Microsoft 安全性 Copilot 中的 Azure 防火牆整合 (預覽)
重要
Microsoft Copilot for Security 中的 Azure 防火牆 整合目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Microsoft Copilot for Security 是一種以 AI 為基礎的安全性解決方案,可協助提升安全性人員的效率與功能,以提升機器速度和規模的安全性成果。 它提供自然語言、輔助輔助的警察體驗,協助支援安全性專業人員在事件回應、威脅搜捕、情報收集及狀態管理等端對端案例中。 如需其功能的詳細資訊,請參閱 什麼是 Microsoft Copilot for Security?
開始之前的須知事項
如果您不熟悉 Microsoft Copilot for Security,您應該閱讀下列文章來熟悉它:
- 什麼是 Microsoft Copilot for Security?
- Microsoft Copilot for Security 體驗
- 開始使用 Microsoft Copilot for Security
- 了解 Microsoft Copilot for Security 中的驗證
- 在 Microsoft Copilot for Security 中提示
Microsoft Copilot for Security 整合 Azure 防火牆
Azure 防火牆是一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供優異的威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。
Azure 防火牆 整合可協助分析師使用安全性獨立體驗Microsoft Copilot for Security 獨立體驗中的自然語言問題,針對其防火牆的 IDPS 和/或威脅情報功能攔截的惡意流量執行詳細調查。
本文介紹 Copilot,並包含可協助 Azure 防火牆 使用者的範例提示。
您可以在 Microsoft Copilot for Security 入口網站中使用 Microsoft Copilot for Security 中的 Azure 防火牆 整合。 如需詳細資訊,請參閱 Microsoft Copilot for Security 體驗。
主要功能
Microsoft Copilot for Security 具有內建系統功能,可從開啟的不同外掛程式取得數據。
若要檢視 Azure 防火牆 的內建系統功能清單,請使用下列程式:
在提示列中,選取 [提示] 圖示。
選取 [查看所有系統功能]。 [Azure 防火牆] 區段會列出您可以使用的所有可用功能。
在 Microsoft Copilot for Security 中啟用 Azure 防火牆 整合
請確定您的 Azure 防火牆 已正確設定:
- Azure 結構化防火牆記錄 – 要與 Microsoft Copilot for Security 搭配使用的 Azure 防火牆 必須設定為 IDPS 的資源特定結構化記錄,而且這些記錄必須傳送至 Log Analytics 工作區。
- Azure 防火牆 的角色型 存取控制 – 在 Microsoft Copilot for Security 中使用 Azure 防火牆 外掛程式的用戶必須具有適當的 Azure RBAC 角色,才能存取防火牆和相關聯的 Log Analytics 工作區。
請移至 Microsoft Copilot for Security,並使用您的認證登入。
確定已開啟 Azure 防火牆 外掛程式。 在提示列中,選取 [來源] 圖示。
![Microsoft Copilot for Security 中提示列的螢幕快照,其中已醒目提示 [來源] 圖示。](media/firewall-copilot/copilot-prompts-bar-sources.png)
在出現的 [管理來源] 彈出視窗中,確認已開啟 Azure 防火牆 切換,然後關閉視窗。
注意
某些角色可以開啟或關閉外掛程式,例如 Azure 防火牆。 如需詳細資訊,請參閱 在 Microsoft Copilot for Security 中管理外掛程式。
在提示列中輸入您的提示。
範例 Azure 防火牆 提示
您可以使用許多提示從 Azure 防火牆 取得資訊。 本節列出目前最能運作的章節。 隨著新功能的啟動,它們會持續更新。
擷取 Azure 防火牆 的熱門 IDPS 簽章叫用
取得 IDPS 功能攔截的流量記錄資訊 ,而不是手動建構 KQL 查詢。
範例提示:
- 我的防火牆<防火牆名稱>是否攔截到任何惡意流量?
- 針對資源群組<資源群組名稱>中的防火牆<防火牆名稱>,過去 7 天前 20 個 IDPS 命中有哪些?
- 以表格式顯示我過去一個月的訂用帳戶名稱中鎖定防火牆<防火牆名稱>>的前 50 個攻擊。<
擴充記錄資訊以外的IDPS簽章威脅配置檔
取得 其他詳細數據 ,以擴充IDPS簽章的威脅資訊/配置檔,而不是手動編譯。
範例提示:
- 說明為什麼 IDPS 將最高點擊標示為高嚴重性,而第五次命中則標示為低嚴重性。
- 你能告訴我關於這次攻擊什麼? 此攻擊者已知的其他攻擊為何?
- 我看到第三個簽章標識碼與 CVE <CVE 號碼>相關聯,請告訴我有關此 CVE 的詳細資訊。
注意
Microsoft威脅情報外掛程式是另一個來源,Microsoft Copilot for Security 可用來提供 IDPS 簽章的威脅情報。
在您的租用戶、訂用帳戶或資源群組中尋找指定的IDPS簽章
針對所有防火牆的威脅執行全車隊搜尋(在任何範圍內),而不是手動搜尋威脅。
範例提示:
- 簽章標識碼 <標識碼> 只有此一個防火牆停止嗎? 整個租使用者中的其他人呢?
- 訂用帳戶訂用帳戶名稱>中<任何其他防火牆是否已看到頂端點擊?
- 過去一周,資源組<名>中的任何防火牆都看到簽章標識碼<標識碼>嗎?
使用 Azure 防火牆的 IDPS 功能產生保護環境的建議
從使用 Azure 防火牆 IDPS 功能來保護環境,而不必手動查閱此資訊的檔取得資訊。
範例提示:
- 如何? 保護自己免受整個基礎結構中此攻擊者的未來攻擊?
- 如果我想確定所有防火牆都受到保護,以防止來自簽章識別碼<識別碼編號>的攻擊,則該如何執行這項操作?
- 只有警示和IDPS的警示和封鎖模式之間的風險有何差異?
注意
Microsoft Copilot for Security 也可以使用 Ask Microsoft 檔功能,提供有關如何使用 Azure 防火牆 IDPS 功能來保護環境的資訊。
提供意見反應
您的意見反應對於引導產品的目前和計劃開發至關重要。 提供此意見反應的最佳方式是直接在產品中。 選取 每個已完成提示底部的 [回應方式? ],然後選擇下列任一選項:
- 看起來正確 - 根據您的評量,選取結果是否正確。
- 需要改進 - 根據您的評量,選取結果中是否有任何詳細數據不正確或不完整。
- 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取 。
針對每個意見反應選項,您可以在出現的下一個對話框中提供詳細資訊。 盡可能,特別是當結果為 需要改進時,請撰寫一些文字來說明如何改善結果。 如果您輸入了 Azure 防火牆 特定的提示,且結果不相關,請包含該資訊。
Microsoft Copilot for Security 中的隱私權和數據安全性
當您與 Microsoft Copilot for Security 互動以取得 Azure 防火牆 數據時,Copilot 會從 Azure 防火牆 提取該數據。 系統會處理提示、擷取的數據,以及提示結果中顯示的輸出,並儲存在 Copilot 服務中。 如需詳細資訊,請參閱 Microsoft Copilot for Security 中的隱私權和數據安全性。