Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Security Copilot è una piattaforma che consente di difendere l'organizzazione a velocità e scalabilità dei computer. I vasti dati di sicurezza di Microsoft Sentinel forniscono un'origine eccellente per Copilot per analizzare gli eventi imprevisti e generare query di ricerca.
Insieme ad altre origini Security Copilot abilitate, i dati e gli eventi imprevisti Microsoft Sentinel offrono una visibilità più ampia delle minacce e del relativo contesto per l'organizzazione.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo questi articoli:
- Che cos'è Microsoft Security Copilot?
- esperienze Microsoft Security Copilot
- Introduzione a Microsoft Security Copilot
- Informazioni sull'autenticazione in Microsoft Security Copilot
- Richiesta in Microsoft Security Copilot
integrazione Security Copilot con Microsoft Sentinel
Questa integrazione supporta principalmente l'esperienza autonoma a cui si accede tramite https://securitycopilot.microsoft.com, in cui si interagisce in un'esperienza simile a una chat per riepilogare gli eventi imprevisti e ottenere altre risposte sui dati di sicurezza. Per altre informazioni, vedere esperienze Microsoft Security Copilot.
Funzionalità principali
Microsoft Sentinel dati si integrano con Security Copilot nel portale di Defender come indicato di seguito:
- Quando hai anche Microsoft Defender XDR, Copilot in Microsoft Defender XDR trae vantaggio da eventi imprevisti unificati integrati con Microsoft Sentinel.
- Nell'esperienza autonoma, Microsoft Sentinel fornisce i plug-in seguenti da integrare con Security Copilot:
Microsoft Sentinel (anteprima)
Linguaggio naturale in KQL per Microsoft Sentinel (anteprima).Natural language to KQL for Microsoft Sentinel (Preview).
Abilitare l'integrazione Security Copilot con Microsoft Sentinel
Per ottimizzare l'integrazione Security Copilot con Microsoft Sentinel eseguire le operazioni seguenti:
- configurare un'area di lavoro Microsoft Sentinel predefinita per Security Copilot
- connettere l'area di lavoro Microsoft Sentinel a Microsoft Defender XDR
Configurare un'area di lavoro Microsoft Sentinel predefinita
Aumentare l'accuratezza della richiesta configurando un'area di lavoro Microsoft Sentinel come predefinita.
Passare a Security Copilot all'indirizzo https://securitycopilot.microsoft.com/.
Aprire Origini
nella barra dei prompt.Nella pagina Gestisci plug-in impostare l'interruttore su Attivato
Selezionare l'icona a ingranaggio nel plug-in Microsoft Sentinel (anteprima).
Configurare il nome predefinito dell'area di lavoro.
Consiglio
Specificare l'area di lavoro nel prompt quando non corrisponde all'impostazione predefinita configurata.
Esempio: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrare Microsoft Sentinel con Copilot in Defender
Usare il portale di Microsoft Defender con i dati Microsoft Sentinel per un'esperienza di Security Copilot incorporata. le origini dati univoche di Microsoft Sentinel che fluiscono in Microsoft Defender XDR eventi imprevisti unificati consentono a Copilot in Defender di ottimizzare le proprie funzionalità.
Ad esempio:
- La soluzione SAP (anteprima) viene installata nell'area di lavoro per Microsoft Sentinel.
- La regola quasi in tempo reale SAP - (anteprima) File scaricato da un indirizzo IP dannoso attiva un avviso, creando un evento imprevisto Microsoft Sentinel.
- Microsoft Sentinel è stato eseguito l'onboarding nel portale di Defender.
- Microsoft Sentinel eventi imprevisti sono ora unificati con eventi imprevisti Defender XDR.
- Usare Copilot in Microsoft Defender per riepilogo degli eventi imprevisti, risposte guidate e report sugli eventi imprevisti.
Per ulteriori informazioni, vedere le seguenti risorse:
- Integrare Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
- Copilot in Microsoft Defender
Integrare Microsoft Sentinel con Security Copilot nella ricerca avanzata
Il plug-in Linguaggio naturale in KQL per Microsoft Sentinel (anteprima) genera ed esegue query di ricerca KQL usando dati Microsoft Sentinel. Questa funzionalità è disponibile nell'esperienza autonoma e nella sezione ricerca avanzata del portale di Microsoft Defender.
Nota
Nel portale di Microsoft Defender unificato è possibile richiedere Security Copilot di generare query di ricerca avanzate per tabelle Defender XDR e Microsoft Sentinel. Non tutte le tabelle Microsoft Sentinel sono attualmente supportate.
Per altre informazioni, vedere Security Copilot nella ricerca avanzata.
Richieste di Microsoft Sentinel di esempio
Considerare il prompt dell'indagine sugli eventi imprevisti Microsoft Sentinel come punto di partenza per la creazione di prompt efficaci. Questo promptbook fornisce un report su un evento imprevisto specifico, insieme agli avvisi correlati, ai punteggi di reputazione, agli utenti e ai dispositivi.
| Linee guida | Richiesta |
|---|---|
| Spingere Copilot per fornire informazioni leggibili anziché rispondere con gli ID oggetto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot sa chi sei. Usare il pronome "me" per trovare gli eventi imprevisti correlati all'utente. La richiesta seguente è destinata agli eventi imprevisti assegnati all'utente. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando si restringe una risposta di richiesta a un singolo evento imprevisto, Copilot conosce il contesto. | Tell me about the entities associated with that incident. |
| Copilot è bravo a riepilogare. Descrivere un gruppo di destinatari specifico per cui si desidera riepilogare le richieste e le risposte. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Per altre indicazioni ed esempi relativi alle richieste, vedere le risorse seguenti:
- Uso delle sequenze di richieste
- Richiesta in Microsoft Security Copilot
- Libreria Security Copilot prompt di Rod Trent
Inviare feedback
Il feedback è fondamentale per guidare lo sviluppo attuale e pianificato del prodotto. Il modo migliore per fornire questo feedback è direttamente nel prodotto. Selezionare Qual è la risposta? nella parte inferiore di ogni richiesta completata e scegliere una delle opzioni seguenti:
- Aspetto corretto : selezionare se i risultati sono accurati, in base alla valutazione.
- Necessita di miglioramenti : selezionare se i dettagli nei risultati sono errati o incompleti, in base alla valutazione.
- Inappropriato : selezionare se i risultati contengono informazioni dubbie, ambigue o potenzialmente dannose.
Per ogni opzione di feedback, è possibile fornire altre informazioni nella finestra di dialogo successiva visualizzata. Quando possibile, e soprattutto quando il risultato è Miglioramento necessario, scrivere alcune parole che spiegano cosa è possibile fare per migliorare il risultato. Se sono state immesse richieste specifiche per Firewall di Azure e i risultati non sono correlati, includere tali informazioni.
Privacy e sicurezza dei dati in Security Copilot
Per informazioni su come Security Copilot gestisce le richieste e i dati recuperati dal servizio (output della richiesta), vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.