Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Security Copilot to platforma, która pomaga bronić organizacji przy szybkości i skali maszyny. Ogromne dane zabezpieczeń usługi Microsoft Sentinel stanowią doskonałe źródło dla Copilota, które ułatwia analizowanie zdarzeń i generowanie zapytań wyszukiwania zagrożeń.
Wraz z innymi włączonymi źródłami rozwiązania Security Copilot zdarzenia i dane usługi Microsoft Sentinel zapewniają szerszy wgląd w zagrożenia i ich kontekst dla organizacji.
Przed rozpoczęciem
Jeśli dopiero zaczynasz korzystać z rozwiązania Security Copilot, zapoznaj się z nim, czytając następujące artykuły:
- Co to jest Microsoft Security Copilot?
- Doświadczenia Microsoft Security Copilot
- Wprowadzenie do rozwiązania Microsoft Security Copilot
- Omówienie uwierzytelniania w rozwiązaniu Microsoft Security Copilot
- Inicjowanie w programie Microsoft Security Copilot
Integracja rozwiązania Security Copilot z usługą Microsoft Sentinel
Ta integracja obsługuje przede wszystkim środowisko autonomiczne dostępne za pośrednictwem https://securitycopilot.microsoft.comprogramu , w którym wchodzisz w interakcję w środowisku przypominającym czat, aby podsumować zdarzenia i uzyskać inne odpowiedzi na temat danych zabezpieczeń. Aby uzyskać więcej informacji, zobacz Microsoft Security Copilot experiences (Doświadczenia z Microsoft Security Copilot).
Kluczowe cechy i funkcje
Dane usługi Microsoft Sentinel integrują się z rozwiązaniem Security Copilot w portalu usługi Defender w następujący sposób:
- Jeśli masz również Microsoft Defender XDR, Copilot w Microsoft Defender XDR korzysta z ujednoliconych incydentów zintegrowanych z Microsoft Sentinel.
- W autonomicznym środowisku usługa Microsoft Sentinel udostępnia następujące wtyczki do integracji z rozwiązaniem Security Copilot:
Microsoft Sentinel (wersja zapoznawcza)
Język naturalny na KQL w Microsoft Sentinel (wersja zapoznawcza).
Włączanie integracji rozwiązania Security Copilot z usługą Microsoft Sentinel
Aby zmaksymalizować integrację rozwiązania Security Copilot z usługą Microsoft Sentinel, wykonaj następujące czynności:
- Konfigurowanie domyślnego obszaru roboczego usługi Microsoft Sentinel dla rozwiązania Security Copilot
- łączenie obszaru roboczego usługi Microsoft Sentinel z usługą Microsoft Defender XDR
Konfigurowanie domyślnego obszaru roboczego usługi Microsoft Sentinel
Zwiększ dokładność monitu, konfigurując obszar roboczy usługi Microsoft Sentinel jako domyślny.
Przejdź do pozycji Security Copilot pod adresem https://securitycopilot.microsoft.com/.
Otwórz źródła
na pasku monitu.Na stronie Zarządzanie wtyczkami ustaw przełącznik na Wł.
Wybierz ikonę koła zębatego w wtyczki Microsoft Sentinel (wersja zapoznawcza).
Skonfiguruj domyślną nazwę obszaru roboczego.
Napiwek
Określ obszar roboczy w wierszu polecenia, gdy nie jest zgodny ze skonfigurowanym ustawieniem domyślnym.
Przykład: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integracja usługi Microsoft Sentinel z rozwiązaniem Copilot w usłudze Defender
Użyj portalu Microsoft Defender z danymi usługi Microsoft Sentinel w celu uzyskania osadzonego środowiska copilot zabezpieczeń. Unikatowe źródła danych usługi Microsoft Sentinel przepływające do ujednoliconych zdarzeń usługi Microsoft Defender XDR pozwalają copilotowi w usłudze Defender zmaksymalizować swoje możliwości.
Na przykład:
- Rozwiązanie SAP (wersja zapoznawcza) jest instalowane w obszarze roboczym dla usługi Microsoft Sentinel.
- Niemal w czasie rzeczywistym reguła SAP — (wersja zapoznawcza) pobranie pliku ze złośliwego adresu IP wywołuje alert, który skutkuje utworzeniem zdarzenia przez Microsoft Sentinel.
- Usługa Microsoft Sentinel została dołączona do portalu usługi Defender.
- Zdarzenia usługi Microsoft Sentinel są teraz ujednolicone z incydentami XDR w usłudze Defender.
- Użyj narzędzia Copilot w usłudze Microsoft Defender, aby uzyskać podsumowanie zdarzeń, odpowiedzi z przewodnikiem i raporty o zdarzeniach.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Integrowanie usługi Microsoft Defender XDR
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Copilot w usłudze Microsoft Defender
Integrowanie usługi Microsoft Sentinel z rozwiązaniem Security Copilot w zaawansowanym wyszukiwaniu zagrożeń
Wtyczka języka naturalnego do języka KQL dla usługi Microsoft Sentinel (wersja zapoznawcza) generuje i uruchamia zapytania wyszukiwania KQL przy użyciu danych usługi Microsoft Sentinel. Ta funkcja jest dostępna w środowisku autonomicznym i w sekcji zaawansowanego wyszukiwania zagrożeń w portalu Usługi Microsoft Defender.
Uwaga
W ujednoliconym portalu usługi Microsoft Defender możesz wyświetlić monit Security Copilot, aby wygenerować zaawansowane zapytania wyszukiwania zagrożeń dla tabel usługi Defender XDR i Microsoft Sentinel. Nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane.
Aby uzyskać więcej informacji, zobacz Security Copilot in advanced hunting (Zabezpieczenia Copilot w zaawansowanym poszukiwaniu zagrożeń).
Przykładowe monity usługi Microsoft Sentinel
Rozważ przewodnik po przypadkach badania incydentów usługi Microsoft Sentinel jako punkt wyjścia do tworzenia skutecznych monitów. Ten element promptbook dostarcza raport dotyczący określonego zdarzenia wraz z powiązanymi alertami, ocenami reputacji, użytkownikami i urządzeniami.
| Wskazówki | Monit |
|---|---|
| Posuń Copilot, aby zapewnić czytelne dla człowieka informacje zamiast odpowiadać na identyfikatory obiektów. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot wie, kim jesteś. Użyj zaimka "me", aby znaleźć zdarzenia związane z Tobą. Poniższy monit dotyczy przypisanych zdarzeń. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Gdy zawęzisz odpowiedź monitu do pojedynczego zdarzenia, copilot zna kontekst. | Tell me about the entities associated with that incident. |
| Copilot jest dobry w podsumowaniu. Opisz określoną grupę odbiorców, dla której mają zostać podsumowane monity i odpowiedzi. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Aby uzyskać więcej wskazówek i przykładów, zobacz następujące zasoby:
- Korzystanie z promptbooków
- Inicjowanie w programie Microsoft Security Copilot
- Biblioteka monitów bezpieczeństwa Rod Trenta w Copilot
Przekazywanie opinii
Twoja opinia jest niezbędna do prowadzenia bieżącego i planowanego rozwoju produktu. Najlepszym sposobem przekazania tej opinii jest bezpośrednio w produkcie. Wybierz pozycję Jak wypada ta odpowiedź? w dolnej części każdego ukończonego komunikatu i wybierz dowolną z następujących opcji:
- Wygląda prawidłowo — wybierz, czy wyniki są dokładne, na podstawie oceny.
- Wymaga poprawy — wybierz, czy jakiekolwiek szczegóły w wynikach są niepoprawne lub niekompletne, na podstawie oceny.
- Nieodpowiednie — wybierz, czy wyniki zawierają wątpliwe, niejednoznaczne lub potencjalnie szkodliwe informacje.
Dla każdej opcji opinii możesz podać więcej informacji w następnym wyświetlonym oknie dialogowym. Zawsze, gdy jest to możliwe, a zwłaszcza gdy wynikiem jest Wymaga poprawy, napisz kilka słów wyjaśniających, co można zrobić, aby poprawić wynik. Jeśli wprowadzono monity specyficzne dla usługi Azure Firewall, a wyniki nie są powiązane, dołącz te informacje.
Bezpieczeństwo prywatności i danych w rozwiązaniu Security Copilot
Aby dowiedzieć się, jak rozwiązanie Security Copilot obsługuje monity i dane pobierane z usługi (dane wyjściowe monitu), zobacz Prywatność i bezpieczeństwo danych w aplikacji Microsoft Security Copilot.