интеграция Брандмауэр Azure в Microsoft Copilot for Security (предварительная версия)

Внимание

интеграция Брандмауэр Azure в Microsoft Copilot for Security в настоящее время доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Microsoft Copilot for Security — это созданное решение для обеспечения безопасности с поддержкой искусственного интеллекта, которое помогает повысить эффективность и возможности персонала безопасности для улучшения результатов безопасности на скорости и масштабировании компьютера. Он предоставляет естественный язык, вспомогательный опыт copilot, помогающий поддерживать специалистов по безопасности в комплексных сценариях, таких как реагирование на инциденты, охота на угрозы, сбор аналитики и управление состоянием. Дополнительные сведения о том, что это может сделать, см. в разделе "Что такое Microsoft Copilot для безопасности?"

Перед началом работы

Если вы не знакомы с Microsoft Copilot для безопасности, ознакомьтесь с ним, прочитав следующие статьи:

• Что такое Microsoft Copilot для безопасности?
• Microsoft Copilot для обеспечения безопасности
• Начало работы с Microsoft Copilot для безопасности
• Общие сведения о проверке подлинности в Microsoft Copilot для безопасности
• Запрос в Microsoft Copilot для безопасности

Интеграция Microsoft Copilot для безопасности в Брандмауэр Azure

Брандмауэр Azure — это облачная и интеллектуальная служба безопасности брандмауэра сети, которая обеспечивает лучшую защиту от угроз для облачных рабочих нагрузок, работающих в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования.

Интеграция Брандмауэр Azure помогает аналитикам выполнять подробные исследования вредоносного трафика, перехваченного поставщиком удостоверений и (или) функций аналитики угроз для всех своих брандмауэров по всему флоту с помощью вопросов естественного языка в автономном интерфейсе Microsoft Copilot для обеспечения безопасности.

В этой статье приводятся сведения о Copilot и содержатся примеры запросов, которые могут помочь Брандмауэр Azure пользователям.

Интеграцию Брандмауэр Azure в Microsoft Copilot for Security можно использовать на портале Microsoft Copilot для безопасности. Дополнительные сведения см. в статье Microsoft Copilot для обеспечения безопасности.

Ключевые функции

Microsoft Copilot for Security имеет встроенные системные функции, которые могут получать данные из различных подключаемых модулей, включенных.

Чтобы просмотреть список встроенных системных возможностей для Брандмауэр Azure, используйте следующую процедуру:

1. На панели запроса щелкните значок "Запросы ".

   

2. Выберите Просмотреть все возможности системы . В разделе Брандмауэр Azure перечислены все доступные возможности, которые можно использовать.

Включение интеграции Брандмауэр Azure в Microsoft Copilot для безопасности

1. Убедитесь, что Брандмауэр Azure настроен правильно:

   • Журналы структурированного брандмауэра Azure— Брандмауэр Azure, которые следует использовать с Microsoft Copilot для безопасности, необходимо настроить с помощью структурированных журналов ресурсов для поставщиков удостоверений, а эти журналы должны быть отправлены в рабочую область Log Analytics.
   • Контроль доступа на основе ролей для Брандмауэр Azure — пользователи, использующие подключаемый модуль Брандмауэр Azure в Microsoft Copilot for Security, должны иметь соответствующие роли Azure RBAC для доступа к брандмауэру и связанным рабочим областям Log Analytics.

2. Перейдите в Microsoft Copilot для безопасности и войдите с помощью учетных данных.

3. Убедитесь, что подключаемый модуль Брандмауэр Azure включен. В строке запроса щелкните значок "Источники ".

   

   В появившемся окне "Управление источниками" убедитесь, что переключатель Брандмауэр Azure включен, а затем закройте окно.

   

   Примечание.

   Некоторые роли могут включить или отключить переключатель для подключаемых модулей, таких как Брандмауэр Azure. Дополнительные сведения см. в разделе "Управление подключаемыми модулями" в Microsoft Copilot для безопасности.

4. Введите запрос в строке запроса.

Примеры запросов Брандмауэр Azure

Существует множество запросов, которые можно использовать для получения информации из Брандмауэр Azure. В этом разделе перечислены те, которые лучше всего работают сегодня. Они постоянно обновляются по мере запуска новых возможностей.

Получение лучших попаданий подписи IDPS для Брандмауэр Azure

Получение сведений журнала о трафике, перехватаемого функцией IDPS, вместо создания запросов KQL вручную.

Примеры запросов :

• Был ли какой-либо вредоносный трафик перехватывается именем> брандмауэра брандмауэра<?
• Каковы первые 20 попаданий поставщиков удостоверений за последние семь дней для имени брандмауэра <в имени>> группы ресурсов группы <ресурсов?
• Показать мне в табличной форме первые 50 атак, которые нацеливали имя брандмауэра брандмауэра <в имени>> подписки <в прошлом месяце.

Обогащение профиля угроз сигнатуры IDPS за пределами сведений журнала

Дополнительные сведения для обогащения сведений об угрозах и профилях подписи IDPS вместо того, чтобы скомпилировать его вручную.

Примеры запросов :

• Объясните, почему поставщики удостоверений помечают верхний хит как высокий уровень серьезности и пятый хит как низкий уровень серьезности.
• Что вы можете сказать мне об этом нападении? Что такое другие атаки, по которых злоумышленник известен?
• Я вижу, что третий идентификатор подписи связан с номером> CVE CVE, расскажите мне больше об этом CVE<.

Примечание.

Подключаемый модуль Microsoft Threat Intelligence — это другой источник, который Microsoft Copilot for Security может использовать для обеспечения аналитики угроз для подписей IDPS.

Поиск заданной подписи IDPS в клиенте, подписке или группе ресурсов

Выполните поиск по всему флоту (по любой области) для угрозы во всех брандмауэрах вместо поиска угрозы вручную.

Примеры запросов :

• Был ли идентификатор идентификатора <> подписи остановлен только этим брандмауэром? Что касается других пользователей всего этого клиента?
• Был ли верхний удар по любому другому брандмауэру в имени> подписки<?
• На прошлой неделе у любого брандмауэра в имени> группы< ресурсов отображается идентификатор<> сигнатуры?

Создание рекомендаций для защиты среды с помощью функции поставщиков удостоверений Брандмауэр Azure

Получите сведения из документации об использовании функции поставщиков удостоверений Брандмауэр Azure для защиты среды, а не необходимости искать эту информацию вручную.

Примеры запросов :

• Разделы справки защитить себя от будущих атак от этого злоумышленника по всей инфраструктуре?
• Если я хочу убедиться, что все брандмауэры защищены от атак с идентификатора <подписи,> как это сделать?
• Какова разница в риске между оповещениями только и режимами генерации оповещений и блокировок для поставщиков удостоверений?

Примечание.

Microsoft Copilot for Security также может использовать функцию "Запрашивать документацию Майкрософт" для предоставления сведений об использовании функции поставщиков удостоверений Брандмауэр Azure для защиты среды.

Предоставление отзыва

Ваши отзывы жизненно важны для того, чтобы управлять текущим и запланированным развитием продукта. Лучший способ предоставления этих отзывов — непосредственно в продукте. Выберите способ ответа в нижней части каждого завершенного запроса и выберите любой из следующих вариантов:

• Выглядит правильно . Выберите, являются ли результаты точными на основе оценки.
• Требуется улучшение . Выберите, является ли результаты неверными или неполными на основе оценки.
• Недопустимо . Выберите, содержат ли результаты сомнительные, неоднозначные или потенциально опасные сведения.

Для каждого варианта обратной связи можно указать дополнительные сведения в следующем диалоговом окне. Всякий раз, когда это возможно, и особенно когда результат нуждается в улучшении, напишите несколько слов, объясняя, что можно сделать, чтобы улучшить результат. Если вы ввели запросы, относящиеся к Брандмауэр Azure, и результаты не связаны, включите эти сведения.

Конфиденциальность и безопасность данных в Microsoft Copilot для обеспечения безопасности

При взаимодействии с Microsoft Copilot for Security для получения Брандмауэр Azure данных Copilot извлекает данные из Брандмауэр Azure. Запросы, полученные данные и выходные данные, отображаемые в результатах запроса, обрабатываются и хранятся в службе Copilot. Дополнительные сведения см. в разделе "Конфиденциальность и безопасность данных" в Microsoft Copilot для обеспечения безопасности.

Связанный контент

• Что такое Microsoft Copilot для безопасности?