Partager via


Intégration d’Azure Web Application Firewall dans Microsoft Copilot pour la sécurité (préversion)

Important

L’intégration d’Azure Web Application Firewall dans Microsoft Copilot pour la sécurité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Microsoft Copilot pour la sécurité est une plateforme d’IA cloud qui offre une expérience de copilote en langage naturel. Il peut aider les professionnels de la sécurité dans différents scénarios, tels que la réponse aux incidents, la chasse aux menaces et la collecte de renseignements. Pour plus d’informations, consultez Présentation de Microsoft Copilot pour la sécurité ?

L’intégration d’Azure Web Application Firewall (WAF) dans Microsoft Copilot pour la sécurité permet d’examiner en profondeur les événements d’Azure WAF. Il peut vous aider à examiner les journaux WAF déclenchés par Azure WAF en quelques minutes et à fournir des vecteurs d’attaque associés à l’aide de réponses en langage naturel à la vitesse de la machine. Il fournit une visibilité sur le paysage des menaces de votre environnement. Il vous permet de récupérer une liste des règles WAF les plus fréquemment déclenchées et d’identifier les adresses IP les plus incriminées dans votre environnement.

L’intégration de Microsoft Copilot pour la sécurité est prise en charge à la fois sur Azure WAF intégré à Azure Application Gateway et sur Azure WAF intégré à Azure Front Door.

Bon à savoir avant de commencer

Si vous débutez avec Microsoft Copilot pour la sécurité, vous devez vous familiariser avec celui-ci en lisant ces articles :

Intégration de Microsoft Copilot pour la sécurité dans Azure WAF

Cette intégration prend en charge l’expérience autonome et est accessible via https://securitycopilot.microsoft.com. Il s’agit d’une expérience de conversation que vous pouvez utiliser pour poser des questions et obtenir des réponses sur vos données. Pour plus d’informations, consultez Expériences Microsoft Copilot pour la sécurité.

Fonctionnalités clés

L’expérience autonome en préversion dans Azure WAF peut vous aider à :

  • Fournir une liste des principales règles WAF Azure déclenchées dans l’environnement du client et générer un contexte détaillé avec des vecteurs d’attaque associés.

    Cette fonctionnalité fournit des détails sur les règles WAF Azure déclenchées en raison d’un blocage effectué par WAF. Elle fournit une liste des règles triée en fonction de la fréquence des déclencheurs dans la période souhaitée. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une demande particulière a été bloquée.

  • Fournir une liste des adresses IP malveillantes dans l’environnement du client et générer les menaces associées.

    Cette fonctionnalité fournit des détails sur les adresses IP clientes bloquées par le WAF Azure. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre des adresses IP bloquées par le WAF et la raison des blocages.

  • Résumer les attaques par injection de code SQL (SQLi).

    Cette compétence Azure WAF vous fournit des insights sur la raison pour laquelle elle bloque les attaques par injection de code SQL (SQLi) sur des applications web. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une requête SQLi a été bloquée.

  • Résumer les attaques par scripting inter-site (XSS)

    Cette compétence Azure WAF vous aide à comprendre pourquoi Azure WAF a bloqué des attaques par scripting inter-site (XSS) sur des applications web. Elle effectue cette opération en analysant les journaux Azure WAF et en connectant les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une demande XSS a été bloquée.

Activer l’intégration d’Azure WAF dans Copilot pour la sécurité

Pour activer l’intégration, procédez comme suit :

  1. Vérifiez que vous disposez au moins des autorisations de contributeur Copilot.
  2. Ouvrez https://securitycopilot.microsoft.com/.
  3. Ouvrez le menu de Copilot pour la sécurité.
  4. Ouvrez Sources dans la barre de prompt.
  5. Dans la page Plug-ins, définissez le bouton bascule d’Azure Web Application Firewall sur Activé.
  6. Sélectionnez les paramètres du plug-in Azure Web Application Firewall pour configurer l’espace de travail Log Analytics, l’ID d’abonnement Log Analytics, et le nom du groupe de ressources Log Analytics pour le WAF Azure Front Door et/ou le WAF Azure Application Gateway. Vous pouvez également configurer l’URI de la stratégie WAF Application Gateway et/ou l’URI de la stratégie WAF Azure Front Door.
  7. Pour commencer à utiliser les compétences, utilisez la barre de prompt. Capture d’écran montrant la barre de prompt de Microsoft Copilot pour la sécurité.

Exemples de prompts Azure WAF

Vous pouvez créer vos propres prompts dans Microsoft Copilot pour la sécurité afin d’effectuer une analyse sur les attaques basée sur les journaux WAF. Cette section contient quelques idées et des exemples.

Avant de commencer

  • Soyez clair et précis avec vos invites. Vous pouvez obtenir de meilleurs résultats si vous incluez des ID/noms d’appareil spécifiques, des noms d’application ou des noms de stratégie dans vos invites.

    Elle peut également vous aider à ajouter WAF à votre prompt. Par exemple :

    • Y a-t-il eu des attaques par injection de code SQL dans mon WAF régional au cours de la dernière journée ?
    • Je voudrais en savoir plus sur les principales règles déclenchées dans mon WAF global
  • Faites des essais avec différentes invites et variantes pour voir ce qui convient le mieux à votre cas d’usage. Les modèles IA de conversation varient : vous devez donc itérer et affiner vos prompts en fonction des résultats obtenus. Pour obtenir de l’aide sur la rédaction de prompts efficaces, consultez Créer vos propres prompts.

Les exemples de prompts suivants peuvent vous être utiles.

Résumer les informations sur les attaques par injection de code SQL

  • Y a-t-il eu une attaque par injection de code SQL dans mon WAF global au cours de la dernière journée ?
  • Me montrer les adresses IP liées à la principale attaque par injection de code SQL dans mon WAF global
  • Me montrer toutes les attaques par injection de code SQL dans le WAF régional au cours des dernières 24 heures

Résumer les informations sur les attaques par scripting inter-site

  • Une attaque XSS a-t-elle été détectée dans mon WAF AppGW au cours des 12 dernières heures ?
  • Me montrer la liste de toutes les attaques XSS dans mon WAF Azure Front Door

Générer une liste de menaces dans mon environnement en fonction des règles WAF

  • Quelles ont été les principales règles du WAF global déclenchées au cours des 24 dernières heures ?
  • Quelles sont les principales menaces liées à la règle WAF dans mon environnement ? <entrer l’ID de règle>
  • Y a-t-il eu des attaques par bot dans mon WAF régional au cours de la dernière journée ?
  • Résumez les blocages de règles personnalisées déclenchés par le WAF Azure Front Door au cours de la dernière journée.

Générer une liste de menaces dans mon environnement en fonction des adresses IP malveillantes

  • Quelle a été la principale adresse IP incriminée dans le WAF régional au cours de la dernière journée ?
  • Résumer la liste des adresses IP malveillantes dans mon WAF Azure Front Door au cours des six dernières heures

Fournir des commentaires

Vos commentaires sur l’intégration d’Azure WAF à Microsoft Copilot pour la sécurité nous aident dans le développement. Pour fournir des commentaires dans Copilot, sélectionnez Comment est cette réponse ? en bas de chaque prompt terminé, puis choisissez une des options suivantes :

  • Semble correcte : sélectionnez cette option si les résultats sont précis, d’après votre évaluation.
  • Besoin d’amélioration : sélectionnez cette option si des détails dans les résultats sont incorrects ou incomplets, d’après votre évaluation.
  • Inappropriée : sélectionnez cette option si les résultats contiennent des informations douteuses, ambiguës ou potentiellement dangereuses.

Pour chaque élément de commentaire, vous pouvez fournir plus d’informations dans la boîte de dialogue qui s’affiche ensuite. Dans la mesure du possible, et quand le résultat est « À améliorer », écrivez quelques mots expliquant ce que nous pouvons faire pour améliorer le résultat.

Limitation

Si vous avez migré vers des tables dédiées Azure Log Analytics dans la version Application Gateway WAF V2, les compétences WAF de Microsoft Copilot pour la sécurité ne sont pas fonctionnelles. À titre de solution de contournement temporaire, activez Diagnostics Azure comme table de destination en plus de la table spécifique à la ressource.

Confidentialité et sécurité des données dans Microsoft Copilot pour la sécurité

Pour comprendre comment Microsoft Copilot pour la sécurité gère vos prompts et les données récupérées auprès du service (le résultat du prompt), consultez Confidentialité et sécurité des données dans Microsoft Copilot pour la sécurité.