Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Security Copilot es una plataforma que le ayuda a defender su organización a velocidad y escala de la máquina. los vastos datos de seguridad de Microsoft Sentinel proporcionan un excelente origen para que Copilot ayude a analizar incidentes y generar consultas de búsqueda.
Junto con otros orígenes de Security Copilot que habilite, los Microsoft Sentinel incidentes y datos proporcionan una visibilidad más amplia de las amenazas y su contexto para su organización.
Saber antes de empezar
Si no está familiarizado con Security Copilot, debe familiarizarse con él leyendo estos artículos:
- ¿Qué es Seguridad de Microsoft Copilot?
- experiencias de Microsoft Security Copilot
- Introducción a Microsoft Security Copilot
- Descripción de la autenticación en Microsoft Security Copilot
- Preguntar en Microsoft Security Copilot
integración Security Copilot con Microsoft Sentinel
Esta integración admite principalmente la experiencia independiente a la que se accede a través https://securitycopilot.microsoft.comde , donde interactúa en una experiencia similar a un chat para resumir incidentes y obtener otras respuestas sobre los datos de seguridad. Para obtener más información, consulte Microsoft Security Copilot experiencias.
Características principales
Microsoft Sentinel datos se integra con Security Copilot en el portal de Defender de la siguiente manera:
- Cuando también tiene Microsoft Defender XDR, Copilot en Microsoft Defender XDR se beneficia de incidentes unificados integrados con Microsoft Sentinel.
- En la experiencia independiente, Microsoft Sentinel proporciona los siguientes complementos para integrar con Security Copilot:
Microsoft Sentinel (versión preliminar)
Lenguaje natural a KQL para Microsoft Sentinel (versión preliminar).
Habilitación de la integración de Security Copilot con Microsoft Sentinel
Para maximizar la integración de Security Copilot con Microsoft Sentinel haga lo siguiente:
- configurar un área de trabajo de Microsoft Sentinel predeterminada para Security Copilot
- conecte el área de trabajo de Microsoft Sentinel a Microsoft Defender XDR
Configuración de un área de trabajo de Microsoft Sentinel predeterminada
Aumente la precisión de la solicitud configurando un área de trabajo de Microsoft Sentinel como valor predeterminado.
Vaya a Security Copilot en https://securitycopilot.microsoft.com/.
Abra Orígenes
en la barra de mensajes.En la página Administrar complementos, establezca el botón de alternancia en Activado.
Seleccione el icono de engranaje en el complemento Microsoft Sentinel (versión preliminar).
Configure el nombre predeterminado del área de trabajo.
Sugerencia
Especifique el área de trabajo en el símbolo del sistema cuando no coincida con el valor predeterminado configurado.
Ejemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integración de Microsoft Sentinel con Copilot en Defender
Use el portal de Microsoft Defender con los datos de Microsoft Sentinel para una experiencia de Security Copilot insertada. Los orígenes de datos únicos de Microsoft Sentinel que fluyen a Microsoft Defender XDR incidentes unificados permiten a Copilot en Defender maximizar sus capacidades.
Por ejemplo:
- La solución SAP (versión preliminar) se instala en el área de trabajo para Microsoft Sentinel.
- El archivo SAP - (versión preliminar) de regla casi en tiempo real descargado de una dirección IP malintencionada desencadena una alerta, creando un incidente de Microsoft Sentinel.
- Microsoft Sentinel se incorporó al portal de Defender.
- Microsoft Sentinel incidentes ahora se unifican con incidentes Defender XDR.
- Use Copilot en Microsoft Defender para el resumen de incidentes, las respuestas guiadas y los informes de incidentes.
Para obtener más información, consulte los recursos siguientes:
- Integrar Microsoft Defender XDR
- Microsoft Sentinel en el portal de Microsoft Defender
- Copiloto en Microsoft Defender
Integración de Microsoft Sentinel con Security Copilot en la búsqueda avanzada
El complemento Lenguaje natural a KQL para Microsoft Sentinel (versión preliminar) genera y ejecuta consultas de búsqueda de KQL mediante datos Microsoft Sentinel. Esta funcionalidad está disponible en la experiencia independiente y en la sección de búsqueda avanzada del portal de Microsoft Defender.
Nota:
En el portal de Microsoft Defender unificado, puede solicitar a Security Copilot que genere consultas de búsqueda avanzadas para las tablas Defender XDR y Microsoft Sentinel. Actualmente no se admiten todas las tablas Microsoft Sentinel.
Para obtener más información, consulte Security Copilot en búsqueda avanzada.
Solicitudes de Microsoft Sentinel de ejemplo
Considere la lista de avisos de investigación de incidentes Microsoft Sentinel como punto de partida para crear solicitudes eficaces. Este cuaderno de mensajes proporciona un informe sobre un incidente específico, junto con alertas relacionadas, puntuaciones de reputación, usuarios y dispositivos.
| Instrucciones | Prompt |
|---|---|
| Desenfunde Copilot para proporcionar información legible humana en lugar de responder con identificadores de objeto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copiloto sabe quién eres. Use el pronombre "me" para encontrar incidentes relacionados con usted. El mensaje siguiente tiene como destino los incidentes que se le han asignado. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Cuando se limita una respuesta rápida a un único incidente, Copilot conoce el contexto. | Tell me about the entities associated with that incident. |
| Copilot es bueno para resumir. Describa una audiencia específica para la que desea que se resuman las solicitudes y respuestas. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obtener más instrucciones y ejemplos de aviso, consulte los siguientes recursos:
- Usar secuencia de indicaciones
- Preguntar en Microsoft Security Copilot
- Biblioteca de solicitudes de Security Copilot de Rod Trent
Enviar comentarios
Sus comentarios son vitales para guiar el desarrollo actual y planeado del producto. La mejor manera de proporcionar estos comentarios es directamente en el producto. Seleccione ¿Cómo está esta respuesta? en la parte inferior de cada mensaje completado y elija cualquiera de las siguientes opciones:
- Se ve bien : seleccione si los resultados son precisos, en función de su evaluación.
- Necesita mejoras : seleccione si algún detalle de los resultados es incorrecto o incompleto, en función de su evaluación.
- Inadecuado : seleccione si los resultados contienen información cuestionable, ambigua o potencialmente dañina.
Para cada opción de comentarios, puede proporcionar más información en el siguiente cuadro de diálogo que aparece. Siempre que sea posible, y especialmente cuando el resultado sea Necesita mejora, escriba unas palabras que expliquen lo que se puede hacer para mejorar el resultado. Si escribió mensajes específicos de Azure Firewall y los resultados no están relacionados, incluya esa información.
Privacidad y seguridad de los datos en Security Copilot
Para comprender cómo Security Copilot controla los mensajes y los datos que se recuperan del servicio (salida del mensaje), consulte Privacidad y seguridad de datos en Microsoft Security Copilot.