Microsoft 安全性 Copilot 中的 Sentinel 事件
Microsoft Copilot for Security 這個平台可協助您以機器速度和規模保護您的組織。 Microsoft Sentinel 提供適用於 Copilot 的外掛程式,以協助分析事件並產生搜捕查詢。
使用您啟用的其他複雜 Copilot for Security 來源搭配反覆提示,您的 Microsoft Sentinel 事件和資料可為貴組織提供更廣泛的威脅及其內容可見度。
如需 Copilot for Security 的詳細資訊,請參閱下列文章:
- 開始使用 Microsoft Copilot for Security
- 在 Microsoft Copilot for Security 中管理外掛程式
- 了解 Microsoft Copilot for Security 中的驗證
整合 Microsoft Sentinel 與 Copilot for Security
Microsoft Sentinel 提供兩個外掛程式來與 Copilot for Security 整合:
- Microsoft Sentinel (預覽)
- Microsoft Sentinel 的自然語言至 KQL (預覽)。
重要
「Microsoft Sentinel」和「Microsoft Sentinel 的自然語言至 KQL」外掛程式目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
設定預設 Microsoft Sentinel 工作區
將 Microsoft sentinel 工作區設定為預設值,以增加提示正確性。
在 https://securitycopilot.microsoft.com/ 瀏覽至 Copilot for Security。
在提示列中開啟 Sources
。在 [管理外掛程式] 頁面上,將切換設定為 [開啟]
選取 Microsoft Sentinel (預覽) 外掛程式上的齒輪圖示。
設定預設工作區名稱。
提示
當工作區不符合所設定的預設值時,請在提示中指定工作區。
範例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
整合 Microsoft Sentinel 與 Copilot in Defender
使用整合安全性作業平台搭配 Microsoft Sentinel 資料,以取得內嵌的 Copilot for Security 體驗。 Microsoft Sentinel 在 Defender 入口網站中的整合事件可讓 Copilot in Defender 搭配Microsoft Sentinel 資料使用其功能。
例如:
- SAP (預覽) 解決方案會安裝在工作區中,以供 Microsoft Sentinel 使用。
- SAP - (預覽) 從惡意 IP 位址下載的檔案的近乎即時規則會觸發警示,並建立 Microsoft Sentinel 事件。
- Microsoft Sentinel 已新增至整合安全性作業平台。
- Microsoft Sentinel 事件現在已與 Defender 全面偵測回應事件整合。
- 在 Microsoft Defender 中使用 Copilot 進行事件摘要、引導式回應和事件報告。
如需詳細資訊,請參閱以下資源:
在進階搜捕中整合 Microsoft Sentinel 與 Copilot for Security
Microsoft Sentinel (預覽) 外掛程式的自然語言對 KQL 會使用 Microsoft Sentinel 資料產生並執行 KQL 搜捕查詢。 此功能可在 Microsoft Defender 入口網站的獨立體驗和進階搜捕區段中取得。
注意
在整合 Microsoft Defender 入口網站中,您可以提示 Copilot for Security 針對 Defender 全面偵測回應和 Microsoft Sentinel 資料表產生進階搜捕查詢。 目前並不支援所有 Microsoft Sentinel 資料表,但這些資料表未來預期可獲得支援。
如需詳細資訊,請參閱進階搜捕中的 Copilot for Security。
改善您的 Microsoft Sentinel 提示
請考慮 Microsoft Sentinel 事件調查提示集做為建立有效提示的起點。 此提示集會提供特定事件的相關報告,以及相關的警示、信譽分數、使用者和裝置。
| 指引 | 提示 |
|---|---|
| 提示 Copilot 可提供人類可讀取的資訊,而不是以物件識別碼回應。 | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot 知道您的身分。 使用「me」代名詞來尋找與您相關的事件。 下列提示會將指派給您的事件設為目標。 | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| 當您將提示回應縮小為單一事件時,Copilot 就會知道內容。 | Tell me about the entities associated with that incident. |
| Copilot 擅長摘要。 描述您要摘要說明提示和回應的特定物件。 | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
如需更多提示指引和範例,請參閱下列資源: