Megosztás:

Azure Firewall-integráció a Microsoft Security Copilotban

A Security Copilot egy generatív mesterséges intelligenciával működő biztonsági megoldás, amely segít növelni a biztonsági személyzet hatékonyságát és képességeit, hogy javítsa a biztonsági eredményeket gépi sebességgel és méretarányosan. Biztosít egy természetes nyelvű, segítő copilot élményt, amely támogatja a biztonsági szakembereket az átfogó forgatókönyvekben, mint például az esetekre való reagálás, fenyegetések felderítése, információgyűjtés és helyzetkezelés. További információért arról, hogy mire képes, lásd: Mi az a Microsoft Security Copilot?

Tudja meg, mielőtt elkezdi

Ha újonnan érkezett a Security Copilot felhasználói közé, érdemes megismerkednie vele ezeknek a cikkeknek az elolvasásával.

Security Copilot integráció az Azure Firewallban

Az Azure Firewall egy felhőalapú, intelligens hálózati tűzfal biztonsági szolgáltatás, amely a legkiválóbb fenyegetésvédelem biztosítja az Azure-ban futó felhőalapú munkaterhelésekhez. Ez egy szolgáltatásként nyújtott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan skálázhatósággal a felhőben.

Az Azure Firewall integráció a Security Copilotban segíti az elemzőket abban, hogy részletes vizsgálatokat végezzenek a rosszindulatú forgalom kapcsán, amelyet a tűzfalaik IDPS funkciója fogott el az egész flottán, természetes nyelvi kérdéseket használva.

Ezt az integrációt két különböző felületen használhatja:

További információ: Microsoft Security Copilot-élmények és Azure Copilot-képességek.

Legfontosabb funkciók

A Security Copilot beépített rendszerfunkciói képesek adatokat kinyerni a különböző bekapcsolt bővítményekből.

Az Azure Firewall beépített rendszer képességeinek listáját a Security Copilot portálon tekintheti meg a következő eljárással:

  1. A parancssori sávon válassza a Prompts (Kérdések) ikont .

  2. Válassza az Összes rendszerképesség megtekintése lehetőséget.

  3. Az Azure Firewall szakasz felsorolja az összes használható képességet.

Az Azure Firewall integrációjának engedélyezése a Security Copilotban

  1. Győződjön meg arról, hogy az Azure Tűzfal helyesen van beállítva:

    • Azure Firewall Structured Logs – Az Azure tűzfalakat, amelyeket a Security Copilot használatához alkalmaznak, erőforrásspecifikus strukturált naplókkal kell konfigurálni az IDPS esetében, és ezeket a naplókat egy Log Analytics munkaterületre kell küldeni.

    • Szerepköralapú hozzáférés-vezérlés az Azure Firewallhoz – a Security Copilot Azure Firewall beépülő modult használó felhasználóknak rendelkezniük kell a megfelelő Azure Szerepköralapú hozzáférés-vezérlési szerepkörökkel a tűzfal és a kapcsolódó Log Analytics-munkaterületek eléréséhez.

  2. Lépjen a Security Copilot webhelyre, és jelentkezzen be a hitelesítő adataival.

  3. Győződjön meg róla, hogy az Azure Tűzfal bővítménye be van kapcsolva. A parancssori sávon válassza a Források ikont. Az előugró Források kezelése ablakban, amely megjelenik, ellenőrizze, hogy az Azure Firewall kapcsoló be van-e kapcsolva. Ezután zárja be az ablakot. Nincs szükség más konfigurációra. Amíg a strukturált naplókat egy Log Analytics munkaterületre küldik, és a megfelelő szerepkör-alapú hozzáférés-vezérlési engedélyekkel rendelkezik, a Copilot megtalálja azokat az adatokat, amelyekre szüksége van a kérdéseinek megválaszolásához.

    Képernyőkép, amely az Azure Firewall beépülő modult mutatja.

  4. Adja meg a kérését a Security Copilot portál parancssoros sávjában, vagy az Azure portálon az Azure Copilot felületén.

    Fontos

    Az Azure Copilot használata az Azure Firewall lekérdezéséhez a Security Copilot részét képezi, és biztonsági számítási egységeket (SCU-kat) igényel. Az SCU-kat bármikor üzembe helyezheti, és növelheti vagy csökkentheti őket. További információkért az SCU-król, lásd: Get started with Microsoft Security Copilot. Ha nincs megfelelően konfigurálva a Security Copilot, de az Azure Copilot felületén keresztül feltehet egy, az Azure Firewall képességei szempontjából releváns kérdést, hibaüzenet jelenik meg.

Azure Firewall-mintaüzenetek

Számos kérdést használhatsz, hogy információt szerezz az Azure Tűzfalról. Ez a szakasz azokat sorolja fel, amelyek ma a legjobban működnek. Folyamatosan frissülnek, ahogy új képességek jelennek meg.

Az adott Azure Firewall leggyakoribb IDPS-aláírási találatainak lekérése

Szerezzen naplóinformációt az IDPS funkció által lehallgatott forgalomról, ahelyett, hogy manuálisan állítaná össze a KQL-lekérdezéseket.

Képernyőkép az Azure Firewall legfontosabb IDPS-aláírási találatainak lekérésére szolgáló képességről.

Mintaüzenetek:

  • A tűzfalam észlelt már rosszindulatú forgalmat <Firewall name>?
  • Melyek az erőforráscsoport <Firewall name>tűzfalának <resource group name> elmúlt hét napjának 20 legfontosabb IDPS-találata?
  • Mutasd meg táblázatos formában az első 50 támadást, amelyek a tűzfalat <Firewall name> célozták meg az előfizetésben <subscription name> az elmúlt hónapban.

Gazdagítsa az IDPS aláírás fenyegetési profilját a naplóinformáción túl.

Szerezzen be további részleteket, hogy gazdagítsa egy IDPS aláírás fenyegetési információit/profilját ahelyett, hogy saját maga állítaná össze manuálisan.

Képernyőkép egy IDPS-aláírás fenyegetésprofiljának a naplóadatokon túli bővítéséről.

Mintaüzenetek:

  • Magyarázza el, miért jelölte az IDPS az első találatot magas súlyosságúnak, és az ötödik találatot alacsony súlyosságúnak.

  • Mit tudsz mondani erről a támadásról? Milyen más támadásokról ismert még ez a támadó?

  • Látom, hogy a harmadik aláírási azonosító a CVE-hez <CVE number\>van társítva, erről a CVE-ről többet is megtudhatok.

    Megjegyzés:

    A Microsoft Threat Intelligence beépülő modul egy másik forrás, amellyel a Security Copilot fenyegetésfelderítést biztosíthat az IDPS-aláírásokhoz.

Keressen egy adott IDPS-aláírást a bérlői, előfizetési vagy erőforráscsoportokban

Végezz egy flotta-szintű keresést (bármilyen terjedelemben) fenyegetés után az összes tűzfalon, ahelyett hogy manuálisan keresnéd a fenyegetést.

Képernyőkép, amely bemutatja az IDPS aláírások keresési képességét a bérlőd, előfizetéseid vagy erőforráscsoportjaid között.

Mintaüzenetek:

  • Az aláírás-azonosítót <ID number\> csak ez az egy tűzfal állította le? Mi a helyzet a többi bérlővel az egész bérleményben?
  • A látszólagos csúcstalálatot látta másik tűzfal az előfizetés <subscription name> alatt?
  • Az elmúlt héten az erőforráscsoportban bármelyik tűzfal észlelte az aláírásazonosítót <resource group name\>?

Készítsen ajánlásokat a környezete biztonságossá tételéhez az Azure Tűzfal IDPS szolgáltatásának használatával.

Kérjen dokumentációból információt az Azure Firewall IDPS funkciójának használatáról, hogy biztosítsa környezetét, ahelyett, hogy manuálisan kellene keresnie ezt az információt.

Screenshot a generált ajánlásokat mutatja, amelyek az Azure Firewall IDPS funkcióképességének használatával segítenek biztosítani a környezetét.

Mintaüzenetek:

  • Hogyan védhetem meg magam a jövőbeli támadásoktól ettől a támadótól az egész infrastruktúrámon keresztül?

  • Ha meg szeretném győződni arról, hogy az összes Azure-tűzfalam védett az aláírás-azonosítóval <ID number\>kapcsolatos támadások ellen, hogyan végezhetem el ezt?

  • Mi a kockázati különbség az IDPS esetében csak riasztás és a riasztás és blokkolás módok között?

    Megjegyzés:

    A Security Copilot a Microsoft Dokumentáció kérése funkcióval is megadhatja ezeket az információkat, és ha ezt a képességet az Azure Copilot-felületen keresztül használja, az Információk lekérése funkció használható ezen információk megadására.

Visszajelzés küldése

Az Ön visszajelzése létfontosságú a termék jelenlegi és tervezett fejlesztésének irányításához. A legjobb módja ennek a visszajelzésnek az, ha közvetlenül a termékben nyújtjuk.

A Security Copiloton keresztül

Válassza a Hogy tetszik ez a válasz? opciót az egyes kitöltött kérdések alján, és válassza ki az alábbi lehetőségek valamelyikét:

  • Helyesnek tűnik - Válassza, ha az eredmények pontosak az ön értékelése alapján.
  • Javítás szükséges - Válaszd ki, ha bármelyik részlet az eredményekben hibás vagy hiányos a megítélésed szerint.
  • Nem megfelelő – Válassza ki, hogy az eredmények megkérdőjelezhető, nem egyértelmű vagy potenciálisan káros információkat tartalmaznak-e.

Minden visszajelzési lehetőséghez további információkat adhat meg a következő párbeszédpanelen. Amikor csak lehetséges, és különösen akkor, amikor az eredmény Javításra szorul, írjon néhány szót arról, hogyan lehetne javítani az eredményt. Ha az Azure Tűzfalra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak a témához, kérjük, adja meg ezt az információt.

Az Azure Copiloton keresztül

Használja a kedvelés és a nem kedvelés gombokat minden befejezett kérdés alján. Bármelyik visszajelzési lehetőségnél, a következő párbeszédablakban további információt tud megadni. Ha csak lehet, és különösen akkor, ha nem tetszik egy válasz, írj néhány szót, amiben elmagyarázod, hogyan lehetne javítani az eredményen. Ha az Azure Tűzfalra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak a témához, kérjük, adja meg ezt az információt.

Adatvédelem és adatbiztonság a Security Copilotban

Ha a Security Copilottal a Security Copilot portálon vagy az Azure Copilot felületén keresztül kommunikál az információk lekéréséhez, a Copilot lekéri ezeket az adatokat az Azure Firewallról. A promptok, a lekért adatok és a prompt eredményeként megjelenített kimenet a Copilot szolgáltatásán belül kerülnek feldolgozásra és tárolásra. További információért lásd A Microsoft Security Copilot adatvédelmi és adatbiztonsági irányelvei.

Kapcsolódó tartalom

  • Last updated on