Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Security Copilot é uma plataforma que o ajuda a defender a sua organização à velocidade e dimensionamento da máquina. Os vastos dados de segurança do Microsoft Sentinel fornecem uma excelente origem para a Copilot ajudar a analisar incidentes e gerar consultas de investigação.
Juntamente com outras origens de Security Copilot ativadas, os seus Microsoft Sentinel incidentes e dados fornecem uma maior visibilidade sobre ameaças e o respetivo contexto para a sua organização.
Saiba antes de começar
Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler estes artigos:
- O que é Microsoft Security Copilot?
- experiências de Microsoft Security Copilot
- Introdução ao Microsoft Security Copilot
- Compreender a autenticação no Microsoft Security Copilot
- Pedido em Microsoft Security Copilot
Security Copilot integração com o Microsoft Sentinel
Esta integração suporta principalmente a experiência autónoma acedida através https://securitycopilot.microsoft.comdo , onde interage numa experiência de chat para resumir incidentes e obter outras respostas sobre os seus dados de segurança. Para obter mais informações, veja Microsoft Security Copilot experiências.
Funcionalidades principais
Microsoft Sentinel dados integram-se com Security Copilot no portal do Defender da seguinte forma:
- Quando também tiver Microsoft Defender XDR, o Copilot no Microsoft Defender XDR beneficia de incidentes unificados integrados com Microsoft Sentinel.
- Na experiência autónoma, o Microsoft Sentinel fornece os seguintes plug-ins para integrar com Security Copilot:
Microsoft Sentinel (Pré-visualização)
Linguagem natural para KQL para Microsoft Sentinel (Pré-visualização).
Ativar a integração do Security Copilot com o Microsoft Sentinel
Para maximizar a sua integração Security Copilot com Microsoft Sentinel faça o seguinte:
- configurar uma área de trabalho de Microsoft Sentinel predefinida para Security Copilot
- ligar a área de trabalho do Microsoft Sentinel ao Microsoft Defender XDR
Configurar uma área de trabalho de Microsoft Sentinel predefinida
Aumente a precisão do pedido ao configurar uma área de trabalho Microsoft Sentinel como predefinição.
Navegue para Security Copilot em https://securitycopilot.microsoft.com/.
Abra Origens
na barra de pedidos.Na página Gerir plug-ins , defina o botão de alternar como Ativado
Selecione o ícone de engrenagem no plug-in Microsoft Sentinel (Pré-visualização).
Configure o nome predefinido da área de trabalho.
Sugestão
Especifique a área de trabalho no seu pedido quando não corresponder à predefinição configurada.
Exemplo: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrar Microsoft Sentinel com o Copilot no Defender
Utilize o portal Microsoft Defender com os seus dados de Microsoft Sentinel para uma experiência de Security Copilot incorporada. As origens de dados exclusivas do Microsoft Sentinel que fluem para Microsoft Defender XDR incidentes unificados permitem à Copilot no Defender maximizar as suas capacidades.
Por exemplo:
- A solução SAP (Pré-visualização) está instalada na área de trabalho para Microsoft Sentinel.
- A regra quase em tempo real SAP – (Pré-visualização) Ficheiro Transferido a Partir de um Endereço IP Malicioso aciona um alerta, criando um Microsoft Sentinel incidente.
- Microsoft Sentinel foi integrado no portal do Defender.
- Microsoft Sentinel incidentes estão agora unificados com incidentes Defender XDR.
- Utilize Copilot no Microsoft Defender para resumo de incidentes, respostas guiadas e relatórios de incidentes.
Para mais informações, consulte os seguintes recursos:
- Integrar Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
- Copilot no Microsoft Defender
Integrar Microsoft Sentinel com Security Copilot na investigação avançada
O plug-in Linguagem natural para KQL para Microsoft Sentinel (Pré-visualização) gera e executa consultas de investigação KQL com Microsoft Sentinel dados. Esta capacidade está disponível na experiência autónoma e na secção de investigação avançada do portal do Microsoft Defender.
Nota
No portal de Microsoft Defender unificado, pode pedir Security Copilot para gerar consultas de investigação avançadas para tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas Microsoft Sentinel são atualmente suportadas.
Para obter mais informações, veja Security Copilot na investigação avançada.
Pedidos de Microsoft Sentinel de exemplo
Considere o promptbook Microsoft Sentinel investigação de incidentes como um ponto de partida para criar pedidos eficazes. Este promptbook fornece um relatório sobre um incidente específico, juntamente com alertas relacionados, classificações de reputação, utilizadores e dispositivos.
| Documentação de orientação | Linha de comandos |
|---|---|
| Deslocar Copilot para fornecer informações legíveis por humanos em vez de responder com IDs de objeto. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot sabe quem é. Utilize o pronome "eu" para encontrar incidentes relacionados consigo. O pedido seguinte destina-se a incidentes atribuídos a si. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Quando reduz uma resposta rápida a um único incidente, Copilot conhece o contexto. | Tell me about the entities associated with that incident. |
| Copilot é bom a resumir. Descreva uma audiência específica para a qual pretende resumir os pedidos e as respostas. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Para obter mais orientações e exemplos de pedidos, veja os seguintes recursos:
- Utilizar promptbooks
- Pedido em Microsoft Security Copilot
- Biblioteca de pedidos de Security Copilot de Rod Trent
Fornecer comentários
Os seus comentários são vitais para orientar o desenvolvimento atual e planeado do produto. A melhor forma de fornecer este feedback é diretamente no produto. Selecione Como está esta resposta? na parte inferior de cada pedido concluído e escolha qualquer uma das seguintes opções:
- Parece correto – selecione se os resultados são precisos, com base na sua avaliação.
- Precisa de melhoria – selecione se algum detalhe nos resultados está incorreto ou incompleto, com base na sua avaliação.
- Inadequado – selecione se os resultados contêm informações questionáveis, ambíguas ou potencialmente prejudiciais.
Para cada opção de feedback, pode fornecer mais informações na caixa de diálogo seguinte apresentada. Sempre que possível, e especialmente quando o resultado for Precisa de ser melhorado, escreva algumas palavras que expliquem o que pode ser feito para melhorar o resultado. Se tiver introduzido pedidos específicos para Azure Firewall e os resultados não estiverem relacionados, inclua essas informações.
Privacidade e segurança de dados no Security Copilot
Para compreender como Security Copilot processa os seus pedidos e os dados obtidos a partir do serviço (saída de pedido), consulte Privacidade e segurança de dados no Microsoft Security Copilot.