Beschreiben Sie Security Copilot Plugins

  • 10 Minuten

Microsoft Security Copilot integriert sich in verschiedene Quellen, einschließlich der eigenen Sicherheitsprodukte von Microsoft, Nicht-Microsoft-Anbietern, Open-Source-Intelligence-Feeds, Websites und Wissensdatenbanken, um speziell auf Ihre Organisation abgestimmte Anleitungen zu generieren.

Einer der Mechanismen, mit denen Copilot in diese verschiedenen Quellen integriert wird, ist über Plugins. Plugins erweitern die Funktionen Copilot. In dieser Lektion erkunden Sie die verschiedenen Kategorien von Plug-Ins, die in Security Copilot verfügbar sind.

Plug-In-Kategorien

Plugins in Security Copilot sind in die folgenden Kategorien unterteilt:

  • Microsoft – Plugins von Microsoft Sicherheitsprodukten und -diensten.
  • Other – Plugins von nicht Microsoft Sicherheitsdiensten.
  • Websites – Plugins, die Zugriff auf öffentliche Webinformationen bieten.
  • Benutzerdefiniert – Plug-Ins, die Sie oder Ihre Organisation entwickeln.

Microsoft-Plug-Ins

Microsoft-Plug-Ins ermöglichen Copilot den Zugriff auf Informationen und Funktionen aus den Microsoft-Produkten Ihrer Organisation. Security Copilot enthält viele vorinstallierte Microsoft Plugins. Die folgende Abbildung zeigt nur eine Teilmenge der verfügbaren Microsoft-Plug-Ins, außerdem kann die Reihenfolge, in der die Plug-Ins aufgeführt werden, von der im Produkt abweichen.

Wenn ein Eigentümer von Copilot den Zugriff auf Plug-Ins beschränkt hat, werden die Plug-Ins, die auf eingeschränkt gesetzt sind, ausgegraut angezeigt und als eingeschränkt markiert.

Eine vollständige Liste aller verfügbaren Microsoft Plugins finden Sie in der Plugins-Übersicht in Microsoft Security CopilotDokumentation.

Note

Produkte, die in Security Copilot als Plug-Ins integriert werden, müssen separat erworben werden.

Wichtige Konzepte für Plug-Ins

Es gibt mehrere Schlüsselkonzepte im Zusammenhang mit Plug-Ins, die wichtig sind, um zu verstehen, wie sie in Security Copilot funktionieren.

Authentication

Microsoft Plugins in Copilot verwenden in der Regel das Authentifizierungsmodell „im Namen von“ (OBO). Dies bedeutet, dass Copilot weiß, dass ein Kunde Lizenzen für bestimmte Produkte hat und automatisch bei diesen Produkten angemeldet ist. Copilot können dann auf diese Produkte zugreifen, wenn das Plug-In aktiviert ist. Einige Plug-Ins, die setup erfordern, wie durch ein Einstellungssymbol oder eine Setupschaltfläche angegeben, können konfigurierbare Parameter enthalten, die für die Authentifizierung anstelle des OBO-Modells verwendet werden.

Nicht Microsoft Plug-Ins definieren jeweils ihre eigenen Authentifizierungsanforderungen, die API-Schlüssel, OAuth-Anmeldeinformationen oder andere dienstspezifische Anmeldeinformationen enthalten können.

Plug-In-Verwaltung

Besitzer steuern die Verfügbarkeit des Plug-Ins in der gesamten Organisation. Standardmäßig haben alle Besitzer und Mitwirkenden Zugriff auf vorinstallierte Microsoft- und Nicht-Microsoft-Plug-Ins. Wenn ein Besitzer den Plug-In-Zugriff einschränkt, kann er die Verfügbarkeit auf Folgendes festlegen:

  • Alle Benutzer
  • Nur für Besitzer

Sobald der Zugriff eingeschränkt ist, werden neue vorinstallierte Plug-Ins den Besitzern nur so lange zur Verfügung gestellt, bis dies anders konfiguriert ist. Das Einschränken des Zugriffs ist eine sofortige Änderung, die sich auf alle Benutzer von Security Copilot auswirkt, einschließlich eingebetteter Erfahrungen.

Einige Plug-Ins, z. B. Microsoft Sentinel und Azure KI-Suche, erfordern zusätzliche Einrichtung. Jedes Plug-In mit einem Zahnradsymbol oder schaltfläche " Einrichten " wird pro Benutzer konfiguriert.

Systemfunktionen

Jedes aktivierte Plug-In macht systemspezifische, einzelne Eingabeaufforderungen verfügbar, die Sie in Copilot verwenden können. Um die Systemfunktionen anzuzeigen, die von den aktivierten Plug-Ins unterstützt werden, wählen Sie das Eingabeaufforderungssymbol in der Eingabeaufforderungsleiste aus, und wählen Sie "Alle Systemfunktionen anzeigen" aus. Die Auswahl einer Systemfunktion erfordert in der Regel mehr Eingaben, um eine nützliche Antwort zu erhalten, aber Copilot enthält Anleitungen.

Bildschirmaufnahme des Prompt-Symbols, das beim Auswählen das Fenster zum Auswählen von Systemfunktionen öffnet.

Beispiele für Microsoft Plugins

Die folgenden Abschnitte enthalten Beschreibungen von zwei Microsoft Plug-Ins, um die Arten von Funktionen zu veranschaulichen, die Plug-Ins bereitstellen. Microsoft Security Copilot fügt kontinuierlich Unterstützung für Microsoft Produkte hinzu, und für jedes Plug-In wächst auch die Liste der Funktionen.

Microsoft Defender XDR

Microsoft Defender XDR ist eine einheitliche Enterprise-Verteidigungssuite vor und nach einem Verstoß, welche die Erkennung, Verhinderung, Untersuchung und Reaktion über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg koordiniert, um einen integrierten Schutz vor ausgeklügelten Angriffen zu bieten.

Es gibt zwei separate Plug-Ins in Copilot, die sich auf Microsoft Defender XDR beziehen:

  • Microsoft Defender XDR – Bietet Funktionen zum Zusammenfassen von Vorfällen, ergreifen Maßnahmen für Vorfälle durch geführte Reaktionen, Erstellen von Vorfallberichten, Abrufen von Gerätezusammenfassungen, Analysieren von Dateien und Skripts und vieles mehr.
  • Natürliche Sprache zu KQL für Microsoft Defender XDR – Wandelt jede natürlichsprachige Frage im Kontext der Bedrohungssuche in eine ausführungsbereite KQL-Abfrage um. Dies spart Sicherheitsteams Zeit, indem eine KQL-Abfrage generiert wird, die dann automatisch ausgeführt oder entsprechend den Anforderungen des Analysten optimiert werden kann.

Die Rollenberechtigung, die dem Benutzer Zugriff auf Copilot gewährt, bestimmt die Ebene des Zugriffs auf Microsoft Defender XDR-Daten. Es sind keine zusätzlichen Rollenberechtigungen erforderlich, um das Microsoft Defender XDR-Plug-In oder das Plug-In für natürliche Sprache in Defender XDR-KQL zu verwenden.

Microsoft Defender XDR-Funktionen in Copilot sind integrierte Prompts, die Sie verwenden können. Sie können jedoch auch eigene Prompts basierend auf den unterstützten Funktionen eingeben.

Bildschirmaufnahme der Defender XDR-Funktionen, die in der eigenständigen Benutzeroberfläche ausgeführt werden können.

Einige Beispielaufforderungen umfassen:

  • Zusammenfassung des Vorfalls {Vorfallnummer}.
  • Geben Sie mir die geführten Antworten für Vorfall {Vorfallnummer}.
  • Welche Geräte sind an Vorfall {Vorfallnummer} beteiligt?

Copilot enthält auch einen integrierten Leitfaden für die Microsoft Defender XDR-Incident-Untersuchung, um einen Bericht zu einem bestimmten Incident mit zugehörigen Warnungen, Reputationsbewertungen, Benutzern und Geräten abzurufen.

Wenn das Plug-In aktiviert ist, kann die Copilot-Integration mit Defender XDR auch über die eingebettete Erfahrung genutzt werden. Eine ausführlichere Beschreibung von Szenarien, die über die eingebettete Benutzeroberfläche unterstützt werden, finden Sie im Modul „Beschreiben der eingebetteten Erfahrungen von Microsoft Security Copilot“.

Microsoft Sentinel

Microsoft Sentinel bietet intelligente Sicherheitsanalysen und Threat Intelligence im gesamten Unternehmen. Mit Microsoft Sentinel erhalten Sie eine einzige Lösung zur Angriffserkennung, für Einblicke in Bedrohungen, proaktives Hunting und für die Reaktion auf Bedrohungen.

Es gibt zwei separate Plug-Ins in Copilot, die sich auf Microsoft Sentinel beziehen:

  • Microsoft Sentinel – Bietet Funktionen, die sich auf Vorfälle und Arbeitsbereiche konzentrieren. Es ermöglicht Analysten, Informationen zu Vorfällen, zugehörigen Warnungen und Arbeitsbereichsdaten abzurufen.
  • Natürliche Sprache in Microsoft Sentinel KQL – Wandelt jede Frage in natürlicher Sprache im Kontext der Bedrohungssuche in eine sofort ausgeführte KQL-Abfrage um, wodurch Sicherheitsteams Zeit sparen, indem Abfragen generiert werden, die dann automatisch ausgeführt oder weiter optimiert werden können.

Screenshot der Microsoft Sentinel und NL2KQL im Microsoft Sentinel Plugin.

Um das Microsoft Sentinel-Plug-In zu verwenden, benötigt der Benutzer eine Rollenberechtigung, die Zugriff auf Copilot gewährt, und eine Microsoft Sentinel spezifische Rolle wie Microsoft Sentinel Leser für den Zugriff auf Vorfälle im Arbeitsbereich. Das Microsoft Sentinel-Plug-In erfordert außerdem, dass der Benutzer den Microsoft Sentinel Arbeitsbereich, den Abonnementnamen und den Ressourcengruppennamen konfigurieren kann.

Bildschirmfoto der Einstellungsseite des Microsoft Sentinel Plugins.

Einige Beispielaufforderungen umfassen:

  • Holen Sie mir die Top 5 Microsoft Sentinel-Vorfälle mit hoher Schwere.
  • Zeigen Sie den neuesten Vorfall von Microsoft Sentinel an.
  • Rufen Sie Microsoft Sentinel Vorfälle ab, die mir zugewiesen wurden.

Copilot enthält auch ein Aufforderungshandbuch für die Microsoft Sentinel-incident-Untersuchung. Dieses Promptbook enthält Aufforderungen zum Abrufen eines Berichts zu einem bestimmten Incident sowie verwandte Warnungen, Reputationsbewertungen, Benutzer und Geräte.

Nicht-Microsoft-Plug-Ins

Über Microsoft Produkte hinaus unterstützt Security Copilot auch Nicht-Microsoft Plugins.

Weitere Plug-Ins

Andere Plug-Ins gewähren Copilot Zugriff auf Informationen und Funktionen von nicht Microsoft Sicherheitsdiensten, die Ihre Organisation verwendet. Die Liste der unterstützten Plug-Ins wächst kontinuierlich und umfasst Integrationen mit Diensten wie ServiceNow, Splunk, CrowdSec und GreyNoise.

Bildschirmaufnahme der Nicht-Microsoft-Plug-Ins

Der Zugriff auf diese Plug-Ins erfordert ein Konto und eine Lizenz für den jeweiligen Dienst. Jedes Plug-In erfordert ein eigenes Authentifizierungssetup, das API-Schlüssel oder andere Anmeldeinformationen enthalten kann.

Website-Plugins

Website-Plugins bieten Copilot Zugriff auf Brancheninformationen aus dem öffentlichen Web. Diese Plug-Ins verwenden anonyme Authentifizierung und erfordern keine zusätzliche Konfiguration.

Bildschirmaufnahme der Website-Plug-Ins.

Benutzerdefinierte Plug-Ins

Mit der Security Copilot-Plattform können Entwickler und Benutzer eigene Plug-Ins erstellen, um spezielle Aufgaben auszuführen. Es gibt zwei Arten von benutzerdefinierten Plug-Ins:

  • Benutzerdefinierte Copilot Plugins, die Sie entwickeln.
  • Benutzerdefinierte Plug-Ins, die mit der OpenAI-API entwickelt wurden.

Jedes benutzerdefinierte Plug-In erfordert eine YAML- oder JSON-formatierte Manifestdatei, die Metadaten zu den Fähigkeiten beschreibt und wie die Fähigkeiten aufgerufen werden. Besitzereinstellungen bestimmen, wer benutzerdefinierte Plug-Ins für sich selbst und für andere Personen in der Organisation hinzufügen und verwalten kann.

Bildschirmaufnahme mit den beiden Arten von benutzerdefinierten Plug-Ins.

Weitere Informationen zu benutzerdefinierten Plug-Ins finden Sie unter Erstellen eigener benutzerdefinierter Plug-Ins.

Schauen Sie sich dieses kurze Video an, um eine Zusammenfassung zum Einrichten von Nicht-Microsoft-Plug-Ins und zum Hinzufügen von benutzerdefinierten Plug-Ins zu erhalten.