Microsoft Copilot per la sicurezza e Defender EASM
Gestione della superficie di attacco esterna di Microsoft Defender individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e alla sicurezza di identificare sconosciuti, classificare in ordine di priorità i rischi, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell'esposizione oltre il firewall. Surface Insights per gli attacchi viene generato analizzando le vulnerabilità e i dati dell'infrastruttura per illustrare le aree chiave di preoccupazione per l'organizzazione.
L'integrazione di Defender EASM con Copilot for Security consente agli utenti di interagire con le superfici di attacco individuate da Microsoft. Queste superfici di attacco consentono agli utenti di comprendere rapidamente l'infrastruttura esterna e i rischi critici rilevanti per l'organizzazione. Forniscono informazioni dettagliate su aree specifiche di rischio, tra cui vulnerabilità, conformità e igiene della sicurezza. Per altre informazioni su Copilot for Security, vedere Che cos'è Microsoft Copilot for Security. Per altre informazioni sull'esperienza di copilota incorporata per la sicurezza, vedere Eseguire query sulla superficie di attacco con Defender EASM usando Microsoft Copilot in Azure.
Copilot for Security si integra con Defender EASM.
Copilot per la sicurezza può visualizzare informazioni dettagliate da Defender EASM sulla superficie di attacco di un'organizzazione. È possibile usare le funzionalità di sistema integrate in Copilot per la sicurezza e usare le istruzioni per ottenere altre informazioni. Queste informazioni consentono di comprendere il comportamento di sicurezza e attenuare le vulnerabilità.
Questo articolo presenta Copilot per la sicurezza e include prompt di esempio che possono aiutare gli utenti di Defender EASM.
Connettere Copilot a Defender EASM
Prerequisiti
- Accesso a Copilot for Security, con autorizzazioni per attivare nuove connessioni.
Connessione di Copilot per la sicurezza
Accedere a Copilot per la sicurezza e assicurarsi di essere autenticati.
Selezionare l'icona dei plug-in sul lato superiore destro della barra di input della richiesta.
Individuare Defender External Attack Surface Management nella sezione "Microsoft" e attivare o disattivare la connessione.
Se si vuole che Copilot for Security esestrai i dati dalla risorsa Surface di attacco esterno di Microsoft Defender, fare clic sull'ingranaggio per aprire le impostazioni del plug-in e compilare i campi dalla sezione "Essentials" della risorsa nel pannello Panoramica.
Nota
I clienti possono comunque usare le competenze di Defender EASM se non hanno acquistato Defender EASM. Per altre informazioni, vedere la sezione informazioni di riferimento sulle funzionalità del plug-in.
Introduzione
Copilot for Security opera principalmente con richieste di linguaggio naturale. Quando si eseguono query sulle informazioni da Defender EASM, si invia un prompt che guida Copilot for Security per selezionare il plug-in Defender EASM e richiamare la funzionalità pertinente.
Per un esito positivo con le richieste di Copilot, è consigliabile:
Assicurarsi di fare riferimento al nome della società nella prima richiesta. Se non diversamente specificato, tutte le richieste future forniranno i dati relativi alla società specificata inizialmente.
Essere chiari e specifici con le richieste. È possibile ottenere risultati migliori se si includono nomi di asset o valori di metadati specifici (ad esempio, ID CVE) nelle richieste.
Potrebbe anche essere utile aggiungere Defender EASM al prompt, ad esempio:
- Secondo Defender EASM, quali sono i miei domini scaduti?
- Informazioni dettagliate sulla superficie di attacco con priorità alta di Defender EASM.
Sperimentare diverse richieste e varianti per vedere cosa funziona meglio per il caso d'uso. I modelli di intelligenza artificiale della chat variano, quindi è possibile eseguire l'iterazione e perfezionare le richieste in base ai risultati ricevuti.
Copilot for Security salva le sessioni di richiesta. Per visualizzare le sessioni precedenti, in Copilot for Security passare al menu >Sessioni personali.
Per una procedura dettagliata su Copilot for Security, inclusa la funzionalità di aggiunta e condivisione, passare a Esplorazione di Microsoft Copilot per la sicurezza.
Per altre informazioni sulla scrittura di richieste di Copilot per la sicurezza, vedere Microsoft Copilot for Security prompting tips (Suggerimenti per la richiesta di sicurezza di Microsoft Copilot per la sicurezza).
Informazioni di riferimento sulle funzionalità del plug-in
| Funzionalità | Descrizione | Input | Comportamenti |
|---|---|---|---|
| Ottenere il riepilogo della superficie di attacco | Restituisce il riepilogo della superficie di attacco per la risorsa Defender EASM del cliente o un determinato nome della società. | Input di esempio: • Ottenere la superficie di attacco per LinkedIn. • Ottieni la mia superficie di attacco. • Qual è la superficie di attacco per Microsoft? • Qual è la mia superficie di attacco? • Quali sono gli asset esterni per Azure? • Quali sono i miei asset esterni? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • Restituire il riepilogo della superficie di attacco per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se è presente una corrispondenza esatta, restituire il riepilogo della superficie di attacco per il nome della società specificato. |
| Ottenere informazioni dettagliate sulla superficie di attacco | Restituisce le informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente o un determinato nome della società. | Input di esempio: • Ottenere informazioni dettagliate sulla superficie di attacco ad alta priorità per LinkedIn. • Ottenere informazioni dettagliate sulla superficie di attacco ad alta priorità. • Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa per Microsoft. • Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa. • Si dispone di vulnerabilità ad alta priorità nella superficie di attacco esterna per Azure? Input obbligatori: • PriorityLevel: il livello di priorità deve essere 'alto', 'medio' o 'basso' (se non specificato, per impostazione predefinita è 'high') Input facoltativi: • CompanyName - nome della società |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • Restituire informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituire le informazioni dettagliate sulla superficie di attacco per il nome della società specificato. |
| Ottenere gli asset interessati da CVE | Restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente o un determinato nome della società. | Input di esempio: • Ottenere gli asset interessati da CVE-2023-0012 per LinkedIn. • Quali asset sono interessati da CVE-2023-0012 per Microsoft? • La superficie di attacco esterna di Azure è interessata da CVE-2023-0012? • Ottenere asset interessati da CVE-2023-0012 per la superficie di attacco. • Quale delle risorse personali è interessata da CVE-2023-0012? • La superficie di attacco esterna è interessata da CVE-2023-0012? Input obbligatori: • CveId Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • Se le impostazioni del plug-in non vengono compilate, falliscono in modo gentile e ricordano ai clienti. • Se le impostazioni del plug-in vengono compilate, restituire gli asset interessati da un CVE per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituire gli asset interessati da un CVE per il nome della società specificato. |
| Ottenere gli asset interessati da CVSS | Restituisce gli asset interessati da un punteggio CVSS per la risorsa Defender EASM del cliente o un determinato nome della società. | Input di esempio: • Ottenere asset interessati da CVSS ad alta priorità nella superficie di attacco di LinkedIn. • Quanti asset hanno cvss critici per Microsoft? • Quali asset hanno cvss critici per Azure? • Ottenere asset interessati da CVSS ad alta priorità nella mia superficie di attacco. • Quanti dei miei asset hanno cvss critici? • Quale dei miei asset ha un CVSS critico per? Input obbligatori: • CvssPriority (la priorità CVSS deve essere critica, alta, media o bassa. Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • Se le impostazioni del plug-in non vengono compilate, falliscono in modo gentile e ricordano ai clienti. • Se le impostazioni del plug-in vengono compilate, restituire gli asset interessati da un punteggio CVSS per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituire gli asset interessati da un punteggio CVSS per il nome della società specificato. |
| Ottenere domini scaduti | Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente o per un determinato nome della società. | Input di esempio: • Quanti domini sono scaduti nella superficie di attacco di LinkedIn? • Quanti asset usano domini scaduti per Microsoft? • Quanti domini sono scaduti nella superficie di attacco? • Quanti asset usano domini scaduti per Microsoft? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • restituire il numero di domini scaduti per la risorsa Defender EASM del cliente Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituire il numero di domini scaduti per il nome della società specificato. |
| Ottenere i certificati scaduti | Restituisce il numero di certificati SSL scaduti per la risorsa Defender EASM del cliente o per un determinato nome della società. | Input di esempio: • Quanti certificati SSL sono scaduti per LinkedIn? • Quanti asset usano certificati SSL scaduti per Microsoft? • Quanti certificati SSL sono scaduti per la superficie di attacco? • Quali sono i certificati SSL scaduti? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • restituire il numero di certificati SSL per la risorsa Defender EASM del cliente. Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituire il numero di certificati SSL per il nome della società specificato. |
| Ottenere i certificati SHA1 | Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente o un determinato nome della società. | Input di esempio: • Quanti certificati SSL SHA1 sono presenti per LinkedIn? • Quanti asset usano SSL SHA1 per Microsoft? • Quanti certificati SSL SHA1 sono presenti per la superficie di attacco? • Quanti asset usano SSL SHA1? Input facoltativi: • CompanyName |
Se il plug-in è configurato per una risorsa EASM di Defender attiva e non viene specificata alcuna altra società: • restituire il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente Se viene specificato un altro nome della società: • Se non esiste una corrispondenza esatta per il nome della società, restituisce un elenco di possibili corrispondenze. • Se esiste una corrispondenza esatta, restituire il numero di certificati SSL SHA1 per il nome della società specificato. |
| Tradurre il linguaggio naturale nella query Defender EASM | Converte qualsiasi domanda in linguaggio naturale in una query di Defender EASM e restituisce gli asset corrispondenti alla query. | Input di esempio: • Quali asset usano jQuery versione 3.1.0? • Ottenere gli host con la porta 80 aperta nella mia superficie di attacco. • trovare tutte le pagine, ospitare e asn asset nell'inventario con un indirizzo IP X, IP Y o IP Z. • Quale dei miei asset ha un messaggio di posta elettronica registrante di "name@example.com" |
Se il plug-in è configurato per una risorsa EASM di Defender attiva: • restituire gli asset corrispondenti alla query tradotta. |
Passaggio tra i dati delle risorse e dell'azienda
Anche se è stata aggiunta l'integrazione delle risorse per le proprie competenze, è comunque supportato il pull dei dati dalle superfici di attacco predefinite per aziende specifiche. Per migliorare l'accuratezza di Copilot per la sicurezza nel determinare quando un cliente vuole eseguire il pull dalla superficie di attacco o da una superficie di attacco predefinita, è consigliabile usare "my", "my attack surface" e così via per comunicare che vogliono usare la propria risorsa e "loro", "{nome società specifico}" e così via per comunicare che vogliono una superficie di attacco predefinita. Anche se ciò migliora l'esperienza in una singola sessione, è consigliabile avere due sessioni separate per evitare confusione.
Inviare commenti
I commenti e i suggerimenti su Copilot for Security in genere e il plug-in Defender EASM sono fondamentali per guidare lo sviluppo attuale e pianificato sul prodotto. Il modo ottimale per fornire questo feedback è direttamente nel prodotto, usando i pulsanti di feedback nella parte inferiore di ogni richiesta completata. Selezionare "Sembra corretto", "Miglioramento delle esigenze" o "Inappropriato". È consigliabile "Sembra corretto" quando il risultato corrisponde alle aspettative, "Miglioramento delle esigenze" quando non lo fa e "Inappropriato" quando il risultato è dannoso in qualche modo.
Quando possibile, e soprattutto quando il risultato è "Miglioramento delle esigenze", scrivere alcune parole che spiegano cosa possiamo fare per migliorare il risultato. Questo vale anche quando si prevede che Copilot for Security richiami il plug-in Defender EASM, ma è stato selezionato un altro plug-in.
Trattamento dei dati e privacy
Quando si interagisce con Copilot for Security per ottenere i dati di Defender EASM, Copilot esegue il pull dei dati da Defender EASM. I prompt, i dati recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati all'interno del servizio Copilot for Security.
Per altre informazioni sulla privacy dei dati in Copilot per la sicurezza, vedere Privacy e sicurezza dei dati in Microsoft Copilot for Security.