Descrivere i plug-in Microsoft disponibili in Microsoft Copilot per la sicurezza

  • 10 minuti

Microsoft Copilot per la sicurezza si integra con varie origini, tra cui i prodotti per la sicurezza di Microsoft, i fornitori non Microsoft, i feed di intelligenza open source, i siti Web e le knowledge base per generare indicazioni specifiche per l'organizzazione.

Uno dei meccanismi con cui Copilot si integra con tali origini è costituito dai plug-in. I plug-in estendono le funzionalità di Copilot. In questa unità verranno esaminati i plug-in Microsoft.

Plug-in Microsoft

I plug-in Microsoft consentono a Copilot di accedere a informazioni e funzionalità all'interno dei prodotti Microsoft dell'organizzazione. L'immagine seguente mostra solo un subset dei plug-in Microsoft disponibili.

Acquisizione dello schermo della finestra Gestisci plug-in che mostra i servizi Microsoft.

I generale, i plug-in di Microsoft in Copilot si basano sul modello OBO (On Behalf Of): ciò significa che Copilot è informato se un cliente possiede le licenze per prodotti specifici e viene automaticamente connesso a tali prodotti. Copilot può quindi accedere ai prodotti specifici quando il plug-in è abilitato e, dove possibile, i parametri sono configurati. Alcuni plug-in di Microsoft che richiedono la configurazione, come indicato dall'icona delle impostazioni o dal pulsante di configurazione, possono includere parametri configurabili, usati per l'autenticazione al posto del modello OBO.

Per visualizzare le funzionalità del sistema supportate dai plug-in abilitati, selezionare l'icona dei prompt situata nella relativa barra poi selezionare "Visualizza tutte le funzionalità del sistema". Le funzionalità di sistema sono singoli prompt specifici che è possibile usare in Copilot. La selezione di una funzionalità di sistema richiede in genere più input per ottenere una risposta utile, tuttavia Copilot fornisce tali indicazioni.

Acquisizione dello schermo con l'icona del prompt che, quando selezionata, apre la finestra con le opzioni per le funzionalità di sistema.

Le sezioni che seguono forniscono brevi descrizioni per molti dei plug-in Microsoft disponibili. Microsoft Copilot per la sicurezza aggiunge costantemente supporto per i prodotti Microsoft.

Azure AI Search (anteprima)

Il plug-in Azure AI Search consente di connettere le knowledge base o i repository aziendali a Microsoft Copilot per la sicurezza. I dettagli su questo plug-in e sulle connessioni alle knowledge base sono descritti in un'unità successiva di questo modulo.

Microsoft Entra

Microsoft Entra è una famiglia di soluzioni multicloud per l'identità e l'accesso alla rete che consente alle organizzazioni di proteggere qualsiasi identità e di proteggere l'accesso a qualsiasi risorsa. Offre una piattaforma unificata per la gestione delle identità e degli accessi alla rete, semplificando la protezione delle identità e l'accesso alle risorse in ambienti multicloud e ibridi.

Copilot per la sicurezza si integra con Microsoft Entra. Con il plug-in Entra abilitato, gli analisti della sicurezza possono ottenere immediatamente un riepilogo dei rischi, passaggi per correggere e indicazioni consigliate per ogni identità a rischio, in linguaggio naturale. Gli analisti possono usare Copilot per guidare la creazione di un flusso di lavoro del ciclo di vita per semplificare il processo di creazione ed emissione di credenziali utente e diritti di accesso. Queste e molte altre funzionalità Entra sono supportate da Copilot.

L'acquisizione dello schermo seguente mostra solo un subset delle funzionalità supportate dal plug-in Entra.

Acquisizione dello schermo delle funzionalità Entra che possono essere eseguite nell'esperienza autonoma.

L'integrazione di Copilot con Microsoft Entra può essere sperimentata tramite le esperienze autonome o incorporate. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere Microsoft Copilot in Microsoft Defender XDR".

Microsoft Intune

Microsoft Intune è una soluzione di gestione degli endpoint basata sul cloud. Gestisce l'accesso degli utenti alle risorse dell'organizzazione e semplifica la gestione delle app e dei dispositivi in molti dispositivi, tra cui dispositivi mobili, computer desktop ed endpoint virtuali.

Copilot per la sicurezza si integra con Microsoft Intune. Se Microsoft Intune è disponibile nello stesso tenant di Copilot e il plug-in è abilitato, Copilot sarà in grado di ottenere informazioni su dispositivi, app, criteri di conformità e configurazione e assegnazioni di criteri gestiti in Intune.

Le funzionalità supportate dal plug-in Intune consentono a un utente di:

  • Confrontare diverse baseline di sicurezza.
  • Ottenere un riepilogo di un criterio esistente.
  • Ottenere l'ambito di assegnazione dei criteri.
  • Ottenere le differenze o i confronti tra due dispositivi.
  • Raccogliere rapidamente i dettagli per un dispositivo chiedendo informazioni su di esso.
  • Ottenere informazioni dettagliate sulle registrazioni dei dispositivi e sulla conformità dei dispositivi di un utente per la risoluzione dei problemi o un'indagine di sicurezza.
  • E altro ancora...

Per usare il plug-in di Microsoft Intune, all'utente deve essere assegnato un ruolo specifico del servizio Intune, ad esempio il ruolo Intune Endpoint Security Manager, oltre all'autorizzazione del ruolo che concede l'accesso a Copilot.

Alcuni prompt di esempio includono:

  • Quali app di Intune vengono assegnate di più?
  • Quanti dispositivi sono stati registrati in Intune nelle ultime 24 ore?
  • Qual è la differenza di configurazione hardware tra i dispositivi DeviceA e DeviceB?

L'acquisizione dello schermo seguente mostra solo un subset delle funzionalità supportate dal plug-in Intune.

Acquisizione dello schermo dei suggerimenti dei prompt di Intune che possono essere eseguiti nell'esperienza autonoma.

Per altre informazioni, visitare Microsoft Copilot per la sicurezza e Intune.

Microsoft Defender XDR

Microsoft XDR Defender è una suite unificata per la difesa aziendale prima e dopo le violazioni, che coordina in modalità nativa le attività di rilevamento, prevenzione, indagine e reazione a livello di endpoint, identità, posta elettronica e applicazioni per garantire una protezione integrata da attacchi avanzati.

In Copilot esistono due plug-in separati correlati a Microsoft Defender XDR (l'interfaccia utente può ancora mostrare Microsoft 365 Defender):

  • Microsoft Defender XDR
  • Linguaggio naturale per KQL per Microsoft Defender XDR

L'autorizzazione del ruolo che concede all'utente l'accesso a Copilot determina il livello di accesso ai dati di Microsoft Defender XDR. Non sono necessarie autorizzazioni di ruolo aggiuntive per usare il plug-in Microsoft Defender XDR o il linguaggio naturale per il plug-in KQL XDR di Defender.

Microsoft Defender XDR

Il plug-in Microsoft Defender XDR include funzionalità che consentono agli utenti di:

  • Riepilogare rapidamente gli incidenti
  • Intervenire sugli eventi imprevisti tramite risposte guidate.
  • Creare report sugli eventi imprevisti
  • Ottenere risposte guidate agli eventi imprevisti
  • Ottenere riepiloghi dei dispositivi Defender
  • Analizzare i file
  • altro...

L'acquisizione dello schermo seguente mostra solo un subset delle funzionalità supportate dal plug-in Microsoft Defender XDR.

Acquisizione dello schermo delle funzionalità di Defender XDR che possono essere eseguite nell'esperienza autonoma.

Copilot include anche una sequenza di prompt predefinita per l'indagine sugli eventi imprevisti di Microsoft Defender XDR che è possibile usare per ottenere un report su un evento imprevisto specifico, con avvisi correlati, punteggi di reputazione, utenti e dispositivi.

Con il plug-in abilitato, l'integrazione di Copilot con Defender XDR può essere sperimentata tramite le esperienze autonome o incorporate. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere Microsoft Copilot in Microsoft Defender XDR".

Da linguaggio naturale a KQL per Microsoft Defender

Il plug-in da linguaggio naturale a KQL per Microsoft Defender (NL2KQLDefender) abilita la funzionalità assistente query, che converte qualsiasi domanda in linguaggio naturale nel contesto della ricerca delle minacce in una query KQL pronta per l'esecuzione. L'assistente query consente ai team di sicurezza di risparmiare tempo generando una query KQL che può quindi essere eseguita automaticamente o ulteriormente modificata in base alle esigenze dell'analista.

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM)

Gestione della superficie di attacco esterna di Microsoft Defender individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e alla sicurezza di identificare sconosciuti, classificare in ordine di priorità i rischi, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell'esposizione oltre il firewall. Surface Insights sugli attacchi viene generato usando le vulnerabilità e i dati dell'infrastruttura per illustrare le aree chiave di preoccupazione per l'organizzazione.

Se si usa Gestione della superficie di attacco esterna di Microsoft Defender nello stesso tenant di Copilot e si abilita il plug-in, Copilot può visualizzare informazioni dettagliate da Gestione della superficie di attacco esterna di Microsoft Defender sulla superficie di attacco di un'organizzazione. È possibile usare le funzionalità di sistema integrate in Copilot e usare le richieste per ottenere altre informazioni. Queste informazioni consentono di comprendere il comportamento di sicurezza e attenuare le vulnerabilità.

Le funzionalità supportate dal plug-in Defender EASM includono:

  • Ottenere il riepilogo della superficie di attacco.
  • Ottenere informazioni dettagliate sulla superficie di attacco.
  • Ottenere gli asset interessati dalle CVE in base alla priorità o all'ID CVE.
  • Ottenere gli asset in base al punteggio CVSS.
  • Ottenere domini scaduti.
  • Ottenere i certificati SSL scaduti.
  • Ottenere i certificati SHA1.
  • altro...

Alcuni prompt di esempio includono:

  • La superficie di attacco esterna è influenzata da CVE-2023-21709?
  • Ottenere asset interessati da CVSS con priorità elevata nella superficie di attacco.
  • Quanti asset hanno CVSS critici per l'organizzazione?

L'acquisizione dello schermo seguente mostra solo un subset delle funzionalità supportate dal plug-in EASM.

Acquisizione dello schermo delle funzionalità di sistema EASM che possono essere eseguite nell'esperienza autonoma.

Per usare questo plug-in, è necessario configurare i parametri per identificare la sottoscrizione dell'organizzazione a Defender EASM.

Acquisizione dello schermo delle impostazioni del plug-in EASM che devono essere configurate.

Per altre informazioni, visitare Microsoft Copilot per la sicurezza e Gestione della superficie di attacco esterna di Microsoft Defender.

Microsoft Defender Threat Intelligence

Microsoft Defender Threat Intelligence (Defender TI) è una piattaforma che semplifica la valutazione, la risposta agli eventi imprevisti, la ricerca di minacce, la gestione delle vulnerabilità e i flussi di lavoro degli analisti di intelligence per le minacce informatiche durante l'analisi dell'infrastruttura delle minacce e la raccolta di informazioni sulle minacce.

Copilot per la sicurezza si integra con Microsoft Defender TI. Con il plug-in Defender TI abilitato, Copilot fornisce informazioni sui gruppi di attività di minaccia, sugli indicatori di compromissione (IOC), sugli strumenti e sull'intelligence contestuale sulle minacce. È possibile usare i prompt e i promptbook per analizzare gli eventi imprevisti, arricchire i flussi di ricerca con informazioni sull'intelligence sulle minacce o acquisire maggiori informazioni sul panorama delle minacce dell'organizzazione o sul panorama globale delle minacce.

L'acquisizione dello schermo seguente mostra solo un subset delle funzionalità supportate dal plug-in Defender TI.

Acquisizione delle funzionalità di sistema di Defender TI che possono essere eseguiti nell'esperienza autonoma.

Copilot include anche promptbook predefiniti che inviano informazioni da Defender TI, tra cui:

  • Valutazione dell'impatto della vulnerabilità: genera un report che riepiloga l'intelligence per una vulnerabilità nota, inclusa la procedura per risolverla.
  • Profilo dell'attore della minaccia: genera un report che profila un gruppo di attività noto, inclusi i suggerimenti per difendersi dagli strumenti e dalle tattiche comuni.

Acquisizione dello schermo dei promptbook di Defender TI che possono essere eseguiti nell'esperienza autonoma.

Alcuni prompt di esempio includono:

  • Mostra gli ultimi articoli sulle minacce.
  • Ottenere gli articoli sulle minacce associati al settore finanziario.
  • Condividere le tecnologie che sono soggette alla vulnerabilità - CVE-2021-44228.
  • Riepilogare la vulnerabilità CVE-2021-44228.

Per altre informazioni, visitare Microsoft Copilot per la sicurezza e Microsoft Defender Threat Intelligence.

Microsoft Purview

Microsoft Purview è un set completo di soluzioni che consentono all'organizzazione di gestire, proteggere e gestire i dati ovunque si trovino. Le soluzioni Microsoft Purview offrono copertura integrata e consentono di risolvere la frammentazione dei dati tra le organizzazioni, la mancanza di visibilità che ostacola la protezione e la governance dei dati e la sfocatura dei ruoli di gestione IT tradizionali.

Il plug-in Purview in Copilot consente di ottenere dati preziosi e informazioni dettagliate sui rischi utente per identificare l'origine di un attacco e tutti i dati sensibili che potrebbero essere a rischio.

L'acquisizione dello schermo seguente mostra solo un subset delle funzionalità supportate dal plug-in Purview.

Acquisizione dello schermo delle funzionalità di Purview.

Con il plug-in abilitato, l'integrazione di Copilot con Purview può essere sperimentata tramite le esperienze autonome o incorporate. In entrambi i casi e poiché Microsoft Copilot presuppone le autorizzazioni dell'utente quando prova ad accedere ai dati per rispondere alle query, è necessario avere le autorizzazioni necessarie per accedere ai dati. Inoltre, l'organizzazione deve essere concessa in licenza e inserita nelle soluzioni Microsoft Purview applicabili.

Nell'esperienza autonoma, le funzionalità abilitate dal plug-in Purview possono essere eseguite come prompt selezionando tale funzionalità e immettendo l'input richiesto.

Le funzionalità di Copilot possono anche essere sperimentate direttamente dall'interno di soluzioni Purview, tramite l'esperienza incorporata. Gli scenari supportati tramite l'esperienza incorporata sono descritti in modo più dettagliato nel modulo intitolato "Descrivere Microsoft Copilot in Microsoft Purview".

Microsoft Sentinel (anteprima)

Microsoft Sentinel offre funzionalità intelligenti estese all'intera azienda per l'analisi della sicurezza e l'intelligence sulle minacce. Con Microsoft Sentinel si ottiene una singola soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

In Copilot esistono due plug-in separati correlati a Sentinel:

  • Microsoft Sentinel ({review})
  • Da linguaggio naturale a KQL per Microsoft Sentinel (anteprima)

Acquisizione dello schermo del plug-in Sentinel e NL2KQK.

Microsoft Sentinel (anteprima)

Per usare il plug-in Sentinel, all'utente deve essere assegnata un'autorizzazione del ruolo che concede l'accesso a Copilot e a un ruolo specifico di Sentinel, ad esempio il Ruolo con autorizzazioni di lettura di Microsoft Sentinel per accedere agli eventi imprevisti nell'area di lavoro.

Il plug-in Sentinel richiede anche all'utente di configurare l'area di lavoro Sentinel, il nome della sottoscrizione e il nome del gruppo di risorse.

Acquisizione dello schermo della pagina delle impostazioni del plug-in Sentinel.

Le funzionalità del plug-in Sentinel sono incentrate su eventi imprevisti e aree di lavoro. Copilot include inoltre una sequenza di prompt per l'indagine sugli eventi imprevisti di Microsoft Sentinel. Questo promptbook include richieste per ottenere un report su un evento imprevisto specifico, insieme a avvisi correlati, punteggi di reputazione, utenti e dispositivi.

Acquisizione dello schermo del promptbook di Sentinel che può essere eseguito nell'esperienza autonoma.

Acquisizione dello schermo delle richieste dei promptbook di Sentinel.

Da linguaggio naturale a KQL per Microsoft Sentinel (anteprima)

Il plug-in linguaggio naturale per Sentinel KQL (NL2KQLSentinel) converte qualsiasi domanda in linguaggio naturale nel contesto della ricerca delle minacce, in una query KQL pronta per l'esecuzione. Ciò consente ai team di sicurezza di risparmiare tempo generando una query KQL che può quindi essere eseguita automaticamente o ulteriormente modificata in base alle esigenze dell'analista.