Investigar incidentes do Microsoft Sentinel no Copilot for Security
O Microsoft Copilot for Security é uma plataforma que ajuda você a defender sua organização na velocidade e escala da máquina. O Microsoft Sentinel fornece um plug-in para o Copilot para ajudar a analisar incidentes e gerar consultas de caça.
Juntamente com os prompts iterativos que usam outras fontes sofisticadas do Copilot for Security que você habilita, seus incidentes e dados do Microsoft Sentinel fornecem uma visibilidade mais ampla das ameaças e seu contexto para sua organização.
Para obter mais informações sobre o Copilot for Security, consulte os seguintes artigos:
- Introdução ao Microsoft Copilot for Security
- Gerenciar plug-ins no Microsoft Copilot for Security
- Compreender a autenticação no Microsoft Copilot for Security
Integre o Microsoft Sentinel com o Copilot for Security
O Microsoft Sentinel fornece dois plugins para integrar com o Copilot for Security:
- Microsoft Sentinel (Pré-visualização)
- Linguagem natural para KQL para Microsoft Sentinel (Pré-visualização).
Importante
Os plugins "Microsoft Sentinel" e "Natural Language to KQL for Microsoft Sentinel" estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Configurar um espaço de trabalho padrão do Microsoft Sentinel
Aumente a precisão do prompt configurando um espaço de trabalho do Microsoft Sentinel como padrão.
Navegue até Copilot for Security em https://securitycopilot.microsoft.com/.
Abra Códigos-fonte
na barra de prompts.Na página Gerenciar plug-ins , defina a alternância como Ativado
Selecione o ícone de engrenagem no plug-in Microsoft Sentinel (Preview).
Configure o nome do espaço de trabalho padrão.
Gorjeta
Especifique o espaço de trabalho em seu prompt quando ele não corresponder ao padrão configurado.
Exemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integre o Microsoft Sentinel com o Copilot no Defender
Use a plataforma unificada de operações de segurança com seus dados do Microsoft Sentinel para obter uma experiência incorporada do Copilot for Security. Os incidentes unificados do Microsoft Sentinel no portal Defender permitem que o Copilot no Defender use seus recursos com dados do Microsoft Sentinel.
Por exemplo:
- A solução SAP (Preview) é instalada no seu espaço de trabalho para o Microsoft Sentinel.
- A regra quase em tempo real SAP - (Preview) File Downloaded From a Malicious IP Address dispara um alerta, criando um incidente do Microsoft Sentinel.
- O Microsoft Sentinel foi adicionado à plataforma unificada de operações de segurança.
- Os incidentes do Microsoft Sentinel agora são unificados com os incidentes do Defender XDR.
- Use o Copilot no Microsoft Defender para resumo de incidentes, respostas guiadas e relatórios de incidentes.
Para obter mais informações, consulte os seguintes recursos:
- Microsoft Sentinel no portal do Microsoft Defender.
- Copiloto no Microsoft Defender
Integre o Microsoft Sentinel com o Copilot for Security em busca avançada
O plug-in Natural language to KQL for Microsoft Sentinel (Preview) gera e executa consultas de caça KQL usando dados do Microsoft Sentinel. Esse recurso está disponível na experiência autônoma e na seção de caça avançada do portal do Microsoft Defender.
Nota
No portal unificado do Microsoft Defender, você pode solicitar que o Copilot for Security gere consultas de caça avançadas para as tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas do Microsoft Sentinel são suportadas atualmente, mas o suporte para essas tabelas pode ser esperado no futuro.
Para obter mais informações, consulte Copilot for Security in advanced hunting.
Melhore seus prompts do Microsoft Sentinel
Considere o promptbook de investigação de incidentes do Microsoft Sentinel como um ponto de partida para criar prompts eficazes. Este promptbook fornece um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.
| Orientação | Pedido |
|---|---|
| Nudge Copilot para fornecer informações legíveis por humanos em vez de responder com IDs de objeto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| O copiloto sabe quem você é. Use o pronome "eu" para encontrar incidentes relacionados a você. O prompt a seguir tem como alvo os incidentes atribuídos a você. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando você restringe uma resposta rápida a um único incidente, o Copilot conhece o contexto. | Tell me about the entities associated with that incident. |
| Copilot é bom em resumir. Descreva um público específico para o qual você deseja que os prompts e as respostas sejam resumidos. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obter mais orientações e exemplos rápidos, consulte os seguintes recursos:
- Usando promptbooks
- Solicitando no Microsoft Copilot para Segurança
- Copiloto de Rod Trent para a Biblioteca de Avisos de Segurança