Integration der Azure Firewall in Microsoft Security Copilot (Vorschau)
Wichtig
Die Integration der Azure Firewall in Microsoft Security Copilot befindet sich aktuell in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Security Copilot ist eine generative KI-gestützte Sicherheitslösung, die dazu beiträgt, die Effizienz und die Fähigkeiten von Sicherheitsteams zu erhöhen, um sicherheitsrelevante Ergebnisse mit Maschinengeschwindigkeit und -skalierung zu verbessern. Er bietet eine helfende Copilot-Erfahrung in natürlicher Sprache, die Sicherheitsfachkräfte in End-to-End-Szenarien wie Incident Response, Suche nach Cyberbedrohungen, Sammeln von Informationen und Verwaltung des Sicherheitsstatus unterstützt. Weitere Informationen über den Funktionsumfang finden Sie unter Was ist Microsoft Security Copilot?
Wenn Sie Security Copilot noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot-Oberflächen
- Erste Schritte mit Microsoft Security Copilot
- Grundlegendes zur Authentifizierung in Microsoft Security Copilot
- Aufforderungen in Microsoft Security Copilot
Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der erstklassigen Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.
Die Azure Firewall-Integration in Security Copilot unterstützt Analysten mithilfe von Fragen in natürlicher Sprache bei der Durchführung detaillierter Untersuchungen von bösartigem Datenverkehr, der von dem IDPS-Feature ihrer Firewalls in der gesamten Flotte abgefangen wird.
Sie können diese Integration in zwei verschiedenen Funktionen verwenden:
Security Copilot-Portal (eigenständige Erfahrung)
Copilot in Azure (eingebettete Erfahrung) im Azure-Portal:
Weitere Informationen finden Sie unter Microsoft Security Copilot-Erfahrungen und Microsoft Copilot in Azure-Funktionen.
Security Copilot verfügt über integrierte Systemfunktionen, die Daten aus den verschiedenen Plug-Ins abrufen können, die aktiviert sind.
Um die Liste der integrierten Systemfunktionen für Azure Firewall anzuzeigen, gehen Sie im Security Copilot-Portal wie folgt vor:
Wählen Sie in der Promptleiste das Symbol Prompts aus.
Wählen Sie Alle Systemfunktionen anzeigen.
Im Abschnitt Azure Firewall sind alle verfügbaren Funktionen aufgeführt, die Sie verwenden können.
Stellen Sie sicher, dass Ihre Azure Firewall ordnungsgemäß konfiguriert ist:
Strukturierte Azure Firewall-Protokolle – Azure Firewalls, die mit Security Copilot verwendet werden sollen, müssen mit ressourcenspezifischen strukturierten Protokollen für IDPS konfiguriert werden. Diese Protokolle müssen an einen Log Analytics-Arbeitsbereich gesendet werden.
Rollenbasierte Zugriffssteuerung für Azure Firewall – Benutzerinnen und Benutzer, die das Azure Firewall-Plug-In in Security Copilot verwenden, müssen über die entsprechenden Azure RBAC-Rollen (Role-Based Access Control) verfügen, um auf die Firewall und die zugehörigen Log Analytics-Arbeitsbereiche zuzugreifen.
Wechseln Sie zu Security Copilot und melden Sie sich mit Ihren Anmeldeinformationen an.
Stellen Sie sicher, dass das Azure Firewall-Plug-In aktiviert ist. Wählen Sie in der Promptleiste das Symbol Quellen aus. Vergewissern Sie sich im angezeigten Popupfenster Quellen verwalten, dass der Schalter Azure Firewall aktiviert ist. Schließen Sie danach das Fenster. Es ist keine andere Konfiguration erforderlich. Solange strukturierte Protokolle an einen Log Analytics-Arbeitsbereich gesendet werden und Sie über die richtigen rollenbasierten Zugriffssteuerungsberechtigungen verfügen, findet Copilot die Daten, die sie benötigt, um Ihre Fragen zu beantworten.
Geben Sie Ihre Eingabeaufforderung entweder im Security Copilot-Portal oder über die Copilot in Azure-Erfahrung im Azure-Portal ein.
Wichtig
Die Verwendung von Copilot in Azure zum Abfragen der Azure Firewall ist in Security Copilot enthalten und erfordert Sicherheits Compute-Einheiten (SCUs). Sie können SCUs jederzeit bereitstellen, vergrößern oder verkleinern. Weitere Informationen zu SCUs finden Sie unter Erste Schritte mit Microsoft Security Copilot. Wenn Sie Security Copilot nicht ordnungsgemäß konfiguriert haben, aber eine Frage stellen, die mit den Azure Firewall-Funktionen über den Copilot in Azure-Erfahrung in Verbindung steht, wird eine Fehlermeldung angezeigt.
Es gibt viele Prompts, mit denen Sie Informationen aus der Azure Firewall abrufen können. In diesem Abschnitt werden diejenigen aufgelistet, die heute am besten funktionieren. Sie werden kontinuierlich aktualisiert, wenn neue Funktionen eingeführt werden.
Rufen Sie Protokollinformationen über den vom IDPS-Feature abgefangenen Datenverkehr ab, anstatt KQL-Abfragen manuell zu erstellen.
Beispielprompts:
Wurde von meiner Firewall <Firewallname> böswilliger Datenverkehr abgefangen?
Was sind die 20 wichtigsten IDPS-Treffer der letzten sieben Tage für die Firewall <Firewallname> in der Ressourcengruppe <Ressourcengruppenname>?
Zeig mir in tabellarischer Form die 50 wichtigsten Angriffe auf die Firewall <Firewallname> im Abonnement <Abonnementnamen> im letzten Monat.
Rufen Sie zusätzliche Details ab, um die Bedrohungsinformationen/das Profil einer IDPS-Signatur zu erweitern, anstatt sie manuell zu kompilieren.
Beispielprompts:
Erläutere, warum IDPS den ersten Treffer mit einem hohen Schweregrad und den fünften Treffer mit einem niedrigeren Schweregrad gekennzeichnet hat.
Was kannst du mir über diesen Angriff sagen? Für welche anderen Angriffe ist dieser Angreifer bekannt?
Ich sehe, dass die dritte Signatur-ID mit der CVE <CVE-Nummer> verknüpft ist. Sag mir mehr über diese CVE-Nummer.
Hinweis
Das Microsoft Threat Intelligence-Plug-In ist eine weitere Quelle, die Security Copilot verwenden kann, um Threat Intelligence für IDPS-Signaturen bereitzustellen.
Suche nach einer bestimmten IDPS-Signatur für Ihren Mandanten, Ihr Abonnement oder Ihre Ressourcengruppe
Führen Sie eine flottenweiten Suche (über einen beliebigen Bereich) für eine Bedrohung in allen Firewalls aus, anstatt manuell nach der Bedrohung zu suchen.
Beispielprompts:
Wurde die Signatur-ID <ID-Nummer> nur von dieser Firewall gestoppt? Wie sieht es mit anderen in diesem gesamten Mandanten aus?
Wurde der Toptreffer von einer anderen Firewall im Abonnement <Abonnementnamen> wahrgenommen?
Hat in der letzten Woche eine Firewall in der Ressourcengruppe <Ressourcengruppennamen> die Signatur-ID <ID-Nummer> wahrgenommen?
Generieren von Empfehlungen zum Sichern Ihrer Umgebung mithilfe des IDPS-Features von Azure Firewall
Rufen Sie Informationen aus der Dokumentation über die Verwendung des IDPS-Features von Azure Firewall ab, um Ihre Umgebung zu schützen, anstatt diese Informationen manuell nachschlagen zu müssen.
Beispielprompts:
Wie kann ich mich vor zukünftigen Angriffen von diesem Angreifer in meiner gesamten Infrastruktur schützen?
Wie kann ich sicherstellen, dass alle meine Azure Firewalls vor Angriffen von der Signatur-ID <ID-Nummer> geschützt sind?
Worin besteht der Unterschied zwischen dem reinen Warnmodus und dem Warn- und Blockmodus für IDPS?
Hinweis
Security Copilot kann auch die Funktion Microsoft-Dokumentation konsultieren verwenden, um diese Informationen bereitzustellen, und wenn diese Funktion über die „Copilot in Azure“-Erfahrung verwendet wird, kann die Funktion Informationen abrufen verwendet werden, um diese Informationen bereitzustellen.
Ihr Feedback ist entscheidend, um die aktuelle und geplante Entwicklung des Produkts zu verbessern. Am besten geben Sie dieses Feedback direkt im Produkt.
Wählen Sie unter jedem abgeschlossenen Prompt für Wie ist diese Antwort? eine der folgenden Optionen aus:
- Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
- Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
- Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.
Für jede Feedbackoption können Sie zusätzliche Informationen im nachfolgenden Dialogfeld angeben. Wenn möglich und vor allem, wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie bestimmte Prompts für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.
Verwenden Sie die Schaltflächen like und dislike unten in jeder abgeschlossenen Eingabeaufforderung. Für eine der beiden Feedbackoptionen können Sie zusätzliche Informationen im nachfolgenden Dialogfeld angeben. Wenn Sie eine Antwort nicht mögen, schreiben Sie nach Möglichkeit ein paar Worte, die erklären, wie das Ergebnis verbessert werden kann. Wenn Sie bestimmte Prompts für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.
Wenn Sie mit Security Copilot (über das Security Copilot-Portal oder über den Copilot in Azure-Erfahrung) interagieren, um Azure Firewall-Daten abzurufen, ruft Copilot diese Daten aus der Azure-Firewall ab. Die Prompts, die abgerufenen Daten und die in den Promptergebnissen angezeigte Ausgabe werden im Copilot-Dienst verarbeitet und gespeichert. Weitere Informationen finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.