你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender 外部攻击面管理 (Defender EASM) 持续发现和映射数字攻击面,以提供联机基础结构的外部视图。 这种可见性可帮助安全和 IT 团队识别未知因素、确定风险优先级、消除威胁,并将漏洞和暴露控制扩展到防火墙之外。 攻击面见解是通过分析漏洞和基础结构数据生成的,以展示组织关注的关键领域。
Defender EASM 中的智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶® (Security Copilot) 集成可帮助你与Microsoft发现的攻击面进行交互。 识别攻击面有助于组织快速了解其面向外部的基础结构和相关的关键风险。 它提供对特定风险领域的见解,包括漏洞、合规性和安全卫生。
有关Security Copilot的详细信息,请参阅什么是Security Copilot?有关嵌入式Security Copilot体验的信息,请参阅使用 Azure Copilot 查询Defender EASM攻击面。
在开始之前了解
如果你不熟悉Security Copilot,最好通过阅读以下文章来熟悉解决方案:
- 什么是 Microsoft 安全 Copilot?
- Security Copilot体验
- 安全 Copilot 入门
- 了解Security Copilot中的身份验证
- Security Copilot中的提示
Defender EASM 中的Security Copilot
Security Copilot可以从Defender EASM获取有关组织攻击面的见解。 可以使用Security Copilot内置功能。 若要获取详细信息,请使用 Security Copilot 中的提示。 这些信息可帮助你了解安全状况并缓解漏洞。
本文介绍了如何Security Copilot,并提供了可帮助用户Defender EASM的示例提示。
关键功能
EASM Security Copilot集成可帮助你:
获取外部攻击面的快照,并深入了解潜在风险。
可以通过分析 Internet 可用信息以及Defender EASM专有发现算法来快速查看外部攻击面。 它为组织面向外部的资产(如主机、域、网页和 IP 地址)提供易于理解的自然语言解释。 它突出显示了与每个风险相关的关键风险。
根据资产风险和常见漏洞和风险 (CES) 列表项确定修正工作的优先级。
Defender EASM帮助他们了解哪些资产和 CVE 在其环境中构成最大风险,从而帮助安全团队确定修正工作的优先级。 它分析漏洞和基础结构数据,以展示关键关注领域,提供风险和建议操作的自然语言解释。
使用Security Copilot来呈现见解。
可以使用Security Copilot通过自然语言询问见解,并从Defender EASM中提取有关组织攻击面的见解。 查询详细信息,例如安全套接字层 (SSL) 不安全证书的数量、检测到的端口以及影响攻击面的特定漏洞。
加快攻击面管理。
使用Security Copilot通过使用一组资产的标签、外部 ID 和状态修改来策划攻击面。 此过程可加快策展速度,以便您可以更快、更高效地组织库存。
启用Security Copilot集成
若要在 Defender EASM 中设置Security Copilot集成,请完成后续部分中所述的步骤。
先决条件
若要启用集成,需要满足以下先决条件:
- 访问智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®
- 激活新连接的权限
将Security Copilot连接到Defender EASM
访问Security Copilot并确保已通过身份验证。
选择提示输入栏右上角的“Security Copilot插件”图标。
在“Microsoft”下,找到“Defender 外部攻击面管理”。 选择“ 打开 ”进行连接。
如果希望Security Copilot从Defender EASM资源拉取数据,请选择齿轮图标以打开插件设置。 使用“概述”窗格上资源“概要”部分中的值输入或选择值。
注意
即使尚未购买Defender EASM,也可以使用Defender EASM技能。 有关详细信息,请参阅 插件功能参考。
示例Defender EASM提示
Security Copilot主要使用自然语言提示。 从Defender EASM查询信息时,会提交一条提示,引导Security Copilot选择Defender EASM插件并调用相关功能。
为使Security Copilot提示成功,我们建议采用以下方法:
确保在第一个提示符中引用公司名称。 除非另有说明,否则所有将来的提示都会提供有关最初指定的公司的数据。
提示要清晰和具体。 如果在提示中包含特定资产名称或元数据值 (例如 CVE ID) ,可能会获得更好的结果。
在提示中添加Defender EASM也可能会有所帮助,如以下示例所示:
- 根据Defender EASM,我过期的域是什么?
- 告诉我Defender EASM高优先级攻击面见解。
尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。
安全 Copilot 将保存提示会话。 若要查看以前的会话,请在 Security Copilot 菜单中,选择“我的会话”。
有关Security Copilot(包括固定和共享功能)的演练,请参阅导航Security Copilot。
有关编写Security Copilot提示的详细信息,请参阅Security Copilot提示提示。
插件功能参考
| 功能 | 说明 | 输入 | Behaviors |
|---|---|---|---|
| 获取攻击面摘要 | 返回客户的Defender EASM资源或特定公司名称的攻击面摘要。 |
示例输入: • 获取领英的攻击面。 • 获取我的攻击面。 • Microsoft的攻击面是什么? • 我的攻击面是什么? • Azure有哪些面向外部的资产? • 我有哪些面向外部的资产? 可选输入: • CompanyName |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 返回客户的Defender EASM资源的攻击面摘要。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果有完全匹配项,则返回公司名称的攻击面摘要。 |
| 获取攻击面见解 | 返回客户Defender EASM资源或特定公司名称的攻击面见解。 |
示例输入: • 获取领英的高优先级攻击面见解。 • 获取我的高优先级攻击面见解。 • 获取Microsoft的低优先级攻击面见解。 • 获取低优先级攻击面见解。 • Azure的外部攻击面中是否存在高优先级漏洞? 所需的输入: • PriorityLevel (优先级必须为高、中或低;如果未提供,则默认为高) 可选输入: • CompanyName (公司名称) |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 返回客户Defender EASM资源的攻击面见解。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果有完全匹配项,则返回公司名称的攻击面见解。 |
| 获取受 CVE 影响的资产 | 返回客户Defender EASM资源或特定公司名称受 CVE 影响的资产。 |
示例输入: • 获取受 CVE-2023-0012 影响的资产,以便领英。 • 对于Microsoft,哪些资产受 CVE-2023-0012 影响? • Azure的外部攻击面是否受 CVE-2023-0012 影响? • 为我的攻击面获取受 CVE-2023-0012 影响的资产。 • 哪些资产受 CVE-2023-0012 影响? • 我的外部攻击面是否受 CVE-2023-0012 影响? 所需的输入: • CveId 可选输入: • CompanyName |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 如果未填写插件设置,则会失败并提醒客户。 • 如果已填写插件设置,则返回受客户Defender EASM资源的 CVE 影响的资产。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果有完全匹配项,则返回特定公司名称受 CVE 影响的资产。 |
| 获取受 CVSS 影响的资产 | 返回受常见漏洞评分系统影响的资产, (CVSS) 客户Defender EASM资源或特定公司名称的分数。 |
示例输入: • 获取受领英攻击面中高优先级 CVSS 分数影响的资产。 • 有多少资产具有Microsoft的关键 CVSS 分数? • 哪些资产具有Azure的关键 CVSS 分数? • 获取受攻击面中高优先级 CVSS 分数影响的资产。 • 我的多少资产具有关键的 CVSS 分数? • 我的哪些资产具有关键的 CVSS 分数? 所需的输入: • CvssPriority (CVSS 优先级必须是 关键、 高、 中或 低) 可选输入: • CompanyName |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 如果未填写插件设置,则会失败并提醒客户。 • 如果插件设置已填写,则返回受客户Defender EASM资源的 CVSS 分数影响的资产。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果有完全匹配项,则返回受特定公司名称的 CVSS 分数影响的资产。 |
| 获取过期的域 | 返回客户的Defender EASM资源或特定公司名称的过期域数。 |
示例输入: • 领英的攻击面中有多少个域已过期? • 有多少资产使用过期的域进行Microsoft? • 我的攻击面中有多少个域已过期? • 我的多少资产使用过期的域Microsoft? 可选输入: • CompanyName |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 返回客户的Defender EASM资源的过期域数。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果存在完全匹配项,则返回特定公司名称的过期域数。 |
| 获取过期的证书 | 返回客户的Defender EASM资源或特定公司名称的过期 SSL 证书数。 |
示例输入: • 领英有多少 SSL 证书过期? • 有多少资产使用过期的 SSL 证书进行Microsoft? • 我的攻击面有多少 SSL 证书已过期? • 我过期的 SSL 证书是什么? 可选输入: • CompanyName |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 返回客户的Defender EASM资源的 SSL 证书数。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果存在完全匹配项,则返回特定公司名称的 SSL 证书数。 |
| 获取 SHA1 证书 | 返回客户的Defender EASM资源或特定公司名称的 SHA1 SSL 证书数。 |
示例输入: • 领英有多少个 SSL SHA1 证书? • 有多少资产使用 SSL SHA1 进行Microsoft? • 我的攻击面有多少个 SSL SHA1 证书? • 我的有多少资产使用 SSL SHA1? 可选输入: • CompanyName |
如果插件配置为活动Defender EASM资源,并且未指定其他公司: • 返回客户的Defender EASM资源的 SHA1 SSL 证书数。 如果提供了其他公司名称: • 如果未找到公司名称的完全匹配项,则返回可能匹配项的列表。 • 如果有完全匹配项,则返回特定公司名称的 SHA1 SSL 证书数。 |
| 将自然语言翻译为Defender EASM查询 | 将任何自然语言问题转换为Defender EASM查询,并返回与查询匹配的资产。 |
示例输入: • 哪些资产使用 jQuery 版本 3.1.0? • 在攻击面中打开端口 80 的主机。 • 查找清单中 IP 地址为 IP X、IP Y 或 IP Z 的所有页面、主机和 ASN 资产。 • 我的哪些资产的注册电子邮件为 <name@example.com>? |
如果插件配置为活动Defender EASM资源: • 返回与已翻译的查询匹配的资产。 |
在资源数据和公司数据之间切换
尽管我们为技能添加了资源集成,但我们仍支持从特定公司的预生成攻击面拉取数据。 为了提高确定客户何时要从其攻击面或预生成的公司攻击面中拉取的Security Copilot准确性,我们建议使用 my、my 攻击面等来传达你希望使用资源的信息。 使用他们的特定公司名称等来传达你希望使用预生成攻击面。 尽管此方法确实改进了单个会话的体验,但我们强烈建议使用两个单独的会话以避免任何混淆。
提供反馈
你对Security Copilot的反馈,特别是Defender EASM插件,对于指导产品的当前和计划开发至关重要。 提供此反馈的最佳方法是直接在产品中使用每个已完成提示底部的反馈按钮。 选择“正确查找”、“需要改进”或“不适当”。 建议在结果符合预期时选择 “正确” ;在结果不符合预期时 需要改进 ;如果结果以某种方式有害,则选择 “不合适 ”。
只要可能,特别是当你选择的结果是 “需要改进”时,请写几句话来解释我们可以做些什么来改进结果。 如果希望Security Copilot调用Defender EASM插件,但会改为使用其他插件,则此请求也适用。
安全 Copilot 中的隐私和数据安全
当你与Security Copilot交互以获取Defender EASM数据时,Copilot 会从Defender EASM拉取该数据。 系统会处理提示、检索的数据以及提示结果中显示的输出,并将其存储在 Security Copilot 服务中。
有关Security Copilot中的数据隐私的详细信息,请参阅 Security Copilot 中的隐私和数据安全。