Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender External Attack Surface Management (Defender EASM) ermittelt und ordnet ihre digitale Angriffsfläche kontinuierlich zu, um eine externe Ansicht Ihrer Onlineinfrastruktur zu ermöglichen. Diese Transparenz hilft Sicherheits- und IT-Teams dabei, Unbekannte zu identifizieren, Risiken zu priorisieren, Bedrohungen zu beseitigen und die Sicherheits- und Gefährdungssteuerung über die Firewall hinaus zu erweitern. Erkenntnisse zur Angriffsfläche werden durch die Analyse von Sicherheitsrisiko- und Infrastrukturdaten generiert, um die wichtigsten Bereiche zu präsentieren, die für Ihre organization von Bedeutung sind.
Microsoft Security Copilot (Security Copilot)-Integration in Defender EASM hilft Ihnen bei der Interaktion mit von Microsoft entdeckten Angriffsflächen. Die Identifizierung von Angriffsflächen hilft Ihrem organization die externe Infrastruktur und die relevanten, kritischen Risiken schnell zu verstehen. Sie bietet Einblicke in bestimmte Risikobereiche, einschließlich Sicherheitsrisiken, Compliance und Sicherheitshygiene.
Weitere Informationen zu Security Copilot finden Sie unter Was ist Security Copilot? Informationen zur Eingebetteten Security Copilot finden Sie unter Abfragen der Angriffsfläche mit Defender EASM mithilfe von Azure Copilot.
Klare Ideen vor dem Loslegen
Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit der Lösung vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Security Copilot Erfahrungen
- Erste Schritte mit Security Copilot
- Grundlegendes zur Authentifizierung in Security Copilot
- Eingabeaufforderung in Security Copilot
Security Copilot in Defender EASM
Security Copilot können Erkenntnisse aus Defender EASM über die Angriffsfläche Ihrer organization gewinnen. Sie können Security Copilot integrierten Features verwenden. Um weitere Informationen zu erhalten, verwenden Sie Eingabeaufforderungen in Security Copilot. Die Informationen können Ihnen helfen, Ihren Sicherheitsstatus zu verstehen und Sicherheitsrisiken zu minimieren.
Dieser Artikel führt Sie in Security Copilot ein und enthält Beispieleingabeaufforderungen, die Defender EASM Benutzern helfen können.
Hauptmerkmale
Die EASM Security Copilot-Integration kann Ihnen dabei helfen:
Holen Sie sich einen Momentaufnahme Ihrer externen Angriffsfläche und gewinnen Sie Einblicke in potenzielle Risiken.
Sie können einen schnellen Überblick über Ihre externe Angriffsfläche erhalten, indem Sie im Internet verfügbare Informationen in Kombination mit dem Defender EASM proprietären Ermittlungsalgorithmus analysieren. Es bietet eine leicht verständliche Erklärung der externen Ressourcen des organization, z. B. Hosts, Domänen, Webseiten und IP-Adressen. Es hebt die kritischen Risiken hervor, die mit den einzelnen Risiken verbunden sind.
Priorisieren Sie Korrekturmaßnahmen basierend auf Ressourcenrisiken und Allgemeinen Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVEs) Listenelementen.
Defender EASM hilft Sicherheitsteams dabei, ihre Korrekturmaßnahmen zu priorisieren, indem sie verstehen, welche Ressourcen und CVEs das größte Risiko in ihrer Umgebung darstellen. Es analysiert Sicherheitsrisiko- und Infrastrukturdaten, um wichtige Problembereiche zu präsentieren und bietet eine erklärung der Risiken und empfohlenen Maßnahmen in natürlicher Sprache.
Verwenden Sie Security Copilot, um Erkenntnisse zu gewinnen.
Sie können Security Copilot verwenden, um nach Erkenntnissen zu fragen, indem Sie natürliche Sprache verwenden und Erkenntnisse aus Defender EASM über die Angriffsfläche Ihrer organization extrahieren. Abfragedetails wie die Anzahl der nicht sicheren SSL-Zertifikate (Secure Sockets Layer), erkannte Ports und bestimmte Sicherheitsrisiken, die sich auf die Angriffsfläche auswirken.
Beschleunigen sie die Angriffsfläche.
Verwenden Sie Security Copilot, um Ihre Angriffsfläche mithilfe von Bezeichnungen, externen IDs und Zustandsänderungen für eine Reihe von Ressourcen zu zusammengestellt. Dieser Prozess beschleunigt die Zusammenstellung, sodass Sie Ihren Bestand schneller und effizienter organisieren können.
Aktivieren der Security Copilot Integration
Führen Sie zum Einrichten Security Copilot Integration in Defender EASM die in den nächsten Abschnitten beschriebenen Schritte aus.
Voraussetzungen
Um die Integration zu aktivieren, müssen Folgende Voraussetzungen erfüllt sein:
- Zugriff auf Microsoft Security Copilot
- Berechtigungen zum Aktivieren neuer Verbindungen
Verbinden von Security Copilot mit Defender EASM
Greifen Sie auf Security Copilot zu, und stellen Sie sicher, dass Sie authentifiziert sind.
Wählen Sie das Security Copilot-Plug-In-Symbol oben rechts in der Eingabeleiste der Eingabeaufforderung aus.
Suchen Sie unter Microsoftnach Defender External Attack Surface Management. Wählen Sie Ein aus, um eine Verbindung herzustellen.
Wenn Security Copilot Daten aus Ihrer Defender EASM-Ressource abrufen möchten, wählen Sie das Zahnradsymbol aus, um die Plug-In-Einstellungen zu öffnen. Geben Sie Werte mithilfe der Werte aus dem Abschnitt Essentials Ihrer Ressource im Bereich Übersicht ein, oder wählen Sie sie aus.
Hinweis
Sie können Ihre Defender EASM Fähigkeiten auch dann nutzen, wenn Sie noch keine Defender EASM erworben haben. Weitere Informationen finden Sie unter Referenz zu Plug-In-Funktionen.
Beispiel für Defender EASM-Eingabeaufforderungen
Security Copilot verwendet in erster Linie Eingabeaufforderungen in natürlicher Sprache. Wenn Sie Informationen von Defender EASM abfragen, senden Sie eine Eingabeaufforderung, die Security Copilot führt, um das Defender EASM-Plug-In auszuwählen und die entsprechende Funktion aufzurufen.
Für Security Copilot Aufforderungen empfehlen wir die folgenden Ansätze:
Stellen Sie sicher, dass Sie in der ersten Eingabeaufforderung auf den Firmennamen verweisen. Sofern nicht anders angegeben, stellen alle zukünftigen Aufforderungen dann Daten zum ursprünglich angegebenen Unternehmen bereit.
Ihre Prompts sollten klar und spezifisch sein. Möglicherweise erhalten Sie bessere Ergebnisse, wenn Sie bestimmte Ressourcennamen oder Metadatenwerte (z. B. CVE-IDs) in Ihre Eingabeaufforderungen einschließen.
Es kann auch hilfreich sein, ihrer Eingabeaufforderung Defender EASM hinzuzufügen, wie in den folgenden Beispielen:
- Was sind laut Defender EASM meine abgelaufenen Domänen?
- Informieren Sie mich über Defender EASM Erkenntnisse zur Angriffsfläche mit hoher Priorität.
Probieren Sie verschiedene Prompts und Varianten aus, um zu sehen, was für Ihren Anwendungsfall am besten geeignet ist. Die Chat-KI-Modelle variieren, so dass Sie Ihre Prompts auf der Grundlage der Ergebnisse, die Sie erhalten, wiederholen und verfeinern können.
Security Copilot speichert Ihre Prompt-Sitzungen. Um vorherige Sitzungen anzuzeigen, wählen Sie in Security Copilot im Menü Meine Sitzungen aus.
Eine exemplarische Vorgehensweise zu Security Copilot, einschließlich der Pin- und Freigabefeatures, finden Sie unter Navigieren Security Copilot.
Weitere Informationen zum Schreiben von Security Copilot Eingabeaufforderungen finden Sie unter tipps zur Security Copilot.
Referenz zu Plug-In-Funktionen
| Funktion | Beschreibung | Eingaben | Behaviors |
|---|---|---|---|
| Abrufen einer Zusammenfassung der Angriffsfläche | Gibt die Zusammenfassung der Angriffsfläche für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück. |
Beispieleingaben: • Abrufen der Angriffsfläche für LinkedIn. • Holen Sie sich meine Angriffsfläche. • Was ist die Angriffsfläche für Microsoft? • Was ist meine Angriffsfläche? • Was sind die externen Ressourcen für Azure? • Was sind meine externen Ressourcen? Optionale Eingaben: • CompanyName |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Gibt eine Zusammenfassung der Angriffsfläche für die Defender EASM Ressource des Kunden zurück. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn eine genaue Übereinstimmung vorliegt, wird die Zusammenfassung der Angriffsfläche für den Firmennamen zurückgegeben. |
| Abrufen von Erkenntnissen zur Angriffsfläche | Gibt die Erkenntnisse zur Angriffsfläche für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück. |
Beispieleingaben: • Erhalten Sie Erkenntnisse zur Angriffsfläche mit hoher Priorität für LinkedIn. • Verschaffen Sie sich Erkenntnisse zur Angriffsfläche mit hoher Priorität. • Erhalten Sie Erkenntnisse zur Angriffsfläche mit niedriger Priorität für Microsoft. • Erhalten Sie Erkenntnisse zur Angriffsfläche mit niedriger Priorität. • Habe ich Sicherheitsrisiken mit hoher Priorität in meiner externen Angriffsfläche für Azure? Erforderliche Eingaben: • PriorityLevel (Die Prioritätsstufe muss hoch, mittel oder niedrig sein; wenn sie nicht angegeben wird, ist sie standardmäßig hoch) Optionale Eingaben: • CompanyName (der Firmenname) |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Gibt Erkenntnisse zur Angriffsfläche für die Defender EASM Ressource des Kunden zurück. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn es eine genaue Übereinstimmung gibt, gibt die Erkenntnisse zur Angriffsfläche für den Firmennamen zurück. |
| Abrufen von Ressourcen, die von einer CVE betroffen sind | Gibt die Ressourcen zurück, die von einer CVE für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen betroffen sind. |
Beispieleingaben: • Abrufen von Ressourcen, die von CVE-2023-0012 für LinkedIn betroffen sind. • Welche Ressourcen sind von CVE-2023-0012 für Microsoft betroffen? • Ist die externe Angriffsfläche Azure von CVE-2023-0012 betroffen? • Abrufen von Ressourcen, die von CVE-2023-0012 für meine Angriffsfläche betroffen sind. • Welche meiner Ressourcen sind von CVE-2023-0012 betroffen? • Wirkt sich CVE-2023-0012 auf meine externe Angriffsfläche aus? Erforderliche Eingaben: • CveId Optionale Eingaben: • CompanyName |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Wenn die Plug-In-Einstellungen nicht ausgefüllt sind, scheitern Sie gnädig und erinnern Kunden daran. • Wenn Plug-In-Einstellungen ausgefüllt sind, werden die von einer CVE betroffenen Ressourcen für die Defender EASM Ressource des Kunden zurückgegeben. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn es eine genaue Übereinstimmung gibt, gibt die von einer CVE betroffenen Ressourcen für den spezifischen Firmennamen zurück. |
| Abrufen von Ressourcen, die von einer CVSS betroffen sind | Gibt die Ressourcen zurück, die von einer CVSS-Bewertung (Common Vulnerability Scoring System) für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen betroffen sind. |
Beispieleingaben: • Abrufen von Ressourcen, die von CVSS-Bewertungen mit hoher Priorität in der Angriffsfläche von LinkedIn betroffen sind. • Wie viele Ressourcen haben eine kritische CVSS-Bewertung für Microsoft? • Welche Ressourcen weisen kritische CVSS-Bewertungen für Azure auf? • Erhalten Sie Ressourcen, die von CVSS-Bewertungen mit hoher Priorität in meiner Angriffsfläche betroffen sind. • Wie viele meiner Ressourcen haben kritische CVSS-Bewertungen? • Welche meiner Ressourcen haben kritische CVSS-Bewertungen? Erforderliche Eingaben: • CvssPriority (die CVSS-Priorität muss kritisch, hoch, mittel oder niedrig sein) Optionale Eingaben: • CompanyName |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Wenn die Plug-In-Einstellungen nicht ausgefüllt sind, scheitern Sie gnädig und erinnern Kunden daran. • Wenn Plug-In-Einstellungen ausgefüllt sind, gibt die Ressourcen zurück, die von einer CVSS-Bewertung für die Defender EASM Ressource des Kunden betroffen sind. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn es eine genaue Übereinstimmung gibt, gibt die Von einer CVSS-Bewertung betroffenen Ressourcen für den spezifischen Firmennamen zurück. |
| Abrufen abgelaufener Domänen | Gibt die Anzahl der abgelaufenen Domänen für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück. |
Beispieleingaben: • Wie viele Domänen sind auf der Angriffsfläche von LinkedIn abgelaufen? • Wie viele Ressourcen verwenden abgelaufene Domänen für Microsoft? • Wie viele Domänen sind in meiner Angriffsfläche abgelaufen? • Wie viele meiner Ressourcen verwenden abgelaufene Domänen für Microsoft? Optionale Eingaben: • CompanyName |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Gibt die Anzahl der abgelaufenen Domänen für die Defender EASM Ressource des Kunden zurück. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn eine genaue Übereinstimmung vorliegt, gibt die Anzahl der abgelaufenen Domänen für den spezifischen Firmennamen zurück. |
| Abrufen abgelaufener Zertifikate | Gibt die Anzahl der abgelaufenen SSL-Zertifikate für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück. |
Beispieleingaben: • Wie viele SSL-Zertifikate sind für LinkedIn abgelaufen? • Wie viele Ressourcen verwenden abgelaufene SSL-Zertifikate für Microsoft? • Wie viele SSL-Zertifikate sind für meine Angriffsfläche abgelaufen? • Was sind meine abgelaufenen SSL-Zertifikate? Optionale Eingaben: • CompanyName |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Gibt die Anzahl der SSL-Zertifikate für die Defender EASM Ressource des Kunden zurück. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn eine genaue Übereinstimmung vorliegt, gibt die Anzahl der SSL-Zertifikate für den spezifischen Firmennamen zurück. |
| Abrufen von SHA1-Zertifikaten | Gibt die Anzahl der SHA1-SSL-Zertifikate für die Defender EASM Ressource des Kunden oder einen bestimmten Firmennamen zurück. |
Beispieleingaben: • Wie viele SSL SHA1-Zertifikate sind für LinkedIn vorhanden? • Wie viele Ressourcen verwenden SSL SHA1 für Microsoft? • Wie viele SSL SHA1-Zertifikate sind für meine Angriffsfläche vorhanden? • Wie viele meiner Ressourcen verwenden SSL SHA1? Optionale Eingaben: • CompanyName |
Wenn Ihr Plug-In für eine aktive Defender EASM Ressource konfiguriert ist und kein anderes Unternehmen angegeben ist: • Gibt die Anzahl der SHA1-SSL-Zertifikate für die Defender EASM Ressource des Kunden zurück. Wenn ein anderer Firmenname angegeben wird: • Wenn keine genaue Übereinstimmung für den Firmennamen gefunden wird, gibt eine Liste möglicher Übereinstimmungen zurück. • Wenn eine genaue Übereinstimmung vorliegt, wird die Anzahl der SHA1-SSL-Zertifikate für den spezifischen Firmennamen zurückgegeben. |
| Übersetzen natürlicher Sprache in eine Defender EASM Abfrage | Übersetzt alle Fragen in natürlicher Sprache in eine Defender EASM Abfrage und gibt die Ressourcen zurück, die der Abfrage entsprechen. |
Beispieleingaben: • Welche Ressourcen verwenden jQuery Version 3.1.0? • Die Hosts mit port 80 in meiner Angriffsfläche öffnen. • Suchen Sie alle Seiten-, Host- und ASN-Ressourcen in meinem Bestand, die eine IP-Adresse wie IP X, IP Y oder IP Z haben. • Welche meiner Ressourcen hat eine Registrant-E-Mail von <name@example.com>? |
Wenn Ihr Plug-In für eine aktive Defender EASM-Ressource konfiguriert ist: • Gibt die Ressourcen zurück, die mit der übersetzten Abfrage übereinstimmen. |
Wechseln zwischen Ressourcen- und Unternehmensdaten
Obwohl wir ressourcenintegration für unsere Fähigkeiten hinzugefügt haben, unterstützen wir weiterhin das Abrufen von Daten aus vordefinierten Angriffsflächen für bestimmte Unternehmen. Um die Security Copilot Genauigkeit bei der Bestimmung zu verbessern, wann ein Kunde von seiner Angriffsfläche oder von einer vordefinierten Angriffsfläche des Unternehmens ziehen möchte, empfehlen wir die Verwendung von my, my attack surface usw., um zu vermitteln, dass Sie Ihre Ressource verwenden möchten. Verwenden Sie ihrenspezifischen Firmennamen usw., um zu vermitteln, dass Sie eine vordefinierte Angriffsfläche verwenden möchten. Obwohl dieser Ansatz die Erfahrung in einer einzelnen Sitzung verbessert, wird dringend empfohlen, zwei separate Sitzungen zu verwenden, um Verwirrung zu vermeiden.
Feedback geben
Ihr Feedback zu Security Copilot im Allgemeinen und speziell zum Defender EASM Plug-In ist wichtig, um die aktuelle und geplante Entwicklung des Produkts zu steuern. Die optimale Möglichkeit, dieses Feedback zu geben, befindet sich direkt im Produkt, indem Sie die Feedbackschaltflächen unten in jeder abgeschlossenen Eingabeaufforderung verwenden. Wählen Sie Richtig aussehen, Verbesserung erforderlich oder Unangemessen aus. Es wird empfohlen, dass Sie Die Auswahl von Looks genau dann treffen, wenn das Ergebnis den Erwartungen entspricht, Verbesserung erforderlich ist, wenn dies nicht der Fall ist, und Unangemessen , wenn das Ergebnis in irgendeiner Weise schädlich ist.
Wenn immer möglich, und vor allem, wenn das von Ihnen ausgewählte Ergebnis Verbesserung erforderlich ist, schreiben Sie bitte ein paar Worte, um zu erklären, was wir tun können, um das Ergebnis zu verbessern. Diese Anforderung gilt auch, wenn Sie erwarten, dass Security Copilot das Defender EASM-Plug-In aufruft, aber stattdessen ein anderes Plug-In verwendet wird.
Datenschutz und Datensicherheit in Security Copilot
Wenn Sie mit Security Copilot interagieren, um Defender EASM Daten abzurufen, ruft Copilot diese Daten aus Defender EASM ab. Die Eingabeaufforderungen, die abgerufenen Daten und die Ausgabe, die in den Eingabeaufforderungsergebnissen angezeigt wird, werden verarbeitet und im Security Copilot-Dienst gespeichert.
Weitere Informationen zum Datenschutz in Security Copilot finden Sie unter Datenschutz und Datensicherheit in Security Copilot.