在 Microsoft Security Copilot 中的 Azure Web 应用防火墙集成

Microsoft Security Copilot是一个基于云的 AI 平台，可提供自然语言辅助体验。 它可以帮助支持不同方案中的安全专业人员，例如事件响应、威胁搜寻和情报收集。 有关详细信息，请参阅什么是智能 Microsoft Security Copilot 副驾驶®？

Azure Web 应用程序防火墙（WAF）在 Microsoft Security Copilot 中的集成能够深入调查 Azure WAF 事件。 它可以帮助你在几分钟内调查 Azure WAF 触发的 WAF 日志，并以计算机速度使用自然语言响应提供相关的攻击途径。 它能让你了解环境的威胁状况。 它支持检索最常触发的 WAF 规则列表，并识别环境中的主要违规 IP 地址。

Azure 应用程序网关上的 Azure WAF 和 Azure Front Door 上的 Azure WAF 都支持智能 Microsoft Security Copilot 副驾驶® 集成。

在开始之前了解

如果你是 Microsoft Security Copilot 的新用户，则应阅读以下文章自行熟悉它：

• 什么是Microsoft安全Copilot？
• Microsoft Security Copilot 的体验
• Microsoft Security Copilot入门
• 了解 Microsoft Security Copilot 中的身份验证机制
• 在 Microsoft 安全 Copilot 中发送提示词

Azure WAF 中的智能 Microsoft Security Copilot 副驾驶® 集成

此集成支持独立体验，通过 https://securitycopilot.microsoft.com 进行访问。 这是一种类似聊天的体验，可用于提问和获取有关数据的解答。 有关详细信息，请参阅 Microsoft Security Copilot 体验。

关键功能

Microsoft Security Copilot 中的 Azure Web 应用程序防火墙集成提供了多种强大的功能，可帮助你分析和了解安全状况。 这些功能使用 AI 通过自然语言响应将复杂的 WAF 日志转换为可作的见解。

• 列出在客户环境中触发的几大 Azure WAF 规则，并深入了解相关的攻击途径。

  此功能提供有关因 WAF 阻止而触发的 Azure WAF 规则的详细信息。 它根据所需时间段内的触发频率提供规则的有序列表。 分析处理 Azure WAF 日志，并在特定时间段内连接相关日志。 结果是一条易于理解的自然语言解释，说明为何阻止了特定请求。

• 列出客户环境中的恶意 IP 地址并生成相关威胁。

  此功能提供有关 Azure WAF 阻止的客户端 IP 地址的详细信息。 分析处理 Azure WAF 日志，并在特定时间段内连接相关日志。 结果是一条易于理解的自然语言解释，说明 WAF 阻止了哪些 IP 地址以及阻止原因。

• 汇总 SQL 注入 （SQLi） 攻击。

  此功能提供有关 Azure WAF 阻止的 SQL 注入（SQLi）攻击的详细信息。 通过分析 Azure WAF 日志并关联特定时间段内的相关数据，此技能提供易于理解的自然语言解释 SQLi 请求被阻止的原因。

• 概述跨站点脚本（XSS）攻击。

  此 Azure WAF 技能可帮助你了解为什么 Azure WAF 阻止了对 Web 应用程序的跨站点脚本（XSS）攻击。 该技能分析 Azure WAF 日志，并在特定时间段内连接相关事件。 结果是一条易于理解的自然语言解释，说明为何阻止了 XSS 请求。

启用安全 Copilot 中的 Azure WAF 集成

若要启用该集成，请执行以下步骤：

1. 确保你至少拥有 Copilot 参与者权限。
2. 打开 https://securitycopilot.microsoft.com/。
3. 打开“Security Copilot”菜单。
4. 在提示栏中打开“源”。
5. 在“插件”页上，将 Azure Web 应用程序防火墙开关设置为“开”。
6. 选择 Azure Web 应用程序防火墙插件上的设置，为 Azure Front Door WAF 或 Azure 应用程序网关 WAF 配置 Log Analytics 工作区。
7. 若要开始使用这些技能，请使用提示栏。

示例 Azure WAF 提示

可以在 Microsoft Security Copilot 中创建自己的提示，以基于 WAF 日志对攻击执行分析。 本部分展示一些想法和示例。

开始之前

• 提示要清晰和具体。 如果在提示中包含特定的设备 ID/名称、应用名称或策略名称，可能会得到更好的结果。

  将 WAF 添加到提示中也可能会有所帮助。 例如：

  • 前一天我的区域 WAF 中是否存在任何 SQL 注入攻击？
  • 告诉我有关在全局 WAF 中触发的几大规则的详细信息

• 尝试使用不同提示和变体，以查看最适合你的用例的提示和变体。 聊天 AI 模型有所不同，因此根据收到的结果循环访问和优化提示。有关编写有效提示的指导，请参阅“创建你自己的提示”。

以下示例提示可能很有用。

汇总有关 SQL 注入攻击的信息

• 前一天我的全局 WAF 中是否存在 SQL 注入攻击？
• 向我显示与全局 WAF 中几大 SQL 注入攻击相关的 IP 地址
• 向我显示过去 24 小时内区域 WAF 中的所有 SQL 注入攻击

汇总有关跨站脚本攻击的信息

• 在过去 12 小时内，应用程序网关 WAF 中是否检测到任何 XSS 攻击？
• 向我显示 Azure Front Door WAF 中的所有 XSS 攻击的列表

根据 WAF 规则生成环境中的威胁列表

• 过去 24 小时内触发的几大全局 WAF 规则是什么？
• 我的环境中与 WAF 规则相关的几大威胁是什么？ <输入规则 ID>
• 过去一天我的区域 WAF 中是否存在任何机器人攻击？
• 汇总过去一天由 Azure Front Door WAF 触发的自定义规则阻止。

根据恶意 IP 地址生成环境中的威胁列表

• 过去一天内区域 WAF 中的几大违规 IP 是什么？
• 汇总过去 6 小时内 Azure Front Door WAF 中恶意 IP 地址的列表。

提供反馈

您对 Azure WAF 与 Microsoft Security Copilot 集成的反馈有助于优化开发。 若要在 Copilot 中提供反馈，请选择“此响应如何？”在每个已完成的提示底部，选择以下任一选项：

• 看起来正确 - 如果根据评估，结果是准确的，请选择此项。
• 需要改进 - 如果根据评估，结果中有任何详细信息不正确或不完整，请选择此项。
• 不当 - 如果结果包含可疑、不明确或潜在有害的信息，请选择此项。

对于每个反馈项，可以在显示的下一个对话框中提供详细信息。 只要有可能，当结果是“需要改进”时，请写几句话说明我们可以做些什么来改进结果。

限制

如果你迁移到应用程序网关 WAF V2 版本中的 Azure Log Analytics 专用表，则智能 Microsoft Security Copilot 副驾驶® WAF 技能不起作用。 作为临时解决方法，除了资源特定的表之外，另外启用 Azure 诊断作为目标表。

Microsoft 安全 Copilot 中的隐私和数据安全

若要了解 Microsoft Security Copilot 如何处理提示以及从服务检索的数据（提示输出），请参阅 Microsoft安全 Copilot 中的隐私和数据安全性。

相关内容

• 什么是Microsoft安全Copilot？
• Microsoft Security Copilot 的体验
• Microsoft Security Copilot入门