Shrnutí incidentu s nástrojem Microsoft Copilot v Microsoft Defender

Článek
11/19/2024
Platí pro:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR využívá možnosti Security Copilot ke shrnutí incidentů a k poskytování působivých informací a přehledů, které zjednodušují úlohy šetření. Prověřování útoků je zásadním krokem pro týmy reakce na incidenty, aby úspěšně chránily organizaci před dalšími škodami způsobenými kybernetickou hrozbou. Šetření může být často časově náročné, protože zahrnuje mnoho kroků. Týmy reakce na incidenty musí pochopit, jak k útoku došlo: projít si řadu výstrah, identifikovat, které prostředky a entity jsou zapojeny, a vyhodnotit rozsah a dopad útoku.

Tato příručka popisuje, co očekávat a jak získat přístup k funkcí shrnování v nástroji Copilot pro Defender, včetně informací o poskytování zpětné vazby.

Než začnete

Pokud s Security Copilot začínáte, měli byste se s ním seznámit v následujících článcích:

Osoby, které reagují na incidenty, můžou snadno získat správný kontext pro vyšetřování a nápravu incidentů prostřednictvím korelačních schopností Defender XDR a zpracování a kontextualizace dat Security Copilot využívajících umělou inteligenci. Díky shrnutí incidentu můžou členové týmu reakce na incidenty rychle získat důležité informace, které jim pomůžou při prověřování.

integrace Security Copilot v Microsoft Defender

Funkce souhrnu incidentů je k dispozici na portálu Microsoft Defender pro zákazníky, kteří zřídili přístup k Security Copilot.

Tato funkce je také dostupná v Security Copilot samostatném prostředí prostřednictvím modulu plug-in Microsoft Defender XDR. Další informace o předinstalovaných modulech plug-in v Security Copilot.

Klíčové funkce

Incidenty obsahující až 100 upozornění je možné shrnout do jednoho souhrnu incidentů. Souhrn incidentu v závislosti na dostupnosti dat zahrnuje následující:

Čas a datum zahájení útoku
Entitu nebo prostředek, kde útok začal.
Shrnutí časového průběhu útoku.
Prostředky, které byly součástí útoku.
Indikátory ohrožení (IOC).
Jména zúčastněných aktérů hrozeb.

Pokud chcete shrnout incident, proveďte následující kroky:

Otevřete stránku incidentu. Copilot automaticky vytvoří shrnutí incidentu při otevření stránky. Můžete zastavit vytvoření souhrnu výběrem možnosti Zrušit nebo restartovat vytváření výběrem možnosti Znovu vygenerovat.
Souhrnní karta incidentu se načte do podokna Copilot. Zkontrolujte vygenerovaný souhrn na kartě.

Tip

Kliknutím na důkazní materiál ve výsledcích můžete přejít na stránku souboru, adresy IP nebo adresy URL z podokna výsledků Copilot.
Vyberte tři tečky Další akce (...) v horní části karty souhrnu incidentu a zkopírujte nebo znovu vygenerujte souhrn nebo si ho zobrazte na portálu Security Copilot. Když vyberete Otevřít v nástroji Security Copilot, otevře se nová karta na samostatném portálu Security Copilot, kde můžete zadávat výzvy a přistupovat k dalším modulům plug-in.
Prohlédněte si shrnutí a použijte informace jako vodítko při vyšetřování a reakci na incident.

Ukázková výzva k souhrnu incidentů

Na Security Copilot samostatném portálu můžete pomocí následující výzvy vygenerovat souhrny incidentů:

Zadejte souhrn incidentu defenderu {ID incidentu}.

Tip

Při generování souhrnu incidentů na portálu Security Copilot Microsoft doporučuje zahrnout do výzev slovo Defender, aby se zajistilo, že funkce souhrnu incidentu bude poskytovat výsledky.

Poskytnutí zpětné vazby

Společnost Microsoft vás velmi doporučuje, abyste společnosti Copilot poskytli zpětnou vazbu, protože je to zásadní pro neustálé vylepšování schopností. Zpětnou vazbu k souhrnu můžete poskytnout výběrem ikony zpětné vazby Snímek obrazovky ikony zpětné vazby pro Copilot na kartách Defender , které najdete v dolní části podokna Copilot.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Sdílet prostřednictvím