描述 Microsoft Sentinel 與 Microsoft Security Copilot 整合
將 Microsoft Sentinel 整合入 Microsoft 安全性 Copilot。
對於已上線使用 Microsoft 安全性 Copilot 的企業,就可透過 Copilot 入口網站,使用外掛程式,即可啟用整合。 Sentinel 有提供兩種外掛程式,即可整合入 Microsoft 安全性 Copilot:
- Microsoft Sentinel (預覽)
- Microsoft Sentinel 的自然語言轉換 KQL (預覽)
Microsoft Sentinel (預覽) 外掛程式。 若要使用 Sentinel 外掛程式,則需要為使用者指派授與存取 Copilot 的角色權限,以及 Sentinel 特定的角色 (例如 Microsoft Sentinel Reader) 以存取工作區中的事件。
Sentinel 外掛程式需要使用者設定 Sentinel 工作區、訂用帳戶名稱和資源群組名稱。
Sentinel 外掛程式功能著重於事件和工作區。 Copilot 中的 Microsoft Sentinel 功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。
此外,Copilot 也包含用於 Microsoft Sentinel 事件調查的提示簿。 此提示簿包含取得有關特定事件 (以及相關警示、信譽分數、使用者和裝置) 的報告的提示。
Microsoft Sentinel 事件調查提示集不僅是調查的絕佳起點,也是建立有效提示的起點。
自然語言轉換 Microsoft Sentinel KQL (預覽) 外掛程式。 自然語言轉換為 Sentinel KQL (NL2KQLSentinel) 外掛程式可將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 KQL 查詢。 這會藉由產生 KQL 查詢,然後可根據分析師的需求自動執行或進一步調整該查詢,來節省安全性小組的時間。 Microsoft Sentinel (預覽) 外掛程式的自然語言對 KQL 會使用 Microsoft Sentinel 資料產生並執行 KQL 搜捕查詢。 此功能可在 Microsoft Defender 入口網站的獨立體驗和進階搜捕區段中取得。
Microsoft Sentinel 會使用到 Defender 中的 Copilot
Microsoft Sentinel 與 Copilot 整合可以透過使用 Defender 入口網站的獨立體驗和內嵌體驗來體驗。 透過 Defender 入口網站存取的內嵌體驗會使用整合式安全性作業平台搭配 Microsoft Sentinel 資料。
事件 - Microsoft Sentinel 事件現在已與 Defender 全面偵測回應事件整合,因此您可以在 Microsoft Defender 中使用 Copilot 進行事件摘要、引導式回應和 Sentinel 事件的事件報告。
