Integração do Firewall de Aplicativo Web do Azure no Microsoft Copilot para Segurança (versão prévia)

Importante

No momento, a integração do Firewall de Aplicativo Web do Azure no Copilot para Segurança está na VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Copilot para Segurança é uma plataforma de IA baseada na nuvem que fornece experiência de copilot de linguagem natural. Ele pode ajudar a dar suporte a profissionais de segurança em diferentes cenários, como resposta a incidentes, busca de ameaças e coleta de inteligência. Para obter mais informações, consulte O que é o Microsoft Copilot para Segurança?

A integração do WAF (Firewall de Aplicativo Web) do Azure no Copilot da Segurança da Microsoft permite uma investigação detalhada dos eventos do WAF do Azure. Ele pode ajudá-lo a investigar os logs de WAF disparados pelo WAF do Azure em questão de minutos e fornecer vetores de ataque relacionados usando respostas de linguagem natural na velocidade do computador. Ele fornece visibilidade do cenário de ameaças do seu ambiente. Ele permite que você recupere uma lista das regras de WAF disparadas com mais frequência e identifique os principais IPaddresses ofensivos em seu ambiente.

Há suporte para a integração do Copilot da Segurança da Microsoft no WAF do Azure integrado ao Gateway de Aplicativo do Azure e no WAF do Azure integrado ao Azure Front Door.

Antes de começar

Se você é novo no Copilot da Segurança da Microsoft, deve se familiarizar com ele lendo estes artigos:

Integração do Copilot da Segurança da Microsoft no WAF do Azure

Essa integração dá suporte à experiência autônoma e é acessada por meio de https://securitycopilot.microsoft.com. Essa é uma experiência semelhante ao chat que você pode usar para fazer perguntas e obter respostas sobre seus dados. Para obter mais informações, consulte Experiências do Microsoft Copilot para Segurança.

Principais recursos

A experiência autônoma de visualização no WAF do Azure pode ajudá-lo:

  • Fornecimento de uma lista das principais regras do WAF do Azure disparadas no ambiente do cliente e geração de um contexto detalhado com vetores de ataque relacionados.

    Essa funcionalidade fornece detalhes sobre as regras do WAF do Azure que são disparadas devido a um bloqueio do WAF. Fornece uma lista ordenada de regras com base na frequência de gatilho no período de tempo desejado. Ela faz isso ao analisar logs do WAF do Azure e conectar logs relacionados durante um período de tempo específico. O resultado é uma explicação de linguagem natural fácil de entender por que uma solicitação específica foi bloqueada.

  • Fornecimento de uma lista de endereços IP mal-intencionados no ambiente do cliente e geração de ameaças relacionadas.

    Essa funcionalidade fornece detalhes sobre os endereços IP do cliente bloqueados pelo WAF do Azure. Ela faz isso ao analisar logs do WAF do Azure e conectar logs relacionados durante um período de tempo específico. O resultado é uma explicação em linguagem natural fácil de entender sobre quais endereços IP o WAF bloqueou e o motivo dos bloqueios.

  • Resumo dos ataques de SQLi (injeção de SQL).

    Essa habilidade do WAF do Azure fornece insights sobre por que ele bloqueia ataques de SQLi (injeção de SQL) em aplicativos Web. Ela faz isso ao analisar logs do WAF do Azure e conectar logs relacionados durante um período de tempo específico. O resultado é uma explicação de linguagem natural fácil de entender por que uma solicitação de SQLi foi bloqueada.

  • Resumo de ataques de XSS (cross-site scripting).

    Essa habilidade do WAF do Azure ajuda você a entender por que o WAF do Azure bloqueou ataques de XSS (cross-site scripting) em aplicativos Web. Ela faz isso ao analisar logs do WAF do Azure e conectar logs relacionados durante um período de tempo específico. O resultado é uma explicação de linguagem natural fácil de entender por que uma solicitação de XSS foi bloqueada.

Integração do WAF do Azure no Copilot da Segurança

Para habilitar a integração, siga estas etapas:

  1. Verifique se você tem pelo menos permissões de colaborador do Copilot.
  2. Abra o https://securitycopilot.microsoft.com/.
  3. Abra o menu do Copilot da Segurança.
  4. Abra Fontes na barra de prompts.
  5. Na página Plug-ins, defina a alternância do Firewall de Aplicativo Web do Azure como Ativado.
  6. Selecione as Configurações no plug-in do Firewall de Aplicativo Web do Azure para configurar o workspace do Log Analytics, a ID da assinatura do Log Analytics e o nome do grupo de recursos do Log Analytics para o WAF do Azure Front Door e/ou o WAF do Gateway de Aplicativo do Azure. Você também pode configurar o URI de política do WAF do Gateway de Aplicativo e/ou o URI de política do WAF do Azure Front Door.
  7. Para começar a usar as habilidades, use a barra de prompts. Captura de tela mostrando a barra de prompts do Copilot da Segurança da Microsoft.

Exemplo de prompts do WAF do Azure

Você pode criar seus próprios prompts no Copilot da Segurança da Microsoft para executar a análise sobre os ataques com base nos logs do WAF. Esta seção mostra algumas ideias e exemplos.

Antes de começar

  • Seja claro e específico em seus prompts. Você poderá obter melhores resultados se incluir IDs/nomes de dispositivo específicos, nomes de aplicativos ou nomes de política em seus prompts.

    Também pode ajudar a adicionar o WAF ao prompt. Por exemplo:

    • Houve algum ataque de injeção de SQL no meu WAF regional no último dia?
    • Fale-me mais sobre as principais regras disparadas no meu WAF global
  • Experimente diferentes prompts e variações para ver o que funciona melhor para seu caso de uso. Os modelos de IA de chat variam, portanto, repita e refine seus prompts de acordo com os resultados que você receber Para obter orientação sobre como escrever prompts eficazes, consulte Criar seus próprios prompts.

Os prompts de exemplo a seguir podem ser úteis.

Resumir informações sobre ataques de injeção de SQL

  • Houve um ataque de injeção de SQL no meu WAF global no último dia?
  • Mostre-me endereços IP relacionados ao principal ataque de injeção de SQL no meu WAF global
  • Mostre-me todos os ataques de injeção de SQL no WAF regional nas últimas 24 horas

Resumir informações sobre ataques de cross-site scripting

  • Algum ataque de XSS foi detectado no meu WAF do AppGW nas últimas 12 horas?
  • Mostre-me a lista de todos os ataques de XSS no WAF do Azure Front Door

Gerar uma lista de ameaças em meu ambiente de acordo com as regras do WAF

  • Quais foram as principais regras globais do WAF disparadas nas últimas 24 horas?
  • Quais são as principais ameaças relacionadas à regra do WAF no meu ambiente? <inserir ID da regra>
  • Houve algum ataque de bot no meu WAF regional no último dia?
  • Resuma bloqueios de regras personalizadas disparados pelo WAF do Azure Front Door no último dia.

Gerar uma lista de ameaças no meu ambiente de acordo com endereços IP mal-intencionados

  • Qual foi o principal IP ofensivo no WAF regional no último dia?
  • Resumir a lista de endereços IP mal-intencionados no WAF do Azure Front Door nas últimas seis horas?

Enviar comentários

Seus comentários sobre a integração do WAF do Azure com o Copilot da Segurança da Microsoft ajudam no desenvolvimento. Para fornecer comentários no Copilot, selecione Qual é a resposta? Na parte inferior de cada prompt concluído, escolha qualquer uma das seguintes opções:

  • Parece correto – selecione se os resultados são precisos, de acordo com sua avaliação.
  • Precisa melhorar: Selecione se algum detalhe dos resultados estiver incorreto ou incompleto, com base em sua avaliação.
  • Inadequado – selecione se os resultados contêm informações questionáveis, ambíguas ou potencialmente prejudiciais.

Para cada item de comentários, você pode fornecer mais informações na próxima caixa de diálogo exibida. Sempre que possível e quando o resultado for Precisa melhorar, escreva algumas palavras explicando o que pode ser feito para melhorar o resultado.

Limitação

Se você migrar para tabelas dedicadas do Azure Log Analytics no WAF do Application Gateway versão V2, as habilidades do WAF do Copilot da Segurança da Microsoft não serão funcionais. Como uma solução alternativa temporária, habilite o Diagnóstico do Azure como a tabela de destino, além da tabela específica do recurso.

Privacidade e segurança de dados no Microsoft Copilot para Segurança

Para entender como o Microsoft Copilot para Segurança lida com seus prompts e os dados recuperados do serviço(saída do prompt), consulte Privacidade e segurança de dados no Microsoft Copilot para Segurança.