Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Security Copilot to rozwiązanie bezpieczeństwa oparte na generatywnej sztucznej inteligencji, które pomaga zwiększać wydajność i zdolności personelu zabezpieczającego, aby poprawiać wyniki w zakresie bezpieczeństwa w tempie i skali działania maszyn. Zapewnia doświadczenie asystenta w naturalnym języku, wspomagającego profesjonalistów ds. bezpieczeństwa w kompleksowych scenariuszach, takich jak reakcja na incydenty, polowanie na zagrożenia, gromadzenie danych wywiadowczych i zarządzanie postawą bezpieczeństwa. Aby uzyskać więcej informacji na temat tego, co może zrobić, zobacz Czym jest Microsoft Security Copilot?
Co warto wiedzieć przed rozpoczęciem
Jeśli jesteś nowy w Security Copilot, powinieneś zapoznać się z nim, czytając te artykuły:
- Co to jest Microsoft Security Copilot?
- Doświadczenia z Microsoft Security Copilot
- Rozpocznij pracę z Microsoft Security Copilot
- Zrozumienie uwierzytelniania w Microsoft Security Copilot
- Inicjowanie w programie Microsoft Security Copilot
Integracja Security Copilot w zaporze Azure
Usługa Azure Firewall to nowoczesna, natywna w chmurze i inteligentna usługa zabezpieczająca firewall sieciowy, która zapewnia najwyższej klasy ochronę przed zagrożeniami dla twoich obciążeń w chmurze działających w Azure. Jest to w pełni stanowy firewall jako usługa z wbudowaną wysoką dostępnością i nieograniczoną skalowalnością w chmurze.
Integracja Azure Firewall w Security Copilot pomaga analitykom przeprowadzać szczegółowe dochodzenia w sprawie złośliwego ruchu przechwyconego przez funkcję IDPS w ich zaporach ogniowych w całej flocie, korzystając z pytań formułowanych w języku naturalnym.
Możesz korzystać z tej integracji w dwóch różnych doświadczeniach.
Security Copilot portal (samodzielne doświadczenie)
Azure Copilot (środowisko osadzone) w portalu Azure:
Aby uzyskać więcej informacji, zobacz Microsoft Security Copilot experiences and Azure Copilot capabilities (Środowiska rozwiązania Microsoft Security Copilot i możliwości rozwiązania Azure Copilot).
Kluczowe cechy
Security Copilot ma wbudowane funkcje systemowe, które mogą pobierać dane z różnych włączonych wtyczek.
Aby wyświetlić listę wbudowanych funkcji systemowych dla Azure Firewall, użyj następującej procedury na portalu Security Copilot:
W pasku podpowiedzi wybierz ikonę Podpowiedzi.
Wybierz Zobacz wszystkie możliwości systemu.
W sekcji Azure Firewall wymienione są wszystkie dostępne możliwości, które możesz wykorzystać.
Włącz integrację z zaporą Azure w Security Copilot
Upewnij się, że Twój Azure Firewall jest poprawnie skonfigurowany:
Azure Firewall Structured Logs – zapory sieciowe Azure, które mają być używane z Security Copilot, muszą być skonfigurowane z użyciem specyficznych dla zasobów strukturalnych logów dla IDPS i te logi muszą być przesyłane do obszaru roboczego Log Analytics.
Kontrola dostępu na podstawie ról dla Azure Firewall – użytkownicy korzystający z wtyczki Azure Firewall w Security Copilot muszą mieć odpowiednie role kontroli dostępu na podstawie ról Azure, aby uzyskać dostęp do zapory Firewall i powiązanych przestrzeni roboczych Log Analytics.
Przejdź do Security Copilot i zaloguj się za pomocą swoich poświadczeń.
Upewnij się, że wtyczka Azure Firewall jest włączona. Na pasku poleceń wybierz ikonę Źródła. W pojawiającym się oknie podręcznym Zarządzaj źródłami upewnij się, że przełącznik Azure Firewall jest włączony. Następnie zamknij okno. Nie jest potrzebna żadna inna konfiguracja. Tak długo, jak strukturalizowane logi są wysyłane do przestrzeni roboczej Log Analytics i masz odpowiednie uprawnienia dostępu oparte na rolach, Copilot znajduje dane potrzebne do odpowiedzi na Twoje pytania.
Wprowadź monit na pasku monitu w portalu Security Copilot lub za pośrednictwem Azure Copilot w portalu Azure.
Ważne
Korzystanie z rozwiązania Azure Copilot do wykonywania zapytań w usłudze Azure Firewall jest dołączone do rozwiązania Security Copilot i wymaga jednostek obliczeniowych zabezpieczeń (SCU). W dowolnym momencie można wdrażać SCU oraz zwiększać lub zmniejszać ich liczbę. Aby uzyskać więcej informacji o SCUs, zobacz Rozpocznij pracę z Microsoft Security Copilot. Jeśli nie masz prawidłowo skonfigurowanego rozwiązania Security Copilot, ale zadaj pytanie dotyczące możliwości usługi Azure Firewall za pośrednictwem środowiska usługi Azure Copilot, zostanie wyświetlony komunikat o błędzie.
Przykładowe polecenia Azure Firewall
Istnieje wiele monitów, których można użyć do uzyskania informacji z Azure Firewall. W tej sekcji wymieniono te, które działają najlepiej dzisiaj. Są stale aktualizowane w miarę wprowadzania nowych funkcji.
Pobieranie najważniejszych trafień sygnatury dostawcy tożsamości dla danej usługi Azure Firewall
Uzyskaj informacje o logach dotyczące ruchu przechwytywanego przez funkcję IDPS, zamiast ręcznie konstruować zapytania KQL.
przykładowe wskazówki:
- Czy zapora
<Firewall name>przechwyciła jakiś złośliwy ruch? - Jakie są 20 najczęściej występujących trafień systemu wykrywania i zapobiegania włamaniom z ostatnich siedmiu dni dla zapory
<Firewall name>w grupie zasobów<resource group name>? - Pokaż mi w formie tabelarycznej 50 najważniejszych ataków, które były wymierzone w zaporę
<Firewall name>w ciągu ostatniego miesiąca w subskrypcji<subscription name>.
Wzbogacić profil zagrożeń sygnatury IDPS o dodatkowe informacje poza dziennikami
Uzyskaj dodatkowe szczegóły, aby wzbogacić informacje/profil zagrożeń w sygnaturze IDPS, zamiast tworzyć je samodzielnie ręcznie.
przykładowe wskazówki:
Wyjaśnij, dlaczego system wewnętrznie przesiedleńców oznaczył główne trafienie jako zdarzenie o wysokiej wadze, a piąte jako o niskiej wadze.
Co możesz mi powiedzieć o tym ataku? Jakie inne ataki są przypisywane temu atakującemu?
Widzę, że trzeci identyfikator podpisu jest skojarzony z CVE
<CVE number\>. Poinformuj mnie więcej o tym CVE.Uwaga
Wtyczka Analizy zagrożeń firmy Microsoft to inne źródło, które może być używane przez rozwiązanie Security Copilot w celu zapewnienia analizy zagrożeń dla podpisów IDPS.
Poszukaj danej sygnatury IDPS w swojej dzierżawie, subskrypcjach lub grupach zasobów.
Wykonuj wyszukiwanie w całej flocie (w dowolnym zakresie) w poszukiwaniu zagrożenia we wszystkich zaporach sieciowych, zamiast szukać zagrożenia ręcznie.
przykładowe wskazówki:
- Czy identyfikator podpisu
<ID number\>został zablokowany tylko przez tę jedną zaporę? A co z innymi osobami w całej tej dzierżawie? - Czy w subskrypcji
<subscription name>był widoczny pierwszy trafiony przez inną zaporę? - W ciągu ostatniego tygodnia czy zapora w grupie zasobów
<resource group name\>widziała identyfikator podpisu<ID number>?
Generowanie zaleceń dotyczących zabezpieczania środowiska przy użyciu funkcji dostawcy tożsamości Azure Firewall
Pobierz informacje z dokumentacji na temat korzystania z funkcji IDPS w Azure Firewall, aby zabezpieczyć swoje środowisko, zamiast szukać tych informacji ręcznie.
przykładowe wskazówki:
Jak mogę chronić się przed przyszłymi atakami ze strony tego napastnika w całej mojej infrastrukturze?
Jeśli chcę upewnić się, że wszystkie moje zapory Azure są chronione przed atakami z identyfikatora podpisu
<ID number\>, jak to osiągnąć?Jaka jest różnica w ryzyku między trybem tylko ostrzegania a trybem ostrzegania i blokowania dla IDPS?
Uwaga
Narzędzie Security Copilot może również korzystać z funkcji Zapytaj dokumentację Microsoft, aby udostępnić te informacje. Gdy ta funkcja jest używana w ramach środowiska Azure Copilot, można także zastosować funkcję Uzyskiwanie informacji do ich udostępnienia.
Udziel opinii
Twoja opinia jest kluczowa, aby ukierunkować bieżący i planowany rozwój produktu. Najlepszym sposobem na przekazanie tej opinii jest zrobienie tego bezpośrednio w produkcie.
Przez Security Copilot
Wybierz Jak wygląda ta odpowiedź? na dole każdego ukończonego promptu i wybierz jedną z następujących opcji:
- Wygląda dobrze - Wybierz, jeśli wyniki są dokładne, na podstawie twojej oceny.
- Wymaga poprawy - Wybierz, jeśli jakiekolwiek szczegóły w wynikach są niepoprawne lub niekompletne, na podstawie Twojej oceny.
- Nieodpowiednie — wybierz, czy wyniki zawierają wątpliwe, niejednoznaczne lub potencjalnie szkodliwe informacje.
Dla każdej opcji sprzężenia zwrotnego możesz podać dodatkowe informacje w kolejnym oknie dialogowym. Kiedy tylko to możliwe, a szczególnie kiedy wynik to Wymaga poprawy, napisz kilka słów wyjaśniających, jak można poprawić wynik. Jeśli wprowadziłeś podpowiedzi specyficzne dla Azure Firewall i wyniki nie są z tym związane, dołącz te informacje.
Za pośrednictwem usługi Azure Copilot
Użyj przycisków like i dislike na dole każdego ukończonego promptu. W przypadku obu opcji opinii możesz podać dodatkowe informacje w następnym oknie dialogowym. Kiedykolwiek to możliwe, a szczególnie wtedy, gdy nie podoba ci się odpowiedź, napisz kilka słów wyjaśniających, jak można poprawić wynik. Jeśli wprowadziłeś podpowiedzi specyficzne dla Azure Firewall i wyniki nie są z tym związane, dołącz te informacje.
Prywatność i bezpieczeństwo danych w Security Copilot
W przypadku interakcji z rozwiązaniem Security Copilot za pośrednictwem portalu Security Copilot lub środowiska platformy Azure Copilot w celu uzyskania informacji narzędzie Copilot ściąga te dane z usługi Azure Firewall. Monity, uzyskane dane oraz wyniki widoczne w wynikach monitów są przetwarzane i przechowywane w ramach usługi Copilot. Aby uzyskać więcej informacji, zobacz Prywatność i bezpieczeństwo danych w Microsoft Security Copilot.