Invoegtoepassingen voor Security Copilot beschrijven

  • 10 minuten

Microsoft Security Copilot integreert met verschillende bronnen, waaronder de eigen beveiligingsproducten van Microsoft, niet-Microsoft leveranciers, opensource intelligence-feeds, websites en knowledge bases om richtlijnen te genereren die specifiek zijn voor uw organisatie.

Een van de mechanismen waarmee Copilot integreert met deze verschillende bronnen, is via invoegtoepassingen. Invoegtoepassingen breiden de mogelijkheden van Copilot uit. In deze les verkent u de verschillende categorieën plug-ins die beschikbaar zijn in Security Copilot.

Categorieën van invoegtoepassingen

Invoegtoepassingen in Security Copilot zijn ingedeeld in de volgende categorieën:

  • Microsoft – Plugins van Microsoft beveiligingsproducten en -services.
  • Overig – Invoegtoepassingen van niet-Microsoft beveiligingsservices.
  • Websites : plugins die toegang bieden tot openbare webinformatie.
  • Aangepast: plug-ins die u of uw organisatie ontwikkelen.

Microsoft-invoegtoepassingen

Microsoft-invoegtoepassingen geven Copilot toegang tot informatie en mogelijkheden vanuit de Microsoft-producten van uw organisatie. Security Copilot bevat veel vooraf geïnstalleerde Microsoft-invoegtoepassingen. In de volgende afbeelding ziet u slechts een subset van de beschikbare Microsoft-invoegtoepassingen en de volgorde waarin de invoegtoepassingen worden vermeld, kan verschillen van wat in het product wordt weergegeven.

Als een Copilot-eigenaar de toegang tot plugins heeft beperkt, worden die plugins die als beperkt zijn ingesteld, grijs weergegeven en beperkt.

Raadpleeg het overzicht Plugins in Microsoft Security Copilot voor een volledige lijst met alle beschikbare Microsoft-invoegtoepassingen.

Note

Producten die als plug-ins met Security Copilot kunnen worden geïntegreerd, moeten afzonderlijk worden aangeschaft.

Belangrijkste concepten voor invoegtoepassingen

Er zijn verschillende belangrijke concepten met betrekking tot invoegtoepassingen die belangrijk zijn om te begrijpen hoe ze werken binnen Security Copilot.

Authentication

Microsoft invoegtoepassingen in Copilot gebruiken over het algemeen het verificatiemodel namens (OBO). Dit betekent dat Copilot weet dat een klant licenties heeft voor specifieke producten en automatisch wordt aangemeld bij deze producten. Copilot kan vervolgens toegang krijgen tot die producten wanneer de invoegtoepassing is ingeschakeld. Sommige invoegtoepassingen waarvoor setup is vereist, zoals vermeld door een instellingenpictogram of installatieknop, kunnen configureerbare parameters bevatten die worden gebruikt voor verificatie in plaats van het OBO-model.

Niet-Microsoft-invoegtoepassingen definiëren elk hun eigen verificatievereisten, waaronder API-sleutels, OAuth-referenties of andere servicespecifieke referenties.

Beheer van invoegtoepassingen

Eigenaren bepalen de beschikbaarheid van invoegtoepassingen in de hele organisatie. Standaard hebben alle eigenaren en inzenders toegang tot vooraf geïnstalleerde Microsoft en niet-Microsoft-invoegtoepassingen. Wanneer een eigenaar de toegang tot de invoegtoepassing beperkt, kan deze de beschikbaarheid instellen op:

  • Alle gebruikers
  • Alleen eigenaren

Zodra de toegang is beperkt, worden nieuwe vooraf geïnstalleerde invoegtoepassingen alleen beschikbaar gesteld aan eigenaren totdat ze anders zijn geconfigureerd. Het beperken van de toegang is een onmiddellijke wijziging die van invloed is op alle gebruikers van Security Copilot, inclusief ingesloten ervaringen.

Voor sommige invoegtoepassingen, zoals Microsoft Sentinel en Azure AI Zoeken, is extra installatie vereist. Elke invoegtoepassing met een tandwielpictogram of een Instellen knop wordt per gebruiker ingesteld.

Systeemmogelijkheden

Elke ingeschakelde invoegtoepassing bevat systeemmogelijkheden, specifieke, enkele prompts die u in Copilot kunt gebruiken. Als u de systeemmogelijkheden wilt weergeven die worden ondersteund door de ingeschakelde invoegtoepassingen, selecteert u het promptpictogram in de promptbalk en selecteert u 'Alle systeemmogelijkheden weergeven'. Als u een systeemmogelijkheid selecteert, hebt u doorgaans meer invoer nodig om een nuttig antwoord te krijgen, maar Copilot biedt richtlijnen.

Schermopname van het promptpictogram dat wanneer dit is geselecteerd, het venster opent om systeemmogelijkheden te selecteren.

Voorbeelden van Microsoft-invoegtoepassingen

De volgende secties bevatten beschrijvingen van twee Microsoft-invoegtoepassingen om de typen mogelijkheden te illustreren die invoegtoepassingen bieden. Microsoft Security Copilot voortdurend ondersteuning voor Microsoft producten toevoegt en voor elke invoegtoepassing groeit de lijst met mogelijkheden.

Microsoft Defender XDR

Microsoft Defender XDR is een geïntegreerde enterprise defense suite die detectie, preventie, onderzoek en reactie coördineert op eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.

Er zijn twee afzonderlijke invoegtoepassingen in Copilot die betrekking hebben op Microsoft Defender XDR:

  • Microsoft Defender XDR : biedt mogelijkheden om incidenten samen te vatten, actie te ondernemen op incidenten via begeleide antwoorden, incidentrapporten te maken, samenvattingen van apparaten op te halen, bestanden en scripts te analyseren en meer.
  • Naurale taal naar KQL voor Microsoft Defender XDR : converteert elke vraag in natuurlijke taal in de context van opsporing van bedreigingen naar een kant-en-klare KQL-query. Dit bespaart beveiligingsteams tijd door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist.

De rolmachtiging waarmee de gebruiker toegang verleent tot Copilot bepaalt het toegangsniveau voor Microsoft Defender XDR-gegevens. Er zijn geen aanvullende rolmachtigingen vereist voor het gebruik van de Microsoft Defender XDR-invoegtoepassing of de natuurlijke taal voor Defender XDR KQL-invoegtoepassing.

Microsoft Defender XDR-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Schermopname van de Defender XDR-mogelijkheden die kunnen worden uitgevoerd in de zelfstandige ervaring.

Enkele voorbeeldprompts zijn:

  • Het incident {incidentnummer} samenvatten.
  • Geef me de begeleide reacties voor incident {incidentnummer}.
  • Welke apparaten zijn betrokken bij incident {incidentnummer}?

Copilot bevat ook een ingebouwd promptbook voor Microsoft Defender XDR incidentonderzoek dat u kunt gebruiken om een rapport over een specifiek incident op te halen, met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Defender XDR ook worden ervaren via de ingesloten ervaring. De scenario's die worden ondersteund via de ingesloten ervaring, worden gedetailleerder beschreven in de module getiteld 'Beschrijf de ingesloten ervaringen van Microsoft Security Copilot'.

Microsoft Sentinel

Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Met Microsoft Sentinel krijgt u één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Er zijn twee afzonderlijke invoegtoepassingen in Copilot die betrekking hebben op Microsoft Sentinel:

  • Microsoft Sentinel : biedt mogelijkheden die zijn gericht op incidenten en werkruimten. Hiermee kunnen analisten informatie krijgen over incidenten, gekoppelde waarschuwingen en werkruimtegegevens.
  • Naurale taal naar Microsoft Sentinel KQL: converteert elke vraag in natuurlijke taal in de context van opsporing van bedreigingen naar een kant-en-klare KQL-query, waardoor beveiligingsteams tijd besparen door query's te genereren die vervolgens automatisch kunnen worden uitgevoerd of verder kunnen worden aangepast.

Schermopname van de Microsoft Sentinel en de NL2KQL-plugin in Microsoft Sentinel.

Als u de Microsoft Sentinel-invoegtoepassing wilt gebruiken, heeft de gebruiker een rolmachtiging nodig die toegang verleent tot Copilot en een Microsoft Sentinel-specifieke rol, zoals Microsoft Sentinel Lezer voor toegang tot incidenten in de werkruimte. De Microsoft Sentinel-invoegtoepassing vereist ook dat de gebruiker de Microsoft Sentinel werkruimte, de abonnementsnaam en de naam van de resourcegroep configureert.

Schermopname van de pagina met instellingen van de Microsoft Sentinel-invoegtoepassing.

Enkele voorbeeldprompts zijn:

  • Geef me de top 5 Microsoft Sentinel-incidenten met de hoogste ernst.
  • Het meest recente incident van Microsoft Sentinel weergeven.
  • Haal Microsoft Sentinel incidenten op die aan mij zijn toegewezen.

Copilot bevat ook een promptbook voor onderzoek naar Microsoft Sentinel incident. Dit promptbook bevat aanwijzingen voor het verkrijgen van een rapport over een specifiek incident, samen met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Niet-Microsoft-invoegtoepassingen

Naast Microsoft producten ondersteunt Security Copilot ook niet-Microsoft plugins.

Andere invoegtoepassingen

Andere invoegtoepassingen bieden Copilot toegang tot informatie en mogelijkheden van niet-Microsoft beveiligingsservices die uw organisatie gebruikt. De lijst met ondersteunde invoegtoepassingen groeit voortdurend en bevat integraties met services zoals ServiceNow, Splunk, CrowdSec en GreyNoise.

Schermopname van de niet-Microsoft plugins.

Voor toegang tot deze invoegtoepassingen is een account en licentie voor de specifieke service vereist. Elke invoegtoepassing vereist een eigen verificatie-instelling, die API-sleutels of andere referenties kan bevatten.

Website-invoegtoepassingen

Website-invoegtoepassingen geven Copilot toegang tot branchegegevens van het openbare web. Deze invoegtoepassingen gebruiken anonieme verificatie en vereisen geen aanvullende configuratie.

Schermopname van de invoegtoepassingen van de website.

Aangepaste invoegtoepassingen

Met het Security Copilot-platform kunnen ontwikkelaars en gebruikers hun eigen invoegtoepassingen maken om gespecialiseerde taken uit te voeren. Er zijn twee soorten aangepaste invoegtoepassingen:

  • Aangepaste Copilot-plug-ins die u ontwikkelt.
  • Aangepaste invoegtoepassingen die zijn ontwikkeld met de API van OpenAI.

Elke aangepaste invoegtoepassing vereist een YAML- of JSON-manifestbestand dat metagegevens beschrijft over de vaardighedenset en hoe u de vaardigheden aanroept. De instellingen van de eigenaar bepalen wie aangepaste invoegtoepassingen voor zichzelf en voor anderen in de organisatie kan toevoegen en beheren.

Schermopname met de twee typen aangepaste invoegtoepassingen.

Zie Uw eigen aangepaste invoegtoepassingen maken voor meer informatie over aangepaste invoegtoepassingen.

Bekijk deze korte video voor een samenvatting van het instellen van niet-Microsoft-invoegtoepassingen en het toevoegen van aangepaste invoegtoepassingen.