Integration der Azure Firewall in Microsoft Copilot für Security (Preview)

Wichtig

Die Integration der Azure Firewall in Microsoft Copilot für Security befindet sich aktuell in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Copilot für Security ist eine generative KI-gestützte Sicherheitslösung, die dazu beiträgt, die Effizienz und die Fähigkeiten von Sicherheitsteams zu erhöhen, um sicherheitsrelevante Ergebnisse mit Maschinengeschwindigkeit und -skalierung zu verbessern. Er bietet eine helfende Copilot-Erfahrung in natürlicher Sprache, die Sicherheitsfachkräfte in End-to-End-Szenarien wie Incident Response, Suche nach Cyberbedrohungen, Sammeln von Informationen und Verwaltung des Sicherheitsstatus unterstützt. Weitere Informationen über den Funktionsumfang finden Sie unter Was ist Microsoft Copilot für Security?

Copilot für Security ist in Azure Firewall integriert.

Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der erstklassigen Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.

Die Azure Firewall-Integration unterstützt Analysten mithilfe von Fragen in natürlicher Sprache in der eigenständigen Copilot für Sicherheit-Oberfläche bei der Durchführung detaillierter Untersuchungen von bösartigem Datenverkehr, der von dem IDPS-Feature ihrer Firewalls in der gesamten Flotte abgefangen wird.

Dieser Artikel bietet eine Einführung in Copilot und enthält Beispielprompts, die Azure Firewall-Benutzerinnen und -Benutzern helfen können.

Wissenswertes für die Vorbereitung

• Sie können die Azure Firewall-Integration in Copilot für Security im Copilot für Security-Portalverwenden. Weitere Informationen finden Sie unter Microsoft Copilot für Security-Oberflächen.

• Seien Sie in Ihren Prompts klar und spezifisch. Sie können bessere Ergebnisse erzielen, wenn Sie bestimmte Zeitrahmen, Ressourcen und Bedrohungen in Ihre Prompts einschließen. Es kann auch hilfreich sein, wenn Sie Ihrem Prompt Azure Firewall hinzufügen.

• Verwenden Sie die Beispiel-Prompts in diesem Artikel, um Ihre Interaktionen mit Copilot zu verbessern.

• Sie können mit verschiedenen Prompts und Varianten experimentieren, um zu ermitteln, was für Ihren Anwendungsfall am besten funktioniert. Chat-KI-Modelle variieren, wiederholen und präzisieren Sie Ihre Prompts daher basierend auf den erhaltenen Ergebnissen.

• Copilot für Security speichert Ihre Promptsitzungen. Um die vorherigen Sitzungen anzuzeigen, wechseln Sie im Startmenü von Copilot zu Meine Sitzungen.

  

  Hinweis

  Eine exemplarische Vorgehensweise zu Copilot, einschließlich der Funktion zum Anheften und Teilen, finden Sie unter Navigieren in Microsoft Copilot für Security.

Weitere Informationen zum Schreiben effektiver Copilot für Security-Prompts finden Sie unter Erstellen effektiver Prompts.

Verwenden der Azure Firewall-Integration im eigenständigen Copilot für Security-Portal

1. Stellen Sie sicher, dass Ihre Azure Firewall ordnungsgemäß konfiguriert ist:
   • Strukturierte Azure Firewall-Protokolle – Azure Firewalls, die mit Copilot für Security verwendet werden sollen, müssen mit ressourcenspezifischen strukturierten Protokollen für IDPS konfiguriert werden. Diese Protokolle müssen an einen Log Analytics-Arbeitsbereich gesendet werden.
   • Rollenbasierte Zugriffssteuerung für Azure Firewall – Benutzerinnen und Benutzer, die das Azure Firewall-Plug-In in Copilot für Security verwenden, müssen über die entsprechenden Azure RBAC-Rollen verfügen, um auf die Firewall und die zugehörigen Log Analytics-Arbeitsbereiche zuzugreifen.
2. Wechseln Sie zu Microsoft Copilot für Security, und melden Sie sich mit Ihren Anmeldeinformationen an.
3. Wählen Sie in der Promptleiste das Symbol Quellen aus.

Vergewissern Sie sich im angezeigten Popupfenster Quellen verwalten, dass der Schalter Azure Firewall aktiviert ist, und schließen Sie dann das Fenster. Es ist keine zusätzliche Konfiguration erforderlich, solange strukturierte Protokolle an einen Log Analytics-Arbeitsbereich gesandt werden und Sie über die richtigen RBAC-Berechtigungen verfügen; Copilot findet die benötigten Daten, um Ihre Fragen zu beantworten.

Hinweis

Einige Rollen können die Umschaltfläche für Plug-Ins wie Azure Firewall aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Verwalten von Plug-Ins in Microsoft Copilot für Security.

4. Geben Sie Ihren Prompt in der Promptleiste ein.

Integrierte Systemfunktionen

Copilot für Security verfügt über integrierte Systemfunktionen, die Daten aus den verschiedenen Plug-Ins abrufen können, die aktiviert sind.

Um die Liste der integrierten Systemfunktionen für Azure Firewall anzuzeigen, gehen Sie wie folgt vor:

1. Wählen Sie in der Promptleiste das Symbol Prompts aus.

   

2. Wählen Sie Alle Systemfunktionen anzeigen. Im Abschnitt Azure Firewall sind alle verfügbaren Funktionen aufgeführt, die Sie verwenden können.

Beispielprompt für Azure Firewall

Es gibt viele Prompts, mit denen Sie Informationen aus der Azure Firewall abrufen können. In diesem Abschnitt werden diejenigen aufgelistet, die heute am besten funktionieren. Sie werden kontinuierlich aktualisiert, wenn neue Funktionen eingeführt werden.

Abrufen der wichtigsten IDPS-Signaturtreffer für eine Azure Firewall

Rufen Sie Protokollinformationen über den vom IDPS-Feature abgefangenen Datenverkehr ab, anstatt KQL-Abfragen manuell zu erstellen.

Beispielprompts:

• Wurde von meiner Firewall <Firewallname> böswilliger Datenverkehr abgefangen?
• Was sind die 20 wichtigsten IDPS-Treffer der letzten sieben Tage für die Firewall <Firewallname> in der Ressourcengruppe <Ressourcengruppenname>?
• Zeig mir in tabellarischer Form die 50 wichtigsten Angriffe auf die Firewall <Firewallname> im Abonnement <Abonnementnamen> im letzten Monat.

Anreichern des Bedrohungsprofils einer IDPS-Signatur über Protokollinformationen hinaus

Rufen Sie zusätzliche Details ab, um die Bedrohungsinformationen/das Profil einer IDPS-Signatur zu erweitern, anstatt sie manuell zu kompilieren.

Beispielprompts:

• Erläutere, warum IDPS den ersten Treffer mit einem hohen Schweregrad und den fünften Treffer mit einem niedrigeren Schweregrad gekennzeichnet hat.
• Was kannst du mir über diesen Angriff sagen? Für welche anderen Angriffe ist dieser Angreifer bekannt?
• Ich sehe, dass die dritte Signatur-ID mit der CVE <CVE-Nummer> verknüpft ist. Sag mir mehr über diese CVE-Nummer.

Hinweis

Das Microsoft Threat Intelligence-Plug-In ist eine weitere Quelle, die Copilot für Sicherheit verwenden kann, um Threat Intelligence für IDPS-Signaturen bereitzustellen.

Suche nach einer bestimmten IDPS-Signatur für Ihren Mandanten, Ihr Abonnement oder Ihre Ressourcengruppe

Führen Sie eine flottenweiten Suche (über einen beliebigen Bereich) für eine Bedrohung in allen Firewalls aus, anstatt manuell nach der Bedrohung zu suchen.

Beispielprompts:

• Wurde die Signatur-ID <ID-Nummer> nur von dieser Firewall gestoppt? Wie sieht es mit anderen in diesem gesamten Mandanten aus?
• Wurde der Toptreffer von einer anderen Firewall im Abonnement <Abonnementnamen> wahrgenommen?
• Hat in der letzten Woche eine Firewall in der Ressourcengruppe <Ressourcengruppennamen> die Signatur-ID <ID-Nummer> wahrgenommen?

Generieren von Empfehlungen zum Sichern Ihrer Umgebung mithilfe des IDPS-Features von Azure Firewall

Rufen Sie Informationen aus der Dokumentation über die Verwendung des IDPS-Features von Azure Firewall ab, um Ihre Umgebung zu schützen, anstatt diese Informationen manuell nachschlagen zu müssen.

Beispielprompts:

• Wie kann ich mich vor zukünftigen Angriffen von diesem Angreifer in meiner gesamten Infrastruktur schützen?
• Wie kann ich sicherstellen, dass alle meine Firewalls vor Angriffen von der Signatur-ID <ID-Nummer> geschützt sind?
• Worin besteht der Unterschied zwischen dem reinen Warnmodus und dem Warn- und Blockmodus für IDPS?

Hinweis

Copilot für Security kann auch die Ask Microsoft Documentation Funktion verwenden, um Informationen zur Verwendung des IDPS-Features von Azure Firewall zum Sichern Ihrer Umgebung bereitzustellen.

Feedback geben

Ihr Feedback ist entscheidend, um die aktuelle und geplante Entwicklung des Produkts zu verbessern. Am besten geben Sie dieses Feedback direkt im Produkt. Wählen Sie unter jedem abgeschlossenen Prompt für Wie ist diese Antwort? eine der folgenden Optionen aus:

• Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
• Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
• Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.

Für jede Feedbackoption können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und vor allem, wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie bestimmte Prompts für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.

Datenverarbeitung und Datenschutz

Wenn Sie mit Copilot für Security interagieren, um Azure Firewall-Daten abzurufen, ruft Copilot diese Daten aus Azure Firewall ab. Die Prompts, die abgerufenen Daten und die in den Promptergebnissen angezeigte Ausgabe werden im Copilot-Dienst verarbeitet und gespeichert. Weitere Informationen finden Sie unter Datenschutz und Datensicherheit in Microsoft Copilot für Security.

Zugehöriger Inhalt

• Was ist Microsoft Copilot for Security?