Eventi imprevisti di Microsoft Sentinel in Copilot per la sicurezza
Microsoft Copilot per la sicurezza è una piattaforma che consente di difendere l'organizzazione alla velocità e alla scalabilità dei computer. Microsoft Sentinel fornisce un plug-in per Copilot per analizzare gli eventi imprevisti e generare query di ricerca.
Insieme alle richieste iterative che usano altre origini complesse di Copilot per la sicurezza abilitate, gli eventi imprevisti e i dati di Microsoft Sentinel offrono maggiore visibilità sulle minacce e sul relativo contesto per l'organizzazione.
Per altre informazioni su Copilot per la sicurezza, vedere gli articoli seguenti:
- Informazioni di base su Microsoft Copilot per la sicurezza
- Gestire i plug-in in Microsoft Copilot per la sicurezza
- Informazioni sull'autenticazione in Microsoft Copilot per la sicurezza
Integrare Microsoft Sentinel con Copilot per la sicurezza
Microsoft Sentinel offre due plug-in per l'integrazione con Copilot per la sicurezza:
- Microsoft Sentinel (anteprima)
- Linguaggio naturale in KQL per Microsoft Sentinel (anteprima).
Importante
I plug-in "Microsoft Sentinel" e "Linguaggio naturale in KQL per Microsoft Sentinel" sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Configurare un'area di lavoro predefinita di Microsoft Sentinel
Aumentare l'accuratezza della richiesta configurando un'area di lavoro di Microsoft Sentinel come predefinita.
Passare a Copilot per la sicurezza all'indirizzo https://securitycopilot.microsoft.com/.
Aprire Origini
nella barra delle richieste.Nella pagina Gestisci plug-in, impostare l'interruttore su On
Selezionare l'icona a forma di ingranaggio nel plug-in Microsoft Sentinel (anteprima).
Configurare il nome predefinito dell'area di lavoro.
Suggerimento
Specificare l'area di lavoro nel prompt quando non corrisponde all'impostazione predefinita configurata.
Esempio: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrare Microsoft Sentinel con Copilot in Defender
Usare la piattaforma operativa di sicurezza unificata con i dati di Microsoft Sentinel per un'esperienza di Copilot per la sicurezza integrata. Gli eventi imprevisti unificati di Microsoft Sentinel nel portale di Defender consentono a Copilot in Defender di usare le funzionalità con i dati di Microsoft Sentinel.
Ad esempio:
- La soluzione SAP (anteprima) è installata nell'area di lavoro per Microsoft Sentinel.
- La regola near real-time SAP - (anteprima) File scaricato da un indirizzo IP dannoso attiva un avviso, creando un evento imprevisto di Microsoft Sentinel.
- Microsoft Sentinel è stato aggiunto alla piattaforma operativa di sicurezza unificata.
- Gli eventi imprevisti di Microsoft Sentinel sono ora unificati con gli eventi imprevisti di Defender XDR.
- Usare Copilot in Microsoft Defender per riepilogo degli eventi imprevisti, risposte guidate e report sugli eventi imprevisti.
Per ulteriori informazioni, vedi le seguenti risorse:
Integrare Microsoft Sentinel con Copilot per la sicurezza nella rilevazione avanzata
Il plug-in Linguaggio naturale in KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando i dati di Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione di rilevazione avanzata del portale di Microsoft Defender.
Nota
Nel portale unificato di Microsoft Defender è possibile richiedere a Copilot per la sicurezza di generare query di ricerca avanzate per entrambe le tabelle di Defender XDR e Microsoft Sentinel. Non tutte le tabelle di Microsoft Sentinel sono attualmente supportate, ma il supporto per queste tabelle può essere previsto in futuro.
Per altre informazioni, vedere Copilot per la sicurezza nella rilevazione avanzata.
Migliorare le richieste di Microsoft Sentinel
Prendere in considerazione la sequenza di richieste di analisi degli eventi imprevisti di Microsoft Sentinel come punto di partenza per la creazione di richieste efficaci. Questa sequenza di richieste fornisce un report su un evento imprevisto specifico, insieme ad avvisi correlati, punteggi di reputazione, utenti e dispositivi.
| Indicazioni | Richiesta |
|---|---|
| Suggerire a Copilot di fornire informazioni leggibili invece di rispondere con ID oggetto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot conosce gli utenti. Usare il pronome "me" per trovare eventi imprevisti correlati all'utente. La richiesta seguente è destinata agli eventi imprevisti assegnati all'utente. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando si restringe una risposta di richiesta a un singolo evento imprevisto, Copilot conosce il contesto. | Tell me about the entities associated with that incident. |
| Copilot è un ottimo strumento di riepilogo. Descrivere un gruppo di destinatari specifico per cui si vogliono riepilogare le richieste e le risposte. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Per ulteriori indicazioni ed esempi di richieste, vedere le risorse seguenti:
- Uso delle sequenze di richieste
- Uso di prompt in Microsoft Copilot per la sicurezza
- Raccolta di richieste di Copilot per la sicurezza di Rod Trent