Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot ist eine cloudbasierte KI-Plattform, die Copilot-Erfahrung in natürlicher Sprache bietet. Sie unterstützt Sicherheitsfachkräfte in unterschiedlichen Szenarien wie Incident Response, Suche nach Cyberbedrohungen und Sammeln von Informationen. Weitere Informationen finden Sie unter Was ist Microsoft Security Copilot?
Die Integration der Azure Web Application Firewall (WAF) in Microsoft Security Copilot ermöglicht eine umfassende Untersuchung von Azure WAF-Ereignissen. Dies kann helfen, WAF-Protokolle, die von Azure WAF ausgelöst werden, in wenigen Minuten zu untersuchen und verwandte Angriffsvektoren mithilfe von Antworten in natürlicher Sprache in Computergeschwindigkeit bereitzustellen. So erhalten Sie Einblicke in die Bedrohungslandschaft Ihrer Umgebung. Sie können eine Liste der am häufigsten ausgelösten WAF-Regeln abrufen und die häufigsten verwendeten böswilligen IP-Adressen in Ihrer Umgebung identifizieren.
Die Microsoft Security Copilot-Integration wird sowohl für Azure WAF im Azure-Anwendungsgateway als auch für Azure WAF auf Azure Front Door unterstützt.
Wissenswertes für die Vorbereitung
Wenn Sie Microsoft Security Copilot noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot-Erfahrungen
- Erste Schritte mit Microsoft Security Copilot
- Verstehen der Authentifizierung in Microsoft Security Copilot
- Eingabeaufforderungen in Microsoft Security Copilot
Microsoft Security Copilot-Integration in Azure WAF
Diese Integration unterstützt die eigenständige Oberfläche und wird über https://securitycopilot.microsoft.com aufgerufen. Dies ist eine chatähnliche Erfahrung, die Sie verwenden können, um Fragen zu stellen und Antworten zu Ihren Daten zu erhalten. Weitere Informationen finden Sie unter Microsoft Security Copilot-Erfahrungen.
Schlüsselfunktionen
Die Integration der Azure-Webanwendungsfirewall in Microsoft Security Copilot bietet mehrere leistungsstarke Funktionen, mit denen Sie Ihren Sicherheitsstatus analysieren und verstehen können. Diese Features verwenden KI, um komplexe WAF-Protokolle durch natürliche Sprachantworten in umsetzbare Erkenntnisse zu übersetzen.
Bereitstellen einer Liste der wichtigsten Azure WAF-Regeln, die in der Kundenumgebung ausgelöst wurden, und Generieren eines tiefen Kontexts mit verwandten Angriffsvektoren.
Diese Funktion enthält Details zu Azure WAF-Regeln, die aufgrund eines WAF-Blocks ausgelöst werden. Sie stellt eine sortierte Liste von Regeln basierend auf der Auslösehäufigkeit im gewünschten Zeitraum bereit. Die Analyse verarbeitet Azure WAF-Protokolle und verbindet verwandte Protokolle über einen bestimmten Zeitraum. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, warum eine bestimmte Anforderung blockiert wurde.
Bereitstellen einer Liste von böswilligen IP-Adressen in der Kundenumgebung und Generieren verwandter Bedrohungen.
Diese Funktion enthält Details zu von Azure WAF blockierten Client-IP-Adressen. Die Analyse verarbeitet Azure WAF-Protokolle und verbindet verwandte Protokolle über einen bestimmten Zeitraum. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, welche IP-Adressen von der WAF blockiert wurden und warum.
Zusammenfassung von SQL-Einfügungsangriffen (SQLi).
Diese Funktion enthält Details zu SQL Injection (SQLi)-Angriffen, die von Azure WAF blockiert wurden. Durch die Analyse von Azure WAF-Protokollen und dem Korrelieren verwandter Daten über einen bestimmten Zeitraum bietet diese Fähigkeit eine leicht verständliche Erklärung der natürlichen Sprache, warum SQLi-Anforderungen blockiert wurden.
Zusammenfassung von Website-Skriptingangriffen (Cross Site Scripting, XSS).
Diese Azure WAF-Fähigkeit hilft Ihnen zu verstehen, warum Azure WAF Cross Site Scripting (XSS)-Angriffe auf Webanwendungen blockiert hat. Die Fähigkeit analysiert Azure WAF-Protokolle und verbindet verwandte Vorfälle über einen bestimmten Zeitraum. Das Ergebnis ist eine leicht verständliche Erklärung in natürlicher Sprache, warum eine XSS-Anforderung blockiert wurde.
Azure WAF-Integration in Copilot für Security
Führen Sie folgende Schritte aus, um die Integration zu aktivieren:
- Vergewissern Sie sich, dass Sie mindestens die Berechtigungen eines Copilot-Mitwirkenden besitzen.
- Öffnen Sie https://securitycopilot.microsoft.com/.
- Öffnen Sie das Security Copilot-Menü.
- Öffnen Sie Quellen in der Eingabeaufforderungsleiste.
- Legen Sie auf der Seite „Plug-Ins“ den Umschalter für die Azure Web Application Firewall auf Ein fest.
- Wählen Sie die Einstellungen im Azure Web Application Firewall-Plug-In aus, um den Log Analytics-Arbeitsbereich für Azure Front Door WAF oder das Azure Application Gateway WAF zu konfigurieren.
- Um mit der Verwendung der Skills zu beginnen, verwenden Sie die Eingabeaufforderungsleiste.
Beispiel für Azure WAF-Eingabeaufforderungen
Sie können eigene Eingabeaufforderungen in Microsoft Security Copilot erstellen, um Analysen zu den Angriffen basierend auf WAF-Protokollen durchzuführen. Dieser Abschnitt enthält einige Ideen und Beispiele.
Voraussetzungen
Seien Sie in Ihren Prompts klar und spezifisch. Möglicherweise erzielen Sie bessere Ergebnisse, wenn Sie bestimmte Geräte-IDs/Namen, App-Namen oder Richtliniennamen in Ihre Eingabeaufforderungen einschließen.
Es kann auch hilfreich sein, Ihrem Prompt WAF hinzuzufügen. Zum Beispiel:
- Gab es in den letzten Tagen einen Angriff durch Einschleusung von SQL-Befehlen in meiner regionalen WAF?
- Weitere Informationen zu den wichtigsten Regeln, die in meinem globalen WAF ausgelöst werden
Sie können mit verschiedenen Prompts und Varianten experimentieren, um zu ermitteln, was für Ihren Anwendungsfall am besten funktioniert. Chat-KI-Modelle variieren. Sie sollten also Ihre Eingabeaufforderungen basierend auf den Ergebnissen, die Sie erhalten, durchlaufen und verfeinern. Anleitungen zum Schreiben effektiver Eingabeaufforderungen finden Sie unter „Erstellen eigener Eingabeaufforderungen“.
Die folgenden Beispielaufforderungen können hilfreich sein.
Zusammenfassen von Informationen zu Angriffen durch Einschleusung von SQL-Befehlen
- Gab es in den letzten Tagen einen Angriff durch Einschleusung von SQL-Befehlen in meiner globalen WAF?
- Anzeigen von IP-Adressen im Zusammenhang mit dem obersten Angriff durch Einschleusung von SQL-Befehlen in meiner globalen WAF
- Anzeigen aller Angriffe durch Einschleusung von SQL-Befehlen in der regionalen WAF in den letzten 24 Stunden
Zusammenfassen von Informationen zu Cross-Site Scripting-Angriffen
- Wurde ein XSS-Angriff in meinem Anwendungsgateway WAF in den letzten 12 Stunden erkannt?
- Anzeigen einer Liste aller XSS-Angriffe in meiner Azure Front Door WAF
Generieren einer Liste von Bedrohungen in meiner Umgebung basierend auf WAF-Regeln
- Was waren die wichtigsten globalen WAF-Regeln, die in den letzten 24 Stunden ausgelöst wurden?
- Was sind die wichtigsten Bedrohungen im Zusammenhang mit der WAF-Regel in meiner Umgebung? <Regel-ID eingeben>
- Gab es in den letzten Tagen einen Bot-Angriff in meiner regionalen WAF?
- Fassen Sie benutzerdefinierte Regelblöcke zusammen, die am vergangenen Tag von Azure Front Door WAF ausgelöst wurden.
Generieren einer Liste von Bedrohungen in meiner Umgebung basierend auf böswilligen IP-Adressen
- Was war die oberste verstoßende IP-Adresse in der regionalen WAF am vergangenen Tag?
- Zusammenfassen der bösartigen IP-Adressen in meiner Azure Front Door WAF in den letzten sechs Stunden
Feedback geben
Ihr Feedback zur Azure WAF-Integration mit Microsoft Security Copilot hilft bei der Entwicklung. Um Feedback in Copilot zu geben, klicken Sie auf Wie ist diese Antwort? Wählen Sie unter jeder abgeschlossenen Eingabeaufforderung eine der folgenden Optionen aus:
- Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
- Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
- Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.
Für jedes Feedbackelement können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern.
Einschränkung
Wenn Sie zu dedizierten Azure Log Analytics-Tabellen in der Version Application Gateway WAF V2 migrieren, sind die Microsoft Security Copilot WAF-Fähigkeiten nicht funktionsfähig. Aktivieren Sie Azure-Diagnose als temporäre Problemumgehung zusätzlich zur ressourcenspezifischen Tabelle als Zieltabelle.
Datenschutz und Datensicherheit in Microsoft Security Copilot
Informationen dazu, wie Microsoft Security Copilot Ihre Eingabeaufforderungen und die Daten verarbeitet, die vom Dienst abgerufen werden (Eingabeaufforderungsausgabe), finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.