Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Security Copilot — это платформа, которая помогает защитить организацию на уровне скорости и масштабирования. Огромные данные о безопасности Microsoft Sentinel — отличный источник для Copilot, помогающий анализировать инциденты и создавать запросы на охоту.
Вместе с другими Security Copilot источниками, которые вы включаете, Microsoft Sentinel инциденты и данные обеспечивают более широкую видимость угроз и их контекста для вашей организации.
Перед началом работы
Если вы не знакомы с Security Copilot, ознакомьтесь с ним, прочитав следующие статьи:
- Что такое Microsoft Security Copilot?
- Microsoft Security Copilot интерфейсы
- Начало работы с Microsoft Security Copilot
- Общие сведения о проверке подлинности в Microsoft Security Copilot
- Запрос в Microsoft Security Copilot
интеграция Security Copilot с Microsoft Sentinel
Эта интеграция в первую очередь поддерживает автономный интерфейс, доступный через https://securitycopilot.microsoft.com, где вы взаимодействуете в чате, чтобы суммировать инциденты и получать другие ответы о данных безопасности. Дополнительные сведения см. в разделе Microsoft Security Copilot взаимодействия.
Основные возможности
Microsoft Sentinel данные интегрируются с Security Copilot на портале Defender следующим образом:
- Если у вас также есть Microsoft Defender XDR, Copilot в Microsoft Defender XDR преимущества от унифицированных инцидентов, интегрированных с Microsoft Sentinel.
- В автономном интерфейсе Microsoft Sentinel предоставляет следующие подключаемые модули для интеграции с Security Copilot:
Microsoft Sentinel (предварительная версия)
Естественный язык для KQL для Microsoft Sentinel (предварительная версия).
Включение интеграции Security Copilot с Microsoft Sentinel
Чтобы максимально эффективно интегрировать Security Copilot с Microsoft Sentinel сделайте следующее:
- настройка рабочей области Microsoft Sentinel по умолчанию для Security Copilot
- подключение рабочей области Microsoft Sentinel к Microsoft Defender XDR
Настройка рабочей области Microsoft Sentinel по умолчанию
Увеличьте точность запросов, настроив рабочую область Microsoft Sentinel в качестве значения по умолчанию.
Перейдите к Security Copilot по адресу https://securitycopilot.microsoft.com/.
Откройте источники
на панели запросов.На странице Управление подключаемыми модулями установите переключатель в значение Вкл.
Щелкните значок шестеренки в подключаемом модуле Microsoft Sentinel (предварительная версия).
Настройте имя рабочей области по умолчанию.
Совет
Укажите рабочую область в запросе, если она не соответствует настроенной по умолчанию.
Пример: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Интеграция Microsoft Sentinel с Copilot в Defender
Используйте портал Microsoft Defender с данными Microsoft Sentinel для встроенного интерфейса Security Copilot. Уникальные источники данных Microsoft Sentinel, поступающие в Microsoft Defender XDR унифицированных инцидентов, позволяют Copilot в Defender максимально использовать свои возможности.
Например, вы можете:
- Решение SAP (предварительная версия) устанавливается в рабочей области для Microsoft Sentinel.
- Правило sap — (предварительная версия) file downloaded from a Вредоносное IP-адрес активирует оповещение, создавая инцидент Microsoft Sentinel.
- Microsoft Sentinel подключен к порталу Defender.
- Microsoft Sentinel инциденты теперь объединяются с Defender XDR инцидентами.
- Используйте Copilot в Microsoft Defender для сводки инцидентов, интерактивных ответов и отчетов об инцидентах.
Дополнительные сведения см. в следующих источниках:
- Интеграция Microsoft Defender XDR
- Microsoft Sentinel на портале Microsoft Defender
- Copilot в Microsoft Defender
Интеграция Microsoft Sentinel с Security Copilot в расширенной охоте
Подключаемый модуль Естественного языка для KQL для Microsoft Sentinel (предварительная версия) создает и выполняет запросы на поиск KQL с использованием Microsoft Sentinel данных. Эта возможность доступна в автономном интерфейсе и разделе расширенной охоты на портале Microsoft Defender.
Примечание.
На едином портале Microsoft Defender можно предложить Security Copilot создавать расширенные запросы на поиск как для Defender XDR, так и для таблиц Microsoft Sentinel. В настоящее время поддерживаются не все Microsoft Sentinel таблицы.
Дополнительные сведения см. в разделе Security Copilot в расширенной охоте.
Примеры запросов Microsoft Sentinel
В качестве отправной точки для создания эффективных подсказок следует рассмотреть Microsoft Sentinel справочник по анализу инцидентов. Этот сборник подсказок предоставляет отчет о конкретном инциденте, а также связанные оповещения, оценки репутации, пользователей и устройства.
| Рекомендации | Prompt |
|---|---|
| Подталкивает Copilot предоставлять удобочитаемую информацию, а не отвечать идентификаторами объектов. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Копилот знает, кто ты. Используйте местоимение "я", чтобы найти связанные с вами инциденты. Следующая подсказка предназначена для назначенных вам инцидентов. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| При сужаете ответ на запрос до одного инцидента, Copilot знает контекст. | Tell me about the entities associated with that incident. |
| Копилот хорошо подводить итоги. Опишите определенную аудиторию, для которой вы хотите получить сводку запросов и ответов. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Дополнительные рекомендации и примеры запросов см. в следующих ресурсах:
- Использование модулей командной строки
- Запрос в Microsoft Security Copilot
- Библиотека запросов Security Copilot Род Трента
Предоставление отзывов
Ваш отзыв имеет жизненно важное значение для текущей и запланированной разработки продукта. Лучший способ предоставить эту обратную связь — непосредственно в продукте. Выберите Как этот ответ? в нижней части каждого выполненного запроса и выберите любой из следующих параметров:
- Выглядит правильно . Выберите, являются ли результаты точными на основе вашей оценки.
- Нуждается в улучшении . Выберите, являются ли какие-либо сведения в результатах неверными или неполными, на основе вашей оценки.
- Неприемлемо — выберите, содержат ли результаты сомнительные, неоднозначные или потенциально опасные сведения.
Для каждого варианта обратной связи можно указать дополнительные сведения в следующем появившемся диалоговом окне. По возможности, и особенно когда результат требует улучшения, напишите несколько слов, объясняя, что можно сделать для улучшения результата. Если вы ввели запросы, относящиеся к Брандмауэр Azure, а результаты не связаны, включите эти сведения.
Конфиденциальность и безопасность данных в Security Copilot
Сведения о том, как Security Copilot обрабатывает ваши запросы и данные, полученные из службы (выходные данные запроса), см. в статье Конфиденциальность и безопасность данных в Microsoft Security Copilot.