Microsoft Copilot for Security 中的 Azure Web 應用程式防火牆 整合 (預覽)
重要
Microsoft Copilot for Security 中的 Azure Web 應用程式防火牆 整合目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
「Microsoft 安全性 Copilot」是一種雲端式 AI 平台,可提供自然語言 Copilot 體驗。 它可以協助支援不同案例中的安全性專業人員,例如事件回應、威脅搜捕和情報收集。 如需詳細資訊,請參閱 什麼是 Microsoft Copilot for Security?
Microsoft Copilot for Security 中的 Azure Web 應用程式防火牆 (WAF) 整合可讓您深入調查 Azure WAF 事件。 它可協助您在幾分鐘內調查由 Azure WAF 觸發的 WAF 記錄,並以電腦速度使用自然語言回應提供相關的攻擊媒介。 它可讓您掌握環境的威脅形勢。 它可讓您擷取最常觸發的 WAF 規則清單,並識別您環境中最具冒犯性的 IP 位址清單。
Microsoft Azure WAF 與 Azure 應用程式閘道 整合和與 Azure Front Door 整合的 Azure WAF 都支援適用於安全性的 Copilot。
開始之前的須知事項
如果您不熟悉 Microsoft Copilot for Security,您應該閱讀下列文章來熟悉它:
- 什麼是 Microsoft Copilot for Security?
- Microsoft Copilot for Security 體驗
- 開始使用 Microsoft Copilot for Security
- 了解 Microsoft Copilot for Security 中的驗證
- 在 Microsoft Copilot for Security 中提示
azure WAF 中Microsoft Copilot for Security 整合
此整合支援獨立體驗,並可透過存取 https://securitycopilot.microsoft.com。 這是類似聊天的體驗,可讓您用來詢問問題並取得數據的解答。 如需詳細資訊,請參閱 Microsoft Copilot for Security 體驗。
主要功能
Azure WAF 中的預覽獨立體驗可協助您:
提供客戶環境中觸發的最上層 Azure WAF 規則清單,以及產生具有相關攻擊媒介的深度內容。
這項功能提供因 WAF 區塊而觸發的 Azure WAF 規則詳細數據。 它會根據所需時間週期中的觸發程序頻率,提供規則的排序列表。 其方式是分析 Azure WAF 記錄,並連接特定時段的相關記錄。 結果是容易理解的自然語言說明為何封鎖特定要求。
提供客戶環境中的惡意 IP 位址清單,並產生相關的威脅。
此功能提供有關 Azure WAF 封鎖之用戶端 IP 位址的詳細數據。 其方式是分析 Azure WAF 記錄,並連接特定時段的相關記錄。 結果是容易理解的自然語言說明,其中IP位址已封鎖WAF,以及區塊的原因。
摘要 SQL 插入式 (SQLi) 攻擊。
此 Azure WAF 技能可讓您深入了解為何會封鎖 Web 應用程式的 SQL 插入式攻擊 (SQLi) 攻擊。 其方式是分析 Azure WAF 記錄,並連接特定時段的相關記錄。 結果是容易理解的自然語言說明為何封鎖 SQLi 要求。
摘要跨網站指令碼 (XSS) 攻擊。
此 Azure WAF 技能可協助您了解為什麼 Azure WAF 封鎖 Web 應用程式的跨網站腳本(XSS) 攻擊。 其方式是分析 Azure WAF 記錄,並連接特定時段的相關記錄。 結果是容易理解的自然語言說明,說明為何封鎖 XSS 要求。
在 Copilot for Security 中啟用 Azure WAF 整合
若要啟用整合,請遵循下列步驟:
- 請確定您至少有 Copilot 參與者許可權。
- 開啟 [https://securitycopilot.microsoft.com/]。
- 開啟 [Copilot for Security] 功能表。
- 提示列中的開放原始碼。
- 在 [外掛程式] 頁面上,將 [Azure Web 應用程式防火牆] 切換為 [開啟]。
- 選取 Azure Web 應用程式防火牆 外掛程式上的 [設定],以設定 Log Analytics 工作區、Log Analytics 訂用帳戶標識碼,以及 Azure Front Door WAF 和/或 Azure 應用程式閘道 WAF 的 Log Analytics 資源組名。 您也可以設定 應用程式閘道 WAF 原則 URI 和/或 Azure Front Door WAF 原則 URI。
- 若要開始使用技能,請使用提示列。
範例 Azure WAF 提示
您可以在 Microsoft Copilot for Security 中建立自己的提示,以根據 WAF 記錄對攻擊執行分析。 本節說明一些想法和範例。
開始之前
您的提示務必清楚且明確。 如果您在提示中包括特定裝置識別碼/名稱、應用程式名稱或原則名稱,可能可以獲得更好的結果。
它也可能有助於將 WAF 新增至您的提示。 例如:
- 前一天我的地區 WAF 中是否有任何 SQL 插入式攻擊?
- 深入瞭解在全域 WAF 中觸發的最上層規則
嘗試不同的提示和變化,以查看最適合您使用案例的方式。 聊天 AI 模型會有所不同,因此會根據您收到的結果逐一查看並精簡您的提示。如需撰寫有效提示的指引,請參閱建立您自己的提示。
下列範例提示可能會很有説明。
摘要說明 SQL 插入式攻擊的相關信息
- 前一天我的全域 WAF 中是否有 SQL 插入式攻擊?
- 顯示與全域 WAF 中最高 SQL 插入式攻擊相關的 IP 位址
- 顯示過去 24 小時內區域 WAF 中的所有 SQL 插入式攻擊
摘要說明跨網站腳本攻擊的相關信息
- 過去 12 小時內,我的 AppGW WAF 中偵測到任何 XSS 攻擊嗎?
- 顯示 Azure Front Door WAF 中所有 XSS 攻擊的清單
根據 WAF 規則在我的環境中產生威脅清單
- 過去 24 小時內觸發的全域 WAF 規則為何?
- 我環境中的 WAF 規則有哪些主要威脅? <輸入規則識別碼>
- 前一天我的地區 WAF 是否有任何 Bot 攻擊?
- 摘要說明 Azure Front Door WAF 在過去一天觸發的自定義規則區塊。
根據惡意IP位址在我的環境中產生威脅清單
- 前一天地區 WAF 最有罪的 IP 是什麼?
- 摘要列出過去六小時內我的 Azure Front Door WAF 中的惡意 IP 位址清單?
提供意見反應
您對 Azure WAF 與 Microsoft Copilot for Security 整合的意見反應有助於開發。 若要在 Copilot 中提供意見反應,請選取 [回應方式] ? 在每個已完成提示的底部,然後選擇下列任一選項:
- 看起來正確 - 根據您的評量,選取結果是否正確。
- 需要改進 - 根據您的評量,選取結果中是否有任何詳細數據不正確或不完整。
- 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取 。
針對每個意見反應專案,您可以在出現的下一個對話框中提供詳細資訊。 盡可能,當結果為需要改進時,請撰寫一些文字來說明如何改善結果。
限制
如果您已移轉至 應用程式閘道 WAF V2 版本中的 Azure Log Analytics 專用數據表,則安全性 WAF 技能Microsoft Copilot 無法運作。 作為暫時的因應措施,除了資源特定數據表之外,請啟用 Azure 診斷 做為目的地數據表。
Microsoft Copilot for Security 中的隱私權和數據安全性
若要瞭解 Microsoft Copilot for Security 如何處理您的提示,以及從服務擷取的數據(提示輸出),請參閱 Microsoft Copilot for Security 中的隱私權和數據安全性。