Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Security Copilot è una piattaforma che consente di difendere l'organizzazione a velocità e scalabilità dei computer. I dati sulla sicurezza di Microsoft Sentinel offrono un'eccellente fonte per Copilot per analizzare gli eventi imprevisti e generare query di ricerca.
Insieme ad altre origini di Security Copilot abilitate, gli eventi imprevisti e i dati di Microsoft Sentinel offrono visibilità più ampia sulle minacce e sul relativo contesto per l'organizzazione.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con esso leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- Esperienze di Microsoft Security Copilot
- Introduzione a Microsoft Security Copilot
- Informazioni sull'autenticazione in Microsoft Security Copilot
- Richiesta in Microsoft Security Copilot
Integrazione di Security Copilot con Microsoft Sentinel
Questa integrazione supporta principalmente l'esperienza autonoma accessibile tramite https://securitycopilot.microsoft.com, in cui si interagisce in un'esperienza di tipo chat per riepilogare gli eventi imprevisti e ottenere altre risposte sui dati di sicurezza. Per altre informazioni, vedere Esperienze di Microsoft Security Copilot.
Funzionalità principali
I dati di Microsoft Sentinel si integrano con Security Copilot nel portale di Defender come indicato di seguito:
- Quando si dispone anche di Microsoft Defender XDR, Copilot in Microsoft Defender XDR trae vantaggio dagli incidenti unificati integrati con Microsoft Sentinel.
- Nell'esperienza autonoma, Microsoft Sentinel offre i plug-in seguenti per l'integrazione con Security Copilot:
Microsoft Sentinel (anteprima)
Linguaggio naturale a KQL per Microsoft Sentinel (versione di anteprima).
Abilitare l'integrazione di Security Copilot con Microsoft Sentinel
Per ottimizzare l'integrazione di Security Copilot con Microsoft Sentinel, seguire questa procedura:
- configurare un'area di lavoro predefinita di Microsoft Sentinel per Security Copilot
- connettere l'area di lavoro di Microsoft Sentinel a Microsoft Defender XDR
Configurare un'area di lavoro predefinita di Microsoft Sentinel
Aumentare l'accuratezza della richiesta configurando un'area di lavoro di Microsoft Sentinel come predefinita.
Passare a Security Copilot all'indirizzo https://securitycopilot.microsoft.com/.
Aprire Origini
nella barra dei prompt.Nella pagina Gestisci plugin impostare l'opzione su On
Selezionare l'icona a forma di ingranaggio nel plug-in Microsoft Sentinel (anteprima).
Configurare il nome predefinito dell'area di lavoro.
Suggerimento
Specificare l'area di lavoro nel prompt quando non corrisponde all'impostazione predefinita configurata.
Esempio: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrare Microsoft Sentinel con Copilot in Defender
Usare il portale di Microsoft Defender con i dati di Microsoft Sentinel per un'esperienza di Copilot di sicurezza incorporata. Le origini dati univoche di Microsoft Sentinel che passano agli eventi imprevisti unificati di Microsoft Defender XDR consentono a Copilot in Defender di ottimizzare le funzionalità.
Ad esempio:
- La soluzione SAP (anteprima) è installata nell'area di lavoro per Microsoft Sentinel.
- La regola in quasi tempo reale SAP - (anteprima) File scaricato da un indirizzo IP dannoso attiva un avviso, creando un incidente di Microsoft Sentinel.
- È stato eseguito l'onboarding di Microsoft Sentinel nel portale di Defender.
- Gli eventi imprevisti di Microsoft Sentinel sono ora unificati con gli eventi imprevisti di Defender XDR.
- Usare Copilot in Microsoft Defender per riepilogo degli eventi imprevisti, risposte guidate e report sugli eventi imprevisti.
Per ulteriori informazioni, vedi le seguenti risorse:
- Integrare Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
- Copilot in Microsoft Defender
Integrare Microsoft Sentinel con Security Copilot nella ricerca avanzata
Il plug-in Linguaggio naturale in KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando i dati di Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione di rilevazione avanzata del portale di Microsoft Defender.
Nota
Nel portale unificato di Microsoft Defender è possibile richiedere a Security Copilot di generare query di ricerca avanzate per entrambe le tabelle di Defender XDR e Microsoft Sentinel. Non tutte le tabelle di Microsoft Sentinel sono attualmente supportate.
Per ulteriori informazioni, vedere Security Copilot per la ricerca avanzata.
Prompt di Microsoft Sentinel di esempio
Prendere in considerazione il promptbook di analisi degli eventi imprevisti di Microsoft Sentinel come punto di partenza per la creazione di prompt efficaci. Questa sequenza di richieste fornisce un report su un evento imprevisto specifico, insieme ad avvisi correlati, punteggi di reputazione, utenti e dispositivi.
| Indicazioni | Richiesta |
|---|---|
| Suggerire a Copilot di fornire informazioni leggibili invece di rispondere con ID oggetto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot conosce gli utenti. Usare il pronome "me" per trovare eventi imprevisti correlati all'utente. La richiesta seguente è destinata agli eventi imprevisti assegnati all'utente. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando si restringe una risposta di richiesta a un singolo evento imprevisto, Copilot conosce il contesto. | Tell me about the entities associated with that incident. |
| Copilot è un ottimo strumento di riepilogo. Descrivere un gruppo di destinatari specifico per cui si vogliono riepilogare le richieste e le risposte. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Per ulteriori indicazioni ed esempi di richieste, vedere le risorse seguenti:
- Uso dei promptbook
- Richiesta in Microsoft Security Copilot
- Rod Trent's Security Copilot Prompt Library
Inviare commenti
Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto. Selezionare Com'è questa risposta? in fondo a ciascun prompt completato e scegliere una delle opzioni seguenti:
- Sembra corretto : selezionare se i risultati sono accurati, in base alla valutazione.
- Miglioramento necessario: selezionare se i dettagli nei risultati non sono corretti o incompleti, in base alla valutazione.
- Inappropriato : selezionare se i risultati contengono informazioni discutibili, ambigue o potenzialmente dannose.
Per ogni opzione di feedback, è possibile fornire altre informazioni nella finestra di dialogo successiva visualizzata. Quando possibile, e soprattutto quando il risultato è Bisogna migliorare, scrivere alcune parole che spiegano cosa può essere fatto per migliorare il risultato. Se sono state immesse richieste specifiche per Firewall di Azure e i risultati non sono correlati, includere tali informazioni.
Privacy e sicurezza dei dati in Security Copilot
Per comprendere in che modo Security Copilot gestisce le richieste e i dati recuperati dal servizio (output prompt), vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.