Descreva a integração do Microsoft Sentinel ao Copilot da Segurança da Microsoft

  • 3 minutos

O Microsoft Sentinel se integra ao Copilot da Segurança da Microsoft.

Para empresas integradas ao Microsoft Copilot para Segurança, a integração é habilitada por meio de plug-ins acessados pelo portal do Copilot. O Sentinel fornece dois plugins para integração com o Copilot da Segurança:

  • Microsoft Sentinel (versão prévia)
  • Linguagem natural do KQL para Microsoft Sentinel (Versão Prévia)

Captura de tela mostrando os plugins do Microsoft Sentinel.

Plugin do Microsoft Sentinel (Versão Prévia). Para utilizar o plug-in do Sentinel, o usuário precisa receber uma permissão de função que conceda acesso ao Copilot e uma função específica do Sentinel, como o Leitor do Microsoft Sentinel, para acessar incidentes no workspace.

O plugin do Sentinel requer que o usuário configure o workspace do Sentinel, o nome da assinatura e o nome do grupo de recursos.

Captura de tela mostrando os parâmetros de configuração do plugin do Microsoft Sentinel.

Os recursos do plug-in do Sentinel estão concentrados em incidentes e espaços de trabalho. As funcionalidades do Microsoft Sentinel no Copilot são prompts integrados que você pode usar, mas você também pode inserir seus próprios prompts com base nos recursos com suporte.

Captura de tela mostrando os recursos do Microsoft Sentinel.

Além disso, o Copilot inclui um promptbook para investigação de incidentes do Microsoft Sentinel. Esse livro de prompts inclui prompts para obter um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.

O promptbook (sequência de solicitações) de investigação de incidentes do Microsoft Sentinel não é apenas um ótimo ponto de partida para a sua investigação, mas também um ponto de partida para criar prompts eficazes.

Captura de tela mostrando o promptbook de investigação de incidentes do Microsoft Sentinel.

Linguagem natural para o plugin de KQL do Microsoft Sentinel (Versão Prévia). O plug-in NL2KQLSentinel (linguagem natural para a KQL do Sentinel) converte qualquer pergunta em linguagem natural no contexto da busca a ameaças em uma consulta KQL pronta para ser executada. Isso economiza o tempo das equipes de segurança ao gerar uma consulta KQL que pode ser executada automaticamente ou ajustada de acordo com as necessidades do analista. A linguagem natural para KQL para o plug-in Microsoft Sentinel (Versão prévia) gera e executa consultas de busca de KQL utilizando dados do Microsoft Sentinel. Esse recurso está disponível na experiência autônoma e na seção de busca avançada do portal do Microsoft Defender.

Microsoft Sentinel com Copilot no Defender

A integração entre o Microsoft Sentinel e o Copilot pode ser experimentada tanto por meio da experiência autônoma quanto da experiência incorporada usando o portal do Defender. A experiência incorporada que é acessada por meio do portal do Defender usa a plataforma de operações de segurança unificada com seus dados do Microsoft Sentinel.

Incidentes: os incidentes do Microsoft Sentinel agora estão unificados com incidentes do Defender XDR; portanto, você pode usar o Copilot no Microsoft Defender para obter um resumo de incidentes, respostas guiadas e relatórios de incidentes dos incidentes do Sentinel.

Captura de tela da lista unificada de incidentes no portal do Defender.