Descreva os plugins do Security Copilot

  • 10 minutos

O Microsoft Security Copilot integra-se com várias fontes, incluindo os próprios produtos de segurança da Microsoft, fornecedores não Microsoft, feeds de inteligência open-source, sites e bases de conhecimento para gerar orientações específicas para a sua organização.

Um dos mecanismos pelos quais o Copilot se integra com estas várias fontes é através de plugins. Os plugins estendem as capacidades do Copilot. Nesta unidade, explora as diferentes categorias de plugins disponíveis no Security Copilot.

Categorias de plugins

Os plugins no Security Copilot estão organizados nas seguintes categorias:

  • Microsoft – Plugins de produtos e serviços de segurança Microsoft.
  • Other – Plugins de serviços de segurança não-Microsoft.
  • Websites – Plugins que fornecem acesso à informação pública da web.
  • Personalizado – Plugins que você ou a sua organização desenvolvem.

Complementos da Microsoft

Os plug-ins da Microsoft dão ao Copilot acesso a informações e recursos de dentro dos produtos Microsoft da sua organização. O Security Copilot inclui muitos plugins pré-instalados da Microsoft. A imagem a seguir mostra apenas um subconjunto dos plug-ins da Microsoft disponíveis e a ordem em que os plug-ins são listados pode variar do que é exibido no produto.

Se um proprietário de Copilot tiver acesso restrito a plugins, então esses plugins definidos como restritos aparecem desativados e restritos.

Para uma lista completa de todos os plugins de Microsoft disponíveis, consulte a visão geral Plugins na documentação Microsoft Security Copilot.

Note

Os produtos que se integram com o Security Copilot como plugins precisam de ser adquiridos separadamente.

Conceitos-chave para plugins

Existem vários conceitos-chave relacionados com plugins que são importantes para compreender como funcionam dentro do Security Copilot.

Authentication

Os plugins da Microsoft no Copilot geralmente utilizam o modelo de autenticação on-behalf-of (OBO). Isto significa que o Copilot sabe que um cliente tem licenças para produtos específicos e está automaticamente ligado a esses produtos. O Copilot pode então aceder a esses produtos quando o plugin estiver ativado. Alguns plugins que requerem configuração, conforme indicado por um ícone de definições ou botão de configuração, podem incluir parâmetros configuráveis que são usados para autenticação em vez do modelo OBO.

Os plugins não-Microsoft definem cada um os seus próprios requisitos de autenticação, que podem incluir chaves API, credenciais OAuth ou outras credenciais específicas do serviço.

Gestão de plugins

Os proprietários controlam a disponibilidade dos plugins em toda a organização. Por defeito, todos os Proprietários e Contribuintes têm acesso a plugins pré-instalados da Microsoft e não da Microsoft. Quando um proprietário restringe o acesso a plugins, pode definir a disponibilidade para:

  • Todos os utilizadores
  • Apenas proprietários

Uma vez restringido o acesso, novos plugins pré-instalados ficam disponíveis para os Proprietários apenas até serem configurados de outra forma. Restringir o acesso é uma mudança imediata que afeta todos os utilizadores do Security Copilot, incluindo experiências embutidas.

Alguns plugins, como o Microsoft Sentinel e o Pesquisa de IA do Azure, requerem configuração adicional. Qualquer plugin com ícone de engrenagem ou botão Configurar é configurado por cada utilizador.

Capacidades do sistema

Cada plugin ativado expõe capacidades do sistema — prompts específicos e únicos que podes usar no Copilot. Para visualizar as capacidades do sistema suportadas pelos plugins ativados, selecione o ícone de prompt na barra de prompts e selecione "Ver todas as capacidades do sistema." Selecionar uma capacidade do sistema normalmente requer mais input para obter uma resposta útil, mas o Copilot fornece orientações.

Captura de tela do ícone de prompt que, quando selecionado, abre a janela para selecionar os recursos do sistema.

Exemplos de plugins da Microsoft

As secções que se seguem fornecem descrições de dois plugins da Microsoft para ilustrar os tipos de funcionalidades que os plugins proporcionam. O Microsoft Security Copilot está continuamente a adicionar suporte para produtos Microsoft, e para cada plugin a lista de funcionalidades também está a crescer.

Microsoft Defender XDR

O Microsoft Defender XDR é um pacote unificado de defesa empresarial pré e pós-violação que coordena nativamente a deteção, prevenção, investigação e resposta entre endpoints, identidades, email e aplicações para fornecer proteção integrada contra ataques sofisticados.

Existem dois plugins separados no Copilot que estão relacionados com o Microsoft Defender XDR:

  • Microsoft Defender XDR – Fornece capacidades para resumir incidentes, agir sobre incidentes através de respostas guiadas, criar relatórios de incidentes, obter resumos de dispositivos, analisar ficheiros e scripts, entre outros.
  • Linguagem natural para KQL para Microsoft Defender XDR – Converte qualquer pergunta em linguagem natural no contexto da caça a ameaças numa consulta KQL pronta a executar. Isto poupa tempo às equipas de segurança ao gerar uma consulta KQL que pode ser executada automaticamente ou ajustada de acordo com as necessidades do analista.

A permissão de função que concede ao usuário acesso ao Copilot determina o nível de acesso aos dados XDR do Microsoft Defender. Não são necessárias permissões de função adicionais para usar o plugin Microsoft Defender XDR ou o plugin de linguagem natural para KQL do Defender XDR.

Os recursos do Microsoft Defender XDR no Copilot são prompts internos que você pode usar, mas você também pode inserir seus próprios prompts com base nos recursos suportados.

Captura de tela dos recursos do Defender XDR que podem ser executados na experiência autônoma.

Alguns prompts de exemplo incluem:

  • Resumir o incidente {número do incidente}.
  • Dá-me as respostas guiadas para o incidente {número do incidente}.
  • Que dispositivos estão envolvidos no incidente {número do incidente}?

O Copilot também inclui um livro de sugestões incorporado para a investigação de incidentes do Microsoft Defender XDR, que pode utilizar para obter um relatório sobre um incidente específico, com alertas relacionados, pontuações de reputação, utilizadores e dispositivos.

Com o plugin ativado, a integração do Copilot com o Defender XDR também pode ser experimentada através da experiência incorporada. Os cenários suportados pela experiência incorporada são descritos com mais detalhes no módulo intitulado "Descrever as experiências incorporadas do Microsoft Security Copilot".

Microsoft Sentinel

O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. Com o Microsoft Sentinel, você obtém uma única solução para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.

Existem dois plugins separados no Copilot que estão relacionados com o Microsoft Sentinel:

  • Microsoft Sentinel – Fornece capacidades focadas em incidentes e espaços de trabalho. Permite aos analistas obter informações sobre incidentes, alertas associados e dados do espaço de trabalho.
  • Linguagem natural para Microsoft Sentinel KQL – Converte qualquer pergunta em linguagem natural no contexto da caça a ameaças numa consulta KQL pronta a executar, poupando tempo às equipas de segurança ao gerar consultas que podem ser executadas automaticamente ou ajustadas.

Captura de ecrã do Microsoft Sentinel e NL2KQL no plugin Microsoft Sentinel.

Para usar o plugin Microsoft Sentinel, o utilizador precisa de uma permissão de função que conceda acesso ao Copilot e a um papel específico do Microsoft Sentinel, como o Microsoft Sentinel Reader, para aceder a incidentes no espaço de trabalho. O plugin Microsoft Sentinel também exige que o utilizador configure o espaço de trabalho do Microsoft Sentinel, o nome da subscrição e o nome do grupo de recursos.

Captura de ecrã da página de definições do plugin Microsoft Sentinel.

Alguns prompts de exemplo incluem:

  • Arranja-me os 5 principais incidentes Microsoft Sentinel de alta gravidade.
  • Mostrar o incidente mais recente do Microsoft Sentinel.
  • Obtenha os incidentes do Microsoft Sentinel que me foram atribuídos.

O Copilot inclui também um promptbook para a investigação do incidente do Microsoft Sentinel. Este promptbook inclui prompts para obter um relatório sobre um incidente específico, juntamente com alertas relacionados, pontuações de reputação, usuários e dispositivos.

Plugins não-Microsoft

Para além dos produtos Microsoft, o Security Copilot também suporta plugins não Microsoft.

Outros plugins

Outros plugins dão ao Copilot acesso a informações e capacidades de serviços de segurança não da Microsoft que a sua organização utiliza. A lista de plugins suportados está a crescer continuamente e inclui integrações com serviços como ServiceNow, Splunk, CrowdSec e GreyNoise.

Captura de ecrã dos plugins não Microsoft.

O acesso a estes plugins requer uma conta e licença para o serviço específico. Cada plugin requer a sua própria configuração de autenticação, que pode incluir chaves API ou outras credenciais.

Plugins para websites

Os plugins do site dão ao Copilot acesso à informação do setor a partir da web pública. Estes plugins usam autenticação anónima e não requerem configuração adicional.

Captura de ecrã dos plugins do site.

Plugins personalizados

A plataforma Security Copilot permite que programadores e utilizadores criem os seus próprios plugins para realizar tarefas especializadas. Existem dois tipos de plugins personalizados:

  • Plugins personalizados do Copilot que desenvolves.
  • Plugins personalizados desenvolvidos com a API da OpenAI.

Cada plugin personalizado requer um ficheiro manifest formatado em YAML ou JSON que descreva metadados sobre o conjunto de competências e como as invocar. As definições do proprietário determinam quem pode adicionar e gerir plugins personalizados para si próprio e para outros na organização.

Captura de ecrã a mostrar os dois tipos de plugins personalizados.

Para saber mais sobre plugins personalizados, consulte Criar os seus próprios plugins personalizados.

Veja este breve vídeo para um resumo sobre como configurar plugins que não sejam da Microsoft e adicionar plugins personalizados.