Sdílet prostřednictvím

Microsoft Security Copilot Analýza hrozeb v programu Microsoft Defender

  • Článek

Důležité

30. června 2024 byl samostatný portálhttps://ti.defender.microsoft.com Analýza hrozeb v programu Microsoft Defender (Defender TI) vyřazen a už není přístupný. Zákazníci můžou dál používat Defender TI na portálu Microsoft Defender nebo pomocí Microsoft Security Copilot. Další informace

Microsoft Security Copilot je cloudová platforma AI, která poskytuje prostředí kopírování v přirozeném jazyce. Může pomoci odborníkům na zabezpečení v různých scénářích, jako je reakce na incidenty, proaktivní vyhledávání hrozeb a shromažďování informací. Další informace o tom, co může dělat, najdete v článku Co je Microsoft Security Copilot?.

Security Copilot zákazníci získají pro každého ověřeného uživatele Copilotu přístup k Analýza hrozeb v programu Microsoft Defender (Defender TI). Pokud chcete mít jistotu, že máte přístup ke službě Copilot, přečtěte si informace o Security Copilot nákupu a licencování.

Jakmile budete mít přístup k Security Copilot, budou klíčové funkce popisované v tomto článku přístupné na portálu Security Copilot nebo na portálu Microsoft Defender.

Než začnete

Pokud s Security Copilot začínáte, měli byste se s ním seznámit v těchto článcích:

integrace Security Copilot v Defenderu TI

Security Copilot poskytuje informace o aktérech hrozeb, indikátorech ohrožení zabezpečení (IOC), nástrojích a ohroženích zabezpečení a také kontextové analýzy hrozeb z Defender TI. Pomocí výzev a příruček výzev můžete vyšetřovat incidenty, obohatit toky proaktivního vyhledávání o informace analýzy hrozeb nebo získat další znalosti o prostředí hrozeb vaší organizace nebo globálních hrozeb.

  • S výzvami buďte jasní a konkrétní. Můžete dosáhnout lepších výsledků, pokud do výzev zahrnete konkrétní aktéry hrozby nebo IOC. Může také pomoct, pokud do výzvy přidáte analýzu hrozeb, například:

    • Zobrazit data analýzy hrozeb pro Aqua Blizzard.
    • Shrnout data analýzy hrozeb pro „malicious.com.“

  • Při odkazování na incident (například „ID incidentu 15324“) buďte konkrétní.

  • Experimentujte s různými výzvami a variantami a zjistěte, co je pro váš případ použití nejvhodnější. Modely AI chatu se liší, takže iterujte a upřesněte výzvy na základě výsledků, které obdržíte.

  • Funkce Copilot uloží relace výzvy. Pokud chcete zobrazit předchozí relace, přejděte v nabídce Security Copilot Domů na Moje relace.

    Snímek obrazovky znázorňující nabídku Microsoft Security Copilot Domů se zvýrazněnou možností Moje relace

    Poznámka

    Návod ke službě Copilot, včetně funkce připnutí a sdílení, najdete v článku Navigace Microsoft Security Copilot.

Další informace o vytváření efektivních výzev

Klíčové funkce

Security Copilot umožňuje bezpečnostním týmům okamžitě porozumět informacím analýzy hrozeb, určit jejich prioritu a provádět s nimi akce.

Můžete se zeptat na aktéra hrozeb, kampaň útoku nebo jakoukoli jinou analýzu hrozeb, o které se chcete dozvědět více, a Copilot vygeneruje odpovědi na základě sestav analýzy hrozeb, profilů a článků s informacemi a dalšího obsahu Defender TI.

Můžete také vybrat některou z předdefinovaných výzev, které jsou k dispozici na portálu Defender a provést následující akce:

  • Shrnout nejnovější hrozby týkající se vaší organizace
  • Určit prioritu, na které hrozby se zaměřit, na základě nejvyšší úrovně vystavení těmto hrozbám ve vašem prostředí
  • Zeptejte se na aktéry hrozeb, jejichž cílem je odvětví komunikační infrastruktury.

Další informace o použití Copilotu v Defenderu pro analýzu hrozeb

Zapnutí integrace Security Copilot v Defenderu TI

  1. Přejděte na Microsoft Security Copilot a přihlaste se pomocí přihlašovacích údajů.

  2. Ujistěte se, že je modul plug-in Microsoft Threat Intelligence zapnutý. Na panelu výzev vyberte ikonu ZdrojeSnímek obrazovky s ikonou Zdroje.

    Snímek obrazovky s panelem výzev v Microsoft Security Copilot se zvýrazněnou ikonou Zdroje

    V místním okně Spravovat zdroje , které se zobrazí, v části Moduly plug-in ověřte, že je zapnutý přepínač Microsoft Threat Intelligence , a pak okno zavřete.

    Snímek obrazovky s automaticky otevíraným oknem Spravovat moduly plug-in se zvýrazněným modulem plug-in Microsoft Threat Intelligence

    Poznámka

    Některé role můžou zapnout nebo vypnout přepínač pro moduly plug-in, jako je Microsoft Threat Intelligence. Další informace najdete v tématu Správa modulů plug-in v Microsoft Security Copilot.

  3. Na panelu výzvy zadejte výzvu.

Integrované systémové funkce

Security Copilot má integrované systémové funkce, které můžou získávat data z různých modulů plug-in, které jsou zapnuté.

Pokud chcete zobrazit seznam integrovaných systémových funkcí pro Defender TI:

  1. Na panelu výzev vyberte ikonu VýzvySnímek obrazovky s ikonou výzev..

    Snímek obrazovky s panelem výzev v Microsoft Security Copilot se zvýrazněnou ikonou Výzvy

  2. Vyberte Zobrazit všechny možnosti systému. Část Analýza hrozeb Microsoftu obsahuje seznam všech dostupných funkcí pro Defender TI, které můžete použít.

Copilot má také následující příručky výzev, které rovněž poskytují informace z Defender TI:

  • Kontrola dopadu článku o externí hrozbě – Analyzuje externí článek nebo článek třetí strany (tj. nepublikovaný v Defenderu TI), který extrahuje související IOC, sumarizuje informace a generuje dotazy proaktivního vyhledávání, abyste mohli posoudit potenciální dopad hrozby hlášené v článku pro vaši organizaci.
  • Profil aktéra hrozeb – vygeneruje sestavu profilující známého aktéra hrozby, včetně návrhů na obranu před jeho běžnými nástroji a taktikami.
  • Sestava Analýzy hrozeb 360 založená na článku MDTI – Analýza článku Defender TI za účelem extrahování souvisejících IOC, shrnutí informací a generování dotazů proaktivního vyhledávání, abyste mohli posoudit potenciální dopad hrozby nahlášené v článku na vaši organizaci.
  • Posouzení dopadu ohrožení zabezpečení – vygeneruje sestavu se souhrnem informací o známém ohrožení zabezpečení, včetně kroků, jak ji vyřešit.

Pokud chcete tyto příručky výzev zobrazit, vyberte na panelu výzev ikonu Výzvy a pak vyberte Zobrazit všechny příručky výzev.

Ukázkové výzvy Defenderu TI

K získání informací z Defender TI můžete použít mnoho výzev. Tato část obsahuje několik nápadů a příkladů.

Získejte analýzu hrozeb z článků o hrozbách a aktérů hrozeb.

Ukázkové výzvy:

  • Shrňte nedávnou analýzu hrozeb.
  • Ukažte mi nejnovější články o hrozbách.
  • Získejte články o hrozbách souvisejících s ransomwarem za posledních šest měsíců.

Mapování a infrastruktura aktéra hrozeb

Získejte informace o aktérech hrozeb a taktikách, technikách a postupech (TTP), sponzorovaných státech, odvětvích a IOC, které jsou s nimi spojené.

Ukázkové výzvy:

  • Řekněte mi něco víc o Silk Typhoon.
  • Sdílejte IOC přidružené k Silk Typhoon.
  • Sdílejte TTP přidružené k Silk Typhoon.
  • Sdílejte aktéry hrozeb spojené s Ruskem.

Data ohrožení zabezpečení podle CVE

Získejte kontextové informace a analýzu hrozeb o běžných ohroženích zabezpečeních a ohroženích zabezpečení (CVE), které jsou odvozené z článků Defender TI, sestav analýzy hrozeb a dat z Microsoft Defender Správa zranitelností a Microsoft Defender Správa externí potenciální oblasti útoku.

Ukázkové výzvy:

  • Sdílejte technologie, které jsou náchylné k ohrožení zabezpečení CVE-2021-44228.
  • Shrňte ohrožení zabezpečení CVE-2021-44228.
  • Ukažte mi nejnovější CVE.
  • Ukažte mi aktéry hrozeb spojené s CVE-2021-44228.
  • Ukažte mi články o hrozbách spojené s CVE-2021-44228.

Data indikátorů ve vztahu k analýze hrozeb

Získejte podrobné informace o indikátoru (například IP adresy, domény a hodnoty hash souborů) na základě množství datových sad dostupných v Defenderu TI, včetně skóre reputace, informací o WHOIS, systému názvů domén (DNS), párů hostitelů a certifikátů.

Ukázkové výzvy:

  • Co mi můžete říct o názvu> domény<?
  • Zobrazit indikátory související s <názvem> domény
  • Zobrazit všechna rozlišení pro< název> domény
  • Zobrazit páry hostitelů související s <názvem> domény
  • Ukažte mi reputaci hostitele <název hostitele>.
  • Zobrazit všechny překlady IP adresy<>
  • Zobrazí otevřené služby v <IP adrese>.

Poskytnutí zpětné vazby

Vaše zpětná vazba na integraci Defender TI v Security Copilot pomáhá s vývojem. Pokud chcete poskytnout zpětnou vazbu, vyberte v Copilotu možnost Jak je tato odpověď? V dolní části každé dokončené výzvy a zvolte některou z následujících možností:

  • Vypadá správně – Toto tlačítko vyberte, pokud jsou výsledky přesné na základě vašeho posouzení.
  • Vyžaduje zlepšení – Toto tlačítko vyberte, pokud jsou jakékoli podrobnosti ve výsledcích nesprávné nebo neúplné na základě vašeho posouzení.
  • Nevhodné – Toto tlačítko vyberte, pokud výsledky obsahují pochybné, nejednoznačné nebo potenciálně škodlivé informace.

Pro každé tlačítko zpětné vazby můžete zadat další informace v dalším dialogovém okně, které se zobrazí. Kdykoli je to možné, a pokud je výsledek Vyžaduje zlepšení, napište několik slov s vysvětlením, co je možné udělat pro zlepšení výsledku. Pokud jste zadali výzvy specifické pro Defender TI a výsledky nesouvisejí, uveďte tyto informace.

Ochrana osobních údajů a zabezpečení dat v platformě Security Copilot

Když pracujete s Security Copilot, abyste získali data Defenderu TI, copilot tato data stáhne z Defenderu TI. Výzvy, získaná data a výstupy zobrazené ve výsledcích výzev jsou zpracovány a uloženy ve službě Copilot. Další informace o ochraně osobních údajů a zabezpečení dat v Microsoft Security Copilot

Viz také