你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft 安全 Copilot 中的 Azure 防火墙集成(预览版)

重要

Microsoft 安全 Copilot 中的 Azure 防火墙集成当前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

Azure 安全 Copilot 是一种生成式 AI 支持的安全解决方案,有助于提高安全人员的效率和能力,以计算机速度和规模改善安全成果。 它提供一种自然语言、辅助助手体验,帮助支持端到端场景中的安全性专业人员,例如事件响应、威胁搜寻、情报收集和态势管理。 有关其功能的详细信息,请参阅“什么是 Microsoft 安全 Copilot?”

在开始之前了解

如果你是 Security Copilot 的新用户,则应阅读以下文章自行熟悉它:

Azure 防火墙中的安全 Copilot 集成

Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供最高水平的威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。

安全 Copilot 中的 Azure 防火墙集成可帮助分析人员使用自然语言问题在整个队列中详细调查其防火墙的 IDPS 功能截获的恶意流量。

你可以在两种不同的体验中使用此集成:

有关详细信息,请参阅“Microsoft 安全 Copilot 体验”和“Microsoft Copilot in Azure 功能”。

关键功能

安全 Copilot 具有内置系统功能,可以从开启的不同插件获取数据。

若要查看 Azure 防火墙的内置系统功能列表,请在安全 Copilot 门户使用以下过程:

  1. 在提示栏中,选择“提示”图标。

  2. 选择“查看所有系统功能”。

  3. “Azure 防火墙”部分列出了可使用的所有可用功能。

    Microsoft 安全 Copilot 中 Azure 防火墙的系统功能的屏幕截图。

启用 Microsoft 安全 Copilot 中的 Azure 防火墙集成

  1. 确保 Azure 防火墙配置正确:

    • Azure 防火墙结构化日志 - 用于安全 Copilot 的 Azure 防火墙必须配置 IDPS 的资源特定的结构化日志,而且这些日志必须发送到 Log Analytics 工作区。

    • Azure 防火墙基于角色的访问控制 - 在 Microsoft 安全 Copilot 中使用 Azure 防火墙插件的用户必须具有适当的 Azure 基于角色的访问控制角色才能访问防火墙和关联的 Log Analytics 工作区。

  2. 转到 Microsoft 安全 Copilot 并使用凭据登录。

  3. 确保已启用 Azure 防火墙插件。 在提示栏中,选择“源”图标。 在显示的“管理源”弹出窗口中,确认已打开“Azure 防火墙”开关。 然后,关闭此窗口。 无需进行任何其他配置。 只要结构化日志发送到 Log Analytics 工作区,并且你拥有适当的基于角色的访问控制权限,Copilot 就会找到所需的数据来回答你的问题。

    显示 Azure 防火墙插件的屏幕截图。

  4. 安全 Copilot 门户或通过 Azure 门户中的 Azure Copilot 体验,在提示栏中输入提示。

    重要

    安全 Copilot 包含使用 Azure Copilot 查询 Azure 防火墙,并且需要安全计算单位 (SCU)。 可以随时预配 SCU 并增加或减少它们。 有关 SCU 的详细信息,请参阅“Microsoft 安全 Copilot 入门”。 如果没有正确配置安全 Copilot,但通过 Azure Copilot 体验提出与 Azure 防火墙功能相关的问题,则会看到一条错误消息。

示例 Azure 防火墙提示

可以使用许多提示从 Azure 防火墙获取信息。 此部分列出了目前效果最好的提示。 随着新功能的推出,它们会不断更新。

检索 Azure 防火墙排名靠前的 IDPS 签名命中次数

获取有关 IDPS 功能截获的流量的日志信息,而不是手动构造 KQL 查询。

示例提示:

  • 是否有任何恶意流量被我的防火墙 <防火墙名称> 截获?

  • 对于资源组 <资源组名称> 中的防火墙 <防火墙名称>,过去 7 天中前 20 的 IDPS 命中是什么?

  • 以表格形式显示过去一个月中攻击订阅 <订阅名称> 中的防火墙 <防火墙名称> 的前 50 个攻击。

    检索 Azure 防火墙功能排名靠前的 IDPS 签名命中次数的屏幕截图。

在日志信息之外丰富 IDPS 签名的威胁配置文件

获取其他详细信息来扩充 IDPS 签名的威胁信息/配置文件,而不是自行手动编译它。

示例提示:

  • 解释 IDPS 为什么将命中次数最高的标记为高严重性,而将第 5 次命中标记为低严重性。

  • 关于此功能,你能告诉我什么? 此攻击者还会进行其他哪些攻击?

  • 我看到第三个签名 ID 与 CVE <CVE 编号> 相关联,请告诉我有关此 CVE 的详细信息。

    显示在日志信息功能之外,丰富 IDPS 签名的威胁配置文件的屏幕截图。

备注

Microsoft 威胁情报插件是安全 Copilot 可用于为 IDPS 签名提供威胁情报的另一个源。

在租户、订阅或资源组中查找给定的 IDPS 签名

对所有防火墙中的威胁执行舰队范围的搜索(在任何范围内),而不是手动搜索威胁。

示例提示:

  • 是否只有这一个防火墙停止了签名 ID <ID 编号>? 这整个租户中的其他防火墙呢?

  • 在订阅 <订阅名称> 中是否看到任何其他防火墙有排名靠前的命中?

  • 在过去一周里,资源组 <资源组名称> 中是否有任何防火墙看到签名 ID <ID 编号>?

    显示在租户、订阅或资源组功能中查找给定的 IDPS 签名的屏幕截图。

使用 Azure 防火墙的 IDPS 功能生成环境保护建议

从文档获取有关使用 Azure 防火墙 IDPS 功能来保护环境的信息,而无需手动查找此信息。

示例提示:

  • 如何在整个基础结构中保护自己免受此攻击者的未来攻击?

  • 如果想要确保所有防火墙都免受签名 ID <ID 编号> 的攻击,我该怎么做?

  • 在风险方面,IDPS 的“仅警报”和“警报并阻止”模式之间有何区别?

    显示使用 Azure 防火墙的 IDPS 功能生成环境安全建议的屏幕截图。

    备注

    安全 Copilot 还可以使用询问 Microsoft 文档功能提供此信息,当通过 Azure Copilot 体验使用此功能时,可以使用获取信息功能来提供此信息。

提供反馈

对于指导产品的当前和计划开发来说,你的反馈至关重要。 提供此反馈的最佳方式是直接在产品中进行。

通过安全 Copilot

在每个已完成的提示底部,选择“此回复怎么样?”,然后选择以下任一选项:

  • 看起来正确 - 如果根据评估,结果是准确的,请选择此项。
  • 需要改进 - 如果根据评估,结果中有任何详细信息不正确或不完整,请选择此项。
  • 不恰当 - 如果结果包含可疑、不明确或潜在有害的信息,请选择此项。

对于每个反馈选项,可以在下一个对话框中提供详细信息。 只要有可能,尤其是在结果是“需要改进”时,请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示,并且结果不相关,请添加该信息。

通过 Azure Copilot

使用每个完成的提示下方的“喜欢”和“不喜欢”按钮。 对于任一反馈选项,都可以在下一个对话框中提供详细信息。 如有可能,尤其是不喜欢某个回复时,请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示,并且结果不相关,请添加该信息。

安全 Copilot 中的隐私和数据安全

与安全 Copilot 交互(通过安全 Copilot 门户或通过 Azure Copilot 体验时)获取 Azure 防火墙数据时,Copilot 将从 Azure 防火墙拉取该数据。 提示、检索的数据以及提示结果中显示的输出在 Copilot 服务中进行处理和存储。 有关详细信息,请参阅“Microsoft 安全 Copilot 中的隐私和数据安全”