Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot ist eine Plattform, die Ihnen hilft, Ihre Organisation mit Maschinengeschwindigkeit und Skalierung zu verteidigen. Microsoft Sentinels umfangreiche Sicherheitsdaten bieten eine hervorragende Quelle für Copilot, um Vorfälle zu analysieren und Jagdabfragen zu generieren.
Zusammen mit anderen Security Copilot Quellen, die Sie aktivieren, bieten Ihre Microsoft Sentinel Vorfälle und Daten umfassendere Einblicke in Bedrohungen und deren Kontext für Ihre Organisation.
Wissenswertes, bevor Sie beginnen
Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich darüber informieren, indem Sie die folgenden Artikel durchlesen.
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot-Erfahrungen
- Get started with Microsoft Security Copilot
- Verstehen Sie die Authentifizierung in Microsoft Security Copilot
- Eingabeaufforderung in Microsoft Security Copilot
Security Copilot Integration mit Microsoft Sentinel
Diese Integration unterstützt in erster Linie die eigenständige Erfahrung, auf die über https://securitycopilot.microsoft.com zugegriffen wird, wo Sie in einer chatähnlichen Erfahrung interagieren, um Vorfälle zusammenzufassen und andere Antworten auf Ihre Sicherheitsdaten erhalten. Weitere Informationen finden Sie unter Microsoft Security Copilot Experiences.
Schlüsselfunktionen
Microsoft Sentinel Daten werden wie folgt in Security Copilot im Defender Portal integriert:
- Wenn Sie auch Microsoft Defender XDR haben, profitiert der Copilot in Microsoft Defender XDR von einheitlichen Vorfällen, die mit Microsoft Sentinel integriert sind.
- In der eigenständigen Benutzeroberfläche bietet Microsoft Sentinel die folgenden Plug-Ins für die Integration in Security Copilot:
Microsoft Sentinel (Vorschau)
Natürliche Sprache zu KQL für Microsoft Sentinel (Vorschau).
Aktivieren der Security Copilot Integration mit Microsoft Sentinel
Gehen Sie wie folgt vor, um die Security Copilot Integration mit Microsoft Sentinel zu maximieren:
- Konfigurieren eines Standardarbeitsbereichs für Microsoft Sentinel für Security Copilot
- Verbindung des Microsoft Sentinel Arbeitsbereichs mit Microsoft Defender XDR
Konfigurieren eines Standardarbeitsbereichs Microsoft Sentinel
Erhöhen Sie die Genauigkeit der Aufforderung, indem Sie einen Microsoft Sentinel Arbeitsbereich als Standard konfigurieren.
Navigieren Sie zu Security Copilot unter https://securitycopilot.microsoft.com/.
Öffnen Sie Quellen
auf der Prompt-Leiste.Legen Sie auf der Seite Plug-Ins verwalten den Umschalter auf Ein fest.
Wählen Sie das Zahnradsymbol im Plug-In Microsoft Sentinel (Vorschau) aus.
Konfigurieren Sie den Namen für den Standardarbeitsbereich.
Tipp
Geben Sie den Arbeitsbereich in Ihrem Prompt an, falls er nicht mit dem konfigurierten Standardwert übereinstimmt.
Beispiel: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Integrieren von Microsoft Sentinel mit Copilot in Defender
Verwenden Sie das Microsoft Defender-Portal mit Ihren Microsoft Sentinel Daten für eine eingebettete Security Copilot Erfahrung. Die einzigartigen Datenquellen von Microsoft Sentinel, die in Microsoft Defender XDR vereinheitlichte Vorfälle einfließen, bieten Copilot in Defender die Möglichkeit, seine Funktionalitäten zu maximieren.
Zum Beispiel:
- Die SAP-Lösung (Vorschau) wird in Ihrem Arbeitsbereich für Microsoft Sentinel installiert.
- Die Quasi-Echtzeit-Regel SAP – (Vorschau) Datei, die von einer bösartigen IP-Adresse heruntergeladen wurde, löst eine Warnung aus, wodurch ein Microsoft Sentinel-Incident erstellt wird.
- Microsoft Sentinel wurde in das Defender Portal integriert.
- Microsoft Sentinel Vorfälle werden jetzt mit Defender XDR Vorfällen vereinheitlicht.
- Verwenden Sie Copilot in Microsoft Defender für Die Zusammenfassung von Vorfällen, geführten Antworten und Vorfallberichten.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Integrate Microsoft Defender XDR
- Microsoft Sentinel im Microsoft Defender-Portal
- Copilot in Microsoft Defender
Integrieren Sie Microsoft Sentinel mit Security Copilot in die erweiterte Bedrohungssuche.
Das Plug-In „Natürliche Sprache in KQL für Microsoft Sentinel (Vorschau)“ generiert KQL-Huntingabfragen mithilfe von Microsoft Sentinel-Daten und führt sie aus. Diese Funktion ist in der eigenständigen Benutzeroberfläche und im Abschnitt "Erweiterte Suche" des Microsoft Defender-Portals verfügbar.
Hinweis
Im einheitlichen Microsoft Defender-Portal können Sie Security Copilot auffordern, erweiterte Suchabfragen für Defender XDR und Microsoft Sentinel Tabellen zu generieren. Nicht alle Microsoft Sentinel Tabellen werden derzeit unterstützt.
Weitere Informationen finden Sie unter Security Copilot in der erweiterten Erkennung.
Beispiel für Microsoft Sentinel Eingabeaufforderungen
Nutzen Sie das Promptbook zur Untersuchung von Microsoft Sentinel-Incidents als Ausgangspunkt für die Erstellung effektiver Prompts. Dieses Promptbook liefert einen Bericht über einen bestimmten Vorfall sowie verwandte Warnungen, Reputationswerte, Benutzer und Benutzerinnen sowie Geräte.
| Leitfaden | Eingabeaufforderung |
|---|---|
| Erstellen Sie mit Copilot lesbare Informationen, anstatt mit Objekt-IDs zu reagieren. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot weiß, wer Sie sind. Verwenden Sie das Pronomen „ich“, um Incidents zu finden, die mit Ihnen in Zusammenhang stehen. Der folgende Prompt zielt auf die Ihnen zugewiesenen Incidents ab. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| Wenn Sie eine Eingabeaufforderungsantwort auf einen einzelnen Vorfall einschränken, kennt Copilot den Kontext. | Tell me about the entities associated with that incident. |
| Copilot ist gut zum Zusammenfassen geeignet. Beschreiben Sie eine bestimmte Zielgruppe, für die die Prompts und Antworten zusammengefasst werden sollen. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
Weitere Leitfäden und Beispiele für Prompts finden Sie in den folgenden Ressourcen:
- Verwenden von Promptbooks
- Eingabeaufforderung in Microsoft Security Copilot
- Rod Trents Security Copilot Prompt Bibliothek
Feedback geben
Ihr Feedback ist entscheidend, um die aktuelle und geplante Entwicklung des Produkts zu verbessern. Am besten geben Sie dieses Feedback direkt im Produkt. Wählen Sie Wie ist diese Antwort? unter jedem abgeschlossenen Prompt und wählen Sie eine der folgenden Optionen aus:
- Sieht richtig aus: Wählen Sie diese Option, wenn die Ergebnisse auf der Grundlage Ihrer Bewertung korrekt sind.
- Verbesserung erforderlich: Wählen Sie diese Option, wenn Details in den Ergebnissen basierend auf Ihrer Bewertung falsch oder unvollständig sind.
- Unangemessen: Wählen Sie diese Option, wenn die Ergebnisse fragwürdige, mehrdeutige oder potenziell schädliche Informationen enthalten.
Für jede Feedbackoption können Sie im daraufhin angezeigten Dialogfeld weitere Informationen angeben. Wenn möglich und vor allem, wenn Sie Verbesserungsbedarf melden, schreiben Sie bitte ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie bestimmte Aufforderungen für Azure Firewall eingegeben haben und die Ergebnisse nicht miteinander verknüpft sind, schließen Sie diese Informationen ein.
Datenschutz und Datensicherheit in Security Copilot
Informationen dazu, wie Security Copilot Ihre Eingabeaufforderungen und die Daten verarbeitet, die vom Dienst abgerufen werden (Eingabeaufforderungsausgabe), finden Sie unter Privacy und Datensicherheit in Microsoft Security Copilot.