsoft Sentinel 事件現在已與 Defender 全面偵測回應事件整合。
- 在 Microsoft Defender 中使用 Copilot 進行事件摘要、引導式回應和事件報告。
如需詳細資訊,請參閱以下資源:
- 整合 Microsoft Defender 全面偵測回應
- Microsoft Defender 入口網站中的 Microsoft Sentinel
- Microsoft Defender 中的 Copilot
在進階搜捕中整合 Microsoft Sentinel 與 Security Copilot
Microsoft Sentinel (預覽) 外掛程式的自然語言對 KQL 會使用 Microsoft Sentinel 資料產生並執行 KQL 搜捕查詢。 此功能可在 Microsoft Defender 入口網站的獨立體驗和進階搜捕區段中取得。
注意
在統一Microsoft Defender 入口網站中,您可以提示 Security Copilot 為 Defender XDR 和 Microsoft Sentinel 數據表產生進階搜捕查詢。 目前不支援所有Microsoft Sentinel 數據表。
如需詳細資訊,請參閱 進階搜捕中的安全性 Copilot。
Sentinel 提示範例Microsoft
請考慮 Microsoft Sentinel 事件調查提示集做為建立有效提示的起點。 此提示集會提供特定事件的相關報告,以及相關的警示、信譽分數、使用者和裝置。
| 指引 | 提示 |
|---|---|
| 提示 Copilot 可提供人類可讀取的資訊,而不是以物件識別碼回應。 | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot 知道您的身分。 使用「me」代名詞來尋找與您相關的事件。 下列提示會將指派給您的事件設為目標。 | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| 當您將提示回應縮小為單一事件時,Copilot 就會知道內容。 | Tell me about the entities associated with that incident. |
| Copilot 擅長摘要。 描述您要摘要說明提示和回應的特定物件。 | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
如需更多提示指引和範例,請參閱下列資源:
提供意見反應
您的意見反應對於引導產品的目前和計劃開發至關重要。 提供此意見反應的最佳方式是直接在產品中。 選取 每個已完成提示底部的 [回應方式? ],然後選擇下列任一選項:
- 看起來正確 - 根據您的評量,選取結果是否正確。
- 需要改進 - 根據您的評量,選取結果中是否有任何詳細數據不正確或不完整。
- 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取 。
針對每個意見反應選項,您可以在出現的下一個對話框中提供詳細資訊。 盡可能,特別是當結果為 需要改進時,請撰寫一些文字來說明如何改善結果。 如果您輸入了 Azure 防火牆 特定的提示,且結果不相關,請包含該資訊。
安全性 Copilot 中的隱私權和資料安全性
若要瞭解 Security Copilot 如何處理您的提示,以及從服務擷取的數據(提示輸出),請參閱 Microsoft Security Copilot 中的隱私權和數據安全性。