Azure Firewall-integráció a Microsoft Security Copilotban

A Security Copilot egy generatív mesterséges intelligenciával működő biztonsági megoldás, amely segít növelni a biztonsági személyzet hatékonyságát és képességeit, hogy javítsa a biztonsági eredményeket gépi sebességgel és méretarányosan. Természetes nyelvi, kisegítő társpilot-élményt nyújt, amely segít a biztonsági szakembereknek a teljes körű helyzetekben, például incidenskezelésben, fenyegetéskeresésben, intelligenciagyűjtésben és testtartás-kezelésben. További információért arról, hogy mire képes, lásd: Mi az a Microsoft Security Copilot?

Tudja meg, mielőtt elkezdi

Ha még nem ismeri a Security Copilot, az alábbi cikkek elolvasásával ismerkedhet meg vele:

Security Copilot integráció az Azure Firewallban

Az Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely az Azure-ban futó felhőbeli számítási feladatokhoz nyújt a legjobb szintű fenyegetésvédelmet. Ez egy szolgáltatásként nyújtott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan skálázhatósággal a felhőben.

A Security Copilot Azure Firewall-integrációja segít az elemzőknek a tűzfalaik IDPS szolgáltatása által a teljes flottájukban észlelt rosszindulatú forgalom részletes vizsgálatában természetes nyelvi kérdések használatával.

Ezt az integrációt két különböző módon használhatja:

További információ: Microsoft Security Copilot-élmények és Azure Copilot-képességek.

Legfontosabb funkciók

A Security Copilot beépített rendszerfunkciókkal rendelkezik, amelyek adatokat kapnak a különböző bekapcsolt beépülő modulokból.

Az Azure Firewall beépített rendszer képességeinek listáját a Security Copilot portálon tekintheti meg a következő eljárással:

  1. A parancssori sávon válassza a Prompts (Kérdések) ikont .

  2. Válassza az Összes rendszerképesség megtekintése lehetőséget.

  3. Az Azure Firewall szakasz felsorolja az összes használható képességet.

Az Azure Firewall integrációjának engedélyezése a Security Copilotban

  1. Győződjön meg arról, hogy az Azure Tűzfal helyesen van beállítva:

    • Strukturált Azure Firewall-naplók – az Azure Firewall és a Security Copilot használatához konfigurálja őket erőforrásspecifikus strukturált naplókkal az IDPS-hez, és küldje el ezeket a naplókat egy Log Analytics-munkaterületre.

    • Szerepköralapú hozzáférés-vezérlés az Azure Firewallhoz – a Security Copilot Azure Firewall beépülő modult használó felhasználóknak rendelkezniük kell a megfelelő Azure Szerepköralapú hozzáférés-vezérlési szerepkörökkel a tűzfal és a kapcsolódó Log Analytics-munkaterületek eléréséhez.

  2. Lépjen a Security Copilot webhelyre, és jelentkezzen be a hitelesítő adataival.

  3. Győződjön meg arról, hogy az Azure Firewall beépülő modul be van kapcsolva. A parancssori sávon válassza a Források ikont. Az előugró Források kezelése ablakban, amely megjelenik, ellenőrizze, hogy az Azure Firewall kapcsoló be van-e kapcsolva. Ezután zárja be az ablakot. Nincs szükség más konfigurációra. Ha a rendszer strukturált naplókat küld egy Log Analytics-munkaterületre, és ön rendelkezik a megfelelő szerepköralapú hozzáférés-vezérlési engedélyekkel, a Copilot megkeresi azokat az adatokat, amelyekre szüksége van a kérdések megválaszolásához.

    Képernyőkép az Azure Firewall beépülő modulról.

  4. Adja meg a kérését a Security Copilot portál parancssoros sávjában, vagy az Azure portálon az Azure Copilot felületén.

    Fontos

    Az Azure Copilot használata az Azure Firewall lekérdezéséhez a Security Copilot részét képezi, és biztonsági számítási egységeket (SCU-kat) igényel. Az SCU-kat bármikor üzembe helyezheti, és növelheti vagy csökkentheti őket. További információkért az SCU-król, lásd: Get started with Microsoft Security Copilot. Ha nincs megfelelően konfigurálva a Security Copilot, de az Azure Copilot felületén keresztül feltehet egy, az Azure Firewall képességei szempontjából releváns kérdést, hibaüzenet jelenik meg.

Azure Firewall-mintaüzenetek

Ha az Azure Firewalltól szeretne adatokat lekérni, használja a parancssort. Ez a szakasz azokat sorolja fel, amelyek ma a legjobban működnek. Folyamatosan frissül az új képességek elindításakor.

Az adott Azure Firewall leggyakoribb IDPS-aláírási találatainak lekérése

Szerezzen naplóinformációt az IDPS funkció által lehallgatott forgalomról, ahelyett, hogy manuálisan állítaná össze a KQL-lekérdezéseket.

Képernyőkép az Azure Firewall legfontosabb IDPS-aláírási találatainak lekérésére szolgáló képességről.

Mintaüzenetek:

  • Elfogta a tűzfal <Firewall name> a rosszindulatú forgalmat?
  • Melyek az erőforráscsoport <Firewall name>tűzfalának <resource group name> elmúlt hét napjának 20 legfontosabb IDPS-találata?
  • Mutasd meg táblázatos formában az első 50 támadást, amelyek a tűzfalat <Firewall name> célozták meg az előfizetésben <subscription name> az elmúlt hónapban.

Gazdagítsa az IDPS aláírás fenyegetési profilját a naplóinformáción túl.

További részleteket kaphat az IDPS-aláírás fenyegetésadatainak és profiljának bővítéséhez, így elkerülve a manuális összeállítást.

Képernyőkép egy IDPS-aláírás fenyegetésprofiljának a naplóadatokon túli bővítéséről.

Mintaüzenetek:

  • Magyarázza el, miért jelölte az IDPS az első találatot magas súlyosságúnak, és az ötödik találatot alacsony súlyosságúnak.

  • Mit tudsz mondani erről a támadásról? Milyen más támadásokról ismert még ez a támadó?

  • Látom, hogy a harmadik aláírásazonosító a CVE-hez <CVE number\>van társítva. Tudjon meg többet erről a CVE-ről.

    Megjegyzés:

    A Microsoft Threat Intelligence beépülő modul egy másik forrás, amellyel a Security Copilot fenyegetésfelderítést biztosíthat az IDPS-aláírásokhoz.

Keressen egy adott IDPS-aláírást a bérlői, előfizetési vagy erőforráscsoportokban

Végezzen flottaszintű keresést (bármilyen hatókörön keresztül) egy fenyegetésre az összes tűzfalon ahelyett, hogy manuálisan keresgélnél a fenyegetést.

Képernyőkép, amely bemutatja az IDPS aláírások keresési képességét a bérlőd, előfizetéseid vagy erőforráscsoportjaid között.

Mintaüzenetek:

  • Csak ez az egyetlen tűzfal állította meg az <ID number\> aláírás-azonosítót? Mi a helyzet a többi bérlővel az egész bérleményben?
  • A legnagyobb találatot látta az előfizetés <subscription name> bármely más tűzfala?
  • Az elmúlt héten az erőforráscsoport <resource group name\> tűzfala látta az aláírás azonosítóját <ID number>?

Javaslatok létrehozása a környezet védelmére az Azure Firewall IDPS-funkciójával

Kérjen dokumentációból információt az Azure Firewall IDPS funkciójának használatáról, hogy biztosítsa környezetét, ahelyett, hogy manuálisan kellene keresnie ezt az információt.

Screenshot a generált ajánlásokat mutatja, amelyek az Azure Firewall IDPS funkcióképességének használatával segítenek biztosítani a környezetét.

Mintaüzenetek:

  • Hogyan védhetem meg magam a jövőbeli támadásoktól ettől a támadótól az egész infrastruktúrámon keresztül?

  • Ha meg szeretném győződni arról, hogy az összes Azure-tűzfalam védett az aláírás-azonosítóval <ID number\>kapcsolatos támadások ellen, hogyan végezhetem el ezt?

  • Mi a kockázati különbség az IDPS esetében csak riasztás és a riasztás és blokkolás módok között?

    Megjegyzés:

    Előfordulhat, hogy a Security Copilot a Microsoft Dokumentáció kérése funkcióval is megadja ezeket az információkat, és ha ezt a képességet az Azure Copilot-felületen keresztül használja, az Információk lekérése funkció használható ezen információk megadására.

Visszajelzés küldése

Az Ön visszajelzése létfontosságú a termék jelenlegi és tervezett fejlesztésének irányításához. A legjobb módja ennek a visszajelzésnek az, ha közvetlenül a termékben nyújtjuk.

A Security Copiloton keresztül

Válassza a Hogy tetszik ez a válasz? opciót az egyes kitöltött kérdések alján, és válassza ki az alábbi lehetőségek valamelyikét:

  • Helyesnek tűnik - Válassza, ha az eredmények pontosak az ön értékelése alapján.
  • Javítás szükséges - Válaszd ki, ha bármelyik részlet az eredményekben hibás vagy hiányos a megítélésed szerint.
  • Nem megfelelő – Válassza ki, hogy az eredmények megkérdőjelezhető, nem egyértelmű vagy potenciálisan káros információkat tartalmaznak-e.

Minden visszajelzési lehetőséghez további információkat adhat meg a következő párbeszédpanelen. Amikor csak lehetséges, és különösen akkor, amikor az eredmény Javításra szorul, írjon néhány szót arról, hogyan lehetne javítani az eredményt. Ha az Azure Tűzfalra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak a témához, kérjük, adja meg ezt az információt.

Az Azure Copiloton keresztül

Használja a kedvelés és a nem kedvelés gombokat minden befejezett kérdés alján. Bármelyik visszajelzési lehetőségnél, a következő párbeszédablakban további információt tud megadni. Ha csak lehet, és különösen akkor, ha nem tetszik egy válasz, írj néhány szót, amiben elmagyarázod, hogyan lehetne javítani az eredményen. Ha az Azure Tűzfalra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak a témához, kérjük, adja meg ezt az információt.

Adatvédelem és adatbiztonság a Security Copilotban

Ha a Security Copilottal a Security Copilot portálon vagy az Azure Copilot felületén keresztül kommunikál az információk lekéréséhez, a Copilot lekéri ezeket az adatokat az Azure Firewallról. A promptok, a lekért adatok és a prompt eredményeként megjelenített kimenet a Copilot szolgáltatásán belül kerülnek feldolgozásra és tárolásra. További információért lásd A Microsoft Security Copilot adatvédelmi és adatbiztonsági irányelvei.

Kapcsolódó tartalom

  • Last updated on