Incidentes do Microsoft Sentinel no Copilot para Segurança
O Microsoft Copilot para Segurança é uma plataforma que ajuda você a defender sua organização em velocidade e escala do computador. O Microsoft Sentinel fornece um plug-in para o Copilot para ajudar a analisar incidentes e gerar consultas de busca.
Juntamente com os prompts iterativos que usam outras fontes sofisticadas do Copilot para Segurança que você habilita, seus incidentes e dados do Microsoft Sentinel fornecem uma visibilidade mais ampla das ameaças e do contexto delas para sua organização.
Para obter mais informações sobre o Copilot para Segurança, consulte os artigos a seguir:
- Introdução ao Microsoft Copilot para Segurança
- Gerenciar plug-ins no Microsoft Copilot for Security
- Entenda a autenticação no Microsoft Copilot para Segurança
Integrar o Microsoft Sentinel com o Copilot para Segurança
O Microsoft Sentinel fornece dois plug-ins para integração com o Copilot para Segurança:
- Microsoft Sentinel (versão prévia)
- Linguagem natural do KQL para o Microsoft Sentinel (Versão prévia).
Importante
Os plugins "Microsoft Sentinel" e "Natural Language to KQL for Microsoft Sentinel" estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Configurar um espaço de trabalho padrão do Microsoft Sentinel
Aumente a precisão do seu prompt configurando um Workspace do Microsoft Sentinel como padrão.
Navegue até o Copilot para Segurança em https://securitycopilot.microsoft.com/.
Abra Fontes
na barra de comandos.Na página Gerenciar plug-ins, defina o botão de alternância como Ativado
Selecione o ícone de engrenagem no plug-in do Microsoft Sentinel (Preview).
Configure o nome padrão do espaço de trabalho.
Dica
Especifique o espaço de trabalho em seu prompt quando ele não corresponder ao padrão configurado.
Exemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrar o Microsoft Sentinel ao Copilot no Defender
Use a plataforma de operações de segurança unificada com seus dados do Microsoft Sentinel para obter uma experiência inserida do Copilot para Segurança. Os incidentes unificados do Microsoft Sentinel no portal do Defender permitem que o Copilot no Defender use seus recursos com os dados do Microsoft Sentinel.
Por exemplo:
- A solução SAP (Versão prévia) está instalada em seu Workspace do Microsoft Sentinel.
- A regra de tempo quase real SAP - (Versão prévia) Arquivo Baixado de um Endereço IP Malicioso aciona um alerta, criando um incidente no Microsoft Sentinel.
- Microsoft Sentinel foi adicionado à plataforma unificada de operações de segurança.
- Os incidentes do Microsoft Sentinel agora são unificados com os incidentes do Defender XDR.
- Use o Copilot no Microsoft Defender para resumo de incidentes, respostas guiadas e relatórios de incidentes.
Para saber mais, consulte os recursos a seguir:
Integrar o Microsoft Sentinel com o Copilot para segurança na busca avançada
A linguagem natural para KQL para o plug-in Microsoft Sentinel (Versão prévia) gera e executa consultas de busca de KQL utilizando dados do Microsoft Sentinel. Esse recurso está disponível na experiência autônoma e na seção de busca avançada do portal do Microsoft Defender.
Observação
No portal unificado do Microsoft Defender, você pode solicitar que o Copilot para Segurança gere consultas de busca avançadas para as tabelas do Defender XDR e do Microsoft Sentinel. Nem todas as tabelas do Microsoft Sentinel têm suporte no momento, mas o suporte a essas tabelas pode ser esperado no futuro.
Para obter mais informações, consulte Copilot para Segurança na busca avançada.
Aprimore seus prompts do Microsoft Sentinel
Considere a sequência de solicitações Investigação de incidentes do Microsoft Sentinel como um ponto de partida para a criação de prompts eficazes. Essa sequência de solicitações fornece um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.
| Diretrizes | Prompt |
|---|---|
| Incentive o Copilot a fornecer informações legíveis por humanos em vez de responder com IDs de objetos. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| O Copilot sabe quem você é. Use o pronome "me" para encontrar incidentes relacionados a você. O prompt a seguir tem como alvo os incidentes atribuídos a você. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando você restringe a resposta de um prompt a um único incidente, o Copilot conhece o contexto. | Tell me about the entities associated with that incident. |
| O Copilot é bom em resumir. Descreva um público-alvo específico para o qual você deseja que os prompts e as respostas sejam resumidos. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obter mais diretrizes e exemplos de prompts, consulte os seguintes recursos:
- Usando sequências de solicitações
- Prompt no Microsoft Copilot para Segurança
- Biblioteca de prompts do Copilot para Segurança de Rod Trent