Integrace služby Azure Firewall ve službě Microsoft Security Copilot

Security Copilot je generativní nástroj zabezpečení založený na umělé inteligenci, který pomáhá zvyšovat efektivitu a schopnosti bezpečnostního personálu pro zlepšení bezpečnostních výsledků při rychlosti a rozsahu strojů. Poskytuje přirozené jazykové prostředí, asistivní zážitek ve stylu kopilota, který pomáhá odborníkům na zabezpečení v důkladných scénářích, jako je reakce na incidenty, hledání hrozeb, shromažďování inteligence a řízení bezpečnostního stavu. Další informace o tom, co může dělat, naleznete v tématu Co je Microsoft Security Copilot?

Než začnete

Pokud s funkcemi Security Copilot začínáte, seznamte se s ním v těchto článcích:

Integrace služby Security Copilot ve službě Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před internetovými útoky pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností.

Integrace Azure Firewall ve službě Security Copilot pomáhá analytikům provádět podrobné šetření škodlivého provozu zachyceného funkcí IDPS jejich firewallů napříč celou jejich IT infrastrukturou pomocí otázek v přirozeném jazyce.

Tuto integraci můžete použít ve dvou různých prostředích:

Další informace najdete v tématech Microsoft Security Copilot experiences a Azure Copilot capabilities.

Klíčové funkce

Security Copilot má integrované systémové funkce, které získávají data z různých modulů plug-in, které jsou zapnuté.

Pokud chcete zobrazit seznam integrovaných systémových funkcí pro službu Azure Firewall, použijte následující postup na portálu Security Copilot:

  1. Na panelu výzvy vyberte ikonu Výzvy .

  2. Vyberte Zobrazit všechny možnosti systému.

  3. V části Azure Firewall jsou uvedeny všechny dostupné funkce, které můžete použít.

Povolení integrace služby Azure Firewall v nástroji Security Copilot

  1. Ujistěte se, že je služba Azure Firewall správně nakonfigurovaná:

    • Strukturované protokoly služby Azure Firewall – pokud chcete používat brány Azure Firewall se službou Security Copilot, nakonfigurujte je pomocí strukturovaných protokolů specifických pro prostředek pro IDPS a odešlete tyto protokoly do pracovního prostoru služby Log Analytics.

    • Řízení přístupu na základě role pro Službu Azure Firewall – uživatelé používající modul plug-in Azure Firewall ve službě Security Copilot musí mít příslušné role řízení přístupu na základě role Azure pro přístup k bráně firewall a přidruženým pracovním prostorům služby Log Analytics.

  2. Přejděte do souboru Security Copilot a přihlaste se pomocí svých přihlašovacích údajů.

  3. Ujistěte se, že je zapnutý modul plug-in Azure Firewall. Na panelu výzvy vyberte ikonu Zdroje . V automaticky otevíraných otevíraných oknech Spravovat zdroje ověřte, že je přepínač služby Azure Firewall zapnutý. Pak okno zavřete. Není nutná žádná jiná konfigurace. Pokud se strukturované protokoly odesílají do pracovního prostoru služby Log Analytics a máte správná oprávnění řízení přístupu na základě role, copilot najde data, která potřebuje k zodpovězení vašich otázek.

    Snímek obrazovky znázorňující modul plug-in Azure Firewall

  4. Na panelu výzvy na portálu Security Copilot nebo prostřednictvím prostředí Azure Copilot na webu Azure Portal zadejte výzvu.

    Důležité

    Použití Azure Copilotu k dotazování služby Azure Firewall je součástí služby Security Copilot a vyžaduje výpočetní jednotky zabezpečení (SCU). SKU můžete nasadit a kdykoliv je zvýšit nebo snížit. Další informace o SCU naleznete v tématu Začínáme se službou Microsoft Security Copilot. Pokud nemáte správně nakonfigurovaný nástroj Security Copilot, ale položte otázku související s možnostmi služby Azure Firewall prostřednictvím prostředí Azure Copilot, zobrazí se chybová zpráva.

Ukázkové výzvy služby Azure Firewall

Pokud chcete získat informace ze služby Azure Firewall, použijte výzvy. V této části jsou uvedeny ty, které dnes fungují nejlépe. Průběžně se aktualizuje při spuštění nových funkcí.

Načíst nejčastější zásahy podpisů IDPS u daného firewallu Azure

Získejte protokolové informace o provozu, který je zachycen funkcí IDPS, místo ručního vytváření dotazů KQL.

Snímek obrazovky zobrazující možnost načtení nejčastějších signatur zásahu IDPS pro Azure Firewall.

Ukázkové výzvy:

  • Zachytila brána firewall <Firewall name> nějaký škodlivý provoz?
  • Jaké jsou 20 nejlepších zásahů systému detekce a prevence průniků z posledních sedmi dnů pro bránu firewall <Firewall name> ve skupině <resource group name> prostředků?
  • Ukažte mi v tabulkové podobě prvních 50 útoků, které cílí na bránu firewall <Firewall name> v předplatném <subscription name> za poslední měsíc.

Rozšíření profilu hrozby podpisu IDPS nad rámec informací protokolu

Získejte další podrobnosti pro obohacení informací o hrozbách a profil podpisu v IDPS, místo toho, abyste si je sestavovali ručně.

Snímek obrazovky znázorňující možnost obohacení profilu hrozby podpisu IDPS nad rámec informací protokolu

Ukázkové výzvy:

  • Vysvětlete, proč IDPS vyhodnotilo nejvyšší zásah jako s vysokou závažností a pátý zásah jako s nízkou závažností.

  • Co mi můžete říct o tomto útoku? Jaké jsou další útoky, o kterých je tento útočník známý?

  • Vidím, že id třetího podpisu je přidruženo k CVE <CVE number\>. Řekněte mi o tomto CVE další informace.

    Poznámka:

    Modul plug-in Microsoft Threat Intelligence je dalším zdrojem, pomocí kterého může funkce Security Copilot poskytovat informace o hrozbách pro podpisy IDPS.

Vyhledejte zadaný podpis IDPS napříč vaším tenantem, předplatnými nebo skupinami prostředků.

Proveďte vyhledávání v celé flotile (v libovolném rozsahu) pro hrozbu ve všech firewallech, místo abyste hrozbu hledali ručně.

Snímek obrazovky znázorňující možnost hledání daného podpisu IDPS v rámci vašeho tenanta, předplatných nebo skupin prostředků

Ukázkové výzvy:

  • Bylo ID <ID number\> podpisu zastaveno pouze touto bránou firewall? A co ostatní v celém tomto nájemci?
  • Byl nejlepší zásah zaznamenán nějakou jinou bránou firewall v předplatném <subscription name>?
  • V minulém týdnu byla u některé brány firewall ve skupině <resource group name\> prostředků zaznamenána identifikace <ID number> podpisu?

Generování doporučení pro zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

Získejte informace z dokumentace o použití funkce IDPS služby Azure Firewall k zabezpečení vašeho prostředí místo ručního vyhledávání těchto informací.

Snímek obrazovky zobrazující vygenerovaná doporučení k zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

Ukázkové výzvy:

  • Jak se mohu chránit před budoucími útoky od tohoto útočníka v rámci mé celé infrastruktury?

  • Pokud se chci ujistit, že jsou všechny moje firewally Azure chráněné proti útokům podle ID <ID number\> podpisu, jak to udělám?

  • Jaký je rozdíl v riziku mezi režimem pouze výstrah a režimem výstrah a blokování pro IDPS?

    Poznámka:

    Bezpečnostní asistent (Security Copilot) může také použít funkci Ask Microsoft Documentation k poskytnutí těchto informací, a při použití této funkce prostřednictvím prostředí Azure Copilot může být k poskytnutí těchto informací použita funkce Získat informace.

Poskytnutí názorů

Vaše zpětná vazba je nezbytná pro vedení aktuálního a plánovaného vývoje produktu. Nejlepší způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu.

Prostřednictvím Security Copilot

Vyberte Jaká je tato odpověď? v dolní části každého dokončeného pokynu a zvolte některou z následujících možností:

  • Vypadá to správně – vyberte, jestli jsou výsledky na základě vašeho posouzení přesné.
  • Potřebuje vylepšení – vyberte, jestli jsou v závislosti na vašem posouzení nesprávné nebo neúplné nějaké podrobnosti ve výsledcích.
  • Nevhodné – Vyberte, jestli výsledky obsahují nejednoznačné, nejednoznačné nebo potenciálně škodlivé informace.

Pro každou možnost zpětné vazby můžete zadat další informace v následujícím dialogovém okně. Kdykoli je to možné, a zejména v případě, že výsledek je Potřeba zlepšit, napište několik slov vysvětlujících, jak se dá výsledek vylepšit. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Prostřednictvím Azure Copilotu

Použijte tlačítka líbí se a nelíbí se umístěná ve spodní části každé dokončené výzvy. U obou možností zpětné vazby můžete zadat další informace v následujícím dialogovém okně. Kdykoli je to možné, a zejména v případě, že se vám nelíbí odpověď, napište několik slov vysvětlující, jak se dá výsledek vylepšit. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Ochrana osobních údajů a zabezpečení dat v platformě Security Copilot

Při interakci se Security Copilot prostřednictvím portálu Security Copilot nebo prostředí Azure Copilot získává data z Azure Firewallu. Výzvy, načtená data a výstup zobrazený ve výsledcích výzvy se zpracovávají a ukládají ve službě Copilot. Další informace naleznete v tématu Ochrana osobních údajů a zabezpečení dat v aplikaci Microsoft Security Copilot.

Související obsah

  • Last updated on