Megosztás a következőn keresztül:

Azure Firewall-integráció a Microsoft Security Copilotban (előzetes verzió)

  • Cikk

Fontos

Az Azure Firewall integrációja a Microsoft Security Copilotban jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

A Security Copilot egy generatív AI-alapú biztonsági megoldás, amely segít növelni a biztonsági személyzet hatékonyságát és képességeit a biztonsági eredmények gépi sebesség és skálázás mellett történő javítása érdekében. Természetes nyelvi, kisegítő társas élményt nyújt a biztonsági szakemberek támogatásához olyan teljes körű forgatókönyvekben, mint az incidenskezelés, a fenyegetéskeresés, az intelligenciagyűjtés és a testtartáskezelés. További információ arról, hogy mit tehet, lásd : Mi a Microsoft Security Copilot?

Tudnivalók a kezdés előtt

Ha még nem ismeri a Security Copilot, az alábbi cikkek elolvasásával ismerkedhet meg vele:

Security Copilot-integráció az Azure Firewallban

Az Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely a lehető legjobb fenyegetésvédelmet nyújt az Azure-ban futó felhőbeli számítási feladatokhoz. Ez egy szolgáltatott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal.

A Security Copilot Azure Firewall-integrációja segít az elemzőknek a tűzfalaik IDPS-funkciója által a teljes flottájukban észlelt rosszindulatú forgalom részletes vizsgálatában természetes nyelvi kérdések használatával.

Ezt az integrációt két különböző felületen használhatja:

További információ: Microsoft Security Copilot-élmények és Microsoft Copilot az Azure-képességekben.

Legfontosabb funkciók

A Security Copilot beépített rendszerfunkciókkal rendelkezik, amelyek adatokat kérhetnek le a különböző bekapcsolt beépülő modulokból.

Az Azure Firewall beépített rendszerképességeinek listájának megtekintéséhez kövesse az alábbi eljárást a Security Copilot portálon:

  1. A parancssori sávon válassza a Prompts (Kérdések) ikont .

  2. Válassza az Összes rendszerképesség megtekintése lehetőséget.

  3. Az Azure Firewall szakasz felsorolja az összes használható képességet.

    Képernyőkép az Azure Firewall rendszerképességéről a Microsoft Security Copilotban.

Az Azure Firewall integrációjának engedélyezése a Security Copilotban

  1. Győződjön meg arról, hogy az Azure Firewall megfelelően van konfigurálva:

    • Strukturált Azure Firewall-naplók – A Security Copilottal használni kívánt Azure-tűzfalakat erőforrás-specifikus strukturált naplókkal kell konfigurálni az IDPS-hez, és ezeket a naplókat egy Log Analytics-munkaterületre kell küldeni.

    • Szerepköralapú hozzáférés-vezérlés az Azure Firewallhoz – a Security Copilot Azure Firewall beépülő modult használó felhasználóknak rendelkezniük kell a megfelelő Azure Szerepköralapú hozzáférés-vezérlési szerepkörökkel a tűzfal és a kapcsolódó Log Analytics-munkaterületek eléréséhez.

  2. Lépjen a Security Copilot webhelyre, és jelentkezzen be a hitelesítő adataival.

  3. Győződjön meg arról, hogy az Azure Firewall beépülő modul be van kapcsolva. A parancssori sávon válassza a Források ikont. A megjelenő Források kezelése előugró ablakban győződjön meg arról, hogy az Azure Firewall kapcsoló be van kapcsolva. Ezután zárja be az ablakot. Nincs szükség más konfigurációra. Amíg a rendszer strukturált naplókat küld egy Log Analytics-munkaterületre, és ön rendelkezik a megfelelő szerepköralapú hozzáférés-vezérlési engedélyekkel, a Copilot megkeresi a kérdések megválaszolásához szükséges adatokat.

    Képernyőkép az Azure Firewall beépülő modulról.

  4. Írja be a parancssort a Security Copilot portál parancssori sávjára, vagy az Azure PortalOn a Copiloton keresztül az Azure-ban.

    Fontos

    Az Azure-beli Copilot használata az Azure Firewall lekérdezéséhez a Security Copilot részét képezi, és biztonsági számítási egységeket (SCU-kat) igényel. A termékváltozatokat bármikor kiépítheti, és növelheti vagy csökkentheti őket. További információ a termékváltozatokról: A Microsoft Security Copilot használatának első lépései. Ha nincs megfelelően konfigurálva a Security Copilot, de az Azure-ban a Copilot használatával feltehet egy, az Azure Firewall képességei szempontjából releváns kérdést, hibaüzenet jelenik meg.

Azure Firewall-mintaüzenetek

Az Azure Firewall számos kérést tartalmaz az információk lekérésére. Ez a szakasz felsorolja azokat, amelyek ma a legjobban működnek. Az új képességek elindításakor folyamatosan frissülnek.

Az Azure Firewall leggyakoribb IDPS-aláírási találatainak lekérése

A KQL-lekérdezések manuális létrehozása helyett kérje le az IDPS szolgáltatás által elfogott forgalom naplóadatait .

Mintaparancsok:

  • Volt olyan rosszindulatú forgalom, amelyet a tűzfal <neve> észlelt?
  • Melyek az elmúlt hét nap 20 idPS-találata az erőforráscsoport erőforráscsoportjának nevére vonatkozó tűzfal <tűzfalnév>> esetében?<
  • Mutasd meg táblázatos formában az 50 leggyakoribb támadást, amely az előfizetés-előfizetés< nevére> célzott tűzfal< tűzfalnevet> célozta meg az elmúlt hónapban.

IdPS-aláírás fenyegetésprofiljának bővítése a naplóadatokon túl

További részleteket kaphat egy IDPS-aláírás fenyegetésadatainak/profiljának bővítéséhez ahelyett, hogy manuálisan összeállítanák.

Mintaparancsok:

  • Magyarázza el, hogy az IDPS miért jelölte meg a felső találatot magas súlyosságúként, az ötödik találatot pedig alacsony súlyosságúként.
  • Mit tudsz mondani erről a támadásról? Milyen egyéb támadásokról ismert a támadó?
  • Látom, hogy a harmadik aláírási azonosító a CVE CVE-számhoz ><van társítva, többet is megtudhat erről a CVE-ről.

Feljegyzés

A Microsoft Threat Intelligence beépülő modul egy másik forrás, amellyel a Security Copilot fenyegetésfelderítést biztosíthat az IDPS-aláírásokhoz.

Keressen egy adott IDPS-aláírást a bérlő, az előfizetés vagy az erőforráscsoport között

Végezzen flottaszintű keresést (bármilyen hatókörön keresztül) egy fenyegetésre az összes tűzfalon ahelyett, hogy manuálisan keresgélnél a fenyegetést.

Mintaparancsok:

  • Az aláírás azonosítószámát <> csak ez az egy tűzfal állította le? Mi a helyzet másokkal az egész bérlőben?
  • Látta a legtöbb találatot egy másik tűzfal az előfizetés <nevében>?
  • Az elmúlt héten az erőforráscsoport erőforráscsoportjának <valamelyik> tűzfala látta az aláírás azonosítószámát><?

Javaslatok létrehozása a környezet védelméhez az Azure Firewall IDPS-funkciójával

Az Azure Firewall IDPS-funkciójának használatával kapcsolatos dokumentáció adatainak lekérése a környezet védelme érdekében ahelyett, hogy manuálisan kellene keresnie ezeket az információkat.

Mintaparancsok:

  • Hogyan megvédeni magam a támadó jövőbeli támadásaitól a teljes infrastruktúrámban?

  • Ha meg szeretném győződni arról, hogy az összes Azure-tűzfalam védett az aláírás-azonosítószámmal ><kapcsolatos támadások ellen, hogyan végezhetem el ezt?

  • Mi a különbség a csak riasztási és a riasztási és a blokkmódok között az IDPS-hez?

    Képernyőkép a környezet védelmére vonatkozó javaslatokról az Azure Firewall IDPS funkciójának használatával.

    Feljegyzés

    A Security Copilot a Microsoft Dokumentáció kérése funkcióját is használhatja ezen információk megadásához, és ha ezt a képességet a Copiloton keresztül használja az Azure-ban, az Információk lekérése funkció használható ezen információk megadására.

Visszajelzés küldése

Visszajelzése létfontosságú a termék aktuális és tervezett fejlesztésének irányításához. Ennek a visszajelzésnek a legjobb módja közvetlenül a termékben van.

A Security Copiloton keresztül

Válassza ki a válasz módját? az egyes kész kérdések alján, és válasszon az alábbi lehetőségek közül:

  • Jól néz ki – Válassza ki, hogy az eredmények pontosak-e az értékelés alapján.
  • Fejlesztésre van szükség – Válassza ki, hogy az eredmények bármelyik részlete helytelen vagy hiányos-e az értékelés alapján.
  • Nem megfelelő – Válassza ki, hogy az eredmények megkérdőjelezhető, nem egyértelmű vagy potenciálisan káros információkat tartalmaznak-e.

Minden visszajelzési lehetőséghez további információkat adhat meg a következő párbeszédpanelen. Amikor csak lehetséges, és különösen akkor, ha az eredmény fejlesztésre szorul, írjon néhány szót, amely elmagyarázza, hogyan javítható az eredmény. Ha az Azure Firewallra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak egymáshoz, adja meg ezeket az információkat.

A Copiloton keresztül az Azure-ban

Használja a hasonló és a nem tetszik gombokat az egyes kész parancssorok alján. Bármelyik visszajelzési lehetőséghez további információkat is megadhat a következő párbeszédpanelen. Amikor csak lehetséges, és különösen akkor, ha nem tetszik a válasz, írjon néhány szót, amely elmagyarázza, hogyan lehet javítani az eredményt. Ha az Azure Firewallra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak egymáshoz, adja meg ezeket az információkat.

Adatvédelem és adatbiztonság a Security Copilotban

Ha a Security Copilottal (a Security Copilot portálon vagy az Azure-beli Copiloton keresztül) kommunikál az Azure Firewall adatainak lekéréséhez, a Copilot lekéri az adatokat az Azure Firewallból. A rendszer feldolgozja és tárolja a kéréseket, a lekért adatokat és a parancssori eredményekben megjelenő kimenetet a Copilot szolgáltatásban. További információ: Adatvédelem és adatbiztonság a Microsoft Security Copilotban.

Kapcsolódó tartalom