Integracja usługi Azure Firewall w rozwiązaniu Microsoft Copilot for Security (wersja zapoznawcza)
Ważne
Integracja usługi Azure Firewall w aplikacji Microsoft Copilot for Security jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.
Microsoft Copilot for Security to generujące rozwiązanie zabezpieczeń oparte na sztucznej inteligencji, które pomaga zwiększyć wydajność i możliwości personelu ds. zabezpieczeń w celu poprawy wyników zabezpieczeń przy szybkości i skali maszyny. Zapewnia on język naturalny, pomocne doświadczenie w obsłudze specjalistów ds. zabezpieczeń w scenariuszach kompleksowej, takich jak reagowanie na zdarzenia, wyszukiwanie zagrożeń, zbieranie danych wywiadowczych i zarządzanie stanem. Aby uzyskać więcej informacji na temat tego, co może zrobić, zobacz Co to jest microsoft Copilot for Security?
Rozwiązanie Copilot for Security integruje się z usługą Azure Firewall
Usługa Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia najlepszą ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze.
Integracja usługi Azure Firewall pomaga analitykom przeprowadzać szczegółowe badania złośliwego ruchu przechwyconego przez dostawcę tożsamości i/lub funkcje analizy zagrożeń zapór w całej flocie przy użyciu pytań dotyczących języka naturalnego w autonomicznym środowisku Copilot for Security.
Ten artykuł zawiera wprowadzenie do aplikacji Copilot i zawiera przykładowe monity, które mogą pomóc użytkownikom usługi Azure Firewall.
Przed rozpoczęciem
Możesz użyć integracji usługi Azure Firewall w aplikacji Copilot for Security w portalu Copilot for Security. Aby uzyskać więcej informacji, zobacz Microsoft Copilot for Security experiences (Microsoft Copilot for Security experiences).
Twoje polecenia muszą być jasne i konkretne. Jeśli w monitach uwzględnisz określone ramy czasowe, zasoby i zagrożenia, możesz uzyskać lepsze wyniki. Może to również pomóc w przypadku dodania usługi Azure Firewall do monitu.
Skorzystaj z przykładowych monitów w tym artykule, aby pomóc w prowadzeniu interakcji z rozwiązaniem Copilot.
Poeksperymentuj z różnymi poleceniami i odmianami, aby zobaczyć, co najlepiej sprawdza się w Twoim przypadku. Modele sztucznej inteligencji czatu różnią się, więc iteruj i uściślaj polecenia na podstawie otrzymanych wyników.
Funkcja Copilot for Security zapisuje sesje monitów. Aby wyświetlić poprzednie sesje, z menu Narzędzia główne Copilot przejdź do pozycji Moje sesje.
Uwaga
Aby zapoznać się z przewodnikiem copilot, w tym funkcją przypinania i udostępniania, zobacz Navigate Microsoft Copilot for Security (Nawigowanie po konferencji Microsoft Copilot for Security).
Aby uzyskać więcej informacji na temat pisania skutecznych monitów dotyczących zabezpieczeń, zobacz Tworzenie skutecznych monitów.
Korzystanie z integracji usługi Azure Firewall w autonomicznym portalu Copilot for Security
Upewnij się, że usługa Azure Firewall jest poprawnie skonfigurowana:
- Dzienniki usługi Azure Structured Firewall — usługi Azure Firewall, które mają być używane z rozwiązaniem Copilot for Security, muszą być skonfigurowane z dziennikami strukturalnych specyficznymi dla dostawcy tożsamości, a te dzienniki muszą być wysyłane do obszaru roboczego usługi Log Analytics.
- Kontrola dostępu oparta na rolach dla usługi Azure Firewall — użytkownicy korzystający z wtyczki usługi Azure Firewall w aplikacji Copilot for Security muszą mieć odpowiednie role kontroli dostępu opartej na rolach platformy Azure w celu uzyskania dostępu do zapory i skojarzonych obszarów roboczych usługi Log Analytics.
Przejdź do witryny Microsoft Copilot for Security i zaloguj się przy użyciu swoich poświadczeń.
Upewnij się, że wtyczka usługi Azure Firewall jest włączona. Na pasku monitu wybierz ikonę Źródła .
W wyświetlonym oknie podręcznym Zarządzanie źródłami upewnij się, że przełącznik usługi Azure Firewall jest włączony, a następnie zamknij okno.
Uwaga
Niektóre role mogą włączać lub wyłączać wtyczki, takie jak Usługa Azure Firewall. Aby uzyskać więcej informacji, zobacz Manage plugins in Microsoft Copilot for Security (Zarządzanie wtyczkami w programie Microsoft Copilot for Security).
Wprowadź monit na pasku monitu.
Wbudowane funkcje systemowe
Copilot for Security ma wbudowane funkcje systemowe, które mogą pobierać dane z różnych wtyczek, które są włączone.
Aby wyświetlić listę wbudowanych funkcji systemowych dla usługi Azure Firewall, wykonaj następującą procedurę:
Na pasku monitu wybierz ikonę Monity .
Wybierz pozycję Zobacz wszystkie możliwości systemu. W sekcji Azure Firewall wymieniono wszystkie dostępne możliwości, których można użyć.
Przykładowe monity dotyczące usługi Azure Firewall
Istnieje wiele monitów, których można użyć, aby uzyskać informacje z usługi Azure Firewall. W tej sekcji wymieniono te, które działają najlepiej dzisiaj. Są one stale aktualizowane w miarę uruchamiania nowych funkcji.
Pobieranie najważniejszych trafień podpisu IDPS dla usługi Azure Firewall
Uzyskaj informacje dziennika o ruchu przechwyconym przez funkcję IDPS zamiast ręcznie konstruować zapytania KQL.
Przykładowe polecenia:
- Czy jakiś złośliwy ruch został przechwycony przez nazwę zapory zapory><?
- Jakie są 20 pierwszych trafień idPS z ostatnich siedmiu dni dla nazwy> zapory zapory <w nazwie> grupy zasobów grupy <zasobów?
- Pokaż mi w formie tabelarycznej 50 pierwszych ataków, które dotyczą nazwy> zapory zapory< w nazwie> subskrypcji subskrypcji <w ciągu ostatniego miesiąca.
Wzbogacanie profilu zagrożenia sygnatury dostawcy tożsamości poza informacjami o dzienniku
Uzyskaj dodatkowe szczegóły , aby wzbogacić informacje o zagrożeniach/profil podpisu IDPS zamiast kompilować je samodzielnie.
Przykładowe polecenia:
- Wyjaśnij, dlaczego idPS oflagował najwyższy poziom trafień jako wysoki poziom ważności i piąty trafienie jako niska ważność.
- Co można mi powiedzieć o tym ataku? Jakie są inne ataki, z których jest znany ten atakujący?
- Widzę, że trzeci identyfikator podpisu jest skojarzony z numerem> CVE CVE<, poinformuj mnie więcej o tym CVE.
Uwaga
Wtyczka Analizy zagrożeń w usłudze Microsoft Defender to inne źródło, które copilot for Security może użyć do zapewnienia analizy zagrożeń dla podpisów IDPS.
Wyszukaj dany podpis IDPS w dzierżawie, subskrypcji lub grupie zasobów
Przeprowadź wyszukiwanie całej floty (w dowolnym zakresie) pod kątem zagrożenia we wszystkich zaporach zamiast ręcznie wyszukiwać zagrożenie.
Przykładowe polecenia:
- Czy numer> identyfikatora podpisu <został zatrzymany tylko przez tę zaporę? Co z innymi w całej dzierżawie?
- Czy w nazwie> subskrypcji subskrypcji <była widoczna górna liczba trafień przez inną zaporę?
- W ciągu ostatniego tygodnia czy jakakolwiek zapora w nazwie> grupy zasobów grupy <zasobów widziała numer> identyfikatora podpisu<?
Generowanie zaleceń w celu zabezpieczenia środowiska przy użyciu funkcji IDPS usługi Azure Firewall
Uzyskaj informacje z dokumentacji dotyczącej używania funkcji IDPS usługi Azure Firewall w celu zabezpieczenia środowiska zamiast ręcznie wyszukać te informacje.
Przykładowe polecenia:
- Jak mogę chronić się przed przyszłymi atakami przed tym atakującym w całej mojej infrastrukturze?
- Jeśli chcę upewnić się, że wszystkie zapory są chronione przed atakami z numeru> identyfikatora podpisu<, jak to zrobić?
- Jaka jest różnica między ryzykiem między tylko alertem a trybem alertu i blokiem dla dostawcy tożsamości?
Uwaga
Copilot for Security może również użyć funkcji Zapytaj dokumentację firmy Microsoft, aby udostępnić informacje na temat sposobu zabezpieczania środowiska za pomocą funkcji IDPS usługi Azure Firewall.
Przekazywanie opinii
Twoja opinia jest niezbędna do prowadzenia bieżącego i planowanego rozwoju produktu. Najlepszym sposobem przekazania tej opinii jest bezpośrednio w produkcie. Wybierz pozycję Jak jest to odpowiedź? w dolnej części każdego ukończonego monitu i wybierz dowolną z następujących opcji:
- Wygląda prawidłowo — wybierz, czy wyniki są dokładne, na podstawie oceny.
- Wymaga poprawy — wybierz, czy jakiekolwiek szczegóły w wynikach są niepoprawne lub niekompletne, na podstawie oceny.
- Nieodpowiednie — wybierz, czy wyniki zawierają wątpliwe, niejednoznaczne lub potencjalnie szkodliwe informacje.
Dla każdej opcji opinii możesz podać więcej informacji w następnym wyświetlonym oknie dialogowym. Zawsze, gdy jest to możliwe, a zwłaszcza gdy wynikiem jest poprawa potrzeb, napisz kilka słów wyjaśniających, co można zrobić, aby poprawić wynik. Jeśli wprowadzono monity specyficzne dla usługi Azure Firewall, a wyniki nie są powiązane, dołącz te informacje.
Przetwarzanie danych i prywatność
Gdy wchodzisz w interakcję z rozwiązaniem Copilot for Security w celu uzyskania danych usługi Azure Firewall, copilot ściąga te dane z usługi Azure Firewall. Monity, pobrane dane i dane wyjściowe wyświetlane w wynikach monitu są przetwarzane i przechowywane w usłudze Copilot. Aby uzyskać więcej informacji, zobacz Prywatność i bezpieczeństwo danych w rozwiązaniu Microsoft Copilot for Security.
Powiązana zawartość
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla