Defender EASM 中的 Microsoft Security Copilot 集成

Microsoft Defender 外部攻击面管理 (Defender EASM) 不断发现和映射数字攻击面，以提供在线基础结构的外部视图。 这种可见性有助于安全和 IT 团队识别未知因素、确定风险优先级、消除威胁，并将漏洞和暴露控制扩展到防火墙之外。 攻击面见解是通过分析漏洞和基础结构数据生成的，可展示组织的主要关注领域。

Defender EASM 中的 Microsoft Security Copilot (Security Copilot) 集成有助于你与 Microsoft 发现的攻击面交互。 确定攻击面有助于组织快速了解其面向外部的基础结构以及相关的关键风险。 它提供对特定风险领域（包括漏洞、合规性和安全机制）的见解。

有关 Security Copilot 的详细信息，请参阅什么是 Security Copilot？。 有关嵌入式 Security Copilot 体验的信息，请参阅使用 Microsoft Azure Copilot 通过 Defender EASM 查询攻击面。

在开始之前了解

如果你是 Security Copilot 的新用户，最好是通过阅读以下文章来自行熟悉该解决方案：

• 什么是 Microsoft 安全 Copilot?
• Security Copilot 体验
• 安全 Copilot 入门
• 了解 Security Copilot 中的身份验证
• 在 Security Copilot 中进行提示

Defender EASM 中的 Security Copilot

Security Copilot 可以从 Defender EASM 中获取有关组织的攻击面的见解。 可以使用 Security Copilot 内置功能。 若要获取详细信息，请使用 Security Copilot 中的提示。 该信息可能有助于你了解安全状况并缓解漏洞问题。

本文介绍 Security Copilot 并提供了示例提示，这些提示可能对 Defender EASM 用户有帮助。

关键功能

EASM Security Copilot 集成可以帮助你：

• 获取外部攻击面的快照并生成潜在风险见解。

  你可以通过分析 Internet 上提供的信息，并结合 Defender EASM 专有的发现算法，快速了解外部攻击面。 它提供了一个易于理解的自然语言解释，解释了组织的面向外部的资产，例如主机、域名、网页和 IP 地址。 它突出显示了与每个这样的资产关联的关键风险。

• 根据资产风险和公共漏洞和暴露 (CVE) 列表项确定修正工作的优先级。

  Defender EASM 有助于安全团队了解哪些资产和 CVE 在其环境中构成最大风险，从而有助于安全团队确定其修正工作的优先级。 它会分析漏洞和基础结构数据以展示主要关注领域，提供关于风险的自然语言解释和建议的操作。

• 使用 Security Copilot 来呈现见解。

  你可以使用 Security Copilot 通过自然语言询问见解，以及从 Defender EASM 中提取有关组织的攻击面的见解。 查询详细信息，例如不安全的安全套接字层 (SSL) 证书的数量、检测到的端口以及影响攻击面的特定漏洞。

• 加快攻击面策展。

  使用 Security Copilot 通过一组资产的标签、外部 ID 和状态修改来策展攻击面。 此过程可以加快策展速度，使你能够更快、更高效地组织清单。

启用 Security Copilot 集成

若要在 Defender EASM 中设置 Security Copilot 集成，请完成后续部分描述的步骤。

先决条件

若要启用集成，需要满足以下先决条件：

• Microsoft Security Copilot 的访问权限
• 激活新连接的权限

将 Security Copilot 连接到 Defender EASM

1. 访问 Security Copilot 并确保你已经过身份验证。

2. 选择提示输入栏右上角的“Security Copilot 插件”图标。

   

3. 在“Microsoft”下找到“Defender 外部攻击面管理”。 选择“启用”即可进行连接。

   

4. 如果希望 Security Copilot 从 Defender EASM 资源中拉取数据，请选择可打开插件设置的齿轮图标。 使用“概述”窗格上资源的“概要”部分中的值来输入或选择值。

注意

即使尚未购买 Defender EASM，也可以使用 Defender EASM 技能。 有关详细信息，请参阅插件功能参考。

示例 Defender EASM 提示

Security Copilot 主要使用自然语言提示。 从 Defender EASM 查询信息时，请提交一条提示，指导 Security Copilot 选择 Defender EASM 插件并调用相关功能。

为了成功使用 Security Copilot 提示，建议采用以下方法：

• 确保在第一个提示中引用公司名称。 除非另行指定，否则所有将来的提示接下来都会提供有关最初指定的公司的数据。

• 提示要清晰和具体。 如果在提示中包含特定资产名称或元数据值（例如 CVE ID），可能会获得更好的结果。

  将 Defender EASM 添加到提示中也可能会有所帮助，如以下示例所示：

  • 根据 Defender EASM，我有哪些过期的域？
  • 告诉我 Defender EASM 高优先级攻击面见解。

• 尝试使用不同提示和变体，以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同，因此根据收到的结果循环访问和优化提示。

• 安全 Copilot 将保存提示会话。 若要查看以前的会话，请在 Security Copilot 中的菜单上选择“我的会话”。

  若要演练 Security Copilot（包括固定和共享功能），请参阅导航 Security Copilot。

若要详细了解如何编写 Security Copilot 提示，请参阅 Security Copilot 提示技巧。

插件功能参考

功能	说明	输入	行为
获取攻击面摘要	返回客户的 Defender EASM 资源或特定公司名称的攻击面摘要。	示例输入： • 获取 LinkedIn 的攻击面。   • 获取我的攻击面。  • Microsoft 的攻击面是什么？   • 我的攻击面是什么？  • Azure 面向外部的资产有哪些？  • 我有哪些面向外部的资产？  可选输入： • CompanyName	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 返回客户的 Defender EASM 资源的攻击面摘要。  如果提供了其他公司名称：  • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。  • 如果有完全匹配项，则返回公司名称的攻击面摘要。
获取攻击面见解	返回客户的 Defender EASM 资源或特定公司名称的攻击面见解。	示例输入： • 获取 LinkedIn 的高优先级攻击面见解。  • 获取我的高优先级攻击面见解。  • 获取 Microsoft 的低优先级攻击面见解。  • 获取低优先级攻击面见解。  • 我的 Azure 外部攻击面中是否有高优先级漏洞？  必需的输入： • PriorityLevel（优先级必须为“高”、“中”或“低”；如果未提供，则默认为“高”） 可选输入： • CompanyName（公司名称）	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 返回客户的 Defender EASM 资源的攻击面见解。  如果提供了其他公司名称： • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。 • 如果有完全匹配项，则返回公司名称的攻击面见解。
获取受 CVE 影响的资产	返回客户的 Defender EASM 资源或特定公司名称的受 CVE 影响的资产。	示例输入： • 获取 LinkedIn 受 CVE-2023-0012 影响的资产。  • Microsoft 的哪些资产受 CVE-2023-0012 的影响？  • Azure 的外部攻击面是否受 CVE-2023-0012 的影响？  • 获取我的攻击面受 CVE-2023-0012 影响的资产。  • 我的哪些资产受 CVE-2023-0012 的影响？  • 我的外部攻击面是否受 CVE-2023-0012 的影响？  必需的输入： • CveId 可选输入： • CompanyName	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 如果未填写插件设置，请以体贴周到的方式处理失败并提醒客户。  • 如果填写了插件设置，则返回客户的 Defender EASM 资源的受 CVE 影响的资产。 如果提供了其他公司名称： • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。  • 如果有完全匹配项，则返回特定公司名称的受 CVE 影响的资产。
获取受 CVSS 影响的资产	返回客户的 Defender EASM 资源或特定公司名称的受公共漏洞评分系统 (CVSS) 评分影响的资产。	示例输入： • 获取 LinkedIn 的攻击面中受高优先级 CVSS 评分影响的资产。 • Microsoft 有多少资产具有关键 CVSS 评分？  • Azure 有哪些资产具有关键 CVSS 评分？  • 获取我的攻击面中受高优先级 CVSS 评分影响的资产。  • 我有多少资产具有关键 CVSS 评分？  • 我的哪些资产具有关键 CVSS 评分？  必需的输入： • CvssPriority（CVSS 优先级必须为“关键”、“高”、“中”或“低”） 可选输入： • CompanyName	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 如果未填写插件设置，请以体贴周到的方式处理失败并提醒客户。  • 如果填写了插件设置，则返回客户的 Defender EASM 资源的受 CVSS 评分影响的资产。 如果提供了其他公司名称： • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。  • 如果有完全匹配项，则返回特定公司名称的受 CVSS 评分影响的资产。
获取过期的域	返回客户的 Defender EASM 资源或特定公司名称的过期域数目。	示例输入： • LinkedIn 的攻击面中有多少域已过期？   • Microsoft 有多少资产在使用已过期的域？  • 我的攻击面中有多少域已过期？   • 我有多少资产在使用 Microsoft 已过期的域？  可选输入： • CompanyName	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 返回客户的 Defender EASM 资源的过期域数目。 如果提供了其他公司名称： • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。  • 如果有完全匹配项，则返回特定公司名称的过期域数目。
获取过期的证书	返回客户的 Defender EASM 资源或特定公司名称的过期 SSL 证书数目。	示例输入： • LinkedIn 有多少 SSL 证书已过期？   • Microsoft 有多少资产在使用已过期的 SSL 证书？  • 我的攻击面中有多少 SSL 证书已过期？   • 我有哪些已过期的 SSL 证书？  可选输入： • CompanyName	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 返回客户的 Defender EASM 资源的 SSL 证书数目。 如果提供了其他公司名称：  • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。   • 如果有完全匹配项，则返回特定公司名称的 SSL 证书数目。
获取 SHA1 证书	返回客户的 Defender EASM 资源或特定公司名称的 SHA1 SSL 证书数目。	示例输入： • LinkedIn 有多少 SSL SHA1 证书？   • Microsoft 有多少资产在使用 SSL SHA1？  • 我的攻击面中有多少 SSL SHA1 证书？   • 我有多少资产在使用 SSL SHA1？  可选输入： • CompanyName	如果插件配置为活动 Defender EASM 资源，且未指定其他公司： • 返回客户的 Defender EASM 资源的 SHA1 SSL 证书数目。 如果提供了其他公司名称：  • 如果找不到公司名称的完全匹配项，则返回可能的匹配项的列表。   • 如果有完全匹配项，则返回特定公司名称的 SHA1 SSL 证书数目。
将自然语言转换为 Defender EASM 查询	将任何自然语言问题翻译成 Defender EASM 查询，并返回与查询匹配的资产。	示例输入： • 哪些资产使用 jQuery 版本 3.1.0？ • 在我的攻击面中获取端口 80 打开的主机。 • 在我的清单中查找其 IP 地址为 IP X、IP Y 或 IP Z 的所有页面、主机和 ASN 资产。 • 我的哪些资产的注册者电子邮件为 <name@example.com>？	如果插件配置为活动 Defender EASM 资源： • 返回与转换后的查询匹配的资产。

在资源数据和公司数据之间切换

尽管我们为我们的技能添加了资源集成，但我们仍支持从特定公司的预生成攻击面拉取数据。 为了提高 Security Copilot 在确定客户是要从自己的攻击面还是从预生成的公司攻击面拉取数据时的准确性，建议使用“我的”、“我的攻击面”等词汇来表达你要使用自己的资源的意思。 请使用“他们的”词汇、特定公司名称等方式来表达你要使用预生成的攻击面的意思。 虽然此方法确实改善了单个会话中的体验，但我们强烈建议使用两个单独的会话，以避免任何混淆。

提供反馈

你对 Security Copilot 的一般反馈，以及对 Defender EASM 插件的具体反馈，对于指导当前的和计划中的产品开发至关重要。 提供此反馈的最佳方式是直接在产品中使用每个已完成提示底部的反馈按钮。 选择“看起来不错”、“需要改进”或“不合适”。 当结果符合预期时，建议选择“看起来不错”；当结果不符合预期时，建议选择“需要改进”；当结果在某些方面有害时，建议选择“不合适”。

请尽可能（尤其是在所选结果是“需要改进”的情况下）写几句说明的话，告知我们可以采取哪些措施来改善结果。 当你希望 Security Copilot 调用 Defender EASM 插件，但结果却是使用了另一个插件时，此请求也适用。

安全 Copilot 中的隐私和数据安全

当你与 Security Copilot 交互以获取 Defender EASM 数据时，Copilot 会从 Defender EASM 中拉取该数据。 提示、已检索的数据以及提示结果中显示的输出在 Security Copilot 服务中进行处理和存储。

有关 Security Copilot 中的数据隐私的详细信息，请参阅 Security Copilot 中的隐私和数据安全。

相关内容

• Microsoft Security Copilot
• Microsoft 安全 Copilot 中的隐私和数据安全
• 使用 Microsoft Azure Copilot 通过 Defender EASM 查询攻击面