Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Security Copilot è una soluzione di sicurezza generativa basata sull'intelligenza artificiale che consente di aumentare l'efficienza e le capacità del personale di sicurezza per migliorare i risultati di sicurezza a velocità e scalabilità dei computer. Offre un linguaggio naturale, un'esperienza di assistive copilot che consente di supportare professionisti della sicurezza in scenari end-to-end come la risposta agli eventi imprevisti, la ricerca di minacce, la raccolta di intelligence e la gestione del comportamento. Per altre informazioni su cosa può fare, vedere Che cos'è Microsoft Security Copilot?
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con esso leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- Esperienze di Microsoft Security Copilot
- Introduzione a Microsoft Security Copilot
- Informazioni sull'autenticazione in Microsoft Security Copilot
- Richiesta in Microsoft Security Copilot
Integrazione di Security Copilot in Firewall di Azure
Firewall di Azure è un servizio di sicurezza firewall di rete intelligente e nativo del cloud che offre una protezione ottimale dalle minacce per i carichi di lavoro cloud eseguiti in Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti.
L'integrazione Firewall di Azure in Security Copilot aiuta gli analisti a eseguire indagini dettagliate sul traffico dannoso intercettato dalla funzionalità IDPS dei firewall nell'intera flotta usando domande in linguaggio naturale.
È possibile usare questa integrazione in due diverse esperienze:
Portale di Security Copilot (esperienza autonoma)
Copilot in Azure (esperienza incorporata) nel portale di Azure:
Per ulteriori informazioni, vedere Esperienze di Microsoft Security Copilot e Copilot di Microsoft nelle funzionalità di Azure.
Funzionalità principali
Security Copilot include funzionalità di sistema predefinite che possono ottenere dati dai diversi plug-in attivati.
Per visualizzare l'elenco delle funzionalità di sistema predefinite per Firewall di Azure, usare la procedura seguente nel portale di Security Copilot:
Nella barra dei prompt selezionare l'icona Prompt .
Selezionare Visualizza tutte le funzionalità di sistema.
La sezione Firewall di Azure elenca tutte le funzionalità disponibili che è possibile usare.
Abilitare l'integrazione Firewall di Azure in Security Copilot
Verificare che il Firewall di Azure sia configurato correttamente:
Log strutturati di Firewall di Azure: i Firewall di Azure da utilizzare con Security Copilot devono essere configurati con log strutturati specifici delle risorse per l'IDPS e questi log devono essere inviati a uno spazio di lavoro Log Analytics.
Controllo di accesso basata sui ruoli per Firewall di Azure: gli utenti che usano il plug-in Firewall di Azure in Security Copilot devono avere i ruoli di controllo degli accessi in base al ruolo di Azure appropriati per accedere al firewall e alle aree di lavoro Log Analytics associate.
Passare a Security Copilot e accedere con le credenziali.
Assicurarsi che il plug-in Firewall di Azure sia attivato. Nella barra dei prompt selezionare l'icona Origini . Nella finestra popup Gestisci origini visualizzata verificare che l'interruttore Firewall di Azure sia attivato. Quindi, chiudere la finestra. Non sono necessarie altre configurazioni. Finché i log strutturati vengono inviati a un'area di lavoro Log Analytics e si dispone delle autorizzazioni appropriate per il controllo degli accessi in base al ruolo, Copilot trova i dati necessari per rispondere alle domande.
Immettere il prompt nella barra dei prompt nel portale di Security Copilot o tramite l'esperienza Copilot in Azure nel portale di Azure.
Importante
L'uso di Copilot in Azure per eseguire query Firewall di Azure è incluso in Security Copilot e richiede unità di calcolo di sicurezza (SCU). È possibile distribuire le CPU e aumentarle o ridurle in qualsiasi momento. Per altre informazioni sulle CPU, vedere Introduzione a Microsoft Security Copilot. Se il Copilot di sicurezza non è configurato correttamente, ma si pone una domanda pertinente alle funzionalità di Firewall di Azure tramite l'esperienza Copilot in Azure, verrà visualizzato un messaggio di errore.
Richieste di Firewall di Azure di esempio
È possibile usare molti prompt per ottenere informazioni da Firewall di Azure. Questa sezione elenca quelle che funzionano meglio oggi. Vengono aggiornati continuamente man mano che vengono avviate nuove funzionalità.
Recupera i principali hit della firma IDPS per un determinato Firewall di Azure
Ottenere informazioni di log sul traffico intercettato dalla funzionalità IDPS anziché costruire manualmente query KQL.
Richieste di esempio:
- Il tuo firewall
<Firewall name>ha intercettato del traffico dannoso? - Quali sono i primi 20 riscontri IDPS degli ultimi sette giorni per Firewall
<Firewall name>nel gruppo<resource group name>di risorse? - Mostrami in formato tabulare i primi 50 attacchi che hanno colpito firewall
<Firewall name>nella sottoscrizione<subscription name>nell'ultimo mese.
Arricchire il profilo di minaccia di una firma IDPS oltre alle informazioni di log
Ottenere altri dettagli per arricchire le informazioni sulle minacce o il profilo di una firma IDPS anziché compilarla manualmente.
Richieste di esempio:
Spiegare perché IDPS ha contrassegnato l'occorrenza superiore come gravità elevata e la quinta occorrenza come gravità bassa.
Cosa puoi dirmi di questo attacco? Quali sono gli altri attacchi per cui questo utente malintenzionato è noto?
Vedo che il terzo ID di firma è associato a CVE
<CVE number\>, dimmi di più su questo CVE.Nota
Il plug-in Microsoft Threat Intelligence è un'altra origine che Security Copilot potrebbe usare per fornire informazioni sulle minacce per le firme IDPS.
Cercare una firma IDPS specifica nel tenant, nelle sottoscrizioni o nei gruppi di risorse
Eseguire una ricerca a livello di flotta (su qualsiasi ambito) per una minaccia in tutti i firewall invece di cercare manualmente la minaccia.
Richieste di esempio:
- L'ID di firma
<ID number\>è stato arrestato solo da questo firewall? E gli altri utenti nell'intero tenant? - L'occorrenza principale è stata rilevata da un altro firewall nella sottoscrizione
<subscription name>? - Negli ultimi sette giorni, un firewall nel gruppo di risorse
<resource group name\>ha rilevato l'ID firma<ID number>?
Generare raccomandazioni per proteggere l'ambiente usando la funzionalità IDPS di Firewall di Azure
Ottenere informazioni dalla documentazione sull'uso della funzionalità IDPS di Firewall di Azure per proteggere l'ambiente invece di dover cercare queste informazioni manualmente.
Richieste di esempio:
Come posso proteggermi da attacchi futuri da parte di questo attaccante su tutta la mia infrastruttura?
Se si vuole assicurarsi che tutti i firewall di Azure siano protetti dagli attacchi dall'ID
<ID number\>firma, come si esegue questa operazione?Qual è la differenza di rischio tra solo avvisi e modalità di avviso e blocco per IDPS?
Nota
Il Copilot per la sicurezza può anche usare la funzionalità Chiedi documentazione Microsoft per fornire queste informazioni e quando si usa questa funzionalità tramite Copilot in Azure, è possibile usare la funzionalità Get Information (Ottieni informazioni ) per fornire queste informazioni.
Inviare commenti
Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto.
Attraverso Security Copilot
Selezionare Com'è questa risposta? nella parte inferiore di ogni richiesta completato e scegliere una delle opzioni seguenti:
- Sembra corretto : selezionare se i risultati sono accurati, in base alla valutazione.
- Miglioramento necessario: selezionare se i dettagli nei risultati non sono corretti o incompleti, in base alla valutazione.
- Inappropriato : selezionare se i risultati contengono informazioni discutibili, ambigue o potenzialmente dannose.
Per ogni opzione di feedback, è possibile fornire informazioni aggiuntive nella finestra di dialogo successiva. Quando possibile, e soprattutto quando il risultato è Da migliorare, scrivere alcune parole per spiegare come il risultato possa essere migliorato. Se sono state immesse richieste specifiche di Firewall di Azure e i risultati non sono correlati, includere tali informazioni.
Tramite Copilot in Azure
Usare i pulsanti like e dislike nella parte inferiore di ogni prompt completato. Per entrambe le opzioni di feedback, è possibile fornire informazioni aggiuntive nella finestra di dialogo successiva. Quando possibile, e soprattutto quando non si ama una risposta, scrivere alcune parole che spiegano come il risultato può essere migliorato. Se sono state immesse richieste specifiche di Firewall di Azure e i risultati non sono correlati, includere tali informazioni.
Privacy e sicurezza dei dati in Security Copilot
Quando si interagisce con Security Copilot tramite il portale di Security Copilot o l'esperienza Copilot in Azure per ottenere informazioni, Copilot esegue il pull dei dati da Firewall di Azure. I prompt, i dati recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati all'interno del servizio Copilot. Per altre informazioni, vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.