Integración de Azure Web Application Firewall en Copilot para seguridad (versión preliminar)

Importante

La integración de Azure Web Application Firewall en Microsoft Copilot para seguridad se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Copilot para seguridad es una plataforma de inteligencia artificial basada en la nube que proporciona experiencia de Copilot en lenguaje natural. Puede ayudar a los profesionales de la seguridad en diferentes escenarios, como la respuesta a incidentes, la búsqueda de amenazas y la recopilación de información. Para obtener más información, consulte ¿Qué es Microsoft Copilot para seguridad?

La integración de Azure Web Application Firewall (WAF) en Copilot para seguridad permite una investigación profunda de los eventos de Azure WAF. Puede ayudarle a investigar los registros de WAF desencadenados por Azure WAF en cuestión de minutos y proporcionar vectores de ataque relacionados mediante respuestas de lenguaje natural a velocidad de máquina. Proporciona visibilidad sobre el panorama de amenazas del entorno. Permite recuperar una lista de las reglas de WAF desencadenadas con más frecuencia e identificar las principales direcciones IPaddresses ofendidas en su entorno.

La integración de Copilot para seguridad se admite en Azure WAF integrado con Azure Application Gateway y Azure WAF integrado con Azure Front Door.

Saber antes de empezar

Si no está familiarizado con Copilot par, debe familiarizarse con él leyendo estos artículos:

• ¿Qué es Microsoft Copilot for Security?
• Experiencias de Microsoft Copilot for Security
• Introducción a Microsoft Copilot para Seguridad
• Descripción de la autenticación en Microsoft Copilot para seguridad
• Preguntar en Microsoft Copilot para seguridad

Integración de WAF de Azure en Copilot para seguridad

Esta integración admite la experiencia independiente y se accede a ella a través de https://securitycopilot.microsoft.com. Se trata de una experiencia similar al chat que puede usar para formular preguntas y obtener respuestas sobre los datos. Para obtener más información, consulte Experiencias de Microsoft Copilot para seguridad.

Características de la experiencia independiente

La experiencia independiente de la versión preliminar en Azure WAF puede ayudarle con:

• Proporcionar una lista de las principales reglas de WAF de Azure desencadenadas en el entorno del cliente y generar contexto profundo con vectores de ataque relacionados.

  Esta funcionalidad proporciona detalles sobre las reglas de WAF de Azure que se desencadenan debido a un bloque WAF. Proporciona una lista ordenada de reglas basadas en la frecuencia del desencadenador en el período de tiempo deseado. Para ello, analiza los registros de WAF de Azure y conecta registros relacionados durante un período de tiempo específico. El resultado es una explicación sencilla en lenguaje natural de por qué se bloqueó una solicitud determinada.

• Proporcionar una lista de direcciones IP malintencionadas en el entorno del cliente y generar amenazas relacionadas.

  Esta funcionalidad proporciona detalles sobre las direcciones IP de cliente bloqueadas por el WAF de Azure. Para ello, analiza los registros de WAF de Azure y conecta registros relacionados durante un período de tiempo específico. El resultado es una explicación en lenguaje natural fácil de entender de qué direcciones IP se bloquea el WAF y el motivo de los bloques.

• Resumen de los ataques de inyección de código SQL (SQLi).

  Esta aptitud de Azure WAF proporciona información sobre por qué bloquea los ataques de inyección de código SQL (SQLi) en las aplicaciones web. Para ello, analiza los registros de WAF de Azure y conecta registros relacionados durante un período de tiempo específico. El resultado es una explicación sencilla en lenguaje natural de por qué se bloqueó una solicitud determinada.

• Resumen de los ataques de scripting entre sitios (XSS).

  Esta aptitud de Azure WAF le ayuda a comprender por qué Azure WAF bloqueó los ataques de scripting entre sitios (XSS) a las aplicaciones web. Para ello, analiza los registros de WAF de Azure y conecta registros relacionados durante un período de tiempo específico. El resultado es una explicación sencilla en lenguaje natural de por qué se bloqueó una solicitud determinada.

Habilitación de la integración de WAF de Azure en Microsoft Copilot para seguridad

Para habilitar la integración, siga estos pasos:

1. Asegúrese de que tiene al menos permisos de colaborador de Copilot.
2. Abra https://securitycopilot.microsoft.com/.
3. Abra el menú Microsoft Copilot para seguridad.
4. Abra Orígenes en la barra de mensajes.
5. En la página Complementos, establezca el botón de alternancia Azure Web Application Firewall en Encendido.
6. Seleccione la opción Configuración en el complemento Azure Web Application Firewall para configurar el área de trabajo de Log Analytics, el identificador de suscripción de Log Analytics y el nombre del grupo de recursos de Log Analytics para WAF de Azure Front Door o WAF de Azure Application Gateway. También puede configurar el URI de la directiva WAF de Application Gateway o el URI de directiva de WAF de Azure Front Door.
7. Para empezar a usar las aptitudes, use la barra de mensajes.

Solicitudes de ejemplo

Puede crear sus propias indicaciones en Copilot para seguridad para realizar análisis sobre los ataques basados en los registros de WAF. En esta sección se muestran algunas ideas y ejemplos.

Antes de empezar

• Sea claro y específico con sus indicaciones. Puede obtener mejores resultados si incluye Id. o nombres de dispositivos específicos, nombres de aplicaciones o nombres de políticas en las solicitudes.

  También puede ayudar a agregar WAF al mensaje. Por ejemplo:

  • ¿Hubo algún ataque por inyección de código SQL en mi WAF regional en el último día?
  • Más información sobre las reglas principales desencadenadas en mi WAF global

• Experimente con diferentes avisos y variaciones para ver lo que funciona mejor para su caso de uso. Los modelos de IA de chat varían, así que repita y perfeccione sus solicitudes en función de los resultados que reciba. Para obtener orientación sobre cómo escribir solicitudes eficaces, consulte Creación de sus propias solicitudes.

Los mensajes de ejemplo siguientes pueden resultar útiles.

Resumen de información sobre los ataques por inyección de código SQL

• ¿Hubo un ataque por inyección de código SQL en mi WAF global en el último día?
• Muéstreme direcciones IP relacionadas con el ataque de inyección de código SQL superior en mi WAF global
• Muéstreme todos los ataques por inyección de código SQL en WAF regional en las últimas 24 horas

Resuma información sobre los ataques de scripting entre sitios

• ¿Se detectó algún ataque XSS en mi WAF de AppGW en las últimas 12 horas?
• Muestre una lista de todos los ataques XSS en mi WAF de Azure Front Door

Genere una lista de amenazas en mi entorno en función de las reglas de WAF

• ¿Cuáles fueron las principales reglas globales de WAF desencadenadas en las últimas 24 horas?
• ¿Cuáles son las principales amenazas relacionadas con la regla de WAF en mi entorno? <escriba el identificador de regla>
• ¿Hubo algún ataque de bot en mi WAF regional en el último día?
• Resuma los bloques de reglas personalizados desencadenados por WAF de Azure Front Door en el último día.

Genere una lista de amenazas en mi entorno en función de direcciones IP malintencionadas

• ¿Cuál fue la dirección IP infractora en WAF regional en el último día?
• ¿Resumir la lista de direcciones IP malintencionadas en mi WAF de Azure Front Door en las últimas seis horas?

Envío de comentarios

Sus comentarios sobre la integración de WAF de Azure con Copilot para seguridad ayudan con el desarrollo. Para proporcionar comentarios en Copilot, seleccione ¿Qué tal esta respuesta? En la parte inferior de cada mensaje completado y elija cualquiera de las siguientes opciones:

• Parece correcta: selecciónela si los resultados son precisos, en función de la evaluación.
• Necesita mejorar: selecciónela si algún detalle de los resultados es incorrecto o incompleto, en función de la evaluación.
• Inapropiada: selecciónela si los resultados contienen información cuestionable, ambigua o potencialmente perjudicial.

Para cada elemento de comentarios, puede proporcionar más información en el siguiente cuadro de diálogo que aparece. Siempre que sea posible, y cuando el resultado sea Necesita mejorar, escriba algunas palabras que expliquen lo que se puede hacer para mejorar el resultado.

Limitación

Si ha migrado a tablas dedicadas de Azure Log Analytics en la versión de WAF V2 de Application Gateway, las aptitudes del WAF de Copilot para seguridad no son funcionales. Como solución alternativa temporal, habilite Azure Diagnostics como tabla de destino además de la tabla específica del recurso.

Privacidad y seguridad de datos en Microsoft Copilot para seguridad

Para comprender cómo Microsoft Copilot para seguridad controla las solicitudes y los datos recuperados de la salida del servicio (salida de solicitudes), consulte Privacidad y seguridad de datos en Microsoft Copilot para seguridad.

Contenido relacionado

• ¿Qué es Microsoft Copilot for Security?