Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Security Copilot est une solution de sécurité basée sur l’IA générative qui permet d’augmenter l’efficacité et les capacités du personnel de sécurité pour améliorer les résultats de sécurité à la vitesse et à l’échelle de la machine. Cette solution fournit une expérience de copilote fonctionnelle en langage naturel, qui aide les professionnels de la sécurité dans des scénarios de bout en bout comme la réponse aux incidents, la chasse aux menaces, la collecte de renseignements et la gestion de la posture. Pour plus d’informations sur ses capacités, consultez Qu’est ce que Microsoft Security Copilot ?
Bon à savoir avant de commencer
Si vous débutez avec Security Copilot, familiarisez-vous avec celui-ci en lisant ces articles :
- Qu’est-ce que Sécurité Microsoft Copilot ?
- Expériences Microsoft Sécurité Copilot
- Bien démarrer avec Microsoft Security Copilot
- Comprendre l’authentification dans Microsoft Security Copilot
- Invite dans Microsoft Security Copilot
Intégration de Security Copilot dans le Pare-feu Azure
Le Pare-feu Azure est un service de sécurité de pare-feu réseau intelligent et natif Cloud qui offre la meilleure protection contre les menaces pour vos charges de travail cloud s’exécutant dans Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud.
L’intégration de Security Copilot dans le Pare-feu Azure permet aux analystes d’effectuer des enquêtes détaillées sur le trafic malveillant intercepté par la fonctionnalité IDPS de leurs pare-feux sur l’ensemble de leur flotte en utilisant des questions en langage naturel.
Vous pouvez utiliser cette intégration dans deux expériences différentes :
Portail Security Copilot (expérience autonome)
Azure Copilot (expérience incorporée) dans le portail Azure :
Pour plus d’informations, consultez les expériences Microsoft Security Copilot et les fonctionnalités d’Azure Copilot.
Fonctionnalités clés
Security Copilot dispose de fonctionnalités système intégrées qui peuvent obtenir des données depuis les différents plug-ins activés.
Pour afficher la liste des fonctionnalités système intégrées du Pare-feu Azure, procédez de la manière suivante dans le portail Security Copilot :
Dans la barre de prompt, sélectionnez l’icône Prompts.
Sélectionnez Afficher toutes les fonctionnalités système.
La section Pare-feu Azure répertorie toutes les fonctionnalités disponibles que vous pouvez utiliser.
Activer l’intégration du Pare-feu Azure dans Security Copilot
Vérifiez que votre Pare-feu Azure est correctement configuré :
Journaux structurés du Pare-feu Azure : les Pare-feux Azure à utiliser avec Security Copilot doivent être configurés avec des journaux structurés spécifiques aux ressources pour IDPS et ces journaux doivent être envoyés à un espace de travail Log Analytics.
Contrôle d’accès en fonction du rôle pour le Pare-feu Azure : les utilisateurs utilisant le plug-in Pare-feu Azure dans Microsoft Security Copilot doivent disposer des rôles Contrôle d’accès en fonction du rôle Azure appropriés pour accéder au Pare-feu et aux espaces de travail Log Analytics associés.
Accédez à Security Copilot et connectez-vous avec vos informations d’identification.
Vérifiez que le plug-in Pare-feu Azure est activé. Dans la barre de prompt, sélectionnez l’icône Sources. Dans la fenêtre contextuelle Gérer les sources qui s’affiche, confirmez que le bouton bascule Pare-feu Azure est activé. Fermez ensuite la fenêtre. Aucune autre configuration n’est nécessaire. Tant que les journaux structurés sont envoyés à un espace de travail Log Analytics et que vous disposez des autorisations appropriées de contrôle d’accès en fonction du rôle, Copilot trouvera les données dont il a besoin pour répondre à vos questions.
Entrez votre invite dans la barre d’invite sur le portail Security Copilot ou via l’expérience Azure Copilot dans le portail Azure.
Important
L’utilisation d’Azure Copilot pour interroger le Pare-feu Azure est incluse dans Security Copilot et nécessite des unités de calcul de sécurité (SKU) . Vous pouvez déployer des SCU et les augmenter ou les diminuer à tout moment. Pour plus d’informations sur les SCU, consultez Prise en main de Microsoft Security Copilot. Si vous n’avez pas correctement configuré Security Copilot, mais posez une question pertinente pour les fonctionnalités du Pare-feu Azure via l’expérience Azure Copilot, un message d’erreur s’affiche.
Exemples de prompts pour le Pare-feu Azure
Il existe de nombreux prompts que vous pouvez utiliser pour obtenir des informations depuis le Pare-feu Azure. Cette section liste ceux qui fonctionnent le mieux à ce jour. Ils sont mis à jour en permanence, à mesure que de nouvelles fonctionnalités sont lancées.
Récupérer les principaux accès de signature IDPS pour un pare-feu Azure donné
Obtenez les informations de journal sur le trafic intercepté par la fonctionnalité IDPS au lieu de construire manuellement des requêtes KQL.
Exemples d’invites :
- Y a-t-il eu du trafic malveillant intercepté par mon pare-feu
<Firewall name>? - Quels sont les 20 principaux résultats IDPS des sept derniers jours pour le pare-feu
<Firewall name>dans le groupe<resource group name>de ressources ? - Montrez-moi sous forme de tableau les 50 principales attaques qui ont ciblé Firewall
<Firewall name>in subscription<subscription name>au cours du mois dernier.
Enrichir le profil de menace d’une signature IDPS au-delà des informations de journal
Obtenez des informations supplémentaires pour enrichir les informations et profils de menace d’une signature IDPS au lieu de les compiler manuellement.
Exemples d’invites :
Expliquez pourquoi IDPS a marqué le premier résultat en tant que gravité élevée et le cinquième résultat en tant que gravité limitée.
Que pouvez-vous me dire sur cette attaque ? Quelles sont les autres attaques pour laquelle cet attaquant est connu ?
Je vois que le troisième ID de signature est associé à CVE
<CVE number\>, dites-m’en plus sur cette CVE.Remarque
Le plug-in Microsoft Threat Intelligence est une autre source que Security Copilot peut utiliser pour fournir des informations sur les menaces pour les signatures IDPS.
Recherchez une signature IDPS donnée dans votre locataire, vos abonnements ou vos groupes de ressources
Effectuez une recherche à l’échelle de la flotte (sur n’importe quelle étendue) d’une menace sur tous vos pare-feu au lieu de rechercher la menace manuellement.
Exemples d’invites :
- L’ID de
<ID number\>signature n’a-t-il été arrêté que par ce pare-feu ? Qu’en est-il des autres sur l’ensemble de ce tenant ? - Le top hit a-t-il été vu par un autre pare-feu de l’abonnement
<subscription name>? - Au cours de la semaine écoulée, un pare-feu du groupe
<resource group name\>de ressources a-t-il vu l’ID de<ID number>signature ?
Générer des recommandations pour sécuriser votre environnement en utilisant la fonctionnalité IDPS du Pare-feu Azure
Obtenez des informations de la documentation sur l’utilisation de la fonctionnalité IDPS du Pare-feu Azure pour sécuriser votre environnement au lieu de devoir rechercher ces informations manuellement.
Exemples d’invites :
Comment faire pour me protéger contre les futures attaques de cet attaquant sur l’ensemble de mon infrastructure ?
Si je veux m’assurer que tous mes pare-feu Azure sont protégés contre les attaques à partir de l’ID
<ID number\>de signature, comment puis-je procéder ?Quelle est la différence de risque entre les modes alerte uniquement et alerte et blocage pour IDPS ?
Remarque
Security Copilot peut également utiliser la fonctionnalité Demander à Microsoft Documentation pour fournir ces informations et lorsque vous utilisez cette fonctionnalité via l’expérience Azure Copilot, la fonctionnalité Obtenir des informations peut être utilisée pour fournir ces informations.
Fournir des commentaires
Vos commentaires sont essentiels pour guider le développement actuel et planifié du produit. La meilleure façon de fournir ces commentaires est de le faire directement dans le produit.
Via Security Copilot
Sélectionnez Comment jugez-vous cette réponse ? en bas de chaque prompt terminé et choisissez l’une des options suivantes :
- Semble correcte : sélectionnez cette option si les résultats sont précis, d’après votre évaluation.
- Besoin d’amélioration : sélectionnez cette option si des détails dans les résultats sont incorrects ou incomplets, d’après votre évaluation.
- Inappropriée : sélectionnez cette option si les résultats contiennent des informations douteuses, ambiguës ou potentiellement dangereuses.
Pour chaque option de commentaires, vous pouvez fournir des informations supplémentaires dans la boîte de dialogue suivante. Dans la mesure du possible, et quand le résultat est Besoin d’amélioration, écrivez quelques mots expliquant comment améliorer les résultats. Si vous avez entré des invites spécifiques au Pare-feu Azure et que les résultats ne correspondent pas, incluez ces informations.
Grâce à Azure Copilot
Utilisez les boutons du pouce vers le haut et vers le bas en bas de chaque invite terminée. Pour chaque option d’avis, vous pouvez fournir des informations supplémentaires dans la boîte de dialogue suivante. Dans la mesure du possible, et particulièrement lorsque vous n’êtes pas satisfait de la réponse, écrivez quelques mots expliquant comment améliorer les résultats. Si vous avez entré des invites spécifiques au Pare-feu Azure et que les résultats ne correspondent pas, incluez ces informations.
Confidentialité et sécurité des données dans Securité Copilot
Lorsque vous interagissez avec Security Copilot via le portail Security Copilot ou l’expérience Azure Copilot pour obtenir des informations, Copilot extrait ces données à partir du Pare-feu Azure. Les prompts, les données récupérées et le résultat affiché dans les résultats du prompt sont traités et stockés dans le service Copilot. Pour plus d’informations, consultezConfidentialité et sécurité des données dans Microsoft Security Copilot.