L'integrazione di Microsoft Security Copilot in Defender EASM

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e alla sicurezza di identificare le incognite, assegnare priorità ai rischi, eliminare le minacce ed estendere la vulnerabilità e il controllo dell'esposizione oltre il firewall. Le informazioni dettagliate sulla superficie di attacco vengono generate analizzando la vulnerabilità e i dati dell'infrastruttura per illustrare le aree principali di interesse per l'organizzazione.

L'integrazione di Microsoft Security Copilot (Security Copilot) in Defender EASM consente di interagire con le superfici di attacco rilevate da Microsoft. L'identificazione delle superfici di attacco consente all'organizzazione di comprendere rapidamente l'infrastruttura esterna e i rischi critici rilevanti. Fornisce informazioni dettagliate su aree specifiche di rischio, tra cui vulnerabilità, conformità e igiene della sicurezza.

Per altre informazioni su Security Copilot, vedere Che cos'è Security Copilot? Per informazioni sull'esperienza di Security Copilot incorporata, vedere Eseguire query sulla superficie di attacco con Defender EASM usando Azure Copilot.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con la soluzione leggendo questi articoli:

Copilot di sicurezza in Defender EASM

Security Copilot può visualizzare informazioni dettagliate da Defender EASM sulla superficie di attacco dell'organizzazione. È possibile usare le funzionalità integrate di Security Copilot. Per ottenere maggiori informazioni, usa i prompt in Security Copilot. Le informazioni consentono di comprendere il comportamento di sicurezza e attenuare le vulnerabilità.

Questo articolo introduce Security Copilot e include prompt di esempio che possono aiutare gli utenti di Defender EASM.

Funzionalità principali

L'integrazione EASM Security Copilot consente di:

  • Ottenere uno snapshot della superficie di attacco esterna e generare informazioni dettagliate sui potenziali rischi.

    È possibile ottenere una visualizzazione rapida della superficie di attacco esterna analizzando le informazioni disponibili su Internet in combinazione con l'algoritmo di individuazione proprietario Defender EASM. Fornisce una spiegazione in linguaggio naturale di facile comprensione degli asset esterni dell'organizzazione, ad esempio host, domini, pagine Web e indirizzi IP. Evidenzia i rischi critici associati a ognuno di essi.

  • Assegnare priorità alle attività di correzione in base al rischio di asset e agli elementi dell'elenco comuni di vulnerabilità ed esposizioni (CVE).

    Defender EASM aiuta i team di sicurezza a dare priorità alle attività di correzione, aiutandoli a comprendere quali asset e CVE rappresentano il rischio maggiore nell'ambiente. Analizza i dati della vulnerabilità e dell'infrastruttura per mostrare le principali aree di interesse, fornendo una spiegazione del linguaggio naturale dei rischi e delle azioni consigliate.

  • Usare Security Copilot per visualizzare informazioni dettagliate.

    È possibile usare Security Copilot per richiedere informazioni dettagliate usando il linguaggio naturale ed estrarre informazioni dettagliate da Defender EASM sulla superficie di attacco dell'organizzazione. Eseguire query su dettagli come il numero di certificati SSL (Secure Sockets Layer) che non sono sicuri, le porte rilevate e le vulnerabilità specifiche che influiscono sulla superficie di attacco.

  • Accelera la gestione della superficie di attacco.

    Usa Security Copilot per gestire la superficie di attacco tramite etichette, ID esterni e modifiche di stato per un insieme di asset. Questo processo velocizza la gestione, consentendoti di organizzare il tuo inventario più rapidamente ed efficientemente.

Abilita l'integrazione di Security Copilot

Per configurare l'integrazione Security Copilot in Defender EASM, completare i passaggi descritti nelle sezioni successive.

Prerequisiti

Per abilitare l'integrazione, è necessario disporre dei prerequisiti seguenti:

  • Accesso a Microsoft Security Copilot
  • Autorizzazioni per attivare nuove connessioni

Connettere Security Copilot a Defender EASM

  1. Accedere Security Copilot e assicurarsi di essere autenticati.

  2. Selezionare l'icona Security Copilot plugin nell'angolo in alto a destra della barra di immissione del prompt.

    Screenshot dell'icona del plug-in Security Copilot.

  3. In Microsoft individuare Gestione della superficie di attacco esterna di Microsoft Defender. Selezionare per connettersi.

    Schermata di Defender EASM attivato in Security Copilot.

  4. Se si desidera che Security Copilot recuperi i dati dalla risorsa Defender EASM, selezionare l'icona dell'ingranaggio per aprire le impostazioni del plug-in. Immettere o selezionare i valori usando i valori della sezione Informazioni di base della risorsa nel riquadro Panoramica .

Schermata dei campi di Defender EASM che devono essere configurati in Security Copilot.

Nota

Puoi usare le tue competenze Defender EASM anche se non hai acquistato Defender EASM. Per altre informazioni, vedere Informazioni di riferimento sulle funzionalità dei plug-in.

Prompt di esempio di Defender EASM

Security Copilot utilizza principalmente prompt in linguaggio naturale. Quando si richiedono informazioni da Defender EASM, si invia un prompt che indica a Security Copilot di selezionare il plug-in di Defender EASM e invocare la funzionalità appropriata.

Per ottenere risultati positivi con le richieste di Security Copilot, è consigliabile usare gli approcci seguenti:

  • Assicurarsi di fare riferimento al nome della società nel primo prompt. Se non diversamente specificato, tutte le richieste future forniscono quindi i dati sulla società inizialmente specificata.

  • Essere chiari e specifici con le richieste. È possibile ottenere risultati migliori se si includono nomi di asset o valori di metadati specifici (ad esempio, ID CVE) nei prompt.

    Potrebbe anche essere utile aggiungere Defender EASM al prompt, come negli esempi seguenti:

    • Secondo Defender EASM, quali sono i miei domini scaduti?
    • Parlami delle informazioni sulla superficie di attacco ad alta priorità di Defender EASM.
  • Sperimentare diverse richieste e varianti per vedere cosa funziona meglio per il caso d'uso. I modelli di intelligenza artificiale della chat variano, quindi è possibile eseguire l'iterazione e perfezionare le richieste in base ai risultati ricevuti.

  • Security Copilot salva le sessioni di prompt. Per visualizzare le sessioni precedenti, nel menu Security Copilot selezionare Sessioni personali.

    Per una panoramica di Security Copilot, incluse le funzionalità Aggiungi e Condividi, vedi Esplorare Security Copilot.

Per altre informazioni su come scrivere prompt per Security Copilot, consulta suggerimenti per i prompt di Security Copilot.

Informazioni di riferimento sulle funzionalità dei plug-in

Funzionalità Descrizione Ingressi Comportamenti
Ottenere il riepilogo della superficie di attacco Restituisce il riepilogo della superficie di attacco per la risorsa Defender EASM del cliente o per un nome della società specifico. Input di esempio:
• Ottenere la superficie di attacco per LinkedIn.  
• Ottieni la mia superficie di attacco. 
• Qual è la superficie di attacco per Microsoft?  
• Qual è la mia superficie di attacco? 
• Quali sono gli asset esterni per Azure? 
• Quali sono i miei asset esposti verso l'esterno? 

Input facoltativi:
CompanyName
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Restituisce un riepilogo della superficie di attacco per la risorsa Defender EASM del cliente. 

Se viene specificato un altro nome della società:
 • Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, viene restituito un elenco di possibili corrispondenze. 
• Se esiste una corrispondenza esatta, restituisce il riepilogo della superficie di attacco relativo al nome dell’azienda.
Ottenere informazioni dettagliate sulla superficie di attacco Restituisce le informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente o per un nome aziendale specifico.  Input di esempio:
• Ottieni informazioni prioritarie sulla superficie di attacco di LinkedIn. 
• Ottenere informazioni dettagliate sulla superficie di attacco con priorità elevata. 
• Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa per Microsoft. 
• Ottenere informazioni dettagliate sulla superficie di attacco con priorità bassa. 
• Sono presenti vulnerabilità ad alta priorità nella mia superficie di attacco esterna in Azure? 

Input obbligatori:
PriorityLevel (il livello di priorità deve essere alto, medio o basso; se non specificato, per impostazione predefinita è alto)

Input facoltativi:
CompanyName (nome della società)
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Restituisce informazioni dettagliate sulla superficie di attacco per la risorsa Defender EASM del cliente. 

Se viene specificato un altro nome della società:
• Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, viene restituito un elenco di possibili corrispondenze.
• Se è presente una corrispondenza esatta, restituisce le informazioni sulla superficie di attacco relative al nome dell'azienda. 
Ottieni gli asset coinvolti in un CVE Restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente o per un nome di società specifico.  Input di esempio:

• Ottieni gli asset coinvolti da CVE-2023-0012 per LinkedIn. 
• Quali asset sono interessati da CVE-2023-0012 per Microsoft? 
• La superficie di attacco esterna di Azure è interessata da CVE-2023-0012? 
• Ottieni gli asset coinvolti da CVE-2023-0012 della mia superficie di attacco. 
• Quale dei miei asset è interessato da CVE-2023-0012? 
• La superficie di attacco esterna è interessata da CVE-2023-0012? 

Input necessari:
CveId

Input facoltativi:
CompanyName
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Se le impostazioni del plug-in non sono state compilate, non procedere e mostrare un promemoria ai clienti. 
• Se vengono compilate le impostazioni del plug-in, restituisce gli asset interessati da un CVE per la risorsa Defender EASM del cliente.

Se viene specificato un altro nome della società:
• Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, viene restituito un elenco di possibili corrispondenze. 
• Se è presente una corrispondenza esatta, restituisce gli asset interessati da una CVE per il nome di società specificato. 
Ottieni gli asset interessati con punteggio CVSS Restituisce gli asset interessati da un punteggio CVSS (Common Vulnerability Scoring System) per la risorsa Defender EASM del cliente o per un nome aziendale specifico.  Input di esempio:
• Ottieni gli asset interessati da punteggi CVSS ad alta priorità nella superficie di attacco di LinkedIn.
• Quanti asset hanno un punteggio CVSS critico per Microsoft? 
• Quali asset hanno punteggi CVSS critici per Azure? 
• Ottieni gli asset interessati da punteggi CVSS con priorità alta nella mia area di attacco. 
• Quanti dei miei asset hanno punteggi CVSS critici? 
• Quale dei miei asset ha punteggi CVSS critici? 

Parametri obbligatori:
CvssPriority (la priorità CVSS deve essere critica, alta, media o bassa)

Input facoltativi:
CompanyName
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Se le impostazioni del plug-in non sono configurate, gestire l’errore in modo appropriato e ricordarlo ai clienti. 
• Se vengono compilate le impostazioni del plug-in, restituisce gli asset interessati da un punteggio CVSS per la risorsa Defender EASM del cliente.

Se viene specificato un altro nome della società:
• Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, viene restituito un elenco di possibili corrispondenze. 
• Se è presente una corrispondenza esatta, restituisce gli asset interessati da un punteggio CVSS per il nome della società specifico. 
Ottenere domini scaduti Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente o per un nome aziendale specifico.  Input di esempio:
• Quanti domini sono scaduti nella superficie di attacco di LinkedIn?  
• Quanti asset usano domini scaduti per Microsoft? 
• Quanti domini sono scaduti presenti nella mia superficie di attacco?  
• Quante delle mie risorse utilizzano domini Microsoft scaduti? 

Input facoltativi:
CompanyName
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Restituisce il numero di domini scaduti per la risorsa Defender EASM del cliente.

Se viene specificato un altro nome della società:
• Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, restituisce un elenco di possibili corrispondenze. 
• Se è presente una corrispondenza esatta, restituisce il numero di domini scaduti per il nome della società specifico. 
Ottenere certificati scaduti Restituisce il numero di certificati SSL scaduti per la risorsa Defender EASM del cliente o per un nome aziendale specifico.  Input di esempio:
• Quanti certificati SSL sono scaduti per LinkedIn?  
• Quanti asset usano certificati SSL scaduti per Microsoft? 
• Quanti certificati SSL sono scaduti per la superficie di attacco?  
• Quali sono i certificati SSL scaduti? 

Input facoltativi:
CompanyName
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Restituisce il numero di certificati SSL per la risorsa Defender EASM del cliente.

Se viene specificato un altro nome della società:
 • Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, restituisce un elenco di possibili corrispondenze. 
 • Se è presente una corrispondenza esatta, restituisce il numero di certificati SSL per il nome della società specifico. 
Ottenere certificati SHA1 Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente o per un nome aziendale specifico.  Input di esempio:
• Quanti certificati SSL SHA1 sono presenti per LinkedIn?  
• Quanti asset usano SSL SHA1 per Microsoft? 
• Quanti certificati SSL SHA1 sono presenti per la superficie di attacco?  
• Quanti asset usano SSL SHA1? 

Input facoltativi:
CompanyName
Se il plug-in è configurato per una risorsa Defender EASM attiva e non viene specificata alcuna altra società:
• Restituisce il numero di certificati SSL SHA1 per la risorsa Defender EASM del cliente.

Se viene specificato un altro nome della società:
 • Se non viene trovata alcuna corrispondenza esatta per il nome dell'azienda, viene restituito un elenco di possibili corrispondenze. 
 • Se è presente una corrispondenza esatta, restituisce il numero di certificati SSL SHA1 per il nome della società specifico. 
Traduci il linguaggio naturale in una query di Defender EASM Traduce qualsiasi domanda in linguaggio naturale in una query di Defender EASM e restituisce gli asset che corrispondono alla query. Input di esempio:
• Quali asset usano jQuery versione 3.1.0?
• Mostrami gli host con la porta 80 aperta nella mia superficie di attacco.
• Trovare tutti gli asset di pagina, host e ASN nell'inventario che hanno un indirizzo IP che è IP X, IP Y o IP Z.
• Quali dei miei asset hanno come indirizzo email dell'intestatario <name@example.com>?
Se il plug-in è configurato per una risorsa Defender EASM attiva:
• Restituisce gli asset corrispondenti alla query tradotta.

Passare dai dati delle risorse ai dati aziendali

Anche se abbiamo aggiunto l'integrazione delle risorse alle nostre competenze, continuiamo comunque a supportare il recupero dei dati dalle superfici di attacco preconfigurate di aziende specifiche. Per migliorare l'accuratezza di Security Copilot nel determinare quando un cliente vuole attingere alla propria superficie di attacco o a una superficie di attacco aziendale predefinita, è consigliabile usare la mia, la mia superficie di attacco e così via, per indicare che si desidera usare la propria risorsa. Usare loro, il nome specifico dell'azienda e così via, per indicare che si desidera utilizzare una superficie di attacco predefinita. Sebbene questo approccio migliori l'esperienza in una singola sessione, è consigliabile usare due sessioni separate per evitare confusione.

Inviare feedback

Il feedback su Security Copilot in generale, e il plug-in Defender EASM in particolare, è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo ottimale per fornire questo feedback è direttamente nel prodotto, usando i pulsanti di feedback nella parte inferiore di ogni richiesta completata. Selezionare Sembra corretto, Da migliorare o Inappropriato. È consigliabile scegliere Aspetto corretto quando il risultato corrisponde alle aspettative, Richiede miglioramenti in caso contrario e Inappropriato quando il risultato è dannoso in qualche modo.

Quando possibile, e soprattutto quando il risultato selezionato è Da migliorare, scriva qualche parola per spiegare cosa possiamo fare per migliorare il risultato ottenuto. Questa richiesta si applica anche quando si prevede Security Copilot richiamare il plug-in Defender EASM, ma viene invece attivato un plug-in diverso.

Privacy e sicurezza dei dati in Security Copilot

Quando interagisci con Security Copilot per ottenere i dati di Defender EASM, Copilot recupera tali dati da Defender EASM. Le richieste, i dati recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati nel servizio Security Copilot.

Per altre informazioni sulla privacy dei dati in Security Copilot, vedere Privacy e sicurezza dei dati in Security Copilot.