De Microsoft-invoegtoepassingen beschrijven die beschikbaar zijn in Microsoft Security Copilot

  • 10 minuten

Microsoft Security Copilot kan worden geïntegreerd met verschillende bronnen, waaronder de eigen beveiligingsproducten van Microsoft, niet-Microsoft-leveranciers, opensource-informatiefeeds, websites en knowledge bases om richtlijnen te genereren die specifiek zijn voor uw organisatie.

Een van de mechanismen waarmee Copilot in deze verschillende bronnen kan worden geïntegreerd, is via plug-ins. Invoegtoepassingen breiden de mogelijkheden van Copilot uit. In deze les verkent u de Microsoft-invoegtoepassingen.

Microsoft-invoegtoepassingen

Microsoft-invoegtoepassingen geven Copilot toegang tot informatie en mogelijkheden vanuit de Microsoft-producten van uw organisatie. In de volgende afbeelding ziet u slechts een subset van de beschikbare Microsoft-invoegtoepassingen en de volgorde waarin de invoegtoepassingen worden vermeld, kan verschillen van wat in het product wordt weergegeven.

Als een Copilot-eigenaar de toegang tot invoegtoepassingen heeft beperkt, worden de invoegtoepassingen die als beperkt zijn ingesteld, grijs weergegeven en als beperkt aangeduid.

Over het algemeen gebruiken Microsoft-invoegtoepassingen in Copilot het OBO-model (namens) - wat betekent dat Copilot weet dat een klant licenties heeft voor specifieke producten en automatisch wordt aangemeld bij deze producten. Copilot heeft vervolgens toegang tot de specifieke producten wanneer de invoegtoepassing is ingeschakeld en, indien van toepassing, parameters worden geconfigureerd. Sommige Microsoft-invoegtoepassingen waarvoor installatie is vereist, zoals vermeld door het instellingenpictogram of de installatieknop, kunnen configureerbare parameters bevatten die worden gebruikt voor verificatie in-lieu van het OBO-model.

Als u de systeemmogelijkheden wilt weergeven die worden ondersteund door de ingeschakelde invoegtoepassingen, selecteert u het promptpictogram in de promptbalk en selecteert u 'Alle systeemmogelijkheden weergeven'. Systeemmogelijkheden zijn specifieke, enkele prompts die u in Copilot kunt gebruiken. Het selecteren van een systeemmogelijkheid vereist doorgaans meer invoer om een nuttig antwoord te krijgen, maar Copilot biedt die richtlijnen.

Schermopname van het promptpictogram dat wanneer dit is geselecteerd, het venster opent om systeemmogelijkheden te selecteren.

De volgende secties bevatten korte beschrijvingen voor veel, maar niet alle, van de beschikbare Microsoft-invoegtoepassingen. Microsoft Security Copilot voegt voortdurend ondersteuning toe voor Microsoft-producten.

Azure Firewall

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die de beste bedreigingsbeveiliging biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledig stateful firewall-dienst met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid in de cloud.

De Integratie van Azure Firewall met Copilot helpt analisten gedetailleerde onderzoeken uit te voeren van het schadelijke verkeer dat wordt onderschept door het inbraakdetectie- en preventiesysteem (IDPS) en/of de mogelijkheden voor bedreigingsinformatie van de firewalls in hun omgeving.

De Azure Firewall-integratie gebruiken met Copilot:

  • De Azure Firewalls die moeten worden gebruikt met Security Copilot moeten worden geconfigureerd met resourcespecifieke gestructureerde logboeken voor IDPS en deze logboeken moeten worden verzonden naar een Log Analytics-werkruimte.
  • De gebruikers die de Azure Firewall-invoegtoepassing in Security Copilot gebruiken, moeten de juiste RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure hebben om toegang te krijgen tot de firewall en de bijbehorende Log Analytics-werkruimte.
  • De Azure Firewall-invoegtoepassing in Security Copilot moet zijn ingeschakeld.

Azure Firewall-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Mogelijkheden van Azure Firewall die kunnen worden uitgevoerd in de zelfstandige ervaring.

Voorbeelden van prompts zijn:

  • Is er schadelijk verkeer onderschept door mijn firewall <Firewall naam>?
  • Wat zijn de top 20 IDPS-treffers van de afgelopen zeven dagen voor Firewall <Firewall naam> in de resourcegroep <resourcegroep naam>?
  • Hoe zorg ik ervoor dat al mijn firewalls zijn beveiligd tegen aanvallen van een signature ID <ID-nummer>?

Azure Web Application Firewall

Integratie van Azure Web Application Firewall (WAF) in Security Copilot maakt een diepgaand onderzoek naar Azure WAF-gebeurtenissen mogelijk. Het kan u helpen WAF-logboeken te onderzoeken die binnen enkele minuten door Azure WAF worden geactiveerd en gerelateerde aanvalsvectoren te bieden met behulp van reacties in natuurlijke taal op computersnelheid. Het biedt inzicht in het bedreigingslandschap van uw omgeving. Hiermee kunt u een lijst met meest geactiveerde WAF-regels ophalen en de belangrijkste offending-IP-adressen in uw omgeving identificeren.

Security Copilot-integratie wordt ondersteund op zowel Azure WAF geïntegreerd met Azure Application Gateway als Azure WAF geïntegreerd met Azure Front Door.

Als u de Azure WAF-integratie in Copilot wilt gebruiken, moet de Azure WAF-invoegtoepassing in Security Copilot zijn ingeschakeld en geconfigureerd.

De zelfstandige ervaring in Azure WAF kan u helpen met:

  • Een lijst verstrekken van de belangrijkste Azure WAF-regels die in de klantomgeving worden getriggerd, en een gedetailleerde context creëren met betrekking tot gerelateerde aanvalsvectoren.
  • Het verstrekken van een lijst met schadelijke IP-adressen in de klantomgeving en het genereren van gerelateerde bedreigingen.
  • Samenvatting van SQL-injectieaanvallen (SQLi).
  • Samenvatting van XSS-aanvallen (Cross-site scripting).

De mogelijkheden van Azure Web Application Firewall in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de mogelijkheden van Azure Web Application Firewall die kunnen worden uitgevoerd in de zelfstandige ervaring.

Voorbeelden van prompts zijn:

  • Was er een SQL-injectieaanval in mijn wereldwijde WAF in de afgelopen dag?
  • Wat zijn de belangrijkste wereldwijde WAF-regels die in de afgelopen 24 uur zijn geactiveerd?
  • Een overzicht van de lijst met schadelijke IP-adressen in mijn Azure Front Door WAF in de afgelopen zes uur?

Azure AI Zoeken (Preview)

Met de Azure AI Zoeken-invoegtoepassing kunt u de knowledge bases of opslagplaatsen van uw bedrijf verbinden met Microsoft Security Copilot. Details over deze invoegtoepassing en verbindingen met knowledge bases worden beschreven in een volgende les van deze module.

Microsoft Entra

Microsoft Entra is een familie van oplossingen voor identiteits- en netwerktoegang met meerdere clouds waarmee organisaties elke identiteit kunnen beveiligen en de toegang tot elke resource kunnen beveiligen. Het biedt een geïntegreerd platform voor identiteits- en netwerktoegangsbeheer, waardoor het eenvoudiger is om identiteiten en toegang tot resources in meerdere clouds en hybride omgevingen te beveiligen.

Security Copilot kan worden geïntegreerd met Microsoft Entra. Als de Microsoft Entra-invoegtoepassing is ingeschakeld, kunnen beveiligingsanalisten direct een risicooverzicht krijgen, stappen voor herstel en aanbevolen richtlijnen voor elke identiteit die risico lopen, in natuurlijke taal. Analisten kunnen Copilot gebruiken om te helpen bij het maken van een levenscycluswerkstroom om het proces van het maken en uitgeven van gebruikersreferenties en toegangsrechten te stroomlijnen. Deze en vele andere Microsoft Entra mogelijkheden worden ondersteund door Copilot.

Microsoft Entra-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Microsoft Entra mogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Microsoft Entra ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Intune

Microsoft Intune is een beheeroplossing voor eindpunt in de cloud. Het beheert gebruikerstoegang tot organisatieresources en vereenvoudigt het app- en apparaatbeheer op uw vele apparaten, waaronder mobiele apparaten, desktopcomputers en virtuele eindpunten.

Copilot voor beveiliging integreert met Microsoft Intune. Als Microsoft Intune beschikbaar is in dezelfde tenant als Copilot en de invoegtoepassing is ingeschakeld, kan Copilot informatie krijgen over uw apparaten, apps, naleving en configuratiebeleid en beleidstoewijzingen die worden beheerd in Intune.

Als u de Microsoft Intune-invoegtoepassing wilt gebruiken, moet de gebruiker naast de rolmachtiging die toegang verleent tot Copilot, een specifieke rol van Intune-service krijgen, zoals de rolmachtiging van Intune Endpoint Security Manager.

Dankzij de mogelijkheden die door de Intune-invoegtoepassing worden ondersteund, kan een gebruiker het volgende doen:

  • Verschillende beveiligingsbasislijnen vergelijken.
  • Een overzicht van een bestaand beleid ophalen.
  • Bereik van beleidstoewijzing ophalen.
  • Bekijk de verschillen of vergelijkingen tussen twee apparaten.
  • Verzamel snel details voor een apparaat door ernaar te vragen.
  • Krijg gedetailleerde informatie over de apparaatinschrijvingen van een gebruiker en apparaatcompatibiliteit voor probleemoplossing of een beveiligingsonderzoek.
  • En meer

Microsoft Intune-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden

Schermopname van de suggesties voor Intune-prompts die kunnen worden uitgevoerd in de zelfstandige ervaring.

Enkele voorbeeldprompts zijn:

  • Welke Intune-apps worden het meest toegewezen?
  • Hoeveel apparaten zijn de afgelopen 24 uur ingeschreven bij Intune?
  • Wat is het verschil in de hardwareconfiguratie tussen de DeviceA- en DeviceB-apparaten?

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Microsoft Intune ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Defender XDR

Microsoft Defender XDR is een geïntegreerde enterprise defense suite die detectie, preventie, onderzoek en reactie coördineert op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.

Er zijn twee afzonderlijke invoegtoepassingen in Copilot die betrekking hebben op Microsoft Defender XDR:

  • Microsoft Defender XDR
  • Omzetten van natuurlijke taal naar KQL voor Microsoft Defender XDR

De rolmachtiging waarmee de gebruiker toegang verleent tot Copilot bepaalt het toegangsniveau voor Microsoft Defender XDR-gegevens. Er zijn geen aanvullende rolmachtigingen vereist voor het gebruik van de Microsoft Defender XDR-invoegtoepassing of de natuurlijke taal voor Defender XDR KQL-invoegtoepassing.

Microsoft Defender XDR

De Microsoft Defender XDR-invoegtoepassing bevat mogelijkheden waarmee gebruikers het volgende kunnen doen:

  • Incidenten snel samenvatten
  • Actie ondernemen op incidenten via begeleide reacties.
  • Incidentrapporten maken
  • Geleide reacties op incidenten ophalen
  • Verkrijg samenvattingen van Defender-apparaten
  • Bestanden analyseren
  • meer...

Microsoft Defender XDR-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Defender XDR-mogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Copilot bevat ook een ingebouwd promptbook voor microsoft Defender XDR-incidentonderzoek dat u kunt gebruiken om een rapport over een specifiek incident op te halen, met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Defender XDR ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Natuurlijke taal naar KQL voor Microsoft Defender

De invoegtoepassing Natuurlijke taal naar KQL voor Microsoft Defender (NL2KQLDefender) maakt queryassistentfunctionaliteit mogelijk waarmee elke vraag in natuurlijke taal in de context van opsporing van bedreigingen wordt geconverteerd naar een kant-en-klare KQL-query. De queryassistent bespaart beveiligingsteams tijd door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist.

Microsoft Defender Extern Aanvaloppervlak Beheer (Defender EBKA)

Microsoft Defender Extern Beheer Van Aanvalsoppervlak (Defender EBKA) ontdekt en brengt uw digitale aanvalsoppervlak voortdurend in kaart om u een extern beeld van uw online infrastructuur te geven. Dankzij deze zichtbaarheid kunnen beveiligings- en IT-teams onbekende gegevens identificeren, risico's prioriteren, bedreigingen elimineren en controle over kwetsbaarheid en blootstelling uitbreiden buiten de firewall. Surface Insights voor aanvallen wordt gegenereerd met behulp van beveiligings- en infrastructuurgegevens om de belangrijkste aandachtspunten voor uw organisatie te laten zien.

Als u Defender EBKA gebruikt in dezelfde tenant als Copilot en de invoegtoepassing inschakelt, kan Copilot inzichten van Defender EBKA verkrijgen over de kwetsbaarheid voor aanvallen van een organisatie. Deze inzichten kunnen u helpen inzicht te krijgen in uw beveiligingspostuur en beveiligingsproblemen te beperken.

Defender EBKA-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de EASM-systeemmogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Enkele voorbeeldprompts zijn:

  • Is mijn externe aanvalsoppervlak beïnvloed door CVE-2023-21709?
  • Assets ophalen die worden beïnvloed door CVSS's met hoge prioriteit in mijn aanvalsoppervlak.
  • Hoeveel assets hebben kritieke CVSS's voor mijn organisatie?

Als u deze invoegtoepassing wilt gebruiken, moet u parameters configureren om het abonnement van uw organisatie op Defender EBKA te identificeren.

Schermopname van de EASM-invoegtoepassingsinstellingen die moeten worden geconfigureerd.

Microsoft Defender Bedreigingsinformatie

Microsoft Defender-bedreigingsinformatie (Defender TI) is een platform dat de triage, incidentrespons, opsporing van bedreigingen, beveiligingsbeheer en analistwerkstromen voor bedreigingsinformatie stroomlijnt bij het uitvoeren van analyse van bedreigingsinfrastructuur en het verzamelen van bedreigingsinformatie.

Security Copilot kan worden geïntegreerd met Microsoft Defender TI. Als de Defender TI-invoegtoepassing is ingeschakeld, levert Copilot informatie over bedreigingsactiviteitengroepen, indicatoren van inbreuk (IOC's), hulpprogramma's en contextuele bedreigingsinformatie. U kunt de prompts en promptbooks gebruiken om incidenten te onderzoeken, uw opsporingsstromen te verrijken met informatie over bedreigingsinformatie of meer kennis te krijgen over het wereldwijde bedreigingslandschap van uw organisatie.

Microsoft Defender TI-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de mogelijkheden van het Defender TI-systeem die kunnen worden uitgevoerd in de zelfstandige modus.

Enkele voorbeeldprompts zijn:

  • Laat me de nieuwste bedreigingsartikelen zien.
  • Bekijk bedreigingsartikelen die zijn gekoppeld aan de financiële sector.
  • Deel de technologieën die vatbaar zijn voor het beveiligingsprobleem - CVE-2021-44228.
  • Een overzicht van het beveiligingsprobleem CVE-2021-44228.

Ingebouwde promptbooks die informatie van Defender TI leveren, zijn onder andere:

  • Effectbeoordeling van beveiligingsproblemen: genereert een rapport met een samenvatting van de intelligentie voor een bekend beveiligingsprobleem, inclusief de stappen voor het oplossen ervan.
  • Profiel van bedreigingsactor - Genereert een rapport dat een bekende activiteitsgroep profileert, inclusief suggesties om zich te verdedigen tegen hun gebruikelijke middelen en tactieken.

Microsoft Purview

Microsoft Purview is een uitgebreide set oplossingen waarmee uw organisatie gegevens kan beheren, beveiligen en beheren, waar deze zich ook bevinden. Microsoft Purview-oplossingen bieden geïntegreerde dekking en helpen de fragmentatie van gegevens in organisaties aan te pakken, het gebrek aan zichtbaarheid dat de beveiliging en governance van gegevens belemmert en het vervagen van traditionele IT-beheerrollen.

Met de Purview-invoegtoepassing in Security Copilot kunt u waardevolle gegevens en inzichten over gebruikersrisico's verkrijgen om de bron van een aanval en gevoelige gegevens te identificeren die mogelijk in gevaar zijn, mits u de juiste rolmachtiging hebt binnen Microsoft Purview. Omdat Microsoft Copilot ervan uitgaat dat de machtigingen van de gebruiker worden gebruikt wanneer deze toegang probeert te krijgen tot de gegevens om de query's te beantwoorden, moet u over de vereiste rolmachtigingen beschikken om toegang te krijgen tot de gegevens. Daarnaast moet uw organisatie een licentie hebben en onboarding uitvoeren voor de toepasselijke Microsoft Purview-oplossingen.

Microsoft Purview-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Purview-mogelijkheden.

Copilot-mogelijkheden kunnen ook rechtstreeks vanuit Purview-oplossingen worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Sentinel

Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Met Microsoft Sentinel krijgt u één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Er zijn twee afzonderlijke invoegtoepassingen in Copilot die betrekking hebben op Microsoft Sentinel:

  • Microsoft Sentinel
  • Natuurlijke taal naar KQL in Microsoft Sentinel

Schermopname van de Microsoft Sentinel en NL2KQK in de Microsoft Sentinel-plugin.

Microsoft Sentinel

Als u de Microsoft Sentinel-invoegtoepassing wilt gebruiken, moet de gebruiker een rolmachtiging krijgen die toegang verleent tot Copilot en een Microsoft Sentinel specifieke rol, zoals Microsoft Sentinel Lezer voor toegang tot incidenten in de werkruimte.

De Microsoft Sentinel-invoegtoepassing vereist ook dat de gebruiker de Microsoft Sentinel werkruimte, de abonnementsnaam en de naam van de resourcegroep configureert.

Schermopname van de pagina met instellingen van de Microsoft Sentinel-invoegtoepassing.

De Microsoft Sentinel-invoegtoepassingsmogelijkheden zijn gericht op incidenten en werkruimten. Daarnaast bevat Copilot een promptbook voor onderzoek naar Microsoft Sentinel-incidenten. Dit promptbook bevat aanwijzingen voor het verkrijgen van een rapport over een specifiek incident, samen met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Natuurlijke taal naar Microsoft Sentinel KQL

De natuurlijke taal voor Microsoft Sentinel KQL -invoegtoepassing (NL2KQLSentinel) converteert elke vraag in natuurlijke taal in de context van opsporing van bedreigingen naar een kant-en-klare KQL-query. Dit bespaart beveiligingsteams tijd door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist.