Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot ist eine Plattform, die Ihnen hilft, Ihre Organisation mit der Geschwindigkeit und Skalierbarkeit von Maschinen zu schützen. die umfangreichen Sicherheitsdaten von Microsoft Sentinel sind eine hervorragende Quelle für Copilot, um Incidents zu analysieren und Hunting-Abfragen zu generieren.
Zusammen mit anderen Security Copilot Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel Incidents und Daten einen größeren Einblick in Bedrohungen und deren Kontext für Ihre organization.
Was Sie vor Beginn wissen sollten
Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot Erfahrungen
- Erste Schritte mit Microsoft Security Copilot
- Authentifizierung in Microsoft Security Copilot verstehen
- Eingabeaufforderung in Microsoft Security Copilot
Security Copilot Integration mit Microsoft Sentinel
Diese Integration unterstützt in erster Linie die eigenständige Benutzeroberfläche, auf die über https://securitycopilot.microsoft.comzugegriffen wird, auf der Sie in einer chatähnlichen Umgebung interagieren, um Incidents zusammenzufassen und andere Antworten zu Ihren Sicherheitsdaten zu erhalten. Weitere Informationen finden Sie unter Microsoft Security Copilot Erfahrungen.
Hauptmerkmale
Daten von Microsoft Sentinel werden im Defender-Portal wie folgt in Security Copilot integriert:
- Wenn Sie auch über Microsoft Defender XDR verfügen, profitiert Copilot in Microsoft Defender XDR von einheitlichen Vorfällen, die in Microsoft Sentinel integriert sind.
- In der eigenständigen Umgebung stellt Microsoft Sentinel die folgenden Plug-Ins zur Integration in Security Copilot bereit:
Microsoft Sentinel (Vorschau)
Von natürlicher Sprache zu KQL für Microsoft Sentinel (Vorschau).
Aktivieren Security Copilot Integration mit Microsoft Sentinel
Gehen Sie wie folgt vor, um ihre Security Copilot Integration mit Microsoft Sentinel zu maximieren:
- Konfigurieren eines standardbasierten Microsoft Sentinel-Arbeitsbereichs für Security Copilot
- Verbinden Ihres Microsoft Sentinel Arbeitsbereichs mit Microsoft Defender XDR
Konfigurieren eines standardbasierten Microsoft Sentinel Arbeitsbereichs
Erhöhen Sie die Genauigkeit der Eingabeaufforderung, indem Sie einen Microsoft Sentinel Arbeitsbereich als Standard konfigurieren.
Navigieren Sie zu Security Copilot unter https://securitycopilot.microsoft.com/.
Öffnen Sie Quellen
in der Eingabeaufforderungsleiste.Legen Sie auf der Seite Plug-Ins verwalten die Umschaltfläche auf Ein fest.
Wählen Sie das Zahnradsymbol im Microsoft Sentinel(Vorschau)-Plug-In aus.
Konfigurieren Sie den Standardarbeitsbereichsnamen.
Tipp
Geben Sie den Arbeitsbereich in Ihrer Eingabeaufforderung an, wenn er nicht mit der konfigurierten Standardeinstellung übereinstimmt.
Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrieren von Microsoft Sentinel mit Copilot in Defender
Verwenden Sie das Microsoft Defender-Portal mit Ihren Microsoft Sentinel-Daten für ein integriertes Security Copilot-Erlebnis. Die einzigartigen Datenquellen von Microsoft Sentinel, die in die vereinheitlichten Incidents in Microsoft Defender XDR einfließen, ermöglichen es Copilot in Defender, seine Möglichkeiten optimal auszuschöpfen.
Zum Beispiel:
- Die SAP-Lösung (Vorschauversion) wird in Ihrem Arbeitsbereich für Microsoft Sentinel installiert.
- Die Regel SAP - (Vorschau) Datei von einer schädlichen IP-Adresse heruntergeladen wird nahezu in Echtzeit ausgelöst, wodurch ein Microsoft Sentinel-Vorfall erstellt wird.
- Microsoft Sentinel wurde in das Defender-Portal integriert.
- Microsoft Sentinel Incidents werden jetzt mit Defender XDR-Vorfällen vereinheitlicht.
- Verwenden Sie Copilot in Microsoft Defender für die Zusammenfassung von Vorfällen, geführte Reaktionen und Incidentberichte.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Microsoft Defender XDR integrieren
- Microsoft Sentinel im Microsoft Defender-Portal
- Copilot in Microsoft Defender
Integrieren Sie Microsoft Sentinel mit Security Copilot in Advanced Hunting
Das Plugin „Von natürlicher Sprache in KQL“ für Microsoft Sentinel (Vorschau) generiert und führt KQL-Hunting-Abfragen mithilfe von Microsoft-Sentinel-Daten aus. Diese Funktion ist in der eigenständigen Benutzeroberfläche und im Abschnitt "Erweiterte Suche" des Microsoft Defender-Portals verfügbar.
Hinweis
Im einheitlichen Microsoft-Defender-Portal können Sie Security Copilot anweisen, erweiterte Suchabfragen für Tabellen in Defender XDR und Microsoft Sentinel zu generieren. Nicht alle Microsoft Sentinel Tabellen werden derzeit unterstützt.
Weitere Informationen finden Sie unter Security Copilot in Advanced Hunting.
Beispiel für Microsoft Sentinel-Eingabeaufforderungen
Betrachten Sie das Microsoft Sentinel Promptbook zur Untersuchung von Vorfällen als Ausgangspunkt für die Erstellung effektiver Eingabeaufforderungen. Dieses Promptbook liefert einen Bericht zu einem bestimmten Incident sowie zugehörige Warnungen, Reputationsbewertungen, Benutzer und Geräte.
| Anleitung | Eingabeaufforderung |
|---|---|
| Veranlassen Sie Copilot, menschenlesbare Informationen bereitzustellen, anstatt mit Objekt-IDs zu antworten. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot weiß, wer Sie sind. Verwenden Sie das "Ich"-Pronomen, um Vorfälle im Zusammenhang mit Ihnen zu finden. Die folgende Eingabeaufforderung zielt auf Ihnen zugewiesene Vorfälle ab. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Wenn Sie eine Eingabeaufforderungsantwort auf einen einzelnen Vorfall eingrenzen, kennt Copilot den Kontext. | Tell me about the entities associated with that incident. |
| Copilot ist gut in der Zusammenfassung. Beschreiben Sie eine bestimmte Zielgruppe, für die die Eingabeaufforderungen und Antworten zusammengefasst werden sollen. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Weitere Hinweise und Beispiele zu Prompts finden Sie in den folgenden Ressourcen:
- Verwenden von Promptbooks
- Eingabeaufforderung in Microsoft Security Copilot
- Rod Trents Security Copilot-Eingabeaufforderungsbibliothek
Feedback geben
Ihr Feedback ist wichtig, um die aktuelle und geplante Entwicklung des Produkts zu steuern. Die beste Möglichkeit, dieses Feedback zu geben, ist direkt im Produkt. Wählen Sie unten bei jedem abgeschlossenen Prompt Wie war diese Antwort? aus und dann eine der folgenden Optionen:
- Sieht richtig aus : Wählen Sie basierend auf Ihrer Bewertung aus, ob die Ergebnisse korrekt sind.
- Verbesserungsbedarf – Wählen Sie diese Option, wenn anhand Ihrer Bewertung irgendwelche Details in den Ergebnissen falsch oder unvollständig sind.
- Unangemessen : Wählen Sie aus, ob die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.
Für jede Feedbackoption können Sie im nächsten angezeigten Dialogfeld weitere Informationen bereitstellen. Wenn möglich, und insbesondere, wenn das Ergebnis Verbesserung erforderlich ist, schreiben Sie ein paar Worte, die erklären, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie spezifische Eingabeaufforderungen für Azure Firewall eingegeben haben und die Ergebnisse nicht im Zusammenhang stehen, schließen Sie diese Informationen ein.
Datenschutz und Datensicherheit in Security Copilot
Informationen dazu, wie Security Copilot Ihre Eingabeaufforderungen und die vom Dienst abgerufenen Daten (Eingabeaufforderungsausgabe) behandelt, finden Sie unter Datenschutz und Datensicherheit in Microsoft Security Copilot.