Integração do Microsoft Security Copilot no GSAE do Defender
O Microsoft Defender EASM (Gerenciamento da Superfície de Ataque Externa) descobre e mapeia continuamente sua superfície de ataque digital para fornecer uma visão externa de sua infraestrutura online. Essa visibilidade ajuda as equipes de segurança e TI a identificar incógnitas, priorizar riscos, eliminar ameaças e estender o controle de vulnerabilidades e exposições além do firewall. Os insights sobre a superfície de ataque são geradas por meio da análise de dados de infraestrutura e vulnerabilidades para mostrar as principais áreas de preocupação da sua organização.
A integração do Microsoft Security Copilot (Security Copilot) no Defender EASM ajuda você a interagir com superfícies de ataque descobertas pela Microsoft. Identificar superfícies de ataque ajuda sua organização a entender rapidamente sua infraestrutura voltada para o exterior e os riscos críticos relevantes. Ele fornece insights sobre áreas específicas de risco, incluindo vulnerabilidades, conformidade e higiene de segurança.
Para obter mais insights sobre o Security Copilot, confira O que é o Security Copilot?. Para obter insights sobre a experiência integrada do Security Copilot, confira Consultar sua superfície de ataque com o Defender EASM usando o Microsoft Copilot no Azure.
Antes de começar
Se você é novo no Security Copilot, é uma boa ideia se familiarizar com a solução lendo estes artigos:
- O que é o Copilot da Segurança da Microsoft?
- Experiências do Security Copilot
- Introdução ao Copilot da Segurança
- Entender a autenticação no Security Copilot
- Prompt no Security Copilot
Security Copilot no Defender EASM
O Security Copilot pode exibir insights do Defender EASM sobre a superfície de ataque da sua organização. Você pode usar os recursos internos do Security Copilot. Para obter mais insights, use prompts no Security Copilot. As insights podem ajudar você a entender sua postura de segurança e mitigar vulnerabilidades.
Este artigo apresenta o Security Copilot e inclui prompts de exemplo que podem ajudar os usuários do Defender EASM.
Principais recursos
A integração do Security Copilot no EASM pode ajudar você a:
Obter uma visão geral da sua superfície de ataque externa e gerar insights sobre riscos potenciais.
Você pode obter uma visão rápida da sua superfície de ataque externa analisando insights disponíveis na Internet combinadas com o algoritmo de descoberta proprietário do Defender EASM. Ele fornece uma explicação em linguagem natural fácil de entender sobre os ativos voltados para o exterior da organização, como hosts, domínios, páginas da Web e endereços IP. Ele destaca os riscos críticos associados a cada um.
Priorizar os esforços de correção com base no risco do ativo e nos itens da lista de Vulnerabilidades e Exposições Comuns (CVEs).
O Defender EASM ajuda as equipes de segurança a priorizar seus esforços de correção, ajudando-as a entender quais ativos e CVEs representam o maior risco em seu ambiente. Ele analisa dados de infraestrutura e vulnerabilidades para mostrar as principais áreas de preocupação, fornecendo uma explicação em linguagem natural dos riscos e das ações recomendadas.
Usar o Security Copilot para exibir insights.
Você pode usar o Security Copilot para perguntar sobre insights usando linguagem natural e extrair insights do Defender EASM sobre a superfície de ataque da sua organização. Consultar detalhes como o número de certificados protocolo SSL (SSL) que não são seguros, portas detectadas e vulnerabilidades específicas que afetam a superfície de ataque.
Acelerar a coleta da superfície de ataque.
Use o Security Copilot para coletar sua superfície de ataque usando rótulos, IDs externos e modificações de estado para um conjunto de ativos. Esse processo acelera a coleta, para que você possa organizar seu inventário de forma mais rápida e eficiente.
Habilitar a integração do Security Copilot
Para configurar a integração do Security Copilot no Defender EASM, conclua as etapas descritas nas próximas seções.
Pré-requisitos
Para habilitar a integração, você precisa ter estes pré-requisitos:
- Acesso ao Microsoft Security Copilot
- Permissões para ativar novas conexões
Conectar o Security Copilot ao Defender EASM
Acesse o Security Copilot e verifique se você está autenticado.
Selecione o ícone Plugin do Security Copilot no lado superior direito da barra de entrada de prompt.
Em Microsoft, localize Gerenciamento de Superfície de Ataque Externa do Defender. Selecione Ativado para conectar.
Se você quiser que o Security Copilot obtenha dados do seu recurso Defender EASM, selecione o ícone de engrenagem para abrir as configurações do plugin. Insira ou selecione valores usando os valores da seção Essentials do seu recurso no painel Visão geral.
Observação
Você pode usar suas habilidades do Defender EASM mesmo que não tenha comprado o Defender EASM. Para obter mais insights, confira Referência de capacidades do plugin.
Exemplo de solicitações do GSAE do Defender
O Security Copilot usa principalmente prompts em linguagem natural. Ao consultar insights do Defender EASM, você envia um prompt que orienta o Security Copilot a selecionar o plugin do Defender EASM e invocar a capacidade relevante.
Para ter sucesso com os prompts do Security Copilot, recomendamos as seguintes abordagens:
Verifique se você faz referência ao nome da empresa em sua primeira solicitação. A menos que especificado de outra forma, todos os prompts futuros fornecerão dados sobre a empresa especificada inicialmente.
Seja claro e específico em seus prompts. Você poderá obter melhores resultados se incluir nomes de ativos específicos ou valores de metadados (por exemplo, IDs CVE) em suas solicitações.
Também pode ser útil adicionar o Defender EASM ao seu prompt, como nestes exemplos:
- De acordo com o Defender EASM, quais são meus domínios expirados?
- Diga-me sobre os insights de superfície de ataque de alta prioridade do Defender EASM.
Experimente diferentes prompts e variações para ver o que funciona melhor para seu caso de uso. Os modelos de IA de chat variam, portanto, itere e refine seus prompts com base nos resultados recebidos.
O Copilot da Segurança salva suas sessões de prompt. Para ver as sessões anteriores, no Security Copilot, no menu, selecione Minhas sessões.
Para obter um passo a passo do Security Copilot, incluindo os recursos de fixação e compartilhamento, confira Navegar no Security Copilot.
Para obter mais insights sobre como escrever prompts do Security Copilot, confira Dicas de prompt do Security Copilot.
Referência de funcionalidades de plug-in
| Capacidade | Descrição | Entradas | Comportamentos |
|---|---|---|---|
| Obter o resumo da superfície de ataque | Retorna o resumo da superfície de ataque para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Obtenha a superfície de ataque para o LinkedIn. • Obtenha minha superfície de ataque. • Qual é a superfície de ataque da Microsoft? • Qual é a minha superfície de ataque? • Quais são os ativos voltados externamente para o Azure? • Quais são meus ativos voltados para o externo? Entradas opcionais: • CompanyName |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Retorna um resumo da superfície de ataque para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna o resumo da superfície de ataque para o nome da empresa. |
| Obter insights sobre a superfície de ataque | Retorna as insights sobre a superfície de ataque para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Obter insights sobre a superfície de ataque de alta prioridade para o LinkedIn. • Obter minhas insights sobre a superfície de ataque de alta prioridade. • Obtenha insights de superfície de ataque de baixa prioridade para a Microsoft. • Obtenha insights de superfície de ataque de baixa prioridade. • Tenho vulnerabilidades de alta prioridade na minha superfície de ataque externa para o Azure? Entradas obrigatórias: • PriorityLevel (o nível de prioridade deve ser alto, médio ou baixo; se não for fornecido, o padrão será alto) Entradas opcionais: • CompanyName (o nome da empresa) |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Retorna insights sobre a superfície de ataque para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna as insights sobre a superfície de ataque para o nome da empresa. |
| Obter ativos afetados por uma CVE | Retorna os ativos afetados por uma CVE para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Obtenha ativos afetados pelo CVE-2023-0012 para LinkedIn. • Quais ativos são afetados pela CVE-2023-0012 para a Microsoft? • A superfície de ataque externa do Azure é afetada pela CVE-2023-0012? • Obtenha ativos afetados pelo CVE-2023-0012 para minha superfície de ataque. • Quais dos meus ativos são afetados pela CVE-2023-0012? • Minha superfície de ataque externo é afetada pela CVE-2023-0012? Entradas obrigatórias: • CveId Entradas opcionais: • CompanyName |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Se as configurações de plug-in não estiverem preenchidas, falhe com cuidado e lembre os clientes. • Se as configurações do plugin estiverem preenchidas, retorna os ativos afetados por uma CVE para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna os ativos afetados por uma CVE para o nome da empresa. |
| Obter ativos afetados por um CVSS | Retorna os ativos afetados por uma pontuação do Sistema de Pontuação de Vulnerabilidade Comum (CVSS) para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Obter os ativos afetados por pontuações CVSS de alta prioridade na superfície de ataque do LinkedIn. • Quantos ativos têm pontuação CVSS crítica para a Microsoft? • Quais ativos têm pontuações CVSS críticas para o Azure? • Obter ativos afetados por pontuações CVSS de alta prioridade na minha superfície de ataque. • Quantos dos meus ativos têm pontuações CVSS críticas? • Quais dos meus ativos têm pontuações CVSS críticas? Entradas obrigatórias: • CvssPriority (a prioridade do CVSS deve ser crítica, alta, média ou baixa) Entradas opcionais: • CompanyName |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Se as configurações de plug-in não estiverem preenchidas, falhe com cuidado e lembre os clientes. • Se as configurações do plugin estiverem preenchidas, retorna os ativos afetados por uma pontuação CVSS para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna os ativos afetados por uma pontuação CVSS para o nome da empresa. |
| Obter domínios expirados | Retorna o número de domínios expirados para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Quantos domínios expiraram na superfície de ataque do LinkedIn? • Quantos ativos estão usando domínios expirados para a Microsoft? • Quantos domínios expiraram na minha superfície de ataque? • Quantos dos meus ativos estão usando domínios expirados para a Microsoft? Entradas opcionais: • CompanyName |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Retorna o número de domínios expirados para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna o número de domínios expirados para o nome da empresa. |
| Obter certificados expirados | Retorna o número de certificados SSL expirados para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Quantos certificados SSL expiraram para o LinkedIn? • Quantos ativos estão usando certificados SSL expirados para a Microsoft? • Quantos certificados SSL expiraram para minha superfície de ataque? • Quais são meus certificados SSL expirados? Entradas opcionais: • CompanyName |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Retorna o número de certificados SSL para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna o número de certificados SSL para o nome da empresa. |
| Obter certificados SHA1 | Retorna o número de certificados SSL SHA1 para o recurso Defender EASM do cliente ou para um nome de empresa específico. | Exemplo de entradas: • Quantos certificados SHA1 SSL estão presentes para o LinkedIn? • Quantos ativos estão usando o SSL SHA1 para a Microsoft? • Quantos certificados SSL SHA1 estão presentes para minha superfície de ataque? • Quantos dos meus ativos estão usando o SSL SHA1? Entradas opcionais: • CompanyName |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM e nenhuma outra empresa for especificada: • Retorna o número de certificados SSL SHA1 para o recurso Defender EASM do cliente. Se outro nome da empresa for fornecido: • Se não houver correspondência exata para o nome da empresa, retorna uma lista de possíveis correspondências. • Se houver uma correspondência exata, retorna o número de certificados SSL SHA1 para o nome da empresa. |
| Traduzir em linguagem natural para uma consulta do Defender EASM | Traduz qualquer pergunta em linguagem natural em uma consulta do Defender EASM e retorna os ativos que correspondem à consulta. | Exemplo de entradas: • Quais ativos estão usando o jQuery versão 3.1.0? • Obter os hosts com a porta 80 na minha superfície de ataque. • Localizar todos os ativos de página, host e ASN no meu inventário que têm um endereço IP que é IP X, IP Y ou IP Z. • Quais dos meus ativos têm um email do registrante de <name@example.com>? |
Se o plug-in estiver configurado para um recurso ativo do Defender EASM: • Retorna os ativos que correspondem à consulta traduzida. |
Alternar entre dados de recursos e dados da empresa
Embora tenhamos adicionado integração de recursos para nossas habilidades, ainda oferecemos suporte à obtenção de dados de superfícies de ataque predefinidas para empresas específicas. Para melhorar a precisão do Security Copilot ao determinar quando um cliente deseja obter dados da própria superfície de ataque ou de uma superfície de ataque predefinida da empresa, recomendamos usar meu, minha superfície de ataque e assim por diante, para indicar que você deseja usar seu recurso. Use deles, nome específico da empresa e assim por diante, para indicar que você deseja usar uma superfície de ataque predefinida. Embora essa abordagem melhore a experiência em uma única sessão, recomendamos enfaticamente o uso de duas sessões separadas para evitar qualquer confusão.
Enviar comentários
Seus comentários sobre o Security Copilot em geral e sobre o plugin do Defender EASM especificamente são essenciais para orientar o desenvolvimento atual e planejado do produto. A maneira ideal de fornecer esses comentários é diretamente no produto, usando os botões de comentários na parte inferior de cada solicitação concluída. Selecione Parece correto, Precisa de melhorias ou Inadequado. Recomendamos que você escolha Parece correto quando o resultado corresponder às expectativas, Precisa de melhorias quando não corresponder e Inadequado quando o resultado for prejudicial de alguma forma.
Sempre que possível, e especialmente quando o resultado selecionado for Precisa de melhorias, escreva algumas palavras para explicar o que podemos fazer para melhorar o resultado. Esta solicitação também se aplica quando você espera que o Security Copilot invoque o plugin do Defender EASM, mas um plugin diferente é envolvido.
Privacidade e segurança de dados no Copilot da Segurança
Quando você interage com o Security Copilot para obter dados do Defender EASM, o Copilot obtém esses dados do Defender EASM. Os prompts, os dados recuperados e a saída mostrada nos resultados do prompt são processados e armazenados no serviço Security Copilot.
Para obter mais insights sobre privacidade de dados no Security Copilot, confira Privacidade e segurança de dados no Security Copilot.