你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全 Copilot 是一种生成式 AI 驱动的安全解决方案,帮助提高安全人员的效率和能力,以机器级的速度和规模改善安全成果。 它提供一种自然语言辅助驾驶体验,帮助安全专业人员支持端到端场景,例如事件响应、威胁搜寻、情报收集和态势管理。 有关其功能的详细信息,请参阅“什么是 Microsoft 安全 Copilot?”
在开始之前了解
如果你是 Security Copilot 的新用户,则应阅读以下文章自行熟悉它:
- SaaS - 什么是 Microsoft Security Copilot?
- Microsoft Security Copilot 体验
- Microsoft Security Copilot 入门
- 了解 Microsoft 安全 Copilot 中的身份验证
- 在 Microsoft 安全 Copilot 中发送提示词
Azure 防火墙中的 Security Copilot 集成
Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供最高水平的威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
安全 Copilot 中的 Azure 防火墙集成可帮助分析人员使用自然语言问题在整个队列中详细调查其防火墙的 IDPS 功能截获的恶意流量。
你可以在两种不同的体验中使用此集成:
安全助手门户(独立体验)
Azure 门户中的 Azure Copilot (嵌入式体验):
有关详细信息,请参阅“Microsoft Security Copilot 体验”和“Azure 中的 Microsoft Copilot 功能”。
关键功能
安全 Copilot 具有内置系统功能,可以从开启的不同插件获取数据。
若要查看 Azure 防火墙的内置系统功能列表,请在安全 Copilot 门户使用以下过程:
在提示栏中,选择“提示”图标。
选择“查看所有系统功能”。
“Azure 防火墙”部分列出了可使用的所有可用功能。
启用 Microsoft 安全 Copilot 中的 Azure 防火墙集成
确保 Azure 防火墙配置正确:
Azure 防火墙结构化日志 - 用于安全 Copilot 的 Azure 防火墙必须配置 IDPS 的资源特定的结构化日志,而且这些日志必须发送到 Log Analytics 工作区。
Azure 防火墙基于角色的访问控制 - 在 Microsoft 安全 Copilot 中使用 Azure 防火墙插件的用户必须具有适当的 Azure 基于角色的访问控制角色才能访问防火墙和关联的 Log Analytics 工作区。
转到 Security Copilot 并使用凭据登录。
确保已启用 Azure 防火墙插件。 在提示栏中,选择“源”图标。 在显示的“管理源”弹出窗口中,确认已打开“Azure 防火墙”开关。 然后,关闭此窗口。 无需进行任何其他配置。 只要结构化日志发送到 Log Analytics 工作区,并且你拥有适当的基于角色的访问控制权限,Copilot 就会找到所需的数据来回答你的问题。
在Security Copilot 门户或通过 Azure 门户中的 Copilot in Azure 体验,在提示栏中输入提示。
重要
使用 Copilot in Azure 查询 Azure 防火墙包含在 Security Copilot 中,并需要安全计算单位 (SCU)。 可以随时部署 SCU 并增加或减少它们。 有关 SCU 的详细信息,请参阅“Microsoft 安全 Copilot 入门”。 如果没有正确配置安全 Copilot,但通过 Azure 体验中的 Copilot 询问与 Azure 防火墙功能相关的问题,则会看到一条错误消息。
示例 Azure 防火墙提示
可以使用许多提示从 Azure 防火墙获取信息。 此部分列出了目前效果最好的那些。 随着新功能的推出,它们会不断更新。
检索给定的 Azure 防火墙的热门 IDPS 签名命中次数
获取有关 IDPS 功能截获的流量的日志信息,而不是手动构造 KQL 查询。
示例提示:
- 我的防火墙
<Firewall name>是否拦截了任何恶意流量? - 过去七天内,资源组
<Firewall name>的防火墙<resource group name>的前 20 个 IDPS 命中数是多少? - 以表格形式展示过去一个月内订阅
<Firewall name>中针对防火墙<subscription name>的前 50 次攻击。
在日志信息之外丰富 IDPS 签名的威胁配置文件
获取额外的详细信息来扩充 IDPS 签名的威胁信息/配置文件,而无需手动自行编译。
示例提示:
解释 IDPS 为什么将命中次数最高的标记为高严重性,而将第 5 次命中标记为低严重性。
关于这次攻击,你能告诉我什么? 此攻击者还会进行其他哪些攻击?
我看到第三个签名 ID 与 CVE
<CVE number\>相关联,请告诉我有关此 CVE 的详细信息。注意
Microsoft 威胁情报插件是安全 Copilot 可用于为 IDPS 签名提供威胁情报的另一个来源。
在租户、订阅或资源组中查找给定的 IDPS 签名
对所有防火墙中的威胁执行全局搜索,而不是手动搜索威胁。
示例提示:
- 签名 ID
<ID number\>是否仅被此防火墙阻止? 整个租户中的其他防火墙呢? - 订阅
<subscription name>中的其他防火墙是否也检测到了此次最高命中攻击? - 在过去一周内,资源组
<resource group name\>中的任何防火墙是否看到签名 ID<ID number>?
使用 Azure 防火墙的 IDPS 功能生成环境保护建议
从文档获取有关使用 Azure 防火墙 IDPS 功能来保护环境的信息,而无需手动查找此信息。
示例提示:
如何在整个基础结构中保护自己免受此攻击者的未来攻击?
我想确保所有 Azure 防火墙都受到来自签名 ID
<ID number\>攻击的保护,该如何实现这一目标?在风险方面,IDPS 的“仅警报”和“警报并阻止”模式之间有何区别?
注意
安全 Copilot 还可以使用询问 Microsoft 文档功能提供此信息,当通过 Azure Copilot 体验使用此功能时,可以使用获取信息功能来提供此信息。
提供反馈
对于指导产品的当前和计划开发来说,你的反馈至关重要。 提供此反馈的最佳方式是直接在产品中进行。
通过 Security Copilot
在每个已完成的提示底部,选择“此回复怎么样?”,然后选择以下任一选项:
- 看起来正确 - 如果根据评估,结果是准确的,请选择此项。
- 需要改进 - 如果根据评估,结果中有任何详细信息不正确或不完整,请选择此项。
- 不恰当 - 如果结果包含可疑、不明确或潜在有害的信息,请选择此项。
对于每个反馈选项,可以在下一个对话框中提供详细信息。 只要有可能,尤其是在结果是“需要改进”时,请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示,并且结果不相关,请添加该信息。
通过 Copilot in Azure
在每个完成的提示下方使用“喜欢”和“不喜欢”按钮。 对于任一反馈选项,都可以在下一个对话框中提供详细信息。 如有可能,尤其是不喜欢某个回复时,请写几句话说明我们可以做些什么来改进结果。 如果输入了特定于 Azure 防火墙的提示,并且结果不相关,请添加该信息。
安全 Copilot 中的隐私和数据安全
通过安全 Copilot 门户或 Azure 中的 Copilot 体验与安全 Copilot 交互以获取信息时,Copilot 将从 Azure 防火墙拉取该数据。 提示、检索的数据以及提示结果中显示的输出在 Copilot 服务中进行处理和存储。 有关详细信息,请参阅“Microsoft 安全 Copilot 中的隐私和数据安全”。