Security Copilot con Microsoft Sentinel

Microsoft Security Copilot è una piattaforma che consente di difendere l'organizzazione a velocità e scalabilità dei computer. L'ampia mole di dati di sicurezza di Microsoft Sentinel costituisce un'ottima fonte per consentire a Copilot di analizzare gli incidenti e generare query di ricerca delle minacce.

Insieme alle altre origini di Security Copilot che abiliti, gli incidenti e i dati di Microsoft Sentinel offrono una visibilità più ampia sulle minacce e sul relativo contesto per la tua organizzazione.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo questi articoli:

Integrazione di Security Copilot con Microsoft Sentinel

Questa integrazione supporta principalmente l'esperienza autonoma a cui si accede tramite https://securitycopilot.microsoft.com, in cui si interagisce in un'esperienza simile a una chat per riepilogare gli eventi imprevisti e ottenere altre risposte sui dati di sicurezza. Per altre informazioni, vedere esperienze Microsoft Security Copilot.

Funzionalità principali

I dati di Microsoft Sentinel si integrano con Security Copilot nel portale Defender come segue:

  • Quando hai anche Microsoft Defender XDR, Copilot in Microsoft Defender XDR trae vantaggio da eventi imprevisti unificati integrati con Microsoft Sentinel.
  • Nell'esperienza autonoma, Microsoft Sentinel fornisce i plug-in seguenti da integrare con Security Copilot:
    Microsoft Sentinel (anteprima)
    Linguaggio naturale in KQL per Microsoft Sentinel (anteprima).Natural language to KQL for Microsoft Sentinel (Preview).

Abilitare l'integrazione Security Copilot con Microsoft Sentinel

Per ottimizzare l'integrazione Security Copilot con Microsoft Sentinel eseguire le operazioni seguenti:

  • configurare un'area di lavoro Microsoft Sentinel predefinita per Security Copilot
  • connettere l'area di lavoro Microsoft Sentinel a Microsoft Defender XDR

Configurare un'area di lavoro Microsoft Sentinel predefinita

Aumentare l'accuratezza della richiesta configurando un'area di lavoro Microsoft Sentinel come predefinita.

  1. Passare a Security Copilot all'indirizzo https://securitycopilot.microsoft.com/.

  2. Aprire Origini nella barra dei prompt.

  3. Nella pagina Gestisci plug-in impostare l'interruttore su Attivato

  4. Selezionare l'icona a ingranaggio nel plug-in Microsoft Sentinel (anteprima).

    Schermata dell'icona a forma di ingranaggio per la selezione della personalizzazione del plug-in Microsoft Sentinel.

  5. Configurare il nome predefinito dell'area di lavoro.

    Screenshot delle opzioni di personalizzazione del plug-in per il plug-in Microsoft Sentinel.

Consiglio

Specificare l'area di lavoro nel prompt quando non corrisponde all'impostazione predefinita configurata.

Esempio: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Integrare Microsoft Sentinel con Copilot in Defender

Usare il portale di Microsoft Defender con i dati Microsoft Sentinel per un'esperienza di Security Copilot incorporata. Le fonti di dati univoche di Microsoft Sentinel che confluiscono negli incidenti unificati di Microsoft Defender XDR consentono a Copilot in Defender di sfruttare al massimo le proprie capacità.

Ad esempio:

Schermata di un incidente di Microsoft Sentinel nel portale Defender con esperienza integrata di Copilot.

Per ulteriori informazioni, vedere le seguenti risorse:

Integrare Microsoft Sentinel con Security Copilot nella ricerca avanzata

Il plug-in Dal linguaggio naturale a KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando i dati di Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione ricerca avanzata del portale di Microsoft Defender.

Nota

Nel portale di Microsoft Defender unificato è possibile richiedere Security Copilot di generare query di ricerca avanzate per tabelle Defender XDR e Microsoft Sentinel. Non tutte le tabelle Microsoft Sentinel sono attualmente supportate.

Per altre informazioni, vedere Security Copilot nella ricerca avanzata.

Richieste di Microsoft Sentinel di esempio

Considera il promptbook per l'indagine sugli incidenti di Microsoft Sentinel come punto di partenza per creare prompt efficaci. Questo promptbook fornisce un report su un evento imprevisto specifico, insieme agli avvisi correlati, ai punteggi di reputazione, agli utenti e ai dispositivi.

Linee guida Richiesta
Indurre Copilot a fornire informazioni leggibili dall'uomo anziché rispondere con gli ID degli oggetti. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot sa chi sei. Utilizza il pronome "me" per trovare gli incidenti relativi a te. Il seguente prompt riguarda gli incidenti assegnati a te. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Quando si restringe una risposta di richiesta a un singolo evento imprevisto, Copilot conosce il contesto. Tell me about the entities associated with that incident.
Copilot è bravo a riepilogare. Descrivere un gruppo di destinatari specifico per cui si desidera riepilogare le richieste e le risposte. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Per altre indicazioni ed esempi relativi alle richieste, vedere le risorse seguenti:

Inviare feedback

Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto. Selezionare Qual è la risposta? nella parte inferiore di ogni richiesta completata e scegliere una delle opzioni seguenti:

  • Sembra corretto - Seleziona se i risultati sono accurati, in base alla tua valutazione.
  • Necessita di miglioramenti : selezionare se i dettagli nei risultati sono errati o incompleti, in base alla valutazione.
  • Inappropriato : selezionare se i risultati contengono informazioni dubbie, ambigue o potenzialmente dannose.

Per ogni opzione di feedback, è possibile fornire altre informazioni nella finestra di dialogo successiva visualizzata. Quando possibile, e soprattutto quando il risultato è Miglioramento necessario, scrivere alcune parole che spiegano cosa è possibile fare per migliorare il risultato. Se hai immesso prompt specifici per Firewall di Azure e i risultati non sono pertinenti, includi queste informazioni.

Privacy e sicurezza dei dati in Security Copilot

Per capire come Security Copilot gestisce i prompt e i dati recuperati dal servizio (output del prompt), vedi Privacy e sicurezza dei dati in Microsoft Security Copilot.