Sdílet prostřednictvím

Posouzení a prošetřování incidentů s využitím naváděných odpovědí z Microsoft Copilot v Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot na portálu Microsoft Defender podporuje týmy reakce na incidenty při okamžitém řešení incidentů s řízenými odpověďmi. Copilot v Defenderu používá umělou inteligenci a strojové učení k zasazení incidentu do kontextu a poučení z předchozích šetření za účelem generování vhodných reakcí.

Tato příručka popisuje, jak získat přístup řízené reakce včetně informací o poskytování zpětné vazby k reakcím.

Než začnete

Pokud s Security Copilot začínáte, měli byste se s ním seznámit v následujících článcích:

Reakce na incidenty v portálu Microsoft Defender často vyžaduje znalost dostupných akcí portálu k zastavení útoků. Kromě toho mohou mít noví respondenti incidentů různé představy o tom, kde a jak začít na incidenty reagovat. Schopnost řízené reakce Copilota Defender umožňuje týmům reagovat na incident na všech úrovních bez obav a rychle tyto reakce aplikovat za účelem snadného řešení incidentů.

integrace Security Copilot v Microsoft Defender

Odpovědi s asistencí jsou k dispozici na portálu Microsoft Defender pro zákazníky, kteří zřídili přístup k Security Copilot.

Odpovědi s asistencí jsou k dispozici také v Security Copilot samostatném prostředí prostřednictvím modulu plug-in Microsoft Defender XDR. Další informace o předinstalovaných modulech plug-in v Security Copilot.

Klíčové funkce

Řízené reakce doporučují akce v následujících kategoriích:

  • Třídění – zahrnuje doporučení klasifikovat incidenty jako informační, pravdivě pozitivní nebo falešně pozitivní
  • Omezení – zahrnuje doporučené akce k omezení incidentu
  • Prověřování – zahrnuje doporučené akce pro další prověřování
  • Náprava – zahrnuje doporučené reakce, které se mají použít u konkrétních entit zapojených do incidentu

Každá karta obsahuje informace o doporučené akci, včetně entity, kde je třeba akci použít, a důvod, proč se akce doporučuje. Karty také zdůrazňují, kdy byla doporučená akce provedena automatizovaným prověřováním, jako je přerušení útoku nebo reakce automatizovaného prověřování.

Karty řízené reakce se dají seřadit podle dostupného stavu jednotlivých karet. Konkrétní stav můžete vybrat při prohlížení řízených reakcí tak, že kliknete na Stav a vyberete příslušný stav, který chcete zobrazit. Ve výchozím nastavení se zobrazují všechny karty řízené reakce bez ohledu na stav.

Snímek obrazovky znázorňující stav odpovědí v podokně Copilot na stránce Microsoft Defender incidentu

Pokud chcete použít řízené reakce, proveďte následující kroky:

  1. Otevřete stránku incidentu. Copilot automaticky vygeneruje řízené reakce při otevření stránky incidentu. Na pravé straně stránky incidentu se zobrazí podokno Copilot se zobrazenými kartami řízené reakce.

    Snímek obrazovky znázorňující podokno Copilot s řízenými odpověďmi na stránce incidentu Microsoft Defender

  2. Před použitím doporučení zkontrolujte každou kartu. Výběrem tří teček Další akce (...) v horní části karty odpovědí zobrazíte možnosti dostupné pro každé doporučení. Tady je pár příkladů.

    Snímek obrazovky znázorňující možnosti dostupné uživatelům na kartě odpovědi s asistencí na bočním panelu Copilot

    Snímek obrazovky znázorňující možnosti dostupné uživatelům na kartě odpovědi automatizace v podokně Copilot v Microsoft Defender XDR

  3. Pokud chcete použít akci, vyberte požadovanou akci, kterou najdete na každé kartě. Akce reakce s asistencí na každé kartě je přizpůsobená typu incidentu a konkrétní zúčastněné entitě.

    Snímek obrazovky znázorňující karty odpovědí s asistencí v podokně Copilot v Microsoft Defender

  4. Na každou kartu odpovědi můžete poskytnout zpětnou vazbu, abyste mohli průběžně vylepšovat budoucí odpovědi od Copilota. Pokud chcete poskytnout zpětnou vazbu, vyberte ikonu zpětné vazby Snímek obrazovky s ikonou zpětné vazby pro Copilot na kartách Defenderu v pravém dolním rohu každé karty.

Poznámka

Zašedlá tlačítka akcí znamenají, že tyto akce jsou omezené vaším oprávněním. Další informace najdete na stránce s oprávněními sjednoceného přístupu na základě role (RBAC).

Copilot pomáhá zrychlit úlohy analytiků při vyšetřování. Pokud incident vyžaduje další šetření aktivity uživatele, copilot navrhne text, který analytici můžou použít ke komunikaci s uživatelem. Karta odpovědi s asistencí obsahuje akci Kontakt uživatele v Teams nebo Akci Zkopírovat do schránky , která zkopíruje navrhovaný text do schránky. Analytici pak můžou text vložit do e-mailu nebo jiného komunikačního nástroje. Analytik může také získat další kontext o uživateli prostřednictvím akce Zobrazit uživatele .

Snímek obrazovky s navrhovaným textem pro komunikaci na kartě odpovědi s asistencí

Copilot také podporuje týmy pro reakce na incidenty tím, že analytikům umožňuje získat další kontext o akcích reakce s dalšími přehledy. V případě nápravných reakcí si můžou týmy pro reakce na incident zobrazit další informace s možnostmi, jako jsou Zobrazit podobné incidenty nebo Zobrazit podobné e-maily.

Akce Zobrazit podobné incidenty se zpřístupní, pokud se v organizaci vyskytnou další incidenty podobné aktuálnímu incidentu. Na kartě Podobné incidenty jsou uvedené podobné incidenty, které můžete zkontrolovat. Microsoft Defender automaticky identifikuje podobné incidenty v rámci organizace prostřednictvím strojového učení. Týmy reakce na incident můžou informace z těchto podobných incidentů využít ke klasifikaci incidentů a dalšímu vyhodnocení akcí provedených při těchto podobných incidentech.

Akce Zobrazit podobné e-maily, která je specifická pro útoky phishing, vás zavede na stránku rozšířeného proaktivního vyhledávání, kde se automaticky vygeneruje dotaz KQL pro výpis podobných e-mailů v organizaci. Toto automatické generování dotazů související s incidentem pomáhá týmům reakce na incident dále zkoumat další e-maily, které můžou s incidentem souviset. Dotaz můžete zkontrolovat a podle potřeby upravit.

Výzva k ukázkovým odpovědím s asistencí

Na Security Copilot samostatném portálu můžete pomocí následující výzvy vygenerovat odpovědi s asistencí:

  • Vygenerujte řízené odpovědi a doporučení pro incident Defender {ID incidentu}.

Tip

Při generování odpovědí s asistencí na portálu Security Copilot Microsoft doporučuje zahrnout do výzev slovo Defender, aby se zajistilo, že funkce odpovědí s asistencí bude poskytovat výsledky.

Poskytnutí zpětné vazby

Společnost Microsoft vás velmi doporučuje, abyste společnosti Copilot poskytli zpětnou vazbu, protože je to zásadní pro neustálé vylepšování schopností. Pokud chcete poskytnout zpětnou vazbu, přejděte do dolní části bočního panelu Copilot a vyberte ikonu zpětné vazby Snímek obrazovky s ikonou zpětné vazby pro Copilot na kartách Defenderu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.