Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Security Copilot är en plattform som hjälper dig att försvara din organisation med maskinhastighet och skala. Microsoft Sentinel stora säkerhetsdata är en utmärkt källa för Copilot för att analysera incidenter och generera jaktfrågor.
Tillsammans med andra Security Copilot källor som du aktiverar ger dina Microsoft Sentinel incidenter och data större insyn i hot och deras kontext för din organisation.
Ha kunskap innan du börjar
Om du inte har Security Copilot bör du bekanta dig med det genom att läsa följande artiklar:
- Vad är Microsoft Security Copilot?
- Microsoft Security Copilot upplevelser
- Kom igång med Microsoft Security Copilot
- Förstå autentisering i Microsoft Security Copilot
- Fråga i Microsoft Security Copilot
Security Copilot integrering med Microsoft Sentinel
Den här integreringen stöder främst den fristående upplevelsen som nås via https://securitycopilot.microsoft.com, där du interagerar i en chattliknande upplevelse för att sammanfatta incidenter och få andra svar om dina säkerhetsdata. Mer information finns i Microsoft Security Copilot upplevelser.
Nyckelfunktioner
Microsoft Sentinel data integreras med Security Copilot i Defender-portalen på följande sätt:
- När du också har Microsoft Defender XDR drar Copilot i Microsoft Defender XDR nytta av enhetliga incidenter som är integrerade med Microsoft Sentinel.
- I den fristående miljön tillhandahåller Microsoft Sentinel följande plugin-program för att integrera med Security Copilot:
Microsoft Sentinel (förhandsversion)
Naturligt språk till KQL för Microsoft Sentinel (förhandsversion).
Aktivera Security Copilot integrering med Microsoft Sentinel
För att maximera din Security Copilot integrering med Microsoft Sentinel göra följande:
- konfigurera en standardarbetsyta för Microsoft Sentinel för Security Copilot
- anslut din Microsoft Sentinel arbetsyta till Microsoft Defender XDR
Konfigurera en standardarbetsyta för Microsoft Sentinel
Öka noggrannheten i fråga genom att konfigurera en Microsoft Sentinel arbetsyta som standard.
Gå till Security Copilot på https://securitycopilot.microsoft.com/.
Öppna Källor
i promptfältet.På sidan Hantera plugin-program ställer du in växlingsknappen på På
Välj kugghjulsikonen i plugin-programmet Microsoft Sentinel (förhandsversion).
Konfigurera standardnamnet för arbetsytan.
Tips
Ange arbetsytan i prompten när den inte matchar den konfigurerade standardinställningen.
Exempel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrera Microsoft Sentinel med Copilot i Defender
Använd Microsoft Defender-portalen med dina Microsoft Sentinel data för en inbäddad Security Copilot upplevelse. Microsoft Sentinel unika datakällor som flödar till Microsoft Defender XDR enhetliga incidenter gör det möjligt för Copilot i Defender att maximera sina funktioner.
Till exempel:
- SAP-lösningen (förhandsversion) är installerad på din arbetsyta för Microsoft Sentinel.
- Den nära realtidsregeln SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress utlöser en avisering och skapar en Microsoft Sentinel incident.
- Microsoft Sentinel registrerades i Defender-portalen.
- Microsoft Sentinel incidenter är nu enhetliga med Defender XDR incidenter.
- Använd Copilot i Microsoft Defender för incidentsammanfattning, guidade svar och incidentrapporter.
Mer information finns i följande resurser:
- Integrera Microsoft Defender XDR
- Microsoft Sentinel i Microsoft Defender-portalen
- Copilot i Microsoft Defender
Integrera Microsoft Sentinel med Security Copilot i avancerad jakt
Plugin-programmet Naturligt språk till KQL för Microsoft Sentinel (förhandsversion) genererar och kör KQL-jaktfrågor med hjälp av Microsoft Sentinel data. Den här funktionen är tillgänglig i den fristående upplevelsen och avsnittet avancerad jakt i Microsoft Defender-portalen.
Obs!
I den enhetliga Microsoft Defender-portalen kan du uppmana Security Copilot att generera avancerade jaktfrågor för både Defender XDR- och Microsoft Sentinel tabeller. För närvarande stöds inte alla Microsoft Sentinel tabeller.
Mer information finns i Security Copilot i avancerad jakt.
Exempel på Microsoft Sentinel prompter
Överväg Microsoft Sentinel promptbook för incidentundersökning som en startpunkt för att skapa effektiva frågor. Den här promptbooken levererar en rapport om en specifik incident, tillsammans med relaterade aviseringar, ryktespoäng, användare och enheter.
| Vägledning | Snabb |
|---|---|
| Knuffa Copilot för att tillhandahålla läsbar information för människor i stället för att svara med objekt-ID:t. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot vet vem du är. Använd pronomenet "mig" för att hitta incidenter som är relaterade till dig. Följande fråga riktar sig till incidenter som tilldelats dig. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| När du begränsar ett snabbsvar till en enskild incident känner Copilot till kontexten. | Tell me about the entities associated with that incident. |
| Copilot är bra på att sammanfatta. Beskriv en specifik målgrupp som du vill att prompterna och svaren ska sammanfattas för. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Mer vägledning och exempel finns i följande resurser:
Ge feedback
Din feedback är viktig för att vägleda den aktuella och planerade utvecklingen av produkten. Det bästa sättet att ge denna feedback är direkt i produkten. Välj Hur är det här svaret? längst ned i varje slutförd prompt och välj något av följande alternativ:
- Ser rätt ut – Välj om resultaten är korrekta baserat på din utvärdering.
- Behöver förbättras – Välj om någon information i resultatet är felaktig eller ofullständig, baserat på din utvärdering.
- Olämpligt – Välj om resultatet innehåller tvivelaktig, tvetydig eller potentiellt skadlig information.
För varje feedbackalternativ kan du ange mer information i nästa dialogruta som visas. När det är möjligt, och särskilt när resultatet är Behöver förbättras, skriver du några ord som förklarar vad som kan göras för att förbättra resultatet. Om du har angett frågor som är specifika för Azure Firewall och resultaten inte är relaterade, inkluderar du den informationen.
Sekretess och datasäkerhet i Security Copilot
Information om hur Security Copilot hanterar dina frågor och de data som hämtas från tjänsten (promptutdata) finns i Sekretess och datasäkerhet i Microsoft Security Copilot.