Teilen über


Integration der Azure Firewall in Microsoft Copilot für Security (Preview)

Wichtig

Die Integration der Azure Firewall in Microsoft Copilot für Security befindet sich aktuell in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Copilot für Security ist eine generative KI-gestützte Sicherheitslösung, die dazu beiträgt, die Effizienz und die Fähigkeiten von Sicherheitsteams zu erhöhen, um sicherheitsrelevante Ergebnisse mit Maschinengeschwindigkeit und -skalierung zu verbessern. Er bietet eine helfende Copilot-Erfahrung in natürlicher Sprache, die Sicherheitsfachkräfte in End-to-End-Szenarien wie Incident Response, Suche nach Cyberbedrohungen, Sammeln von Informationen und Verwaltung des Sicherheitsstatus unterstützt. Weitere Informationen über den Funktionsumfang finden Sie unter Was ist Microsoft Copilot für Security?

Wissenswertes für die Vorbereitung

Wenn Sie Microsoft Copilot for Security noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:

Integration von Microsoft Copilot for Security in Azure Firewall

Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der erstklassigen Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.

Die Azure Firewall-Integration unterstützt Analyseteams mithilfe von Fragen in natürlicher Sprache in der eigenständigen Microsoft Copilot für Security-Oberfläche bei der Durchführung detaillierter Untersuchungen von bösartigem Datenverkehr, der von sämtlichen IDPS- und/oder Bedrohungserkennungsfeatures ihrer Firewalls abgefangen wird.

Dieser Artikel bietet eine Einführung in Copilot und enthält Beispielprompts, die Azure Firewall-Benutzerinnen und -Benutzern helfen können.

Sie können die Azure Firewall-Integration in Microsoft Copilot für Security im Microsoft Copilot für Security-Portalverwenden. Weitere Informationen finden Sie unter Microsoft Copilot für Security-Oberflächen.

Schlüsselfunktionen

Microsoft Copilot für Security verfügt über integrierte Systemfunktionen, die Daten aus den verschiedenen Plug-Ins abrufen können, die aktiviert sind.

Um die Liste der integrierten Systemfunktionen für Azure Firewall anzuzeigen, gehen Sie wie folgt vor:

  1. Wählen Sie in der Promptleiste das Symbol Prompts aus.

    Screenshot der Promptleiste in Microsoft Copilot für Security, auf der das Symbol „Prompts“ hervorgehoben ist.

  2. Wählen Sie Alle Systemfunktionen anzeigen. Im Abschnitt Azure Firewall sind alle verfügbaren Funktionen aufgeführt, die Sie verwenden können.

Aktivieren der Integration der Azure Firewall in Microsoft Copilot für Security

  1. Stellen Sie sicher, dass Ihre Azure Firewall ordnungsgemäß konfiguriert ist:

    • Strukturierte Azure Firewall-Protokolle – Azure Firewalls, die mit Microsoft Copilot for Security verwendet werden sollen, müssen mit ressourcenspezifischen strukturierten Protokollen für IDPS konfiguriert werden. Diese Protokolle müssen an einen Log Analytics-Arbeitsbereich gesendet werden.
    • Rollenbasierte Zugriffssteuerung für Azure Firewall – Benutzerinnen und Benutzer, die das Azure Firewall-Plug-In in Microsoft Copilot for Security verwenden, müssen über die entsprechenden Azure RBAC-Rollen verfügen, um auf die Firewall und die zugehörigen Log Analytics-Arbeitsbereiche zuzugreifen.
  2. Wechseln Sie zu Microsoft Copilot für Security, und melden Sie sich mit Ihren Anmeldeinformationen an.

  3. Stellen Sie sicher, dass das Azure Firewall-Plug-In aktiviert ist. Wählen Sie in der Promptleiste das Symbol Quellen aus.

    Screenshot der Promptleiste in Microsoft Copilot für Security, auf der das Symbol „Quellen“ hervorgehoben ist.

    Vergewissern Sie sich im angezeigten Popupfenster Quellen verwalten, dass der Schalter Azure Firewall aktiviert ist, und schließen Sie dann das Fenster.

    Screenshot des Azure Firewall-Plug-In.

    Hinweis

    Einige Rollen können die Umschaltfläche für Plug-Ins wie Azure Firewall aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Verwalten von Plug-Ins in Microsoft Copilot für Security.

  4. Geben Sie Ihren Prompt in der Promptleiste ein.

Beispiel für Azure Firewall-Prompts

Es gibt viele Prompts, mit denen Sie Informationen aus der Azure Firewall abrufen können. In diesem Abschnitt werden diejenigen aufgelistet, die heute am besten funktionieren. Sie werden kontinuierlich aktualisiert, wenn neue Funktionen eingeführt werden.

Abrufen der wichtigsten IDPS-Signaturtreffer für eine Azure Firewall

Rufen Sie Protokollinformationen über den vom IDPS-Feature abgefangenen Datenverkehr ab, anstatt KQL-Abfragen manuell zu erstellen.

Beispielprompts:

  • Wurde von meiner Firewall <Firewallname> böswilliger Datenverkehr abgefangen?
  • Was sind die 20 wichtigsten IDPS-Treffer der letzten sieben Tage für die Firewall <Firewallname> in der Ressourcengruppe <Ressourcengruppenname>?
  • Zeig mir in tabellarischer Form die 50 wichtigsten Angriffe auf die Firewall <Firewallname> im Abonnement <Abonnementnamen> im letzten Monat.

Anreichern des Bedrohungsprofils einer IDPS-Signatur über Protokollinformationen hinaus

Rufen Sie zusätzliche Details ab, um die Bedrohungsinformationen/das Profil einer IDPS-Signatur zu erweitern, anstatt sie manuell zu kompilieren.

Beispielprompts:

  • Erläutere, warum IDPS den ersten Treffer mit einem hohen Schweregrad und den fünften Treffer mit einem niedrigeren Schweregrad gekennzeichnet hat.
  • Was kannst du mir über diesen Angriff sagen? Für welche anderen Angriffe ist dieser Angreifer bekannt?
  • Ich sehe, dass die dritte Signatur-ID mit der CVE <CVE-Nummer> verknüpft ist. Sag mir mehr über diese CVE-Nummer.

Hinweis

Das Microsoft Threat Intelligence-Plug-In ist eine weitere Quelle, die Microsoft Copilot for Security verwenden kann, um Threat Intelligence für IDPS-Signaturen bereitzustellen.

Suche nach einer bestimmten IDPS-Signatur für Ihren Mandanten, Ihr Abonnement oder Ihre Ressourcengruppe

Führen Sie eine flottenweiten Suche (über einen beliebigen Bereich) für eine Bedrohung in allen Firewalls aus, anstatt manuell nach der Bedrohung zu suchen.

Beispielprompts:

  • Wurde die Signatur-ID <ID-Nummer> nur von dieser Firewall gestoppt? Wie sieht es mit anderen in diesem gesamten Mandanten aus?
  • Wurde der Toptreffer von einer anderen Firewall im Abonnement <Abonnementnamen> wahrgenommen?
  • Hat in der letzten Woche eine Firewall in der Ressourcengruppe <Ressourcengruppennamen> die Signatur-ID <ID-Nummer> wahrgenommen?

Generieren von Empfehlungen zum Sichern Ihrer Umgebung mithilfe des IDPS-Features von Azure Firewall

Rufen Sie Informationen aus der Dokumentation über die Verwendung des IDPS-Features von Azure Firewall ab, um Ihre Umgebung zu schützen, anstatt diese Informationen manuell nachschlagen zu müssen.

Beispielprompts:

  • Wie kann ich mich vor zukünftigen Angriffen von diesem Angreifer in meiner gesamten Infrastruktur schützen?
  • Wie kann ich sicherstellen, dass alle meine Firewalls vor Angriffen von der Signatur-ID <ID-Nummer> geschützt sind?
  • Worin besteht der Unterschied zwischen dem reinen Warnmodus und dem Warn- und Blockmodus für IDPS?

Hinweis

Microsoft Copilot for Security kann auch die Ask Microsoft Documentation Funktion verwenden, um Informationen zur Verwendung des IDPS-Features von Azure Firewall zum Sichern Ihrer Umgebung bereitzustellen.

Feedback geben

Ihr Feedback ist entscheidend, um die aktuelle und geplante Entwicklung des Produkts zu verbessern. Am besten geben Sie dieses Feedback direkt im Produkt. Wählen Sie unter jedem abgeschlossenen Prompt für Wie ist diese Antwort? eine der folgenden Optionen aus:

  • Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
  • Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
  • Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.

Für jede Feedbackoption können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und vor allem, wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie bestimmte Prompts für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.

Datenschutz und Datensicherheit in Microsoft Copilot für Security

Wenn Sie mit Microsoft Copilot for Security interagieren, um Azure Firewall-Daten abzurufen, ruft Copilot diese Daten aus Azure Firewall ab. Die Prompts, die abgerufenen Daten und die in den Promptergebnissen angezeigte Ausgabe werden im Copilot-Dienst verarbeitet und gespeichert. Weitere Informationen finden Sie unter Datenschutz und Datensicherheit in Microsoft Copilot für Security.