Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e alla sicurezza di identificare le incognite, assegnare priorità ai rischi, eliminare le minacce ed estendere la vulnerabilità e il controllo dell'esposizione oltre il firewall. Le informazioni dettagliate sulla superficie di attacco vengono generate analizzando la vulnerabilità e i dati dell'infrastruttura per illustrare le aree principali di interesse per l'organizzazione.
Microsoft Security Copilot integrazione (Security Copilot) in Defender EASM consente di interagire con le superfici di attacco individuate da Microsoft. L'identificazione delle superfici di attacco consente all'organizzazione di comprendere rapidamente l'infrastruttura esterna e i rischi critici rilevanti. Fornisce informazioni dettagliate su aree specifiche di rischio, tra cui vulnerabilità, conformità e igiene della sicurezza.
Per altre informazioni su Security Copilot, vedere Che cos'è Security Copilot? Per informazioni sull'esperienza di Security Copilot incorporata, vedere Eseguire query sulla superficie di attacco con Defender EASM usando Azure Copilot.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con la soluzione leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- esperienze Security Copilot
- Introduzione a Security Copilot
- Informazioni sull'autenticazione in Security Copilot
- Richiesta in Security Copilot
Security Copilot in Defender EASM
Security Copilot può visualizzare informazioni dettagliate da Defender EASM sulla superficie di attacco dell'organizzazione. È possibile usare Security Copilot funzionalità predefinite. Per ottenere altre informazioni, usare i prompt in Security Copilot. Le informazioni consentono di comprendere il comportamento di sicurezza e attenuare le vulnerabilità.
Questo articolo presenta Security Copilot e include richieste di esempio che consentono di Defender EASM utenti.
Funzionalità principali
L'integrazione EASM Security Copilot consente di:
Ottenere uno snapshot della superficie di attacco esterna e generare informazioni dettagliate sui potenziali rischi.
È possibile ottenere una visualizzazione rapida della superficie di attacco esterna analizzando le informazioni disponibili su Internet in combinazione con l'algoritmo di individuazione proprietario Defender EASM. Fornisce una spiegazione in linguaggio naturale di facile comprensione degli asset esterni dell'organizzazione, ad esempio host, domini, pagine Web e indirizzi IP. Evidenzia i rischi critici associati a ognuno di essi.
Assegnare priorità alle attività di correzione in base al rischio di asset e agli elementi dell'elenco comuni di vulnerabilità ed esposizioni (CVE).
Defender EASM aiuta i team di sicurezza a dare priorità alle attività di correzione, aiutandoli a comprendere quali asset e CVE rappresentano il rischio maggiore nell'ambiente. Analizza i dati della vulnerabilità e dell'infrastruttura per mostrare le principali aree di interesse, fornendo una spiegazione del linguaggio naturale dei rischi e delle azioni consigliate.
Usare Security Copilot per visualizzare informazioni dettagliate.
È possibile usare Security Copilot per richiedere informazioni dettagliate usando il linguaggio naturale ed estrarre informazioni dettagliate da Defender EASM sulla superficie di attacco dell'organizzazione. Eseguire query su dettagli come il numero di certificati SSL (Secure Sockets Layer) che non sono sicuri, le porte rilevate e le vulnerabilità specifiche che influiscono sulla superficie di attacco.
Velocizzare la cura della superficie di attacco.
Usare Security Copilot per curare la superficie di attacco usando etichette, ID esterni e modifiche dello stato per un set di asset. Questo processo accelera la cura, in modo da poter organizzare l'inventario in modo più rapido ed efficiente.
Abilitare l'integrazione Security Copilot
Per configurare l'integrazione Security Copilot in Defender EASM, completare i passaggi descritti nelle sezioni successive.
Prerequisiti
Per abilitare l'integrazione, è necessario disporre dei prerequisiti seguenti:
- Accesso a Microsoft Security Copilot
- Autorizzazioni per attivare nuove connessioni
Connettere Security Copilot a Defender EASM
Accedere Security Copilot e assicurarsi di essere autenticati.
Selezionare l'icona Security Copilot plug-in in alto a destra nella barra di input della richiesta.
In Microsoft individuare Gestione della superficie di attacco esterna di Microsoft Defender. Selezionare Sì per connettersi.
Se si vuole Security Copilot di eseguire il pull dei dati dalla risorsa Defender EASM, selezionare l'icona a ingranaggio per aprire le impostazioni del plug-in. Immettere o selezionare i valori usando i valori della sezione Informazioni di base della risorsa nel riquadro Panoramica .
Nota
Puoi usare le tue competenze Defender EASM anche se non hai acquistato Defender EASM. Per altre informazioni, vedere Informazioni di riferimento sulle funzionalità dei plug-in.
Richieste di Defender EASM di esempio
Security Copilot usa principalmente prompt in linguaggio naturale. Quando si eseguono query sulle informazioni da Defender EASM, si invia un prompt che guida Security Copilot per selezionare il plug-in Defender EASM e richiamare la funzionalità pertinente.
Per ottenere risultati positivi con le richieste di Security Copilot, è consigliabile usare gli approcci seguenti:
Assicurarsi di fare riferimento al nome della società nel primo prompt. Se non diversamente specificato, tutte le richieste future forniscono quindi i dati sulla società inizialmente specificata.
Essere chiari e specifici con le richieste. È possibile ottenere risultati migliori se si includono nomi di asset o valori di metadati specifici (ad esempio, ID CVE) nei prompt.
Potrebbe anche essere utile aggiungere Defender EASM al prompt, come negli esempi seguenti:
- Secondo Defender EASM, quali sono i miei domini scaduti?
- Informazioni su Defender EASM informazioni dettagliate sulla superficie di attacco ad alta priorità.
Sperimentare diverse richieste e varianti per vedere cosa funziona meglio per il caso d'uso. I modelli di intelligenza artificiale della chat variano, quindi è possibile eseguire l'iterazione e perfezionare le richieste in base ai risultati ricevuti.
Security Copilot salva le sessioni di richiesta. Per visualizzare le sessioni precedenti, nel menu Security Copilot selezionare Sessioni personali.
Per una procedura dettagliata di Security Copilot, incluse le funzionalità di aggiunta e condivisione, vedere Esplorare Security Copilot.
Per altre informazioni sulla scrittura di richieste di Security Copilot, vedere Security Copilot suggerimenti per la richiesta.
Informazioni di riferimento sulle funzionalità dei plug-in
| Funzionalità | Descrizione | Input | Comportamenti |
|---|---|---|---|
| Ottenere il riepilogo della superficie di attacco | Restituisce il riepilogo della superficie di attacco per la risorsa Defender EASM del cliente o per un nome della società specifico. |
Input di esempio: • Ottenere la superficie di attacco per LinkedIn. • Ottenere la mia superficie di attacco. • Qual è la superficie di attacco per Microsoft? • Qual è la mia superficie di attacco? • Quali sono gli asset esterni per Azure? • Quali sono i miei asset esterni? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce un riepilogo della superficie di attacco per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce il riepilogo della superficie di attacco per il nome della società. |
| Ottenere informazioni dettagliate sulla superficie di attacco | Restituisce le informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente o per un nome aziendale specifico. |
Input di esempio: • Ottenere informazioni dettagliate sulla superficie di attacco ad alta priorità per LinkedIn. • Ottenere informazioni dettagliate sulla superficie di attacco con priorità elevata. • Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa per Microsoft. • Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa. • Sono presenti vulnerabilità ad alta priorità nella superficie di attacco esterno per Azure? Input necessari: • PriorityLevel (il livello di priorità deve essere alto, medio o basso; se non specificato, per impostazione predefinita è alto) Input facoltativi: • CompanyName (nome della società) |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce le informazioni dettagliate sulla superficie di attacco per il nome della società. |
| Ottenere gli asset interessati da un CVE | Restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente o per un nome di società specifico. |
Input di esempio: • Ottenere gli asset interessati da CVE-2023-0012 per LinkedIn. • Quali asset sono interessati da CVE-2023-0012 per Microsoft? • La superficie di attacco esterna di Azure è interessata da CVE-2023-0012? • Ottenere gli asset interessati da CVE-2023-0012 per la superficie di attacco. • Quale dei miei asset è interessato da CVE-2023-0012? • La superficie di attacco esterna è interessata da CVE-2023-0012? Input necessari: • CveId Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Se le impostazioni del plug-in non sono compilate, falliscono gentilmente e ricordano ai clienti. • Se vengono compilate le impostazioni del plug-in, restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce gli asset interessati da un CVE per il nome della società specifico. |
| Ottenere gli asset interessati da un CVSS | Restituisce gli asset interessati da un punteggio CVSS (Common Vulnerability Scoring System) per la risorsa Defender EASM del cliente o per un nome aziendale specifico. |
Input di esempio: • Ottenere gli asset interessati dai punteggi CVSS con priorità elevata nella superficie di attacco di LinkedIn. • Quanti asset hanno un punteggio CVSS critico per Microsoft? • Quali asset hanno punteggi CVSS critici per Azure? • Ottenere gli asset interessati dai punteggi CVSS ad alta priorità nella mia superficie di attacco. • Quanti dei miei asset hanno punteggi CVSS critici? • Quale dei miei asset ha punteggi CVSS critici? Input necessari: • CvssPriority (la priorità CVSS deve essere critica, alta, media o bassa) Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Se le impostazioni del plug-in non sono compilate, falliscono gentilmente e ricordano ai clienti. • Se vengono compilate le impostazioni del plug-in, restituisce gli asset interessati da un punteggio CVSS per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce gli asset interessati da un punteggio CVSS per il nome della società specifico. |
| Ottenere domini scaduti | Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente o per un nome aziendale specifico. |
Input di esempio: • Quanti domini sono scaduti nella superficie di attacco di LinkedIn? • Quanti asset usano domini scaduti per Microsoft? • Quanti domini sono scaduti nella superficie di attacco? • Quanti asset usano domini scaduti per Microsoft? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce il numero di domini scaduti per il nome della società specifico. |
| Ottenere certificati scaduti | Restituisce il numero di certificati SSL scaduti per la risorsa Defender EASM del cliente o per un nome aziendale specifico. |
Input di esempio: • Quanti certificati SSL sono scaduti per LinkedIn? • Quanti asset usano certificati SSL scaduti per Microsoft? • Quanti certificati SSL sono scaduti per la superficie di attacco? • Quali sono i certificati SSL scaduti? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce il numero di certificati SSL per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce il numero di certificati SSL per il nome della società specifico. |
| Ottenere certificati SHA1 | Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente o per un nome aziendale specifico. |
Input di esempio: • Quanti certificati SSL SHA1 sono presenti per LinkedIn? • Quanti asset usano SSL SHA1 per Microsoft? • Quanti certificati SSL SHA1 sono presenti per la superficie di attacco? • Quanti asset usano SSL SHA1? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società: • Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non viene trovata alcuna corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituisce il numero di certificati SSL SHA1 per il nome della società specifico. |
| Tradurre il linguaggio naturale in una query Defender EASM | Converte qualsiasi domanda in linguaggio naturale in una query Defender EASM e restituisce gli asset corrispondenti alla query. |
Input di esempio: • Quali asset usano jQuery versione 3.1.0? • Aprire gli host con la porta 80 nella superficie di attacco. • Trovare tutti gli asset di pagina, host e ASN nell'inventario che hanno un indirizzo IP che è IP X, IP Y o IP Z. • Quale dei miei asset ha un messaggio di posta elettronica registrante di <name@example.com>? |
Se il plug-in è configurato per una risorsa Defender EASM attiva: • Restituisce gli asset corrispondenti alla query tradotta. |
Passare dai dati delle risorse ai dati aziendali
Anche se è stata aggiunta l'integrazione delle risorse per le competenze, è comunque possibile eseguire il pull dei dati dalle superfici di attacco predefinite per aziende specifiche. Per migliorare l'accuratezza Security Copilot nel determinare quando un cliente vuole eseguire il pull dalla superficie di attacco o da una superficie di attacco aziendale predefinita, è consigliabile usare la mia superficie di attacco e così via per comunicare che si vuole usare la risorsa. Usare il nomedella società specifico e così via per indicare che si vuole usare una superficie di attacco predefinita. Sebbene questo approccio migliori l'esperienza in una singola sessione, è consigliabile usare due sessioni separate per evitare confusione.
Inviare feedback
Il feedback su Security Copilot in generale, e il plug-in Defender EASM in particolare, è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo ottimale per fornire questo feedback è direttamente nel prodotto, usando i pulsanti di feedback nella parte inferiore di ogni richiesta completata. Selezionare Cerca a destra, Necessita di miglioramento o Inappropriato. È consigliabile scegliere Aspetto corretto quando il risultato corrisponde alle aspettative, Richiede miglioramenti in caso contrario e Inappropriato quando il risultato è dannoso in qualche modo.
Quando possibile, e soprattutto quando il risultato selezionato è Miglioramento, scrivere alcune parole per spiegare cosa è possibile fare per migliorare il risultato. Questa richiesta si applica anche quando si prevede Security Copilot richiamare il plug-in Defender EASM, ma viene invece attivato un plug-in diverso.
Privacy e sicurezza dei dati in Security Copilot
Quando si interagisce con Security Copilot per ottenere dati Defender EASM, Copilot esegue il pull dei dati da Defender EASM. Le richieste, i dati recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati nel servizio Security Copilot.
Per altre informazioni sulla privacy dei dati in Security Copilot, vedere Privacy e sicurezza dei dati in Security Copilot.