مشاركة عبر

أحداث Microsoft Sentinel في Copilot for Security

  • مقالة
  • ينطبق على:
    Microsoft Sentinel, Copilot for Security

Microsoft Copilot for Security هو نظام أساسي يساعدك على الدفاع عن مؤسستك بسرعة الجهاز وتوسيع نطاقه. يوفر Microsoft Sentinel مكونا إضافيا ل Copilot للمساعدة في تحليل الحوادث وإنشاء استعلامات التتبع.

جنبا إلى جنب مع المطالبات التكرارية باستخدام Copilot أخرى متطورة لمصادر الأمان التي تقوم بتمكينها، توفر أحداث Microsoft Sentinel وبياناتك رؤية أوسع للتهديدات وسياقها لمؤسستك.

لمزيد من المعلومات حول Copilot for Security، راجع المقالات التالية:

دمج Microsoft Sentinel مع Copilot for Security

يوفر Microsoft Sentinel مكونين إضافيين للتكامل مع Copilot for Security:

  • Microsoft Sentinel (معاينة)
  • اللغة الطبيعية إلى KQL ل Microsoft Sentinel (معاينة).

هام

المكونات الإضافية "Microsoft Sentinel" و"اللغة الطبيعية إلى KQL ل Microsoft Sentinel" قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

تكوين مساحة عمل Microsoft Sentinel افتراضية

قم بزيادة دقة المطالبة عن طريق تكوين مساحة عمل Microsoft Sentinel كإعداد افتراضي.

  1. انتقل إلى Copilot for Security في https://securitycopilot.microsoft.com/.

  2. فتح المصادر في شريط المطالبة.

  3. في صفحة إدارة المكونات الإضافية ، قم بتعيين التبديل إلى تشغيل

  4. حدد أيقونة الترس على المكون الإضافي Microsoft Sentinel (معاينة).

    لقطة شاشة لأيقونة ترس تحديد التخصيص للمكون الإضافي Microsoft Sentinel.

  5. تكوين اسم مساحة العمل الافتراضي.

    لقطة شاشة لخيارات تخصيص المكون الإضافي للمكون الإضافي Microsoft Sentinel.

تلميح

حدد مساحة العمل في المطالبة عندما لا تتطابق مع الإعداد الافتراضي الذي تم تكوينه.

مثال: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

دمج Microsoft Sentinel مع Copilot في Defender

استخدم النظام الأساسي لعمليات الأمان الموحدة مع بيانات Microsoft Sentinel للحصول على تجربة Copilot مضمنة للأمان. تسمح الحوادث الموحدة ل Microsoft Sentinel في مدخل Defender ل Copilot في Defender باستخدام قدراته مع بيانات Microsoft Sentinel.

على سبيل المثال:

لقطة شاشة لحادث Microsoft Sentinel من مدخل Defender مع تجربة Copilot المضمنة.

لمزيد من المعلومات، راجع الموارد التالية:

دمج Microsoft Sentinel مع Copilot for Security في التتبع المتقدم

تنشئ اللغة الطبيعية إلى KQL ل Microsoft Sentinel (معاينة) المكون الإضافي استعلامات تتبع KQL وتشغلها باستخدام بيانات Microsoft Sentinel. تتوفر هذه الإمكانية في التجربة المستقلة وقسم التتبع المتقدم في مدخل Microsoft Defender.

إشعار

في مدخل Microsoft Defender الموحد، يمكنك مطالبة Copilot for Security بإنشاء استعلامات تتبع متقدمة لكل من جداول Defender XDR وMicrosoft Sentinel. لا يتم دعم جميع جداول Microsoft Sentinel حاليا، ولكن يمكن توقع دعم هذه الجداول في المستقبل.

لمزيد من المعلومات، راجع Copilot for Security في التتبع المتقدم.

تحسين مطالبات Microsoft Sentinel

ضع في اعتبارك دفتر مطالبات التحقيق في الحوادث في Microsoft Sentinel كنقطة بداية لإنشاء مطالبات فعالة. يقدم دفتر المطالبة هذا تقريرا حول حادث معين، جنبا إلى جنب مع التنبيهات ذات الصلة، ودرجات السمعة، والمستخدمين، والأجهزة.

الإرشاد المطالبة
دفع Copilot لتوفير معلومات قابلة للقراءة البشرية بدلا من الاستجابة بمعرفات الكائنات. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
كوبيلوت يعرف من أنت. استخدم الضمائر "أنا" للعثور على الحوادث المتعلقة بك. تستهدف المطالبة التالية الحوادث المعينة لك. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
عند تضييق نطاق الاستجابة الفورية لحدث واحد، يعرف Copilot السياق. Tell me about the entities associated with that incident.
Copilot جيد في التلخيص. وصف جماعة مستهدفة معينة تريد تلخيص المطالبات والاستجابات لها. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

لمزيد من الإرشادات والعينات الموجهة، راجع الموارد التالية: