Azure Web Application Firewall-integrering i Microsoft Security Copilot

Microsoft Security Copilot är en molnbaserad AI-plattform som ger copilot-upplevelse med naturligt språk. Det kan hjälpa säkerhetspersonal i olika scenarier, till exempel svara på incidenter, hotjakt och insamling av information. Mer information finns i Vad är Microsoft Security Copilot?

Integrering av Azure Web Application Firewall (WAF) i Microsoft Security Copilot möjliggör djupgående undersökning av Azure WAF-händelser. Det kan hjälpa dig att undersöka WAF-loggar som utlöses av Azure WAF på några minuter och tillhandahålla relaterade attackvektorer med naturliga språksvar med maskinhastighet. Den ger insyn i din miljös hotlandskap. Det gör att du kan hämta en lista över de vanligaste utlösta WAF-reglerna och identifiera de vanligaste felaktiga IP-adresserna i din miljö.

Microsoft Security Copilot-integrering stöds på både Azure WAF på Azure Application Gateway och Azure WAF på Azure Front Door.

Ha kunskap innan du börjar

Om du inte har använt Microsoft Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:

• Vad är Microsoft Security Copilot?
• Microsoft Security Copilot-upplevelser
• Kom igång med Microsoft Security Copilot
• Förstå autentisering i Microsoft Security Copilot
• Framkallningar i Microsoft Security Copilot

Microsoft Security Copilot-integrering i Azure WAF

Den här integreringen stöder den fristående upplevelsen och nås via https://securitycopilot.microsoft.com. Det här är en chattliknande upplevelse som du kan använda för att ställa frågor och få svar om dina data. Mer information finns i Microsoft Security Copilot-upplevelser.

Nyckelfunktioner

Azure Web Application Firewall-integrering i Microsoft Security Copilot innehåller flera kraftfulla funktioner som hjälper dig att analysera och förstå din säkerhetsstatus. De här funktionerna använder AI för att översätta komplexa WAF-loggar till användbara insikter via svar på naturligt språk.

• Tillhandahålla en lista över de främsta Azure WAF-reglerna som utlöses i kundmiljön och generera djup kontext med relaterade attackvektorer.

  Den här funktionen innehåller information om Azure WAF-regler som utlöses på grund av ett WAF-block. Den innehåller en ordnad lista över regler baserat på utlösarfrekvens under önskad tidsperiod. Analysen bearbetar Azure WAF-loggar och ansluter relaterade loggar under en viss tidsperiod. Resultatet är en lättförstårlig förklaring av varför en viss begäran blockerades.

• Tillhandahålla en lista över skadliga IP-adresser i kundmiljön och generera relaterade hot.

  Den här funktionen innehåller information om klient-IP-adresser som blockeras av Azure WAF. Analysen bearbetar Azure WAF-loggar och ansluter relaterade loggar under en viss tidsperiod. Resultatet är en lättförståelig förklaring på naturligt språk om vilka IP-adresser WAF blockerade och orsaken till blockeringarna.

• Att sammanfatta SQL-injektionsattacker (SQLi).

  Den här funktionen innehåller information om SQL-inmatningsattacker (SQLi) som blockerades av Azure WAF. Genom att analysera Azure WAF-loggar och korrelera relaterade data under en viss tidsperiod ger den här färdigheten en lättförståelig förklaring av varför SQLi-begäranden blockerades.

• Sammanfattar XSS-attacker (cross-site scripting).

  Den här Azure WAF-kunskapen hjälper dig att förstå varför Azure WAF blockerade XSS-attacker (Cross Site Scripting) på webbprogram. Kunskapen analyserar Azure WAF-loggar och ansluter relaterade incidenter under en viss tidsperiod. Resultatet är en lättförstedd förklaring av naturligt språk till varför en XSS-begäran blockerades.

Aktivera Azure WAF-integrering i Security Copilot

Följ dessa steg för att aktivera integreringen:

1. Kontrollera att du har åtminstone behörighet som Copilot-deltagare.
2. Öppna https://securitycopilot.microsoft.com/.
3. Öppna menyn Security Copilot.
4. Öppna källor i promptfältet.
5. På sidan Insticksprogram ställer du in växlingsknappen för Azure Web Application Firewall till På.
6. Välj inställningarna i plugin-programmet Azure Web Application Firewall för att konfigurera Log Analytics-arbetsytan för Azure Front Door WAF eller Azure Application Gateway WAF.
7. För att börja använda färdigheterna, använd kommandofältet.

Exempel på Azure WAF-frågor

Du kan skapa egna uppmaningar i Microsoft Security Copilot för att utföra analys av attacker baserat på WAF-loggar. Det här avsnittet visar några idéer och exempel.

Innan du börjar

• Var tydlig och specifik med dina frågor. Du kan få bättre resultat om du inkluderar specifika enhets-ID:n eller namn, appnamn eller policynamn i dina uppmaningar.

  Det kan också hjälpa att lägga till WAF i din uppmaning. Till exempel:

  • Fanns det någon SQL-injektion i min regionala WAF den senaste dagen?
  • Berätta mer om de vanligaste reglerna som utlöses i min globala WAF

• Experimentera med olika frågor och variationer för att se vad som fungerar bäst för ditt användningsfall. Chatt-AI-modeller varierar, så iterera och förfina dina frågor baserat på de resultat du får För vägledning om hur du skriver effektiva frågor, se Skapa egna frågor.

Följande exempelmeddelanden kan vara till hjälp.

Sammanfatta information om SQL-inmatningsattacker

• Förekom det en SQL-injektionsattack i min globala WAF det senaste dygnet?
• Visa IP-adresser som är relaterade till den främsta SQL-injektionsattacken i min WAF globalt.
• Visa mig alla SQL-inmatningsattacker i regionala WAF under de senaste 24 timmarna

Sammanfatta information om skriptattacker mellan webbplatser

• Har någon XSS-attack identifierats i min Application Gateway WAF under de senaste 12 timmarna?
• Visa en lista över alla XSS-attacker i min Azure Front Door WAF

Generera en lista över hot i min miljö baserat på WAF-regler

• Vilka var de främsta globala WAF-reglerna som utlöstes under de senaste 24 timmarna?
• Vilka är de största hoten som är relaterade till WAF-regeln i min miljö? <ange regel-ID>
• Var det någon robotattack i min regionala WAF den senaste dagen?
• Sammanfatta anpassade regelblock som utlöstes av Azure Front Door WAF under den senaste dagen.

Generera en lista över hot i min miljö baserat på skadliga IP-adresser

• Vad var den mest kränkande IP-adressen i regional WAF den senaste dagen?
• Sammanfatta listan över skadliga IP-adresser i min Azure Front Door WAF under de senaste sex timmarna?

Lämna feedback

Din feedback om Azure WAF-integreringen med Microsoft Security Copilot hjälper dig att utveckla. Om du vill ge feedback i Copilot väljer du Hur är det här svaret? Längst ned i varje slutförd fråga och välj något av följande alternativ:

• Ser rätt ut – Välj om resultatet är korrekt baserat på din utvärdering.
• Behöver förbättras – Välj om någon detalj i resultatet är felaktig eller ofullständig, baserat på din utvärdering.
• Olämpligt – Välj om resultatet innehåller tvivelaktig, tvetydig eller potentiellt skadlig information.

För varje feedbackobjekt kan du ange mer information i nästa dialogruta som visas. När det är möjligt, och när resultatet är Behöver förbättras, skriver du några ord som förklarar vad som kan göras för att förbättra resultatet.

Begränsning

Om du migrerar till dedikerade Azure Log Analytics-tabeller i Application Gateway WAF V2-versionen fungerar inte Microsoft Security Copilot WAF-kunskaper. Som en tillfällig lösning aktiverar du Azure Diagnostics som måltabell utöver den resursspecifika tabellen.

Application Gateway for Containers WAF: Application Gateway for Containers WAF stöder inte Security Copilot.

Sekretess och datasäkerhet i Microsoft Security Copilot

Information om hur Microsoft Security Copilot hanterar dina frågor och de data som hämtas från tjänsten (promptutdata) finns i Sekretess och datasäkerhet i Microsoft Security Copilot.

Relaterat innehåll

• Vad är Microsoft Security Copilot?
• Microsoft Security Copilot-upplevelser
• Kom igång med Microsoft Security Copilot