Инциденты Microsoft Sentinel в Copilot для безопасности

• Применяется к:

  Microsoft Sentinel, Copilot for Security

Microsoft Copilot for Security — это платформа, которая помогает защитить организацию на скорости и масштабировании компьютера. Microsoft Sentinel предоставляет подключаемый модуль для Copilot для анализа инцидентов и создания запросов охоты.

Вместе с итеративными запросами, использующими другие сложные источники безопасности для источников безопасности, ваши инциденты и данные Microsoft Sentinel обеспечивают более широкую видимость угроз и их контекста для вашей организации.

Дополнительные сведения о Copilot для безопасности см. в следующих статьях:

• Начало работы с Microsoft Copilot для безопасности
• Управление подключаемыми модулями в Microsoft Copilot для безопасности
• Общие сведения о проверке подлинности в Microsoft Copilot для безопасности

Интеграция Microsoft Sentinel с Copilot для безопасности

Microsoft Sentinel предоставляет два подключаемых модуля для интеграции с Copilot для security:

• Microsoft Sentinel (предварительная версия)
• Естественный язык к KQL для Microsoft Sentinel (предварительная версия).

Внимание

Подключаемые модули Microsoft Sentinel и "Естественного языка для KQL для Microsoft Sentinel" в настоящее время находятся в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Настройка рабочей области Microsoft Sentinel по умолчанию

Увеличьте точность запроса, настроив рабочую область Microsoft Sentinel в качестве стандартной.

1. Перейдите в Copilot для обеспечения безопасности https://securitycopilot.microsoft.com/.

2. Откройте источники в строке запроса.

3. На странице "Управление подключаемыми модулями" установите переключатель "Вкл.

4. Выберите значок шестеренки в подключаемом модуле Microsoft Sentinel (предварительная версия).

   

5. Настройте имя рабочей области по умолчанию.

   

Совет

Укажите рабочую область в запросе, если она не соответствует настроенной по умолчанию.

Пример: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Интеграция Microsoft Sentinel с Copilot в Defender

Используйте унифицированную платформу операций безопасности с данными Microsoft Sentinel для встроенного интерфейса Copilot для обеспечения безопасности. Унифицированные инциденты Microsoft Sentinel на портале Defender позволяют Copilot в Defender использовать свои возможности с данными Microsoft Sentinel.

Например:

• Решение SAP (предварительная версия) устанавливается в рабочей области Microsoft Sentinel.
• Скачанный из вредоносного IP-адреса файл SAP (предварительная версия) практически в режиме реального времени запускает оповещение, создавая инцидент Microsoft Sentinel.
• Microsoft Sentinel был добавлен на унифицированную платформу операций безопасности.
• Инциденты Microsoft Sentinel теперь унифицированы с инцидентами XDR Defender.
• Используйте Copilot в Microsoft Defender для сводки инцидентов, интерактивных ответов и отчетов об инцидентах.

Дополнительные сведения см. на следующих ресурсах:

• Microsoft Sentinel на портале Microsoft Defender.
• Copilot в Microsoft Defender

Интеграция Microsoft Sentinel с Copilot для безопасности в расширенной охоте

Подключаемый модуль Естественного языка для KQL для Microsoft Sentinel (предварительная версия) создает и выполняет запросы на поиск KQL с помощью данных Microsoft Sentinel. Эта возможность доступна в автономном интерфейсе и в разделе расширенной охоты на портале Microsoft Defender.

Примечание.

На едином портале Microsoft Defender можно запросить Copilot for Security, чтобы создать расширенные запросы охоты для таблиц XDR Defender и Microsoft Sentinel. В настоящее время поддерживаются не все таблицы Microsoft Sentinel, но поддержка этих таблиц может быть ожидаемой в будущем.

Дополнительные сведения см. в разделе Copilot для безопасности в расширенной охоте.

Улучшение запросов Microsoft Sentinel

Рассмотрим запрос на исследование инцидентов Microsoft Sentinel в качестве отправной точки для создания эффективных запросов. Эта книга запроса предоставляет отчет о конкретном инциденте, а также связанные оповещения, оценки репутации, пользователи и устройства.

Руководство	Prompt
Nudge Copilot, чтобы предоставить удобочитаемую информацию, а не отвечать на идентификаторы объектов.	Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Копилот знает, кто вы. Используйте имя "меня", чтобы найти инциденты, связанные с вами. Следующий запрос предназначен для инцидентов, назначенных вам.	What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Когда вы сузите ответ на запрос до одного инцидента, Copilot знает контекст.	Tell me about the entities associated with that incident.
Copilot хорошо подводить итоги. Опишите определенную аудиторию, для которой вы хотите получить сводку запросов и ответов.	Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Дополнительные инструкции и примеры запросов см. в следующих ресурсах:

• Использование модулей командной строки
• Запрос в Microsoft Copilot для безопасности
• Copilot Rod Trent для библиотеки запросов безопасности

Связанные статьи

• Microsoft Copilot в Microsoft Defender
• Интеграция XDR в Microsoft Defender с Microsoft Sentinel