Integracja usługi Azure Web Application Firewall w aplikacji Copilot for Security (wersja zapoznawcza)

Microsoft Copilot for Security to oparta na chmurze platforma sztucznej inteligencji, która zapewnia środowisko copilot języka naturalnego. Może pomóc specjalistom ds. bezpieczeństwa w różnych scenariuszach, takich jak reagowanie na incydenty, wykrywanie zagrożeń i gromadzenie danych wywiadowczych. Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Copilot for Security?

Integracja usługi Azure Web Application Firewall (WAF) w aplikacji Copilot for Security umożliwia głębokie badanie zdarzeń zapory aplikacji internetowej platformy Azure. Może to pomóc w zbadaniu dzienników zapory aplikacji internetowej wyzwalanych przez zaporę aplikacji internetowej platformy Azure w ciągu kilku minut i zapewnić powiązane wektory ataków przy użyciu odpowiedzi języka naturalnego z szybkością maszyny. Zapewnia wgląd w krajobraz zagrożeń środowiska. Umożliwia ona pobranie listy najczęściej wyzwalanych reguł zapory aplikacji internetowej i identyfikowanie najbardziej obraźliwych adresów IPaddresses w twoim środowisku.

Integracja rozwiązania Copilot for Security jest obsługiwana zarówno w zaporze aplikacji internetowej platformy Azure zintegrowanej z usługą aplikacja systemu Azure Gateway, jak i zaporą aplikacji internetowej platformy Azure zintegrowaną z usługą Azure Front Door.

Przed rozpoczęciem

Jeśli dopiero zaczynasz korzystać z rozwiązania Copilot for Security, zapoznaj się z nim, czytając następujące artykuły:

• Co to jest microsoft Copilot for Security?
• Microsoft Copilot dla środowisk zabezpieczeń
• Wprowadzenie do rozwiązania Microsoft Copilot for Security
• Omówienie uwierzytelniania w rozwiązaniu Microsoft Copilot for Security
• Monitowanie w programie Microsoft Copilot for Security

Integracja zapory aplikacji internetowej platformy Azure w aplikacji Copilot for Security

Ta integracja obsługuje środowisko autonomiczne i jest dostępne za pośrednictwem programu https://securitycopilot.microsoft.com. Jest to środowisko przypominające czat, którego można użyć do zadawania pytań i uzyskiwania odpowiedzi na temat danych. Aby uzyskać więcej informacji, zobacz Microsoft Copilot for Security experiences (Microsoft Copilot for Security experiences).

Funkcje w środowisku autonomicznym

Autonomiczne środowisko w wersji zapoznawczej w zaporze aplikacji internetowej platformy Azure może pomóc w następujących rozwiązaniach:

• Udostępnianie listy najważniejszych reguł zapory aplikacji internetowej platformy Azure wyzwalanych w środowisku klienta i generowanie głębokiego kontekstu z powiązanymi wektorami ataków.

  Ta funkcja zawiera szczegółowe informacje o regułach zapory aplikacji internetowej platformy Azure, które są wyzwalane z powodu bloku zapory aplikacji internetowej. Udostępnia uporządkowaną listę reguł na podstawie częstotliwości wyzwalacza w żądanym okresie. Robi to przez analizowanie dzienników zapory aplikacji internetowej platformy Azure i łączenie powiązanych dzienników w określonym przedziale czasu. Wynik jest łatwym do zrozumienia wyjaśnieniem, dlaczego określone żądanie zostało zablokowane.

• Podawanie listy złośliwych adresów IP w środowisku klienta i generowanie powiązanych zagrożeń.

  Ta funkcja zawiera szczegółowe informacje o adresach IP klienta zablokowanych przez zaporę aplikacji internetowej platformy Azure. Robi to przez analizowanie dzienników zapory aplikacji internetowej platformy Azure i łączenie powiązanych dzienników w określonym przedziale czasu. Wynik jest łatwym do zrozumienia wyjaśnieniem języka naturalnego, którego adresy IP są blokowane przez zaporę aplikacji internetowej i przyczyną bloków.

• Podsumowanie ataków polegających na wstrzyknięciu kodu SQL (SQLi).

  Ta umiejętność zapory aplikacji internetowej platformy Azure zapewnia wgląd w to, dlaczego blokuje ataki iniekcji SQL (SQLi) na aplikacje internetowe. Robi to przez analizowanie dzienników zapory aplikacji internetowej platformy Azure i łączenie powiązanych dzienników w określonym przedziale czasu. Wynik jest łatwym do zrozumienia wyjaśnieniem języka naturalnego, dlaczego żądanie SQLi zostało zablokowane.

• Podsumowanie ataków skryptowych między witrynami (XSS).

  Ta umiejętność zapory aplikacji internetowej platformy Azure pomaga zrozumieć, dlaczego zapora aplikacji internetowej platformy Azure zablokowała ataki między witrynami (XSS) na aplikacje internetowe. Robi to przez analizowanie dzienników zapory aplikacji internetowej platformy Azure i łączenie powiązanych dzienników w określonym przedziale czasu. Wynik jest łatwym do zrozumienia wyjaśnieniem języka naturalnego, dlaczego żądanie XSS zostało zablokowane.

Włączanie integracji zapory aplikacji internetowej platformy Azure w rozwiązaniu Microsoft Copilot for Security

Aby włączyć integrację, wykonaj następujące kroki:

1. Upewnij się, że masz co najmniej uprawnienia współautora Copilot.
2. Otwórz https://securitycopilot.microsoft.com/.
3. Otwórz menu Microsoft Copilot for Security.
4. Otwórz źródła na pasku monitu.
5. Na stronie Wtyczki ustaw przełącznik Zapora aplikacji internetowej platformy Azure na wartość Włączone.
6. Wybierz Ustawienia w wtyczki Azure Web Application Firewall, aby skonfigurować obszar roboczy usługi Log Analytics, identyfikator subskrypcji usługi Log Analytics oraz nazwę grupy zasobów usługi Log Analytics dla zapory aplikacji internetowej usługi Azure Front Door i/lub zapory aplikacji internetowej bramy aplikacja systemu Azure. Można również skonfigurować identyfikator URI zasad zapory aplikacji internetowej usługi Application Gateway i/lub identyfikator URI zasad zapory aplikacji internetowej usługi Azure Front Door.
7. Aby rozpocząć korzystanie z umiejętności, użyj paska monitu.

Przykładowe monity

Możesz utworzyć własne monity w aplikacji Copilot for Security w celu przeprowadzenia analizy ataków na podstawie dzienników zapory aplikacji internetowej. W tej sekcji przedstawiono kilka pomysłów i przykładów.

Zanim rozpoczniesz

• Twoje polecenia muszą być jasne i konkretne. Jeśli w poleceniach uwzględnisz konkretne identyfikatory/nazwy urządzeń, nazwy aplikacji lub nazwy zasad, możesz uzyskać lepsze wyniki.

  Może to również pomóc w dodaniu zapory aplikacji internetowej do monitu. Na przykład:

  • Czy był jakiś atak polegający na wstrzyknięciu kodu SQL w mojej regionalnej zaporze aplikacji internetowej w ciągu ostatniego dnia?
  • Powiedz mi więcej o najważniejszych regułach wyzwalanych w globalnej zaporze aplikacji internetowej

• Poeksperymentuj z różnymi poleceniami i odmianami, aby zobaczyć, co najlepiej sprawdza się w Twoim przypadku. Modele sztucznej inteligencji czatów różnią się, więc iterują i uściśliją monity na podstawie wyników, które otrzymujesz, Aby uzyskać wskazówki dotyczące pisania skutecznych monitów, zobacz Tworzenie własnych monitów.

Poniższe przykładowe monity mogą być przydatne.

Podsumowanie informacji o atakach polegających na wstrzyknięciu kodu SQL

• Czy był atak polegający na wstrzyknięciu kodu SQL w mojej globalnej zaporze aplikacji internetowej w ciągu ostatniego dnia?
• Pokaż adresy IP związane z atakiem polegającym na wstrzyknięciu kodu SQL w globalnej zaporze aplikacji internetowej
• Pokaż mi wszystkie ataki polegających na wstrzyknięciu kodu SQL w regionalnej zaporze aplikacji internetowej w ciągu ostatnich 24 godzin

Podsumowanie informacji o atakach skryptowych między witrynami

• Czy w ciągu ostatnich 12 godzin wykryto jakikolwiek atak XSS w zaporze aplikacji internetowej AppGW?
• Pokaż listę wszystkich ataków XSS w zaporze aplikacji internetowej usługi Azure Front Door

Generowanie listy zagrożeń w moim środowisku na podstawie reguł zapory aplikacji internetowej

• Jakie były pierwsze globalne reguły zapory aplikacji internetowej wyzwalane w ciągu ostatnich 24 godzin?
• Jakie są najważniejsze zagrożenia związane z regułą zapory aplikacji internetowej w moim środowisku? <wprowadź identyfikator reguły>
• Czy był jakiś atak bota w mojej regionalnej zaporze aplikacji internetowej w ciągu ostatniego dnia?
• Podsumowanie niestandardowych bloków reguł wyzwalanych przez zaporę aplikacji internetowej usługi Azure Front Door w ciągu ostatniego dnia.

Generowanie listy zagrożeń w moim środowisku na podstawie złośliwych adresów IP

• Jaki był najlepszy obraźliwy adres IP w regionalnej zaporze aplikacji internetowej w ciągu ostatniego dnia?
• Podsumowywanie listy złośliwych adresów IP w zaporze aplikacji internetowej usługi Azure Front Door w ciągu ostatnich sześciu godzin?

Przekazywanie opinii

Twoja opinia na temat integracji zapory aplikacji internetowej platformy Azure z rozwiązaniem Copilot for Security pomaga w opracowywaniu. Aby przekazać opinię w aplikacji Copilot, wybierz pozycję Jak jest to odpowiedź? W dolnej części każdego ukończonego monitu wybierz dowolną z następujących opcji:

• Wygląda prawidłowo — wybierz, czy wyniki są dokładne, na podstawie oceny.
• Wymaga poprawy — wybierz, czy jakiekolwiek szczegóły w wynikach są niepoprawne lub niekompletne, na podstawie oceny.
• Nieodpowiednie — wybierz, czy wyniki zawierają wątpliwe, niejednoznaczne lub potencjalnie szkodliwe informacje.

Dla każdego elementu opinii możesz podać więcej informacji w następnym wyświetlonym oknie dialogowym. Jeśli to możliwe, a gdy wynikiem jest poprawa potrzeb, napisz kilka słów wyjaśniających, co można zrobić, aby poprawić wynik.

Ograniczenie

Jeśli przeprowadzono migrację do dedykowanych tabel usługi Azure Log Analytics w wersji 2 zapory aplikacji internetowej usługi Application Gateway, umiejętności copilot for Security WAF nie działają. Jako tymczasowe obejście należy włączyć Diagnostyka Azure jako tabelę docelową oprócz tabeli specyficznej dla zasobów.

Bezpieczeństwo prywatności i danych w programie Microsoft Copilot for Security

Aby dowiedzieć się, jak rozwiązanie Microsoft Copilot for Security obsługuje monity i dane pobierane z usługi (dane wyjściowe monitu), zobacz Prywatność i bezpieczeństwo danych w programie Microsoft Copilot for Security.

Powiązana zawartość

• Co to jest microsoft Copilot for Security?