Sdílet prostřednictvím

Integrace služby Azure Firewall ve službě Microsoft Security Copilot

Security Copilot je generativní nástroj zabezpečení založený na umělé inteligenci, který pomáhá zvyšovat efektivitu a schopnosti bezpečnostního personálu pro zlepšení bezpečnostních výsledků při rychlosti a rozsahu strojů. Poskytuje zážitek asistivního kopilota v přirozeném jazyce, který podporuje odborníky na zabezpečení v komplexních scénářích od začátku do konce, jako jsou reakce na incidenty, vyhledávání hrozeb, shromažďování informací a správa postojů. Další informace o tom, co může dělat, naleznete v tématu Co je Microsoft Security Copilot?

Než začnete

Pokud jste novým uživatelem Security Copilot, měli byste se s ním seznámit přečtením těchto článků:

Integrace služby Security Copilot ve službě Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností.

Integrace služby Azure Firewall ve službě Security Copilot pomáhá analytikům provádět podrobné šetření škodlivého provozu zachyceného funkcí IDPS svých bran firewall v celém vozovém parku pomocí otázek v přirozeném jazyce.

Tuto integraci můžete použít ve dvou různých prostředích:

Další informace najdete v tématech Microsoft Security Copilot experiences a Azure Copilot capabilities.

Klíčové funkce

Security Copilot má integrované systémové funkce, které můžou získávat data z různých modulů plug-in, které jsou zapnuté.

Pokud chcete zobrazit seznam integrovaných systémových funkcí pro službu Azure Firewall, použijte následující postup na portálu Security Copilot:

  1. Na panelu výzvy vyberte ikonu Výzvy .

  2. Vyberte Zobrazit všechny možnosti systému.

  3. V části Azure Firewall jsou uvedeny všechny dostupné funkce, které můžete použít.

Povolení integrace služby Azure Firewall v nástroji Security Copilot

  1. Ujistěte se, že je služba Azure Firewall správně nakonfigurovaná:

    • Strukturované protokoly služby Azure Firewall – Brány Azure Firewall, které se mají používat s nástrojem Security Copilot, musí být nakonfigurované s protokoly specifické pro konkrétní prostředky pro IDPS a tyto protokoly se musí odesílat do pracovního prostoru služby Log Analytics.

    • Řízení přístupu na základě role pro Službu Azure Firewall – uživatelé používající modul plug-in Azure Firewall ve službě Security Copilot musí mít příslušné role řízení přístupu na základě role Azure pro přístup k bráně firewall a přidruženým pracovním prostorům služby Log Analytics.

  2. Přejděte do souboru Security Copilot a přihlaste se pomocí svých přihlašovacích údajů.

  3. Ujistěte se, že je zapnutý modul plug-in Azure Firewall. Na panelu výzvy vyberte ikonu Zdroje . V automaticky otevíraných otevíraných oknech Spravovat zdroje ověřte, že je přepínač služby Azure Firewall zapnutý. Pak okno zavřete. Není nutná žádná jiná konfigurace. Pokud se strukturované protokoly odesílají do pracovního prostoru služby Log Analytics a máte správná oprávnění řízení přístupu na základě role, copilot najde data, která potřebuje k zodpovězení vašich otázek.

    Snímek obrazovky znázorňující modul plug-in Azure Firewall

  4. Na panelu výzvy na portálu Security Copilot nebo prostřednictvím prostředí Azure Copilot na webu Azure Portal zadejte výzvu.

    Důležité

    Použití Azure Copilotu k dotazování služby Azure Firewall je součástí služby Security Copilot a vyžaduje výpočetní jednotky zabezpečení (SCU). SKU můžete nasadit a kdykoliv je zvýšit nebo snížit. Další informace o SCU naleznete v tématu Začínáme se službou Microsoft Security Copilot. Pokud nemáte správně nakonfigurovaný nástroj Security Copilot, ale položte otázku související s možnostmi služby Azure Firewall prostřednictvím prostředí Azure Copilot, zobrazí se chybová zpráva.

Ukázkové výzvy služby Azure Firewall

K získání informací ze služby Azure Firewall můžete použít mnoho výzev. V této části jsou uvedeny ty, které dnes fungují nejlépe. Průběžně se aktualizují při spuštění nových funkcí.

Načíst nejčastější zásahy podpisů IDPS u daného firewallu Azure

Získejte protokolové informace o provozu, který je zachycen funkcí IDPS, místo ručního vytváření dotazů KQL.

Snímek obrazovky zobrazující možnost načtení nejčastějších signatur zásahu IDPS pro Azure Firewall.

Ukázkové výzvy:

  • Došlo k nějakému škodlivému provozu zachyceného bránou firewall <Firewall name>?
  • Jaké jsou 20 nejlepších zásahů systému detekce a prevence průniků z posledních sedmi dnů pro bránu firewall <Firewall name> ve skupině <resource group name> prostředků?
  • Ukažte mi v tabulkové podobě prvních 50 útoků, které cílí na bránu firewall <Firewall name> v předplatném <subscription name> za poslední měsíc.

Rozšíření profilu hrozby podpisu IDPS nad rámec informací protokolu

Získejte další podrobnosti, které obohatí informace o hrozbách nebo profil podpisu IDPS, místo abyste je sami ručně sestavovali.

Snímek obrazovky znázorňující možnost obohacení profilu hrozby podpisu IDPS nad rámec informací protokolu

Ukázkové výzvy:

  • Vysvětlete, proč IDPS vyhodnotilo nejvyšší zásah jako s vysokou závažností a pátý zásah jako s nízkou závažností.

  • Co mi můžete říct o tomto útoku? Jaké jsou další útoky, o kterých je tento útočník známý?

  • Vidím, že třetí ID podpisu je přidružené k CVE <CVE number\>, řekněte mi více o tomto CVE.

    Poznámka:

    Modul plug-in Microsoft Threat Intelligence je dalším zdrojem, pomocí kterého může funkce Security Copilot poskytovat informace o hrozbách pro podpisy IDPS.

Vyhledejte zadaný podpis IDPS napříč vaším tenantem, předplatnými nebo skupinami prostředků.

Proveďte vyhledávání v celé flotile (v libovolném rozsahu) pro hrozbu napříč všemi firewally, místo abyste hrozbu hledali ručně.

Snímek obrazovky znázorňující možnost hledání daného podpisu IDPS v rámci vašeho tenanta, předplatných nebo skupin prostředků

Ukázkové výzvy:

  • Bylo ID <ID number\> podpisu zastaveno pouze tímto firewallem? A co ostatní v celém tomto nájemci?
  • Byl nejvýznamnější zásah zaznamenán nějakou jinou bránou firewall v tomto předplatném <subscription name>?
  • V minulém týdnu se u nějaké brány firewall ve skupině <resource group name\> prostředků zobrazilo ID <ID number>podpisu?

Generování doporučení pro zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

Získejte informace z dokumentace o použití funkce IDPS služby Azure Firewall k zabezpečení vašeho prostředí místo ručního vyhledávání těchto informací.

Snímek obrazovky zobrazující vygenerovaná doporučení k zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

Ukázkové výzvy:

  • Jak se mohu chránit před budoucími útoky od tohoto útočníka v rámci mé celé infrastruktury?

  • Pokud se chci ujistit, že jsou všechny moje firewally Azure chráněné proti útokům podle ID <ID number\> podpisu, jak to udělám?

  • Jaký je rozdíl v riziku mezi režimem pouze výstrah a režimem výstrah a blokování pro IDPS?

    Poznámka:

    Funkce Security Copilot může také využívat schopnost Ask Microsoft Documentation k poskytnutí těchto informací, a při použití této schopnosti v prostředí Azure Copilot může být využita schopnost Získat informace k poskytnutí těchto informací.

Poskytnutí názorů

Vaše zpětná vazba je nezbytná pro vedení aktuálního a plánovaného vývoje produktu. Nejlepší způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu.

Prostřednictvím Security Copilot

Vyberte Jaká je tato odpověď? v dolní části každého dokončeného pokynu a zvolte některou z následujících možností:

  • Vypadá to správně – vyberte, jestli jsou výsledky na základě vašeho posouzení přesné.
  • Potřebuje vylepšení – vyberte, jestli jsou v závislosti na vašem posouzení nesprávné nebo neúplné nějaké podrobnosti ve výsledcích.
  • Nevhodné – Vyberte, jestli výsledky obsahují nejednoznačné, nejednoznačné nebo potenciálně škodlivé informace.

Pro každou možnost zpětné vazby můžete zadat další informace v následujícím dialogovém okně. Kdykoli je to možné, a zejména v případě, že výsledek je Potřeba zlepšit, napište několik slov vysvětlujících, jak se dá výsledek vylepšit. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Prostřednictvím Azure Copilotu

Použijte tlačítka líbí se a nelíbí se umístěná ve spodní části každé dokončené výzvy. U obou možností zpětné vazby můžete zadat další informace v následujícím dialogovém okně. Kdykoli je to možné, a zejména v případě, že se vám nelíbí odpověď, napište několik slov vysvětlující, jak se dá výsledek vylepšit. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Ochrana osobních údajů a zabezpečení dat v platformě Security Copilot

Při interakci se Security Copilot prostřednictvím portálu Security Copilot nebo prostředí Azure Copilot získává data z Azure Firewallu. Výzvy, načtená data a výstup zobrazený ve výsledcích výzvy se zpracovávají a ukládají ve službě Copilot. Další informace naleznete v tématu Ochrana osobních údajů a zabezpečení dat v aplikaci Microsoft Security Copilot.

Související obsah

  • Last updated on