Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Security Copilot è una piattaforma che consente di difendere l'organizzazione a velocità e scalabilità dei computer. L'ampia mole di dati di sicurezza di Microsoft Sentinel costituisce un'ottima fonte per consentire a Copilot di analizzare gli incidenti e generare query di ricerca delle minacce.
Insieme alle altre origini di Security Copilot che abiliti, gli incidenti e i dati di Microsoft Sentinel offrono una visibilità più ampia sulle minacce e sul relativo contesto per la tua organizzazione.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- esperienze Microsoft Security Copilot
- Introduzione a Microsoft Security Copilot
- Informazioni sull'autenticazione in Microsoft Security Copilot
- Richiesta in Microsoft Security Copilot
Integrazione di Security Copilot con Microsoft Sentinel
Questa integrazione supporta principalmente l'esperienza autonoma a cui si accede tramite https://securitycopilot.microsoft.com, in cui si interagisce in un'esperienza simile a una chat per riepilogare gli eventi imprevisti e ottenere altre risposte sui dati di sicurezza. Per altre informazioni, vedere esperienze Microsoft Security Copilot.
Funzionalità principali
I dati di Microsoft Sentinel si integrano con Security Copilot nel portale Defender come segue:
- Quando hai anche Microsoft Defender XDR, Copilot in Microsoft Defender XDR trae vantaggio da eventi imprevisti unificati integrati con Microsoft Sentinel.
- Nell'esperienza autonoma, Microsoft Sentinel fornisce i plug-in seguenti da integrare con Security Copilot:
Microsoft Sentinel (anteprima)
Linguaggio naturale in KQL per Microsoft Sentinel (anteprima).Natural language to KQL for Microsoft Sentinel (Preview).
Abilitare l'integrazione Security Copilot con Microsoft Sentinel
Per ottimizzare l'integrazione Security Copilot con Microsoft Sentinel eseguire le operazioni seguenti:
- configurare un'area di lavoro Microsoft Sentinel predefinita per Security Copilot
- connettere l'area di lavoro Microsoft Sentinel a Microsoft Defender XDR
Configurare un'area di lavoro Microsoft Sentinel predefinita
Aumentare l'accuratezza della richiesta configurando un'area di lavoro Microsoft Sentinel come predefinita.
Passare a Security Copilot all'indirizzo https://securitycopilot.microsoft.com/.
Aprire Origini
nella barra dei prompt.Nella pagina Gestisci plug-in impostare l'interruttore su Attivato
Selezionare l'icona a ingranaggio nel plug-in Microsoft Sentinel (anteprima).
Configurare il nome predefinito dell'area di lavoro.
Consiglio
Specificare l'area di lavoro nel prompt quando non corrisponde all'impostazione predefinita configurata.
Esempio: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrare Microsoft Sentinel con Copilot in Defender
Usare il portale di Microsoft Defender con i dati Microsoft Sentinel per un'esperienza di Security Copilot incorporata. Le fonti di dati univoche di Microsoft Sentinel che confluiscono negli incidenti unificati di Microsoft Defender XDR consentono a Copilot in Defender di sfruttare al massimo le proprie capacità.
Ad esempio:
- La soluzione SAP (anteprima) viene installata nell'area di lavoro per Microsoft Sentinel.
- La regola quasi in tempo reale SAP - (Anteprima) File scaricato da un indirizzo IP dannoso genera un avviso, creando un incidente di Microsoft Sentinel.
- Microsoft Sentinel è stato integrato nel portale Defender.
- Gli incidenti di Microsoft Sentinel sono ora unificati con gli incidenti di Defender XDR.
- Usare Copilot in Microsoft Defender per riepilogo degli eventi imprevisti, risposte guidate e report sugli eventi imprevisti.
Per ulteriori informazioni, vedere le seguenti risorse:
- Integrare Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
- Copilot in Microsoft Defender
Integrare Microsoft Sentinel con Security Copilot nella ricerca avanzata
Il plug-in Dal linguaggio naturale a KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando i dati di Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione ricerca avanzata del portale di Microsoft Defender.
Nota
Nel portale di Microsoft Defender unificato è possibile richiedere Security Copilot di generare query di ricerca avanzate per tabelle Defender XDR e Microsoft Sentinel. Non tutte le tabelle Microsoft Sentinel sono attualmente supportate.
Per altre informazioni, vedere Security Copilot nella ricerca avanzata.
Richieste di Microsoft Sentinel di esempio
Considera il promptbook per l'indagine sugli incidenti di Microsoft Sentinel come punto di partenza per creare prompt efficaci. Questo promptbook fornisce un report su un evento imprevisto specifico, insieme agli avvisi correlati, ai punteggi di reputazione, agli utenti e ai dispositivi.
| Linee guida | Richiesta |
|---|---|
| Indurre Copilot a fornire informazioni leggibili dall'uomo anziché rispondere con gli ID degli oggetti. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot sa chi sei. Utilizza il pronome "me" per trovare gli incidenti relativi a te. Il seguente prompt riguarda gli incidenti assegnati a te. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando si restringe una risposta di richiesta a un singolo evento imprevisto, Copilot conosce il contesto. | Tell me about the entities associated with that incident. |
| Copilot è bravo a riepilogare. Descrivere un gruppo di destinatari specifico per cui si desidera riepilogare le richieste e le risposte. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Per altre indicazioni ed esempi relativi alle richieste, vedere le risorse seguenti:
- Uso dei promptbook
- Richiesta in Microsoft Security Copilot
- Libreria Security Copilot prompt di Rod Trent
Inviare feedback
Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto. Selezionare Qual è la risposta? nella parte inferiore di ogni richiesta completata e scegliere una delle opzioni seguenti:
- Sembra corretto - Seleziona se i risultati sono accurati, in base alla tua valutazione.
- Necessita di miglioramenti : selezionare se i dettagli nei risultati sono errati o incompleti, in base alla valutazione.
- Inappropriato : selezionare se i risultati contengono informazioni dubbie, ambigue o potenzialmente dannose.
Per ogni opzione di feedback, è possibile fornire altre informazioni nella finestra di dialogo successiva visualizzata. Quando possibile, e soprattutto quando il risultato è Miglioramento necessario, scrivere alcune parole che spiegano cosa è possibile fare per migliorare il risultato. Se hai immesso prompt specifici per Firewall di Azure e i risultati non sono pertinenti, includi queste informazioni.
Privacy e sicurezza dei dati in Security Copilot
Per capire come Security Copilot gestisce i prompt e i dati recuperati dal servizio (output del prompt), vedi Privacy e sicurezza dei dati in Microsoft Security Copilot.