Intégration d’Azure Web Application Firewall dans Copilot pour la sécurité (préversion)
Important
L’intégration d’Azure Web Application Firewall dans Microsoft Copilot pour la sécurité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
Microsoft Copilot pour la sécurité est une plateforme d’IA cloud qui offre une expérience de copilote en langage naturel. Il peut aider les professionnels de la sécurité dans différents scénarios, tels que la réponse aux incidents, la chasse aux menaces et la collecte de renseignements. Pour plus d’informations, consultez Présentation de Microsoft Copilot pour la sécurité ?
L’intégration Azure Web Application Firewall (WAF) dans Copilot pour la sécurité permet d’examiner en profondeur les événements d’Azure WAF. Il peut vous aider à examiner les journaux WAF déclenchés par Azure WAF en quelques minutes et à fournir des vecteurs d’attaque associés en utilisant des réponses en langage naturel produites à la vitesse de la machine. Il offre une visibilité sur le paysage des menaces de votre environnement. Il vous permet de récupérer une liste des règles WAF les plus fréquemment déclenchées et d’identifier les adresses IP les plus incriminées dans votre environnement.
L’intégration de Copilot pour la sécurité est prise en charge à la fois sur Azure WAF intégré à Azure Application Gateway et sur Azure WAF intégré à Azure Front Door.
Bon à savoir avant de commencer
Si vous débutez avec Copilot pour la sécurité, vous devez vous familiariser avec celui-ci en lisant ces articles :
- Qu’est-ce que Microsoft Copilot pour la sécurité ?
- Expériences Microsoft Copilot pour la sécurité
- Bien démarrer avec Microsoft Copilot pour la sécurité
- Comprendre l’authentification dans Microsoft Copilot pour la sécurité
- Concevoir des prompts dans Microsoft Copilot pour la sécurité
Intégration d’Azure WAF dans Copilot pour la sécurité
Cette intégration prend en charge l’expérience autonome et est accessible via https://securitycopilot.microsoft.com. Il s’agit d’une expérience de conversation que vous pouvez utiliser pour poser des questions et obtenir des réponses sur vos données. Pour plus d’informations, consultez Expériences Microsoft Copilot pour la sécurité.
Fonctionnalités de l’expérience autonome
L’expérience autonome en préversion dans Azure WAF peut vous aider à :
Fournir une liste des principales règles WAF Azure déclenchées dans l’environnement du client et générer un contexte détaillé avec des vecteurs d’attaque associés.
Cette fonctionnalité fournit des détails sur les règles WAF Azure déclenchées en raison d’un blocage effectué par WAF. Elle fournit une liste des règles triée en fonction de la fréquence des déclencheurs dans la période souhaitée. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une demande particulière a été bloquée.
Fournir une liste des adresses IP malveillantes dans l’environnement du client et générer les menaces associées.
Cette fonctionnalité fournit des détails sur les adresses IP clientes bloquées par le WAF Azure. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre des adresses IP bloquées par le WAF et la raison des blocages.
Résumer les attaques par injection de code SQL (SQLi).
Cette compétence Azure WAF vous fournit des insights sur la raison pour laquelle elle bloque les attaques par injection de code SQL (SQLi) sur des applications web. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une requête SQLi a été bloquée.
Résumer les attaques par scripting inter-site (XSS)
Cette compétence Azure WAF vous aide à comprendre pourquoi Azure WAF a bloqué des attaques par scripting inter-site (XSS) sur des applications web. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une demande XSS a été bloquée.
Activer l’intégration d’Azure WAF dans Microsoft Copilot pour la sécurité
Pour activer l’intégration, procédez comme suit :
- Vérifiez que vous disposez au moins des autorisations de contributeur Copilot.
- Ouvrez https://securitycopilot.microsoft.com/.
- Ouvrez le menu de Microsoft Copilot pour la sécurité.
- Ouvrez Sources dans la barre de prompt.
- Dans la page Plug-ins, définissez le bouton bascule d’Azure Web Application Firewall sur Activé.
- Sélectionnez les paramètres du plug-in Azure Web Application Firewall pour configurer l’espace de travail Log Analytics, l’ID d’abonnement Log Analytics, et le nom du groupe de ressources Log Analytics pour le WAF Azure Front Door et/ou le WAF Azure Application Gateway. Vous pouvez également configurer l’URI de la stratégie WAF Application Gateway et/ou l’URI de la stratégie WAF Azure Front Door.
- Pour commencer à utiliser les compétences, utilisez la barre de prompt.
Exemples d’invites
Vous pouvez créer vos propres prompts dans Copilot pour la sécurité pour effectuer une analyse sur les attaques basée sur les journaux WAF. Cette section contient quelques idées et des exemples.
Avant de commencer
Soyez clair et précis avec vos invites. Vous pouvez obtenir de meilleurs résultats si vous incluez des ID/noms d’appareil spécifiques, des noms d’application ou des noms de stratégie dans vos invites.
Elle peut également vous aider à ajouter WAF à votre prompt. Par exemple :
- Y a-t-il eu des attaques par injection de code SQL dans mon WAF régional au cours de la dernière journée ?
- Je voudrais en savoir plus sur les principales règles déclenchées dans mon WAF global
Faites des essais avec différentes invites et variantes pour voir ce qui convient le mieux à votre cas d’usage. Les modèles IA de conversation varient : vous devez donc itérer et affiner vos prompts en fonction des résultats obtenus. Pour obtenir de l’aide sur la rédaction de prompts efficaces, consultez Créer vos propres prompts.
Les exemples de prompts suivants peuvent vous être utiles.
Résumer les informations sur les attaques par injection de code SQL
- Y a-t-il eu une attaque par injection de code SQL dans mon WAF global au cours de la dernière journée ?
- Me montrer les adresses IP liées à la principale attaque par injection de code SQL dans mon WAF global
- Me montrer toutes les attaques par injection de code SQL dans le WAF régional au cours des dernières 24 heures
Résumer les informations sur les attaques par scripting inter-site
- Une attaque XSS a-t-elle été détectée dans mon WAF AppGW au cours des 12 dernières heures ?
- Me montrer la liste de toutes les attaques XSS dans mon WAF Azure Front Door
Générer une liste de menaces dans mon environnement en fonction des règles WAF
- Quelles ont été les principales règles du WAF global déclenchées au cours des 24 dernières heures ?
- Quelles sont les principales menaces liées à la règle WAF dans mon environnement ? <entrer l’ID de règle>
- Y a-t-il eu des attaques par bot dans mon WAF régional au cours de la dernière journée ?
- Résumez les blocages de règles personnalisées déclenchés par le WAF Azure Front Door au cours de la dernière journée.
Générer une liste de menaces dans mon environnement en fonction des adresses IP malveillantes
- Quelle a été la principale adresse IP incriminée dans le WAF régional au cours de la dernière journée ?
- Résumer la liste des adresses IP malveillantes dans mon WAF Azure Front Door au cours des six dernières heures
Fournir des commentaires
Vos commentaires sur l’intégration d’Azure WAF à Copilot pour la sécurité nous aident dans le développement. Pour fournir des commentaires dans Copilot, sélectionnez Comment est cette réponse ? en bas de chaque prompt terminé, puis choisissez une des options suivantes :
- Semble correcte : sélectionnez cette option si les résultats sont précis, d’après votre évaluation.
- À améliorer : sélectionnez cette option si des détails dans les résultats sont incorrects ou incomplets, d’après votre évaluation.
- Inappropriée : sélectionnez cette option si les résultats contiennent des informations douteuses, ambiguës ou potentiellement dangereuses.
Pour chaque élément de commentaire, vous pouvez fournir plus d’informations dans la boîte de dialogue qui s’affiche ensuite. Dans la mesure du possible, et quand le résultat est « À améliorer », écrivez quelques mots expliquant ce que nous pouvons faire pour améliorer le résultat.
Limitation
Si vous avez migré vers des tables dédiées Azure Log Analytics dans Application Gateway WAF V2, les compétences WAF de Copilot pour la sécurité ne sont pas fonctionnelles. À titre de solution de contournement temporaire, activez Diagnostics Azure comme table de destination en plus de la table spécifique à la ressource.
Confidentialité et sécurité des données dans Microsoft Copilot pour la sécurité
Pour comprendre comment Microsoft Copilot pour la sécurité gère vos prompts et les données récupérées auprès du service (le résultat du prompt), consultez Confidentialité et sécurité des données dans Microsoft Copilot pour la sécurité.
Contenu connexe
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour