Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot ist eine Plattform, die Ihnen hilft, Ihre organization mit Maschinengeschwindigkeit und Skalierung zu schützen. die umfangreichen Sicherheitsdaten von Microsoft Sentinel sind eine hervorragende Quelle für Copilot, um Incidents zu analysieren und Hunting-Abfragen zu generieren.
Zusammen mit anderen Security Copilot Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel Incidents und Daten einen größeren Einblick in Bedrohungen und deren Kontext für Ihre organization.
Klare Ideen vor dem Loslegen
Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot Erfahrungen
- Erste Schritte mit Microsoft Security Copilot
- Grundlegendes zur Authentifizierung in Microsoft Security Copilot
- Eingabeaufforderung in Microsoft Security Copilot
Security Copilot Integration mit Microsoft Sentinel
Diese Integration unterstützt in erster Linie die eigenständige Benutzeroberfläche, auf die über https://securitycopilot.microsoft.comzugegriffen wird, auf der Sie in einer chatähnlichen Umgebung interagieren, um Incidents zusammenzufassen und andere Antworten zu Ihren Sicherheitsdaten zu erhalten. Weitere Informationen finden Sie unter Microsoft Security Copilot Erfahrungen.
Hauptmerkmale
Microsoft Sentinel Daten werden wie folgt in Security Copilot im Defender-Portal integriert:
- Wenn Sie auch über Microsoft Defender XDR verfügen, profitiert Copilot in Microsoft Defender XDR von einheitlichen Vorfällen, die in Microsoft Sentinel integriert sind.
- In der eigenständigen Umgebung stellt Microsoft Sentinel die folgenden Plug-Ins zur Integration in Security Copilot bereit:
Microsoft Sentinel (Vorschau)
Natürliche Sprache für KQL für Microsoft Sentinel (Vorschau).
Aktivieren Security Copilot Integration mit Microsoft Sentinel
Gehen Sie wie folgt vor, um ihre Security Copilot Integration mit Microsoft Sentinel zu maximieren:
- Konfigurieren eines standardbasierten Microsoft Sentinel-Arbeitsbereichs für Security Copilot
- Verbinden Ihres Microsoft Sentinel Arbeitsbereichs mit Microsoft Defender XDR
Konfigurieren eines standardbasierten Microsoft Sentinel Arbeitsbereichs
Erhöhen Sie die Genauigkeit der Eingabeaufforderung, indem Sie einen Microsoft Sentinel Arbeitsbereich als Standard konfigurieren.
Navigieren Sie zu Security Copilot unter https://securitycopilot.microsoft.com/.
Öffnen Sie Quellen
in der Eingabeaufforderungsleiste.Legen Sie auf der Seite Plug-Ins verwalten die Umschaltfläche auf Ein fest.
Wählen Sie das Zahnradsymbol im Microsoft Sentinel(Vorschau)-Plug-In aus.
Konfigurieren Sie den Standardarbeitsbereichsnamen.
Tipp
Geben Sie den Arbeitsbereich in Ihrer Eingabeaufforderung an, wenn er nicht mit der konfigurierten Standardeinstellung übereinstimmt.
Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrieren von Microsoft Sentinel mit Copilot in Defender
Verwenden Sie das Microsoft Defender-Portal mit Ihren Microsoft Sentinel Daten für eine eingebettete Security Copilot. Microsoft Sentinel einzigartige Datenquellen, die in Microsoft Defender XDR einheitliche Vorfälle fließen, ermöglichen es Copilot in Defender, seine Funktionen zu maximieren.
Zum Beispiel:
- Die SAP-Lösung (Vorschauversion) wird in Ihrem Arbeitsbereich für Microsoft Sentinel installiert.
- Die Regel SAP – (Vorschau) Datei, die von einer schädlichen IP-Adresse heruntergeladen wurde, löst eine Warnung aus, wodurch ein Microsoft Sentinel Incident erstellt wird.
- Microsoft Sentinel wurde in das Defender-Portal integriert.
- Microsoft Sentinel Incidents werden jetzt mit Defender XDR-Vorfällen vereinheitlicht.
- Verwenden Sie Copilot in Microsoft Defender für die Zusammenfassung von Vorfällen, geführte Reaktionen und Incidentberichte.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Integrieren von Microsoft Defender XDR
- Microsoft Sentinel im Microsoft Defender-Portal
- Copilot in Microsoft Defender
Integrieren von Microsoft Sentinel in Security Copilot bei der erweiterten Suche
Das Plug-In natürliche Sprache für KQL für Microsoft Sentinel (Vorschau) generiert und führt KQL-Huntingabfragen mithilfe Microsoft Sentinel Daten aus. Diese Funktion ist in der eigenständigen Benutzeroberfläche und im Abschnitt "Erweiterte Suche" des Microsoft Defender-Portals verfügbar.
Hinweis
Im Portal für einheitliche Microsoft Defender können Sie Security Copilot auffordern, erweiterte Suchabfragen sowohl für Defender XDR als auch für Microsoft Sentinel Tabellen zu generieren. Nicht alle Microsoft Sentinel Tabellen werden derzeit unterstützt.
Weitere Informationen finden Sie unter Security Copilot in der erweiterten Suche.
Beispiel für Microsoft Sentinel-Eingabeaufforderungen
Betrachten Sie das Microsoft Sentinel Promptbook zur Untersuchung von Vorfällen als Ausgangspunkt für die Erstellung effektiver Eingabeaufforderungen. Dieses Promptbook liefert einen Bericht zu einem bestimmten Incident sowie zugehörige Warnungen, Reputationsbewertungen, Benutzer und Geräte.
| Richtlinien | Eingabeaufforderung |
|---|---|
| Nudge Copilot, um lesbare Informationen bereitzustellen, anstatt mit Objekt-IDs zu antworten. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot weiß, wer Sie sind. Verwenden Sie das "Ich"-Pronomen, um Vorfälle im Zusammenhang mit Ihnen zu finden. Die folgende Eingabeaufforderung zielt auf Ihnen zugewiesene Vorfälle ab. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Wenn Sie eine Eingabeaufforderungsantwort auf einen einzelnen Vorfall eingrenzen, kennt Copilot den Kontext. | Tell me about the entities associated with that incident. |
| Copilot ist gut in der Zusammenfassung. Beschreiben Sie eine bestimmte Zielgruppe, für die die Eingabeaufforderungen und Antworten zusammengefasst werden sollen. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Weitere Anleitungen und Beispiele für Eingabeaufforderungen finden Sie in den folgenden Ressourcen:
- Verwenden von Promptbooks
- Eingabeaufforderung in Microsoft Security Copilot
- Rod Trents Security Copilot-Eingabeaufforderungsbibliothek
Feedback geben
Ihr Feedback ist wichtig, um die aktuelle und geplante Entwicklung des Produkts zu steuern. Die beste Möglichkeit, dieses Feedback zu geben, ist direkt im Produkt. Wählen Sie unten in jeder abgeschlossenen Eingabeaufforderung Wie ist diese Antwort? aus, und wählen Sie eine der folgenden Optionen aus:
- Sieht richtig aus : Wählen Sie basierend auf Ihrer Bewertung aus, ob die Ergebnisse korrekt sind.
- Verbesserungsbedarf : Wählen Sie basierend auf Ihrer Bewertung aus, ob details in den Ergebnissen falsch oder unvollständig sind.
- Unangemessen : Wählen Sie aus, ob die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.
Für jede Feedbackoption können Sie im nächsten angezeigten Dialogfeld weitere Informationen bereitstellen. Wenn möglich, und insbesondere, wenn das Ergebnis Verbesserung erforderlich ist, schreiben Sie ein paar Worte, die erklären, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie spezifische Eingabeaufforderungen für Azure Firewall eingegeben haben und die Ergebnisse nicht im Zusammenhang stehen, schließen Sie diese Informationen ein.
Datenschutz und Datensicherheit in Security Copilot
Informationen dazu, wie Security Copilot Ihre Eingabeaufforderungen und die vom Dienst abgerufenen Daten (Eingabeaufforderungsausgabe) behandelt, finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.