Descripción de los complementos de Microsoft disponibles en Microsoft Copilot para seguridad

  • 10 minutos

Microsoft Copilot para seguridad se integra con varios orígenes, incluidos los propios productos de seguridad de Microsoft, proveedores que no son de Microsoft, fuentes de inteligencia de código abierto, sitios web y knowledge base a fin de generar instrucciones específicas para la organización.

Uno de los mecanismos con los que Copilot se integra en estos diversos orígenes es mediante complementos. Los complementos amplían las funcionalidades de Copilot’. En esta unidad, explorará los complementos de Microsoft.

Complementos de Microsoft

Los complementos de Microsoft proporcionan a Copilot acceso a información y funcionalidades desde los productos de Microsoft de su organización. La imagen siguiente muestra solo un subconjunto de los complementos de Microsoft disponibles.

Captura de pantalla de la ventana Administrar complementos que muestra los servicios de Microsoft.

En términos generales, los complementos de Microsoft en Copilot usan el modelo OBO (en nombre de), lo que significa que Copilot sabe que un cliente tiene licencias para productos específicos y se inicia sesión automáticamente en esos productos. Después, Security Copilot puede acceder a los productos específicos cuando el plugin está habilitado y, si procede, se configuran los parámetros. Algunos de los complementos de Microsoft que requieren configuración, como se indica mediante el icono de configuración o el botón de configuración, pueden incluir parámetros configurables que se usan para la autenticación en lugar del modelo OBO.

Para ver las funcionalidades del sistema compatibles con los complementos habilitados, debe seleccionar el icono de mensaje en la barra de mensajes y seleccionar "Ver todas las funcionalidades del sistema". Las funcionalidades del sistema son mensajes específicos y únicos que puede usar en Copilot. La selección de una funcionalidad del sistema normalmente necesita más entrada para obtener una respuesta útil, pero Copilot proporciona esa guía.

Captura de pantalla del icono de mensaje que cuando se selecciona abre la ventana para seleccionar las funcionalidades del sistema.

En las secciones siguientes se proporcionan descripciones breves para muchos de los complementos de Microsoft disponibles. Microsoft Copilot para seguridad agrega continuamente compatibilidad con productos de Microsoft.

Búsqueda de Azure AI (versión preliminar)

El complemento de Búsqueda de Azure AI le permite conectar las knowledge bases o repositorios de su empresa a Microsoft Copilot para seguridad. Los detalles sobre este complemento y las conexiones a las knowledge bases se describen en una unidad posterior de este módulo.

Microsoft Entra

Microsoft Entra es una familia de soluciones de acceso a redes e identidades multinube que permiten a las organizaciones proteger cualquier identidad y acceso seguro a cualquier recurso. Proporciona una plataforma unificada para la administración de identidades y acceso a la red, lo que facilita la protección de identidades y el acceso a los recursos en entornos multinube e híbridos.

Security Copilot se integra con Microsoft Entra. Con el complemento de Entra habilitado, los analistas de seguridad pueden obtener instantáneamente un resumen de riesgos, pasos para corregir y las instrucciones recomendadas para cada identidad en riesgo, en lenguaje natural. Los analistas pueden usar Copilot para guiar en la creación de un flujo de trabajo de ciclo de vida para simplificar el proceso de creación y emisión de credenciales de usuario y derechos de acceso. Estas y muchas otras funcionalidades de Entra son compatibles con Copilot.

La siguiente captura de pantalla muestra solo un subconjunto de las funcionalidades admitidas por el complemento de Entra.

Captura de pantalla de las funcionalidades de Entra que se pueden ejecutar en la experiencia independiente.

La integración de Copilot con Microsoft Entra se puede experimentar mediante las experiencias independientes o insertadas. Los escenarios admitidos a través de la experiencia insertada se describen con más detalle en el módulo titulado "Descripción de Microsoft Copilot en Microsoft Defender XDR".

Microsoft Intune

Microsoft Intune es una solución de administración de puntos de conexión basada en la nube. Administra el acceso de los usuarios a los recursos de la organización y simplifica la administración de aplicaciones y dispositivos en todos los dispositivos, incluidos los dispositivos móviles, los equipos de escritorio y los puntos de conexión virtuales.

Copilot for Security se integra con Microsoft Intune. Si Microsoft Intune está disponible en el mismo inquilino que Copilot y el complemento está habilitado, Copilot podrá obtener información sobre sus dispositivos, aplicaciones, directivas de cumplimiento y configuración y asignaciones de directivas administradas en Intune.

Las funcionalidades admitidas por el complemento de Intune permiten a un usuario:

  • Comparar diferentes líneas base de seguridad.
  • Obtener un resumen de una directiva existente.
  • Obtener el ámbito de la tarea de una directiva.
  • Obtener las diferencias o comparaciones entre dos dispositivos.
  • Recopila rápidamente detalles acerca de un dispositivo preguntando por él.
  • Permite obtener información más detallada sobre las inscripciones y la conformidad de los dispositivos de un usuario para la solución de problemas o una investigación de seguridad.
  • Y mucho más

Para usar el complemento de Microsoft Intune, el usuario tendría que tener asignado un rol específico del servicio de Intune, como el rol administrador de seguridad de puntos de conexión de Intune, además del permiso de rol que concede acceso a Copilot.

Algunos mensajes de ejemplo incluyen:

  • ¿Qué aplicaciones de Intune se asignan más?
  • ¿Cuántos dispositivos se han inscrito en Intune en las últimas 24 horas?
  • ¿Cuál es la diferencia de configuración de hardware entre los dispositivos DeviceA y DeviceB?

La siguiente captura de pantalla muestra solo un subconjunto de las funcionalidades admitidas por el complemento de Intune.

Captura de pantalla de las sugerencias de solicitud de Intune que se pueden ejecutar en la experiencia independiente.

Para obtener más información, visite Microsoft Copilot for Security e Intune.

Microsoft Defender XDR

Microsoft Defender XDR es un conjunto de aplicaciones de defensa empresarial unificada previa y posterior a la vulneración que coordina de forma nativa la detección, prevención, investigación y respuesta en puntos de conexión, identidades, correos electrónicos y aplicaciones para ofrecer protección integrada frente a ataques sofisticados.

Hay dos complementos independientes en Copilot que se relacionan con XDR de Microsoft Defender (la interfaz de usuario puede seguir mostrando Microsoft 365 Defender):

  • Microsoft Defender XDR
  • Lenguaje natural a KQL para XDR de Microsoft Defender

El permiso de rol que concede al usuario acceso a Copilot determina el nivel de acceso a los datos XDR de Microsoft Defender. No se requieren permisos de rol adicionales para usar el complemento XDR de Microsoft Defender o el lenguaje natural para el complemento KQL de Defender XDR.

Microsoft Defender XDR

El complemento Microsoft Defender XDR incluye funcionalidades que permiten a los usuarios:

  • Resumir incidentes de manera rápida
  • Actuación sobre incidentes a través de respuestas guiadas.
  • Crear informes de incidentes
  • Obtener respuestas guiadas a incidentes
  • Obtener resúmenes de dispositivos de Defender
  • Análisis de archivos
  • más...

En la siguiente captura de pantalla se muestra solo un subconjunto de las funcionalidades admitidas por el complemento Microsoft Defender XDR.

Captura de pantalla de las funcionalidades de Defender XDR que se pueden ejecutar en la experiencia independiente.

Copilot también incluye un libro de mensajes integrado para la investigación de incidentes de Microsoft Defender XDR que puede usar para obtener un informe sobre un incidente específico, con alertas relacionadas, puntuaciones de reputación, usuarios y dispositivos.

Con el complemento habilitado, la integración de Copilot con Defender XDR se puede experimentar a través de las experiencias independientes o insertadas. Los escenarios admitidos a través de la experiencia insertada se describen con más detalle en el módulo titulado "Descripción de Microsoft Copilot en Microsoft Defender XDR".

Lenguaje natural a KQL para Microsoft Defender

El complemento Lenguaje natural a KQL para Microsoft Defender (NL2KQLDefender) habilita la funcionalidad de asistente de consultas que convierte cualquier pregunta en lenguaje natural en el contexto de la búsqueda de amenazas, en una consulta KQL lista para ejecutarse. El asistente de consultas ahorra tiempo a los equipos de seguridad al generar una consulta KQL que puede ejecutarse automáticamente o ajustarse en función de las necesidades del analista.

Administración de superficie expuesta a ataques externos de Microsoft Defender (Defender EASM)

Microsoft Defender External Attack Surface Management (Defender EASM) detecta y asigna continuamente la superficie expuesta a ataques digitales para proporcionar una visión externa de la infraestructura en línea. Esta visibilidad permite a los equipos de seguridad y TI identificar elementos desconocidos, priorizar el riesgo, eliminar amenazas y ampliar el control de vulnerabilidades y exposición además que con el firewall. La información de la superficie de ataque se generan usando datos sobre vulnerabilidades e infraestructuras para mostrar las áreas clave que preocupan a su organización.

Si usa EASM de Defender en el mismo inquilino que Copilot y habilita el complemento, Copilot puede exponer información de Defender EASM sobre la superficie expuesta a ataques de una organización. Puede usar las características del sistema integradas en Copilot y usar avisos para obtener más información. Esta información puede ayudarle a comprender su posición de seguridad y mitigar las vulnerabilidades.

Las funcionalidades compatibles con el complemento de Defender EASM incluyen:

  • Obtener el resumen de la superficie expuesta a ataques.
  • Obtener información sobre la superficie expuesta a ataques.
  • Obtener los recursos afectados por los CV por prioridad o identificador CVE.
  • Obtener los recursos por puntuación de CVSS.
  • Obtener dominios expirados.
  • Obtener certificados SSL expirados.
  • Obtener certificados SHA1.
  • más...

Algunos mensajes de ejemplo incluyen:

  • ¿Mi superficie expuesta a ataques externos se ve afectada por CVE-2023-21709?
  • Obtener recursos afectados por CVSS de alta prioridad en mi superficie expuesta a ataques.
  • ¿Cuántos recursos tienen CVSS críticos para mi organización?

La siguiente captura de pantalla muestra solo un subconjunto de las funcionalidades admitidas por el complemento EASM.

Captura de pantalla de las funcionalidades del sistema de EASM que se pueden ejecutar en la experiencia independiente.

Para usar este complemento, es necesario configurar parámetros para identificar la suscripción de la organización a Defender EASM.

Captura de pantalla de la configuración del complemento de EASM que se debe configurar.

Para obtener más información, visite Microsoft Copilot for Security and Defender EASM.

Inteligencia contra amenazas de Microsoft Defender

Inteligencia contra amenazas de Microsoft Defender (Defender IT) es una plataforma que simplifica la evaluación de prioridades, la respuesta a incidentes, la búsqueda de amenazas, administración de vulnerabilidades y los flujos de trabajo de analistas de inteligencia sobre ciberamenazas al realizar análisis de infraestructuras de amenazas y recopilar inteligencia sobre amenazas.

Copilot for Security se integra con TI de Microsoft Defender. Con plugin TI de Defender habilitado, Copilot ofrece información sobre los grupos de actividades de amenazas, los indicadores de riesgo (IOC), las herramientas y la inteligencia sobre amenazas contextuales. Puede usar las indicaciones y los libros de mensajes para investigar incidentes, enriquecer los flujos de búsqueda con información de inteligencia sobre amenazas u obtener más conocimiento sobre el panorama global de amenazas o la organización.

La siguiente captura de pantalla muestra solo un subconjunto de las funcionalidades admitidas por el complemento de Defender TI.

Captura de pantalla de las funcionalidades del sistema de Defender TI que se pueden ejecutar en la experiencia independiente.

Copilot también incluye libros de solicitudes integrados que proporcionan información de Defender TI, que incluye:

  • Evaluación del impacto en la vulnerabilidad: genera un informe que resume la inteligencia de una vulnerabilidad conocida, incluidos los pasos sobre cómo abordarla.
  • Perfil de actor de amenazas: genera un informe con el perfil de un grupo de actividad conocido, incluyendo sugerencias para defenderse de sus herramientas y tácticas comunes.

Captura de pantalla de los libros de solicitud de Defender TI que se pueden ejecutar en la experiencia independiente.

Algunos mensajes de ejemplo incluyen:

  • Muéstrame los artículos de amenazas más recientes.
  • Obtener artículos sobre amenazas asociados al sector financiero.
  • Compartir las tecnologías que son susceptibles a la vulnerabilidad: CVE-2021-44228.
  • Resumir la vulnerabilidad CVE-2021-44228.

Para obtener más información, visite Microsoft Copilot for Security and Microsoft Defender Threat Intelligence.

Microsoft Purview

Microsoft Purview es un conjunto completo de soluciones que pueden ayudar a su organización a controlar, proteger y administrar datos, dondequiera que residan. Las soluciones de Microsoft Purview proporcionan cobertura integrada y ayudan a abordar la fragmentación de los datos en todas las organizaciones, la falta de visibilidad que dificulta la protección y la gobernanza de datos y la desenfoque de los roles tradicionales de administración de TI.

El complemento Purview de Copilot for Security le permite obtener datos valiosos y información de riesgo del usuario para ayudar a identificar el origen de un ataque y cualquier dato confidencial que pueda estar en riesgo.

La siguiente captura de pantalla muestra solo un subconjunto de las funcionalidades admitidas por el complemento de Purview.

Captura de pantalla de las funcionalidades de Purview.

Con el complemento habilitado, la integración de Security Copilot con Purview se puede experimentar a través de las experiencias independientes o insertadas. En cualquier caso y dado que Microsoft Copilot asume los permisos del usuario cuando intenta acceder a los datos para responder a las consultas, debe tener los permisos necesarios para acceder a los datos. Además, su organización debe tener licencia y estar incorporada a las soluciones aplicables de Microsoft Purview.

En la experiencia independiente, las funcionalidades habilitadas por el complemento de Purview se pueden ejecutar como un mensaje si se selecciona esa funcionalidad y se escribe la entrada necesaria.

Las funcionalidades de Copilot también se pueden experimentar directamente desde las soluciones de Purview, a través de la experiencia insertada. Los escenarios admitidos a través de la experiencia insertada se describen con más detalle en el módulo titulado "Descripción de Microsoft Copilot en Microsoft Purview".

Microsoft Sentinel (versión preliminar)

Microsoft Sentinel proporciona análisis de seguridad inteligentes e inteligencia sobre amenazas a toda la empresa. Con Microsoft Sentinel obtendrá una única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta contra amenazas.

Hay dos complementos independientes en Copilot relacionados con Sentinel:

  • Microsoft Sentinel ({revisión})
  • Lenguaje natural para KQL de Microsoft Sentinel (versión preliminar)

Captura de pantalla del complemento de Sentinel y NL2KQK en Sentinel.

Microsoft Sentinel (versión preliminar)

Para usar el complemento de Sentinel, el usuario tendría que tener asignado un permiso de rol que conceda acceso a Copilot y un rol específico de Sentinel como lector de Microsoft Sentinel para acceder a incidentes en el área de trabajo.

El complemento de Sentinel también requiere que el usuario configure el área de trabajo de Sentinel, el nombre de la suscripción y el nombre del grupo de recursos.

Captura de pantalla de la página de configuración del complemento de Sentinel.

Las funcionalidades del complemento de Sentinel se centran en incidentes y áreas de trabajo. Además, Copilot incluye un libro de mensajes para la investigación de incidentes de Microsoft Sentinel. Este aviso incluye mensajes para obtener un informe sobre un incidente específico, junto con alertas relacionadas, puntuaciones de reputación, usuarios y dispositivos.

Captura de pantalla del libro de solicitudes de Sentinel que se puede ejecutar en la experiencia independiente.

Captura de pantalla de las solicitudes del libro de solicitudes de Sentinel.

Lenguaje natural para KQL de Microsoft Sentinel (versión preliminar)

El complemento de lenguaje natural a Sentinel KQL (NL2KQLSentinel) convierte cualquier pregunta en lenguaje natural en el contexto de la búsqueda de amenazas, en una consulta KQL lista para ejecutarse. Este ahorra tiempo a los equipos de seguridad al generar una consulta KQL que puede ejecutarse automáticamente o ajustarse en función de las necesidades del analista.