Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Security Copilot est une plateforme IA basée sur le cloud qui offre une expérience de copilote en langage naturel. Il peut aider les professionnels de la sécurité dans différents scénarios, tels que la réponse aux incidents, le repérage de cybermenaces et la collecte de renseignements. Pour plus d’informations, consultez Qu’est-ce que Microsoft Security Copilot ?
L’intégration du pare-feu d’applications web Azure (WAF) dans Microsoft Security Copilot permet d’examiner en profondeur les événements WAF Azure. Il peut vous aider à examiner les journaux WAF déclenchés par le Pare-feu d’applications web Azure en quelques minutes et à fournir des vecteurs d’attaque associés en utilisant des réponses en langage naturel produites à la vitesse de la machine. Il offre une visibilité sur le paysage des menaces de votre environnement. Il vous permet de récupérer une liste des règles WAF les plus fréquemment déclenchées et d’identifier les adresses IP les plus problématiques dans votre environnement.
L’intégration de Microsoft Security Copilot est prise en charge sur azure WAF sur Azure Application Gateway et azure WAF sur Azure Front Door.
Savoir avant de commencer
Si vous débutez avec Microsoft Security Copilot, lisez les articles suivants pour vous familiariser avec ses fonctionnalités :
- Qu’est-ce que Microsoft Security Copilot ?
- Expériences Microsoft Security Copilot
- Bien démarrer avec Microsoft Security Copilot
- Comprendre l’authentification dans Microsoft Security Copilot
- Invite dans Microsoft Security Copilot
Intégration de Microsoft Security Copilot dans azure WAF
Cette intégration prend en charge l’expérience autonome et est accessible via https://securitycopilot.microsoft.com. Il s’agit d’une expérience de conversation que vous pouvez utiliser pour poser des questions et obtenir des réponses sur vos données. Pour plus d’informations, consultez Expériences Microsoft Security Copilot.
Fonctionnalités clés
L’intégration du Pare-feu d’applications web Azure dans Microsoft Security Copilot offre plusieurs fonctionnalités puissantes pour vous aider à analyser et à comprendre votre posture de sécurité. Ces fonctionnalités utilisent l’IA pour traduire des journaux du WAF complexes en connaissances exploitables, grâce à des réponses en langage naturel.
Fournir une liste des principales règles WAF Azure déclenchées dans l’environnement du client et générer un contexte détaillé avec des vecteurs d’attaque associés.
Cette fonctionnalité fournit des détails sur les règles WAF Azure déclenchées en raison d’un blocage effectué par WAF. Elle fournit une liste des règles triée en fonction de la fréquence des déclencheurs dans la période souhaitée. L’analyse traite les journaux Pare-feu d’applications web Azure (WAF) et connecte les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une demande particulière a été bloquée.
Fournir une liste des adresses IP malveillantes dans l’environnement du client et générer les menaces associées.
Cette fonctionnalité fournit des détails sur les adresses IP clientes bloquées par le WAF Azure. L’analyse traite les journaux Pare-feu d’applications web Azure (WAF) et connecte les journaux associés sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre des adresses IP bloquées par le WAF et la raison des blocages.
Résumé des attaques d’injection SQL (SQLi).
Cette fonctionnalité fournit des détails sur les attaques par injection SQL (SQLi) qui ont été bloquées par azure WAF. En analysant les journaux d’activité Azure WAF et en mettant en corrélation les données associées sur une période spécifique, cette compétence fournit une explication de langage naturel facile à comprendre de la raison pour laquelle les demandes SQLi ont été bloquées.
Résumé des attaques par scripting inter-site (XSS).
Cette compétence Azure WAF vous aide à comprendre pourquoi Azure WAF bloque les attaques par script intersites (XSS) sur les applications web. La compétence analyse les journaux d’activité Azure WAF et connecte les incidents connexes sur une période spécifique. Le résultat est une explication en langage naturel facile à comprendre de la raison pour laquelle une demande XSS a été bloquée.
Activer l’intégration d’Azure WAF dans Security Copilot
Pour activer l’intégration, procédez comme suit :
- Vérifiez que vous disposez au moins des autorisations de contributeur Copilot.
- Ouvrez https://securitycopilot.microsoft.com/.
- Ouvrez le menu Security Copilot.
- Ouvrez Sources dans la barre de prompt.
- Dans la page Plug-ins, définissez le bouton bascule d’Azure Web Application Firewall sur Activé.
- Sélectionnez les paramètres du plug-in Pare-feu d’applications web (WAF) Azure afin de configurer l’espace de travail Log Analytics pour le WAF Azure Front Door ou le WAF Azure Application Gateway.
- Pour commencer à utiliser les compétences, utilisez la barre de prompt.
Exemples de prompts Azure WAF
Vous pouvez créer vos propres commandes dans Microsoft Security Copilot pour analyser les attaques basées sur les logs de la passerelle de sécurité WAF. Cette section contient quelques idées et des exemples.
Avant de commencer
Soyez clair et précis dans vos requêtes. Vous pouvez obtenir de meilleurs résultats si vous incluez des ID/noms d’appareil spécifiques, des noms d’application ou des noms de stratégie dans vos requêtes.
Elle peut également vous aider à ajouter WAF à votre prompt. Exemple :
- Y a-t-il eu des attaques par injection de code SQL dans mon WAF régional au cours de la dernière journée ?
- Je voudrais en savoir plus sur les principales règles déclenchées dans mon WAF global
Faites des essais avec différentes invites et variantes pour voir ce qui convient le mieux à votre cas d’utilisation. Les modèles IA de conversation varient : vous devez donc itérer et affiner vos prompts en fonction des résultats obtenus. Pour obtenir de l’aide sur la rédaction de prompts efficaces, consultez Créer vos propres prompts.
Les exemples de prompts suivants peuvent vous être utiles.
Résumer les informations sur les attaques par injection de code SQL
- Y a-t-il eu une attaque par injection de code SQL dans mon WAF global au cours de la dernière journée ?
- Me montrer les adresses IP liées à la principale attaque par injection de code SQL dans mon WAF global
- Me montrer toutes les attaques par injection de code SQL dans le WAF régional au cours des dernières 24 heures
Résumer les informations sur les attaques par scripting inter-site
- Une attaque XSS a-t-elle été détectée dans mon WAF Application Gateway au cours des 12 dernières heures ?
- Me montrer la liste de toutes les attaques XSS dans mon WAF Azure Front Door
Générer une liste de menaces dans mon environnement en fonction des règles WAF
- Quelles ont été les principales règles du WAF global déclenchées au cours des 24 dernières heures ?
- Quelles sont les principales menaces liées à la règle WAF dans mon environnement ? <entrer l’ID de règle>
- Y a-t-il eu des attaques par bot dans mon WAF régional au cours de la dernière journée ?
- Résumez les blocages de règles personnalisées déclenchés par le WAF Azure Front Door au cours de la dernière journée.
Générer une liste de menaces dans mon environnement en fonction des adresses IP malveillantes
- Quelle a été la principale adresse IP incriminée dans le WAF régional au cours de la dernière journée ?
- Résumer la liste des adresses IP malveillantes dans mon WAF Azure Front Door au cours des six dernières heures
Fournir des commentaires
Vos commentaires sur l’intégration d’Azure WAF à Microsoft Security Copilot aident au développement. Pour fournir des commentaires dans Copilot, sélectionnez Comment jugez-vous cette réponse ? en bas de chaque requête terminée et choisissez l’une des options suivantes :
- Semble correcte : sélectionnez cette option si les résultats sont précis, d’après votre évaluation.
- À améliorer : sélectionnez cette option si des détails dans les résultats sont incorrects ou incomplets, d’après votre évaluation.
- Inappropriée : sélectionnez cette option si les résultats contiennent des informations douteuses, ambiguës ou potentiellement dangereuses.
Pour chaque élément de commentaire, vous pouvez fournir plus d’informations dans la boîte de dialogue qui s’affiche ensuite. Dans la mesure du possible, et quand le résultat est « À améliorer », écrivez quelques mots expliquant ce que nous pouvons faire pour améliorer le résultat.
Limite
Si vous migrez vers des tables dédiées dans Azure Log Analytics de la version Application Gateway WAF V2, les compétences WAF de Microsoft Security Copilot ne fonctionnent pas. À titre de solution de contournement temporaire, activez Diagnostics Azure comme table de destination en plus de la table spécifique à la ressource.
Application Gateway pour conteneurs WAF : Application Gateway pour conteneurs WAF ne prend pas en charge Security Copilot.
Confidentialité et sécurité des données dans Microsoft Security Copilot
Pour comprendre comment Microsoft Security Copilot gère vos invites et les données récupérées à partir du service (sortie d’invite), consultez Confidentialité et sécurité des données dans Microsoft Security Copilot.