Microsoft Sentinel-incidenter i Copilot för säkerhet
Microsoft Copilot for Security är en plattform som hjälper dig att försvara din organisation med maskinhastighet och skala. Microsoft Sentinel tillhandahåller ett plugin-program för Copilot för att analysera incidenter och generera jaktfrågor.
Tillsammans med iterativa uppmaningar med hjälp av andra avancerade Copilot för säkerhetskällor som du aktiverar, ger dina Microsoft Sentinel-incidenter och data större insyn i hot och deras kontext för din organisation.
Mer information om Copilot för säkerhet finns i följande artiklar:
- Kom igång med Microsoft Copilot for Security
- Hantera plugin-program i Microsoft Copilot for Security
- Förstå autentisering i Microsoft Copilot för säkerhet
Integrera Microsoft Sentinel med Copilot för säkerhet
Microsoft Sentinel tillhandahåller två plugin-program för att integrera med Copilot for Security:
- Microsoft Sentinel (förhandsversion)
- Naturligt språk till KQL för Microsoft Sentinel (förhandsversion).
Viktigt!
Plugin-programmet "Microsoft Sentinel" och "Naturligt språk till KQL för Microsoft Sentinel" finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Konfigurera en standardarbetsyta för Microsoft Sentinel
Öka noggrannheten för din fråga genom att konfigurera en Microsoft Sentinel-arbetsyta som standard.
Gå till Copilot för Säkerhet på https://securitycopilot.microsoft.com/.
Öppna källor
i promptfältet.På sidan Hantera plugin-program anger du växlingsknappen till På
Välj kugghjulsikonen i plugin-programmet Microsoft Sentinel (förhandsversion).
Konfigurera standardnamnet för arbetsytan.
Dricks
Ange arbetsytan i prompten när den inte matchar den konfigurerade standardinställningen.
Exempel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrera Microsoft Sentinel med Copilot i Defender
Använd den enhetliga säkerhetsåtgärdsplattformen med dina Microsoft Sentinel-data för en inbäddad Copilot for Security-upplevelse. Med Microsoft Sentinels enhetliga incidenter i Defender-portalen kan Copilot i Defender använda sina funktioner med Microsoft Sentinel-data.
Till exempel:
- SAP-lösningen (förhandsversion) är installerad på din arbetsyta för Microsoft Sentinel.
- Den nära realtidsregeln SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress utlöser en avisering, vilket skapar en Microsoft Sentinel-incident.
- Microsoft Sentinel lades till i den enhetliga säkerhetsåtgärdsplattformen.
- Microsoft Sentinel-incidenter är nu enhetliga med Defender XDR-incidenter.
- Använd Copilot i Microsoft Defender för incidentsammanfattning, guidade svar och incidentrapporter.
Mer information finns i följande resurser:
Integrera Microsoft Sentinel med Copilot for Security i avancerad jakt
Plugin-programmet Naturligt språk till KQL för Microsoft Sentinel (förhandsversion) genererar och kör KQL-jaktfrågor med hjälp av Microsoft Sentinel-data. Den här funktionen är tillgänglig i den fristående upplevelsen och avsnittet avancerad jakt i Microsoft Defender-portalen.
Kommentar
I den enhetliga Microsoft Defender-portalen kan du uppmana Copilot for Security att generera avancerade jaktfrågor för både Defender XDR- och Microsoft Sentinel-tabeller. För närvarande stöds inte alla Microsoft Sentinel-tabeller, men stöd för dessa tabeller kan förväntas i framtiden.
Mer information finns i Copilot for Security i avancerad jakt.
Förbättra dina Microsoft Sentinel-frågor
Betrakta Microsoft Sentinel-incidentutredningspromptboken som en startpunkt för att skapa effektiva frågor. Den här promptbooken levererar en rapport om en specifik incident, tillsammans med relaterade aviseringar, ryktespoäng, användare och enheter.
| Vägledning | Prompt |
|---|---|
| Knuffa Copilot för att ge mänsklig läsbar information i stället för att svara med objekt-ID: er. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot vet vem du är. Använd pronomenet "mig" för att hitta incidenter som är relaterade till dig. Följande fråga riktar sig mot incidenter som tilldelats dig. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| När du begränsar ett snabbsvar till en enda incident känner Copilot till kontexten. | Tell me about the entities associated with that incident. |
| Copilot är bra på att sammanfatta. Beskriv en specifik målgrupp som du vill att prompterna och svaren ska sammanfattas för. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Mer vägledning och exempel finns i följande resurser:
- Använda promptbooks
- Fråga i Microsoft Copilot för säkerhet
- Rod Trents Copilot för Security Prompt Library