integrazione Firewall di Azure in Microsoft Security Copilot (anteprima)

Security Copilot è una soluzione di sicurezza generativa basata sull'intelligenza artificiale che consente di aumentare l'efficienza e le capacità del personale di sicurezza per migliorare i risultati di sicurezza a velocità e scalabilità dei computer. Offre un linguaggio naturale, un'esperienza di assistive copilot che consente di supportare professionisti della sicurezza in scenari end-to-end come la risposta agli eventi imprevisti, la ricerca di minacce, la raccolta di intelligence e la gestione del comportamento. Per altre informazioni su cosa può fare, vedere Che cos'è Microsoft Security Copilot?

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con esso leggendo questi articoli:

• Che cos'è Microsoft Security Copilot?
• Esperienze di Microsoft Security Copilot
• Introduzione a Microsoft Security Copilot
• Informazioni sull'autenticazione in Microsoft Security Copilot
• Richiesta in Microsoft Security Copilot

Integrazione di Security Copilot in Firewall di Azure

Firewall di Azure è un servizio di sicurezza firewall di rete intelligente e nativo del cloud che offre una protezione ottimale dalle minacce per i carichi di lavoro cloud eseguiti in Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti.

L'integrazione Firewall di Azure in Security Copilot aiuta gli analisti a eseguire indagini dettagliate sul traffico dannoso intercettato dalla funzionalità IDPS dei firewall nell'intera flotta usando domande in linguaggio naturale.

È possibile usare questa integrazione in due diverse esperienze:

• Portale di Security Copilot (esperienza autonoma)

  

• Copilot in Azure (esperienza incorporata) nel portale di Azure:

  

Per altre informazioni, vedere Esperienze copilot di Microsoft Security e Microsoft Copilot nelle funzionalità di Azure.

Funzionalità principali

Security Copilot include funzionalità di sistema predefinite che possono ottenere dati dai diversi plug-in attivati.

Per visualizzare l'elenco delle funzionalità di sistema predefinite per Firewall di Azure, usare la procedura seguente nel portale di Security Copilot:

1. Nella barra dei prompt selezionare l'icona Prompt .

2. Selezionare Visualizza tutte le funzionalità di sistema.

3. La sezione Firewall di Azure elenca tutte le funzionalità disponibili che è possibile usare.

   

Abilitare l'integrazione Firewall di Azure in Security Copilot

1. Verificare che il Firewall di Azure sia configurato correttamente:

   • Firewall di Azure log strutturati: i Firewall di Azure da usare con Security Copilot devono essere configurati con log strutturati specifici delle risorse per IDPS e questi log devono essere inviati a un'area di lavoro Log Analytics.

   • Controllo di accesso basata sui ruoli per Firewall di Azure: gli utenti che usano il plug-in Firewall di Azure in Security Copilot devono avere i ruoli di controllo degli accessi in base al ruolo di Azure appropriati per accedere al firewall e alle aree di lavoro Log Analytics associate.

2. Passare a Security Copilot e accedere con le credenziali.

3. Assicurarsi che il plug-in Firewall di Azure sia attivato. Nella barra dei prompt selezionare l'icona Origini . Nella finestra popup Gestisci origini visualizzata verificare che l'interruttore Firewall di Azure sia attivato. Quindi, chiudere la finestra. Non sono necessarie altre configurazioni. Finché i log strutturati vengono inviati a un'area di lavoro Log Analytics e si dispone delle autorizzazioni appropriate per il controllo degli accessi in base al ruolo, Copilot trova i dati necessari per rispondere alle domande.

   

4. Immettere il prompt nella barra dei prompt nel portale di Security Copilot o tramite l'esperienza Copilot in Azure nel portale di Azure.

   Importante

   L'uso di Copilot in Azure per eseguire query Firewall di Azure è incluso in Security Copilot e richiede unità di calcolo di sicurezza (SCU). È possibile effettuare il provisioning delle SCU e aumentarle o ridurle in qualsiasi momento. Per altre informazioni sulle CPU, vedere Introduzione a Microsoft Security Copilot. Se security Copilot non è configurato correttamente, ma si pone una domanda pertinente alle funzionalità di Firewall di Azure tramite l'esperienza Copilot in Azure, verrà visualizzato un messaggio di errore.

Prompt di Firewall di Azure di esempio

È possibile usare molti prompt per ottenere informazioni da Firewall di Azure. Questa sezione elenca quelle che funzionano meglio oggi. Vengono aggiornati continuamente man mano che vengono avviate nuove funzionalità.

Recuperare i risultati principali della firma IDPS per un Firewall di Azure

Ottenere informazioni di log sul traffico intercettato dalla funzionalità IDPS anziché costruire manualmente query KQL.

Richieste di esempio:

• Il mio Firewall <Nome firewall> ha intercettato del traffico dannoso?

• Quali sono i primi 20 riscontri IDPS degli ultimi sette giorni per il Firewall <Nome del firewall> nel gruppo di risorse <Nome gruppo di risorse>?

• Mostrami in formato tabulare i primi 50 attacchi che hanno mirato il nome del firewall <firewall nel nome>> della sottoscrizione della sottoscrizione <nell'ultimo mese.

  

Arricchire il profilo di minaccia di una firma IDPS oltre alle informazioni di log

Ottenere altri dettagli per arricchire le informazioni sulle minacce o il profilo di una firma IDPS anziché compilarla manualmente.

Richieste di esempio:

• Spiegare perché IDPS ha contrassegnato l'hit superiore come gravità elevata e il quinto hit come gravità bassa.

• Cosa puoi dirmi di questo attacco? Quali sono gli altri attacchi per cui questo utente malintenzionato è noto?

• Si noterà che il terzo ID firma è associato al numero> CVE CVE<, per altre informazioni su questo CVE.

  

Cercare una firma IDPS specifica nel tenant, nella sottoscrizione o nel gruppo di risorse

Eseguire una ricerca a livello di flotta (su qualsiasi ambito) per una minaccia in tutti i firewall invece di cercare manualmente la minaccia.

Richieste di esempio:

• Il numero> ID <di firma è stato arrestato solo da questo firewall? Che ne dici di altri utenti nell'intero tenant?

• L'hit principale è stato rilevato da qualsiasi altro firewall nel nome> della sottoscrizione della sottoscrizione<?

• Nell'ultima settimana il nome> del gruppo di risorse firewall nel gruppo< di risorse visualizza il numero> ID< firma?

  

Generare raccomandazioni per proteggere l'ambiente usando la funzionalità IDPS di Firewall di Azure

Ottenere informazioni dalla documentazione sull'uso della funzionalità IDPS di Firewall di Azure per proteggere l'ambiente invece di dover cercare queste informazioni manualmente.

Richieste di esempio:

• Ricerca per categorie proteggermi da attacchi futuri da questo utente malintenzionato nell'intera infrastruttura?

• Se si vuole assicurarsi che tutte le Firewall di Azure siano protette dagli attacchi dal numero> ID <firma, come si esegue questa operazione?

• Qual è la differenza di rischio tra solo avvisi e modalità di avviso e blocco per IDPS?

  

  Nota

  Il Copilot per la sicurezza può anche usare la funzionalità Chiedi documentazione Microsoft per fornire queste informazioni e quando si usa questa funzionalità tramite Copilot in Azure, è possibile usare la funzionalità Get Information (Ottieni informazioni ) per fornire queste informazioni.

Inviare commenti

Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto.

Tramite Security Copilot

Selezionare Come si tratta di questa risposta? nella parte inferiore di ogni prompt completato e scegliere una delle opzioni seguenti:

• Sembra corretto : selezionare se i risultati sono accurati, in base alla valutazione.
• Miglioramento necessario: selezionare se i dettagli nei risultati non sono corretti o incompleti, in base alla valutazione.
• Inappropriato : selezionare se i risultati contengono informazioni discutibili, ambigue o potenzialmente dannose.

Per ogni opzione di feedback, è possibile fornire informazioni aggiuntive nella finestra di dialogo successiva. Quando possibile, e soprattutto quando il risultato è Miglioramento esigenze, scrivere alcune parole che spiegano come migliorare il risultato. Se sono state immesse richieste specifiche per Firewall di Azure e i risultati non sono correlati, includere tali informazioni.

Tramite Copilot in Azure

Usare i pulsanti like e dislike nella parte inferiore di ogni prompt completato. Per entrambe le opzioni di feedback, è possibile fornire informazioni aggiuntive nella finestra di dialogo successiva. Quando possibile, e soprattutto quando non si ama una risposta, scrivere alcune parole che spiegano come il risultato può essere migliorato. Se sono state immesse richieste specifiche per Firewall di Azure e i risultati non sono correlati, includere tali informazioni.

Privacy e sicurezza dei dati in Security Copilot

Quando si interagisce con Security Copilot (tramite il portale di Security Copilot o tramite l'esperienza copilot in Azure) per ottenere Firewall di Azure dati, Copilot esegue il pull di tali dati da Firewall di Azure. I prompt, i dati recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati all'interno del servizio Copilot. Per altre informazioni, vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.

Contenuto correlato

• Che cos'è Microsoft Security Copilot?
• Esperienze di Microsoft Security Copilot
• Introduzione a Microsoft Security Copilot
• Che cos'è Microsoft Copilot in Azure?
• Funzionalità di Microsoft Copilot in Azure