分享方式:

microsoft Copilot for Security 中的 Azure 防火牆 整合 (預覽)

  • 文章

重要

Microsoft Copilot for Security 中的 Azure 防火牆 整合目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

Microsoft Copilot for Security 是一種以 AI 為基礎的安全性解決方案,可協助提升安全性人員的效率與功能,以提升機器速度和規模的安全性成果。 它提供自然語言、輔助輔助的警察體驗,協助支援安全性專業人員在事件回應、威脅搜捕、情報收集及狀態管理等端對端案例中。 如需其功能的詳細資訊,請參閱 什麼是 Microsoft Copilot for Security?

Copilot for Security 與 Azure 防火牆 整合

Azure 防火牆 是雲端原生和智慧型手機網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供最佳的品種威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。

Azure 防火牆 整合可協助分析師使用 Copilot for Security 獨立體驗中的自然語言問題,針對其防火牆的 IDPS 和/或威脅情報功能攔截的惡意流量執行詳細調查。

本文介紹 Copilot,並包含可協助 Azure 防火牆 使用者的範例提示。

開始之前的須知事項

  • 您可以在 Copilot for Security 入口網站中使用 Copilot for Security 中的 Azure 防火牆 整合。 如需詳細資訊,請參閱 Microsoft Copilot for Security 體驗

  • 您的提示務必清楚且明確。 如果您在提示中包含特定時間範圍、資源和威脅,可能會取得更好的結果。 如果您將 Azure 防火牆 新增至提示,也可能有所説明。

  • 使用本文中的範例提示來協助引導您與 Copilot 的互動。

  • 嘗試不同的提示和變化,以查看最適合您使用案例的方式。 聊天 AI 模型各有不同,因此請根據您收到的結果來逐一查看並精簡您的提示。

  • Copilot for Security 會儲存您的提示會話。 若要查看先前的會話,請從 [Copilot 首頁] 功能表移至 [我的會話]。

    Microsoft Copilot for Security Home 功能表的部分螢幕快照,其中已醒目提示 [我的會話]。

    注意

    如需 Copilot 逐步解說,包括釘選和共用功能,請參閱 流覽 Microsoft Copilot for Security

如需撰寫有效 Copilot for Security 提示的詳細資訊,請參閱 建立有效的提示

在 Copilot for Security 獨立入口網站中使用 Azure 防火牆 整合

  1. 請確定您的 Azure 防火牆 已正確設定:

    • Azure 結構化防火牆記錄 – 要與 Copilot for Security 搭配使用的 Azure 防火牆 必須設定為 IDPS 的資源特定結構化記錄,而且這些記錄必須傳送至 Log Analytics 工作區。
    • Azure 防火牆 的角色型 存取控制 – 在 Copilot for Security 中使用 Azure 防火牆 外掛程式的用戶必須具有適當的 Azure RBAC 角色,才能存取防火牆和相關聯的 Log Analytics 工作區。。

  2. 移至 Microsoft Copilot for Security ,並使用您的認證登入。

  3. 確定已開啟 Azure 防火牆 外掛程式。 在提示列中,選取 [來源] 圖示。

    Microsoft Copilot for Security 中提示列的螢幕快照,其中已醒目提示 [來源] 圖示。

    在出現的 [管理來源] 彈出視窗中,確認已開啟 Azure 防火牆 切換,然後關閉視窗。

    顯示 Azure 防火牆 外掛程式的螢幕快照。

    注意

    某些角色可以開啟或關閉外掛程式,例如 Azure 防火牆。 如需詳細資訊,請參閱 管理 Microsoft Copilot for Security 中的外掛程式。

  4. 在提示列中輸入您的提示。

內建系統功能

Copilot for Security 具有內建系統功能,可從開啟的不同外掛程式取得數據。

若要檢視 Azure 防火牆 的內建系統功能清單,請使用下列程式:

  1. 在提示列中,選取 [提示] 圖示。

    Microsoft Copilot for Security 中提示列的螢幕快照,其中已醒目提示提示圖示。

  2. 選取 [查看所有系統功能]。 [Azure 防火牆]段會列出您可以使用的所有可用功能。

範例提示 Azure 防火牆

您可以使用許多提示從 Azure 防火牆 取得資訊。 本節列出目前最能運作的章節。 隨著新功能的啟動,它們會持續更新。

擷取 Azure 防火牆 的熱門 IDPS 簽章叫用

取得 IDPS 功能攔截的流量記錄資訊 ,而不是手動建構 KQL 查詢。

範例提示:

  • 我的防火牆 <防火牆名稱>是否有攔截到任何惡意流量?
  • 針對資源組<>名中的防火牆防火牆<名稱>,過去 7 天前 20 個 IDPS 命中有哪些?
  • 以表格式顯示我過去一個月的訂用帳戶名稱中鎖定防火牆<防火牆名稱>>的前 50 個攻擊。<

擴充記錄資訊以外的IDPS簽章威脅配置檔

取得 其他詳細數據 ,以擴充IDPS簽章的威脅資訊/配置檔,而不是手動編譯。

範例提示:

  • 說明為什麼 IDPS 將最高點擊標示為高嚴重性,而第五次命中則標示為低嚴重性。
  • 你能告訴我關於這次攻擊什麼? 此攻擊者已知的其他攻擊為何?
  • 我看到第三個簽章標識碼與 CVE <CVE 號碼>相關聯,請告訴我有關此 CVE 的詳細資訊。

注意

Microsoft Defender 威脅情報 外掛程式是 Copilot for Security 可用來提供 IDPS 簽章威脅情報的另一個來源。

在您的租用戶、訂用帳戶或資源群組中尋找指定的IDPS簽章

針對所有防火牆的威脅執行全車隊搜尋(在任何範圍內),而不是手動搜尋威脅。

範例提示:

  • 簽章標識碼 <標識碼> 只有此一個防火牆停止嗎? 整個租使用者中的其他人呢?
  • 訂用帳戶訂用帳戶名稱><任何其他防火牆是否已看到頂端點擊?
  • 過去一周,資源組<名>中的任何防火牆都看到簽章標識碼<標識碼>嗎?

使用 Azure 防火牆的 IDPS 功能產生保護環境的建議

使用 Azure 防火牆 IDPS 功能來保護環境,而不必手動查閱此資訊的檔取得資訊。

範例提示:

  • 如何? 保護自己免受整個基礎結構中此攻擊者的未來攻擊?
  • 如果我想確定所有防火牆都受到保護,以防止來自簽章 <標識碼>的攻擊,如何執行這項操作?
  • 只有警示和IDPS的警示和封鎖模式之間的風險有何差異?

注意

Copilot for Security 也可以使用 Ask Microsoft 檔功能,提供有關如何使用 Azure 防火牆 IDPS 功能來保護環境的資訊。

提供意見反應

您的意見反應對於引導產品的目前和計劃開發至關重要。 提供此意見反應的最佳方式是直接在產品中。 選取 每個已完成提示底部的 [回應方式? ],然後選擇下列任一選項:

  • 看起來正確 - 根據您的評量,選取結果是否正確。
  • 需要改進 - 根據您的評量,選取結果中是否有任何詳細數據不正確或不完整。
  • 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取 。

針對每個意見反應選項,您可以在出現的下一個對話框中提供詳細資訊。 盡可能,特別是當結果為 需要改進時,請撰寫一些文字來說明如何改善結果。 如果您輸入了 Azure 防火牆 特定的提示,且結果不相關,請包含該資訊。

資料處理與隱私權

當您與 Copilot for Security 互動以取得 Azure 防火牆 數據時,Copilot 會從 Azure 防火牆 提取該數據。 系統會處理提示、擷取的數據,以及提示結果中顯示的輸出,並儲存在 Copilot 服務中。 如需詳細資訊,請參閱 Microsoft Copilot for Security 中的隱私權和數據安全性

相關內容