Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e della sicurezza di identificare gli elementi sconosciuti, classificare i rischi in ordine di priorità, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell'esposizione oltre il firewall. Le informazioni dettagliate sulla superficie di attacco vengono generate analizzando le vulnerabilità e i dati dell'infrastruttura per presentare le aree chiave di preoccupazione per l'organizzazione.
L'integrazione di Microsoft Security Copilot (Security Copilot) in Defender EASM consente di interagire con le superfici di attacco individuate da Microsoft. L'identificazione delle superfici di attacco consente all'organizzazione di comprendere rapidamente l'infrastruttura esterna e i rischi critici rilevanti. Fornisce informazioni dettagliate su aree specifiche di rischio, tra cui vulnerabilità, conformità e igiene della sicurezza.
Per altre informazioni su Security Copilot, vedere Che cos'è Security Copilot?. Per informazioni sull'esperienza di Security Copilot incorporata, vedere Interrogare la superficie di attacco con Defender EASM utilizzando Azure Copilot.
Cosa sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con la soluzione leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- Esperienze di Security Copilot
- Introduzione a Security Copilot
- Informazioni sull'autenticazione in Security Copilot
- Richiesta in Security Copilot
Security Copilot in Defender EASM
Security Copilot può visualizzare informazioni dettagliate provenienti da Defender EASM relative alla superficie di attacco dell'organizzazione. È possibile usare le funzionalità predefinite di Security Copilot. Per ottenere altre informazioni, usare i prompt in Security Copilot. Le informazioni consentono di comprendere la postura di sicurezza e attenuare le vulnerabilità.
Questo articolo illustra Security Copilot e include esempi di prompt che possono aiutare gli utenti di Defender EASM.
Funzionalità principali
L'integrazione EASM DI Security Copilot consente di:
Ottenere uno snapshot della superficie di attacco esterna e generare informazioni dettagliate sui potenziali rischi.
È possibile ottenere una rapida panoramica della superficie di attacco esterna analizzando le informazioni disponibili su Internet in combinazione con l'algoritmo per il rilevamento proprietario di Defender EASM. Fornisce una spiegazione semplice del linguaggio naturale degli asset esterni dell'organizzazione, ad esempio host, domini, pagine Web e indirizzi IP. Evidenzia i rischi critici associati a ognuno di essi.
Classificare in ordine di priorità le attività di correzione in base ai rischi degli asset e agli elementi dell'elenco delle Vulnerabilità ed Esposizioni Comuni (CVE).
Defender EASM consente ai team della sicurezza di classificare in ordine di priorità le attività di correzione, aiutandoli a comprendere quali risorse e CVE rappresentano il rischio maggiore nel proprio ambiente. Analizza i dati relativi a vulnerabilità e infrastrutture per evidenziare le principali aree di preoccupazione, fornendo una spiegazione in linguaggio naturale dei rischi e delle azioni consigliate.
Usare Security Copilot per visualizzare informazioni dettagliate.
È possibile usare Security Copilot per chiedere informazioni dettagliate sulla superficie di attacco dell’organizzazione usando il linguaggio naturale ed estrarle da Defender EASM. Dettagli della query, ad esempio il numero di certificati SSL (Secure Sockets Layer) non sicuri, porte rilevate e vulnerabilità specifiche che influiscono sulla superficie di attacco.
Accelerare la cura della superficie di attacco.
Usare Security Copilot per curare la superficie di attacco usando etichette, ID esterni e modifiche dello stato per un set di asset. Questo processo accelera la cura, in modo da poter organizzare l'inventario in modo più rapido ed efficiente.
Abilitare l'integrazione di Security Copilot
Per configurare l'integrazione di Security Copilot in Defender EASM, completare i passaggi descritti nelle sezioni successive.
Prerequisiti
Per abilitare l'integrazione, è necessario disporre dei seguenti prerequisiti:
- Accesso a Microsoft Security Copilot
- Autorizzazioni per attivare nuove connessioni
Connettere Security Copilot a Defender EASM
Accedere a Security Copilot e assicurarsi di essere autenticati.
Selezionare l'icona del plug-in Security Copilot nel lato superiore destro della barra di immissione della richiesta.
In Microsoft, individuare Gestione della superficie di attacco esterna di Microsoft Defender. Selezionare Sì per connettersi.
Se si vuole che Security Copilot estragga i dati dalla risorsa Defender EASM, selezionare l'icona a forma di ingranaggio per aprire le impostazioni del plug-in. Immettere o selezionare i valori usando i valori della sezione Informazioni di base della risorsa nel riquadro Panoramica.
Note
È possibile usare le capacità di Defender EASM anche se non si è acquistato Defender EASM. Per altre informazioni, vedere Informazioni di riferimento sulle funzionalità del plug-in.
Prompt di esempio di Defender EASM
Security Copilot usa principalmente richieste in linguaggio naturale. Quando si eseguono query sulle informazioni fornite da Defender EASM, viene inviata una richiesta che indica a Security Copilot di selezionare il plug-in Defender EASM e richiamare la funzionalità pertinente.
Per ottenere risultati positivi con le richieste di Security Copilot, è consigliabile adottare gli approcci seguenti:
Assicurarsi di fare riferimento al nome della società nella prima richiesta. Se non diversamente specificato, tutte le richieste future forniscono i dati relativi alla società specificata inizialmente.
Essere chiari e specifici con le richieste. È possibile ottenere risultati migliori se si includono nomi di asset o valori di metadati specifici (ad esempio, ID CVE) nelle richieste.
Potrebbe anche essere utile aggiungere Defender EASM alla richiesta, come negli esempi seguenti:
- Secondo Defender EASM, quali sono i miei domini scaduti?
- Forniscimi informazioni dettagliate sulla superficie di attacco con priorità alta di Defender EASM.
Sperimentare richieste e varianti diverse per vedere cosa funziona meglio per il caso d'uso. I modelli di intelligenza artificiale della chat variano, quindi è possibile eseguire l'iterazione e perfezionare le richieste in base ai risultati ricevuti.
Security Copilot salva le sessioni di richiesta. Per visualizzare le sessioni precedenti, in Security Copilot, scegliere Sessioni personali dal menu.
Per una panoramica di Security Copilot, incluse le funzionalità di aggiunta e condivisione, vedere Esplora Security Copilot.
Per altre informazioni sulla scrittura di richieste di Security Copilot, vedere Suggerimenti sulle richieste di Security Copilot.
Informazioni di riferimento sulle funzionalità del plug-in
| Funzionalità | Descrizione | Input | Comportamenti |
|---|---|---|---|
| Ottenere il riepilogo della superficie di attacco | Restituisce il riepilogo della superficie di attacco per la risorsa Defender EASM del cliente o per un nome aziendale specifico. |
Input di esempio: • Ottenere la superficie di attacco per LinkedIn. • Ottieni la mia superficie di attacco. • Qual è la superficie di attacco per Microsoft? • Qual è la mia superficie di attacco? • Quali sono gli asset esterni per Azure? • Quali sono i miei asset esterni? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce un riepilogo della superficie di attacco per la risorsa di Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce il riepilogo della superficie di attacco per il nome della società. |
| Ottenere informazioni dettagliate sulla superficie di attacco | Restituisce le informazioni dettagliate sulla superficie di attacco per la risorsa di Defender EASM del cliente o un nome aziendale specifico. |
Input di esempio: • Ottenere informazioni dettagliate sulla superficie di attacco ad alta priorità per LinkedIn. • Ottieni le mie informazioni dettagliate sulla superficie di attacco ad alta priorità. • Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa per Microsoft. • Ottieni informazioni dettagliate sulla superficie di attacco con priorità bassa. • Sono presenti vulnerabilità ad alta priorità nella mia superficie di attacco esterna per Azure? Input obbligatori: • PriorityLevel (il livello di priorità deve essere alto, medio o basso; se non specificato, l'impostazione predefinita è alto) Input facoltativi: • CompanyName (nome della società) |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituisce le informazioni dettagliate sulla superficie di attacco per il nome della società. |
| Ottenere gli asset interessati da un CVE | Restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente o un nome di società specifico. |
Input di esempio: • Ottenere gli asset interessati da CVE-2023-0012 per LinkedIn. • Quali asset sono interessati da CVE-2023-0012 per Microsoft? • La superficie di attacco esterna di Azure è influenzata da CVE-2023-0012? • Ottieni asset interessati da CVE-2023-0012 per la mia superficie di attacco. • Quale dei miei asset è interessato da CVE-2023-0012? • La mia superficie di attacco esterna è influenzata da CVE-2023-0012? Input obbligatori: • CveId Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Se le impostazioni del plug-in non vengono compilate, occorre segnalarlo con cortesia e ricordarlo ai clienti. • Se le impostazioni del plug-in vengono compilate, restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituisce gli asset interessati da un CVE per il nome della società specifico. |
| Ottenere gli asset interessati da un CVSS | Restituisce gli asset interessati da un punteggio CVSS (Common Vulnerability Scoring System) per la risorsa Defender EASM del cliente o un nome della società specifico. |
Input di esempio: • Ottenere gli asset interessati dai punteggi CVSS con priorità alta nella superficie di attacco di LinkedIn. • Quanti asset hanno un punteggio CVSS critico per Microsoft? • Quali asset hanno punteggi CVSS critici per Azure? • Ottenere gli asset interessati dai punteggi CVSS con priorità alta nella superficie di attacco. • Quanti dei miei asset hanno punteggi CVSS critici? • Quale dei miei asset ha punteggi CVSS critici? Input obbligatori: • CvssPriority (la priorità CVSS deve essere critica, alta, media o bassa) Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Se le impostazioni del plug-in non vengono compilate, occorre segnalarlo con cortesia e ricordarlo ai clienti. • Se le impostazioni del plug-in vengono compilate, restituisce gli asset interessati da un punteggio CVSS per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituisce gli asset interessati da un punteggio CVSS per il nome della società specifico. |
| Ottenere domini scaduti | Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente o per un nome di società specifico. |
Input di esempio: • Quanti domini sono scaduti nella superficie di attacco di LinkedIn? • Quanti asset usano domini scaduti per Microsoft? • Quanti domini sono scaduti nella mia superficie di attacco? • Quanti dei miei asset usano domini scaduti per Microsoft? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituisce il numero di domini scaduti per il nome della società specifico. |
| Ottenere i certificati scaduti | Restituisce il numero di certificati SSL scaduti per la risorsa Defender EASM del cliente o per un nome della società specifico. |
Input di esempio: • Quanti certificati SSL sono scaduti per LinkedIn? • Quanti asset usano certificati SSL scaduti per Microsoft? • Quanti certificati SSL sono scaduti per la mia superficie di attacco? • Quali sono i miei certificati SSL scaduti? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce il numero di certificati SSL per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituisce il numero di certificati SSL per il nome della società specifico. |
| Ottenere i certificati SHA1 | Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente o un nome della società specifico. |
Input di esempio: • Quanti certificati SSL SHA1 sono presenti per LinkedIn? • Quanti asset usano SSL SHA1 per Microsoft? • Quanti certificati SSL SHA1 sono presenti per la mia superficie di attacco? • Quanti dei miei asset usano SSL SHA1? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa di Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituisce il numero di certificati SSL SHA1 per il nome della società specifico. |
| Tradurre il linguaggio naturale in una query di Defender EASM | Converte qualsiasi domanda in linguaggio naturale in una query di Defender EASM e restituisce gli asset corrispondenti alla query. |
Input di esempio: • Quali asset usano la versione 3.1.0 di jQuery? • Ottieni gli host con la porta 80 aperta nella mia superficie di attacco. • Trova tutti gli asset di pagina, host e ASN nel mio inventario che hanno un indirizzo IP di tipo IP X, IP Y o IP Z. • Quali dei miei asset hanno un indirizzo e-mail registrato di <name@example.com>? |
Se il plug-in è configurato per una risorsa di Defender EASM attiva: • Restituisce gli asset corrispondenti alla query tradotta. |
Passare dai dati della risorsa ai dati aziendali
Sebbene sia stata aggiunta l'integrazione delle risorse per le proprie capacità, si continua a usare il pull dei dati provenienti da superfici di attacco predefinite per società specifiche. Per migliorare l'accuratezza di Security Copilot nel determinare quando un cliente vuole eseguire il pull dalla superficie di attacco o da una superficie di attacco predefinita della società, è consigliabile usare la mia, la mia superficie di attacco e così via, per indicare che si vuole usare la risorsa. Usare ilproprio, nome della società specifico e così via, per indicare che si vuole usare una superficie di attacco predefinita. Anche se questo approccio migliora l'esperienza in una singola sessione, è consigliabile usare due sessioni separate per evitare qualsiasi confusione.
Fornire commenti e suggerimenti
Il feedback degli utenti su Security Copilot in generale e sul plug-in di Defender EASM in particolare è fondamentale per orientare lo sviluppo attuale e futuro del prodotto. Il modo ottimale per fornire questo feedback consiste nel farlo direttamente nel prodotto, usando i pulsanti di feedback nella parte inferiore di ogni richiesta completata. Selezionare Corretto, Da migliorare o Inappropriato. È consigliabile selezionare Appare corretto quando il risultato corrisponde alle aspettative, Da migliorare quando non è così e Inappropriato quando il risultato è in qualche modo dannoso.
Quando possibile, e in particolare quando il risultato selezionato è Da migliorare, scrivere alcune parole per spiegare cosa è possibile fare per migliorare il risultato. Questa richiesta si applica anche quando si prevede che Security Copilot richiami il plug-in di Defender EASM, ma viene invece attivato un plug-in diverso.
Privacy e sicurezza dei dati in Security Copilot
Quando si interagisce con Security Copilot per ottenere i dati di Defender EASM, Copilot estrae tali dati da Defender EASM. Le richieste, i dati recuperati e i dati visualizzati nei risultati delle richieste vengono elaborati e archiviati nel servizio Security Copilot.
Per altre informazioni sulla privacy dei dati in Security Copilot, vedere Privacy e sicurezza dei dati in Security Copilot.