Microsoft Sentinel-incidensek a Copilot for Securityben
A Microsoft Copilot for Security egy olyan platform, amely segít a szervezet gépi sebességen és méretben történő védelmében. A Microsoft Sentinel egy beépülő modult biztosít a Copilot számára az incidensek elemzéséhez és a keresési lekérdezések létrehozásához.
A Microsoft Sentinel-incidensek és -adatok az ön által engedélyezett egyéb kifinomult Copilot biztonsági források használatával történő iteratív kérésekkel együtt szélesebb körű betekintést nyújtanak a fenyegetésekbe és azok környezetébe a szervezet számára.
A Copilot for Securityről a következő cikkekben talál további információt:
- A Microsoft Copilot for Security használatának első lépései
- Beépülő modulok kezelése a Microsoft Copilot for Securityben
- A Microsoft Copilot for Security hitelesítésének ismertetése
A Microsoft Sentinel integrálása a Copilot for Security szolgáltatással
A Microsoft Sentinel két beépülő modult biztosít a Copilot for Security integrálásához:
- Microsoft Sentinel (előzetes verzió)
- Természetes nyelv a Microsoft Sentinel KQL-hez (előzetes verzió).
Fontos
A "Microsoft Sentinel" és a "Natural Language to KQL for Microsoft Sentinel" beépülő modul jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Alapértelmezett Microsoft Sentinel-munkaterület konfigurálása
Az alapértelmezett Microsoft Sentinel-munkaterület konfigurálásával növelheti a gyors pontosságot.
Lépjen a Copilot for Security webhelyre a következő címen https://securitycopilot.microsoft.com/: .
Nyissa meg a Források
elemet a parancssori sávon.A Beépülő modulok kezelése lapon állítsa be a kapcsolót Be
Válassza a fogaskerék ikont a Microsoft Sentinel (előzetes verzió) beépülő modulban.
Konfigurálja az alapértelmezett munkaterületnevet.
Tipp.
Adja meg a munkaterületet a parancssorban, ha az nem felel meg a konfigurált alapértelmezettnek.
Példa: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
A Microsoft Sentinel integrálása a Copilottal a Defenderben
Az egyesített biztonsági üzemeltetési platformot a Microsoft Sentinel-adatokkal együtt használhatja beágyazott Copilot for Security-élményhez. A Microsoft Sentinel egyesített incidensei a Defender portálon lehetővé teszik, hogy a Copilot a Defenderben a Microsoft Sentinel-adatokkal használja a képességeit.
Példa:
- Az SAP (előzetes verzió) megoldás telepítve van a Microsoft Sentinel munkaterületén.
- A rosszindulatú IP-címről letöltött,közel valós idejű SAP - (előzetes verzió) fájl riasztást aktivál, és Microsoft Sentinel-incidenst hoz létre.
- A Microsoft Sentinel hozzá lett adva az egyesített biztonsági üzemeltetési platformhoz.
- A Microsoft Sentinel-incidensek mostantól egyesítve vannak a Defender XDR-incidensekkel.
- A Copilot használata a Microsoft Defenderben incidensek összegzéséhez, irányított válaszokhoz és incidensjelentésekhez.
További információt a következő források tartalmaznak:
A Microsoft Sentinel integrálása a Copilot for Securityrel a speciális vadászatban
A Microsoft Sentinel (előzetes verzió) KQL természetes nyelve a KQL keresési lekérdezéseket hoz létre és futtat a Microsoft Sentinel-adatokkal. Ez a funkció a Microsoft Defender portál önálló felületén és speciális vadászati szakaszában érhető el.
Feljegyzés
Az egyesített Microsoft Defender portálon kérheti a Copilot for Securityt, hogy hozzon létre speciális keresési lekérdezéseket a Defender XDR és a Microsoft Sentinel táblákhoz. Jelenleg nem minden Microsoft Sentinel-tábla támogatott, de ezeknek a tábláknak a támogatása a jövőben várható.
További információ: Copilot for Security in advanced hunting.
A Microsoft Sentinel-kérések javítása
Vegye figyelembe a Microsoft Sentinel incidensvizsgálati parancssorát a hatékony kérések létrehozásának kiindulópontjaként. Ez a parancssor egy adott incidensről, valamint a kapcsolódó riasztásokról, a hírnév pontszámairól, a felhasználókról és az eszközökről küld jelentést.
| Útmutató | Felszólítás |
|---|---|
| A Copilot elmozdítása, hogy az objektumazonosítók helyett emberi olvasható információkat biztosítson. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot tudja, ki vagy. Az "én" névmával megkeresheti az Önhöz kapcsolódó incidenseket. Az alábbi üzenet az Önhöz rendelt incidenseket célozza meg. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Ha egyetlen incidensre szűkíti le a parancssori választ, a Copilot ismeri a környezetet. | Tell me about the entities associated with that incident. |
| A Copilot jól összefoglalja. Ismertesse azokat a célközönségeket, amelyekhez az utasításokat és válaszokat összegezni szeretné. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
További útmutatásért és mintákért tekintse meg a következő forrásokat:
- Parancssorok használata
- Kérés a Microsoft Copilot for Security szolgáltatásban
- Rod Trent Copilot for Security Prompt Library