Investigación de incidentes de Microsoft Sentinel en Microsoft Copilot para seguridad
Microsoft Copilot para seguridad es una plataforma que le ayuda a defender su organización a velocidad y escala de la máquina. Microsoft Sentinel proporciona un complemento para Copilot para ayudar a analizar incidentes y generar consultas de búsqueda.
Junto con los indicaciones iterativas que usan otras fuentes sofisticadas de Copilot para seguridad que usted habilite, sus incidentes y datos de Microsoft Sentinel proporcionan una visibilidad más amplia de las amenazas y su contexto para su organización.
Para obtener más información sobre Copilot para seguridad, consulte los artículos siguientes:
- Introducción a Microsoft Copilot para Seguridad
- Administración de complementos en Microsoft Copilot for Security
- Descripción de la autenticación en Microsoft Copilot para seguridad
Integración de Microsoft Sentinel con Copilot para seguridad
Microsoft Sentinel proporciona dos complementos para integrarse con Copilot para seguridad:
- Microsoft Sentinel (versión preliminar)
- Lenguaje natural a KQL para Microsoft Sentinel (versión preliminar).
Importante
Los complementos "Microsoft Sentinel" y "Lenguaje natural a KQL para Microsoft Sentinel" están actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Configuración de un área de trabajo predeterminada de Microsoft Sentinel
Aumente la precisión del mensaje mediante la configuración de un área de trabajo de Microsoft Sentinel como valor predeterminado.
Vaya a Copilot para seguridad en https://securitycopilot.microsoft.com/.
Abra Orígenes
en la barra de indicaciones.En la página Administrar complementos, establezca el botón de alternancia en Encendido
Seleccione el icono de engranaje en el complemento Microsoft Sentinel (versión preliminar).
Configure el nombre del área de trabajo predeterminada.
Sugerencia
Especifique el área de trabajo en el símbolo del sistema cuando no coincida con el valor predeterminado configurado.
Ejemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integración de Microsoft Sentinel con Copilot en Defender
Use la plataforma de operaciones de seguridad unificadas con los datos de Microsoft Sentinel para una experiencia de Copilot para seguridad insertada. Los incidentes unificados de Microsoft Sentinel en el portal de Defender permiten a Copilot en Defender usar sus funcionalidades con datos de Microsoft Sentinel.
Por ejemplo:
- La solución SAP (versión preliminar) se instala en el área de trabajo de Microsoft Sentinel.
- La regla casi en tiempo real SAP: (Vista previa) Archivo descargado desde una dirección IP maliciosa activa una alerta, creando un incidente de Microsoft Sentinel.
- Microsoft Sentinel se agregó a la plataforma unificada de operaciones de seguridad.
- Los incidentes de Microsoft Sentinel ahora están unificados con incidentes de Defender XDR.
- Use Copilot en Microsoft Defender para el resumen de incidentes, respuestas guiadas e informes de incidentes.
Para obtener más información, consulte los siguientes recursos:
Integración de Microsoft Sentinel con Copilot para seguridad en la búsqueda avanzada
El complemento Lenguaje natural a KQL para Microsoft Sentinel (versión preliminar) genera y ejecuta consultas de búsqueda de KQL mediante datos de Microsoft Sentinel. Esta funcionalidad está disponible en la experiencia independiente y en la sección búsqueda avanzada del portal de Microsoft Defender.
Nota:
En el portal unificado de Microsoft Defender, puede solicitar a Copilot para seguridad que genere consultas de búsqueda avanzadas para las tablas de Defender XDR y Microsoft Sentinel. Actualmente no se admiten todas las tablas de Microsoft Sentinel, pero es de esperar que lo sean en el futuro.
Para obtener más información, consulte Copilot para seguridad en la búsqueda avanzada.
Mejora de las solicitudes de Microsoft Sentinel
Considere la secuencia de consultas Investigación de incidentes de Microsoft Sentinel como punto de partida para crear mensajes efectivos. Esta secuencia de consultas proporciona un informe sobre un incidente específico, junto con alertas relacionadas, puntuaciones de reputación, usuarios y dispositivos.
| Guía | Prompt |
|---|---|
| Ayude a Copilot a proporcionar información legible para el ser humano en lugar de responder con id. de objetos. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot sabe quién es usted. Use el pronunciamiento "yo" para encontrar incidentes relacionados con usted. El siguiente mensaje tiene como destino los incidentes asignados. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Cuando se reduce una respuesta rápida a un único incidente, Copilot conoce el contexto. | Tell me about the entities associated with that incident. |
| A Copilot se le da bien resumir. Describa una audiencia específica para la que desea que se resuma la solicitud y las respuestas. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obtener más instrucciones y ejemplos de solicitud, consulte los siguientes recursos:
- Uso de secuencias de consultas
- Preguntar en Microsoft Copilot para seguridad
- Biblioteca de indicaciones de Copilot para seguridad de Rod Trent
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de