Azure Web Application Firewall-integrering i Copilot for Security (förhandsversion)

Viktigt!

Azure Web Application Firewall-integrering i Microsoft Copilot for Security finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Microsoft Copilot for Security är en molnbaserad AI-plattform som ger copilot-upplevelse på naturligt språk. Det kan hjälpa säkerhetspersonal i olika scenarier, till exempel svara på incidenter, hotjakt och insamling av information. Mer information finns i Vad är Microsoft Copilot för säkerhet?

Integrering av Azure Web Application Firewall (WAF) i Copilot for Security möjliggör djupgående undersökning av Azure WAF-händelser. Det kan hjälpa dig att undersöka WAF-loggar som utlöses av Azure WAF på några minuter och tillhandahålla relaterade attackvektorer med naturliga språksvar med maskinhastighet. Den ger insyn i din miljös hotlandskap. Det gör att du kan hämta en lista över de vanligaste utlösta WAF-reglerna och identifiera de mest kränkande IPad-klänningarna i din miljö.

Copilot for Security-integrering stöds på både Azure WAF som är integrerat med Azure Application Gateway och Azure WAF integrerat med Azure Front Door.

Ha kunskap innan du börjar

Om du är nybörjare på Copilot for Security bör du bekanta dig med det genom att läsa följande artiklar:

• Vad är Microsoft Copilot för säkerhet?
• Microsoft Copilot för säkerhetsupplevelser
• Kom igång med Microsoft Copilot for Security
• Förstå autentisering i Microsoft Copilot för säkerhet
• Fråga i Microsoft Copilot för säkerhet

Azure WAF-integrering i Copilot for Security

Den här integreringen stöder den fristående upplevelsen och nås via https://securitycopilot.microsoft.com. Det här är en chattliknande upplevelse som du kan använda för att ställa frågor och få svar om dina data. Mer information finns i Microsoft Copilot for Security-upplevelser.

Funktioner i den fristående upplevelsen

Den fristående förhandsversionen i Azure WAF kan hjälpa dig med:

• Tillhandahålla en lista över de främsta Azure WAF-reglerna som utlöses i kundmiljön och generera djup kontext med relaterade attackvektorer.

  Den här funktionen innehåller information om Azure WAF-regler som utlöses på grund av ett WAF-block. Den innehåller en ordnad lista över regler baserat på utlösarfrekvens under önskad tidsperiod. Det gör du genom att analysera Azure WAF-loggar och ansluta relaterade loggar under en viss tidsperiod. Resultatet är en lättförstårlig förklaring av varför en viss begäran blockerades.

• Tillhandahålla en lista över skadliga IP-adresser i kundmiljön och generera relaterade hot.

  Den här funktionen innehåller information om klient-IP-adresser som blockeras av Azure WAF. Det gör du genom att analysera Azure WAF-loggar och ansluta relaterade loggar under en viss tidsperiod. Resultatet är en lättförståelig förklaring av vilket NATURLIGT språk som IP-adresser waf blockerade och orsaken till blocken.

• Sammanfatta SQL-inmatningsattacker (SQLi).

  Den här Azure WAF-färdigheten ger dig insikter om varför den blockerar SQL-inmatningsattacker (SQLi) på webbprogram. Det gör du genom att analysera Azure WAF-loggar och ansluta relaterade loggar under en viss tidsperiod. Resultatet är en lättförstuderad förklaring av naturligt språk till varför en SQLi-begäran blockerades.

• Sammanfattning av XSS-attacker (Cross-site scripting).

  Den här Azure WAF-färdigheten hjälper dig att förstå varför Azure WAF blockerade XSS-attacker (Cross Site Scripting) för webbprogram. Det gör du genom att analysera Azure WAF-loggar och ansluta relaterade loggar under en viss tidsperiod. Resultatet är en lättförstedd förklaring av naturligt språk till varför en XSS-begäran blockerades.

Aktivera Azure WAF-integrering i Microsoft Copilot for Security

Följ dessa steg för att aktivera integreringen:

1. Kontrollera att du har minst Behörigheter för Copilot-deltagare.
2. Öppna https://securitycopilot.microsoft.com/.
3. Öppna menyn Microsoft Copilot för säkerhet.
4. Öppna källor i promptfältet.
5. På sidan Plugin-program anger du växlingsknappen För Azure Web Application Firewall till På.
6. Välj Inställningar i plugin-programmet Azure Web Application Firewall för att konfigurera Log Analytics-arbetsytan, Log Analytics-prenumerations-ID:t och Log Analytics-resursgruppens namn för Azure Front Door WAF och/eller Azure Application Gateway WAF. Du kan också konfigurera WAF-princip-URI för Application Gateway och/eller Azure Front Door WAF-princip-URI.
7. Om du vill börja använda färdigheterna använder du kommandotolken.

Exempelprompter

Du kan skapa egna frågor i Copilot for Security för att utföra analys av attacker baserat på WAF-loggar. Det här avsnittet visar några idéer och exempel.

Innan du börjar

• Var tydlig och specifik med dina frågor. Du kan få bättre resultat om du inkluderar specifika enhets-ID:n eller namn, appnamn eller principnamn i dina frågor.

  Det kan också hjälpa dig att lägga till WAF i din fråga. Till exempel:

  • Fanns det någon SQL-inmatningsattack i min regionala WAF den senaste dagen?
  • Berätta mer om de vanligaste reglerna som utlöses i min globala WAF

• Experimentera med olika frågor och variationer för att se vad som fungerar bäst för ditt användningsfall. Chatt-AI-modeller varierar, så iterera och förfina dina frågor baserat på de resultat du får För vägledning om hur du skriver effektiva frågor, se Skapa egna frågor.

Följande exempelmeddelanden kan vara till hjälp.

Sammanfatta information om SQL-inmatningsattacker

• Var det en SQL-inmatningsattack i min globala WAF den senaste dagen?
• Visa IP-adresser som är relaterade till den främsta SQL-inmatningsattacken i min globala WAF
• Visa mig alla SQL-inmatningsattacker i regionala WAF under de senaste 24 timmarna

Sammanfatta information om skriptattacker mellan webbplatser

• Har någon XSS-attack identifierats i min AppGW WAF under de senaste 12 timmarna?
• Visa en lista över alla XSS-attacker i min Azure Front Door WAF

Generera en lista över hot i min miljö baserat på WAF-regler

• Vilka var de främsta globala WAF-reglerna som utlöstes under de senaste 24 timmarna?
• Vilka är de största hoten som är relaterade till WAF-regeln i min miljö? <ange regel-ID>
• Var det någon robotattack i min regionala WAF den senaste dagen?
• Sammanfatta anpassade regelblock som utlöstes av Azure Front Door WAF under den senaste dagen.

Generera en lista över hot i min miljö baserat på skadliga IP-adresser

• Vad var den mest kränkande IP-adressen i regional WAF den senaste dagen?
• Sammanfatta listan över skadliga IP-adresser i min Azure Front Door WAF under de senaste sex timmarna?

Ge feedback

Din feedback om Azure WAF-integreringen med Copilot for Security hjälper dig att utveckla. Om du vill ge feedback i Copilot väljer du Hur är det här svaret? Längst ned i varje slutförd fråga och välj något av följande alternativ:

• Ser rätt ut – Välj om resultatet är korrekt baserat på din utvärdering.
• Behöver förbättras – Välj om någon detalj i resultatet är felaktig eller ofullständig, baserat på din utvärdering.
• Olämpligt – Välj om resultatet innehåller tvivelaktig, tvetydig eller potentiellt skadlig information.

För varje feedbackobjekt kan du ange mer information i nästa dialogruta som visas. När det är möjligt, och när resultatet är Behöver förbättras, skriver du några ord som förklarar vad som kan göras för att förbättra resultatet.

Begränsning

Om du har migrerat till dedikerade Azure Log Analytics-tabeller i Application Gateway WAF V2-versionen fungerar inte Copilot for Security WAF-kunskaper. Som en tillfällig lösning aktiverar du Azure Diagnostics som måltabell utöver den resursspecifika tabellen.

Sekretess och datasäkerhet i Microsoft Copilot for Security

Information om hur Microsoft Copilot for Security hanterar dina frågor och de data som hämtas från tjänsten (promptutdata) finns i Sekretess och datasäkerhet i Microsoft Copilot for Security.

Relaterat innehåll

• Vad är Microsoft Copilot för säkerhet?