Integrace služby Azure Firewall ve službě Microsoft Copilot for Security (Preview)

Microsoft Copilot for Security je řešení zabezpečení využívající generování umělé inteligence, které pomáhá zvýšit efektivitu a možnosti pracovníků zabezpečení ke zlepšení výsledků zabezpečení rychlostí a škálováním počítače. Poskytuje přirozený jazyk, prostředí pro usnadnění kopírování, které pomáhá odborníkům na zabezpečení v komplexních scénářích, jako jsou reakce na incidenty, proaktivní vyhledávání hrozeb, shromažďování informací a správa stavu. Další informace o tom, co může dělat, naleznete v tématu Co je Microsoft Copilot for Security?

Než začnete

Pokud s Microsoft Copilotem pro zabezpečení začínáte, měli byste se s ním seznámit v těchto článcích:

• Co je Microsoft Copilot for Security?
• Microsoft Copilot for Security experiences
• Začínáme se službou Microsoft Copilot for Security
• Principy ověřování v Microsoft Copilotu pro zabezpečení
• Výzva k zadání zabezpečení ve službě Microsoft Copilot

Microsoft Copilot pro integraci zabezpečení ve službě Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností.

Integrace služby Azure Firewall pomáhá analytikům provádět podrobné šetření škodlivého provozu zachyceného funkcemi zprostředkovatele identity a/nebo analýzy hrozeb svých bran firewall v celém vozovém parku pomocí otázek přirozeného jazyka v samostatném prostředí Microsoft Copilot for Security.

Tento článek vás seznámí s Copilotem a obsahuje ukázkové výzvy, které můžou uživatelům služby Azure Firewall pomoct.

Integraci služby Azure Firewall v Microsoft Copilotu pro zabezpečení můžete použít na portálu Microsoft Copilot for Security Portal. Další informace naleznete v tématu Microsoft Copilot for Security experiences.

Klíčové funkce

Microsoft Copilot for Security má integrované systémové funkce, které můžou získat data z různých modulů plug-in, které jsou zapnuté.

Pokud chcete zobrazit seznam integrovaných systémových funkcí pro Azure Firewall, použijte následující postup:

1. Na panelu výzvy vyberte ikonu Výzvy .

   

2. Vyberte Zobrazit všechny možnosti systému. V části Azure Firewall jsou uvedeny všechny dostupné funkce, které můžete použít.

Povolení integrace služby Azure Firewall v Microsoft Copilotu pro zabezpečení

1. Ujistěte se, že je služba Azure Firewall správně nakonfigurovaná:

   • Protokoly strukturované brány firewall Azure – Brány Azure Firewall, které se mají používat s Microsoft Copilotem pro zabezpečení, musí být nakonfigurované s protokoly specifické pro konkrétní prostředky pro IDPS a tyto protokoly se musí odesílat do pracovního prostoru služby Log Analytics.
   • Řízení přístupu na základě role pro bránu Azure Firewall – uživatelé používající modul plug-in Azure Firewall v Microsoft Copilotu for Security musí mít příslušné role Azure RBAC pro přístup k bráně firewall a přidruženým pracovním prostorům služby Log Analytics.

2. Přejděte na Microsoft Copilot pro zabezpečení a přihlaste se pomocí svých přihlašovacích údajů.

3. Ujistěte se, že je zapnutý modul plug-in Azure Firewall. Na panelu výzvy vyberte ikonu Zdroje .

   

   V automaticky otevíraných otevíraných oknech Spravovat zdroje ověřte, že je zapnutý přepínač služby Azure Firewall , a pak okno zavřete.

   

   Poznámka:

   Některé role můžou přepínač zapnout nebo vypnout pro moduly plug-in, jako je Azure Firewall. Další informace naleznete v tématu Správa modulů plug-in v aplikaci Microsoft Copilot for Security.

4. Na panelu příkazového řádku zadejte výzvu.

Ukázkové výzvy služby Azure Firewall

K získání informací ze služby Azure Firewall můžete použít mnoho výzev. V této části jsou uvedeny ty, které dnes fungují nejlépe. Průběžně se aktualizují při spuštění nových funkcí.

Načtení přístupů s nejvyšším podpisem IDPS pro bránu Azure Firewall

Získejte informace protokolu o provozu zachyceného funkcí IDPS místo ručního vytváření dotazů KQL.

Ukázkové výzvy:

• Došlo k nějakému škodlivému provozu zachyceného názvem> brány firewall firewall<?
• Jaké jsou 20 prvních 20 přístupů zprostředkovatele identity za posledních 7 dnů pro název> brány firewall brány firewall <v názvu> skupiny prostředků skupiny <prostředků?
• Show me in tabular form the top 50 attacks that targeted Firewall firewall <name in subscription subscription name> in the subscription name> in the past <month.

Rozšíření profilu hrozby podpisu IDPS nad rámec informací protokolu

Získejte další podrobnosti o obohacení informací o hrozbě nebo profilu podpisu IDPS místo ručního kompilace.

Ukázkové výzvy:

• Vysvětlete, proč idPS označilo horní hit jako vysokou závažnost a pátý přístup jako nízkou závažnost.
• Co mi můžete říct o tomto útoku? Jaké jsou další útoky, o kterých je tento útočník známý?
• Vidím, že id třetího podpisu je přidružené k číslu CVE CVE<>, řekněte mi o tomto CVE další informace.

Vyhledejte zadaný podpis IDPS v rámci vašeho tenanta, předplatného nebo skupiny prostředků.

Proveďte vyhledávání pro celou flotilu (v libovolném rozsahu) pro hrozbu ve všech branách firewall, místo abyste hrozbu hledali ručně.

Ukázkové výzvy:

• Bylo číslo> ID podpisu <zastaveno pouze touto bránou firewall? A co ostatní v celém tomto tenantovi?
• Došlo k dosažení horního limitu u jiné brány firewall v názvu> předplatného předplatného<?
• V minulém týdnu se v názvu> skupiny prostředků zobrazila nějaká brána firewall ve skupině< prostředků s číslem> ID <podpisu?

Generování doporučení pro zabezpečení prostředí pomocí funkce IDPS služby Azure Firewall

Získejte informace z dokumentace o použití funkce IDPS služby Azure Firewall k zabezpečení vašeho prostředí místo ručního vyhledávání těchto informací.

Ukázkové výzvy:

• Návody se chránit před budoucími útoky od tohoto útočníka v celé mé infrastruktuře?
• Pokud se chci ujistit, že jsou všechny brány firewall chráněné proti útokům před číslem> ID <podpisu, jak to udělám?
• Jaký je rozdíl v riziku mezi režimy pouze výstrah a výstrah a režimy blokování pro IDPS?

Poskytnutí názorů

Vaše zpětná vazba je nezbytná pro vedení aktuálního a plánovaného vývoje produktu. Nejlepší způsob, jak poskytnout tuto zpětnou vazbu, je přímo v produktu. Vyberte Jak se tato odpověď zobrazí? v dolní části každého dokončeného dotazu a zvolte některou z následujících možností:

• Vypadá to správně – vyberte, jestli jsou výsledky na základě vašeho posouzení přesné.
• Potřebuje vylepšení – vyberte, jestli jsou v závislosti na vašem posouzení nesprávné nebo neúplné nějaké podrobnosti ve výsledcích.
• Nevhodné – Vyberte, jestli výsledky obsahují nejednoznačné, nejednoznačné nebo potenciálně škodlivé informace.

Pro každou možnost zpětné vazby můžete zadat další informace v dalším dialogovém okně, které se zobrazí. Kdykoli je to možné, a zejména v případě, že výsledek je Potřeba zlepšit, napište několik slov vysvětlujících, co se dá udělat, aby se zlepšil výsledek. Pokud jste zadali výzvu specifickou pro Azure Firewall a výsledky nesouvisí, uveďte tyto informace.

Ochrana osobních údajů a zabezpečení dat v Microsoft Copilotu pro zabezpečení

Při interakci se službou Microsoft Copilot for Security za účelem získání dat služby Azure Firewall načítá Copilot tato data ze služby Azure Firewall. Výzvy, načtená data a výstup zobrazený ve výsledcích výzvy se zpracovávají a ukládají ve službě Copilot. Další informace naleznete v tématu Ochrana osobních údajů a zabezpečení dat v aplikaci Microsoft Copilot for Security.

Související obsah

• Co je Microsoft Copilot for Security?