Поделиться через

Интеграция брандмауэра веб-приложений Azure в Microsoft Security Copilot

Microsoft Security Copilot — это облачная платформа ИИ, которая обеспечивает взаимодействие с использованием естественного языка. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения см. в статье "Что такое Microsoft Security Copilot?

Интеграция брандмауэра веб-приложений Azure (WAF) с Microsoft Security Copilot позволяет глубоко изучить события AZURE WAF. Это поможет вам исследовать журналы WAF, активируемые Azure WAF в течение нескольких минут, и предоставить связанные векторы атак с помощью ответов на естественном языке на скорости компьютера. Она обеспечивает видимость картины угроз вашей среды. Он позволяет получить список наиболее часто активированных правил WAF и определить верхние ip-адреса в вашей среде.

Интеграция Microsoft Security Copilot поддерживается в Azure WAF в Шлюзе приложений Azure и Azure WAF в Azure Front Door.

Знайте перед началом

Если вы не знакомы с Microsoft Security Copilot, ознакомьтесь с ним, прочитав следующие статьи:

Интеграция Microsoft Security Copilot с Azure WAF

Эта интеграция поддерживает автономный интерфейс и осуществляется через https://securitycopilot.microsoft.com. Это интерфейс чата, который вы можете использовать для получения ответов на вопросы и получения ответов на ваши данные. Дополнительные сведения см. в разделе Microsoft Security Copilot и его возможности.

Ключевые функции

Интеграция брандмауэра веб-приложений Azure в Microsoft Security Copilot предоставляет несколько мощных возможностей для анализа и понимания состояния безопасности. Эти функции используют ИИ для перевода сложных журналов WAF в полезные аналитические сведения с помощью ответов естественного языка.

  • Предоставление списка основных правил Azure WAF, активируемых в клиентской среде, и создание глубокого контекста со связанными векторами атак.

    Эта возможность предоставляет информацию о правилах Azure WAF, которые срабатывают при блокировке WAF. Он предоставляет упорядоченный список правил на основе частоты триггера в требуемом периоде времени. Процессы анализа обрабатывают журналы Azure WAF и связывают связанные журналы в течение определенного периода времени. Результатом является простое объяснение естественного языка о том, почему конкретный запрос был заблокирован.

  • Предоставление списка вредоносных IP-адресов в среде клиента и создание связанных угроз.

    Эта возможность содержит сведения о IP-адресах клиента, заблокированных Azure WAF. Процессы анализа обрабатывают журналы Azure WAF и связывают связанные журналы в течение определенного периода времени. Результатом является понятное объяснение заблокированных WAF IP-адресов и причин их блокировки.

  • Суммирование атак SQL-инъекций (SQLi).

    Эта функция предоставляет информацию об атаках SQL-инъекции (SQLi), которые были заблокированы Azure WAF. Анализируя журналы Azure WAF и коррелируя связанные данные за определенный период времени, этот навык обеспечивает простое объяснение естественного языка о том, почему запросы SQLi были заблокированы.

  • Сводка атак типа межсайтового скриптинга (XSS)

    Этот навык Azure WAF помогает понять, почему Azure WAF блокирует атаки на межсайтовые скрипты (XSS) на веб-приложения. Навык анализирует журналы Azure WAF и связывает связанные инциденты за определенный период времени. Результатом является простое объяснение естественного языка о том, почему запрос XSS был заблокирован.

Включение интеграции Azure WAF в Security Copilot

Чтобы включить интеграцию, выполните следующие действия.

  1. Убедитесь, что у вас есть как минимум права участника Copilot.
  2. Открыть https://securitycopilot.microsoft.com/.
  3. Откройте меню Security Copilot.
  4. Откройте источники в строке запроса.
  5. На странице "Плагины" установите переключатель Брандмауэр веб-приложений Azure в положение Включить.
  6. Выберите настройки в плагине брандмауэра веб-приложений Azure, чтобы настроить рабочую область Log Analytics для Azure Front Door WAF или WAF шлюза приложений Azure.
  7. Чтобы начать использование навыков, используйте панель запроса. Снимок экрана: панель запроса Microsoft Security Copilot.

Примеры запросов Azure WAF

Вы можете создать собственные запросы в Microsoft Security Copilot для анализа атак на основе журналов WAF. В этом разделе показаны некоторые идеи и примеры.

Перед началом работы

  • Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включите в запросы определенные идентификаторы/имена устройств, имена приложений или имена политик.

    Это также может помочь добавить WAF в запрос. Например:

    • Была ли атака на внедрение SQL в мой региональный WAF в последний день?
    • Расскажите мне больше о главных правилах, срабатывающих в моем глобальном WAF.

  • Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели ИИ чата различаются, поэтому итерация и уточнение запросов должны проводиться на основе полученных результатов. Для руководства по созданию эффективных запросов см. руководство «Создание собственных запросов».

В следующем примере запросы могут быть полезны.

Краткое изложение угроз SQL-инъекций

  • Произошла ли атака типа SQL-инъекция в моей глобальной WAF-системе за последний день?
  • Показать IP-адреса, связанные с наиболее серьезной атакой SQL-инъекции в моем глобальном WAF
  • Покажите мне все атаки SQL-инъекций в региональной WAF-системе за последние 24 часа

Сводка сведений об атаках межсайтового скриптинга

  • Была ли обнаружена атака типа XSS в WAF моего шлюза приложений за последние 12 часов?
  • Покажите мне список всех XSS-атак в моем WAF Azure Front Door.

Создание списка угроз в моей среде на основе правил WAF

  • Какие основные глобальные правила WAF активировались за последние 24 часа?
  • Каковы основные угрозы, связанные с правилом WAF в моей среде? <введите идентификатор правила>
  • Была ли атака ботов в региональном WAF за последний день?
  • Подведите итог блокировок пользовательских правил, срабатывавших в WAF Azure Front Door за последний день.

Создание списка угроз в моей среде на основе вредоносных IP-адресов

  • Какой IP-адрес был самым нарушающим в региональном WAF за последний день?
  • Составить сводку из списка вредоносных IP-адресов в Azure Front Door WAF за последние шесть часов?

Предоставление отзыва

Ваши отзывы об интеграции Azure WAF с Microsoft Security Copilot помогают при разработке. Чтобы предоставить отзыв в Copilot, выберите "Как вам этот ответ?" в нижней части каждого выполненного запроса и выберите любой из следующих параметров:

  • Выберите «Выглядит правильно», если вы считаете, что результаты точны на основе вашей оценки.
  • Требуется улучшение. Выберите, являются ли результаты неверными или недостаточно полными, в соответствии с вашей оценкой.
  • Недопустимо. Выберите, содержат ли результаты сомнительные, неоднозначные или потенциально опасные сведения.

Для каждого элемента обратной связи можно указать дополнительные сведения в следующем диалоговом окне. Каждый раз, когда это возможно, и когда результат нуждается в улучшении, напишите несколько слов, объясняя, что можно сделать, чтобы улучшить результат.

Ограничение

Если вы мигрируете в выделенные таблицы Azure Log Analytics версии шлюза приложений WAF V2, навыки Microsoft Security Copilot WAF не функционируют. В качестве временного обходного решения включите Диагностику Azure в качестве целевой таблицы, в дополнение к таблице, относящейся к ресурсу.

Шлюз приложений для контейнеров WAF: Шлюз приложений для контейнеров WAF не поддерживает безопасность Copilot.

Конфиденциальность и безопасность данных в Microsoft Security Copilot

Сведения о том, как Microsoft Security Copilot обрабатывает запросы и данные, полученные из службы (вывод запроса), см. в разделе "Конфиденциальность и безопасность данных" в Microsoft Security Copilot.

Связанный контент

  • Last updated on