Azure Firewall-integratie in Microsoft Security Copilot

Security Copilot is een generatieve AI-aangedreven beveiligingsoplossing die helpt de efficiëntie en capaciteiten van beveiligingspersoneel te vergroten om beveiligingsresultaten op machinesnelheid en -schaal te verbeteren. Het biedt een natuurlijke taal, ondersteunende copilot-ervaring die beveiligingsprofessionals helpt bij end-to-end scenario's zoals incidentrespons, opsporing van bedreigingen, verzamelen van intelligentie en postuurbeheer. Voor meer informatie over wat het kan doen, zie Wat is Microsoft Security Copilot?

Weet voordat u begint

Als u niet bekend bent met Security Copilot, kunt u ermee vertrouwd raken door de volgende artikelen te lezen:

Integratie van Security Copilot in Azure Firewall

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die de beste bedreigingsbeveiliging biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.

De Integratie van Azure Firewall in Security Copilot helpt analisten gedetailleerde onderzoeken uit te voeren van het schadelijke verkeer dat wordt onderschept door de IDPS-functie van hun firewalls in hun hele vloot door gebruik te maken van vragen over natuurlijke taal.

U kunt deze integratie in twee verschillende ervaringen gebruiken:

Zie Microsoft Security Copilot-ervaringen en mogelijkheden van Azure Copilot voor meer informatie.

Belangrijkste kenmerken

Security Copilot heeft ingebouwde systeemfuncties die gegevens ophalen van de verschillende invoegtoepassingen die zijn ingeschakeld.

Om de lijst van ingebouwde systeemmogelijkheden voor Azure Firewall te bekijken, volgt u de volgende procedure op het Security Copilot-portaal:

  1. In de promptbalk selecteer je het Prompts-icoon.

  2. Selecteer Alle systeemcapaciteiten weergeven.

  3. De sectie Azure Firewall bevat een lijst van alle beschikbare mogelijkheden die je kunt gebruiken.

Schakel de integratie met Azure Firewall in Security Copilot in

  1. Zorg ervoor dat uw Azure-firewall correct is geconfigureerd.

    • Gestructureerde logboeken van Azure Firewall : als u Azure Firewalls wilt gebruiken met Security Copilot, configureert u deze met resourcespecifieke gestructureerde logboeken voor IDPS en verzendt u deze logboeken naar een Log Analytics-werkruimte.

    • Op rollen gebaseerd toegangsbeheer voor Azure Firewall : de gebruikers die de Azure Firewall-invoegtoepassing in Security Copilot gebruiken, moeten de juiste op rollen gebaseerde Azure-rollen voor toegangsbeheer hebben om toegang te krijgen tot de firewall en de bijbehorende Log Analytics-werkruimten.

  2. Ga naar Security Copilot en meld u aan met uw inloggegevens.

  3. Zorg ervoor dat de Azure Firewall-invoegtoepassing is ingeschakeld. Selecteer in de promptbalk het pictogram Bronnen . In het Bronnen beheren pop-upvenster dat verschijnt, controleer of de Azure Firewall schakelaar is ingeschakeld. Sluit daarna het raam. Er is geen andere configuratie nodig. Zolang gestructureerde logboeken naar een Log Analytics-werkruimte worden verzonden en u over de juiste machtigingen voor toegangsbeheer op basis van rollen beschikt, vindt Copilot de gegevens die nodig zijn om uw vragen te beantwoorden.

    Schermopname van de Azure Firewall-invoegtoepassing.

  4. Voer uw prompt in op de promptbalk in de Security Copilot-portal of via de Azure Copilot-ervaring in de Azure-portal.

    Belangrijk

    Het gebruik van Azure Copilot om query's uit te voeren op Azure Firewall is opgenomen in Security Copilot en vereist beveiligings-rekeneenheden (SKU's). U kunt SKU's implementeren en deze op elk gewenst moment vergroten of verlagen. Voor meer informatie over SCU's, zie Aan de slag met Microsoft Security Copilot. Als u Security Copilot niet goed hebt geconfigureerd, maar een vraag stelt die relevant is voor de Mogelijkheden van Azure Firewall via de Azure Copilot-ervaring, ziet u een foutbericht.

Voorbeeld Azure Firewall prompts

Gebruik prompts om informatie op te halen uit Azure Firewall. Deze sectie somt degenen op die vandaag het beste werken. Het wordt continu bijgewerkt naarmate er nieuwe mogelijkheden worden gestart.

Haal de top IDPS-handtekeningstreffers op voor een bepaalde Azure Firewall

Verkrijg loginformatie over het verkeer dat is onderschept door de IDPS-functionaliteit in plaats van zelf handmatig KQL-query’s te maken.

Schermopname van de mogelijkheid om de belangrijkste IDPS-handtekeningtreffers voor een Azure Firewall op te halen.

voorbeeldprompts:

  • Heeft mijn firewall <Firewall name> schadelijk verkeer onderschept?
  • Wat zijn de belangrijkste 20 IDPS-treffers van de afgelopen zeven dagen voor firewall <Firewall name> in de resourcegroep <resource group name>?
  • Toon in tabelvorm de top 50 aanvallen die gericht zijn op firewall <Firewall name> in het abonnement <subscription name> van de afgelopen maand.

Verrijk het dreigingsprofiel van een IDPS-handtekening voorbij loginformatie.

Krijg aanvullende informatie om de bedreigingsinformatie en het profiel van een IDPS-handtekening te verrijken in plaats van deze handmatig te compileren.

Schermopname van de mogelijkheid om het bedreigingsprofiel van een IDPS-handtekening te verrijken buiten logboekgegevens.

voorbeeldprompts:

  • Leg uit waarom IDPS de hoogste hit als hoge ernst en de vijfde hit als lage ernst heeft gemarkeerd.

  • Wat kun je me over deze aanval vertellen? Voor welke andere aanvallen is deze aanvaller bekend?

  • Ik zie dat de derde handtekening-id is gekoppeld aan CVE <CVE number\>. Vertel me meer over deze CVE.

    Opmerking

    De invoegtoepassing Microsoft Threat Intelligence is een andere bron die Security Copilot kan gebruiken om bedreigingsinformatie te bieden voor IDPS-handtekeningen.

Zoek naar een bepaalde IDPS-handtekening voor uw tenant, abonnementen of resourcegroepen

Voer een vlootbrede zoekopdracht uit (over elk bereik) voor een bedreiging voor al uw firewalls in plaats van handmatig naar de bedreiging te zoeken.

Schermopname van de mogelijkheid om te zoeken naar een bepaalde IDPS-handtekening in uw tenant, abonnementen of resourcegroepen.

voorbeeldprompts:

  • Werd de handtekening-id <ID number\> alleen tegengehouden door deze ene firewall? Wat met anderen in deze hele tenant?
  • Is de belangrijkste hit gezien door een andere firewall in het abonnement <subscription name>?
  • Heeft een firewall in de resourcegroep <resource group name\> de afgelopen week handtekening-ID <ID number> gezien?

Aanbevelingen genereren om uw omgeving te beveiligen met behulp van de IDPS-functie van Azure Firewall

Krijg informatie uit de documentatie over het gebruik van de IDPS-functie van Azure Firewall om uw omgeving te beveiligen, zodat u deze informatie niet handmatig hoeft op te zoeken.

Schermafbeelding die de gegenereerde aanbevelingen laat zien om uw omgeving te beveiligen met behulp van de IDPS-functionaliteit van Azure Firewall.

voorbeeldprompts:

  • Hoe bescherm ik mezelf tegen toekomstige aanvallen van deze aanvaller op mijn hele infrastructuur?

  • Hoe kan ik dit doen als ik ervoor wil zorgen dat al mijn Azure Firewalls zijn beveiligd tegen aanvallen vanaf de handtekening-id <ID number\>?

  • Wat is het verschil in risico tussen alleen waarschuwen en waarschuwen en blokkeren modi voor IDPS?

    Opmerking

    Security Copilot kan ook gebruikmaken van de mogelijkheid microsoft-documentatie vragen om deze informatie te verstrekken en wanneer u deze mogelijkheid gebruikt via de Azure Copilot-ervaring, kan de functie Informatie ophalen worden gebruikt om deze informatie te verstrekken.

Feedback geven

Uw feedback is van essentieel belang om de huidige en geplande ontwikkeling van het product te sturen. De beste manier om deze feedback te geven is rechtstreeks in het product.

Via Security Copilot

Selecteer Hoe is deze reactie? onderaan elke voltooide prompt en kies een van de volgende opties:

  • Ziet er goed uit : selecteer of de resultaten nauwkeurig zijn op basis van uw beoordeling.
  • Moet worden verbeterd : selecteer op basis van uw beoordeling of een detail in de resultaten onjuist of onvolledig is.
  • Ongepast - Selecteer indien de resultaten twijfelachtige, dubbelzinnige of mogelijk schadelijke informatie bevatten.

Voor elke feedbackoptie kunt u aanvullende informatie opgeven in het volgende dialoogvenster. Waar mogelijk, en vooral als het resultaat Moet worden verbeterd, schrijf dan een paar woorden op waarin u uitlegt hoe het resultaat kan worden verbeterd. Als u prompts hebt ingevoerd die specifiek zijn voor Azure Firewall en de resultaten niet gerelateerd zijn, neemt u die informatie op.

Door middel van Azure Copilot

Gebruik de knoppen Vind ik leuk en Niet leuk onder aan elke voltooide prompt. Voor beide feedbackopties kunt u aanvullende informatie verstrekken in het daaropvolgende dialoogvenster. Wanneer mogelijk, en vooral wanneer je niet tevreden bent met een reactie, schrijf dan een paar woorden om uit te leggen hoe de uitkomst verbeterd kan worden. Als u prompts hebt ingevoerd die specifiek zijn voor Azure Firewall en de resultaten niet gerelateerd zijn, neemt u die informatie op.

Privacy en gegevensbeveiliging in Security Copilot

Wanneer u met Security Copilot communiceert via de Security Copilot-portal of de Azure Copilot-ervaring om informatie op te halen, haalt Copilot die gegevens op uit Azure Firewall. De prompts, de opgehaalde gegevens en de uitvoer die in de promptresultaten wordt getoond, worden verwerkt en opgeslagen binnen de Copilot-dienst. Voor meer informatie, zie Privacy en gegevensbescherming in Microsoft Security Copilot.

Gerelateerde inhoud

  • Last updated on