تكامل Azure Firewall في Microsoft Security Copilot

Security Copilot هو حل أمني الذكاء الاصطناعي يعمل بالطاقة يساعد على زيادة كفاءة وقدرات موظفي الأمن لتحسين النتائج الأمنية بسرعة الجهاز ونطاقه. يوفر تجربة مساعدة للطيار باللغة الطبيعية تساعد في دعم محترفي الأمن في سيناريوهات شاملة مثل الاستجابة للحوادث، والبحث عن التهديدات، وجمع المعلومات الاستخباراتية، وإدارة الوضعيات. لمزيد من المعلومات حول ما يمكن أن تفعله، راجع ما هو Microsoft Security Copilot؟

معرفة قبل البدء

إذا كنت جديدا على Security Copilot، تعرف عليه من خلال قراءة هذه المقالات:

تكامل Security Copilot في Azure Firewall

جدار الحماية Azure هو خدمة أمان جدار حماية شبكة ذكية وأصلية توفر أفضل حماية تهديدية لأحمال العمل السحابية التي تعمل في Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة.

يساعد تكامل جدار الحماية في Azure في Security Copilot المحللين على إجراء تحقيقات مفصلة حول حركة المرور الخبيثة التي يتم اعتراضها بواسطة ميزة IDPS في جدران الحماية الخاصة بهم عبر أسطولهم بأكمله باستخدام أسئلة بلغة طبيعية.

يمكنك استخدام هذا التكامل في تجربتين مختلفتين:

لمزيد من المعلومات، راجع تجارب Microsoft Security Copilotوقدرات Azure Copilot.

الميزات الرئيسية

يحتوي Security Copilot على ميزات نظام مدمجة تحصل على البيانات من الإضافات المختلفة التي يتم تشغيلها.

لعرض قائمة قدرات النظام المضمنة لجدار حماية Azure، استخدم الإجراء التالي على مدخل Security Copilot:

  1. في شريط المطالبة، حدد أيقونة المطالبات .

  2. حدد See all system capabilities.

  3. يسرد قسم Azure Firewall جميع الإمكانات المتوفرة التي يمكنك استخدامها.

تمكين تكامل Azure Firewall في Security Copilot

  1. تأكد من تكوين جدار حماية Azure بشكل صحيح:

    • سجلات Azure Firewall المهيكلة – لاستخدام جدران الحماية Azure مع Security Copilot، قم بتكوينها بسجلات منظمة خاصة بالموارد ل IDPS وأرسل هذه السجلات إلى مساحة عمل تحليلات سجلات.

    • التحكم في الوصول المستند إلى الدور لجدار حماية Azure - يجب أن يكون لدى المستخدمين الذين يستخدمون المكون الإضافي Azure Firewall في Security Copilot أدوار التحكم في الوصول المستندة إلى دور Azure المناسبة للوصول إلى جدار الحماية ومساحات عمل Log Analytics المقترنة.

  2. انتقل إلى Security Copilot وسجل الدخول باستخدام بيانات الاعتماد الخاصة بك.

  3. تأكد من تفعيل إضافة جدار الحماية في Azure. في شريط المطالبة، حدد أيقونة المصادر . في النافذة المنبثقة إدارة المصادر التي تظهر، تأكد من تشغيل تبديل Azure Firewall . ثم أغلق النافذة. لا يلزم تكوين آخر. طالما يتم إرسال السجلات المنظمة إلى مساحة عمل تحليلات السجلات ولديك صلاحيات التحكم في الوصول المعتمدة على الأدوار الصحيحة، يجد Copilot البيانات التي يحتاجها للإجابة على أسئلتك.

    لقطة شاشة تظهر إضافة جدار الحماية Azure.

  4. أدخل طلبك في شريط التعليمات إما في بوابة Security Copilot أو عبر تجربة Azure Copilot في بوابة Azure.

    هام

    استخدام Azure Copilot للاستعلام عن جدار الحماية Azure مشمول في Security Copilot ويتطلب وحدات حوسبة أمنية (SCUs). يمكنك نشر وحدات SCUs وزيادة أو تقليلها في أي وقت. لمزيد من المعلومات حول وحدات SCUs، راجع بدء استخدام Microsoft Security Copilot. إذا لم تكن قد قمت بإعداد Security Copilot بشكل صحيح ولكن طرحت سؤالا متعلقا بقدرات جدار الحماية في Azure من خلال تجربة Azure Copilot، سترى رسالة خطأ.

نموذج مطالبات جدار حماية Azure

للحصول على معلومات من جدار الحماية في Azure، استخدم التوجيهات. يسرد هذا القسم تلك التي تعمل على أفضل نحو اليوم. يتم تحديثه باستمرار مع إطلاق قدرات جديدة.

استرداد أعلى مرات توقيع IDPS لجدار حماية Azure معين

احصل على معلومات السجل حول حركة المرور التي اعترضتها ميزة IDPS بدلا من إنشاء استعلامات KQL يدويا.

لقطة شاشة تعرض القدرة على استرداد أعلى مرات توقيع IDPS لجدار حماية Azure.

عينة المطالبات:

  • هل اعترض جدار <Firewall name> الحماية أي حركة خبيثة؟
  • ما هي أفضل 20 نتيجة ل IDPS من الأيام السبعة الأخيرة لجدار الحماية <Firewall name> في مجموعة <resource group name>الموارد؟
  • أظهر لي في شكل جدولي أفضل 50 هجوما استهدفت جدار الحماية <Firewall name> في الاشتراك <subscription name> في الشهر الماضي.

إثراء ملف تعريف التهديد لتوقيع IDPS خارج معلومات السجل

احصل على تفاصيل إضافية لإثراء معلومات التهديد وملف توقيع IDPS بدلا من تجميعها يدويا بنفسك.

لقطة شاشة توضح القدرة على إثراء ملف تعريف التهديد لتوقيع IDPS خارج معلومات السجل.

عينة المطالبات:

  • شرح سبب وضع IDPS علامة على أعلى إصابة على أنها عالية الخطورة والضربة الخامسة منخفضة الخطورة.

  • ماذا يمكنك أن تخبرني عن هذا الهجوم؟ ما هي الهجمات الأخرى التي يعرف عنها هذا المهاجم؟

  • أرى أن معرف التوقيع الثالث مرتبط ب CVE <CVE number\>. حدثني المزيد عن هذه الشهادة الطيرانية الطيبة.

    إشعار

    المكون الإضافي ل Microsoft Threat Intelligence هو مصدر آخر قد يستخدمه Security Copilot لتوفير التحليل الذكي للمخاطر لتوقيعات IDPS.

ابحث عن توقيع IDPS معين عبر المستأجر أو الاشتراكات أو مجموعات الموارد

قم بإجراء بحث شامل على مستوى الأسطول (عبر أي نطاق عملي) عن تهديد عبر جميع جدران الحماية بدلا من البحث يدويا عن التهديد.

لقطة شاشة تعرض القدرة على البحث عن توقيع IDPS معين عبر المستأجر أو الاشتراكات أو مجموعات الموارد.

عينة المطالبات:

  • هل تم إيقاف معرف <ID number\> التوقيع فقط بسبب هذا الجدار الناري الواحد؟ ماذا عن الآخرين عبر هذا المستأجر بأكمله؟
  • هل رأى أي جدار حماية آخر أعلى ضرر في الاشتراك <subscription name>؟
  • خلال الأسبوع الماضي، هل رأى أي جدار حماية في مجموعة <resource group name\> الموارد معرف <ID number>التوقيع؟

قم بإنشاء توصيات لتأمين بيئتك باستخدام ميزة IDPS في جدار حماية Azure

احصل على معلومات من وثائق حول استخدام ميزة IDPS في Azure Firewall لتأمين بيئتك بدلا من الاضطرار إلى البحث عن هذه المعلومات يدويا.

لقطة شاشة تعرض التوصيات التي تم إنشاؤها لتأمين بيئتك باستخدام إمكانية ميزة IDPS في Azure Firewall.

عينة المطالبات:

  • كيف أعمل أحمي من الهجمات المستقبلية من هذا المهاجم عبر بنيتي التحتية بأكملها؟

  • إذا أردت التأكد من حماية جميع جدران حماية Azure من الهجمات من معرف <ID number\>التوقيع ، فكيف يمكنني تحقيق ذلك؟

  • ما الفرق في المخاطر بين وضعي التنبيه فقط والتنبيه والكتلة ل IDPS؟

    إشعار

    قد يستخدم Security Copilot أيضا قدرة Ask Microsoft Documentation لتوفير هذه المعلومات، وعند استخدام هذه القدرة عبر تجربة Azure Copilot، قد تستخدم خاصية الحصول على المعلومات لتوفير هذه المعلومات.

تقديم تعليقات

تعتبر ملاحظاتك حيوية لتوجيه التطوير الحالي والمخطط للمنتج. أفضل طريقة لتقديم هذه الملاحظات هي مباشرة في المنتج.

من خلال Security Copilot

حدد كيف تكون هذه الاستجابة؟ في أسفل كل مطالبة مكتملة واختر أيا من الخيارات التالية:

  • يبدو صحيحا - حدد ما إذا كانت النتائج دقيقة، استنادا إلى تقييمك.
  • يحتاج إلى تحسين - حدد ما إذا كانت أي تفاصيل في النتائج غير صحيحة أو غير مكتملة، استنادا إلى تقييمك.
  • غير مناسب - حدد ما إذا كانت النتائج تحتوي على معلومات مشكوك فيها أو غامضة أو يحتمل أن تكون ضارة.

لكل خيار ملاحظات، يمكنك توفير معلومات إضافية في مربع الحوار التالي. كلما كان ذلك ممكنا، وخاصة عندما تكون النتيجة بحاجة إلى تحسين، اكتب بضع كلمات تشرح كيفية تحسين النتيجة. إذا أدخلت مطالبات خاصة بجدار حماية Azure ولم تكن النتائج مرتبطة، فضمن هذه المعلومات.

عبر Azure Copilot

استخدم زري الإعجاب والكره في أسفل كل مطالبة مكتملة. لأي من خياري الملاحظات، يمكنك توفير معلومات إضافية في مربع الحوار التالي. كلما كان ذلك ممكنا، وخاصة عند عدم كرهك للاستجابة، اكتب بضع كلمات تشرح كيفية تحسين النتيجة. إذا أدخلت مطالبات خاصة بجدار حماية Azure ولم تكن النتائج مرتبطة، فضمن هذه المعلومات.

الخصوصية وأمان البيانات في Security Copilot

عندما تتفاعل مع Security Copilot سواء عبر بوابة Security Copilot أو تجربة Azure Copilot للحصول على المعلومات، يقوم Copilot بسحب تلك البيانات من جدار الحماية Azure. تتم معالجة المطالبات والبيانات التي تم استردادها والمخرجات المعروضة في نتائج المطالبة وتخزينها داخل خدمة Copilot. لمزيد من المعلومات، راجع الخصوصية وأمان البيانات في Microsoft Security Copilot.

المحتوى ذو الصلة

  • Last updated on