Zabezpieczenia Copilot z usługą Microsoft Sentinel
Microsoft Security Copilot to platforma, która pomaga bronić organizacji przy szybkości i skali maszyny. Ogromne dane zabezpieczeń usługi Microsoft Sentinel stanowią doskonałe źródło dla Copilota, które ułatwia analizowanie zdarzeń i generowanie zapytań wyszukiwania zagrożeń.
Wraz z innymi włączonymi źródłami rozwiązania Security Copilot zdarzenia i dane usługi Microsoft Sentinel zapewniają szerszy wgląd w zagrożenia i ich kontekst dla organizacji.
Przed rozpoczęciem
Jeśli dopiero zaczynasz korzystać z rozwiązania Security Copilot, zapoznaj się z nim, czytając następujące artykuły:
- Co to jest Copilot rozwiązań zabezpieczających firmy Microsoft?
- Środowiska copilot zabezpieczeń firmy Microsoft
- Wprowadzenie do rozwiązania Microsoft Security Copilot
- Omówienie uwierzytelniania w rozwiązaniu Microsoft Security Copilot
- Monitowanie w programie Microsoft Security Copilot
Integracja rozwiązania Security Copilot z usługą Microsoft Sentinel
Ta integracja obsługuje przede wszystkim środowisko autonomiczne dostępne za pośrednictwem https://securitycopilot.microsoft.comprogramu , w którym wchodzisz w interakcję w środowisku przypominającym czat, aby podsumować zdarzenia i uzyskać inne odpowiedzi na temat danych zabezpieczeń. Aby uzyskać więcej informacji, zobacz Microsoft Security Copilot experiences (Środowiska copilot zabezpieczeń firmy Microsoft).
Kluczowe cechy i funkcje
Dane usługi Microsoft Sentinel integrują się z rozwiązaniem Security Copilot na dwa sposoby.
- W ujednoliconej platformie operacji zabezpieczeń firmy Microsoft rozwiązanie Copilot w usłudze Microsoft Defender XDR korzysta z ujednoliconych zdarzeń zintegrowanych z usługą Microsoft Sentinel.
- W autonomicznym środowisku usługa Microsoft Sentinel udostępnia dwie wtyczki do integracji z rozwiązaniem Security Copilot:
Microsoft Sentinel (wersja zapoznawcza)
Język naturalny do języka KQL dla usługi Microsoft Sentinel (wersja zapoznawcza).
Ważne
Wtyczki "Microsoft Sentinel" i "Język naturalny do języka naturalnego do języka KQL dla usługi Microsoft Sentinel" są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Włączanie integracji rozwiązania Security Copilot z usługą Microsoft Sentinel
Aby zmaksymalizować integrację rozwiązania Security Copilot z usługą Microsoft Sentinel, wykonaj następujące czynności:
- Konfigurowanie domyślnego obszaru roboczego usługi Microsoft Sentinel dla rozwiązania Security Copilot
- łączenie obszaru roboczego usługi Microsoft Sentinel z usługą Microsoft Defender XDR
Konfigurowanie domyślnego obszaru roboczego usługi Microsoft Sentinel
Zwiększ dokładność monitu, konfigurując obszar roboczy usługi Microsoft Sentinel jako domyślny.
Przejdź do pozycji Security Copilot pod adresem https://securitycopilot.microsoft.com/.
Otwórz źródła
na pasku monitu.Na stronie Zarządzanie wtyczkami ustaw przełącznik na Wł.
Wybierz ikonę koła zębatego w wtyczki Microsoft Sentinel (wersja zapoznawcza).
Skonfiguruj domyślną nazwę obszaru roboczego.
Napiwek
Określ obszar roboczy w wierszu polecenia, gdy nie jest zgodny ze skonfigurowanym ustawieniem domyślnym.
Przykład: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integracja usługi Microsoft Sentinel z rozwiązaniem Copilot w usłudze Defender
Użyj portalu Microsoft Defender z danymi usługi Microsoft Sentinel w celu uzyskania osadzonego środowiska copilot zabezpieczeń. Unikatowe źródła danych usługi Microsoft Sentinel przepływające do ujednoliconych zdarzeń usługi Microsoft Defender XDR pozwalają copilotowi w usłudze Defender zmaksymalizować swoje możliwości.
Na przykład:
- Rozwiązanie SAP (wersja zapoznawcza) jest instalowane w obszarze roboczym dla usługi Microsoft Sentinel.
- Plik SAP — (wersja zapoznawcza) reguły niemal w czasie rzeczywistym pobrany ze złośliwego adresu IP wyzwala alert, tworząc zdarzenie usługi Microsoft Sentinel.
- Usługa Microsoft Sentinel została dołączona do portalu usługi Defender.
- Zdarzenia usługi Microsoft Sentinel są teraz ujednolicone z incydentami XDR w usłudze Defender.
- Użyj narzędzia Copilot w usłudze Microsoft Defender, aby uzyskać podsumowanie zdarzeń, odpowiedzi z przewodnikiem i raporty o zdarzeniach.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Integrowanie usługi Microsoft Defender XDR
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Copilot w usłudze Microsoft Defender
Integrowanie usługi Microsoft Sentinel z rozwiązaniem Security Copilot w zaawansowanym wyszukiwaniu zagrożeń
Wtyczka języka naturalnego do języka KQL dla usługi Microsoft Sentinel (wersja zapoznawcza) generuje i uruchamia zapytania wyszukiwania KQL przy użyciu danych usługi Microsoft Sentinel. Ta funkcja jest dostępna w środowisku autonomicznym i w sekcji zaawansowanego wyszukiwania zagrożeń w portalu Usługi Microsoft Defender.
Uwaga
W ujednoliconym portalu usługi Microsoft Defender możesz wyświetlić monit Security Copilot, aby wygenerować zaawansowane zapytania wyszukiwania zagrożeń dla tabel usługi Defender XDR i Microsoft Sentinel. Nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane.
Aby uzyskać więcej informacji, zobacz Security Copilot in advanced hunting (Zabezpieczenia Copilot w zaawansowanym poszukiwaniu zagrożeń).
Przykładowe monity usługi Microsoft Sentinel
Rozważ podręcznik monitu badania zdarzeń usługi Microsoft Sentinel jako punkt wyjścia do tworzenia skutecznych monitów. Ten element promptbook dostarcza raport dotyczący określonego zdarzenia wraz z powiązanymi alertami, ocenami reputacji, użytkownikami i urządzeniami.
| Wskazówki | Monit |
|---|---|
| Posuń Copilot, aby zapewnić czytelne dla człowieka informacje zamiast odpowiadać na identyfikatory obiektów. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot wie, kim jesteś. Użyj zaimka "me", aby znaleźć zdarzenia związane z Tobą. Poniższy monit dotyczy przypisanych zdarzeń. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Gdy zawęzisz odpowiedź monitu do pojedynczego zdarzenia, copilot zna kontekst. | Tell me about the entities associated with that incident. |
| Copilot jest dobry w podsumowaniu. Opisz określoną grupę odbiorców, dla której mają zostać podsumowane monity i odpowiedzi. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Aby uzyskać więcej wskazówek i przykładów, zobacz następujące zasoby:
- Korzystanie z elementów promptbook
- Monitowanie w programie Microsoft Security Copilot
- Biblioteka monitów roda Trenta o zabezpieczeniach copilot
Przekazywanie opinii
Twoja opinia jest niezbędna do prowadzenia bieżącego i planowanego rozwoju produktu. Najlepszym sposobem przekazania tej opinii jest bezpośrednio w produkcie. Wybierz pozycję Jak jest to odpowiedź? w dolnej części każdego ukończonego monitu i wybierz dowolną z następujących opcji:
- Wygląda prawidłowo — wybierz, czy wyniki są dokładne, na podstawie oceny.
- Wymaga poprawy — wybierz, czy jakiekolwiek szczegóły w wynikach są niepoprawne lub niekompletne, na podstawie oceny.
- Nieodpowiednie — wybierz, czy wyniki zawierają wątpliwe, niejednoznaczne lub potencjalnie szkodliwe informacje.
Dla każdej opcji opinii możesz podać więcej informacji w następnym wyświetlonym oknie dialogowym. Zawsze, gdy jest to możliwe, a zwłaszcza gdy wynikiem jest poprawa potrzeb, napisz kilka słów wyjaśniających, co można zrobić, aby poprawić wynik. Jeśli wprowadzono monity specyficzne dla usługi Azure Firewall, a wyniki nie są powiązane, dołącz te informacje.
Bezpieczeństwo prywatności i danych w rozwiązaniu Security Copilot
Aby dowiedzieć się, jak rozwiązanie Security Copilot obsługuje monity i dane pobierane z usługi (dane wyjściowe monitu), zobacz Prywatność i bezpieczeństwo danych w aplikacji Microsoft Security Copilot.