描述 Microsoft Security Copilot 中提供的 Microsoft 外掛程式

  • 10 分鐘

Microsoft Security Copilot 可與各種來源 (包括 Microsoft 自己的安全性產品、非 Microsoft 廠商、開放原始碼情報摘要、網站及知識庫) 整合,以產生組織專屬的指導。

Copilot 整合到這些各種不同來源的其中一個機制是透過外掛程式。 外掛程式可擴充 Copilot 的功能。 在本單元中,您將探索 Microsoft 外掛程式。

Microsoft 外掛程式

Microsoft 外掛程式可讓 Copilot 從貴組織的 Microsoft 產品中存取資訊和功能。 下列影像只會顯示可用 Microsoft 外掛程式的子集,而列出外掛程式的順序可能會與產品中顯示的不同。

如果 Copilot 擁有者具有限制的外掛程式存取,則那些設定為受限制的外掛程式會顯示灰色和受到限制。

一般而言,Copilot 中的 Microsoft 外掛程式會利用 OBO (代表) 模型 - 這意味著 Copilot 知道客戶擁有特定產品的授權且會自動登入這些產品。 然後,Copilot 可以在啟用外掛程式及設定參數 (如果適用) 時存取特定的產品。 如設定圖示或設定按鈕所示,一些需要設定的 Microsoft 外掛程式可能包括用於驗證的可設定參數,以替代 OBO 模型。

若要檢視已啟用外掛程式所支援的系統功能,您可以選取提示列中的提示圖示,然後選取 [查看所有系統功能]。系統功能是您可以在 Copilot 中使用的特定單一提示。 選取系統功能通常需要更多輸入才能取得有用的回應,但 Copilot 會提供該指導。

提示圖示的螢幕擷取畫面,選取該圖示後會開啟一個可以選取系統功能的視窗。

下列區段會提供許多可用 Microsoft 外掛程式的簡短描述,但並非全部。 Microsoft Security Copilot 會持續新增對 Microsoft 產品的支援。

Azure 防火牆 (預覽)

Azure 防火牆是一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供優異的威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。

Azure 防火牆與 Copilot 整合可協助分析人員針對入侵檢測和預防系統 (IDPS) 和/或整個環境防火牆威脅情報功能所攔截的惡意流量執行詳細調查。

若要使用 Azure 防火牆與 Copilot 整合:

  • 要搭配 Security Copilot 使用的 Azure 防火牆必須設定為使用 IDPS 的資源特定結構化記錄,且這些記錄必須傳送至 Log Analytics 工作區。
  • 在 Security Copilot 中使用 Azure 防火牆外掛程式的使用者必須具有適當的 Azure 角色型存取控制 (RBAC) 角色,才能存取防火牆和相關聯的 Log Analytics 工作區。
  • 必須開啟 Security Copilot 中的 Azure 防火牆外掛程式。

Copilot 中的 Azure 防火牆功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 Azure 防火牆系統功能的螢幕擷取畫面。

範例提示包括:

  • 我的防火牆<防火牆名稱>是否攔截到任何惡意流量?
  • 針對資源群組<資源群組名稱>中的防火牆<防火牆名稱>,過去 7 天前 20 個 IDPS 命中有哪些?
  • 如果我想確定所有防火牆都受到保護,以防止來自簽章識別碼<識別碼編號>的攻擊,則該如何執行這項操作?

Azure Web 應用程式防火牆 (預覽)

Security Copilot 中的 Azure Web 應用程式防火牆 (WAF) 整合可讓您深入調查 Azure WAF 事件。 它可協助您在幾分鐘內調查由 Azure WAF 觸發的 WAF 記錄,並以電腦速度使用自然語言回應提供相關的攻擊媒介。 它可讓您掌握環境的威脅形勢。 它可讓您擷取最常觸發的 WAF 規則清單,並識別您環境中最具冒犯性的 IP 位址清單。

與 Azure 應用程式閘道整合的 Azure WAF 以及與 Azure Front Door 整合的 Azure WAF 都支援 Security Copilot 整合。

若要在 Copilot 中使用 Azure WAF 整合,則必須開啟並設定 Security Copilot 中的 Azure WAF 外掛程式。

Azure WAF 中的預覽獨立體驗可協助您:

  • 提供客戶環境中觸發的最上層 Azure WAF 規則清單,以及產生具有相關攻擊媒介的深度內容。
  • 提供客戶環境中的惡意 IP 位址清單,並產生相關的威脅。
  • 摘要 SQL 插入式 (SQLi) 攻擊。
  • 摘要跨網站指令碼 (XSS) 攻擊。

Copilot 中的 Azure Web 應用程式防火牆功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 Azure Web 應用程式防火牆系統功能的螢幕擷取畫面。

範例提示包括:

  • 前一天我的全域 WAF 中是否有 SQL 插入式攻擊?
  • 過去 24 小時內觸發的全域 WAF 規則為何?
  • 摘要列出過去六小時內我的 Azure Front Door WAF 中的惡意 IP 位址清單?

Azure AI 搜尋服務 (預覽)

Azure AI 搜尋外掛程式可讓您將公司的知識庫或存放庫連線到 Microsoft Security Copilot。 本課程模組後續單元會描述此外掛程式和知識庫連線的詳細資料。

Microsoft Entra

Microsoft Entra 是一系列的多雲身分識別和網路存取解決方案,其可讓組織保護任何的身分識別並確保對任何資源的安全存取。 它為身分識別和網路存取管理提供了統一的平台,可讓您更輕鬆地保護多雲和混合環境中的身分識別及對資源的存取。

安全性 Copilot 與 Microsoft Entra 整合。 啟用 Entra 外掛程式後,安全性分析師可以針對每個有風險的身分識別立即以自然語言取得風險摘要、補救步驟及建議指引。 分析師可以使用 Copilot 來引導如何建立生命週期工作流程,以簡化建立和核發使用者認證和存取權限的流程。 Copilot 支援這些和其他許多 Entra 功能。

Copilot 中的 Microsoft Entra 功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 Entra 功能的螢幕擷取畫面。

啟用外掛程式後,還可以透過内嵌體驗來體驗 Copilot 與 Microsoft Entra 的整合。 標題為「描述 Microsoft Security Copilot 的内嵌體驗」的模組中更詳細地描述了透過内嵌體驗支援的案例。

Microsoft Intune

Microsoft Intune 是雲端式端點管理解決方案。 它可管理使用者對組織資源的存取,並簡化您的許多裝置 (包括行動裝置、桌上型電腦和虛擬端點) 上的應用程式和裝置管理。

與 Microsoft Intune 整合的安全性 Copilot。 如果 Microsoft Intune 可在與 Copilot 相同的租用戶中使用且啟用了外掛程式,則 Copilot 將能夠取得 Intune 中管理的裝置、應用程式、合規性和設定原則及原則指派的相關資訊。

若要使用 Microsoft Intune 外掛程式,除了授與存取 Copilot 的角色權限之外,還需要為使用者指派 Intune 服務特定的角色 (例如 Intune Endpoint Security Manager 角色)。

Intune 外掛程式所支援的功能可讓使用者:

  • 比較不同的安全性基準。
  • 取得現有原則的摘要。
  • 取得原則指派範圍。
  • 取得兩個裝置之間的差異或比較。
  • 詢問裝置的詳細資訊,以快速收集其詳細資料。
  • 取得使用者裝置註冊和裝置合規性的詳細資訊,以進行疑難排解或安全性調查。
  • 還有更多

Copilot 中的 Microsoft Intune 功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示

可在獨立體驗中執行的 Intune 提示建議的螢幕擷取畫面。

一些範例提示包括:

  • 哪些 Intune 應用程式最常被指派?
  • 過去 24 小時內在 Intune 中註冊的裝置數為何?
  • DeviceA 與 DeviceB 裝置之間的硬體設定差異是什麼?

啟用外掛程式後,還可以透過内嵌體驗來體驗 Copilot 與 Microsoft Intune 的整合。 標題為「描述 Microsoft Security Copilot 的内嵌體驗」的模組中更詳細地描述了透過内嵌體驗支援的案例。

Microsoft Defender XDR

Microsoft Defender XDR 是一套整合入侵前和入侵後的企業防護套件,可原生協調端點、身分識別、電子郵件和應用程式之間的偵測、預防、調查和回應,以提供整合的保護來防範複雜的攻擊。

Copilot 中有兩個與 Microsoft Defender XDR (使用者介面可能仍會顯示 Microsoft 365 Defender) 相關的​個別外掛程式:

  • Microsoft Defender XDR
  • 適用於 Microsoft Defender XDR 的 KQL 自然語言

授與使用者存取 Copilot 的角色權限,可決定對 Microsoft Defender XDR 資料的存取層級。 使用 Microsoft Defender XDR 外掛程式或自然語言轉換為 Defender XDR KQL 外掛程式不需要額外的角色權限。

Microsoft Defender XDR

Microsoft Defender XDR 外掛程式包含的功能可讓使用者:

  • 快速摘要事件
  • 透過引導式回應對事件採取動作。
  • 建立事件報告
  • 取得事件引導式回應
  • 取得 Defender 裝置摘要
  • 分析檔案
  • 更多...

Copilot 中的 Microsoft Defender 全面偵測回應功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 Defender XDR 功能的螢幕擷取畫面。

Copilot 還包括用於 Microsoft Defender XDR 事件調查的內建提示簿,您可以用它來取得有關特定事件、相關警示、信譽分數、使用者和裝置的報告。

啟用外掛程式後,還可以透過内嵌體驗來體驗 Copilot 與 Defender 全面偵測回應的整合。 標題為「描述 Microsoft Security Copilot 的内嵌體驗」的模組中更詳細地描述了透過内嵌體驗支援的案例。

適用於 Microsoft Defender 的 KQL 自然語言

自然語言轉換為適用於 Microsoft Defender (NL2KQLDefender) 外掛程式支援查詢助理功能,其可將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 KQL 查詢。 查詢助理會藉由產生 KQL 查詢,然後可根據分析師的需求自動執行或進一步調整該查詢,來節省安全性小組的時間。

Microsoft Defender 外部受攻擊面管理 (Defender EASM)

Microsoft Defender 外部受攻擊面管理 (Defender EASM) 會持續探索並標示出數位受攻擊面,以提供線上基礎結構的外部檢視。 運用該可見度,安全性和 IT 小組得以識別未知因素、排定風險優先順序、消除威脅,並將弱點與暴露控制擴展至防火牆以之外。 受攻擊面深入解析是透過使用弱點和基礎結構資料所產生的,以展示您的組織的主要關注層面。

如果您在與 Copilot 相同的租用戶中使用 Defender EASM 並啟用外掛程式,則 Copilot 可以從 Defender EASM 中顯示有關組織受攻擊面的深入解析。 這些深入解析可協助您了解您的安全性態勢並降低弱點。

Copilot 中的 Defender EASM 功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 EASM 系統功能的螢幕擷取畫面。

一些範例提示包括:

  • 我的外部受攻擊面是否受到 CVE-2023-21709 的影響?
  • 取得我的受攻擊面中受高優先順序 CVSS 影響的資產。
  • 我的組織有多少資產具有重大的 CVSS?

若要使用此外掛程式,則必須設定參數以識別貴組織的 Defender EASM 訂用帳戶。

必須設定的 EASM 外掛程式設定的螢幕擷取畫面。

Microsoft Defender 威脅情報

Microsoft Defender 威脅情報 (Defender TI) 是一個平台,其可在進行威脅基礎結構分析和收集威脅情報時簡化分級、事件回應、威脅搜捕、弱點管理和網路威脅情報分析師工作流程。

安全性 Copilot 與 Microsoft Defender TI 整合。 啟用 Defender TI 外掛程式後,Copilot 可提供威脅活動群組、入侵指標 (IOC)、工具和內容威脅情報的相關資訊。 您可以使用提示和提示簿來調查事件、透過威脅情報資訊豐富您的搜捕流程,或獲取有關您的組織或全域威脅情勢的更多知識。

Copilot 中的 Microsoft Defender TI 功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 Defender TI 系統功能的螢幕擷取畫面。

一些範例提示包括:

  • 為我顯示最新的威脅文章。
  • 取得與金融業相關聯的威脅文章。
  • 分享易受 CVE-2021-44228 弱點影響的技術。
  • 概述 CVE-2021-44228 弱點。

從 Defender TI 傳遞資訊的內建提示集包括:

  • 弱點影響評估 - 會產生一份概述已知弱點的情報 (包括如何解決該弱點的步驟) 的報告。
  • 威脅執行者設定檔 - 會產生一份描述已知活動群組 (包括防禦其常用工具和策略的建議) 的報告。

Microsoft Purview

Microsoft Purview 是一套全面的解決方案,其可協助您的組織治理、保護和管理資料 (無論資料位於何處)。 Microsoft Purview 解決方案可提供整合的涵蓋面,並協助解決跨組織的資料片段、缺乏可見性而阻礙了資料保護和治理,以及傳統 IT 管理角色的模糊問題。

Security Copilot 中的 Purview 外掛程式可讓您獲得有價值的資料和使用者風險深入解析,以協助識別攻擊的來源和可能面臨風險的任何敏感性資料,前提是您在 Microsoft Purview 中具有適當的角色權限。 由於 Microsoft Copilot 在嘗試存取資料以回答査詢時假定使用者具有權限,因此您需要具有存取資料所需的角色權限。 此外,您的組織還必須獲得授權並上線到適用的 Microsoft Purview 解決方案。

Copilot 中的 Microsoft Purview 功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

Purview 功能的螢幕擷取畫面。

也可以透過內嵌體驗直接從 Purview 解決方案中體驗 Copilot 功能。 標題為「描述 Microsoft Security Copilot 的内嵌體驗」的模組中更詳細地描述了透過内嵌體驗支援的案例。

Microsoft Sentinel (預覽)

Microsoft Sentinel 可在整個企業內提供智慧型安全性分析和威脅情報。 透過 Microsoft Sentinel,您可以取得用於攻擊偵測、威脅可見度、主動式搜捕和威脅回應的單一解決方案。

Copilot 中有兩個與 Sentinel 相關的個別外掛程式:

  • Microsoft Sentinel (預覽)
  • Microsoft Sentinel KQL 的自然語言 (預覽)

Microsoft Sentinel 外掛程式中 Sentinel 和 NL2KQK 的螢幕擷取畫面。

Microsoft Sentinel (預覽)

若要使用 Sentinel 外掛程式,則需要為使用者指派授與存取 Copilot 的角色權限,以及 Sentinel 特定的角色 (例如 Microsoft Sentinel Reader) 以存取工作區中的事件。

Sentinel 外掛程式也需要使用者設定 Sentinel 工作區、訂用帳戶名稱和資源群組名稱。

Microsoft Sentinel 外掛程式設定頁面的螢幕擷取畫面。

Sentinel 外掛程式功能著重於事件和工作區。 此外,Copilot 也包含​用於 Microsoft Sentinel 事件調查的提示簿。 此提示簿包含取得有關特定事件 (以及相關警示、信譽分數、使用者和裝置) 的報告的提示。

Microsoft Sentinel KQL 的自然語言 (預覽)

自然語言轉換為 Sentinel KQL (NL2KQLSentinel) 外掛程式可將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 KQL 查詢。 這會藉由產生 KQL 查詢,然後可根據分析師的需求自動執行或進一步調整該查詢,來節省安全性小組的時間。