Integration von Microsoft Security Copilot in Defender EASM

Microsoft Defender External Attack Surface Management (Defender EASM) ermittelt und ordnet ihre digitale Angriffsfläche kontinuierlich zu, um eine externe Ansicht Ihrer Onlineinfrastruktur zu ermöglichen. Diese Transparenz hilft Sicherheits- und IT-Teams dabei, Unbekannte zu identifizieren, Risiken zu priorisieren, Bedrohungen zu beseitigen und die Sicherheits- und Gefährdungssteuerung über die Firewall hinaus zu erweitern. Erkenntnisse zur Angriffsfläche werden durch die Analyse von Sicherheitsrisiko- und Infrastrukturdaten generiert, um die wichtigsten Bereiche zu präsentieren, die für Ihre organization von Bedeutung sind.

Microsoft Security Copilot (Security Copilot)-Integration in Defender EASM hilft Ihnen bei der Interaktion mit von Microsoft entdeckten Angriffsflächen. Die Identifizierung von Angriffsflächen hilft Ihrem organization die externe Infrastruktur und die relevanten, kritischen Risiken schnell zu verstehen. Sie bietet Einblicke in bestimmte Risikobereiche, einschließlich Sicherheitsrisiken, Compliance und Sicherheitshygiene.

Weitere Informationen zu Security Copilot finden Sie unter Was ist Security Copilot?. Informationen zur eingebetteten Security-Copilot-Erfahrung finden Sie unter Ihre Angriffsfläche mit Defender EASM mithilfe von Azure Copilot abfragen.

Was Sie vor Beginn wissen sollten

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit der Lösung vertraut machen, indem Sie die folgenden Artikel lesen:

Sicherheits-Copilot in Defender EASM

Security Copilot kann Erkenntnisse über die Angriffsfläche Ihrer Organisation aus Defender EASM bereitstellen. Sie können die integrierten Funktionen von Security Copilot verwenden. Um weitere Informationen zu erhalten, verwenden Sie Eingabeaufforderungen in Security Copilot. Die Informationen können Ihnen helfen, Ihren Sicherheitsstatus zu verstehen und Sicherheitsrisiken zu minimieren.

Dieser Artikel führt Sie in Security Copilot ein und enthält Beispieleingabeaufforderungen, die Defender EASM Benutzern helfen können.

Hauptmerkmale

Die EASM Security Copilot-Integration kann Ihnen dabei helfen:

  • Holen Sie sich einen Momentaufnahme Ihrer externen Angriffsfläche und gewinnen Sie Einblicke in potenzielle Risiken.

    Sie können einen schnellen Überblick über Ihre externe Angriffsfläche erhalten, indem Sie im Internet verfügbare Informationen in Kombination mit dem Defender EASM proprietären Ermittlungsalgorithmus analysieren. Es bietet eine leicht verständliche Beschreibung in natürlicher Sprache der externen, öffentlich erreichbaren Ressourcen der Organisation, z. B. Hosts, Domänen, Webseiten und IP-Adressen. Es hebt die kritischen Risiken hervor, die mit den einzelnen Risiken verbunden sind.

  • Priorisieren Sie Behebungsmaßnahmen anhand des Asset-Risikos und der Einträge in der Common Vulnerabilities and Exposures (CVE)-Liste.

    Defender EASM hilft Sicherheitsteams dabei, ihre Korrekturmaßnahmen zu priorisieren, indem sie verstehen, welche Ressourcen und CVEs das größte Risiko in ihrer Umgebung darstellen. Es analysiert Sicherheitsrisiko- und Infrastrukturdaten, um wichtige Problembereiche zu präsentieren und bietet eine erklärung der Risiken und empfohlenen Maßnahmen in natürlicher Sprache.

  • Verwenden Sie Security Copilot, um Erkenntnisse zu gewinnen.

    Sie können Security Copilot verwenden, um nach Erkenntnissen zu fragen, indem Sie natürliche Sprache verwenden und Erkenntnisse aus Defender EASM über die Angriffsfläche Ihrer organization extrahieren. Abfragedetails wie die Anzahl der nicht sicheren SSL-Zertifikate (Secure Sockets Layer), erkannte Ports und bestimmte Sicherheitsrisiken, die sich auf die Angriffsfläche auswirken.

  • Beschleunigen Sie die Pflege Ihrer Angriffsfläche.

    Verwenden Sie Security Copilot, um Ihre Angriffsfläche für eine Reihe von Ressourcen mithilfe von Bezeichnungen, externen IDs und Zustandsänderungen zu verwalten. Dieser Prozess beschleunigt die Zusammenstellung, sodass Sie Ihren Bestand schneller und effizienter organisieren können.

Aktivieren der Security Copilot Integration

Um die Security Copilot-Integration in Defender EASM einzurichten, führen Sie die in den folgenden Abschnitten beschriebenen Schritte aus.

Voraussetzungen

Um die Integration zu aktivieren, müssen Folgende Voraussetzungen erfüllt sein:

  • Zugriff auf Microsoft Security Copilot
  • Berechtigungen zum Aktivieren neuer Verbindungen

Verbinden von Security Copilot mit Defender EASM

  1. Greifen Sie auf Security Copilot zu, und stellen Sie sicher, dass Sie authentifiziert sind.

  2. Wählen Sie das Security Copilot-Plug-In-Symbol oben rechts in der Eingabeleiste der Eingabeaufforderung aus.

    Screenshot des Security Copilot-Plug-In-Symbols.

  3. Suchen Sie unter Microsoftnach Defender External Attack Surface Management. Wählen Sie Ein aus, um eine Verbindung herzustellen.

    Screenshot von Defender EASM, aktiviert in Security Copilot.

  4. Wenn Security Copilot Daten aus Ihrer Defender EASM-Ressource abrufen möchten, wählen Sie das Zahnradsymbol aus, um die Plug-In-Einstellungen zu öffnen. Geben Sie Werte mithilfe der Werte aus dem Abschnitt Essentials Ihrer Ressource im Bereich Übersicht ein, oder wählen Sie sie aus.

Screenshot der Defender-EASM-Felder, die in Security Copilot konfiguriert werden müssen.

Hinweis

Sie können Ihre Defender EASM Fähigkeiten auch dann nutzen, wenn Sie noch keine Defender EASM erworben haben. Weitere Informationen finden Sie unter Referenz zu Plug-In-Funktionen.

Beispiele für Defender EASM-Aufforderungen

Security Copilot verwendet in erster Linie Eingabeaufforderungen in natürlicher Sprache. Wenn Sie Informationen aus Defender EASM abrufen, übermitteln Sie einen Prompt, der Security Copilot anweist, das Defender EASM-Plug-In auszuwählen und die entsprechende Funktion aufzurufen.

Für den Erfolg mit den Security Copilot-Eingabeaufforderungen empfehlen wir die folgenden Ansätze:

  • Stellen Sie sicher, dass Sie in der ersten Eingabeaufforderung auf den Firmennamen verweisen. Sofern nicht anders angegeben, stellen alle zukünftigen Aufforderungen dann Daten zum ursprünglich angegebenen Unternehmen bereit.

  • Ihre Prompts sollten klar und spezifisch sein. Möglicherweise erhalten Sie bessere Ergebnisse, wenn Sie bestimmte Ressourcennamen oder Metadatenwerte (z. B. CVE-IDs) in Ihre Eingabeaufforderungen einschließen.

    Es kann auch hilfreich sein, Defender EASM zu Ihrem Prompt hinzuzufügen, wie in diesen Beispielen:

    • Was sind laut Defender EASM meine abgelaufenen Domänen?
    • Informieren Sie mich über Defender EASM Erkenntnisse zur Angriffsfläche mit hoher Priorität.
  • Probieren Sie verschiedene Prompts und Varianten aus, um zu sehen, was für Ihren Anwendungsfall am besten geeignet ist. Die Chat-KI-Modelle variieren, so dass Sie Ihre Prompts auf der Grundlage der Ergebnisse, die Sie erhalten, wiederholen und verfeinern können.

  • Security Copilot speichert Ihre Prompt-Sitzungen. Um vorherige Sitzungen anzuzeigen, wählen Sie in Security Copilot im Menü Meine Sitzungen aus.

    Eine Einführung in Security Copilot, einschließlich der Funktionen zum Anheften und Teilen, finden Sie unter Navigation in Security Copilot.

Weitere Informationen zum Verfassen von Security Copilot-Prompts finden Sie unter Tipps für Prompts in Security Copilot.

Referenz für Pluginfunktionen

Fähigkeit Beschreibung Eingaben Verhaltensweisen
Abrufen einer Zusammenfassung der Angriffsfläche Gibt die Zusammenfassung der Angriffsfläche für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück. Beispieleingaben:
• Angriffsfläche für LinkedIn abrufen.  
• Holen Sie sich meine Angriffsfläche. 
• Was ist die Angriffsfläche für Microsoft?  
• Was ist meine Angriffsfläche? 
• Welche extern zugänglichen Assets gibt es für Azure? 
• Welche extern erreichbaren Assets habe ich? 

Optionale Eingaben:
CompanyName
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Gibt eine Zusammenfassung der Angriffsfläche für die Defender EASM Ressource des Kunden zurück. 

Wenn ein anderer Firmenname angegeben wird:
 • Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück. 
• Wenn es eine exakte Übereinstimmung gibt, gibt das System die Zusammenfassung der Angriffsfläche für den Unternehmensnamen zurück.
Einblicke in die Angriffsfläche erhalten Gibt die Einblicke in die Angriffsfläche für entweder die Defender EASM-Ressource des Kunden oder einen bestimmten Firmennamen zurück.  Beispieleingaben:
• Erhalten Sie Einblicke mit hoher Priorität in die Angriffsfläche von LinkedIn. 
• Erhalten Sie meine hochpriorisierten Einblicke in die Angriffsfläche. 
• Erhalten Sie Erkenntnisse zur Angriffsfläche mit niedriger Priorität für Microsoft. 
• Erhalten Sie Erkenntnisse zur Angriffsfläche mit niedriger Priorität. 
• Habe ich Sicherheitsrisiken mit hoher Priorität in meiner externen Angriffsfläche für Azure? 

Erforderliche Eingaben:
PriorityLevel (Die Prioritätsstufe muss hoch, mittel oder niedrig sein; wenn sie nicht angegeben wird, ist sie standardmäßig hoch)

Optionale Eingaben:
CompanyName (der Firmenname)
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Gibt Einblicke in die Angriffsfläche der Defender EASM-Ressource des Kunden zurück. 

Wenn ein anderer Firmenname angegeben wird:
• Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück.
• Bei exakter Übereinstimmung werden Einblicke in die Angriffsfläche für den Unternehmensnamen zurückgegeben. 
Abrufen von Ressourcen, die von einer CVE betroffen sind Gibt die von einer CVE betroffenen Ressourcen für entweder die Defender EASM-Ressource des Kunden oder einen bestimmten Unternehmensnamen zurück.  Beispieleingaben:

• Abrufen von Ressourcen, die von CVE-2023-0012 für LinkedIn betroffen sind. 
• Welche Ressourcen sind von CVE-2023-0012 für Microsoft betroffen? 
• Ist die externe Angriffsfläche Azure von CVE-2023-0012 betroffen? 
• Assets in meiner Angriffsfläche abrufen, die von CVE-2023-0012 betroffen sind. 
• Welche meiner Ressourcen sind von CVE-2023-0012 betroffen? 
• Wirkt sich CVE-2023-0012 auf meine externe Angriffsfläche aus? 

Erforderliche Eingaben:
CveId

Optionale Eingaben:
CompanyName
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Wenn die Plugin-Einstellungen nicht ausgefüllt wurden, reagieren Sie angemessen und weisen Sie die Kunden darauf hin. 
• Wenn Plug-In-Einstellungen ausgefüllt sind, werden die von einer CVE betroffenen Ressourcen für die Defender EASM Ressource des Kunden zurückgegeben.

Wenn ein anderer Firmenname angegeben wird:
• Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück. 
• Wenn es eine genaue Übereinstimmung gibt, werden die von einer CVE betroffenen Assets für den angegebenen Firmennamen zurückgegeben. 
Abrufen von Ressourcen, die von einer CVSS betroffen sind Gibt die Ressourcen zurück, die von einer CVSS-Bewertung (Common Vulnerability Scoring System) für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen betroffen sind.  Beispieleingaben:
• Ressourcen abrufen, die von hoch priorisierten CVSS-Bewertungen in LinkedIns Angriffsfläche betroffen sind.
• Wie viele Assets haben für Microsoft einen kritischen CVSS-Score? 
• Welche Ressourcen weisen kritische CVSS-Bewertungen für Azure auf? 
• Rufen Sie die Assets in meiner Angriffsfläche ab, die von hoch priorisierten CVSS-Bewertungen betroffen sind. 
• Wie viele meiner Assets haben kritische CVSS-Scores? 
• Welche meiner Assets haben kritische CVSS-Werte? 

Erforderliche Eingaben:
CvssPriority (die CVSS-Priorität muss kritisch, hoch, mittel oder niedrig sein)

Optionale Eingaben:
CompanyName
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Wenn die Plugin-Einstellungen nicht konfiguriert sind, reagieren Sie ordnungsgemäß und weisen Sie die Kunden darauf hin. 
• Wenn die Plugin-Einstellungen ausgefüllt wurden, werden die Assets zurückgegeben, die von einem CVSS-Wert für die Defender EASM-Ressource des Kunden betroffen sind.

Wenn ein anderer Firmenname angegeben wird:
• Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück. 
• Wenn es eine genaue Übereinstimmung gibt, werden die von einem CVSS-Score betroffenen Assets für den angegebenen Firmennamen zurückgegeben. 
Abgelaufene Domains abrufen Gibt die Anzahl der abgelaufenen Domänen für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück.  Beispieleingaben:
• Wie viele Domänen sind auf der Angriffsfläche von LinkedIn abgelaufen?  
• Wie viele Ressourcen verwenden abgelaufene Domänen für Microsoft? 
• Wie viele Domänen sind in meiner Angriffsfläche abgelaufen?  
• Wie viele meiner Ressourcen verwenden abgelaufene Domänen für Microsoft? 

Optionale Eingaben:
CompanyName
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Gibt die Anzahl der abgelaufenen Domänen für die Defender EASM Ressource des Kunden zurück.

Wenn ein anderer Firmenname angegeben wird:
• Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück. 
• Wenn eine genaue Übereinstimmung vorliegt, gibt die Anzahl der abgelaufenen Domänen für den spezifischen Firmennamen zurück. 
Abrufen abgelaufener Zertifikate Gibt die Anzahl der abgelaufenen SSL-Zertifikate für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück.  Beispieleingaben:
• Wie viele SSL-Zertifikate sind für LinkedIn abgelaufen?  
• Wie viele Ressourcen verwenden abgelaufene SSL-Zertifikate für Microsoft? 
• Wie viele SSL-Zertifikate sind für meine Angriffsfläche abgelaufen?  
• Was sind meine abgelaufenen SSL-Zertifikate? 

Optionale Eingaben:
CompanyName
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Gibt die Anzahl der SSL-Zertifikate für die Defender EASM Ressource des Kunden zurück.

Wenn ein anderer Firmenname angegeben wird:
 • Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück. 
 • Wenn eine genaue Übereinstimmung vorliegt, gibt die Anzahl der SSL-Zertifikate für den spezifischen Firmennamen zurück. 
SHA1-Zertifikate abrufen Gibt die Anzahl der SHA1-SSL-Zertifikate für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück.  Beispieleingaben:
• Wie viele SSL SHA1-Zertifikate sind für LinkedIn vorhanden?  
• Wie viele Ressourcen verwenden SSL SHA1 für Microsoft? 
• Wie viele SSL SHA1-Zertifikate sind für meine Angriffsfläche vorhanden?  
• Wie viele meiner Ressourcen verwenden SSL SHA1? 

Optionale Eingaben:
CompanyName
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist:
• Gibt die Anzahl der SHA1-SSL-Zertifikate für die Defender EASM Ressource des Kunden zurück.

Wenn ein anderer Firmenname angegeben wird:
 • Wenn keine genaue Übereinstimmung für den Unternehmensnamen gefunden wird, gibt es eine Liste möglicher Übereinstimmungen zurück. 
 • Wenn eine genaue Übereinstimmung vorliegt, wird die Anzahl der SHA1-SSL-Zertifikate für den spezifischen Firmennamen zurückgegeben. 
Übersetzen natürlicher Sprache in eine Defender EASM Abfrage Übersetzt alle Fragen in natürlicher Sprache in eine Defender EASM Abfrage und gibt die Ressourcen zurück, die der Abfrage entsprechen. Beispieleingaben:
• Welche Ressourcen verwenden jQuery Version 3.1.0?
• Zeige mir die Hosts in meiner Angriffsfläche mit offenem Port 80.
• Suchen Sie alle Seiten-, Host- und ASN-Ressourcen in meinem Bestand, die eine IP-Adresse wie IP X, IP Y oder IP Z haben.
• Welche meiner Assets haben als E-Mail-Adresse des Registranten <name@example.com>?
Wenn Ihr Plug-In für eine aktive Defender EASM-Ressource konfiguriert ist:
• Gibt die Ressourcen zurück, die mit der übersetzten Abfrage übereinstimmen.

Wechseln zwischen Ressourcen- und Unternehmensdaten

Obwohl wir ressourcenintegration für unsere Fähigkeiten hinzugefügt haben, unterstützen wir weiterhin das Abrufen von Daten aus vordefinierten Angriffsflächen für bestimmte Unternehmen. Um die Genauigkeit von Security Copilot bei der Erkennung zu verbessern, wann ein Kunde auf seine Angriffsfläche oder auf eine vorgefertigte Angriffsfläche des Unternehmens zugreifen möchte, empfehlen wir, my, my attack surface usw. zu verwenden, um anzugeben, dass Sie Ihre eigene Ressource verwenden möchten. Verwenden Sie ihrenspezifischen Firmennamen usw., um zu vermitteln, dass Sie eine vordefinierte Angriffsfläche verwenden möchten. Obwohl dieser Ansatz die Erfahrung in einer einzelnen Sitzung verbessert, wird dringend empfohlen, zwei separate Sitzungen zu verwenden, um Verwirrung zu vermeiden.

Feedback geben

Ihr Feedback zu Security Copilot im Allgemeinen und speziell zum Defender EASM Plug-In ist wichtig, um die aktuelle und geplante Entwicklung des Produkts zu steuern. Die optimale Möglichkeit, dieses Feedback zu geben, befindet sich direkt im Produkt, indem Sie die Feedbackschaltflächen unten in jeder abgeschlossenen Eingabeaufforderung verwenden. Wählen Sie Sieht richtig aus, Verbesserungsbedarf oder Unangemessen aus. Wir empfehlen, Sieht richtig aus auszuwählen, wenn das Ergebnis den Erwartungen entspricht, Muss verbessert werden, wenn dies nicht der Fall ist, und Unangemessen, wenn das Ergebnis in irgendeiner Weise schädlich ist.

Wenn immer möglich, und vor allem, wenn das von Ihnen ausgewählte Ergebnis Verbesserung erforderlich ist, schreiben Sie bitte ein paar Worte, um zu erklären, was wir tun können, um das Ergebnis zu verbessern. Diese Anforderung gilt auch, wenn Sie erwarten, dass Security Copilot das Defender EASM-Plug-In aufruft, aber stattdessen ein anderes Plug-In verwendet wird.

Datenschutz und Datensicherheit in Security Copilot

Wenn Sie mit Security Copilot interagieren, um Defender EASM Daten abzurufen, ruft Copilot diese Daten aus Defender EASM ab. Die Eingabeaufforderungen, die abgerufenen Daten und die Ausgabe, die in den Eingabeaufforderungsergebnissen angezeigt wird, werden verarbeitet und im Security Copilot-Dienst gespeichert.

Weitere Informationen zum Datenschutz in Security Copilot finden Sie unter Datenschutz und Datensicherheit in Security Copilot.