Badanie zdarzeń usługi Microsoft Sentinel w rozwiązaniu Copilot for Security
Microsoft Copilot for Security to platforma, która pomaga bronić organizacji przy szybkości i skali maszyny. Usługa Microsoft Sentinel udostępnia wtyczkę copilot, która ułatwia analizowanie zdarzeń i generowanie zapytań dotyczących wyszukiwania zagrożeń.
Wraz z iteracyjnymi monitami przy użyciu innych zaawansowanych źródeł zabezpieczeń, które włączasz, zdarzenia i dane usługi Microsoft Sentinel zapewniają szerszy wgląd w zagrożenia i ich kontekst dla organizacji.
Aby uzyskać więcej informacji na temat rozwiązania Copilot for Security, zobacz następujące artykuły:
- Wprowadzenie do rozwiązania Microsoft Copilot for Security
- Zarządzanie wtyczkami w rozwiązaniu Microsoft Copilot for Security
- Omówienie uwierzytelniania w rozwiązaniu Microsoft Copilot for Security
Integrowanie usługi Microsoft Sentinel z rozwiązaniem Copilot for Security
Usługa Microsoft Sentinel udostępnia dwie wtyczki do integracji z rozwiązaniem Copilot for Security:
- Microsoft Sentinel (wersja zapoznawcza)
- Język naturalny do języka KQL dla usługi Microsoft Sentinel (wersja zapoznawcza).
Ważne
Wtyczki "Microsoft Sentinel" i "Język naturalny do języka naturalnego do języka KQL dla usługi Microsoft Sentinel" są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Konfigurowanie domyślnego obszaru roboczego usługi Microsoft Sentinel
Zwiększ dokładność monitu, konfigurując obszar roboczy usługi Microsoft Sentinel jako domyślny.
Przejdź do witryny Copilot w celu uzyskania zabezpieczeń pod adresem https://securitycopilot.microsoft.com/.
Otwórz źródła na pasku monitu.
Na stronie Zarządzanie wtyczkami ustaw przełącznik na Wł.
Wybierz ikonę koła zębatego w wtyczki Microsoft Sentinel (wersja zapoznawcza).
Skonfiguruj domyślną nazwę obszaru roboczego.
Napiwek
Określ obszar roboczy w wierszu polecenia, gdy nie jest zgodny ze skonfigurowanym ustawieniem domyślnym.
Przykład: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integracja usługi Microsoft Sentinel z rozwiązaniem Copilot w usłudze Defender
Użyj ujednoliconej platformy operacji zabezpieczeń z danymi usługi Microsoft Sentinel w celu uzyskania osadzonego rozwiązania Copilot for Security. Ujednolicone zdarzenia usługi Microsoft Sentinel w portalu usługi Defender umożliwiają usłudze Copilot w usłudze Defender korzystanie z jego możliwości z danymi usługi Microsoft Sentinel.
Na przykład:
- Rozwiązanie SAP (wersja zapoznawcza) jest instalowane w obszarze roboczym dla usługi Microsoft Sentinel.
- Plik SAP — (wersja zapoznawcza) reguły niemal w czasie rzeczywistym pobrany ze złośliwego adresu IP wyzwala alert, tworząc zdarzenie usługi Microsoft Sentinel.
- Usługa Microsoft Sentinel została dodana do ujednoliconej platformy operacji zabezpieczeń.
- Zdarzenia usługi Microsoft Sentinel są teraz ujednolicone z incydentami XDR w usłudze Defender.
- Użyj narzędzia Copilot w usłudze Microsoft Defender, aby uzyskać podsumowanie zdarzeń, odpowiedzi z przewodnikiem i raporty o zdarzeniach.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender.
- Copilot w usłudze Microsoft Defender
Integrowanie usługi Microsoft Sentinel z rozwiązaniem Copilot for Security w zaawansowanym wyszukiwaniu zagrożeń
Wtyczka języka naturalnego do języka KQL dla usługi Microsoft Sentinel (wersja zapoznawcza) generuje i uruchamia zapytania wyszukiwania KQL przy użyciu danych usługi Microsoft Sentinel. Ta funkcja jest dostępna w środowisku autonomicznym i w sekcji zaawansowanego wyszukiwania zagrożeń w portalu Usługi Microsoft Defender.
Uwaga
W ujednoliconym portalu usługi Microsoft Defender możesz wyświetlić monit Copilot for Security, aby wygenerować zaawansowane zapytania wyszukiwania zagrożeń zarówno dla tabel Defender XDR, jak i Microsoft Sentinel. Nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane, ale obsługa tych tabel może być oczekiwana w przyszłości.
Aby uzyskać więcej informacji, zobacz Copilot for Security in advanced hunting (Copilot for Security in advanced hunting).
Ulepszanie monitów usługi Microsoft Sentinel
Rozważ podręcznik monitu badania zdarzeń usługi Microsoft Sentinel jako punkt wyjścia do tworzenia skutecznych monitów. Ten element promptbook dostarcza raport dotyczący określonego zdarzenia wraz z powiązanymi alertami, ocenami reputacji, użytkownikami i urządzeniami.
Wskazówki | Monit |
---|---|
Posuń Copilot, aby zapewnić czytelne dla człowieka informacje zamiast odpowiadać na identyfikatory obiektów. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
Copilot wie, kim jesteś. Użyj zaimka "me", aby znaleźć zdarzenia związane z Tobą. Poniższy monit dotyczy przypisanych zdarzeń. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
Gdy zawęzisz odpowiedź monitu do pojedynczego zdarzenia, copilot zna kontekst. | Tell me about the entities associated with that incident. |
Copilot jest dobry w podsumowaniu. Opisz określoną grupę odbiorców, dla której mają zostać podsumowane monity i odpowiedzi. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Aby uzyskać więcej wskazówek i przykładów, zobacz następujące zasoby:
- Korzystanie z elementów promptbook
- Monitowanie w programie Microsoft Copilot for Security
- Rod Trent's Copilot for Security Prompt Library