Microsoft Copilot for Security and Defender EASM

  • Článek

Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) nepřetržitě zjišťuje a mapuje prostor pro digitální útok, aby poskytoval externí pohled na vaši online infrastrukturu. Tato viditelnost umožňuje týmům zabezpečení a IT identifikovat neznámé, určit prioritu rizika, eliminovat hrozby a rozšířit kontrolu ohrožení zabezpečení a ohrožení zabezpečení nad rámec brány firewall. Přehledy pro útoky Surface se generují analýzou dat o ohrožení zabezpečení a infrastruktuře, aby se ukázaly klíčové oblasti zájmu vaší organizace.

Integrace EASM defenderu s Copilotem pro zabezpečení umožňuje uživatelům pracovat s zjištěnými útoky Microsoftu. Tyto útoky umožňují uživatelům rychle porozumět své externě přístupné infrastruktuře a relevantním kritickým rizikům pro svou organizaci. Poskytují přehled o konkrétních oblastech rizika, včetně ohrožení zabezpečení, dodržování předpisů a hygieny zabezpečení. Další informace o Copilot for Security naleznete v tématu Co je Microsoft Copilot for Security.

** Copilot for Security se integruje s eaSM v programu Defender.**.

Copilot for Security může zobrazit přehledy z EASM defenderu o prostoru útoku organizace. Můžete použít systémové funkce integrované do Copilot for Security a pomocí výzev získat další informace. Tyto informace vám můžou pomoct pochopit stav zabezpečení a zmírnit ohrožení zabezpečení.

Tento článek vás seznámí s copilotem pro zabezpečení a obsahuje ukázkové výzvy, které můžou uživatelům EASM v programu Defender pomoct.

Připojení Copilot do EASM defenderu

Požadavky

  • Přístup ke službě Copilot for Security s oprávněními k aktivaci nových připojení

Copilot pro připojení zabezpečení

  1. Access Copilot for Security a ujistěte se, že jste ověřeni.

  2. Na pravé horní straně vstupního panelu výzvy vyberte ikonu modulů plug-in.

    Snímek obrazovky znázorňující ikonu modulů plug-in

  3. Vyhledejte řešení Surface Management pro externí útoky defenderu v části Microsoft a zapněte připojení.

    Snímek obrazovky s aktivovaným programem EASM v programu Copilot

  4. Pokud chcete, aby funkce Copilot for Security načítá data z vašeho prostředku externího útoku v programu Microsoft Defender, kliknutím na ozubené kolo otevřete nastavení modulu plug-in a v okně Přehled vyplňte pole z části Základy vašeho prostředku.

Snímek obrazovky znázorňující pole EASM defenderu, která musí být nakonfigurovaná v Copilotu

Poznámka:

Zákazníci můžou dál používat dovednosti EASM defenderu, pokud si program EaSM nekoupili. Další informace najdete v referenční části o možnostech modulu plug-in.

Začínáme

Copilot for Security funguje primárně s výzvami přirozeného jazyka. Při dotazování na informace z PROGRAMU Defender EASM odešlete výzvu, která vás vyzve k výběru modulu plug-in EASM Defenderu pro Zabezpečení a vyvolání příslušné funkce.
Pro úspěch s výzvami Copilot doporučujeme následující:

  • Ujistěte se, že v první výzvě odkazujete na název společnosti. Pokud není uvedeno jinak, budou všechny budoucí výzvy poskytovat data o původně zadané společnosti.

  • S výzvami buďte jasní a konkrétní. Pokud do výzev zahrnete konkrétní názvy prostředků nebo hodnoty metadat (například ID CVE), získáte lepší výsledky.

    Může vám také pomoct přidat do výzvy EASM Defenderu, například:

    • Co jsou moje domény, jejichž platnost vypršela, podle programu Defender EASM?
    • Řekněte mi o přehledech útoku s vysokou prioritou v programu Defender EASM.

  • Experimentujte s různými výzvami a variantami a zjistěte, co je pro váš případ použití nejvhodnější. Modely AI chatu se liší, takže iterujte a upřesněte výzvy na základě výsledků, které obdržíte.

  • Funkce Copilot for Security ukládá relace výzvy. Pokud chcete zobrazit předchozí relace, přejděte v copilotu pro zabezpečení do nabídky >Moje relace.

    Návod ke službě Copilot for Security, včetně funkce připnutí a sdílení, najdete v části Navigace v aplikaci Microsoft Copilot for Security.

Další informace o psaní copilotu pro výzvy zabezpečení najdete v tématu Microsoft Copilot for Security prompting tips.

Referenční informace o možnostech modulů plug-in

Schopnost Popis Vstupy Chování
Získání souhrnu prostoru pro útoky Vrátí souhrn prostoru pro útok pro prostředek EASM v programu Defender zákazníka nebo pro daný název společnosti. Příklady vstupů:
• Získejte prostor pro útok pro LinkedIn.  
• Získejte prostor pro útoky. 
• Jaký je prostor pro útok pro Microsoft?  
• Jaký je můj prostor pro útoky? 
• Jaké jsou externě přístupné prostředky pro Azure? 
• Jaké jsou moje externě přístupné prostředky? 

Volitelné vstupy:
•Companyname		 Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• Shrnutí prostoru pro návrat k útoku pro prostředek EASM defenderu zákazníka. 

Pokud je zadaný jiný název společnosti:
 • Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. 
• Pokud existuje přesná shoda, vraťte souhrn prostoru pro útok pro daný název společnosti.
Získání přehledů o útoku pro Surface Vrátí přehledy o útoku pro prostředek EASM v programu Defender zákazníka nebo pro daný název společnosti.  Příklady vstupů:
• Získejte přehledy o útoku s vysokou prioritou pro LinkedIn. 
• Získejte přehledy o útoku s vysokou prioritou. 
• Získejte přehledy o útoku s nízkou prioritou pro Microsoft. 
• Získejte přehledy o útoku s nízkou prioritou. 
• Mám v prostoru pro externí útoky pro Azure ohrožení zabezpečení s vysokou prioritou? 

Požadované vstupy:
• PrioritaLevel – úroveň priority musí být vysoká, střední nebo nízká (pokud není k dispozici, výchozí hodnota je vysoká).

Volitelné vstupy:
• Název společnosti – název společnosti 		Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• Vrácení přehledů o prostoru pro útoky pro prostředek EASM defenderu zákazníka 

Pokud je zadaný jiný název společnosti:
• Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod.
• Pokud existuje přesná shoda, vraťte přehledy o prostoru útoku pro daný název společnosti. 
Získání prostředků ovlivněných CVE Vrátí prostředky ovlivněné CVE pro prostředek EASM v programu Defender zákazníka nebo název dané společnosti.  Příklady vstupů:

• Získejte prostředky ovlivněné CVE-2023-0012 pro LinkedIn. 
• Které prostředky jsou ovlivněny CVE-2023-0012 pro Microsoft? 
• Týká se vnější útok Azure CVE-2023-0012? 
• Získejte prostředky ovlivněné CVE-2023-0012 pro prostor pro útok. 
• Které z mých aktiv má cve-2023-0012 vliv? 
• Ovlivňuje můj vnější útok CVE-2023-0012? 

Požadované vstupy:
• CveId

Volitelné vstupy:
•Companyname		 Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• Pokud se nastavení modulu plug-in nevyplní, selžou se a připomeňte zákazníkům. 
• Pokud se vyplní nastavení modulu plug-in, vraťte prostředky ovlivněné cve pro prostředek EASM v programu Defender zákazníka.

Pokud je zadaný jiný název společnosti:
• Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. 
• Pokud existuje přesná shoda, vraťte aktiva ovlivněná cve pro daný název společnosti. 
Získání prostředků ovlivněných nástrojem CVSS Vrátí aktiva ovlivněná skóre CVSS pro prostředek EASM v programu Defender zákazníka nebo název dané společnosti.  Příklady vstupů:
• Získejte prostředky ovlivněné vysokou prioritou CVSS v prostoru útoku LinkedIn.
• Kolik prostředků má pro Microsoft kritické cvss? 
• Které prostředky mají kritické CVSS pro Azure? 
• Získejte prostředky ovlivněné vysokou prioritou CVSS na mém prostoru útoku. 
• Kolik z mých prostředků má kritické CVSS? 
• Pro který z mých prostředků je důležité CVSS? 

Požadované vstupy:
• CvssPriority (priorita CVSS musí být kritická, vysoká, střední nebo nízká.

Volitelné vstupy:
•Companyname		 Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• Pokud se nastavení modulu plug-in nevyplní, selžou se a připomeňte zákazníkům. 
• Pokud se vyplní nastavení modulu plug-in, vraťte prostředky ovlivněné skóre CVSS pro prostředek EASM defenderu zákazníka.

Pokud je zadaný jiný název společnosti:
• Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. 
• Pokud dojde k přesné shodě, vraťte aktiva ovlivněná skóre CVSS pro daný název společnosti. 
Získání domén s vypršenou platností Vrátí počet domén, jejichž platnost vypršela, pro prostředek EASM v programu Defender zákazníka nebo pro daný název společnosti.  Příklady vstupů:
• Kolik domén vypršelo na místě útoku na LinkedIn?  
• Kolik prostředků používá domény s vypršenou platností pro Microsoft? 
• Kolik domén mi vypršelo v prostoru pro útoky?  
• Kolik mých prostředků používá domény s vypršenou platností pro Microsoft? 

Volitelné vstupy:
•Companyname		 Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• vrátí počet domén, jejichž platnost vypršela, pro prostředek EASM v programu Defender zákazníka.

Pokud je zadaný jiný název společnosti:
• Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. 
• Pokud existuje přesná shoda, vraťte počet domén s vypršenou platností pro daný název společnosti. 
Získání certifikátů s vypršenou platností Vrátí počet prošlých certifikátů SSL pro prostředek EASM v programu Defender zákazníka nebo název dané společnosti.  Příklady vstupů:
• Kolik certifikátů SSL vypršelo pro LinkedIn?  
• Kolik prostředků používá certifikáty SSL s vypršenou platností pro Microsoft? 
• Kolik certifikátů SSL vypršelo pro můj prostor pro útoky?  
• Jaké jsou moje certifikáty SSL s vypršenou platností? 

Volitelné vstupy:
•Companyname		 Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• vrátí počet certifikátů SSL pro prostředek EASM v programu Defender zákazníka.

Pokud je zadaný jiný název společnosti:
 • Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. 
 • Pokud existuje přesná shoda, vraťte počet certifikátů SSL pro daný název společnosti. 
Získání certifikátů SHA1 Vrátí počet certifikátů SSL SHA1 pro prostředek EASM v programu Defender zákazníka nebo název dané společnosti.  Příklady vstupů:
• Kolik certifikátů SSL SHA1 je k dispozici pro LinkedIn?  
• Kolik prostředků používá SSL SHA1 pro Microsoft? 
• Kolik certifikátů SSL SHA1 je pro můj prostor pro útoky?  
• Kolik mých prostředků používá SSL SHA1? 

Volitelné vstupy:
•Companyname		 Pokud je váš modul plug-in nakonfigurovaný na aktivní prostředek EASM Defenderu a není zadána žádná jiná společnost:
• vrátí počet certifikátů SSL SHA1 pro prostředek EASM v programu Defender zákazníka.

Pokud je zadaný jiný název společnosti:
 • Pokud není žádná přesná shoda s názvem společnosti, vrátí seznam možných shod. 
 • Pokud existuje přesná shoda, vraťte počet certifikátů SSL SHA1 pro daný název společnosti. 

Přepínání mezi zdroji a firemními daty

I když jsme pro naše dovednosti přidali integraci prostředků, stále podporujeme načítání dat z předem připravených prostorů pro útoky pro konkrétní společnosti. Pokud chcete zlepšit přesnost služby Copilot pro zabezpečení při určování, kdy chce zákazník získat prostor pro útok nebo předem připravenou plochu útoku, doporučujeme použít "my", "my", "my attack surface" atd. k vyjádření toho, že chce použít svůj prostředek a "jejich", "{konkrétní název společnosti}", atd., aby vyjádřili, že chtějí předem připravenou plochu útoku. I když to zlepšuje prostředí v jedné relaci, důrazně doporučujeme mít dvě samostatné relace, abyste se vyhnuli nejasnostem.

Poskytnutí názorů

Váš názor na Copilot for Security obecně a modul plug-in EASM Defenderu je nezbytný pro vedení aktuálního a plánovaného vývoje produktu. Optimální způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu pomocí tlačítek zpětné vazby v dolní části každé dokončené výzvy. Vyberte "Vypadá správně", "Potřebuje zlepšení" nebo "Nevhodné". Pokud výsledek odpovídá očekávání, doporučujeme "Vypadat správně", "Potřebuje zlepšení", pokud ne, a "Nevhodné", když je výsledek nějakým způsobem škodlivý.

Kdykoli je to možné, a zejména v případě, že výsledek je Potřeba zlepšit, napište několik slov s vysvětlením toho, co můžeme udělat pro zlepšení výsledku. To platí také v případě, že jste očekávali, že modul plug-in Copilot for Security vyvolá modul plug-in Defender EASM, ale místo toho byl vybrán jiný modul plug-in.

Zpracování dat a ochrana osobních údajů

Při interakci s Copilotem pro zabezpečení získáte data EASM Defenderu, copilot tato data načítá z EASM Defenderu. Výzvy, načtená data a výstup zobrazený ve výsledcích výzvy se zpracuje a uloží ve službě Copilot for Security.

Další informace o ochraně osobních údajů v aplikaci Copilot for Security najdete v tématu Ochrana osobních údajů a zabezpečení dat v aplikaci Microsoft Copilot for Security.