Integration der Azure Web Application Firewall in Copilot für Security (Vorschau)

Wichtig

Die Integration der Azure Web Application Firewall in Microsoft Copilot für Security befindet sich aktuell in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Copilot für Security ist eine cloudbasierte KI-Plattform, die Copilot-Erfahrung in natürlicher Sprache bietet. Sie unterstützt Sicherheitsfachkräfte in unterschiedlichen Szenarien wie Incident Response, Suche nach Cyberbedrohungen und Sammeln von Informationen. Weitere Informationen finden Sie unter Was ist Microsoft Copilot für Security?

Die Integration der Azure Web Application Firewall (WAF) in Copilot für Security ermöglicht eine umfassende Untersuchung von Azure WAF-Ereignissen. Sie kann Ihnen helfen, WAF-Protokolle, die von Azure WAF ausgelöst werden, in wenigen Minuten zu untersuchen und verwandte Angriffsvektoren mithilfe natürlicher Sprachantworten auf Computergeschwindigkeit bereitzustellen. So erhalten Sie Einblicke in die Bedrohungslandschaft Ihrer Umgebung. Sie können eine Liste der am häufigsten ausgelösten WAF-Regeln abrufen und die am häufigsten verstoßenden IP-Adressen in Ihrer Umgebung identifizieren.

Die Integration von Copilot für Security wird sowohl für Azure WAF integriert mit Azure Application Gateway als auch für Azure WAF integriert mit Azure Front Door unterstützt.

Wissenswertes für die Vorbereitung

Wenn Sie Copilot für Security noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:

• Was ist Microsoft Copilot for Security?
• Erfahrungen mit Microsoft Copilot for Security
• Erste Schritte mit Microsoft Copilot for Security
• Grundlegendes zur Authentifizierung in Microsoft Copilot for Security
• Aufforderung in Microsoft Copilot für Security

Azure WAF-Integration in Copilot für Security

Diese Integration unterstützt die eigenständige Oberfläche und wird über https://securitycopilot.microsoft.com aufgerufen. Dies ist eine chatähnliche Erfahrung, die Sie verwenden können, um Fragen zu stellen und Antworten zu Ihren Daten zu erhalten. Weitere Informationen finden Sie unter Microsoft Copilot für Security-Erfahrungen.

Features in der eigenständigen Umgebung

Die Vorschau der eigenständigen Umgebung in Azure WAF kann Ihnen bei Folgendem helfen:

• Bereitstellen einer Liste der wichtigsten Azure WAF-Regeln, die in der Kundenumgebung ausgelöst wurden, und Generieren eines tiefen Kontexts mit verwandten Angriffsvektoren.

  Diese Funktion enthält Details zu Azure WAF-Regeln, die aufgrund eines WAF-Blocks ausgelöst werden. Sie stellt eine sortierte Liste von Regeln basierend auf der Auslösehäufigkeit im gewünschten Zeitraum bereit. Dazu werden Azure WAF-Protokolle analysiert und verwandte Protokolle über einen bestimmten Zeitraum verbunden. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, warum eine bestimmte Anforderung blockiert wurde.

• Bereitstellen einer Liste von böswilligen IP-Adressen in der Kundenumgebung und Generieren verwandter Bedrohungen.

  Diese Funktion enthält Details zu von Azure WAF blockierten Client-IP-Adressen. Dazu werden Azure WAF-Protokolle analysiert und verwandte Protokolle über einen bestimmten Zeitraum verbunden. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, welche IP-Adressen von der WAF blockiert wurden und warum.

• Zusammenfassen von Angriffen mit Einschleusung von SQL-Befehlen (SQLi).

  Diese Azure WAF-Fähigkeit bietet Ihnen Einblicke in die Gründe, warum Angriffe mit Einschleusung von SQL-Befehlen (SQLi) auf Webanwendungen blockiert werden. Dazu werden Azure WAF-Protokolle analysiert und verwandte Protokolle über einen bestimmten Zeitraum verbunden. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, warum eine SQLi-Anforderung blockiert wurde.

• Zusammenfassen von XSS-Angriffen (Cross-Site Scripting).

  Diese Azure WAF-Fähigkeit hilft Ihnen zu verstehen, warum Azure WAF (XSS)-Angriffe (Cross-Site Scripting) auf Webanwendungen blockiert hat. Dazu werden Azure WAF-Protokolle analysiert und verwandte Protokolle über einen bestimmten Zeitraum verbunden. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, warum eine XSS-Anforderung blockiert wurde.

Aktivieren der Azure WAF-Integration in Microsoft Copilot für Security

Führen Sie folgende Schritte aus, um die Integration zu aktivieren:

1. Vergewissern Sie sich, dass Sie mindestens die Berechtigungen eines Copilot-Mitwirkenden besitzen.
2. Öffnen Sie https://securitycopilot.microsoft.com/.
3. Öffnen Sie das Menü „Microsoft Copilot für Security“.
4. Öffnen Sie Quellen in der Eingabeaufforderungsleiste.
5. Legen Sie auf der Seite „Plug-Ins“ den Umschalter für die Azure Web Application Firewall auf Ein fest.
6. Wählen Sie die Einstellungen im Azure Web Application Firewall-Plug-In aus, um den Log Analytics-Arbeitsbereich, die Log Analytics-Abonnement-ID und den Namen der Log Analytics-Ressourcengruppe für Azure Front Door WAF und/oder die Azure Application Gateway WAF zu konfigurieren. Sie können auch den Richtlinien-URI für Application Gateway WAF und/oder den Richtlinien-URI für Azure Front Door WAF konfigurieren.
7. Um mit der Verwendung der Skills zu beginnen, verwenden Sie die Eingabeaufforderungsleiste.

Beispielprompts

Sie können eigene Eingabeaufforderungen in Copilot für Security erstellen, um Analysen zu den Angriffen basierend auf WAF-Protokollen durchzuführen. Dieser Abschnitt enthält einige Ideen und Beispiele.

Voraussetzungen

• Seien Sie in Ihren Prompts klar und spezifisch. Möglicherweise erzielen Sie bessere Ergebnisse, wenn Sie bestimmte Geräte-IDs/Namen, App-Namen oder Richtliniennamen in Ihre Eingabeaufforderungen einschließen.

  Es kann auch hilfreich sein, Ihrem Prompt WAF hinzuzufügen. Zum Beispiel:

  • Gab es in den letzten Tagen einen Angriff durch Einschleusung von SQL-Befehlen in meiner regionalen WAF?
  • Weitere Informationen zu den wichtigsten Regeln, die in meinem globalen WAF ausgelöst werden

• Sie können mit verschiedenen Prompts und Varianten experimentieren, um zu ermitteln, was für Ihren Anwendungsfall am besten funktioniert. Chat-KI-Modelle variieren. Sie sollten also Ihre Eingabeaufforderungen basierend auf den Ergebnissen, die Sie erhalten, durchlaufen und verfeinern. Anleitungen zum Schreiben effektiver Eingabeaufforderungen finden Sie unter „Erstellen eigener Eingabeaufforderungen“.

Die folgenden Beispielaufforderungen können hilfreich sein.

Zusammenfassen von Informationen zu Angriffen durch Einschleusung von SQL-Befehlen

• Gab es in den letzten Tagen einen Angriff durch Einschleusung von SQL-Befehlen in meiner globalen WAF?
• Anzeigen von IP-Adressen im Zusammenhang mit dem obersten Angriff durch Einschleusung von SQL-Befehlen in meiner globalen WAF
• Anzeigen aller Angriffe durch Einschleusung von SQL-Befehlen in der regionalen WAF in den letzten 24 Stunden

Zusammenfassen von Informationen zu Cross-Site Scripting-Angriffen

• Wurde in meiner AppGW WAF in den letzten 12 Stunden ein XSS-Angriff erkannt?
• Anzeigen einer Liste aller XSS-Angriffe in meiner Azure Front Door WAF

Generieren einer Liste von Bedrohungen in meiner Umgebung basierend auf WAF-Regeln

• Was waren die wichtigsten globalen WAF-Regeln, die in den letzten 24 Stunden ausgelöst wurden?
• Was sind die wichtigsten Bedrohungen im Zusammenhang mit der WAF-Regel in meiner Umgebung? <Regel-ID eingeben>
• Gab es in den letzten Tagen einen Bot-Angriff in meiner regionalen WAF?
• Fassen Sie benutzerdefinierte Regelblöcke zusammen, die am vergangenen Tag von Azure Front Door WAF ausgelöst wurden.

Generieren einer Liste von Bedrohungen in meiner Umgebung basierend auf böswilligen IP-Adressen

• Was war die oberste verstoßende IP-Adresse in der regionalen WAF am vergangenen Tag?
• Zusammenfassen der bösartigen IP-Adressen in meiner Azure Front Door WAF in den letzten sechs Stunden

Feedback geben

Ihr Feedback zur Azure WAF-Integration mit Copilot für Security hilft bei der Entwicklung. Um Feedback in Copilot zu geben, klicken Sie auf Wie ist diese Antwort? Wählen Sie unter jeder abgeschlossenen Eingabeaufforderung eine der folgenden Optionen aus:

• Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
• Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
• Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.

Für jedes Feedbackelement können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern.

Einschränkung

Wenn Sie in der Version Application Gateway WAF V2 zu dedizierten Azure Log Analytics-Tabellen migriert haben, sind die Copilot für Security WAF-Skills nicht funktionsfähig. Aktivieren Sie Azure-Diagnose als temporäre Problemumgehung zusätzlich zur ressourcenspezifischen Tabelle als Zieltabelle.

Datenschutz und Datensicherheit in Microsoft Copilot für Security

Informationen dazu, wie Microsoft Copilot für Security Ihre Eingabeaufforderungen und die Daten verarbeitet, die aus dem Dienst abgerufen werden (Promptausgabe), finden Sie unter Datenschutz und Datensicherheit in Microsoft Copilot für Security.

Zugehöriger Inhalt

• Was ist Microsoft Copilot for Security?